KR20060133728A - Method and apparatus and system for cutting malicious codes - Google Patents

Method and apparatus and system for cutting malicious codes Download PDF

Info

Publication number
KR20060133728A
KR20060133728A KR1020050053526A KR20050053526A KR20060133728A KR 20060133728 A KR20060133728 A KR 20060133728A KR 1020050053526 A KR1020050053526 A KR 1020050053526A KR 20050053526 A KR20050053526 A KR 20050053526A KR 20060133728 A KR20060133728 A KR 20060133728A
Authority
KR
South Korea
Prior art keywords
blocking
malicious code
computer system
policy
blocking policy
Prior art date
Application number
KR1020050053526A
Other languages
Korean (ko)
Other versions
KR100690187B1 (en
Inventor
김경희
윤성덕
손미연
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR20050053526A priority Critical patent/KR100690187B1/en
Priority to PCT/KR2006/002318 priority patent/WO2006137657A1/en
Publication of KR20060133728A publication Critical patent/KR20060133728A/en
Application granted granted Critical
Publication of KR100690187B1 publication Critical patent/KR100690187B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating

Abstract

A method, a device, and a system for blocking malicious codes are provided to minimize damage of a computer system before a vaccine program is generated by preventing the malicious codes from being intruded or operated in the computer system. A network blocking module(541) blocks intrusion of a program or prevents the computer system from accessing the network in case that an event set in a malicious code blocking policy is generated in the program entered through the network. A resource preoccupying module(549) preoccupies at least one of Mutex(Mutual Exclusion Object), the event, a semaphore, and a specific registry according to the blocking policy if the blocking policy is received to the computer system. The network blocking module blocks access to the network by blocking at least one of an IP(Internet Protocol) address, an access port number, and a protocol of the network. A file/folder blocking module(545) prevents the malicious code from accessing a file or a folder needed for activation according to the blocking policy.

Description

악성 코드 차단 방법 및 장치 및 그 시스템{METHOD AND APPARATUS AND SYSTEM FOR CUTTING MALICIOUS CODES}METHOD AND APPARATUS AND SYSTEM FOR CUTTING MALICIOUS CODES}

도 1은 본 발명의 일 실시 예에 따른 악성 코드 차단하기 위한 시스템을 도시한 것이다.1 illustrates a system for blocking malicious code according to an embodiment of the present invention.

도 2는 본 발명의 일 실시 예에 따른 악성 코드를 차단하기 위한 차단 정책 관리 장치의 내부 블록도이다.2 is an internal block diagram of a blocking policy management apparatus for blocking malicious code according to an embodiment of the present invention.

도 3은 본 발명의 일 실시 예에 따른 악성 코드 차단 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a malicious code blocking method according to an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

100 : 차단 정책 관리 장치100: blocking policy management device

200, 400 : 컴퓨터 시스템200, 400: computer system

300 : 네트워크300: network

본 발명은 네트워크를 통해 컴퓨터로 유포되는 악성 코드가 컴퓨터로 침입하여 컴퓨터 시스템을 훼손 시키는 것을 최소화하기 위한 악성 코드 차단 방법 및 장 치 및 그 시스템에 관한 것이다.The present invention relates to a malicious code blocking method and apparatus for minimizing damage to a computer system by invading the computer by malicious code distributed to the computer through a network and the system.

일반적으로 악성 코드란, 컴퓨터 시스템에 피해를 주고자 의도적으로 제작된 프로그램 코드를 통칭하며, 바이러스, 웜, 트로이 목마 또는 해킹 프로그램 등을 포함한다.In general, malicious code refers to program codes that are intentionally designed to damage computer systems, and include viruses, worms, Trojan horses, or hacking programs.

악성 코드가 생성되고 배포되어 상기 악성 코드에 시스템이 감염되면 상기 시스템 내부의 여러 자원을 파괴 또는 왜곡하여 상기 시스템을 훼손하는 피해가 발생되어 왔다. 이에 악성 코드에 의해 피해를 입은 시스템을 복구하기 위한 치료 중심의 백신 프로그램들이 끊임없이 제공되고 있다.When a malicious code is generated and distributed and the system is infected with the malicious code, damages that damage the system by destroying or distorting various resources inside the system have occurred. Accordingly, treatment-based vaccine programs are constantly being provided to recover systems damaged by malicious code.

그러나 새로운 악성코드의 발견으로 상기 악성 코드로 인해 훼손된 시스템의 치료와 복구에 중점을 둔 백신 프로그램을 생성하기 까지 즉, 악성 코드의 발견 및 피해 사례를 보고 받은 후 치료 방법이 만들어 지기까지 일정 기간이 소요되는데, 최근 인터넷 사용과 네트워크 환경의 개선으로 악성 코드가 생성, 유포 및 감염에 소요되는 시각이 더욱 가속화되어서 백신이 제작, 배포되는 기간 동안에도 이미 많은 시스템들이 악성 코드에 감염이 되고 또 다른 시스템에 그대로 악성코드가 전파되어 그 피해 액이 상당수에 달한다. However, the discovery of new malware causes a certain period of time until the creation of a vaccine program that focuses on the treatment and repair of the system damaged by the malicious code, that is, after the detection and damage cases of the malicious code have been reported. Recently, due to the improvement of Internet usage and network environment, the time required for the generation, distribution, and infection of the malicious code is further accelerated, so that many systems are already infected by the malware even during the vaccine production and distribution. As it is, malicious code is spread and the damage amounted to a large number.

뿐만 아니라, 백신의 경우 치료 및 복구 과정을 위한 시스템 자원 사용량이 높고 수 만종에 달하는 악성 코드의 정보를 지속적으로 늘려가면서 유지되므로 일부 시스템에서는 자원의 한계 및 관리적 이슈로 인해 백신의 도움을 받지 못하기도 한다. 이러한 일련의 과정에서 발생하는 피해 규모를 최소화하기 위해 악성코드 생성과 백신이 제작 배포, 적용되는 시점까지 악성 코드의 전파를 막을 수 있는 대책 마련이 시급해 왔다.In addition, because vaccines use high system resources for the treatment and recovery process and keep increasing information on tens of thousands of malicious codes, some systems may not be able to receive vaccines due to resource limitations and administrative issues. . In order to minimize the damage caused in this series of processes, it is urgent to prepare a countermeasure that can prevent the spread of malicious code until the generation of the malware and the time when the vaccine is produced, distributed and applied.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명의 목적은 악성 코드 발생 후 악성 코드에 따른 백신 프로그램을 생성하기 전까지 악성 코드로 인한 컴퓨터 시스템의 피해를 최소화하기 위해 악성 코드의 침입을 차단하거나 악성 코드의 시스템 내부에서의 활동을 차단하기 위한 악성 코드 차단 방법 및 장치 및 그 시스템을 제공하는데 있다. The present invention has been made in view of the above circumstances, and an object of the present invention is to block intrusion of malicious code in order to minimize damage of a computer system due to malicious code after generating a malicious code program after generating a malicious code. To provide a method and apparatus for blocking malicious code and a system for blocking the activity of the malicious code inside the system.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 악성 코드 차단 방법은,Malicious code blocking method according to a first aspect of the present invention for achieving the above object,

A) 네트워크를 통해 유포되는 악성 코드를 검출하여 상기 악성 코드를 분석하는 단계;A) analyzing the malicious code by detecting malicious code spread over the network;

B) 상기 분석된 결과를 기반으로 상기 악성 코드를 차단하기 위한 차단 정책을 생성하는 단계;B) creating a blocking policy for blocking the malicious code based on the analyzed result;

C) 상기 차단 정책을 네트워크를 통해 컴퓨터 시스템으로 전송하는 단계; 및C) sending the blocking policy to a computer system via a network; And

D) 상기 악성 코드에 대한 백신 프로그램이 생성된 경우 상기 차단 정책을 상기 백신 프로그램으로 대체하는 단계를 포함한다.D) if the vaccine program for the malicious code is generated, replacing the blocking policy with the vaccine program.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 악성 코드 차단 장치는,Malware blocking apparatus according to a second aspect of the present invention for achieving the above object,

네트워크를 통해 컴퓨터 시스템으로 들어오는 프로그램에 대하여 악성 코드 차단 정책에서 설정된 이벤트가 발생하는 경우, 상기 프로그램의 진입을 차단하거나, 또는 상기 컴퓨터 시스템이 상기 네트워크로 접근하는 것을 차단시키는 네트워크 차단 모듈; 및A network blocking module that blocks an entry of the program or blocks the computer system from accessing the network when an event set in a malicious code blocking policy occurs for a program entering a computer system through a network; And

상기 차단 정책이 상기 컴퓨터 시스템에 수신되면 상기 차단 정책에 따라 뮤텍스, 이벤트, 세마포어, 및 특정 레지스트리 중 적어도 하나 이상의 자원을 미리 선점하는 자원 선점 모듈을 포함하여 구성되며,And a resource preemption module for preempting at least one of a mutex, an event, a semaphore, and a specific registry according to the blocking policy when the blocking policy is received by the computer system.

상기 네트워크 차단 모듈은 상기 네트워크의 IP 주소, 접근 포트 번호,프로토콜 중 적어도 하나를 차단함으로써 상기 네트워크로의 접근을 차단하는 것을 특징으로 한다. The network blocking module may block access to the network by blocking at least one of an IP address, an access port number, and a protocol of the network.

상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 악성 코드 차단 시스템은,Malware blocking system according to a third aspect of the present invention for achieving the above object,

네트워크를 통해 유포되는 악성 코드가 컴퓨터 시스템에 침입하는 방법 또는 침입 후 활동 하는 패턴을 분석하여 상기 악성 코드를 차단하기 위한 차단 정책을 생성하고, 상기 컴퓨터 시스템에 상기 차단 정책을 전송하기 위한 차단 정책 관리 장치; 및Analyze how malicious code spreads through the network invade computer systems or patterns after intrusion to create a blocking policy to block the malicious code, and manage the blocking policy to send the blocking policy to the computer system Device; And

상기 네트워크로 상기 차단 정책 관리 장치에 연결되어 상기 악성 코드가 검출되는 경우 상기 차단 정책 관리 장치로 통보하며, 상기 차단 정책 관리 장치로부터 수신된 차단 정책에 따라 상기 악성 코드를 차단하고, 상기 차단 내역을 로그 파일로 생성하여 상기 차단 정책 관리 장치로 업로드하는 컴퓨터 시스템을 포함한다.When the malicious code is detected by connecting to the blocking policy management device through the network, the blocking policy management device is notified, the malicious code is blocked according to the blocking policy received from the blocking policy management device, and the blocking history is displayed. And a computer system generating a log file and uploading the log policy management device.

따라서 본 발명에 의하면, 악성 코드에 노출된 컴퓨터 시스템에 가해질 피해 범위 및 감염 기간을 최소화 할 수 있다.Therefore, according to the present invention, it is possible to minimize the extent of damage and the duration of infection to be applied to a computer system exposed to malicious code.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, with reference to the accompanying drawings will be described a preferred embodiment of the present invention.

도 1은 본 발명의 일 실시 예에 따른 악성 코드를 차단하기 위한 시스템을 도시한 것이다.1 illustrates a system for blocking malicious code according to an embodiment of the present invention.

도 1을 참조하면, 악성 코드를 차단하기 위한 시스템은, 악성 코드의 활동 특징이 단 몇 개 추출되더라도 관리자에 의해 설정된 최소한의 활동 패턴만으로 우선 차단 정책을 생성 및 배포하며, 지속적으로 악성 코드의 활동 패턴 또는 특징을 발견하여 차단 정책을 보강하는 차단 정책 관리 장치(100); 상기 차단 정책을 각 시스템의 특성에 맞게 적용함으로써 상기 악성 코드를 차단하는 컴퓨터 시스템(200); 상기 차단 정책 관리 장치(100)와 상기 컴퓨터 시스템(200)의 지속적인 정보 교류를 수행하기 위한 네트워크(300); 및 컴퓨터 시스템(200)과 네트워크로 연결된 다수의 컴퓨터 시스템(400)을 포함하여 구성된다.Referring to FIG. 1, a system for blocking malicious code generates and distributes a priority blocking policy with only a minimum activity pattern set by an administrator, even if only a few activity characteristics of the malicious code are extracted. A blocking policy management apparatus 100 for discovering a pattern or feature to reinforce the blocking policy; A computer system 200 for blocking the malicious code by applying the blocking policy according to the characteristics of each system; A network (300) for performing continuous information exchange between the blocking policy management device (100) and the computer system (200); And a plurality of computer systems 400 networked with the computer system 200.

차단 정책 관리 장치(100)는 네트워크 상에서 검출된 악성 코드가 컴퓨터 시스템에 침입하는 경로, 침입하는 방법, 상기 컴퓨터 시스템에 침입한 악성 코드가 활동하는 패턴을 분석하여 차단 정책을 생성한다.The blocking policy management apparatus 100 generates a blocking policy by analyzing a path in which malicious code detected on a network invades a computer system, an invading method, and a pattern in which malicious code invades the computer system.

부언하면, 상기 악성 코드가 시스템에 접근할 때 사용하는 IP, 포트번호, 네트워크 프로토콜 방법, 진입/진출(IN/OUT) 종류, 상기 악성 코드와 관련된 프로그램의 이름 또는 파일명, 이메일인 경우 이메일의 제목, 본문의 내용, 및 이메일에 첨부된 파일, 상기 악성 코드가 사용하는 폴더, 레지스트리, 뮤텍스(Mutex), 세마포어, 및 상기 악성 코드로 인하여 발생하는 이벤트 정보 등을 검출함으로써 상기 악성 코드가 활동하는 패턴을 알 수 있다. 따라서, 상기 차단 정책 관리 장치(100)는 상기 악성 코드의 침입 경로, 침입 방법, 및 상기 악성 코드의 활동 패턴 중 적어도 하나 이상이 검출되면 검출된 정보를 기반으로 차단 정책을 생성한다. 이 때, 상기 차단 정책 관리 장치(100)는 상기 악성 코드에 대한 예상 백신 프로그램 이름, 및 버전 정보를 포함하여 차단 정책을 생성한다.In other words, IP, port number, network protocol method, type of IN / OUT used by the malicious code to access the system, name or file name of the program related to the malicious code, email subject in case of email , The contents of the body, and files attached to an email, a folder used by the malicious code, a registry, a mutex, a semaphore, and event information generated by the malicious code, thereby detecting a pattern in which the malicious code operates. It can be seen. Therefore, the blocking policy management apparatus 100 generates a blocking policy based on the detected information when at least one or more of an intrusion path of the malicious code, an intrusion method, and an activity pattern of the malicious code are detected. At this time, the blocking policy management device 100 generates a blocking policy including the anticipated antivirus program name and version information for the malicious code.

상기 차단 정책 관리 장치(100)는 상기 악성 코드에 대한 정보가 업 그레이드될 때마다 주기적으로, 바람직하게는 실시간으로 상기 차단 정책을 보완 또는 삭제 함으로써 상기 차단 정책을 업 그레이드 한다. The blocking policy management apparatus 100 upgrades the blocking policy by periodically supplementing or deleting the blocking policy periodically, preferably in real time, whenever the information on the malicious code is upgraded.

뿐만 아니라, 상기 차단 정책 관리 장치(100)는 악성 코드를 차단하고자 하는 컴퓨터 시스템(200)으로 상기 차단 정책을 전송한다. 부언하면, 상기 차단 정책 관리 장치(100)는 상기 차단 정책이 업 그레이드될 때마다 지속적으로 상기 컴퓨터 시스템(200)으로 배포하며, 상기 악성 코드에 상응하는 백신 프로그램이 생성되면 상기 차단 정책을 삭제하고 상기 백신 프로그램을 다운로드하거나, 또는 상기 차단 정책을 패치함으로써 취약한 부분을 보강하고, 상기 악성 코드의 활동이 중단되면 상기 악성 코드에 따른 차단 정책을 삭제하여 상기 악성 코드의 차단을 중지하도록 한다.In addition, the blocking policy management apparatus 100 transmits the blocking policy to the computer system 200 to block malicious code. In other words, the blocking policy management apparatus 100 continuously distributes the blocking policy to the computer system 200 whenever the blocking policy is upgraded, and deletes the blocking policy when an antivirus program corresponding to the malicious code is generated. By downloading the vaccine program or by patching the blocking policy, the vulnerable part is reinforced, and when the activity of the malicious code is stopped, the blocking policy according to the malicious code is deleted to stop the blocking of the malicious code.

컴퓨터 시스템(200)은 네트워크(300)로 상기 차단 정책 관리 장치(100)와 연결되어 데이터를 송수신하며, 상기 컴퓨터 시스템(200)이 다수의 컴퓨터 시스템과 연결되며 상기 타 컴퓨터 시스템이 상기 차단 정책을 요청하는 경우 상기 차단 정책을 배포하는 것이 가능하다.The computer system 200 is connected to the blocking policy management apparatus 100 through a network 300 to transmit and receive data, the computer system 200 is connected to a plurality of computer systems, and the other computer system applies the blocking policy. It is possible to distribute the blocking policy on request.

상기 컴퓨터 시스템(200)은 침입하는 악성 코드를 검출하기 위한 검출부(210), 상기 차단 정책 관리 장치(100)로부터 수신되는 차단 정책 중 자신의 시스템에 적합한 차단 정책 만을 선택하는 차단 정책 선택부(230), 상기 차단 정책에 따라 상기 악성 코드를 차단하기 위한 실행부(250), 백업/복구부(260), 로그 파일 관리부(270), 및 전송부(280)를 포함하여 구성된다.The computer system 200 may include a detection unit 210 for detecting invasive malicious code and a blocking policy selection unit 230 for selecting only a blocking policy suitable for its own system from among blocking policies received from the blocking policy management device 100. ), An execution unit 250 for blocking the malicious code according to the blocking policy, a backup / recovery unit 260, a log file management unit 270, and a transmission unit 280.

상기 악성 코드를 차단하기 위한 실행부(250)는 차단하는 대상을 악성코드 차단에 중점을 두어 상기 컴퓨터 시스템(200)이 정상 운영 되도록 상기 컴퓨터 시스템(200)의 자원 변경을 최소화해야 한다.The execution unit 250 for blocking the malicious code should minimize the change of resources of the computer system 200 so that the computer system 200 operates normally by focusing on blocking the malicious code.

로그 파일 관리부(270)는 상기 악성 코드가 상기 컴퓨터 시스템(200)에 침입하는 방법 및 경로, 또는 상기 컴퓨터 시스템(200)에 침입한 후 활동하는 패턴에 따라 적용된 차단 정책, 상기 차단 정책을 수행하기 위한 다수의 차단 모듈, 및 상기 악성 코드를 차단한 결과를 실시간으로 수집 및 분석하여 그 결과를 로그 파일로 생성하여 관리한다. 또한, 상기 로그 파일 관리부(270)는 상기 생성된 로그 파일을 주기적으로, 바람직하게는 실시간으로 상기 차단 정책 관리 장치(100)로 전송하여 상기 차단 정책 관리 장치(100)가 상기 로그 파일로부터 상기 악성 코드의 활동 패턴을 검출하고 검출된 활동 패턴을 상기 차단 정책에 반영한다.The log file manager 270 may perform a blocking policy applied according to a method and a path in which the malicious code invades the computer system 200, or a pattern activated after invading the computer system 200, and the blocking policy. A plurality of blocking modules for collecting and analyzing the results of blocking the malicious code in real time to generate and manage the results in a log file. In addition, the log file management unit 270 periodically transmits the generated log file to the blocking policy management device 100 in real time, preferably in real time, so that the blocking policy management device 100 may transmit the malicious file from the log file. The activity pattern of the code is detected and the detected activity pattern is reflected in the blocking policy.

백업/복구부(260)는 상기 실행부(250)에서 악성 코드를 차단하는 도중에 불필요한 차단으로 인하여 특정 파일이나 레지스트리의 정보가 삭제되는 경우, 상기 특정 파일 또는 레지스트리의 정보를 복구하는 기능을 수행한다.The backup / recovery unit 260 performs a function of recovering the information of the specific file or registry when the information of the specific file or the registry is deleted due to unnecessary blocking while blocking the malicious code in the execution unit 250. .

뿐만 아니라, 상기 백업/복구부(260)는 악성 코드로 의심되는 파일 또는 레지스트리를 삭제하기 전에 백업하고 삭제 후에는 관리자의 선택에 따라 임의 복구하는 기능을 수행한다.In addition, the backup / recovery unit 260 performs a function of backing up a file or registry suspected of malicious code before deleting and randomly recovering the file after deleting the file.

도 2는 본 발명의 일 실시 예에 따른 악성 코드를 차단하기 위한 악성 코드 차단 장치의 내부 블록도이다.2 is an internal block diagram of a malicious code blocking device for blocking malicious code according to an embodiment of the present invention.

도 2를 참조하면, 악성 코드 차단 장치(500)는 네트워크(300)와 연결 가능한 컴퓨터, 노트북 등의 단말기 또는 다수의 단말기와 연결된 특정 서버로써, 검출된 악성 코드에 대한 차단을 실행한다.Referring to FIG. 2, the malicious code blocking apparatus 500 is a specific server connected to a terminal, such as a computer, a laptop, or a plurality of terminals that can be connected to the network 300, and performs blocking of the detected malicious code.

상기 악성 코드 차단 장치(500)는 악성 코드에 대한 차단 정책을 관리하는 정책 관리부(530), 상기 차단 정책에 따라 상기 악성 코드를 차단하기 위한 차단/선점 실행부(540), 상기 악성 코드의 활동 패턴 및/또는 상기 악성 코드의 차단 내역을 기록하기 위한 로그 파일 관리부(570), 및 백업/복구부(560)를 포함하여 구성된다. The malicious code blocking device 500 includes a policy management unit 530 for managing a blocking policy for malicious code, a blocking / preemption execution unit 540 for blocking the malicious code according to the blocking policy, and activity of the malicious code. And a log file manager 570 and a backup / recovery unit 560 for recording patterns and / or blocking details of the malicious code.

바람직하게는, 상기 악성 코드 차단 장치(500)는 악성 코드 검출부(510), 악성 코드 분석부(520), 및 표시부(550)를 더 포함하여 구성된다.Preferably, the malicious code blocking device 500 further includes a malicious code detector 510, a malicious code analyzer 520, and a display unit 550.

악성 코드 검출부(510)는 네트워크를 통해 컴퓨터 시스템인 악성 코드 차단 장치(500)로 진입하는 프로그램이 컴퓨터 시스템에 악영향을 주는 경우 상기 프로그램을 악성 코드로 분류한다.The malicious code detection unit 510 classifies the program as malicious code when a program entering the malicious code blocking device 500 that is a computer system through the network adversely affects the computer system.

악성 코드 분석부(520)는 상기 악성 코드 검출부(510)에서 검출된 악성 코드 가 상기 컴퓨터 시스템에 침입하는 방법, 침입 경로, 상기 악성 코드가 컴퓨터 시스템 내에서 활동하는 패턴을 분석한다. 또한, 로그 파일 관리부(570)로부터 로그 파일이 수신되는 경우에는 상기 로그 파일을 분석하여 상기 악성 코드의 새로운 활동 패턴이 존재하는지 여부를 판단한다.The malicious code analyzer 520 analyzes a method of injecting the malicious code detected by the malicious code detector 510 into the computer system, an intrusion path, and a pattern in which the malicious code operates in the computer system. In addition, when a log file is received from the log file manager 570, the log file is analyzed to determine whether a new activity pattern of the malicious code exists.

정책 관리부(530)는 상기 악성 코드에 상응하는 차단 정책을 외부 단말기로부터 수신하여 관리하거나 또는 상기 악성 코드 분석부(520)에서 분석된 결과를 토대로 차단 정책을 생성한다. The policy manager 530 receives and manages a blocking policy corresponding to the malicious code from an external terminal or generates a blocking policy based on a result analyzed by the malicious code analyzer 520.

차단/선점 실행부(540)는 네트워크 차단 모듈(541), 이메일 차단 모듈(543), 파일/폴더 차단 모듈(545), 레지스트리 차단 모듈(547), 및 자원 선점 모듈(549) 중 적어도 하나 이상을 포함하여 구성된다.The blocking / preemption execution unit 540 may include at least one of a network blocking module 541, an email blocking module 543, a file / folder blocking module 545, a registry blocking module 547, and a resource preemption module 549. It is configured to include.

네트워크 차단 모듈(541)은 네트워크를 통하여 악성 코드 차단 장치(500)인 컴퓨터 시스템으로 진입하는 프로그램으로 인하여 상기 차단 정책에서 설정한 이벤트가 발생되는 경우, 상기 차단 정책에 따라 접근 포트 번호, 네트워크 상의 IP 주소, TCP/UDP로 표현되는 프로토콜 등을 차단함으로써 상기 컴퓨터 시스템이 네트워크로 접근하는 것을 차단시키며 그 결과를 상기 로그 파일 관리 모듈(570)로 전송한다.When the event set in the blocking policy is generated due to a program entering the computer system that is the malicious code blocking device 500 through the network, the network blocking module 541 accesses the access port number and the IP on the network according to the blocking policy. Blocking the computer system from accessing the network by blocking an address, a protocol represented by TCP / UDP, etc., and transmits the result to the log file management module 570.

이메일 차단 모듈(543)은 상기 차단 정책에 따라 이메일을 전송하는 메일 서버로 상기 이메일이 수신자의 컴퓨터 시스템으로 전송되기 전 상기 이메일 차단 모듈(543)로 먼저 전송되도록 요청한다. 상기 이메일 차단 모듈(543)은 중간에서 가로챈 상기 이메일의 정보를 분석하여 악성 코드가 발견된 경우 경고 메일을 생성하 고 상기 이메일을 실행되지 않는 파일로 생성하여 상기 경고 메일에 첨부하여 상기 수신자의 컴퓨터 시스템으로 전송한다. The email blocking module 543 requests the mail server that sends the email in accordance with the blocking policy so that the email is first sent to the email blocking module 543 before being sent to the recipient's computer system. The email blocking module 543 analyzes the information of the email intercepted in the middle, and generates a warning mail when a malicious code is found, and generates the email as a file that is not executed and attaches the warning mail to the recipient. Transfer to computer system.

파일/폴더 차단 모듈(545)은 상기 차단 정책에서 정의된 특정 파일 또는 특정 폴더로 접근하거나 특정 파일 또는 특정 폴더를 생성 또는 수정하려는 프로그램, 프로세스, 또는 파일에 대하여 상기 특정 파일 또는 특정 폴더로의 접근을 차단하거나, 상기 특정 폴더의 공유를 해지, 또는 악성 코드로 분류되는 상기 프로그램, 프로세스, 또는 파일 자체를 삭제함으로써 상기 악성 코드를 차단하며, 그 결과를 상기 로그 파일 관리 모듈(570)로 전송한다. The file / folder blocking module 545 accesses the specific file or the specific folder for a program, a process, or a file to access the specific file or the specific folder defined in the blocking policy or to create or modify the specific file or the specific folder. Blocking the malicious code, terminating sharing of the specific folder, or deleting the program, process, or file itself classified as malicious code, and transmitting the result to the log file management module 570. .

레지스트리 차단 모듈(547)은 상기 차단 정책에서 정의된 레지스트리(Registry)에 접근하거나 상기 레지스트리를 생성 또는 수정하려는 악성 코드에 대하여 상기 악성 코드가 상기 레지스트리에 접근하는 것을 차단하거나, 상기 레지스트리를 생성 또는 수정하려는 행위를 차단한다. 또는 상기 레지스트리 차단 모듈(547)은 상기 레지스트리를 직접 차단함으로써 상기 악성 코드의 활동을 차단하며, 상술한 일련의 차단 결과를 상기 로그 파일 관리 모듈(570)로 전송한다.The registry blocking module 547 blocks the malicious code from accessing the registry or creates or modifies the registry for malicious code that attempts to access or create or modify the registry defined in the blocking policy. Block what you are trying to do. Alternatively, the registry blocking module 547 blocks the activity of the malicious code by directly blocking the registry, and transmits the above-described series of blocking results to the log file management module 570.

자원 선점 모듈(549)은 악성 코드가 시스템 내부에서 활동하기 위하여 필요한 자원을 미리 선점함으로써 상기 악성 코드가 시스템에서 활동하는 것을 차단한다. 상기 자원 선점 모듈(549)은 상기 차단 정책이 컴퓨터 시스템으로 제공되면, 뮤텍스(Mutex), 이벤트, 세마포어(Semaphore), 특정 레지스트리 등의 자원 중 상기 악성 코드가 사용하는 자원을 미리 선점하여 상기 악성 코드가 정상적인 활동을 하는 것을 차단한다. 예컨대, 상기 자원 선점 모듈(549)은 상기 악성 코드가 컴퓨터 시스템 내에서 이미 활동하고 있다고 판단하도록 상기 자원을 미리 사용하므로, 상기 악성 코드는 상기 컴퓨터 시스템 내에서의 활동을 방해 받는다.The resource preemption module 549 blocks the malicious code from operating in the system by preempting the resources necessary for the malicious code to operate inside the system. When the blocking policy is provided to a computer system, the resource preemption module 549 preempts a resource used by the malicious code among resources such as a mutex, an event, a semaphore, and a specific registry to preempt the malicious code. Block normal activity. For example, the resource preemption module 549 uses the resource in advance to determine that the malicious code is already active in the computer system, so that the malicious code is interrupted from activity in the computer system.

상술한 바와 같이 구성된 본 발명의 작동 상태에 대하여 설명한다.The operating state of the present invention configured as described above will be described.

도 3은 본 발명의 일 실시 예에 따른 악성 코드 차단 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a malicious code blocking method according to an embodiment of the present invention.

악성 코드가 생성 및 배포되어 상기 악성 코드에 의한 이상 현상이 컴퓨터 시스템(200)에서 발견되면 상기 이상 현상이 일정한 활동 패턴을 보이는 악성 코드임을 판단한다. 상기 판단 결과 상기 악성 코드로 판단되면 상기 악성 코드가 컴퓨터 시스템으로 진입하는 방법 또는 진입 경로, 상기 악성 코드가 활동하기 위한 프로세스 이름, 이메일 정보, 사용하는 파일 및 폴더, 사용하는 뮤텍스, 이벤트 등 여러 가지 요소들을 검토함으로써 상기 악성 코드에 대한 분석을 실시한다(S300).When the malicious code is generated and distributed and an abnormality caused by the malicious code is found in the computer system 200, it is determined that the abnormality is malicious code having a certain activity pattern. If it is determined that the malicious code is the malicious code, various methods such as the method or entry path of the malicious code into the computer system, a process name for the malicious code to operate, email information, a file and folder to be used, a mutex to use, an event, etc. The malicious code is analyzed by examining the elements (S300).

상기 단계 S300의 분석 결과를 기반으로 차단 대상에 대한 정보, 차단하기 위한 방법, 상기 악성 코드에 상응하는 백신 프로그램에 대한 정보 등을 포함한 차단 정책을 생성하여 등록한다(S310).Based on the analysis result of step S300, a blocking policy including information on a blocking target, a method for blocking, and information on a vaccine program corresponding to the malicious code is generated and registered (S310).

생성된 차단 정책은 악성 코드를 차단해야 되는 단말기, 즉 컴퓨터, 노트북, 등의 컴퓨터 시스템으로 전송된다(S320). The generated blocking policy is transmitted to a computer system, such as a computer, a notebook, and the like, which should block malicious code (S320).

또한, 상기 차단 정책은 상기 단계 S300의 분석 결과가 업 그레이드 되면 실시간으로 업 그레이드 되며, 상기 컴퓨터 시스템(200)은 주기적으로 또는 실시간으로 상기 차단 정책을 생성 및 관리하는 차단 정책 관리 서버(100)에 접속하여 상기 업 그레이드 된 차단 정책을 다운로드 받는다.In addition, the blocking policy is upgraded in real time when the analysis result of step S300 is upgraded, the computer system 200 to the blocking policy management server 100 to generate and manage the blocking policy periodically or in real time. Connect to download the upgraded blocking policy.

상기 컴퓨터 시스템(200)은 상기 수신된 차단 정책 중 상기 시스템에 적용할 차단 정책을 선택하며, 상기 컴퓨터 시스템(200)이 상기 차단 정책 관리 서버(100)에 접속하여 업 그레이드 된 차단 정책을 다운로드 받을 때에도 상기 선택된 차단 정책 만을 선별하여 다운로드 받는 것이 가능하다(S330).The computer system 200 selects a blocking policy to be applied to the system among the received blocking policies, and the computer system 200 accesses the blocking policy management server 100 to download an upgraded blocking policy. Even when it is possible to select and download only the selected blocking policy (S330).

상기 컴퓨터 시스템(200)은 상기 차단 정책을 이용하여 상기 악성 코드의 침입을 방지하거나 상기 악성 코드의 활동을 차단한다(S340).The computer system 200 prevents the intrusion of the malicious code or blocks the activity of the malicious code by using the blocking policy (S340).

뿐만 아니라, 상기 컴퓨터 시스템(200)은 선택된 차단 정책, 상기 차단 정책에 의한 차단 활동, 상기 악성 코드의 활동 패턴 등을 취합 정리하여 로그 파일로 생성하고 상기 차단 정책 관리 서버(100)로 업로드한다(S350).In addition, the computer system 200 collects and organizes the selected blocking policy, the blocking activity by the blocking policy, the activity pattern of the malicious code, and generates a log file and uploads it to the blocking policy management server 100 ( S350).

상기 차단 정책 관리 서버(100)는 상기 로그 파일을 분석하여 상기 차단 정책을 업 그레이드 하며, 업 그레이드된 차단 정책을 상기 컴퓨터 시스템(200)으로 전송한다(S360).The blocking policy management server 100 analyzes the log file to upgrade the blocking policy and transmits the upgraded blocking policy to the computer system 200 (S360).

상기 차단 정책은 상기 로그 파일로부터 상기 차단 정책의 내용이 추가 보완되면서 상기 차단 정책의 범위 및 정확도가 높아져 간다. 상기 차단 정책은 상기 악성 코드에 상응하는 백신 프로그램이 생성 및 배포되거나 또는 상기 악성 코드의 활동이 없어졌음이 판단되는 시점까지 지속적으로 업 그레이드 된다. 따라서, 상기 컴퓨터 시스템(200)은 상기 백신 프로그램이 생성되어 다운 받으면 상기 차단 정책의 이용을 중지하거나 또는 상기 차단 정책 자체를 삭제한다(S370, S380).The blocking policy is further supplemented with the contents of the blocking policy from the log file, thereby increasing the scope and accuracy of the blocking policy. The blocking policy is continuously upgraded until a vaccine program corresponding to the malicious code is generated and distributed or it is determined that activity of the malicious code is lost. Therefore, when the vaccine program is generated and downloaded, the computer system 200 stops using the blocking policy or deletes the blocking policy itself (S370 and S380).

이상에서 상세히 설명한 바와 같이, 본 발명의 악성 코드 차단 방법 및 장치 및 그 시스템에 의하면, 악성 코드의 유포 과정에서 발견되는 특이한 활동 패턴이 수집되는 시점과 거의 동시에 활동 패턴에 따른 차단 정책이 생성 및 적용되어 아직 백신 프로그램이 만들어지지 않은 시점에 악성 코드에 노출된 컴퓨터 시스템이 훼손되는 것을 최소화하는 장점이 있다. As described in detail above, according to the malicious code blocking method and apparatus and system of the present invention, the blocking policy according to the activity pattern is generated and applied almost simultaneously with the time when the unique activity pattern found in the process of distributing the malicious code is collected. Therefore, there is an advantage of minimizing the damage to the computer system exposed to malicious code when the anti-virus program is not yet made.

또한, 악성 코드를 사전에 차단함으로써 악성 코드 감염 후 백신에 의해 치료가 불가능한 경우 불가피하게 지불해야 하는 복구 비용의 수도 현격히 줄여주는 효과가 있다.In addition, by blocking the malicious code in advance, it is possible to significantly reduce the number of repair costs inevitably paid if the vaccine cannot be treated after the malware is infected.

게다가, 사전 차단의 대상이 악성 코드와 악성 코드의 행위에 초점이 맞춰져 있으므로 컴퓨터 시스템 자원이 왜곡 및 변경되는 경우가 적어 시스템 자원 변경으로 인한 피해가 최소화된다.In addition, the pre-blocking target is focused on the malicious code and the behavior of the malicious code, so that computer system resources are less distorted and changed, thereby minimizing damage caused by system resource changes.

뿐만 아니라, 관리자에 의해 시스템에 필요한 차단 정책을 선택하여 적용할 수 있으며, 시스템 자원 상의 한계로 인해 최신 악성 코드의 백신 프로그램을 적용 받지 못하는 시스템에서도 신속하게 차단하여 악성 코드에 의한 피해를 최소화 할 수 있다.In addition, the administrator can select and apply the blocking policy required for the system, and can minimize the damage caused by malicious code by quickly blocking even the system that is not applied with the latest malicious code vaccine program due to the limitation of system resources. have.

부가적으로, 악성 코드로 인해 감염되거나 악성코드로 의심되는 이메일을 삭제하거나 원본 이메일의 일부를 변경하는 기존의 방식과는 달리, 경고 문구를 포함하는 이메일을 작성하고 거기에 원본 이메일을 첨부하여 수신자에게 전달함으로써 원본 이메일을 원천적으로 차단함으로 인한 불편은 최소화하면서 이메일을 통한 악성코드 차단의 효과를 얻는다.In addition, unlike traditional methods of deleting or suspiciously modifying emails that are infected or suspected of being malicious code, create an email that includes a warning phrase and attach the original email to it. By passing on the original email, the original email block is minimized.

지금까지 본 발명을 바람직한 실시예를 참조하여 상세히 설명하였지만,본 발 명이 상기한 실시예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.Although the present invention has been described in detail with reference to preferred embodiments, the present invention is not limited to the above-described embodiment, and the technical field to which the present invention belongs without departing from the gist of the present invention as claimed in the following claims. Anyone skilled in the art will have the technical idea of the present invention to the extent that various modifications or changes are possible.

Claims (21)

A) 네트워크를 통해 유포되는 악성 코드를 검출하여 상기 악성 코드를 분석하는 단계;A) analyzing the malicious code by detecting malicious code spread over the network; B) 상기 분석된 결과를 기반으로 상기 악성 코드를 차단하기 위한 차단 정책을 생성하는 단계;B) creating a blocking policy for blocking the malicious code based on the analyzed result; C) 상기 차단 정책을 네트워크를 통해 컴퓨터 시스템으로 전송하는 단계; 및C) sending the blocking policy to a computer system via a network; And D) 상기 악성 코드에 대한 백신 프로그램이 생성된 경우 상기 차단 정책을 상기 백신 프로그램으로 대체하는 단계를 포함하는 것을 특징으로 하는 악성 코드 차단 방법.D) replacing the blocking policy with the vaccine program when the vaccine program for the malicious code is generated. 제 1 항에 있어서, 상기 단계 A)에서,The method of claim 1, wherein in step A), 상기 악성 코드가 컴퓨터 시스템에 침입하는 방법, 또는 상기 시스템에 침입 후 활동 패턴을 분석하는 것을 특징으로 하는 악성 코드 차단 방법.The malicious code blocking method, characterized in that the malicious code invades the computer system, or analyzing the activity pattern after the intrusion into the system. 제 2 항에 있어서, 상기 악성 코드의 활동 패턴은,The method of claim 2, wherein the activity pattern of the malicious code, 상기 악성 코드가 시스템에 접근할 때 사용하는 IP, 포트번호, 네트워크 프로토콜 방법, 진입/진출(IN/OUT) 종류, 상기 악성 코드가 사용하는 폴더 및 파일 이름, 상기 악성 코드를 구동하기 위한 프로세스 이름, 레지스트리, 뮤텍스(Mutex), 세마포어(Semaphore), 및 이벤트 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 악성 코드 차단 방법.IP, port number, network protocol method, type of IN / OUT used by the malicious code to access the system, folder and file name used by the malicious code, process name to run the malicious code And at least one of a registry, a mutex, a semaphore, and event information. 제 2 항 또는 제 3 항에 있어서, 상기 단계 B)에서 생성되는 차단 정책은,According to claim 2 or 3, wherein the blocking policy generated in step B), B-a) 상기 악성 코드의 침입 방법에 따라 상기 악성 코드가 상기 컴퓨터 시스템에 침입하지 못하도록 차단하는 정책; 및B-a) a policy for blocking the malicious code from invading the computer system according to the malicious code intrusion method; And B-b) 상기 컴퓨터 시스템에 상기 악성 코드가 침입 된 경우, 상기 악성 코드의 활동 패턴을 차단하는 정책을 포함하는 것을 특징으로 하는 악성 코드 차단 방법.B-b) The malicious code blocking method comprising the policy of blocking the activity pattern of the malicious code, when the malicious code is invaded into the computer system. 제 4 항에 있어서, 상기 차단 정책은,The method of claim 4, wherein the blocking policy, B-c) 상기 컴퓨터 시스템에 침입 된 상기 악성 코드를 삭제하는 정책을 더 포함하는 것을 특징으로 하는 악성 코드 차단 방법.B-c) further comprises a policy for deleting the malicious code invaded the computer system. 제 4 항에 있어서, 상기 단계 B)는,The method of claim 4, wherein step B) B-1) 상기 단계 A)에서 새로운 분석 결과가 도출되는 경우, 상기 분석 결과를 반영한 차단 정책을 생성하는 단계를 더 포함하며,B-1) if a new analysis result is derived in step A), further comprising the step of generating a blocking policy reflecting the analysis result, 업 그레이드 된 상기 차단 정책은 상기 네트워크를 통해 상기 단말기로 전송되는 것을 특징으로 하는 악성 코드 차단 방법.The upgraded blocking policy is transmitted to the terminal through the network. 제 1 항에 있어서, 상기 방법은,The method of claim 1, wherein the method is E) 상기 컴퓨터 시스템이 차단하고자 하는 악성 코드에 상응하는 차단 정책을 수신하여 상기 컴퓨터 시스템에 적용할 차단 정책을 선택하는 단계;E) receiving a blocking policy corresponding to malicious code to be blocked by the computer system and selecting a blocking policy to be applied to the computer system; F) 상기 컴퓨터 시스템이 상기 선택된 차단 정책에 따라 소정의 이벤트가 발생된 경우, 상기 악성 코드의 침입을 차단하거나, 또는 상기 차단 정책을 수신한 후 상기 악성 코드가 사용할 자원을 선점함으로써 상기 악성 코드의 활성을 차단하는 단계; 및F) When a predetermined event occurs according to the selected blocking policy, the computer system blocks the intrusion of the malicious code or preempts a resource to be used by the malicious code after receiving the blocking policy. Blocking activity; And G) 상기 컴퓨터 시스템이 상기 선택된 차단 정책, 및 그에 따른 상기 악성 코드 차단 내역을 로그 파일로 생성하여 저장하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드 차단 방법.G) the computer system further comprises the step of generating and storing the selected blocking policy, and accordingly the malicious code blocking history as a log file. 제 7 항에 있어서, 상기 방법은,The method of claim 7, wherein the method is H) 상기 컴퓨터 시스템으로부터 상기 네트워크를 이용하여 상기 로그 파일을 주기적으로 업 로드(Up-load)되는 단계; 및H) periodically uploading the log file from the computer system using the network; And I) 상기 로그 파일을 상기 악성 코드 분석 결과와 비교하여 상기 차단 정책을 보정 또는 삭제하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드 차단 방법.I) further comprising the step of correcting or deleting the blocking policy by comparing the log file with the analysis result of the malicious code. 제 7 항 또는 제 8 항에 있어서, 상기 단계 F)는,The method according to claim 7 or 8, wherein step F) F-a) 상기 차단 정책에 따른 소정의 이벤트가 발생되는 경우, 상기 컴퓨터 시스템이 상기 네트워크로 접근하는 것을 차단하는 단계를 더 포함하는 것을 특징 으로 하는 악성 코드 차단 방법.F-a) When the predetermined event occurs according to the blocking policy, further comprising the step of blocking the computer system access to the network. 제 9 항에 있어서, 상기 단계 F)는,The method of claim 9, wherein step F) F-1) 상기 네트워크를 통하여 전달되는 이메일을 검색하여 악성 코드가 포함되어 있는 경우 경고성 메일을 생성하는 단계; 및F-1) searching for the e-mail delivered through the network and generating an alert e-mail when malicious code is included; And F-2) 상기 이메일을 실행되지 않는 파일로 만들어 상기 경고성 메일에 첨부하여 수신자의 컴퓨터 시스템으로 전송하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드 차단 방법.F-2) further comprising the step of making the e-mail into an inoperative file and attaching the e-mail to the recipient's computer system. 제 10 항에 있어서, 상기 방법은,The method of claim 10, wherein the method is 상기 컴퓨터 시스템이 상기 차단 정책에 의해 상기 악성 코드가 활동을 위해 사용하는 소정의 파일 또는 폴더로 접근하는 것을 방지, 상기 파일 또는 폴더의 공유를 해지, 및 삭제하는 것 중 하나를 선택하여 수행하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드 차단 방법.Preventing the computer system from accessing a predetermined file or folder that the malicious code uses for activity by the blocking policy, selecting one of the file system and the folder to terminate sharing, and deleting the file. Malware blocking method further comprising a. 제 10 항에 있어서, 상기 방법은,The method of claim 10, wherein the method is 상기 컴퓨터 시스템이 상기 차단 정책에 의해 상기 악성 코드가 활동을 위해 사용하는 소정의 레지스트리로 접근하는 것을 차단, 상기 레지스트리를 생성하거나 수정하는 것을 차단, 및 상기 레지스트리를 삭제하는 것 중 적어도 하나 이상을 선택하여 수행하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드 차단 방법.Select at least one or more of the computer system to block access to a predetermined registry that the malicious code uses for activity, block creation or modification of the registry, and delete the registry according to the blocking policy. Malicious code blocking method comprising the step of performing further. 제 7 항 또는 제 8 항에 있어서, 상기 악성 코드가 사용할 자원을 선점하는 것은,The method of claim 7 or 8, wherein preempting a resource to be used by the malicious code comprises: 상기 컴퓨터 시스템이 상기 차단 정책에 의해 상기 악성 코드가 활동을 위해 이용하는 뮤텍스(Mutex), 이벤트, 세마포어, 및 특정 레지스트리의 자원 중 적어도 하나 이상을 미리 선점함으로써 수행되는 것을 특징으로 하는 악성 코드 차단 방법.And wherein the computer system preempts at least one or more of a mutex, an event, a semaphore, and a resource of a specific registry that the malicious code uses for activity by the blocking policy. 네트워크를 통해 컴퓨터 시스템으로 들어오는 프로그램에 대하여 악성 코드 차단 정책에서 설정된 이벤트가 발생하는 경우, 상기 프로그램의 진입을 차단하거나, 또는 상기 컴퓨터 시스템이 상기 네트워크로 접근하는 것을 차단시키는 네트워크 차단 모듈; 및A network blocking module that blocks an entry of the program or blocks the computer system from accessing the network when an event set in a malicious code blocking policy occurs for a program entering a computer system through a network; And 상기 차단 정책이 상기 컴퓨터 시스템에 수신되면 상기 차단 정책에 따라 뮤텍스, 이벤트, 세마포어, 및 특정 레지스트리 중 적어도 하나 이상의 자원을 미리 선점하는 자원 선점 모듈을 포함하여 구성되며,And a resource preemption module for preempting at least one of a mutex, an event, a semaphore, and a specific registry according to the blocking policy when the blocking policy is received by the computer system. 상기 네트워크 차단 모듈은 상기 네트워크의 IP 주소, 접근 포트 번호,프로토콜 중 적어도 하나를 차단함으로써 상기 네트워크로의 접근을 차단하는 것을 특징으로 하는 악성 코드 차단 장치.The network blocking module may block access to the network by blocking at least one of an IP address, an access port number, and a protocol of the network. 제 14 항에 있어서, 상기 장치는,The method of claim 14, wherein the device, 소정의 파일 또는 폴더에 접근, 수정, 및 생성 중 적어도 하나를 실행하려는 악성 코드가 발견되는 경우, 상기 차단 정책에 따라 상기 악성 코드가 활동하기 위하여 요구되는 상기 파일 또는 폴더에 접근 또는 공유하는 것을 차단하는 파일/폴더 차단 모듈; 및If malicious code is found that attempts to execute at least one of accessing, modifying, and creating a file or folder, the malicious code is blocked from accessing or sharing the file or folder required for activity. File / folder blocking module; And 소정의 레지스트리에 접근, 수정, 및 생성 중 적어도 하나를 실행하려는 악성 코드가 발견되는 경우, 상기 차단 정책에 따라 상기 악성 코드가 활동하기 위하여 요구되는 레지스트리에 접근, 수정, 및 생성을 차단하거나 상기 레지스트리를 삭제하는 레지스트리 차단 모듈을 더 포함하는 것을 특징으로 하는 악성 코드 차단 장치.If malicious code is found that attempts to execute at least one of accessing, modifying, and creating a registry, the registry may block access to, modify, and create a registry required for the malicious code to operate according to the blocking policy, or block the registry. Malware blocking device further comprises a registry blocking module for deleting the. 제 15 항에 있어서, 상기 장치는,The method of claim 15, wherein the device, 메일 서버로부터 상기 네트워크를 통하여 전달되는 이메일을 분석하여 악성 코드가 발견된 경우, 경고 메시지를 생성하며 선택적으로 상기 이메일을 상기 경고 메시지에 첨부하여 전송하는 이메일 차단 모듈을 포함하여 구성되는 것을 특징으로 하는 악성 코드 차단 장치.And an email blocking module for generating an alert message and selectively attaching the email to the alert message when the malicious code is found by analyzing the email transmitted from the mail server through the network. Malware Blocker. 제 14 항 내지 제 16 항 중 어느 한 항에 있어서, 상기 장치는,17. The apparatus of any one of claims 14 to 16, wherein the device is 상기 네트워크를 통해 유포되는 악성 코드가 컴퓨터 시스템에 침입하는 방법 또는 상기 컴퓨터 시스템에 침입 후 활동 하는 패턴을 분석하는 악성 코드 분석부;A malicious code analyzer configured to analyze a method in which malicious code spreads through the network intrudes into a computer system or a pattern of activity after invading the computer system; 상기 악성 코드 분석부에서 분석된 결과를 기반으로 상기 악성 코드를 차단 하기 위한 차단 정책을 생성하거나, 외부 단말기로부터 상기 차단 정책을 수신하여 저장하는 정책 관리부; 및A policy manager configured to generate a blocking policy for blocking the malicious code based on a result analyzed by the malicious code analyzer or to receive and store the blocking policy from an external terminal; And 상기 컴퓨터 시스템에 침입하는 악성 코드를 상기 차단 정책에 따라 차단한 내역을 기록하며, 상기 악성 코드의 활동 패턴을 분석하기 위해 실시간으로 기록 내역을 상기 악성 코드 분석부 또는 상기 차단 정책을 제공하는 상기 외부 단말기로 전송하는 로그 파일 관리부를 포함하여 구성되는 것을 특징으로 하는 악성 코드 차단 장치.A record of blocking the malicious code invading the computer system according to the blocking policy, and providing the malware analysis unit or the blocking policy with a record history in real time to analyze an activity pattern of the malicious code; Malicious code blocking device comprising a log file management unit for transmitting to the terminal. 네트워크를 통해 유포되는 악성 코드가 컴퓨터 시스템에 침입하는 방법 또는 침입 후 활동 하는 패턴을 분석하여 상기 악성 코드를 차단하기 위한 차단 정책을 생성하고, 상기 컴퓨터 시스템에 상기 차단 정책을 전송하기 위한 차단 정책 관리 장치; 및Analyze how malicious code spreads through the network invade computer systems or patterns after intrusion to create a blocking policy to block the malicious code, and manage the blocking policy to send the blocking policy to the computer system Device; And 상기 네트워크로 상기 차단 정책 관리 장치에 연결되어 상기 악성 코드가 검출되는 경우 상기 차단 정책 관리 장치로 통보하며, 상기 차단 정책 관리 장치로부터 수신된 차단 정책에 따라 상기 악성 코드를 차단하고, 상기 차단 내역을 로그 파일로 생성하여 상기 차단 정책 관리 장치로 업로드하는 컴퓨터 시스템을 포함하여 구성되는 것을 특징으로 하는 악성 코드 차단 시스템.When the malicious code is detected by connecting to the blocking policy management device through the network, the blocking policy management device is notified, the malicious code is blocked according to the blocking policy received from the blocking policy management device, and the blocking history is displayed. And a computer system generating a log file and uploading it to the blocking policy management device. 제 18 항에 있어서, 상기 차단 정책 생성 장치는,The apparatus of claim 18, wherein the blocking policy generating device comprises: 상기 악성 코드가 상기 컴퓨터 시스템에 침입하는 방법 또는 침입 후 활동하 는 패턴을 분석하며, 상기 컴퓨터 시스템에서 업로드되는 로그 파일을 분석하여 상기 악성 코드의 활동 패턴을 추출하는 악성 코드 분석부;A malicious code analysis unit analyzing a method in which the malicious code intrudes into the computer system or a pattern active after the intrusion, and extracting an activity pattern of the malicious code by analyzing a log file uploaded from the computer system; 상기 악성 코드 분석부에서 분석된 결과를 기반으로 상기 악성 코드를 차단하기 위한 차단 정책을 생성하며, 업 그레이드된 상기 분석 결과를 상기 차단 정책에 반영하는 정책 생성부; 및A policy generation unit generating a blocking policy for blocking the malicious code based on the result analyzed by the malicious code analyzing unit, and reflecting the upgraded analysis result in the blocking policy; And 상기 컴퓨터 시스템으로 상기 차단 정책을 전송하고 상기 차단 정책을 실행한 결과를 피드 백(Feedback) 받아 상기 악성 코드 분석부로 전송하는 통신부를 포함하여 구성되는 것을 특징으로 하는 악성 코드 차단 시스템.And a communication unit which transmits the blocking policy to the computer system and receives a result of executing the blocking policy and transmits the result to the malicious code analyzing unit. 제 18 또는 제 19 항에 있어서, 상기 컴퓨터 시스템은,20. The computer system of claim 18 or 19, wherein the computer system comprises: 네트워크를 통해 침입하는 악성 코드를 검출하기 위한 검출부;A detector for detecting malicious code invading through a network; 상기 악성 코드에 대한 차단 정책을 수신하여 실행하기 위한 실행부; 및An execution unit configured to receive and execute a blocking policy for the malicious code; And 상기 컴퓨터 시스템에서 선택된 차단 정책, 및 그에 따른 상기 악성 코드 차단 내역을 로그 파일로 생성하여 상기 차단 정책 생성 장치로 업 로드하며, 상기 네트워크로 연결된 타 컴퓨터 시스템에서 상기 차단 정책을 요청함에 따라 상기 차단 정책을 다운로드하기 위한 전송부를 포함하는 것을 특징으로 하는 악성 코드 차단 시스템.The blocking policy selected by the computer system and the malicious code blocking details are generated as a log file, uploaded to the blocking policy generating device, and the blocking policy is requested by another networked computer system. Malicious code blocking system comprising a transmission unit for downloading. 제 20 항에 있어서, 상기 컴퓨터 시스템은,The computer system of claim 20 wherein the computer system comprises: 상기 차단 정책 중 적어도 하나 이상을 선택하여 관리하는 차단 정책 선택부 를 더 포함하는 것을 특징으로 하는 악성 코드 차단 시스템.And a blocking policy selecting unit configured to select and manage at least one or more of the blocking policies.
KR20050053526A 2005-06-21 2005-06-21 Method and apparatus and system for cutting malicious codes KR100690187B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR20050053526A KR100690187B1 (en) 2005-06-21 2005-06-21 Method and apparatus and system for cutting malicious codes
PCT/KR2006/002318 WO2006137657A1 (en) 2005-06-21 2006-06-16 Method for intercepting malicious code in computer system and system therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20050053526A KR100690187B1 (en) 2005-06-21 2005-06-21 Method and apparatus and system for cutting malicious codes

Publications (2)

Publication Number Publication Date
KR20060133728A true KR20060133728A (en) 2006-12-27
KR100690187B1 KR100690187B1 (en) 2007-03-09

Family

ID=37570641

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20050053526A KR100690187B1 (en) 2005-06-21 2005-06-21 Method and apparatus and system for cutting malicious codes

Country Status (2)

Country Link
KR (1) KR100690187B1 (en)
WO (1) WO2006137657A1 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100922363B1 (en) * 2007-08-31 2009-10-19 고려대학교 산학협력단 Malicious code analysis apparatus and method for cyber threat trend and Recording medium using by the same
KR101043299B1 (en) * 2009-07-21 2011-06-22 (주) 세인트 시큐리티 Method, system and computer readable recording medium for detecting exploit code
KR101138746B1 (en) * 2010-03-05 2012-04-24 주식회사 안철수연구소 Apparatus and method for preventing malicious codes using executive files
WO2012054401A1 (en) * 2010-10-18 2012-04-26 Board Of Regents Of The University Of Texas System Remediation of computer security vulnerabilities
KR101234063B1 (en) * 2010-12-21 2013-02-15 한국인터넷진흥원 Malicious code, the system automatically collects
US8713680B2 (en) 2007-07-10 2014-04-29 Samsung Electronics Co., Ltd. Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program
US10853492B2 (en) 2018-07-22 2020-12-01 Minerva Labs Ltd. Systems and methods for protecting a computing device against malicious code
US11200317B2 (en) 2018-07-22 2021-12-14 Minerva Labs Ltd. Systems and methods for protecting a computing device against malicious code

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7487543B2 (en) * 2002-07-23 2009-02-03 International Business Machines Corporation Method and apparatus for the automatic determination of potentially worm-like behavior of a program
KR101077855B1 (en) 2009-05-19 2011-10-28 주식회사 안철수연구소 Apparatus and method for inspecting a contents and controlling apparatus of malignancy code
CN116132194B (en) * 2023-03-24 2023-06-27 杭州海康威视数字技术股份有限公司 Method, system and device for detecting and defending unknown attack intrusion of embedded equipment

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100333061B1 (en) * 1999-11-23 2002-04-22 오경수 A remote computer anti-virus system and process on the network
KR100401089B1 (en) * 2000-06-29 2003-10-10 시큐아이닷컴 주식회사 Remote anti-virus system and method on the wireless network
JP4088082B2 (en) * 2002-02-15 2008-05-21 株式会社東芝 Apparatus and program for preventing infection by unknown computer virus
JP2004206683A (en) * 2002-12-11 2004-07-22 Nihon Intelligence Corp System management device, method and program, management server system and its control process, insurance method, security program, security management method, computer, and server computer

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8713680B2 (en) 2007-07-10 2014-04-29 Samsung Electronics Co., Ltd. Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program
KR100922363B1 (en) * 2007-08-31 2009-10-19 고려대학교 산학협력단 Malicious code analysis apparatus and method for cyber threat trend and Recording medium using by the same
KR101043299B1 (en) * 2009-07-21 2011-06-22 (주) 세인트 시큐리티 Method, system and computer readable recording medium for detecting exploit code
KR101138746B1 (en) * 2010-03-05 2012-04-24 주식회사 안철수연구소 Apparatus and method for preventing malicious codes using executive files
WO2012054401A1 (en) * 2010-10-18 2012-04-26 Board Of Regents Of The University Of Texas System Remediation of computer security vulnerabilities
US9177154B2 (en) 2010-10-18 2015-11-03 Todd Wolff Remediation of computer security vulnerabilities
KR101234063B1 (en) * 2010-12-21 2013-02-15 한국인터넷진흥원 Malicious code, the system automatically collects
US10853492B2 (en) 2018-07-22 2020-12-01 Minerva Labs Ltd. Systems and methods for protecting a computing device against malicious code
US11200317B2 (en) 2018-07-22 2021-12-14 Minerva Labs Ltd. Systems and methods for protecting a computing device against malicious code

Also Published As

Publication number Publication date
KR100690187B1 (en) 2007-03-09
WO2006137657A1 (en) 2006-12-28

Similar Documents

Publication Publication Date Title
KR100690187B1 (en) Method and apparatus and system for cutting malicious codes
US11936666B1 (en) Risk analyzer for ascertaining a risk of harm to a network and generating alerts regarding the ascertained risk
US9910981B2 (en) Malicious code infection cause-and-effect analysis
US11340890B2 (en) Integrity assurance and rebootless updating during runtime
US9961107B2 (en) System and method for detecting and monitoring persistent events
US10645124B2 (en) System and method for collection of forensic and event data
CN106687971B (en) Automatic code locking to reduce attack surface of software
JP6317434B2 (en) System and method for facilitating malware scanning using reputation indicators
Oberheide et al. CloudAV: N-Version Antivirus in the Network Cloud.
WO2021077987A1 (en) Security vulnerability defense method and device
US7689835B2 (en) Computer program product and computer system for controlling performance of operations within a data processing system or networks
US8341691B2 (en) Policy based selection of remediation
US20070162975A1 (en) Efficient collection of data
EP2946327A1 (en) Systems and methods for identifying and reporting application and file vulnerabilities
Arfeen et al. Endpoint detection & response: A malware identification solution
US8819655B1 (en) Systems and methods for computer program update protection
USRE48043E1 (en) System, method and computer program product for sending unwanted activity information to a central system
US11763004B1 (en) System and method for bootkit detection
US20240086538A1 (en) Computer investigation method and system for investigating authentication in remote host computers
Almadhoor et al. Detecting Malware Infection on Infrastructure Hosted in IaaS Cloud using Cloud Visibility and Forensics

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130227

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140227

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150227

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190227

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20200227

Year of fee payment: 14