KR20120072120A - 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법 - Google Patents

악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법 Download PDF

Info

Publication number
KR20120072120A
KR20120072120A KR1020100133929A KR20100133929A KR20120072120A KR 20120072120 A KR20120072120 A KR 20120072120A KR 1020100133929 A KR1020100133929 A KR 1020100133929A KR 20100133929 A KR20100133929 A KR 20100133929A KR 20120072120 A KR20120072120 A KR 20120072120A
Authority
KR
South Korea
Prior art keywords
file
malicious
index
executable
files
Prior art date
Application number
KR1020100133929A
Other languages
English (en)
Inventor
김익균
최양서
김병구
윤승용
허영준
김대원
정일안
오진태
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100133929A priority Critical patent/KR20120072120A/ko
Priority to US13/335,811 priority patent/US20120167222A1/en
Publication of KR20120072120A publication Critical patent/KR20120072120A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법에 관한 것으로, 개시된 악성 파일 진단 장치는 관리 네트워크에서 유통되는 악성 파일에 대한 정보와 관리 네트워크상에서 수집된 패킷을 조립하여 생성한 실행 파일을 전달받는 악성 파일 정보 전달부와, 실행 파일의 악성 유무를 판정하여 새로운 악성 파일에 대한 정보를 생성하는 안티 바이러스 엔진과, 악성 파일에 대한 정보와 새로운 악성 파일에 대한 정보를 상기 악성 파일 정보 전달부를 통해 관리 네트워크상의 단말장치에게 전달하는 악성 파일 유통 관리부를 포함하며, 분산서비스거부 공격 또는 내부정보 유출 등의 유해 행위를 일으키는 악성 파일을 클라우드 컴퓨팅 기반으로 네트워크상에서 관리 및 감시할 수 있으며, 이에 관리 네트워크 내의 개인 컴퓨터나 이동 단말 장치에는 안티 바이러스 엔진을 설치할 필요가 없이 관리 네트워크에서 제공하는 악성 파일 관리 정책을 적용 받을 수 있다. 이동 단말 장치에서는 서비스를 사용한 만큼 비용을 지불하는 SaaS 형태의 보안 서비스를 제공받을 수 있으며, 악성 파일에 대한 유포지를 정확하게 알아낼 수 있으므로 유포지에 대한 사후 대응이 가능한 이점이 있다.

Description

악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법{METHOD AND APPARATUS FOR DIAGNOSIS OF MALICIOUS FILE, METHOD AND APPARATUS FOR MONITORING MALICIOUS FILE}
본 발명은 악성 파일 진단 및 감시에 관한 것으로서, 더욱 상세하게는 인터넷에서 분산서비스거부(DDoS, Distribute Denial of Service) 공격 또는 내부정보 유출 등의 유해 행위를 일으키는 악성 파일을 클라우드 컴퓨팅 기반으로 네트워크상에서 관리하는 악성 파일 진단 장치 및 그 방법과 이를 위해 네트워크상에서 악성 파일의 전단 및 유통을 감시하는 악성 파일 감시 장치 및 그 방법에 관한 것이다.
컴퓨터 바이러스, 트로이 목마와 같은 악성 파일에 대한 일반적인 대응 방안은 단말 장치에서 안티 바이러스 엔진(anti-virus engine)을 활용하는 것이다. 즉, 호스트 컴퓨터(PC)나 모바일 단말 장치에 설치된 안티 바이러스 제품들이 주기적으로 업데이트되는 시그니처(탐지패턴)를 이용하여 다양한 입출력(I/O) 장치로부터 유입되는 파일들의 패턴을 비교하여 악성여부를 판단하는 것이 일반적이다.
이러한 안티 바이러스 엔진을 활용하는 기술은 해당 제품의 새로운 시그니처가 적시에 정확하게 배포되지 않거나 업데이트를 못하는 경우에는 사용자 단말이 감염되어도 탐지 및 대응이 이루어지고 못하게 되고, 제품마다 다른 시그니처를 보유하고 있는 현 상태에서 시그니처 공유 체계가 이루어져 있지 않아 특정 몇 개의 제품 능력에 의존적일 수밖에 없으며, 또한 사용자 단말에 악성코드가 유입되었다고 판단을 하여도 그 감염 경로에 대한 추적이 불가능하여 후속 조치를 위한 대한 추가 정보(예컨대, 악성코드 배포지 IP) 등이 공유가 되지 않는 문제점이 있다.
아울러, 종래의 다른 대응 방안으로서 네트워크 기반 바이러스 차단 장치인 바이러스 월(virus-wall)이 있다.
그러나 이러한 바이러스 월은 바이러스를 네트워크상에서 차단하기에는 시그니처(패턴) 매칭을 위한 계산 부하가 너무 크기 때문에 성능상의 이유로 보편화되지 못하고 있고, 안티 바이러스 엔진이 가지고 있는 문제점을 여전히 가지고 있다. 더불어, 날로 증가하는 네트워크 성능의 증가로 인하여 향후에도 바이러스 월 제품이 네트워크에서 효과를 보기에는 힘들 것으로 예측된다.
본 발명은 이와 같은 종래 기술의 문제점을 해결하기 위해 제안한 것으로서, 네트워크상에서 유통되는 모든 악성 파일을 감시 및 수집하여 악성 파일 유포지를 파악하고, 이미 감염된 사용자 단말에서 악성 파일을 자동으로 제거할 수 있도록 지원한다.
본 발명은 최근에 많이 발생하는 DDoS 공격 트래픽에 대한 직접적인 방어 방법 이외에 또 다른 접근법으로써, 공격을 야기시키는 악성 파일(코드)에 대한 수집 및 치료에 관한 대안을 제공하여 DDoS 공격의 사전 및 사후 조치가 가능하도록 한다.
본 발명의 제 1 관점으로서 악성 파일 진단 장치는, 관리 네트워크에서 유통되는 악성 파일에 대한 정보와 상기 관리 네트워크상에서 수집된 패킷을 조립하여 생성한 실행 파일을 전달받는 악성 파일 정보 전달부와, 상기 실행 파일의 악성 유무를 판정하여 새로운 악성 파일에 대한 정보를 생성하는 안티 바이러스 엔진과, 상기 악성 파일에 대한 정보와 상기 새로운 악성 파일에 대한 정보를 상기 악성 파일 정보 전달부를 통해 상기 관리 네트워크상의 단말장치에게 전달하는 악성 파일 유통 관리부를 포함할 수 있다.
여기서, 상기 악성 파일 진단 장치는, 사용자 인터페이스를 통해 입력된 악성 파일의 해시값을 포함하는 인덱스를 생성하는 실행 파일 해시 생성부를 더 포함하며, 상기 악성 파일 유통 관리부는, 상기 실행 파일 해시 생성부가 생성한 인덱스를 상기 관리 네트워크상으로 전달하여 악성 파일의 감시에 이용할 수 있도록 할 수 있다.
본 발명의 제 2 관점으로서 악성 파일 진단 방법은, 관리 네트워크에서 유통되는 악성 파일에 대한 정보와 상기 관리 네트워크상에서 수집된 패킷을 조립하여 생성한 실행 파일을 전달받는 단계와, 안티 바이러스 엔진을 이용하여 상기 실행 파일에 대한 악성 유무를 판정하는 단계와, 상기 악성 유무의 판정에 따라 새로운 악성 파일에 대한 정보를 생성하는 단계와, 상기 악성 파일에 대한 정보와 상기 새로운 악성 파일에 대한 정보를 상기 관리 네트워크상의 단말장치에게 전달하는 단계를 포함할 수 있다.
여기서, 상기 악성 파일 진단 방법은, 사용자 인터페이스를 통해 입력된 악성 파일의 해시값을 포함하는 인덱스를 생성하는 단계와, 생성한 상기 인덱스를 상기 관리 네트워크상으로 전달하여 악성 파일의 감시에 이용할 수 있도록 하는 단계를 더 포함할 수 있다.
본 발명의 제 3 관점으로서 악성 파일 감시 장치는, 모니터링 네트워크상의 패킷들을 실행 파일 후보 패킷으로 인지하여 수집하는 실행 파일 후보 패킷 수집부와, 수집한 상기 실행 파일 후보 패킷을 재조립하여 실행 파일을 생성하는 실행 파일 생성부와, 클라우드 컴퓨팅 네트워크로부터 제공된 악성 파일에 대한 인덱스를 저장하는 악성 실행 파일 인덱스 저장부와, 생성된 상기 실행 파일로부터 해시값을 포함하는 인덱스를 추출한 후에 상기 악성 실행 파일 인덱스 저장부에 저장된 상기 악성 파일에 대한 인덱스와의 비교 결과에 따라 악성 파일을 판정하는 파일 해시 비교부와, 상기 실행 파일로부터 추출한 인덱스 중에서 상기 파일 해시 비교부가 판정하지 못한 인덱스에 대응하는 상기 실행 파일에 대해 악성 파일을 판정하는 악성 파일 분석부와, 상기 파일 해시 비교부 및 상기 악성 파일 분석부에 의한 악성 파일의 판정 결과를 클라우드 컴퓨팅 네트워크상으로 전달하여 악성 파일의 진단 또는 제거에 이용할 수 있도록 하는 악성 파일 정보 전달부를 포함할 수 있다.
여기서, 상기 악성 파일 분석부는, 파일헤더의 이상유무 또는 파일내용의 랜덤성을 기준으로 하여 악성 파일을 판정할 수 있다.
상기 악성 파일 검사 장치는, 상기 클라우드 컴퓨팅 네트워크로부터 제공된 정상 파일에 대한 인덱스를 저장하는 정상 실행 파일 인덱스 저장부를 더 포함하며, 상기 파일 해시 비교부는, 상기 실행 파일 생성부에 의해 생성된 상기 실행 파일로부터 추출한 인덱스와 상기 정상 실행 파일 인덱스 저장부에 저장된 상기 정상 파일에 대한 인덱스와의 비교 결과에 따라 정상 파일을 판정하며, 상기 악성 파일 정보 전달부는, 상기 파일 해시 비교부가 판정한 악성 파일에 대해서는 유통 경로에 대한 정보를 상기 클라우드 컴퓨팅 네트워크상으로 전달하고, 상기 파일 해시 비교부가 악성 파일 및 정상 파일로 판정하지 못한 파일에 대해서는 유통 경로에 대한 정보와 함께 상기 실행 파일 생성부가 재조립하여 생성한 실행 파일을 상기 클라우드 컴퓨팅 네트워크상으로 전달할 수 있다.
본 발명의 제 4 관점으로서 악성 파일 검사 방법은, 모니터링 네트워크상의 패킷들을 실행 파일 후보 패킷으로 인지하여 수집하는 단계와, 수집한 상기 실행 파일 후보 패킷을 재조립하여 실행 파일을 생성하는 단계와, 생성된 상기 실행 파일로부터 해시값을 포함하는 인덱스를 추출하는 단계와, 클라우드 컴퓨팅 네트워크로부터 제공된 악성 파일에 대한 인덱스와 상기 실행 파일로부터 추출한 인덱스와의 비교 결과에 따라 악성 파일을 판정하는 단계와, 악성 일의 진단 또는 제거에 이용할 수 있도록 상기 악성 파일의 판정 결과를 클라우드 컴퓨팅 네트워크상으로 전달하는 단계를 포함할 수 있다.
여기서, 상기 악성 파일 검사 방법은, 상기 실행 파일로부터 추출한 인덱스와 상기 클라우드 컴퓨팅 네트워크로부터 제공된 정상 파일에 대한 인덱스와의 비교 결과에 따라 정상 파일을 판정하는 단계를 더 포함하며, 상기 전달하는 단계는, 악성으로 판정한 파일에 대해서는 유통 경로에 대한 정보를 상기 클라우드 컴퓨팅 네트워크상으로 전달하고, 악성 및 정상으로 판정하지 못한 파일에 대해서는 유통 경로에 대한 정보와 함께 상기 실행 파일을 전달할 수 있다.
상기 추출하는 단계는, 상기 해시값 및 파일크기를 포함하는 상기 인덱스를 추출할 수 있다.
본 발명의 실시 예에 의하면, DDoS 공격 또는 내부정보 유출 등의 유해 행위를 일으키는 악성 파일을 클라우드 컴퓨팅 기반으로 네트워크상에서 관리 및 감시할 수 있으며, 이에 관리 네트워크 내의 개인 컴퓨터나 이동 단말 장치에는 안티 바이러스 엔진을 설치할 필요가 없이 관리 네트워크에서 제공하는 악성 파일 관리 정책을 적용 받을 수 있다. 이는 각 개인이 다양한 안티 바이러스 엔진의 업데이트에서 자유로울 수 있고, 특히 이동형 경량 단말에서는 악성 파일 탐지를 위한 부가적인 컴퓨팅 자원 낭비를 해소할 수 있다는 장점이 있다. 관리 네트워크 내의 수많은 단말에서 다양한 안티 바이러스 엔진 적용이 불가능했지만, 클라우드 컴퓨팅 형식의 안티 바이러스 엔진 서비스 제공으로 많은 안티바이러스 엔진 서비스를 동시에 받을 수 있으며, 서비스를 사용한 만큼 비용을 지불하는 SaaS(Security as a Service) 형태의 보안 서비스를 제공받을 수 있다. 또한 악성 파일에 대한 유포지를 정확하게 알아낼 수 있으므로 유포지에 대한 사후 대응이 가능하다.
도 1은 본 발명의 실시 예에 따른 악성 파일 진단 장치와 악성 파일 감시 장치를 적용한 클라우드 컴퓨팅 기반 네트워크 시스템의 구성도이다.
도 2는 본 발명의 실시 예에 따른 클라우드 컴퓨팅 기반 네트워크 시스템에서 악성 파일의 진단 및 감시를 위해 교환하는 정보의 종류를 나타낸 도면이다.
도 3은 본 발명의 실시 예에 따른 악성 파일 감시 장치의 세부적인 블록 구성도이다.
도 4는 본 발명의 실시 예에 따라 악성 파일 감시 장치에서 실행 파일을 검사하는 과정을 설명하기 위한 흐름도이다.
도 5는 본 발명의 실시 예에 따른 악성 파일 진단 장치의 세부적인 블록 구성도이다.
도 6은 본 발명의 실시 예에 따른 악성 파일 제거 에이전트의 세부적인 블록 구성도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
도 1은 본 발명의 실시 예에 따른 악성 파일 진단 장치와 악성 파일 감시 장치를 적용한 클라우드 컴퓨팅 기반 네트워크 시스템의 구성도이다.
먼저 도 1을 참조하여 인터넷 환경에서 악성코드의 유통 경로를 살펴보면, 웹서버(101)에 정상적인 접속을 시도하는 단말들(102, 103)이 악성코드(파일)를 자신도 모르는 사이에 다운로드하여 단말에 설치되거나 단말들간에 P2P(Peer-to-Peer)와 같은 통신 방식으로 악성 파일을 공유하는 경우가 대부분이다. 이 경우, 악성 파일의 탐지는 단말에 설치된 안티 바이러스 제품의 현재 상태나 탐지 능력에 따라 대응 결과의 편차가 클 수밖에 없고, 해당 안티바이러스 제품에 의존적일 수밖에 없다.
도 1의 네트워크 시스템은, 악성 파일 진단 장치(110), 악성 파일 감시 장치(111), 악성 파일 제거 에이전트(113, 114) 등을 포함한다.
악성 파일 감시 장치(111)는 기업망 혹은 가입자 망의 병목점에 위치하여 네트워크에 유통되는 패킷을 감시하여, 실행 파일과 관련된 일련의 패킷을 수집하여 실행 파일을 조립한다. 네트워크에서 조립된 실행 파일은 실행 파일 인덱싱(해쉬값, 파일길이)을 통하여, 기존에 알려진 악성 실행 파일인지, 알려진 정상 파일인지를 데이터베이스 검색을 통하여 판단한다. 검색 데이터베이스에 정보가 없으면, 자체적인 악성 분석 기법을 통하여 알려지지 않은 악성 파일인지를 판단한다. 즉, 악성 파일 감시 장치(111)가 네트워크에서 수집한 실행 파일에 대하여 4가지의 판단 경우의 수가 존재하는데, <알려진 악성 파일, 알려진 정상파일, 알려지지 않은 악성 파일, 알려지지 않은 정상파일>로 판정을 내린다. 알려진 악성 파일인 경우 유통 경로에 대한 정보(IP, 포트(Port), 시간정보, 파일인덱스 등)를 악성 파일 진단 장치(110)로 전송한다. 알려지지 않은 악성 파일이나 알려지지 않은 정상파일인 경우 위의 정보와 함께 실제 조립된 파일을 악성 파일 진단 장치(110)로 전송한다.
악성 파일 유통 관리 장치(110)는 알려진 악성 파일에 대한 정보가 악성 파일 감시 장치(111)로부터 수신되면, 즉시 해당 목적지 IP에 해당하는 단말들(102, 103)에 설치된 악성 파일 제거 에이전트(113, 114)에 전달하여 단말 사용자가 인지할 수 있도록 하고, 악성 파일을 제거할 수 있는 기능을 제공한다.
도 2는 본 발명의 실시 예에 따른 클라우드 컴퓨팅 기반 네트워크 시스템에서 악성 파일 진단 장치(110)와 악성 파일 감시 장치(111) 및 악성 파일 제거 에이전트(113) 사이에서 교환하는 정보의 종류를 나타낸 도면이다.
악성 파일 진단 장치(110)에서 악성 파일 감시 장치(111)로 전달되는 정보는 여러 경로를 통해 이미 알고 있는 악성 파일과 정상파일에 대한 정보(502)이다. 이 정보를 바탕으로 악성 파일 감시 장치(111)는 알려진 실행 파일에 대한 판단을 할 수 있는 근거 자료로 이용된다. 악성 파일 감시 장치(111)에서 악성 파일 진단 장치(110)로 전달되는 정보(501)는 알려진 악성 파일일 경우 <IP, 포트, 파일 인덱스, 시간> 정보를 전달하여 악성 파일 유통에 대한 관련 정보를 전달하고, 알려지지 않은 악성/정상 파일에 대해서는 조립된 실행 파일을 추가적으로 전달한다.
전달된 실행 파일은 악성 파일 진단 장치(110)에서 다양한 안티 바이러스 엔진의 진단을 통하여 악성여부를 판단하게 된다.
도 3은 본 발명의 실시 예에 따른 악성 파일 감시 장치(111)의 세부적인 블록 구성도이다.
실행 파일 후보 패킷 수집부(310)는 네트워크(301)을 탭핑 모드로 모니터링하여 선로 상에 지나가는 모든 패킷 중 실행 파일의 시작 패킷이라고 인지되는 패턴(예컨대, 윈도우즈 실행 파일인 경우에 PE파일 형식 패턴: MZ)에 해당하는 TCP/UDP 세션에 속한 모든 패킷을 실행 파일 후보 패킷으로 인지하여 수집하기 시작한다. 이때는 TCP/UDP 세션별로 따로 패킷을 수집하여야 하기 때문에 5-튜플(Src/Dst IP, Port, Protocol)에 해당하는 TCP/UDP 세션 테이블이 유지되어야 한다. 실행 파일 후보 패킷 수집부(310)을 통해 수집된 패킷은 실행 파일 생성부(311)에서 최종적으로 하나의 완전한 파일을 조립하게 된다. 이때 조립되는 과정은 TCP 재조립(Reassembly) 프로토콜 과정과 유사하며 TCP 시퀀스 넘버(Sequence Number) 검사 과정을 통하여 가능한 완전한 파일이 생성되도록 한다.
네트워크 상의 패킷 수집으로 인한 다음과 같은 경우 제한 사항이 존재한다. 패킷이 순서대로 수집되지 않을 수 있고, 필요 패킷이 수집되지 않을 수 있다. 이 경우에 TCP 재조립을 수행하더라도 완전한 실행 파일 수집이 안 될 수 있다. 파일을 송신하는 응용 프로그램에 따라 해당 응용 프로그램이 파일 송신 시 사용하는 헤더(임의의 응용 프로그램 제어용 정보)의 크기가 모두 다르므로 어떤 경우에는 해당 헤더 크기를 정확하게 추출하지 못할 수 있다. 이때, 완전한 실행 파일 수집이 안 될 수 있다. 세션이 강제 종료될 경우(RST) 실행 파일 수집이 안 될 수 있다. 네트워크에서 IP 패킷의 유실이 있을 수 있으므로, 100% 파일 생성이 되지 않을 수도 있지만 파일 인덱스를 만드는 데에는 문제가 없을 확률이 높으므로 BE(Best-Effort, 최선 노력) 개념으로 실행 파일을 생성하고 생성된 실행 파일은 실행 파일 저장부(309)에 저장된다.
파일 해시 비교부(312)에서는 파일인덱스를 위한 해시값과 파일 길이를 유추해 낸다. 파일 해시값은 파일의 앞쪽 고정길이(예컨대, 3000bytes)에 해당하는 데이터에 대하여 MD5 해쉬값을 취하고, 이와 더불어 파일 헤더 정보에서 추출한 파일 크기 값을 계산한다. 이렇게 추출한 인덱스 <해쉬값, 파일크기>는 실행 파일이 완벽하게 조립이 되지 않아도 해당 파일을 유일하게 식별할 수 있는 인덱스로 활용할 수 있다.
새롭게 조립된 인덱스값을 이용하여 정상 실행 파일 해시 저장부(315)와 악성 실행 파일 인덱스 저장부(314)를 검색하여 알려진 실행 파일인지를 먼저 검사한다. 파일 해시 비교부(312)와 알려지지 않은 악성 파일 분석부(313)을 통하여 악성 파일 감시 장치(111)에서 최종 판정하는 결과는 아래 도 4와 같이 4가지의 경우이다.
도 4는 본 발명의 실시 예에 따라 악성 파일 감시 장치(111)에서 실행 파일을 검사하는 과정을 설명하기 위한 흐름도이다.
도 4를 참조하면, 파일 인덱스를 새롭게 생성(S600)한 후에 정상 실행 파일 인덱스 저장부(315)를 검색하여 새롭게 생성된 파일 인덱스가 존재하면 kn(알려진 정상파일)로 판정한다(S601).
정상 실행 파일 인덱스 저장부(315)에 새롭게 생성된 파일 인덱스가 존재하지 않으면 악성 실행 파일 인덱스 저장부(314)를 검색하여 검색 결과가 존재하면 kA(알려진 악성 파일)로 판정한다(S602).
악성 실행 파일 인덱스 저장부(314)에도 존재하지 않으면 알려지지 않은 악성 파일 분석부(313)을 통하여 알려지지 않은 악성 파일인지 또는 알려지지 않은 정상파일인지를 최종 판정을 한다. 예컨대, 알려지지 않은 악성 파일 분석부(313)에서 사용할 수 있는 판정 방법은 파일헤더의 이상유무, 파일내용의 랜덤성(Randomness) 등을 기준으로 판정할 수 있다.
이렇게 네트워크에서 조립된 파일에 대한 최종 판단과 관련정보(501)를 악성 파일 정보 전달부(316)를 통해 악성 파일 진단 장치(110)로 전달한다.
도 5는 본 발명의 실시 예에 따른 악성 파일 진단 장치(110)의 세부적인 블록 구성도이다.
도 5를 참조하면, 악성 파일 진단 장치(110)는 관리 네트워크(기업망, 캠퍼스망, 가입자망, AS 등)에서 유통되는 모든 악성 파일(코드)에 대한 정보와 알려지지 않은 실행 파일을 악성 파일 정보 전달부(204)를 통해 수집하고, 수집된 실행 파일을 실행 파일 저장부(203)에 저장한 후에 다양한 안티 바이러스 엔진(209)을 이용하여 수집된 실행 파일에 대하여 악성 유무를 최종 판단하는 기능을 한다. 예컨대, 이때 안티 바이러스 엔진(209)은 상용 안티 바이러스 엔진을 사용할 수 있으며, 약 10개 정도의 상용 안티 바이러스 엔진을 사용하면 대부분 최신의 악성정보를 유지할 수 있을 것이고, 이는 관리 네트워크에서 사용하는 단말에서는 안티 바이러스 엔진을 설치하지 않아도 된다는 큰 장점을 제공한다. 또한, 악성 파일 감시 장치(111)에서 전달한 정보가 악성 파일로 최종 판정이 되었을 경우에는 정보의 관리 네트워크로 악성코드가 유입된 것이고 감염 단말이 있다는 것을 의미한다. 이에 대한 정보는 악성 파일 유통 관리부(205)를 통하여 정보를 유지한다. 또한 그 대응책으로 악성 파일 유통 관리부(205)가 악성 파일 정보 전달부(204)를 통해 악성 파일 제거 에이전트(113, 114)에게 감염 악성 파일의 제거를 위한 정보를 전달한다. 또한, 운영자가 오프라인(off-line) 등과 같은 다른 경로를 통하여 입수된 새로운 악성 파일과 정상 실행 파일이 사용자 인터페이스부(207)을 통하여 입력되면 실행 파일 해시 생성부(208)가 악성 실행 파일 해시 저장부(201) 또는 정상 실행 파일 해시 저장부(202)에 인덱스를 저장하고, 악성 파일 정보 전달부(204)가 새로운 악성 파일과 정상 실행 파일의 정보(502)를 악성 파일 감시 장치(111)로 전달하여 새로운 정보를 갱신할 수 있도록 한다.
도 6은 본 발명의 실시 예에 따른 악성 파일 제거 에이전트(113,114)의 세부적인 블록 구성도이다.
도 6을 참조하면, 악성 파일 제거 에이전트(113,114)는 일반적인 네트워크 컴퓨터나 이동형 단말장치에 설치되어 악성 파일 감시 장치(111)로부터 제공되는 정보에 의거하여 악성 파일을 제거하는 기능을 수행한다. 안티 바이러스 엔진 등을 탑재할 필요가 없고 그 기능이 아주 단순하여 설치 및 운영에 대한 부하가 거의 없다고 할 수 있다. 악성 파일 감시 장치(111)로부터 악성 파일 정보 전달부(402)를 통해 악성 파일 유입 정보를 통보 받으며, 사용자 인터페이스부(404)를 통해 사용자에게 알려주고, 악성 파일 제거부(403)는 사용자의 선택에 따르거나 사용자의 선택 없이 자동으로 악성 파일을 제거한다. 이러한 악성 파일 제거 에이전트(113,114)는 안티 바이러스 엔진 등을 탑재할 필요가 없는 등의 이유로 경량화의 장점을 가지면서도 클라우드 컴퓨팅 형식의 안티 바이러스 엔진 서비스를 통해 악성 파일을 제거할 수 있다.
앞서 설명한 본 발명의 실시 예들에 따른 악성 파일 진단 방법 및 악성 파일 감시 방법은 컴퓨터 프로그램으로 작성 가능하다. 이 컴퓨터 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 해당 컴퓨터 프로그램은 컴퓨터가 읽을 수 있는 정보저장매체(computer readable medium)에 저장되고, 컴퓨터나 본 발명의 실시 예에 따른 악성 파일 진단 장치 또는 악성 파일 감시 장치 등에 의하여 읽혀지고 실행됨으로써 악성 파일 진단 방법 또는 악성 파일 감시 방법을 구현할 수 있다. 정보저장매체는 자기 기록매체, 광 기록매체 및 캐리어 웨이브 매체를 포함한다.
110 : 악성 파일 진단 장치
201 : 악성 실행 파일 해시 저장부 202 : 정상 실행 파일 해시 저장부
203 : 실행 파일 저장부 204 : 악성 파일 정보 전달부
205 : 악성 파일 유통 관리부 207 : 사용자 인터페이스부
208 : 실행 파일 해시 생성부
111 : 악성 파일 감시 장치
309 : 실행 파일 저장부 310 : 실행 파일 후보 패킷 수집부
311 : 실행 파일 생성부 312 : 파일 해시 비교부
313 : 알려지지 않은 악성 파일 분석부 314 : 악성 실행 파일 인덱스 저장부
315 : 정상 실행 파일 인덱스 저장부 316 : 악성 파일 정보 전달부
113, 114 : 악성 파일 제거 에이전트
402 : 악성 파일 정보 전달부 403 : 악성 파일 제거부
404 : 사용자 인터페이스부

Claims (10)

  1. 관리 네트워크에서 유통되는 악성 파일에 대한 정보와 상기 관리 네트워크상에서 수집된 패킷을 조립하여 생성한 실행 파일을 전달받는 악성 파일 정보 전달부와,
    상기 실행 파일의 악성 유무를 판정하여 새로운 악성 파일에 대한 정보를 생성하는 안티 바이러스 엔진과,
    상기 악성 파일에 대한 정보와 상기 새로운 악성 파일에 대한 정보를 상기 악성 파일 정보 전달부를 통해 상기 관리 네트워크상의 단말장치에게 전달하는 악성 파일 유통 관리부를 포함하는
    악성 파일 진단 장치.
  2. 제 1 항에 있어서,
    상기 악성 파일 진단 장치는, 사용자 인터페이스를 통해 입력된 악성 파일의 해시값을 포함하는 인덱스를 생성하는 실행 파일 해시 생성부를 더 포함하며,
    상기 악성 파일 유통 관리부는, 상기 실행 파일 해시 생성부가 생성한 인덱스를 상기 관리 네트워크상으로 전달하여 악성 파일의 감시에 이용할 수 있도록 하는
    악성 파일 진단 장치.
  3. 관리 네트워크에서 유통되는 악성 파일에 대한 정보와 상기 관리 네트워크상에서 수집된 패킷을 조립하여 생성한 실행 파일을 전달받는 단계와,
    안티 바이러스 엔진을 이용하여 상기 실행 파일에 대한 악성 유무를 판정하는 단계와,
    상기 악성 유무의 판정에 따라 새로운 악성 파일에 대한 정보를 생성하는 단계와,
    상기 악성 파일에 대한 정보와 상기 새로운 악성 파일에 대한 정보를 상기 관리 네트워크상의 단말장치에게 전달하는 단계를 포함하는
    악성 파일 진단 방법.
  4. 제 3 항에 있어서,
    상기 악성 파일 진단 방법은, 사용자 인터페이스를 통해 입력된 악성 파일의 해시값을 포함하는 인덱스를 생성하는 단계와,
    생성한 상기 인덱스를 상기 관리 네트워크상으로 전달하여 악성 파일의 감시에 이용할 수 있도록 하는 단계를 더 포함하는
    악성 파일 진단 방법.
  5. 모니터링 네트워크상의 패킷들을 실행 파일 후보 패킷으로 인지하여 수집하는 실행 파일 후보 패킷 수집부와,
    수집한 상기 실행 파일 후보 패킷을 재조립하여 실행 파일을 생성하는 실행 파일 생성부와,
    클라우드 컴퓨팅 네트워크로부터 제공된 악성 파일에 대한 인덱스를 저장하는 악성 실행 파일 인덱스 저장부와,
    생성된 상기 실행 파일로부터 해시값을 포함하는 인덱스를 추출한 후에 상기 악성 실행 파일 인덱스 저장부에 저장된 상기 악성 파일에 대한 인덱스와의 비교 결과에 따라 악성 파일을 판정하는 파일 해시 비교부와,
    상기 실행 파일로부터 추출한 인덱스 중에서 상기 파일 해시 비교부가 판정하지 못한 인덱스에 대응하는 상기 실행 파일에 대해 악성 파일을 판정하는 악성 파일 분석부와,
    상기 파일 해시 비교부 및 상기 악성 파일 분석부에 의한 악성 파일의 판정 결과를 클라우드 컴퓨팅 네트워크상으로 전달하여 악성 파일의 진단 또는 제거에 이용할 수 있도록 하는 악성 파일 정보 전달부를 포함하는
    악성 파일 검사 장치.
  6. 제 5 항에 있어서,
    상기 악성 파일 분석부는, 파일헤더의 이상유무 또는 파일내용의 랜덤성을 기준으로 하여 악성 파일을 판정하는
    악성 파일 검사 장치.
  7. 제 5 항에 있어서,
    상기 악성 파일 검사 장치는, 상기 클라우드 컴퓨팅 네트워크로부터 제공된 정상 파일에 대한 인덱스를 저장하는 정상 실행 파일 인덱스 저장부를 더 포함하며,
    상기 파일 해시 비교부는, 상기 실행 파일 생성부에 의해 생성된 상기 실행 파일로부터 추출한 인덱스와 상기 정상 실행 파일 인덱스 저장부에 저장된 상기 정상 파일에 대한 인덱스와의 비교 결과에 따라 정상 파일을 판정하며,
    상기 악성 파일 정보 전달부는, 상기 파일 해시 비교부가 판정한 악성 파일에 대해서는 유통 경로에 대한 정보를 상기 클라우드 컴퓨팅 네트워크상으로 전달하고, 상기 파일 해시 비교부가 악성 파일 및 정상 파일로 판정하지 못한 파일에 대해서는 유통 경로에 대한 정보와 함께 상기 실행 파일 생성부가 재조립하여 생성한 실행 파일을 상기 클라우드 컴퓨팅 네트워크상으로 전달하는
    악성 파일 검사 장치.
  8. 모니터링 네트워크상의 패킷들을 실행 파일 후보 패킷으로 인지하여 수집하는 단계와,
    수집한 상기 실행 파일 후보 패킷을 재조립하여 실행 파일을 생성하는 단계와,
    생성된 상기 실행 파일로부터 해시값을 포함하는 인덱스를 추출하는 단계와,
    클라우드 컴퓨팅 네트워크로부터 제공된 악성 파일에 대한 인덱스와 상기 실행 파일로부터 추출한 인덱스와의 비교 결과에 따라 악성 파일을 판정하는 단계와,
    악성 일의 진단 또는 제거에 이용할 수 있도록 상기 악성 파일의 판정 결과를 클라우드 컴퓨팅 네트워크상으로 전달하는 단계를 포함하는
    악성 파일 검사 방법.
  9. 제 8 항에 있어서,
    상기 악성 파일 검사 방법은, 상기 실행 파일로부터 추출한 인덱스와 상기 클라우드 컴퓨팅 네트워크로부터 제공된 정상 파일에 대한 인덱스와의 비교 결과에 따라 정상 파일을 판정하는 단계를 더 포함하며,
    상기 전달하는 단계는, 악성으로 판정한 파일에 대해서는 유통 경로에 대한 정보를 상기 클라우드 컴퓨팅 네트워크상으로 전달하고, 악성 및 정상으로 판정하지 못한 파일에 대해서는 유통 경로에 대한 정보와 함께 상기 실행 파일을 전달하는
    악성 파일 검사 방법.
  10. 제 8 항에 있어서,
    상기 추출하는 단계는, 상기 해시값 및 파일크기를 포함하는 상기 인덱스를 추출하는
    악성 파일 검사 방법.
KR1020100133929A 2010-12-23 2010-12-23 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법 KR20120072120A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020100133929A KR20120072120A (ko) 2010-12-23 2010-12-23 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법
US13/335,811 US20120167222A1 (en) 2010-12-23 2011-12-22 Method and apparatus for diagnosing malicous file, and method and apparatus for monitoring malicous file

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100133929A KR20120072120A (ko) 2010-12-23 2010-12-23 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20120072120A true KR20120072120A (ko) 2012-07-03

Family

ID=46318710

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100133929A KR20120072120A (ko) 2010-12-23 2010-12-23 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법

Country Status (2)

Country Link
US (1) US20120167222A1 (ko)
KR (1) KR20120072120A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012111714A1 (de) 2012-07-03 2014-01-09 Hyundai Motor Company Verfahren zum Steuern eines Motorgeräusches einschliesslich eines Verbrennungsgeräusches eines Verbrennungsmotors
KR101436496B1 (ko) * 2013-09-02 2014-10-14 주식회사 안랩 악성 코드 원격 진단 시스템
WO2014168408A1 (ko) * 2013-04-11 2014-10-16 주식회사 안랩 클라우드 기반 악성코드 진단 장치, 시스템 및 방법
KR102134898B1 (ko) * 2019-10-15 2020-07-17 주식회사 에프원시큐리티 클라우드 기반 통합 웹서버 보안서비스 제공 시스템 및 방법

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130239214A1 (en) * 2012-03-06 2013-09-12 Trusteer Ltd. Method for detecting and removing malware
RU2580036C2 (ru) * 2013-06-28 2016-04-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ создания гибкой свертки для обнаружения вредоносных программ
US10848502B2 (en) * 2015-12-01 2020-11-24 Webroot Inc. Detection and prevention of hostile network traffic flow appropriation and validation of firmware updates
CN109947497B (zh) * 2017-12-20 2021-06-08 Oppo广东移动通信有限公司 应用程序预加载方法、装置、存储介质及移动终端

Family Cites Families (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8234477B2 (en) * 1998-07-31 2012-07-31 Kom Networks, Inc. Method and system for providing restricted access to a storage medium
GB2366693B (en) * 2000-08-31 2002-08-14 F Secure Oyj Software virus protection
US6757830B1 (en) * 2000-10-03 2004-06-29 Networks Associates Technology, Inc. Detecting unwanted properties in received email messages
US6622150B1 (en) * 2000-12-18 2003-09-16 Networks Associates Technology, Inc. System and method for efficiently managing computer virus definitions using a structured virus database
US7613930B2 (en) * 2001-01-19 2009-11-03 Trustware International Limited Method for protecting computer programs and data from hostile code
US7080000B1 (en) * 2001-03-30 2006-07-18 Mcafee, Inc. Method and system for bi-directional updating of antivirus database
US20020199116A1 (en) * 2001-06-25 2002-12-26 Keith Hoene System and method for computer network virus exclusion
US7023861B2 (en) * 2001-07-26 2006-04-04 Mcafee, Inc. Malware scanning using a network bridge
WO2003107222A1 (en) * 2002-06-13 2003-12-24 Cerisent Corporation Parent-child query indexing for xml databases
US7526809B2 (en) * 2002-08-08 2009-04-28 Trend Micro Incorporated System and method for computer protection against malicious electronic mails by analyzing, profiling and trapping the same
US7523155B2 (en) * 2004-03-18 2009-04-21 International Business Machines Corporation Method, system and program product for using open mobile alliance (OMA) alerts to send client commands/requests to an OMA DM server
US20050262567A1 (en) * 2004-05-19 2005-11-24 Itshak Carmona Systems and methods for computer security
JP4416593B2 (ja) * 2004-07-21 2010-02-17 富士通株式会社 ネットワーク接続制御方法及びネットワーク接続制御システム
KR20070043801A (ko) * 2004-07-22 2007-04-25 마츠시타 덴끼 산교 가부시키가이샤 재생장치, 재생방법, 프로그램 및 컴퓨터 판독 가능한기록매체
AU2005100653A4 (en) * 2005-08-12 2005-09-15 Agent Mobile Pty Ltd Mobile Device-Based End-User Filter
US20070056035A1 (en) * 2005-08-16 2007-03-08 Drew Copley Methods and systems for detection of forged computer files
JP4687382B2 (ja) * 2005-10-25 2011-05-25 株式会社日立製作所 ストレージシステムにおけるウイルスチェック方法
US20070152854A1 (en) * 2005-12-29 2007-07-05 Drew Copley Forgery detection using entropy modeling
US7849507B1 (en) * 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for filtering server responses
US7797746B2 (en) * 2006-12-12 2010-09-14 Fortinet, Inc. Detection of undesired computer files in archives
US7840537B2 (en) * 2006-12-22 2010-11-23 Commvault Systems, Inc. System and method for storing redundant information
US9015301B2 (en) * 2007-01-05 2015-04-21 Digital Doors, Inc. Information infrastructure management tools with extractor, secure storage, content analysis and classification and method therefor
CA2714549A1 (en) * 2007-02-09 2008-08-14 Smobile Systems, Inc. Off-line mms malware scanning system and method
US8782786B2 (en) * 2007-03-30 2014-07-15 Sophos Limited Remedial action against malicious code at a client facility
US20090013405A1 (en) * 2007-07-06 2009-01-08 Messagelabs Limited Heuristic detection of malicious code
US8621610B2 (en) * 2007-08-06 2013-12-31 The Regents Of The University Of Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
ATE505017T1 (de) * 2007-08-10 2011-04-15 Alcatel Lucent Verfahren und vorrichtung zur klassifizierung von datenverkehr in ip-netzen
US8429750B2 (en) * 2007-08-29 2013-04-23 Enpulz, L.L.C. Search engine with webpage rating feedback based Internet search operation
US8214895B2 (en) * 2007-09-26 2012-07-03 Microsoft Corporation Whitelist and blacklist identification data
KR100942795B1 (ko) * 2007-11-21 2010-02-18 한국전자통신연구원 악성프로그램 탐지장치 및 그 방법
US9363745B2 (en) * 2008-03-26 2016-06-07 Srinivasan Balasubramanian Device managed access point lists in wireless communications
US7472420B1 (en) * 2008-04-23 2008-12-30 Kaspersky Lab, Zao Method and system for detection of previously unknown malware components
US8631488B2 (en) * 2008-08-04 2014-01-14 Cupp Computing As Systems and methods for providing security services during power management mode
KR100996855B1 (ko) * 2008-08-29 2010-11-26 주식회사 안철수연구소 정상 파일 데이터베이스 제공 시스템 및 방법
US8060936B2 (en) * 2008-10-21 2011-11-15 Lookout, Inc. Security status and information display system
US8181251B2 (en) * 2008-12-18 2012-05-15 Symantec Corporation Methods and systems for detecting malware
GB2469323B (en) * 2009-04-09 2014-01-01 F Secure Oyj Providing information to a security application
CN101621512B (zh) * 2009-07-14 2012-01-25 中国科学院软件研究所 一种p2p网络中识别伪造评价和防止恶意攻击的方法
KR100942456B1 (ko) * 2009-07-23 2010-02-12 주식회사 안철수연구소 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US8443447B1 (en) * 2009-08-06 2013-05-14 Trend Micro Incorporated Apparatus and method for detecting malware-infected electronic mail
US8528080B2 (en) * 2009-09-15 2013-09-03 Reefedge Networks, Llc Short-range mobile honeypot for sampling and tracking threats
US20110078497A1 (en) * 2009-09-30 2011-03-31 Lyne James I G Automated recovery from a security event
US8572740B2 (en) * 2009-10-01 2013-10-29 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
US9104872B2 (en) * 2010-01-28 2015-08-11 Bank Of America Corporation Memory whitelisting
US8683216B2 (en) * 2010-07-13 2014-03-25 F-Secure Corporation Identifying polymorphic malware
US9075993B2 (en) * 2011-01-24 2015-07-07 Mcafee, Inc. System and method for selectively grouping and managing program files
US8955133B2 (en) * 2011-06-09 2015-02-10 Microsoft Corporation Applying antimalware logic without revealing the antimalware logic to adversaries

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012111714A1 (de) 2012-07-03 2014-01-09 Hyundai Motor Company Verfahren zum Steuern eines Motorgeräusches einschliesslich eines Verbrennungsgeräusches eines Verbrennungsmotors
WO2014168408A1 (ko) * 2013-04-11 2014-10-16 주식회사 안랩 클라우드 기반 악성코드 진단 장치, 시스템 및 방법
KR101436496B1 (ko) * 2013-09-02 2014-10-14 주식회사 안랩 악성 코드 원격 진단 시스템
KR102134898B1 (ko) * 2019-10-15 2020-07-17 주식회사 에프원시큐리티 클라우드 기반 통합 웹서버 보안서비스 제공 시스템 및 방법

Also Published As

Publication number Publication date
US20120167222A1 (en) 2012-06-28

Similar Documents

Publication Publication Date Title
US11102223B2 (en) Multi-host threat tracking
WO2021077987A1 (zh) 一种安全漏洞的防御方法和设备
Zhang et al. An IoT honeynet based on multiport honeypots for capturing IoT attacks
EP3171572B1 (en) Network security protection method and device
KR20120072120A (ko) 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법
RU2417429C2 (ru) Защита от использования уязвимости программного обеспечения
Li et al. vNIDS: Towards elastic security with safe and efficient virtualization of network intrusion detection systems
Rawat et al. Association rule learning for threat analysis using traffic analysis and packet filtering approach
WO2015153093A1 (en) Using trust profiles for network breach detection
US20220337555A1 (en) Firewall offloading
CN104115463A (zh) 用于处理网络元数据的流式传输方法和系统
Kaur et al. Automatic attack signature generation systems: A review
US11949694B2 (en) Context for malware forensics and detection
Ko et al. Management platform of threats information in IoT environment
WO2023241202A1 (zh) 一种网络资产的监管引擎
WO2016048962A1 (en) Collaborative deep packet inspection systems and methods
Umar et al. Mitigating sodinokibi ransomware attack on cloud network using software-defined networking (SDN)
Seo et al. A study on efficient detection of network-based IP spoofing DDoS and malware-infected Systems
CN110417578B (zh) 一种异常ftp连接告警处理方法
Kenaza An ontology-based modelling and reasoning for alerts correlation
Firoz et al. Performance optimization of layered signature based intrusion detection system using snort
US11632393B2 (en) Detecting and mitigating malware by evaluating HTTP errors
Sourour et al. Network security alerts management architecture for signature-based intrusions detection systems within a NAT environment
Anbar et al. NADTW: new approach for detecting TCP worm
Sagala et al. Industrial control system security-malware botnet detection

Legal Events

Date Code Title Description
A201 Request for examination
SUBM Surrender of laid-open application requested