KR20120078017A - 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템과 이를 사용하는 분석가 단말 - Google Patents

클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템과 이를 사용하는 분석가 단말 Download PDF

Info

Publication number
KR20120078017A
KR20120078017A KR1020100140174A KR20100140174A KR20120078017A KR 20120078017 A KR20120078017 A KR 20120078017A KR 1020100140174 A KR1020100140174 A KR 1020100140174A KR 20100140174 A KR20100140174 A KR 20100140174A KR 20120078017 A KR20120078017 A KR 20120078017A
Authority
KR
South Korea
Prior art keywords
signature
file
analysis support
analysis
malware
Prior art date
Application number
KR1020100140174A
Other languages
English (en)
Other versions
KR101228902B1 (ko
Inventor
황규범
김정훈
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020100140174A priority Critical patent/KR101228902B1/ko
Publication of KR20120078017A publication Critical patent/KR20120078017A/ko
Application granted granted Critical
Publication of KR101228902B1 publication Critical patent/KR101228902B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

클라우드 컴퓨팅 환경을 악성코드 분석 및 진단 시그니처 작성에 활용하는 기술이다. 악성코드 분석 대상인 파일에 대해 상기 파일과 관련된 분석용 정보를 추출하는 파일 처리부와, 상기 파일 처리부의 분석용 정보를 저장하는 데이터베이스와, 상기 분석용 정보에 기초하여 분석 지원 정보를 생성하고, 네트워크를 통해 연결된 분석가 단말로 상기 분석 지원 정보를 제공하는 분석 지원부를 포함하는 클라우드 컴퓨팅 기반형 악성코드 분석 지원 시스템을 제공한다. 이를 통해 클라우드 컴퓨팅 기반의 악성 코드 시그니처 작성 환경에서 분석가가 샘플을 자신의 컴퓨터에 복제하여 분석과 시그니처 추출 위치를 정하는 방식을 탈피하여 분석 대상 샘플을 서버에 두고 서버에 의해 분석된 일련의 과정과 샘플 수집 당시 발생했던 행위 정보들, 타 샘플과의 연관성등에 대한 정보를 네트워크를 통해 제공받고 이 정보를 분석가가 확인하여 악성 여부를 결정할 수 있는바, 분석가의 환경과 위치 제약에 따른 작업 효율의 저하를 방지하고 분석가의 역량 차이에 따른 진단 품질의 차이를 최소화하며, 오진에 대한 검증을 용이하게 하는 효과가 있다.

Description

클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템과 이를 사용하는 분석가 단말{Cloud Computing-Based System for Supporting Analysis of Malicious Code and Analyst Terminal Using the Same}
본 발명은 컴퓨터 및 각종 휴대 단말기 등과 같은 사용자 장치에 오작동을 일으키는 악성코드를 분석하기 위해 사용될 수 있는 악성코드 분석 시스템에 관한 것이다. 보다 구체적으로, 본 발명은 클라우드 컴퓨팅을 기반으로 동작하여 분석가 단말을 통한 악성코드 분석을 지원하기 위한 시스템 및 이를 이용하는 분석가 단말에 관한 것이다.
사용자 장치를 공격하는 악성코드 탐지 방법으로 가장 많이 사용되는 방법은 시그니처를 기반으로 하는 검출 방법(signature based detection)으로서, 이는 악성코드를 포함하는 샘플 파일을 분석하여 파일 안의 적절한 영역에 포함되어 있는 시그니처(즉, 악성코드 중 그 특징이 되는 일부 패턴)를 추출하고 이를 데이터베이스에 저장한 다음, 추후 입력/수신된 진단 대상 데이터 또는 파일을 데이터베이스의 저장된 시그니처와 일일이 비교하여 동일한 것이 있는지 여부를 검사함으로써 악성코드 포함 여부를 탐지하는 방식이다. 전술한 방식으로 얻어진 시그니처는 사용자에게 지속적으로 배포되며, 각 사용자 시스템 내에서 악성코드 검사 엔진이 이를 이용하여 파일 및 메모리를 진단하여 최종적으로 특정 파일이 악성코드를 포함하고 있는지 여부가 판단된다.
앞서 언급한 악성코드 탐지 방식에서는 각 시그니처 분석가가 자신의 컴퓨터 시스템으로 분석 대상인 샘플 파일을 전달받고, 샘플 파일을 분석하여 시그니처의 위치를 선정하는 것이 필수적이었다. 이러한 방식의 문제점은 분석가의 모든 분석이 자신의 컴퓨터 시스템에 복사된 샘플 파일에 대해서만 행해질 수 있다는 것, 각 분석가마다 분석 환경 및 제약이 상이하여 때로는 매우 열악한 제약 속에 분석을 수행해야 한다는 것, 또한 무엇보다 시그니처 위치의 정확한 선정 여부가 분석가의 경험 및 역량에 따라 매우 달라진다는 것이다.
이와 같이 분석가의 환경 제약 또는 역량 부족에 기인하여 실제 파일 내에 악성코드가 없음에도 불구하고 악성코드가 존재하는 것으로 판단하는 오진(false positive)이 발생할 가능성이 높아지게 되며 이는 종국적으로 진단 품질이 현격하게 저하되는 원인이 된다.
또한 이러한 오진을 방지하기 위한 종래의 방법에 따르면 통상적으로는 일단 분석가 시스템에서 분석을 수행한 후 엔진 시그니처 파일에 악성으로 판단된 코드의 시그니처를 추가하여 검사 엔진에 먼저 반영시킨 뒤 추후 오진 검증 대상 파일을 모아놓고 일괄적으로 검증하는 형태의 검증 방법이 사용되었다. 따라서 이러한 검증 시스템에서는 엔진에 반영되기 이전에는 각 분석가 시스템 레벨에서 자신이 작성한 시그니처가 향후 오진 가능성이 없는지 여부를 바로 테스트/검증할 수 없다. 또한 이와 같은 검증 방법에 의하면, 검증을 위해 모아놓은 대상 파일들의 총 용량이 지나치게 커지는 경우 검증 자체가 대단히 곤란하고 엔진 작성 및 엔진 테스트에 소요되는 시간도 많이 소요되므로, 결국 악성코드에 대한 신속하고 정확한 대응을 어렵게 한다는 문제점이 있었다. 즉, 전술한 종래의 검증 방식은 분석가의 분석 과정에서 추출된 시그니처의 향후 오진 야기 가능성을 바로 판단하지 않고 일단 시그니처 업데이트까지 수행한 후에 엔진 테스트를 통해 검증하는 형태이므로, 시그니처에 대한 오진의 확인(confirmation)까지 상당한 시간이 걸리고 그에 소요되는 작업도 복잡하다.
따라서, 본 발명의 일 목적은 클라우드 컴퓨팅을 기반으로 하는 악성코드 분석 지원 시스템을 제공함으로써 분석가 자신이 분석 시스템을 갖추지 않더라도 단말을 통해 각종 정보의 조회 및 그에 따른 악성코드 여부 판단을 가능하게 하는 것이다.
본 발명의 다른 목적은 분석가가 악성코드 여부를 판단함에 있어서 동일/유사 파일들에 대해 타 분석가들에 의해 이미 행해진 진단 결과 및 분석 결과들을 최대한 이용할 수 있도록 하는 악성코드 분석 지원 시스템을 제공하는 것이다.
본 발명의 또 다른 목적은 분석가에 의해 작성된 시그니처가 실제로 엔진 시그니처 파일로 작성되기 전에 분석가로 하여금 미리 악성코드 분석 지원 시스템을 통해 검증(즉 작성된 시그니처가 향후 오진을 야기할 시그니처인지 여부의 판단)할 수 있도록 함으로써, 최대한 신속히 시그니처의 정확성 여부를 판단하여 악성코드 진단 품질의 저하를 막고 관련되는 작업의 효율을 높이는 것이다.
상기와 같은 목적을 달성하기 위한 본 발명의 일 실시예에 따르면, 클라우드 컴퓨팅 기반형 악성코드 분석 지원 시스템으로서, 악성코드 분석 대상인 파일에 대해 상기 파일과 관련된 분석용 정보를 추출하는 파일 처리부와, 상기 파일 처리부의 분석용 정보를 저장하는 데이터베이스와, 상기 분석용 정보에 기초하여 분석 지원 정보를 생성하고, 네트워크를 통해 연결된 분석가 단말로 상기 분석 지원 정보를 제공하는 분석 지원부를 포함하는 악성코드 분석 지원 시스템을 제공한다.
또한, 상기 데이터베이스는 상기 분석 지원 정보를 저장하는 악성코드 분석 지원 시스템을 제공한다.
또한, 상기 분석 지원부는 가상 머신(Virtual Machine) 기능을 상기 분석가 단말에 지원할 수 있도록 구성된 악성코드 분석 지원 시스템을 제공한다.
또한, 상기 분석 지원부는 상기 분석가 단말로부터 상기 파일에 대한 악성코드 진단 정보를 수신하는 악성코드 분석 지원 시스템을 제공한다.
또한, 상기 악성코드 진단 정보는 상기 파일에 대한 진단 시그니처를 포함하는 악성코드 분석 지원 시스템을 제공한다.
또한, 상기 분석 지원부는 상기 진단 시그니처에 의한 오진 발생 가능성 유무를 검증하기 위한 검증용 시그니처를 상기 분석가 단말로 전송하는 악성코드 분석 지원 시스템을 제공한다.
또한, 상기 분석 지원부는 상기 진단 시그니처에 의한 오진 발생 가능성 유무를 검증하기 위한 검증용 시그니처를 이용하여 상기 검증을 수행하고, 상기 검증의 결과를 상기 분석가 단말로 전송하는 악성코드 분석 지원 시스템을 제공한다.
또한, 상기 검증용 시그니처는 상기 데이터베이스에 저장되어 있는 악성코드 분석 지원 시스템을 제공한다.
또한, 상기 진단 시그니처에 의한 오진 발생 가능성이 없는 것으로 판단되는 경우 상기 진단 시그니처로부터 엔진 시그니처 파일을 작성하는 엔진 시그니처 파일 작성부와, 상기 엔진 시그니처 파일을 배포하기 위한 시그니처 배포 서버를 더 포함하는 악성코드 분석 지원 시스템을 제공한다.
본 발명의 일 실시예에 따르면, 클라우드 컴퓨팅 기반형 악성코드 분석 지원 시스템에 네트워크를 통해 접속하여 악성코드 분석을 수행하는 분석가 단말 장치로서, 상기 악성코드 분석 지원 시스템의 파일 서버에 저장된 파일의 리스트로부터 선정된 분석대상 파일을 상기 악성코드 분석 지원 시스템에 통지하고, 상기 악성코드 분석 지원 시스템으로부터 상기 파일과 관련된 악성코드 분석 지원 정보를 수신하고, 상기 파일에 대하여 분석가로부터 입력된 악성코드 진단 정보를 상기 악성코드 분석 지원 시스템에 송신하도록 구성되는 분석가 단말 장치를 제공한다.
또한, 상기 악성코드 진단 정보는 상기 파일에 대한 진단 시그니처를 포함하는 분석가 단말 장치를 제공한다.
또한, 상기 악성코드 분석 지원 시스템으로부터 상기 진단 시그니처에 의한 오진 발생 가능성 유무를 검증하기 위한 검증용 시그니처를 수신하는 분석가 단말 장치를 제공한다.
또한, 상기 악성코드 분석 지원 시스템으로부터 상기 진단 시그니처에 의한 오진 발생 가능성 유무의 결과를 수신하는 분석가 단말 장치를 제공한다.
본 발명의 일 실시예에 따르면, 컴퓨터 프로그램이 저장된 컴퓨터 판독가능 기록 매체로서, 상기 컴퓨터 프로그램은 컴퓨터에서 실행되는 경우 악성코드 분석 대상인 파일에 대해 상기 파일과 관련된 분석용 정보를 추출하고, 상기 분석용 정보에 기초하여 분석 지원 정보를 생성하고, 네트워크를 통해 연결된 분석가 단말로 상기 분석 지원 정보를 제공하도록 구성되는 컴퓨터 판독가능 기록매체를 제공한다.
또한, 상기 컴퓨터 프로그램은 또한 상기 분석가 단말에 가상 머신(Virtual Machine) 기능을 지원할 수 있도록 구성되는 컴퓨터 판독가능 기록매체를 제공한다.
또한, 상기 컴퓨터 프로그램은 또한 상기 분석가 단말로부터 상기 파일에 대한 진단 시그니처를 수신하도록 구성되는 컴퓨터 판독가능 기록매체를 제공한다.
또한, 상기 컴퓨터 프로그램은 또한 상기 진단 시그니처에 의한 오진 발생 가능성 유무를 검증하기 위한 검증용 시그니처를 상기 분석가 단말로 전송하도록 구성되는 컴퓨터 판독가능 기록매체를 제공한다.
또한, 상기 컴퓨터 프로그램은 또한 상기 진단 시그니처에 의한 오진 발생 가능성 유무를 검증하기 위한 검증용 시그니처를 이용하여 상기 검증을 수행하고, 상기 검증의 결과를 상기 분석가 단말로 전송하도록 구성되는 컴퓨터 판독가능 기록매체를 제공한다.
또한, 상기 컴퓨터 프로그램은 또한 상기 진단 시그니처에 의한 오진 발생 가능성이 없는 것으로 판단되는 경우 상기 진단 시그니처로부터 엔진 시그니처 파일을 작성하도록 구성되는 컴퓨터 판독가능 기록매체를 제공한다.
본 발명의 일 실시예에 따르면, 컴퓨터 프로그램이 저장된 컴퓨터 판독가능 기록 매체로서, 상기 컴퓨터 프로그램은 컴퓨터에서 실행되는 경우 클라우드 컴퓨팅 기반형 악성코드 분석 지원 시스템에 네트워크를 통해 접속하고, 상기 악성코드 분석 지원 시스템의 파일 서버에 저장된 파일의 리스트로부터 선정된 분석대상 파일을 상기 악성코드 분석 지원 시스템에 통지하고, 상기 악성코드 분석 지원 시스템으로부터 상기 파일과 관련된 악성코드 분석 지원 정보를 수신하고, 상기 파일에 대하여 분석가로부터 입력된 악성코드 진단 정보를 상기 악성코드 분석 지원 시스템에 송신하도록 구성되는 컴퓨터 판독가능 기록 매체를 제공한다.
또한, 상기 악성코드 진단 정보는 상기 파일에 대한 진단 시그니처를 포함하는 컴퓨터 판독가능 기록 매체를 제공한다.
또한, 상기 컴퓨터 프로그램은 또한 상기 악성코드 분석 지원 시스템으로부터 상기 진단 시그니처에 의한 오진 발생 가능성 유무를 검증하기 위한 검증용 시그니처를 수신하도록 구성되는 컴퓨터 판독가능 기록 매체를 제공한다.
또한, 상기 컴퓨터 프로그램은 또한 상기 악성코드 분석 지원 시스템으로부터 상기 진단 시그니처에 의한 오진 발생 가능성 유무의 결과를 수신하도록 구성되는 컴퓨터 판독가능 기록 매체를 제공한다.
본 발명에 따른 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템은 분석가의 환경과 위치 제약에 따른 작업 효율의 저하를 방지하고, 또한 악성코드 및 정상 파일 또는 화이트리스트에 대한 방대한 데이터를 축적하고 이를 분석가 단말에 제공함으로써 분석가의 역량 차이에 따른 진단 품질의 차이를 최소화하며 오진에 대한 검증을 실시간으로 용이하게 수행하도록 하는바, 악성코드에 대한 정확한 분석 및 신속한 대응을 가능하게 하는 효과가 있다.
도 1은 본 발명의 실시예에 따른 악성코드 분석 시스템의 개요를 도시한다.
도 2는 본 발명의 실시예에 따른 악성코드 분석 서버 시스템에서 악성코드 분석을 지원하기 위한 일련의 과정을 도시한다.
도 3은 본 발명의 실시예에 따른 분석가 단말기에서 악성코드 분석을 수행하는 일련의 과정을 도시한다.
본 발명의 특징과 장점 및 이를 달성하기 위한 방법과 시스템은 첨부되는 도면과 함께 상세하게 후술되는 실시예들을 참조하면 더욱 명확하게 이해될 수 있다. 그러나 본 발명은 아래에서 개시되는 실시예들에 한정되는 것이 아니며 이와 상이한 다른 다양한 형태로도 구현될 수 있다. 즉, 아래의 실시예들은 본 발명의 충분한 개시를 위해 제공되는 것일 뿐이며 본 발명의 범위를 제한하기 위한 것이 아니다. 또한 본 명세서 전체에 걸쳐 동일한 참조 부호는 동일한 구성요소를 가리킨다.
이하에서는 첨부 도면을 참조하여 본 발명의 실시예들이 상세히 설명된다.
도 1은 본 발명의 실시예에 따른 클라우드 컴퓨팅 기반 악성코드 분석 시스템의 전체적인 개요를 도시하는 도면이다. 우선, 위 악성코드 분석 시스템은 악성코드 분석 서버 시스템(100) 및 네트워크(150)를 통해 악성코드 분석 서버 시스템(100)에 연결될 수 있는 분석가 단말(160) 또는 사용자 단말(170)을 포함한다.
또한, 본 발명의 실시예에 따르면, 악성코드 분석 서버 시스템(100)은 샘플 파일들을 저장하고 있는 파일 서버(110)와, 파일 서버(110)에 저장된 샘플 파일에 대한 분석 정보를 분석가 단말(160)에 제공하고 분석가 단말(160)로부터 악성코드 분석 결과를 포함하는 악성코드 진단 정보를 수신하여 오진 여부를 검증하며 오진이 없는 것으로 검증된 시그니처를 저장하기 위한 악성코드 분석 지원 시스템(120)과, 새로이 추가되거나 수정된 시그니처를 엔진 시그니처 파일로 작성하는 엔진 시그니처 파일 작성부(130)와, 작성된 엔진 시그니처 파일이 업로드되는 시그니처 배포 서버(140)를 포함한다.
나아가, 도 1을 참조하면, 악성코드 분석 지원 시스템(120)은 파일 서버(110)에 저장된 파일들의 메타 정보 및 코드 분석 정보를 추출하는 파일 처리부(122)와, 파일처리부(122)가 추출한 분석 정보를 저장하는 데이터베이스(124)와, 위 분석 정보를 분석가 단말(160)에 제공하는 분석 지원부(126)를 포함한다. 여기서, 분석 지원부(126)는 타 악성코드나 샘플과의 유사성 정보 등도 함께 제공할 수 있다.
또한, 본 발명의 실시예에 따르면, 분석 지원부(126)는 분석가 단말(160)로부터의 악성코드 분석 결과에 따라 작성된 진단 시그니처와는 별도로 작성된 검증용 시그니처(예컨대, 악성코드 분석 서버 시스템(100)에서 작성될 수 있음)를 이용하여 오진 발생 가능성 유무를 검증할 수 있다. 분석 지원부(126)에 의해 오진 발생 가능성이 없는 것으로 검증된 경우 진단 시그니처는 데이터베이스(124)에 저장되고, 엔진 시그니처 파일 작성부(130)는 데이터베이스(124)에 저장된 진단 시그니처로부터 엔진 업데이트 주기마다 엔진 시그니처 파일을 작성하여 시그니처 배포 서버(140)에 업로드할 수 있다.
분석가 단말(160)은 분석가로 하여금 악성코드 분석 지원 시스템(120)으로부터 제공되는 각종 분석 정보를 조회할 수 있게 하고 또한 다른 악성코드와의 관계 등과 같은 정보 등을 확인할 수 있게 한다.
사용자 단말(170)은 네트워크(150)를 통해 악성코드 분석 서버 시스템(100)에 연결되며, 또한 시그니처 배포 서버(140)에 업로드되어 있는 엔진 시그니처 파일을 다운로드하고 위 엔진 시그니처 파일에 포함된 시그니처를 반영하여 악성코드 검사를 수행할 수 있는 검사 엔진을 포함할 수 있다.
이하에서는, 도 2 및 도 3을 참조하여, 본 발명의 실시예에 따른 악성코드 분석 시스템에 포함된 상기 각 구성요소들간의 구체적 동작 및 상호 연결에 대하여 보다 상세하게 설명한다.
본 발명의 실시예에 따른 악성코드 분석 서버 시스템은 내부에 다량의 악성 코드 샘플과 화이트리스트 자료, 또한 정상 파일 샘플에 대한 분석 자료 및 파일 메타 정보를 저장하도록 되어 있어, 새로 입수된 파일 혹은 악성코드 검사가 필요한 파일에 대해 유용한 분석 정보 및 파일 메타 정보를 제공할 뿐 아니라, 다른 악성코드나 샘플과의 유사성 관련 정보(예를 들면 유사도 스코어)를 제공하여, 분석가가 악성코드 분석하는 것을 지원할 수 있다.
이와 관련하여, 악성코드 분석 서버 시스템으로의 데이터 축적 또는 저장에 대하여 먼저 살펴본다.
도 2를 참조하면, 악성코드 분석 서버 시스템은 파일 서버에 저장된 샘플 파일에 대하여 메타 정보와 코드 분석 정보 등의 분석용 정보를 추출한다(200). 예컨대, 악성코드 분석 서버 시스템(100)에 있어서, 파일 서버(110)로부터 그 내부에 저장된 샘플 파일을 전송 받은 악성코드 분석 지원 시스템(120)은 파일의 메타 정보와 코드 분석 정보 등을 추출하여 관련 데이터베이스(124)에 저장하게 된다. 여기서 파일의 메타 정보란 예를 들면 SHA2, MD5 등을 통해 얻을 수 있는 파일의 시그너처 값, 파일의 크기, 이름, 헤더의 내용, 헤더의 섹션 이름, 각 헤더의 필드 값, 출처, 드롭된 모체 파일, 복사된 위치, 복사 이전의 위치, 각 데이터 블록의 엔트로피, CRC, 여러 백신의 진단 이름, 파일 유전자 정보 등과 같이 분석가가 일반적으로 참조하는 모든 가공된 정보들로서, 분석가가 악성 여부를 결정할 수 있는 기타 다수의 정보들이 포함될 수 있다. 또한 여기서 파일 유전자 정보에는 파일의 헤더에 포함되는 모든 정보와 파일의 출처, 다운로드 된 위치, 모체 파일 정보 등과 같은 중요 행위 정보도 포함되며, 또한 실행 시작점 근방에 있는 일부 블록의 엔트로피 및 CRC 정보 등이 포함되며, 분석 영역으로부터 분기(JMP, CALL 등)할 것을 지시하는 명령이 있는 경우 그 거리(분기 거리) 역시 상기 정보로서 포함될 수 있다.
분석 서버 시스템은 이하에서 상술할 분석가의 악성코드 분석 작업을 위해 추출된 정보를 분석가 단말에 제공한다(220). 예컨대, 악성코드 분석 서버 시스템(100)이 분석가 단말(170)로부터 분석대상 파일을 통지받으면, 그와 관련된 분석 지원 정보를 분석가 단말(170)에 제공할 수 있다.
한편, 분석가는 샘플 파일에 대한 분석을 위해 종래와 같이 자신의 시스템(분석가 시스템)으로 샘플 파일들을 복사하는 대신, 도 3에 도시된 바와 같이 분석가 단말을 통해 파일 서버에 저장된 파일들의 리스트를 수신하고(310), 분석대상으로 선정한 파일을 악성코드 분석 서버 시스템에 통지하며(320), 분석 서버 시스템으로부터 분석 대상 파일과 관련된 각종 정보를 수신할 수 있다(330). 예컨대, 분석가 단말(160)을 통해 파일 서버(110)에 저장된 샘플 중 작업 대상 목록을 선정함으로써 분석 대상인 샘플들을 선택한 후, 해당 각 샘플에 대한 분석 정보, 분석 서버 시스템(100)에 의해 판단된 악성 코드 수준, 그리고 파일의 내용 등을 포함하는 분석 지원 정보를 분석가 단말(160)의 인터페이스 화면(예를 들면, 웹 화면)을 통해 조회할 수 있다. 이를 통해, 분석가는 자신의 단말(160)의 화면으로 다양한 분석 정보와 악성코드간 유사성 정보를 참조하여 특정 코드의 악성 여부를 결정할 수 있고, 악성코드 분석 결과를 포함하는 악성코드 진단 정보를 선택하고 분석가 단말(160)에 입력함으로써, 악성코드 분석 결과를 분석가 단말(160)을 통해 전송할 수 있다(350).
또한, 분석 서버 시스템에서 제공하는 분석용 정보를 포함하는 각종 분석 지원 정보에도 불구하고 분석가가 코드의 악성 여부를 판단하기 어려운 경우에는 추가적으로 코드 분석이 필요할 것인바, 이러한 경우 분석 서버 시스템 내의 분석 가상 머신(analysis VM)이 분석가에게 할당되어 분석을 실시할 수 있게 한다. 도 2 및 도 3을 참조하면, 추가적인 코드 분석이 필요한 경우, 분석가 단말(160)에서 분석 서버 시스템(100)에 분석 가상 머신의 할당을 요청하고(340), 이와 같은 요청이 있는 경우 분석 서버 시스템(100)은 분석가 단말(170)에 분석 가상 머신을 할당함으로써(230), 분석가가 분석 가상 머신을 이용하여 악성코드를 분석한 후 그 결과를 분석가 단말(170)을 통해 분석 서버 시스템(100)에 전송할 수 있다(350). 다만, 추가적인 코드 분석이 필요하지 않다면, 위와 같은 과정은 생략될 수 있다. 분석 가상 머신이 할당되는 경우, 파일은 분석 서버 시스템으로부터 제공 또는 판독되며, 분석 서버 시스템으로의 접속도 가상 머신의 설정에 의해 이루어질 수 있다. 전술한 분석 가상 머신은 통상적으로 인터넷으로 접속하여 활용할 수 있는 환경으로서, 바람직하기로는 분석가의 코드 분석에 필요한 정형화된 도구와 인터넷 연결 등을 분석가로 하여금 선택할 수 있도록 한다.
분석 서버 시스템에서 분석가의 분석 작업을 위해 제공될 수 있는 모든 정보들을 참조하여 분석가가 특정 코드를 악성으로 결정하면, 진단 시그니처가 작성된다. 즉, 진단 시그니처는 분석가에 의해 (샘플 파일내에서 악성 코드가 의심되는) 위치가 결정되는 형태의 시그니처이다. 이러한 진단 시그니처는 분석가 단말로부터 분석 서버 시스템에 전송되는 악성코드 진단 정보에 포함될 수 있다. 바람직하기로 진단 시그니처의 작성시 분석가는 분석 서버 시스템의 데이터베이스에 저장되어 있는 자료 중 진단에 필요한 작업 항목을 선택하고 특정 값 또는 특정 범위를 지정함으로써, 진단되는 혹은 진단에 이용되는 파일 수를 조절할 수 있다.
또한, 본 발명의 일 실시예에 따르면, 분석가에 의해 작성된 진단 시그니처는 이하에서 설명되는 바와 같이 검증 작업을 추가로 거치게 된다.
먼저, 악성코드 분석 서버 시스템(100)은 전술한 진단 시그니처와는 별도로 상기 시그니처에 대한 검증 작업을 위한 검증용 시그니처를 생성한다. 즉, 검증용 시그니처는 본 발명의 실시예에 따른 악성코드 분석 서버 시스템에 의해 향후 진단 시그니처의 검증을 목적으로 자동으로 생성되는 시그니처로서 특정 파일의 고정된 위치가 진단영역으로 자동으로 선정되어 시그니처를 이룬다. 이 때, 선정되는 진단영역은 파일의 중요 부분에서 추출되도록 한다. 즉, 파일의 중요 부분 중 일 부분이 진단영역으로 선정되고 이에 대한 검증용 시그니처가 형성되고 분석 시스템의 데이터베이스에도 향후에 이용될 정보로서 저장된다.
여기서, 예컨대 이러한 검증용 시그니처는 분석 지원부(126)가 분석가 단말(160)로 전송할 수도 있고, 분석 지원부(126)가 검증용 시그니처를 이용하여 검증을 수행하고, 검증의 결과를 분석가 단말(160)로 전송할 수도 있다. 한편, 이러한 검증용 시그니처는 데이터베이스(124)에 저장되어 있을 수 있다.
도 2를 참조하면, 분석가 단말로부터의 악성코드 분석 결과에 따라 작성된 진단 시그니처를 포함하는 파일에 대한 검증용 시그니처를 이용하여 오진 발생 가능성 유무를 검증한다(240). 예컨대, 검증용 시그니처가 앞서 여러 분석들을 통해 진단된 어떤 파일의 특정 영역(진단 영역) 부분에 대하여 기존 데이터베이스에 저장된 기록(예를 들어, 동일/유사한 파일에 대해 앞서 동일한 알고리즘에 의해 진단 영역으로 결정되었던 부분에 대한 시그니처들과 관련된 데이터)과 비교된 결과를 살펴보면 분석가에 의해 작성된 진단 시그니처의 향후 오진 가능성을 예상할 수 있다.
보다 구체적으로, 검증용 시그니처는 기본적으로 서로 다른 파일에 대해서는 동일 영역을 지정하더라도 서로 다른 시그니처 혹은 시그니처 값을 가지게 될 것이 당연하나, 패치되어 형성된 파일(예컨대, 감염 파일)들에 대해서는 동일 알고리즘으로 지정된 영역들에 적용된 검증 시그니처 값들이 동일할 것으로 예상된다. 이러한 점을 고려할 때, 예를 들어 동일/유사한 파일의 분석 결과 어떤 분석가에 의해 악성코드로 진단되어 작성된 진단 시그니처를 포함하는 파일에 대해, 특정 알고리즘에 의하여 얻은 검증용 시그니처 적용시 기존 분석 결과에서와 마찬가지로 검증용 시그니처를 위해 적용한 영역에서 동일한 시그니처(해시값 등)이 구해진다면 상기 분석가에 의해 추출된 상기 진단 시그니처는 악성코드가 아닌 부분을 잘못 선정하여 얻어진 결과일 가능성이 매우 높으므로, 악성코드에 대한 시그니처로 추가되는 것을 차단하거나 적어도 상세히 재검토 되어야 함을 의미할 것이다. 이와 같은 검증을 통해, 향후 진단 과정에서 정상 파일을 악성 코드로 판단하는 오진을 광범위하게 야기할 가능성을 최소화할 수 있다.
예컨대, 본 발명의 실시예에서, 악성코드 분석 지원 시스템(120)의 분석 지원부(126)가 검증용 시그니처에 대해 데이터베이스(124)에 추가되어 있는 각 샘플의 검증용 시그니처와의 충돌 발생(예를 들어 동일한 파일에 대해 악성 코드 시그니처도 존재하며 동시에 화이트리스트에도 파일정보가 포함되는 경우 등) 여부를 확인하도록 구성될 수 있다. 이로써, 만약 충돌이 발생하는 시그니처들이 있으면 이들에 대해서는 추가적인 검증을 통해 충돌을 해소하여 정확한 데이터로서 분류될 수 있도록 한다.
검증용 시그니처로서는 파일의 전체가 읽혀지는 형태의 해쉬나 CRC는 사용하기 보다는 파일의 일부 블록만 선택하여 해쉬 또는 CRC 값을 구하여 사용하도록 구성하는 것이 바람직하다.
일부 실시예에서는, 전술한 검증용 시그니처의 사용을 대신하여, 혹은 그에 부가하여, 분석 서버 시스템에 각 분석가들로부터 제공되는 정상 파일 관련 자료들을 수집하여 대용량의 화이트리스트(whitelist) 데이터베이스들을 구축하고 이들을 비교 샘플 자료로 사용하면 분석가의 진단 시그니처의 정확성에 대한 검증/테스트 작업을 추가로 수행할 수 있다. 이때, 분석 서버 시스템에서는 물리적으로 샘플 파일을 접근하지 않고도 분석 시스템에 저장된 방대한 화이트리스트 관련 자료를 이용하여 진단 시그니처의 정확도를 높일 수 있다.
최종적으로, 분석가에 의해 악성 코드 분석 지원 시스템 내에서 추출된 진단 시그니처에 대하여 검증까지 완료된 후의 처리 과정을 설명하면 다음과 같다. 분석가가 작성한 진단 시그니처가 향후 오진을 야기하지 않을 것으로 검증되면, 작성된 진단 시그니처는 분석 서버 시스템의 시그니처 데이터베이스로 업로드된다(250). 이후, 분석 서버 시스템은 엔진 업데이트 주기마다 시그니처 데이터베이스에 추가된 새로운 시그니처가 있거나 기존 시그니처 중 수정된 시그니처가 있는 경우 이를 검출하여 상기 시그니처들을 엔진 업데이트 데이터 파일로 작성하고 이를 향후 고객이 접속을 통해 다운로드할 수 있는 시그니처 배포 서버로 업로드 해준다(260). 고객(사용자)은 사용자 단말(170)을 통해 추후 업데이트 주기마다 시그니처 배포 서버로부터 엔진 업데이트 데이터를 다운로드하여, 이를 자신의 단말(170)에서 실행되는 검사 엔진의 데이터로 사용하여 악성코드를 진단할 수 있다.
본 발명의 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 형태로 구현되어 컴퓨터로 판독할 수 있는 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독가능 기록 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 이러한 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 다양한 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 한정적인 것으로 이해해서는 안 된다.
100: 악성코드 분석 서버 시스템, 110: 파일 서버, 120: 악성코드 분석 지원 시스템, 122: 파일 처리부, 124: 데이터베이스, 126: 분석 지원부, 130: 엔진 시그니처 파일 작성부, 140: 시그니처 배포 서버, 150: 네트워크, 160: 분석가 단말, 170: 사용자 단말

Claims (23)

  1. 클라우드 컴퓨팅 기반형 악성코드 분석 지원 시스템으로서,
    악성코드 분석 대상인 파일에 대해 상기 파일과 관련된 분석용 정보를 추출하는 파일 처리부와,
    상기 파일 처리부의 분석용 정보를 저장하는 데이터베이스와,
    상기 분석용 정보에 기초하여 분석 지원 정보를 생성하고, 네트워크를 통해 연결된 분석가 단말로 상기 분석 지원 정보를 제공하는 분석 지원부
    를 포함하는 악성코드 분석 지원 시스템.
  2. 제 1 항에 있어서,
    상기 데이터베이스는 상기 분석 지원 정보를 저장하는 악성코드 분석 지원 시스템.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 분석 지원부는 가상 머신(Virtual Machine) 기능을 상기 분석가 단말에 지원할 수 있도록 구성된 악성코드 분석 지원 시스템.
  4. 제 1 항에 있어서,
    상기 분석 지원부는 상기 분석가 단말로부터 상기 파일에 대한 악성코드 진단 정보를 수신하는 악성코드 분석 지원 시스템.
  5. 제 4 항에 있어서,
    상기 악성코드 진단 정보는 상기 파일에 대한 진단 시그니처를 포함하는 악성코드 분석 지원 시스템.
  6. 제 5 항에 있어서,
    상기 분석 지원부는 상기 진단 시그니처에 의한 오진 발생 가능성 유무를 검증하기 위한 검증용 시그니처를 상기 분석가 단말로 전송하는 악성코드 분석 지원 시스템.
  7. 제 5 항에 있어서,
    상기 분석 지원부는 상기 진단 시그니처에 의한 오진 발생 가능성 유무를 검증하기 위한 검증용 시그니처를 이용하여 상기 검증을 수행하고, 상기 검증의 결과를 상기 분석가 단말로 전송하는 악성코드 분석 지원 시스템.
  8. 제 6 항 또는 제 7 항에 있어서,
    상기 검증용 시그니처는 상기 데이터베이스에 저장되어 있는 악성코드 분석 지원 시스템.
  9. 제 6 항 또는 제 7 항에 있어서,
    상기 진단 시그니처에 의한 오진 발생 가능성이 없는 것으로 판단되는 경우 상기 진단 시그니처로부터 엔진 시그니처 파일을 작성하는 엔진 시그니처 파일 작성부와,
    상기 엔진 시그니처 파일을 배포하기 위한 시그니처 배포 서버
    를 더 포함하는 악성코드 분석 지원 시스템.
  10. 클라우드 컴퓨팅 기반형 악성코드 분석 지원 시스템에 네트워크를 통해 접속하여 악성코드 분석을 수행하는 분석가 단말 장치로서,
    상기 악성코드 분석 지원 시스템의 파일 서버에 저장된 파일의 리스트로부터 선정된 분석대상 파일을 상기 악성코드 분석 지원 시스템에 통지하고,
    상기 악성코드 분석 지원 시스템으로부터 상기 파일과 관련된 악성코드 분석 지원 정보를 수신하고,
    상기 파일에 대하여 분석가로부터 입력된 악성코드 진단 정보를 상기 악성코드 분석 지원 시스템에 송신하도록 구성되는
    분석가 단말 장치.
  11. 제 10 항에 있어서,
    상기 악성코드 진단 정보는 상기 파일에 대한 진단 시그니처를 포함하는 분석가 단말 장치.
  12. 제 11 항에 있어서,
    상기 악성코드 분석 지원 시스템으로부터 상기 진단 시그니처에 의한 오진 발생 가능성 유무를 검증하기 위한 검증용 시그니처를 수신하는 분석가 단말 장치.
  13. 제 11 항에 있어서,
    상기 악성코드 분석 지원 시스템으로부터 상기 진단 시그니처에 의한 오진 발생 가능성 유무의 검증 결과를 수신하는 분석가 단말 장치.
  14. 컴퓨터 프로그램이 저장된 컴퓨터 판독가능 기록 매체로서,
    상기 컴퓨터 프로그램은 컴퓨터에서 실행되는 경우
    악성코드 분석 대상인 파일에 대해 상기 파일과 관련된 분석용 정보를 추출하고,
    상기 분석용 정보에 기초하여 분석 지원 정보를 생성하고,
    네트워크를 통해 연결된 분석가 단말로 상기 분석 지원 정보를 제공하도록 구성되는
    컴퓨터 판독가능 기록매체.
  15. 제 14 항에 있어서,
    상기 컴퓨터 프로그램은 또한 상기 분석가 단말에 가상 머신(Virtual Machine) 기능을 지원할 수 있도록 구성되는 컴퓨터 판독가능 기록매체.
  16. 제 14 항에 있어서,
    상기 컴퓨터 프로그램은 또한 상기 분석가 단말로부터 상기 파일에 대한 진단 시그니처를 수신하도록 구성되는 컴퓨터 판독가능 기록매체.
  17. 제 16 항에 있어서,
    상기 컴퓨터 프로그램은 또한 상기 진단 시그니처에 의한 오진 발생 가능성 유무를 검증하기 위한 검증용 시그니처를 상기 분석가 단말로 전송하도록 구성되는 컴퓨터 판독가능 기록매체.
  18. 제 16 항에 있어서,
    상기 컴퓨터 프로그램은 또한 상기 진단 시그니처에 의한 오진 발생 가능성 유무를 검증하기 위한 검증용 시그니처를 이용하여 상기 검증을 수행하고, 상기 검증의 결과를 상기 분석가 단말로 전송하도록 구성되는 컴퓨터 판독가능 기록매체.
  19. 제 17 항 또는 제 18 항에 있어서,
    상기 컴퓨터 프로그램은 또한 상기 진단 시그니처에 의한 오진 발생 가능성이 없는 것으로 판단되는 경우 상기 진단 시그니처로부터 엔진 시그니처 파일을 작성하도록 구성되는 컴퓨터 판독가능 기록매체.
  20. 컴퓨터 프로그램이 저장된 컴퓨터 판독가능 기록 매체로서,
    상기 컴퓨터 프로그램은 컴퓨터에서 실행되는 경우
    클라우드 컴퓨팅 기반형 악성코드 분석 지원 시스템에 네트워크를 통해 접속하고,
    상기 악성코드 분석 지원 시스템의 파일 서버에 저장된 파일의 리스트로부터 선정된 분석대상 파일을 상기 악성코드 분석 지원 시스템에 통지하고,
    상기 악성코드 분석 지원 시스템으로부터 상기 파일과 관련된 악성코드 분석 지원 정보를 수신하고,
    상기 파일에 대하여 분석가로부터 선택되어 입력된 악성코드 진단 정보를 상기 악성코드 분석 지원시스템에 송신하도록 구성되는
    컴퓨터 판독가능 기록 매체.
  21. 제 20 항에 있어서,
    상기 악성코드 진단 정보는 상기 파일에 대한 진단 시그니처를 포함하는 컴퓨터 판독가능 기록 매체.
  22. 제 21 항에 있어서,
    상기 컴퓨터 프로그램은 또한 상기 악성코드 분석 지원 시스템으로부터 상기 진단 시그니처에 의한 오진 발생 가능성 유무를 검증하기 위한 검증용 시그니처를 수신하도록 구성되는 컴퓨터 판독가능 기록 매체.
  23. 제 21 항에 있어서,
    상기 컴퓨터 프로그램은 또한 상기 악성코드 분석 지원 시스템으로부터 상기 진단 시그니처에 의한 오진 발생 가능성 유무의 검증 결과를 수신하도록 구성되는 컴퓨터 판독가능 기록 매체.
KR1020100140174A 2010-12-31 2010-12-31 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템 KR101228902B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100140174A KR101228902B1 (ko) 2010-12-31 2010-12-31 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100140174A KR101228902B1 (ko) 2010-12-31 2010-12-31 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템

Publications (2)

Publication Number Publication Date
KR20120078017A true KR20120078017A (ko) 2012-07-10
KR101228902B1 KR101228902B1 (ko) 2013-02-06

Family

ID=46711424

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100140174A KR101228902B1 (ko) 2010-12-31 2010-12-31 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템

Country Status (1)

Country Link
KR (1) KR101228902B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014168408A1 (ko) * 2013-04-11 2014-10-16 주식회사 안랩 클라우드 기반 악성코드 진단 장치, 시스템 및 방법
KR101509034B1 (ko) * 2013-10-15 2015-04-07 경희대학교 산학협력단 클라우드 서비스에서 악성 파일 동기화 방지 시스템 및 방지 방법
KR101857009B1 (ko) * 2017-01-19 2018-05-11 숭실대학교산학협력단 안드로이드 악성코드 분석을 위한 컨테이너 플랫폼 및 이를 이용한 모바일 장치의 보안 방법
KR102222804B1 (ko) * 2020-03-04 2021-03-04 주식회사 와파스시스템즈 블록체인 기반 악성코드 분석 시스템 및 방법
WO2022149729A1 (ko) * 2021-01-05 2022-07-14 (주)모니터랩 악성코드 정적분석을 위한 실행파일 언패킹 시스템 및 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101473658B1 (ko) * 2013-05-31 2014-12-18 주식회사 안랩 필터를 이용한 클라우드 기반 악성코드 진단장치, 시스템 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100786725B1 (ko) 2005-11-08 2007-12-21 한국정보보호진흥원 악성코드 분석 시스템 및 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014168408A1 (ko) * 2013-04-11 2014-10-16 주식회사 안랩 클라우드 기반 악성코드 진단 장치, 시스템 및 방법
KR101509034B1 (ko) * 2013-10-15 2015-04-07 경희대학교 산학협력단 클라우드 서비스에서 악성 파일 동기화 방지 시스템 및 방지 방법
KR101857009B1 (ko) * 2017-01-19 2018-05-11 숭실대학교산학협력단 안드로이드 악성코드 분석을 위한 컨테이너 플랫폼 및 이를 이용한 모바일 장치의 보안 방법
KR102222804B1 (ko) * 2020-03-04 2021-03-04 주식회사 와파스시스템즈 블록체인 기반 악성코드 분석 시스템 및 방법
WO2022149729A1 (ko) * 2021-01-05 2022-07-14 (주)모니터랩 악성코드 정적분석을 위한 실행파일 언패킹 시스템 및 방법

Also Published As

Publication number Publication date
KR101228902B1 (ko) 2013-02-06

Similar Documents

Publication Publication Date Title
US11455400B2 (en) Method, system, and storage medium for security of software components
WO2017049800A1 (zh) 检测应用漏洞代码的方法和装置
JP5852676B2 (ja) 権限昇格攻撃へのコンピュータ・ソフトウェア・アプリケーションの脆弱性を判定するための方法、コンピュータ・プログラム、およびシステム
KR101228902B1 (ko) 클라우드 컴퓨팅 기반 악성코드 분석 지원 시스템
CN107004088B (zh) 确定装置、确定方法及记录介质
US20180082061A1 (en) Scanning device, cloud management device, method and system for checking and killing malicious programs
Yao et al. Identifying privilege separation vulnerabilities in IoT firmware with symbolic execution
Zhang et al. Ripple: Reflection analysis for android apps in incomplete information environments
CN113114680B (zh) 用于文件上传漏洞的检测方法和检测装置
CN109271789B (zh) 恶意进程检测方法、装置、电子设备及存储介质
CN110659478B (zh) 在隔离的环境中检测阻止分析的恶意文件的方法
US11609985B1 (en) Analyzing scripts to create and enforce security policies in dynamic development pipelines
KR102396237B1 (ko) 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체
US11620129B1 (en) Agent-based detection of fuzzing activity associated with a target program
CN116226865A (zh) 云原生应用的安全检测方法、装置、服务器、介质及产品
US20240193278A1 (en) Vulnerability analysis of a computer driver
CN104346570A (zh) 一种基于动态代码序列跟踪分析的木马判定系统
Alhawi et al. Evaluation and application of two fuzzing approaches for security testing of IoT applications
Castiglione et al. Vulsploit: A module for semi-automatic exploitation of vulnerabilities
EP4276665A1 (en) Analyzing scripts to create and enforce security policies in dynamic development pipelines
US20230141948A1 (en) Analysis and Testing of Embedded Code
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
Watanabe et al. Understanding the inconsistency between behaviors and descriptions of mobile apps
CN111309311B (zh) 一种漏洞检测工具生成方法、装置、设备及可读存储介质
CN113420302A (zh) 主机漏洞检测方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160128

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180129

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190128

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200128

Year of fee payment: 8