KR20060133728A - Method and apparatus and system for cutting malicious codes - Google Patents
Method and apparatus and system for cutting malicious codes Download PDFInfo
- Publication number
- KR20060133728A KR20060133728A KR1020050053526A KR20050053526A KR20060133728A KR 20060133728 A KR20060133728 A KR 20060133728A KR 1020050053526 A KR1020050053526 A KR 1020050053526A KR 20050053526 A KR20050053526 A KR 20050053526A KR 20060133728 A KR20060133728 A KR 20060133728A
- Authority
- KR
- South Korea
- Prior art keywords
- blocking
- malicious code
- computer system
- policy
- blocking policy
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
Abstract
Description
도 1은 본 발명의 일 실시 예에 따른 악성 코드 차단하기 위한 시스템을 도시한 것이다.1 illustrates a system for blocking malicious code according to an embodiment of the present invention.
도 2는 본 발명의 일 실시 예에 따른 악성 코드를 차단하기 위한 차단 정책 관리 장치의 내부 블록도이다.2 is an internal block diagram of a blocking policy management apparatus for blocking malicious code according to an embodiment of the present invention.
도 3은 본 발명의 일 실시 예에 따른 악성 코드 차단 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a malicious code blocking method according to an embodiment of the present invention.
<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>
100 : 차단 정책 관리 장치100: blocking policy management device
200, 400 : 컴퓨터 시스템200, 400: computer system
300 : 네트워크300: network
본 발명은 네트워크를 통해 컴퓨터로 유포되는 악성 코드가 컴퓨터로 침입하여 컴퓨터 시스템을 훼손 시키는 것을 최소화하기 위한 악성 코드 차단 방법 및 장 치 및 그 시스템에 관한 것이다.The present invention relates to a malicious code blocking method and apparatus for minimizing damage to a computer system by invading the computer by malicious code distributed to the computer through a network and the system.
일반적으로 악성 코드란, 컴퓨터 시스템에 피해를 주고자 의도적으로 제작된 프로그램 코드를 통칭하며, 바이러스, 웜, 트로이 목마 또는 해킹 프로그램 등을 포함한다.In general, malicious code refers to program codes that are intentionally designed to damage computer systems, and include viruses, worms, Trojan horses, or hacking programs.
악성 코드가 생성되고 배포되어 상기 악성 코드에 시스템이 감염되면 상기 시스템 내부의 여러 자원을 파괴 또는 왜곡하여 상기 시스템을 훼손하는 피해가 발생되어 왔다. 이에 악성 코드에 의해 피해를 입은 시스템을 복구하기 위한 치료 중심의 백신 프로그램들이 끊임없이 제공되고 있다.When a malicious code is generated and distributed and the system is infected with the malicious code, damages that damage the system by destroying or distorting various resources inside the system have occurred. Accordingly, treatment-based vaccine programs are constantly being provided to recover systems damaged by malicious code.
그러나 새로운 악성코드의 발견으로 상기 악성 코드로 인해 훼손된 시스템의 치료와 복구에 중점을 둔 백신 프로그램을 생성하기 까지 즉, 악성 코드의 발견 및 피해 사례를 보고 받은 후 치료 방법이 만들어 지기까지 일정 기간이 소요되는데, 최근 인터넷 사용과 네트워크 환경의 개선으로 악성 코드가 생성, 유포 및 감염에 소요되는 시각이 더욱 가속화되어서 백신이 제작, 배포되는 기간 동안에도 이미 많은 시스템들이 악성 코드에 감염이 되고 또 다른 시스템에 그대로 악성코드가 전파되어 그 피해 액이 상당수에 달한다. However, the discovery of new malware causes a certain period of time until the creation of a vaccine program that focuses on the treatment and repair of the system damaged by the malicious code, that is, after the detection and damage cases of the malicious code have been reported. Recently, due to the improvement of Internet usage and network environment, the time required for the generation, distribution, and infection of the malicious code is further accelerated, so that many systems are already infected by the malware even during the vaccine production and distribution. As it is, malicious code is spread and the damage amounted to a large number.
뿐만 아니라, 백신의 경우 치료 및 복구 과정을 위한 시스템 자원 사용량이 높고 수 만종에 달하는 악성 코드의 정보를 지속적으로 늘려가면서 유지되므로 일부 시스템에서는 자원의 한계 및 관리적 이슈로 인해 백신의 도움을 받지 못하기도 한다. 이러한 일련의 과정에서 발생하는 피해 규모를 최소화하기 위해 악성코드 생성과 백신이 제작 배포, 적용되는 시점까지 악성 코드의 전파를 막을 수 있는 대책 마련이 시급해 왔다.In addition, because vaccines use high system resources for the treatment and recovery process and keep increasing information on tens of thousands of malicious codes, some systems may not be able to receive vaccines due to resource limitations and administrative issues. . In order to minimize the damage caused in this series of processes, it is urgent to prepare a countermeasure that can prevent the spread of malicious code until the generation of the malware and the time when the vaccine is produced, distributed and applied.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명의 목적은 악성 코드 발생 후 악성 코드에 따른 백신 프로그램을 생성하기 전까지 악성 코드로 인한 컴퓨터 시스템의 피해를 최소화하기 위해 악성 코드의 침입을 차단하거나 악성 코드의 시스템 내부에서의 활동을 차단하기 위한 악성 코드 차단 방법 및 장치 및 그 시스템을 제공하는데 있다. The present invention has been made in view of the above circumstances, and an object of the present invention is to block intrusion of malicious code in order to minimize damage of a computer system due to malicious code after generating a malicious code program after generating a malicious code. To provide a method and apparatus for blocking malicious code and a system for blocking the activity of the malicious code inside the system.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 악성 코드 차단 방법은,Malicious code blocking method according to a first aspect of the present invention for achieving the above object,
A) 네트워크를 통해 유포되는 악성 코드를 검출하여 상기 악성 코드를 분석하는 단계;A) analyzing the malicious code by detecting malicious code spread over the network;
B) 상기 분석된 결과를 기반으로 상기 악성 코드를 차단하기 위한 차단 정책을 생성하는 단계;B) creating a blocking policy for blocking the malicious code based on the analyzed result;
C) 상기 차단 정책을 네트워크를 통해 컴퓨터 시스템으로 전송하는 단계; 및C) sending the blocking policy to a computer system via a network; And
D) 상기 악성 코드에 대한 백신 프로그램이 생성된 경우 상기 차단 정책을 상기 백신 프로그램으로 대체하는 단계를 포함한다.D) if the vaccine program for the malicious code is generated, replacing the blocking policy with the vaccine program.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 악성 코드 차단 장치는,Malware blocking apparatus according to a second aspect of the present invention for achieving the above object,
네트워크를 통해 컴퓨터 시스템으로 들어오는 프로그램에 대하여 악성 코드 차단 정책에서 설정된 이벤트가 발생하는 경우, 상기 프로그램의 진입을 차단하거나, 또는 상기 컴퓨터 시스템이 상기 네트워크로 접근하는 것을 차단시키는 네트워크 차단 모듈; 및A network blocking module that blocks an entry of the program or blocks the computer system from accessing the network when an event set in a malicious code blocking policy occurs for a program entering a computer system through a network; And
상기 차단 정책이 상기 컴퓨터 시스템에 수신되면 상기 차단 정책에 따라 뮤텍스, 이벤트, 세마포어, 및 특정 레지스트리 중 적어도 하나 이상의 자원을 미리 선점하는 자원 선점 모듈을 포함하여 구성되며,And a resource preemption module for preempting at least one of a mutex, an event, a semaphore, and a specific registry according to the blocking policy when the blocking policy is received by the computer system.
상기 네트워크 차단 모듈은 상기 네트워크의 IP 주소, 접근 포트 번호,프로토콜 중 적어도 하나를 차단함으로써 상기 네트워크로의 접근을 차단하는 것을 특징으로 한다. The network blocking module may block access to the network by blocking at least one of an IP address, an access port number, and a protocol of the network.
상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 악성 코드 차단 시스템은,Malware blocking system according to a third aspect of the present invention for achieving the above object,
네트워크를 통해 유포되는 악성 코드가 컴퓨터 시스템에 침입하는 방법 또는 침입 후 활동 하는 패턴을 분석하여 상기 악성 코드를 차단하기 위한 차단 정책을 생성하고, 상기 컴퓨터 시스템에 상기 차단 정책을 전송하기 위한 차단 정책 관리 장치; 및Analyze how malicious code spreads through the network invade computer systems or patterns after intrusion to create a blocking policy to block the malicious code, and manage the blocking policy to send the blocking policy to the computer system Device; And
상기 네트워크로 상기 차단 정책 관리 장치에 연결되어 상기 악성 코드가 검출되는 경우 상기 차단 정책 관리 장치로 통보하며, 상기 차단 정책 관리 장치로부터 수신된 차단 정책에 따라 상기 악성 코드를 차단하고, 상기 차단 내역을 로그 파일로 생성하여 상기 차단 정책 관리 장치로 업로드하는 컴퓨터 시스템을 포함한다.When the malicious code is detected by connecting to the blocking policy management device through the network, the blocking policy management device is notified, the malicious code is blocked according to the blocking policy received from the blocking policy management device, and the blocking history is displayed. And a computer system generating a log file and uploading the log policy management device.
따라서 본 발명에 의하면, 악성 코드에 노출된 컴퓨터 시스템에 가해질 피해 범위 및 감염 기간을 최소화 할 수 있다.Therefore, according to the present invention, it is possible to minimize the extent of damage and the duration of infection to be applied to a computer system exposed to malicious code.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, with reference to the accompanying drawings will be described a preferred embodiment of the present invention.
도 1은 본 발명의 일 실시 예에 따른 악성 코드를 차단하기 위한 시스템을 도시한 것이다.1 illustrates a system for blocking malicious code according to an embodiment of the present invention.
도 1을 참조하면, 악성 코드를 차단하기 위한 시스템은, 악성 코드의 활동 특징이 단 몇 개 추출되더라도 관리자에 의해 설정된 최소한의 활동 패턴만으로 우선 차단 정책을 생성 및 배포하며, 지속적으로 악성 코드의 활동 패턴 또는 특징을 발견하여 차단 정책을 보강하는 차단 정책 관리 장치(100); 상기 차단 정책을 각 시스템의 특성에 맞게 적용함으로써 상기 악성 코드를 차단하는 컴퓨터 시스템(200); 상기 차단 정책 관리 장치(100)와 상기 컴퓨터 시스템(200)의 지속적인 정보 교류를 수행하기 위한 네트워크(300); 및 컴퓨터 시스템(200)과 네트워크로 연결된 다수의 컴퓨터 시스템(400)을 포함하여 구성된다.Referring to FIG. 1, a system for blocking malicious code generates and distributes a priority blocking policy with only a minimum activity pattern set by an administrator, even if only a few activity characteristics of the malicious code are extracted. A blocking
차단 정책 관리 장치(100)는 네트워크 상에서 검출된 악성 코드가 컴퓨터 시스템에 침입하는 경로, 침입하는 방법, 상기 컴퓨터 시스템에 침입한 악성 코드가 활동하는 패턴을 분석하여 차단 정책을 생성한다.The blocking
부언하면, 상기 악성 코드가 시스템에 접근할 때 사용하는 IP, 포트번호, 네트워크 프로토콜 방법, 진입/진출(IN/OUT) 종류, 상기 악성 코드와 관련된 프로그램의 이름 또는 파일명, 이메일인 경우 이메일의 제목, 본문의 내용, 및 이메일에 첨부된 파일, 상기 악성 코드가 사용하는 폴더, 레지스트리, 뮤텍스(Mutex), 세마포어, 및 상기 악성 코드로 인하여 발생하는 이벤트 정보 등을 검출함으로써 상기 악성 코드가 활동하는 패턴을 알 수 있다. 따라서, 상기 차단 정책 관리 장치(100)는 상기 악성 코드의 침입 경로, 침입 방법, 및 상기 악성 코드의 활동 패턴 중 적어도 하나 이상이 검출되면 검출된 정보를 기반으로 차단 정책을 생성한다. 이 때, 상기 차단 정책 관리 장치(100)는 상기 악성 코드에 대한 예상 백신 프로그램 이름, 및 버전 정보를 포함하여 차단 정책을 생성한다.In other words, IP, port number, network protocol method, type of IN / OUT used by the malicious code to access the system, name or file name of the program related to the malicious code, email subject in case of email , The contents of the body, and files attached to an email, a folder used by the malicious code, a registry, a mutex, a semaphore, and event information generated by the malicious code, thereby detecting a pattern in which the malicious code operates. It can be seen. Therefore, the blocking
상기 차단 정책 관리 장치(100)는 상기 악성 코드에 대한 정보가 업 그레이드될 때마다 주기적으로, 바람직하게는 실시간으로 상기 차단 정책을 보완 또는 삭제 함으로써 상기 차단 정책을 업 그레이드 한다. The blocking
뿐만 아니라, 상기 차단 정책 관리 장치(100)는 악성 코드를 차단하고자 하는 컴퓨터 시스템(200)으로 상기 차단 정책을 전송한다. 부언하면, 상기 차단 정책 관리 장치(100)는 상기 차단 정책이 업 그레이드될 때마다 지속적으로 상기 컴퓨터 시스템(200)으로 배포하며, 상기 악성 코드에 상응하는 백신 프로그램이 생성되면 상기 차단 정책을 삭제하고 상기 백신 프로그램을 다운로드하거나, 또는 상기 차단 정책을 패치함으로써 취약한 부분을 보강하고, 상기 악성 코드의 활동이 중단되면 상기 악성 코드에 따른 차단 정책을 삭제하여 상기 악성 코드의 차단을 중지하도록 한다.In addition, the blocking
컴퓨터 시스템(200)은 네트워크(300)로 상기 차단 정책 관리 장치(100)와 연결되어 데이터를 송수신하며, 상기 컴퓨터 시스템(200)이 다수의 컴퓨터 시스템과 연결되며 상기 타 컴퓨터 시스템이 상기 차단 정책을 요청하는 경우 상기 차단 정책을 배포하는 것이 가능하다.The
상기 컴퓨터 시스템(200)은 침입하는 악성 코드를 검출하기 위한 검출부(210), 상기 차단 정책 관리 장치(100)로부터 수신되는 차단 정책 중 자신의 시스템에 적합한 차단 정책 만을 선택하는 차단 정책 선택부(230), 상기 차단 정책에 따라 상기 악성 코드를 차단하기 위한 실행부(250), 백업/복구부(260), 로그 파일 관리부(270), 및 전송부(280)를 포함하여 구성된다.The
상기 악성 코드를 차단하기 위한 실행부(250)는 차단하는 대상을 악성코드 차단에 중점을 두어 상기 컴퓨터 시스템(200)이 정상 운영 되도록 상기 컴퓨터 시스템(200)의 자원 변경을 최소화해야 한다.The
로그 파일 관리부(270)는 상기 악성 코드가 상기 컴퓨터 시스템(200)에 침입하는 방법 및 경로, 또는 상기 컴퓨터 시스템(200)에 침입한 후 활동하는 패턴에 따라 적용된 차단 정책, 상기 차단 정책을 수행하기 위한 다수의 차단 모듈, 및 상기 악성 코드를 차단한 결과를 실시간으로 수집 및 분석하여 그 결과를 로그 파일로 생성하여 관리한다. 또한, 상기 로그 파일 관리부(270)는 상기 생성된 로그 파일을 주기적으로, 바람직하게는 실시간으로 상기 차단 정책 관리 장치(100)로 전송하여 상기 차단 정책 관리 장치(100)가 상기 로그 파일로부터 상기 악성 코드의 활동 패턴을 검출하고 검출된 활동 패턴을 상기 차단 정책에 반영한다.The
백업/복구부(260)는 상기 실행부(250)에서 악성 코드를 차단하는 도중에 불필요한 차단으로 인하여 특정 파일이나 레지스트리의 정보가 삭제되는 경우, 상기 특정 파일 또는 레지스트리의 정보를 복구하는 기능을 수행한다.The backup /
뿐만 아니라, 상기 백업/복구부(260)는 악성 코드로 의심되는 파일 또는 레지스트리를 삭제하기 전에 백업하고 삭제 후에는 관리자의 선택에 따라 임의 복구하는 기능을 수행한다.In addition, the backup /
도 2는 본 발명의 일 실시 예에 따른 악성 코드를 차단하기 위한 악성 코드 차단 장치의 내부 블록도이다.2 is an internal block diagram of a malicious code blocking device for blocking malicious code according to an embodiment of the present invention.
도 2를 참조하면, 악성 코드 차단 장치(500)는 네트워크(300)와 연결 가능한 컴퓨터, 노트북 등의 단말기 또는 다수의 단말기와 연결된 특정 서버로써, 검출된 악성 코드에 대한 차단을 실행한다.Referring to FIG. 2, the malicious
상기 악성 코드 차단 장치(500)는 악성 코드에 대한 차단 정책을 관리하는 정책 관리부(530), 상기 차단 정책에 따라 상기 악성 코드를 차단하기 위한 차단/선점 실행부(540), 상기 악성 코드의 활동 패턴 및/또는 상기 악성 코드의 차단 내역을 기록하기 위한 로그 파일 관리부(570), 및 백업/복구부(560)를 포함하여 구성된다. The malicious
바람직하게는, 상기 악성 코드 차단 장치(500)는 악성 코드 검출부(510), 악성 코드 분석부(520), 및 표시부(550)를 더 포함하여 구성된다.Preferably, the malicious
악성 코드 검출부(510)는 네트워크를 통해 컴퓨터 시스템인 악성 코드 차단 장치(500)로 진입하는 프로그램이 컴퓨터 시스템에 악영향을 주는 경우 상기 프로그램을 악성 코드로 분류한다.The malicious
악성 코드 분석부(520)는 상기 악성 코드 검출부(510)에서 검출된 악성 코드 가 상기 컴퓨터 시스템에 침입하는 방법, 침입 경로, 상기 악성 코드가 컴퓨터 시스템 내에서 활동하는 패턴을 분석한다. 또한, 로그 파일 관리부(570)로부터 로그 파일이 수신되는 경우에는 상기 로그 파일을 분석하여 상기 악성 코드의 새로운 활동 패턴이 존재하는지 여부를 판단한다.The
정책 관리부(530)는 상기 악성 코드에 상응하는 차단 정책을 외부 단말기로부터 수신하여 관리하거나 또는 상기 악성 코드 분석부(520)에서 분석된 결과를 토대로 차단 정책을 생성한다. The
차단/선점 실행부(540)는 네트워크 차단 모듈(541), 이메일 차단 모듈(543), 파일/폴더 차단 모듈(545), 레지스트리 차단 모듈(547), 및 자원 선점 모듈(549) 중 적어도 하나 이상을 포함하여 구성된다.The blocking /
네트워크 차단 모듈(541)은 네트워크를 통하여 악성 코드 차단 장치(500)인 컴퓨터 시스템으로 진입하는 프로그램으로 인하여 상기 차단 정책에서 설정한 이벤트가 발생되는 경우, 상기 차단 정책에 따라 접근 포트 번호, 네트워크 상의 IP 주소, TCP/UDP로 표현되는 프로토콜 등을 차단함으로써 상기 컴퓨터 시스템이 네트워크로 접근하는 것을 차단시키며 그 결과를 상기 로그 파일 관리 모듈(570)로 전송한다.When the event set in the blocking policy is generated due to a program entering the computer system that is the malicious
이메일 차단 모듈(543)은 상기 차단 정책에 따라 이메일을 전송하는 메일 서버로 상기 이메일이 수신자의 컴퓨터 시스템으로 전송되기 전 상기 이메일 차단 모듈(543)로 먼저 전송되도록 요청한다. 상기 이메일 차단 모듈(543)은 중간에서 가로챈 상기 이메일의 정보를 분석하여 악성 코드가 발견된 경우 경고 메일을 생성하 고 상기 이메일을 실행되지 않는 파일로 생성하여 상기 경고 메일에 첨부하여 상기 수신자의 컴퓨터 시스템으로 전송한다. The
파일/폴더 차단 모듈(545)은 상기 차단 정책에서 정의된 특정 파일 또는 특정 폴더로 접근하거나 특정 파일 또는 특정 폴더를 생성 또는 수정하려는 프로그램, 프로세스, 또는 파일에 대하여 상기 특정 파일 또는 특정 폴더로의 접근을 차단하거나, 상기 특정 폴더의 공유를 해지, 또는 악성 코드로 분류되는 상기 프로그램, 프로세스, 또는 파일 자체를 삭제함으로써 상기 악성 코드를 차단하며, 그 결과를 상기 로그 파일 관리 모듈(570)로 전송한다. The file /
레지스트리 차단 모듈(547)은 상기 차단 정책에서 정의된 레지스트리(Registry)에 접근하거나 상기 레지스트리를 생성 또는 수정하려는 악성 코드에 대하여 상기 악성 코드가 상기 레지스트리에 접근하는 것을 차단하거나, 상기 레지스트리를 생성 또는 수정하려는 행위를 차단한다. 또는 상기 레지스트리 차단 모듈(547)은 상기 레지스트리를 직접 차단함으로써 상기 악성 코드의 활동을 차단하며, 상술한 일련의 차단 결과를 상기 로그 파일 관리 모듈(570)로 전송한다.The
자원 선점 모듈(549)은 악성 코드가 시스템 내부에서 활동하기 위하여 필요한 자원을 미리 선점함으로써 상기 악성 코드가 시스템에서 활동하는 것을 차단한다. 상기 자원 선점 모듈(549)은 상기 차단 정책이 컴퓨터 시스템으로 제공되면, 뮤텍스(Mutex), 이벤트, 세마포어(Semaphore), 특정 레지스트리 등의 자원 중 상기 악성 코드가 사용하는 자원을 미리 선점하여 상기 악성 코드가 정상적인 활동을 하는 것을 차단한다. 예컨대, 상기 자원 선점 모듈(549)은 상기 악성 코드가 컴퓨터 시스템 내에서 이미 활동하고 있다고 판단하도록 상기 자원을 미리 사용하므로, 상기 악성 코드는 상기 컴퓨터 시스템 내에서의 활동을 방해 받는다.The resource preemption module 549 blocks the malicious code from operating in the system by preempting the resources necessary for the malicious code to operate inside the system. When the blocking policy is provided to a computer system, the resource preemption module 549 preempts a resource used by the malicious code among resources such as a mutex, an event, a semaphore, and a specific registry to preempt the malicious code. Block normal activity. For example, the resource preemption module 549 uses the resource in advance to determine that the malicious code is already active in the computer system, so that the malicious code is interrupted from activity in the computer system.
상술한 바와 같이 구성된 본 발명의 작동 상태에 대하여 설명한다.The operating state of the present invention configured as described above will be described.
도 3은 본 발명의 일 실시 예에 따른 악성 코드 차단 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a malicious code blocking method according to an embodiment of the present invention.
악성 코드가 생성 및 배포되어 상기 악성 코드에 의한 이상 현상이 컴퓨터 시스템(200)에서 발견되면 상기 이상 현상이 일정한 활동 패턴을 보이는 악성 코드임을 판단한다. 상기 판단 결과 상기 악성 코드로 판단되면 상기 악성 코드가 컴퓨터 시스템으로 진입하는 방법 또는 진입 경로, 상기 악성 코드가 활동하기 위한 프로세스 이름, 이메일 정보, 사용하는 파일 및 폴더, 사용하는 뮤텍스, 이벤트 등 여러 가지 요소들을 검토함으로써 상기 악성 코드에 대한 분석을 실시한다(S300).When the malicious code is generated and distributed and an abnormality caused by the malicious code is found in the
상기 단계 S300의 분석 결과를 기반으로 차단 대상에 대한 정보, 차단하기 위한 방법, 상기 악성 코드에 상응하는 백신 프로그램에 대한 정보 등을 포함한 차단 정책을 생성하여 등록한다(S310).Based on the analysis result of step S300, a blocking policy including information on a blocking target, a method for blocking, and information on a vaccine program corresponding to the malicious code is generated and registered (S310).
생성된 차단 정책은 악성 코드를 차단해야 되는 단말기, 즉 컴퓨터, 노트북, 등의 컴퓨터 시스템으로 전송된다(S320). The generated blocking policy is transmitted to a computer system, such as a computer, a notebook, and the like, which should block malicious code (S320).
또한, 상기 차단 정책은 상기 단계 S300의 분석 결과가 업 그레이드 되면 실시간으로 업 그레이드 되며, 상기 컴퓨터 시스템(200)은 주기적으로 또는 실시간으로 상기 차단 정책을 생성 및 관리하는 차단 정책 관리 서버(100)에 접속하여 상기 업 그레이드 된 차단 정책을 다운로드 받는다.In addition, the blocking policy is upgraded in real time when the analysis result of step S300 is upgraded, the
상기 컴퓨터 시스템(200)은 상기 수신된 차단 정책 중 상기 시스템에 적용할 차단 정책을 선택하며, 상기 컴퓨터 시스템(200)이 상기 차단 정책 관리 서버(100)에 접속하여 업 그레이드 된 차단 정책을 다운로드 받을 때에도 상기 선택된 차단 정책 만을 선별하여 다운로드 받는 것이 가능하다(S330).The
상기 컴퓨터 시스템(200)은 상기 차단 정책을 이용하여 상기 악성 코드의 침입을 방지하거나 상기 악성 코드의 활동을 차단한다(S340).The
뿐만 아니라, 상기 컴퓨터 시스템(200)은 선택된 차단 정책, 상기 차단 정책에 의한 차단 활동, 상기 악성 코드의 활동 패턴 등을 취합 정리하여 로그 파일로 생성하고 상기 차단 정책 관리 서버(100)로 업로드한다(S350).In addition, the
상기 차단 정책 관리 서버(100)는 상기 로그 파일을 분석하여 상기 차단 정책을 업 그레이드 하며, 업 그레이드된 차단 정책을 상기 컴퓨터 시스템(200)으로 전송한다(S360).The blocking
상기 차단 정책은 상기 로그 파일로부터 상기 차단 정책의 내용이 추가 보완되면서 상기 차단 정책의 범위 및 정확도가 높아져 간다. 상기 차단 정책은 상기 악성 코드에 상응하는 백신 프로그램이 생성 및 배포되거나 또는 상기 악성 코드의 활동이 없어졌음이 판단되는 시점까지 지속적으로 업 그레이드 된다. 따라서, 상기 컴퓨터 시스템(200)은 상기 백신 프로그램이 생성되어 다운 받으면 상기 차단 정책의 이용을 중지하거나 또는 상기 차단 정책 자체를 삭제한다(S370, S380).The blocking policy is further supplemented with the contents of the blocking policy from the log file, thereby increasing the scope and accuracy of the blocking policy. The blocking policy is continuously upgraded until a vaccine program corresponding to the malicious code is generated and distributed or it is determined that activity of the malicious code is lost. Therefore, when the vaccine program is generated and downloaded, the
이상에서 상세히 설명한 바와 같이, 본 발명의 악성 코드 차단 방법 및 장치 및 그 시스템에 의하면, 악성 코드의 유포 과정에서 발견되는 특이한 활동 패턴이 수집되는 시점과 거의 동시에 활동 패턴에 따른 차단 정책이 생성 및 적용되어 아직 백신 프로그램이 만들어지지 않은 시점에 악성 코드에 노출된 컴퓨터 시스템이 훼손되는 것을 최소화하는 장점이 있다. As described in detail above, according to the malicious code blocking method and apparatus and system of the present invention, the blocking policy according to the activity pattern is generated and applied almost simultaneously with the time when the unique activity pattern found in the process of distributing the malicious code is collected. Therefore, there is an advantage of minimizing the damage to the computer system exposed to malicious code when the anti-virus program is not yet made.
또한, 악성 코드를 사전에 차단함으로써 악성 코드 감염 후 백신에 의해 치료가 불가능한 경우 불가피하게 지불해야 하는 복구 비용의 수도 현격히 줄여주는 효과가 있다.In addition, by blocking the malicious code in advance, it is possible to significantly reduce the number of repair costs inevitably paid if the vaccine cannot be treated after the malware is infected.
게다가, 사전 차단의 대상이 악성 코드와 악성 코드의 행위에 초점이 맞춰져 있으므로 컴퓨터 시스템 자원이 왜곡 및 변경되는 경우가 적어 시스템 자원 변경으로 인한 피해가 최소화된다.In addition, the pre-blocking target is focused on the malicious code and the behavior of the malicious code, so that computer system resources are less distorted and changed, thereby minimizing damage caused by system resource changes.
뿐만 아니라, 관리자에 의해 시스템에 필요한 차단 정책을 선택하여 적용할 수 있으며, 시스템 자원 상의 한계로 인해 최신 악성 코드의 백신 프로그램을 적용 받지 못하는 시스템에서도 신속하게 차단하여 악성 코드에 의한 피해를 최소화 할 수 있다.In addition, the administrator can select and apply the blocking policy required for the system, and can minimize the damage caused by malicious code by quickly blocking even the system that is not applied with the latest malicious code vaccine program due to the limitation of system resources. have.
부가적으로, 악성 코드로 인해 감염되거나 악성코드로 의심되는 이메일을 삭제하거나 원본 이메일의 일부를 변경하는 기존의 방식과는 달리, 경고 문구를 포함하는 이메일을 작성하고 거기에 원본 이메일을 첨부하여 수신자에게 전달함으로써 원본 이메일을 원천적으로 차단함으로 인한 불편은 최소화하면서 이메일을 통한 악성코드 차단의 효과를 얻는다.In addition, unlike traditional methods of deleting or suspiciously modifying emails that are infected or suspected of being malicious code, create an email that includes a warning phrase and attach the original email to it. By passing on the original email, the original email block is minimized.
지금까지 본 발명을 바람직한 실시예를 참조하여 상세히 설명하였지만,본 발 명이 상기한 실시예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.Although the present invention has been described in detail with reference to preferred embodiments, the present invention is not limited to the above-described embodiment, and the technical field to which the present invention belongs without departing from the gist of the present invention as claimed in the following claims. Anyone skilled in the art will have the technical idea of the present invention to the extent that various modifications or changes are possible.
Claims (21)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20050053526A KR100690187B1 (en) | 2005-06-21 | 2005-06-21 | Method and apparatus and system for cutting malicious codes |
PCT/KR2006/002318 WO2006137657A1 (en) | 2005-06-21 | 2006-06-16 | Method for intercepting malicious code in computer system and system therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20050053526A KR100690187B1 (en) | 2005-06-21 | 2005-06-21 | Method and apparatus and system for cutting malicious codes |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060133728A true KR20060133728A (en) | 2006-12-27 |
KR100690187B1 KR100690187B1 (en) | 2007-03-09 |
Family
ID=37570641
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR20050053526A KR100690187B1 (en) | 2005-06-21 | 2005-06-21 | Method and apparatus and system for cutting malicious codes |
Country Status (2)
Country | Link |
---|---|
KR (1) | KR100690187B1 (en) |
WO (1) | WO2006137657A1 (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100922363B1 (en) * | 2007-08-31 | 2009-10-19 | 고려대학교 산학협력단 | Malicious code analysis apparatus and method for cyber threat trend and Recording medium using by the same |
KR101043299B1 (en) * | 2009-07-21 | 2011-06-22 | (주) 세인트 시큐리티 | Method, system and computer readable recording medium for detecting exploit code |
KR101138746B1 (en) * | 2010-03-05 | 2012-04-24 | 주식회사 안철수연구소 | Apparatus and method for preventing malicious codes using executive files |
WO2012054401A1 (en) * | 2010-10-18 | 2012-04-26 | Board Of Regents Of The University Of Texas System | Remediation of computer security vulnerabilities |
KR101234063B1 (en) * | 2010-12-21 | 2013-02-15 | 한국인터넷진흥원 | Malicious code, the system automatically collects |
US8713680B2 (en) | 2007-07-10 | 2014-04-29 | Samsung Electronics Co., Ltd. | Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program |
US10853492B2 (en) | 2018-07-22 | 2020-12-01 | Minerva Labs Ltd. | Systems and methods for protecting a computing device against malicious code |
US11200317B2 (en) | 2018-07-22 | 2021-12-14 | Minerva Labs Ltd. | Systems and methods for protecting a computing device against malicious code |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7487543B2 (en) * | 2002-07-23 | 2009-02-03 | International Business Machines Corporation | Method and apparatus for the automatic determination of potentially worm-like behavior of a program |
KR101077855B1 (en) | 2009-05-19 | 2011-10-28 | 주식회사 안철수연구소 | Apparatus and method for inspecting a contents and controlling apparatus of malignancy code |
CN116132194B (en) * | 2023-03-24 | 2023-06-27 | 杭州海康威视数字技术股份有限公司 | Method, system and device for detecting and defending unknown attack intrusion of embedded equipment |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100333061B1 (en) * | 1999-11-23 | 2002-04-22 | 오경수 | A remote computer anti-virus system and process on the network |
KR100401089B1 (en) * | 2000-06-29 | 2003-10-10 | 시큐아이닷컴 주식회사 | Remote anti-virus system and method on the wireless network |
JP4088082B2 (en) * | 2002-02-15 | 2008-05-21 | 株式会社東芝 | Apparatus and program for preventing infection by unknown computer virus |
JP2004206683A (en) * | 2002-12-11 | 2004-07-22 | Nihon Intelligence Corp | System management device, method and program, management server system and its control process, insurance method, security program, security management method, computer, and server computer |
-
2005
- 2005-06-21 KR KR20050053526A patent/KR100690187B1/en active IP Right Grant
-
2006
- 2006-06-16 WO PCT/KR2006/002318 patent/WO2006137657A1/en active Application Filing
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8713680B2 (en) | 2007-07-10 | 2014-04-29 | Samsung Electronics Co., Ltd. | Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program |
KR100922363B1 (en) * | 2007-08-31 | 2009-10-19 | 고려대학교 산학협력단 | Malicious code analysis apparatus and method for cyber threat trend and Recording medium using by the same |
KR101043299B1 (en) * | 2009-07-21 | 2011-06-22 | (주) 세인트 시큐리티 | Method, system and computer readable recording medium for detecting exploit code |
KR101138746B1 (en) * | 2010-03-05 | 2012-04-24 | 주식회사 안철수연구소 | Apparatus and method for preventing malicious codes using executive files |
WO2012054401A1 (en) * | 2010-10-18 | 2012-04-26 | Board Of Regents Of The University Of Texas System | Remediation of computer security vulnerabilities |
US9177154B2 (en) | 2010-10-18 | 2015-11-03 | Todd Wolff | Remediation of computer security vulnerabilities |
KR101234063B1 (en) * | 2010-12-21 | 2013-02-15 | 한국인터넷진흥원 | Malicious code, the system automatically collects |
US10853492B2 (en) | 2018-07-22 | 2020-12-01 | Minerva Labs Ltd. | Systems and methods for protecting a computing device against malicious code |
US11200317B2 (en) | 2018-07-22 | 2021-12-14 | Minerva Labs Ltd. | Systems and methods for protecting a computing device against malicious code |
Also Published As
Publication number | Publication date |
---|---|
KR100690187B1 (en) | 2007-03-09 |
WO2006137657A1 (en) | 2006-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100690187B1 (en) | Method and apparatus and system for cutting malicious codes | |
US11936666B1 (en) | Risk analyzer for ascertaining a risk of harm to a network and generating alerts regarding the ascertained risk | |
US9910981B2 (en) | Malicious code infection cause-and-effect analysis | |
US11340890B2 (en) | Integrity assurance and rebootless updating during runtime | |
US9961107B2 (en) | System and method for detecting and monitoring persistent events | |
US10645124B2 (en) | System and method for collection of forensic and event data | |
CN106687971B (en) | Automatic code locking to reduce attack surface of software | |
JP6317434B2 (en) | System and method for facilitating malware scanning using reputation indicators | |
Oberheide et al. | CloudAV: N-Version Antivirus in the Network Cloud. | |
WO2021077987A1 (en) | Security vulnerability defense method and device | |
US7689835B2 (en) | Computer program product and computer system for controlling performance of operations within a data processing system or networks | |
US8341691B2 (en) | Policy based selection of remediation | |
US20070162975A1 (en) | Efficient collection of data | |
EP2946327A1 (en) | Systems and methods for identifying and reporting application and file vulnerabilities | |
Arfeen et al. | Endpoint detection & response: A malware identification solution | |
US8819655B1 (en) | Systems and methods for computer program update protection | |
USRE48043E1 (en) | System, method and computer program product for sending unwanted activity information to a central system | |
US11763004B1 (en) | System and method for bootkit detection | |
US20240086538A1 (en) | Computer investigation method and system for investigating authentication in remote host computers | |
Almadhoor et al. | Detecting Malware Infection on Infrastructure Hosted in IaaS Cloud using Cloud Visibility and Forensics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130227 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20140227 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20150227 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20190227 Year of fee payment: 13 |
|
FPAY | Annual fee payment |
Payment date: 20200227 Year of fee payment: 14 |