KR20080047261A - 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 - Google Patents
프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 Download PDFInfo
- Publication number
- KR20080047261A KR20080047261A KR1020070100391A KR20070100391A KR20080047261A KR 20080047261 A KR20080047261 A KR 20080047261A KR 1020070100391 A KR1020070100391 A KR 1020070100391A KR 20070100391 A KR20070100391 A KR 20070100391A KR 20080047261 A KR20080047261 A KR 20080047261A
- Authority
- KR
- South Korea
- Prior art keywords
- behavior
- module
- malicious
- information
- atypical
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
Claims (8)
- 시스템 내에서 실행되는 실행코드들에 대해 1차적인 악성코드 필터링을 수행하기 위한 DB 필터링 모듈;상기 시스템 내에서 실행되는 실행코드들이 발생시키는 개별 이벤트 정보를 수집하기 위하여 시스템 자원 감시를 수행하기 위한 시스템 자원 모니터 모듈;상기 시스템 자원 모니터 모듈에서 수집된 개별 이벤트 정보를 재가공하여 상기 실행코드들의 연관성 있는 행위 특성값을 나타내는 하나의 통합 로그로 재구성하기 위한 재가공 모듈;상기 재가공 모듈로부터 재구성된 통합 로그를 학습 알고리즘에 입력하여 비정형 악성 행위 특징값(예측 패턴)을 추출하기 위한 행위 예측 정보 가공 모듈; 및상기 행위 예측 정보 가공 모듈에서 추출된 비정형 악성 행위 특징값(예측 패턴)을 상기 재가공 모듈에서 구성되는 행위 특성값 데이터와 비교함으로써 악성 행위를 탐지하는 비정형 악성 행위 탐지 모듈을 포함하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 시스템.
- 제1항에 있어서,상기 시스템 자원 모니터 모듈은 파일 시스템, 프로세스, 레지스트리, 서비스 및 네트워크 항목에 대한 개별 이벤트 정보를 수집하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 시스템.
- 제2항에 있어서,상기 시스템 자원 모니터 모듈은,검출 시간, PID, 경로, 시스템 디렉토리 유무 등의 정보를 추출하는 파일 모니터,패킷 단위별 검출 시간, PID, S/D-IP, Packet length 등의 정보를 추출하는 IM 모니터,프로세스 검출 시간, PID, 쓰레드 개수 등의 정보를 추출하는 프로세스 모니터,검출 시간, PID, 레지스트리 경로, 현재 상태, 사이즈 등의 정보를 검출하는 레지스트리 모니터,TDI 드라이버를 통한 프로세스 단위로 표현되어야할 네트워크 정보-검출시간, PID, 로컬 IP 주소, 원격 IP 주소, 패킷의 평균 길이, 프로토콜, 조각 개수, 전송 크기, 수신 크기 등의 정보-를 추출하는 TDI_P 모니터, 및TDI 드라이버를 통한 세션 단위의 네트워크 정보-검출시간, PID, 로컬 IP 주소, 원격 IP 주소, 프로토콜, 전송 크기, 수신 크기 등의 정보-를 추출하는 TDI_S 모니터를 포함하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 시스템.
- 제1항에 있어서,상기 재가공 모듈은 상기 통합 로그의 재구성시 이벤트 발생 시간을 기준으로 상기 실행코드들의 연관성 있는 행위 특성값 데이터를 하나의 레코드로 구성하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 시스템.
- 시스템 내에서 실행되는 실행코드들에 대해 1차적인 악성코드 필터링을 수행하는 제1 단계;상기 시스템 내에서 실행되는 실행코드들이 발생시키는 개별 이벤트 정보를 수집하기 위하여 시스템 자원 감시를 수행하는 제2 단계;상기 제2 단계에서 수집된 개별 이벤트 정보를 재가공하여 상기 실행코드들의 연관성 있는 행위 특성값을 나타내는 하나의 통합 로그로 재구성하는 제3 단계;상기 제3 단계로부터 재구성된 통합 로그를 학습 알고리즘에 입력하여 비정형 악성 행위 특징값(예측 패턴)을 추출하는 제4 단계; 및상기 제4 단계에서 추출된 비정형 악성 행위 특징값(예측 패턴)을 상기 제3 단계에서 구성되는 행위 특성값 데이터와 비교함으로써 악성 행위를 탐지하는 제5 단계를 포함하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 방법.
- 제5항에 있어서,상기 제2 단계에서, 파일 시스템, 프로세스, 레지스트리, 서비스 및 네트워크 항목에 대한 개별 이벤트 정보를 수집하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 방법.
- 제5항에 있어서,상기 제3 단계에서, 상기 통합 로그의 재구성시 이벤트 발생 시간을 기준으로 상기 실행코드들의 연관성 있는 행위 특성값 데이터가 하나의 레코드로 구성되는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 방법.
- 제7항에 있어서,상기 레코드 구성시, 이벤트가 없는 레코드 필드의 값을 최근 이벤트 유효 시간 범위에서 기재하고, 상기 최근 이벤트 유효 시간 범위에서 벗어났을 경우에는 null 값을 기록하는 것을 특징으로 하는 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/944,268 US8181248B2 (en) | 2006-11-23 | 2007-11-21 | System and method of detecting anomaly malicious code by using process behavior prediction technique |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060116572 | 2006-11-23 | ||
KR20060116572 | 2006-11-23 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080047261A true KR20080047261A (ko) | 2008-05-28 |
KR100910761B1 KR100910761B1 (ko) | 2009-08-04 |
Family
ID=39663908
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070100391A KR100910761B1 (ko) | 2006-11-23 | 2007-10-05 | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100910761B1 (ko) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011004977A3 (ko) * | 2009-07-07 | 2011-03-31 | 한국전자통신연구원 | 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 상기 시스템을 이용한 사이버위협 예측 방법 |
KR101031786B1 (ko) * | 2009-02-03 | 2011-04-29 | 주식회사 안철수연구소 | 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 |
KR101047118B1 (ko) * | 2008-12-22 | 2011-07-07 | 한국전자통신연구원 | 익스플로잇 코드를 탐지하는 네트워크 보안시스템 및 방법 |
WO2011149150A1 (ko) * | 2010-05-25 | 2011-12-01 | (주)잉카인터넷 | 온라인 게임에서 핵 툴 사용 정보 표시방법 |
KR101308866B1 (ko) * | 2011-12-27 | 2013-09-13 | 한국과학기술원 | 공개형 악성코드 관리 및 분석 시스템 |
KR20150084123A (ko) * | 2014-01-13 | 2015-07-22 | 한국전자통신연구원 | 이상행위 탐지 장치 및 방법 |
KR20150091716A (ko) * | 2014-02-03 | 2015-08-12 | 한국전자통신연구원 | 수집된 이벤트 정보 기반 악성코드 탐지 장치 및 방법 |
KR20180090574A (ko) * | 2017-02-03 | 2018-08-13 | 주식회사 안랩 | 악성코드 진단 시스템 및 악성코드 진단 방법 |
US10356119B1 (en) * | 2017-03-28 | 2019-07-16 | Trend Micro Incorporated | Detection of computer security threats by machine learning |
US10417416B1 (en) | 2017-02-13 | 2019-09-17 | Trend Micro Incorporated | Methods and systems for detecting computer security threats |
CN111652180A (zh) * | 2020-06-16 | 2020-09-11 | 北京梧桐车联科技有限责任公司 | 缺陷定位方法、装置、设备及计算机可读存储介质 |
CN113010892A (zh) * | 2021-03-26 | 2021-06-22 | 支付宝(杭州)信息技术有限公司 | 小程序恶意行为检测方法和装置 |
KR20240009131A (ko) | 2022-07-13 | 2024-01-22 | 포체인스 주식회사 | 가중치 거리함수를 이용한 악성코드 예측 장치 및 그 방법 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101291470B1 (ko) * | 2011-06-17 | 2013-08-23 | 지경배 | 통합 보안 장치를 이용한 보안 방법 |
KR101256461B1 (ko) | 2012-09-03 | 2013-04-19 | 주식회사 안랩 | 프로세스 실행 시점 판단장치 및 방법 |
KR101723623B1 (ko) | 2015-09-24 | 2017-04-06 | 아주대학교산학협력단 | 악성 코드 탐지 시스템 및 방법 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020075319A (ko) * | 2002-07-19 | 2002-10-04 | 주식회사 싸이버텍홀딩스 | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 |
KR100614757B1 (ko) * | 2004-07-14 | 2006-08-21 | 엘지엔시스(주) | 패킷 헤더 분석을 통해 이상 트래픽을 탐지 및 차단하는장치 및 방법 |
-
2007
- 2007-10-05 KR KR1020070100391A patent/KR100910761B1/ko active IP Right Grant
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101047118B1 (ko) * | 2008-12-22 | 2011-07-07 | 한국전자통신연구원 | 익스플로잇 코드를 탐지하는 네트워크 보안시스템 및 방법 |
KR101031786B1 (ko) * | 2009-02-03 | 2011-04-29 | 주식회사 안철수연구소 | 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 |
WO2011004977A3 (ko) * | 2009-07-07 | 2011-03-31 | 한국전자통신연구원 | 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 상기 시스템을 이용한 사이버위협 예측 방법 |
US8800037B2 (en) | 2009-07-07 | 2014-08-05 | Electronics And Telecommunications Research Institute | System for an engine for forecasting cyber threats and method for forecasting cyber threats using the system |
WO2011149150A1 (ko) * | 2010-05-25 | 2011-12-01 | (주)잉카인터넷 | 온라인 게임에서 핵 툴 사용 정보 표시방법 |
KR101308866B1 (ko) * | 2011-12-27 | 2013-09-13 | 한국과학기술원 | 공개형 악성코드 관리 및 분석 시스템 |
KR20150084123A (ko) * | 2014-01-13 | 2015-07-22 | 한국전자통신연구원 | 이상행위 탐지 장치 및 방법 |
KR20150091716A (ko) * | 2014-02-03 | 2015-08-12 | 한국전자통신연구원 | 수집된 이벤트 정보 기반 악성코드 탐지 장치 및 방법 |
KR20180090574A (ko) * | 2017-02-03 | 2018-08-13 | 주식회사 안랩 | 악성코드 진단 시스템 및 악성코드 진단 방법 |
US10417416B1 (en) | 2017-02-13 | 2019-09-17 | Trend Micro Incorporated | Methods and systems for detecting computer security threats |
US10356119B1 (en) * | 2017-03-28 | 2019-07-16 | Trend Micro Incorporated | Detection of computer security threats by machine learning |
CN111652180A (zh) * | 2020-06-16 | 2020-09-11 | 北京梧桐车联科技有限责任公司 | 缺陷定位方法、装置、设备及计算机可读存储介质 |
CN111652180B (zh) * | 2020-06-16 | 2023-11-17 | 北京梧桐车联科技有限责任公司 | 缺陷定位方法、装置、设备及计算机可读存储介质 |
CN113010892A (zh) * | 2021-03-26 | 2021-06-22 | 支付宝(杭州)信息技术有限公司 | 小程序恶意行为检测方法和装置 |
KR20240009131A (ko) | 2022-07-13 | 2024-01-22 | 포체인스 주식회사 | 가중치 거리함수를 이용한 악성코드 예측 장치 및 그 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR100910761B1 (ko) | 2009-08-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100910761B1 (ko) | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 | |
Bridges et al. | A survey of intrusion detection systems leveraging host data | |
US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
Corona et al. | Adversarial attacks against intrusion detection systems: Taxonomy, solutions and open issues | |
Saeed et al. | A survey on malware and malware detection systems | |
Verwoerd et al. | Intrusion detection techniques and approaches | |
Landage et al. | Malware and malware detection techniques: A survey | |
US11562068B2 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
Liao et al. | Network forensics based on fuzzy logic and expert system | |
CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
Tan et al. | Hiding intrusions: From the abnormal to the normal and beyond | |
CN110958257B (zh) | 一种内网渗透过程还原方法和系统 | |
CN113422771A (zh) | 威胁预警方法和系统 | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
US11909761B2 (en) | Mitigating malware impact by utilizing sandbox insights | |
Kaur et al. | Efficient hybrid technique for detecting zero-day polymorphic worms | |
Rosli et al. | Clustering analysis for malware behavior detection using registry data | |
US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
Vigna et al. | Host-based intrusion detection | |
Chowdhury et al. | Malware detection for healthcare data security | |
Khan et al. | A dynamic method of detecting malicious scripts using classifiers | |
Mira | A review paper of malware detection using api call sequences | |
Kono et al. | An unknown malware detection using execution registry access | |
US20220060485A1 (en) | Threat forecasting |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130710 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20140630 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20150703 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20160726 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20170608 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20190729 Year of fee payment: 11 |