KR20100089245A - 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 - Google Patents
의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 Download PDFInfo
- Publication number
- KR20100089245A KR20100089245A KR1020090008410A KR20090008410A KR20100089245A KR 20100089245 A KR20100089245 A KR 20100089245A KR 1020090008410 A KR1020090008410 A KR 1020090008410A KR 20090008410 A KR20090008410 A KR 20090008410A KR 20100089245 A KR20100089245 A KR 20100089245A
- Authority
- KR
- South Korea
- Prior art keywords
- malicious code
- code
- behavior
- malicious
- level
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
Claims (22)
- 프로그램이 시스템 내에서 수행하는 행위를 모니터링하는 행위 모니터링부와,악성 코드 및 정상 코드의 특성에 기반하여 상기 행위를 수준별로 분류하는 행위 분류부, 및상기 수준별 분류 결과 악성 코드에서 주로 사용되지만 정상 코드에서도 가끔 사용되는 행위로 분류된 행위를 상기 시스템과 격리하여 실행하는 격리 실행부를 포함하는 악성 코드 사전 대응 장치.
- 제 1항에 있어서,상기 프로그램의 행위 정보를 로그 기록으로 저장하는 로그 기록 저장부를 더 포함하는 악성 코드 사전 대응 장치.
- 제 2항에 있어서,상기 프로그램이 악성 행위를 수행할 경우 상기 로그 기록에 기반하여 상기 악성 행위 이전의 상태를 복원하는 행위 복원부를 더 포함하는 악성 코드 사전 대응 장치.
- 제 1항에 있어서,안전한 프로그램의 목록을 화이트리스트로 저장하는 화이트리스트 저장부를 더 포함하는 악성 코드 사전 대응 장치.
- 제 4항에 있어서,상기 프로그램의 샘플을 저장하는 샘플 저장부와,상기 화이트리스트에 등록되지 않은 프로그램의 샘플을 전송 받아 악성 코드인지 여부를 분석하는 악성 코드 분석 시스템, 및상기 악성 코드 분석 시스템의 분석 결과를 반영하여 상기 화이트리스트를 업데이트하는 화이트리스트 관리부를 더 포함하는 악성 코드 사전 대응 장치.
- 제 1항에 있어서,상기 격리 실행부에서 실행되는 행위가 접근하는 데이터의 복사본을 상기 시스템과 격리하여 저장하는 접근 대상 복사본 저장부를 더 포함하는 악성 코드 사전 대응 장치.
- 제 1항에 있어서,상기 수준별 분류 결과는, 정상 코드에서만 사용되는 제 1 수준 행위와, 정상 코드에서 주로 사용되지만 악성 코드에서도 가끔 사용되는 제 2 수준 행위와, 악성 코드에서 주로 사용되지만 정상 코드에서도 가끔 사용되는 제 3 수준 행위, 및 악성 코드에서만 사용되는 제 4 수준 행위 중 어느 하나 이상을 포함하는악성 코드 사전 대응 장치.
- 제 7항에 있어서,상기 제 1 수준 행위 및 상기 제 2 수준 행위에 대하여 통상의 실행을 허용하고, 상기 제 4 수준 행위의 실행을 보류 또는 차단하는 제어부를 더 포함하는 악성 코드 사전 대응 장치.
- 제 1항에 있어서,상기 격리 실행부는 상기 분류된 행위의 실행에 사용되는 연동 프로그램을 상기 시스템과 격리하여 실행하는악성 코드 사전 대응 장치.
- 제 1항에 있어서,의심스러운 행위를 전혀 하지 않는 것으로 확인된 정상 검증 코드를 저장하는 정상 검증 코드 저장부를 더 포함하고,상기 격리 실행부는 상기 정상 검증 코드가 악성 코드에서 가끔이라도 사용되는 행위를 실행할 경우에 해당 행위를 상기 시스템과 격리하여 실행하거나 차단하는악성 코드 사전 대응 장치.
- 프로그램이 시스템 내에서 수행하는 행위를 모니터링하고,악성 코드 및 정상 코드의 특성에 기반하여 상기 행위를 수준별로 분류하며,상기 수준별 분류 결과 악성 코드에서 주로 사용되지만 정상 코드에서도 가끔 사용되는 행위로 분류된 행위를 상기 시스템과 격리하여 실행하는악성 코드 사전 대응 방법.
- 제 11항에 있어서,상기 프로그램의 행위 정보를 로그 기록으로 저장하는악성 코드 사전 대응 방법.
- 제 12항에 있어서,상기 프로그램이 악성 행위를 수행할 경우 상기 로그 기록에 기반하여 상기 악성 행위 이전의 상태를 복원하는악성 코드 사전 대응 방법.
- 제 11항에 있어서,안전한 프로그램의 목록을 화이트리스트로 저장하는악성 코드 사전 대응 방법.
- 제 14항에 있어서,상기 프로그램의 샘플을 저장하고,상기 화이트리스트에 등록되지 않은 프로그램의 샘플을 전송 받아 악성 코드인지 여부를 분석하며,상기 분석 결과를 반영하여 상기 화이트리스트를 업데이트하는악성 코드 사전 대응 방법.
- 제 11항에 있어서,상기 격리하여 실행되는 행위가 접근하는 데이터의 복사본을 상기 시스템과 격리하여 저장하는악성 코드 사전 대응 방법.
- 제 11항에 있어서,상기 수준별 분류 결과는, 정상 코드에서만 사용되는 제 1 수준 행위와, 정상 코드에서 주로 사용되지만 악성 코드에서도 가끔 사용되는 제 2 수준 행위와, 악성 코드에서 주로 사용되지만 정상 코드에서도 가끔 사용되는 제 3 수준 행위, 및 악성 코드에서만 사용되는 제 4 수준 행위 중 어느 하나 이상을 포함하는악성 코드 사전 대응 방법.
- 제 17항에 있어서,상기 제 1 수준 행위 및 상기 제 2 수준 행위에 대하여 통상의 실행을 허용하고, 상기 제 4 수준 행위의 실행을 보류 또는 차단하는악성 코드 사전 대응 방법.
- 제 11항에 있어서,상기 분류된 행위의 실행에 사용되는 연동 프로그램을 상기 시스템과 격리하여 실행하는악성 코드 사전 대응 방법.
- 제 11항에 있어서,의심스러운 행위를 전혀 하지 않는 것으로 확인된 정상 검증 코드가 악성 코드에서 가끔이라도 사용되는 행위를 실행할 경우에 해당 행위를 상기 시스템과 격리하여 실행하거나 차단하는악성 코드 사전 대응 방법.
- 제 20항에 있어서,상기 정상 검증 코드에 속하는 프로그램이 상기 악성 코드에서 가끔이라도 사용되는 행위를 실행할 경우 상기 프로그램의 행위 정보를 조사하고,상기 조사 결과로부터 악성 행위를 수행한 코드를 검출하며,상기 검출된 코드의 샘플을 분석 시스템으로 보고하는악성 코드 사전 대응 방법.
- 제 11항 내지 제 21항 중 어느 한 항에 기재된 방법을 실행하기 위한 프로그램이 기록된컴퓨터로 읽을 수 있는 기록매체.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090008410A KR101031786B1 (ko) | 2009-02-03 | 2009-02-03 | 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090008410A KR101031786B1 (ko) | 2009-02-03 | 2009-02-03 | 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100089245A true KR20100089245A (ko) | 2010-08-12 |
KR101031786B1 KR101031786B1 (ko) | 2011-04-29 |
Family
ID=42755160
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090008410A KR101031786B1 (ko) | 2009-02-03 | 2009-02-03 | 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101031786B1 (ko) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101463873B1 (ko) * | 2011-09-30 | 2014-11-20 | 주식회사 엔피코어 | 정보 유출 차단 장치 및 방법 |
KR101880686B1 (ko) * | 2018-02-28 | 2018-07-20 | 에스지에이솔루션즈 주식회사 | Ai 딥러닝 기반의 악성코드 탐지 시스템 |
WO2018182126A1 (ko) * | 2017-03-29 | 2018-10-04 | 최승환 | 안전 소프트웨어 인증 시스템 및 방법 |
KR20190020999A (ko) * | 2017-08-22 | 2019-03-05 | 주식회사 하우리 | 악성프로그램 처리장치 및 처리방법 |
WO2020189823A1 (ko) * | 2019-03-20 | 2020-09-24 | 주식회사 하우리 | 리다이렉션 파일의 유효성 검증방식에 의한 악성프로그램 처리장치 및 처리방법 |
KR20210150771A (ko) | 2020-06-04 | 2021-12-13 | 류영근 | 부스터 장치 및 그를 구비하는 탈것 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101427566B1 (ko) | 2013-02-05 | 2014-09-23 | 주식회사 잉카인터넷 | 오진 처리 시스템 및 방법 |
CN103279707B (zh) * | 2013-06-08 | 2016-07-13 | 北京奇虎科技有限公司 | 一种用于主动防御恶意程序的方法、设备 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10043008B2 (en) * | 2004-10-29 | 2018-08-07 | Microsoft Technology Licensing, Llc | Efficient white listing of user-modifiable files |
KR100791290B1 (ko) * | 2006-02-10 | 2008-01-04 | 삼성전자주식회사 | 디바이스 간에 악성 어플리케이션의 행위 정보를 사용하는장치 및 방법 |
JP2007334536A (ja) | 2006-06-14 | 2007-12-27 | Securebrain Corp | マルウェアの挙動解析システム |
KR100910761B1 (ko) * | 2006-11-23 | 2009-08-04 | 한국전자통신연구원 | 프로세스 행위 예측 기법을 이용한 비정형 악성코드 탐지방법 및 그 시스템 |
-
2009
- 2009-02-03 KR KR1020090008410A patent/KR101031786B1/ko active IP Right Grant
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101463873B1 (ko) * | 2011-09-30 | 2014-11-20 | 주식회사 엔피코어 | 정보 유출 차단 장치 및 방법 |
WO2018182126A1 (ko) * | 2017-03-29 | 2018-10-04 | 최승환 | 안전 소프트웨어 인증 시스템 및 방법 |
US11086983B2 (en) | 2017-03-29 | 2021-08-10 | Seung Hwan Choi | System and method for authenticating safe software |
KR20190020999A (ko) * | 2017-08-22 | 2019-03-05 | 주식회사 하우리 | 악성프로그램 처리장치 및 처리방법 |
KR101880686B1 (ko) * | 2018-02-28 | 2018-07-20 | 에스지에이솔루션즈 주식회사 | Ai 딥러닝 기반의 악성코드 탐지 시스템 |
WO2020189823A1 (ko) * | 2019-03-20 | 2020-09-24 | 주식회사 하우리 | 리다이렉션 파일의 유효성 검증방식에 의한 악성프로그램 처리장치 및 처리방법 |
KR20210150771A (ko) | 2020-06-04 | 2021-12-13 | 류영근 | 부스터 장치 및 그를 구비하는 탈것 |
Also Published As
Publication number | Publication date |
---|---|
KR101031786B1 (ko) | 2011-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10984097B2 (en) | Methods and apparatus for control and detection of malicious content using a sandbox environment | |
CN113661693B (zh) | 经由日志检测敏感数据暴露 | |
KR101031786B1 (ko) | 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 | |
US9372989B2 (en) | Robust malware detector | |
US8434151B1 (en) | Detecting malicious software | |
US8065728B2 (en) | Malware prevention system monitoring kernel events | |
JP5265061B1 (ja) | 悪意のあるファイル検査装置及び方法 | |
JP6909770B2 (ja) | ウィルス対策レコードを作成するシステムと方法 | |
WO2014103115A1 (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
Srivastava et al. | Operating system interface obfuscation and the revealing of hidden operations | |
KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
KR100745639B1 (ko) | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 | |
JP6407184B2 (ja) | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム | |
Supriya et al. | Malware detection techniques: a survey | |
KR100666562B1 (ko) | 커널 드라이버 및 프로세스 보호 방법 | |
RU2708355C1 (ru) | Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде | |
CN111538972A (zh) | 用于验证文件的数字签名中的攻击复原的系统和方法 | |
US9075991B1 (en) | Looting detection and remediation | |
Xie et al. | Lightweight examination of dll environments in virtual machines to detect malware | |
Yan et al. | MOSKG: countering kernel rootkits with a secure paging mechanism | |
WO2008079899A1 (en) | Anti-virus signature footprint | |
Gielen | Prioritizing computer forensics using triage techniques | |
Saleh | Malware detection model based on classifying system calls and code attributes: a proof of concept | |
Jayarathna et al. | Hypervisor-based Security Architecture to Protect Web Applications. | |
Gilchrist | Solitary Confinement: Using Artificial Cells to Protect Computer Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140421 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20150421 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20160421 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20170421 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20180423 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20190422 Year of fee payment: 9 |