KR20120124638A - Malignant code detecting system and method based on action - Google Patents
Malignant code detecting system and method based on action Download PDFInfo
- Publication number
- KR20120124638A KR20120124638A KR1020110042414A KR20110042414A KR20120124638A KR 20120124638 A KR20120124638 A KR 20120124638A KR 1020110042414 A KR1020110042414 A KR 1020110042414A KR 20110042414 A KR20110042414 A KR 20110042414A KR 20120124638 A KR20120124638 A KR 20120124638A
- Authority
- KR
- South Korea
- Prior art keywords
- code
- information
- website
- file
- detection system
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
본 발명의 실시예들은 행위 기반의 악성코드 탐지 시스템 및 악성코드 탐지 방법에 관한 것이다.Embodiments of the present invention relate to a behavior-based malware detection system and a malware detection method.
악성코드란 사용자의 의사와 이익에 반해 시스템을 파괴하거나 또는 정보를 유츨하는 등 악의적인 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 대표적인 악성코드 유포 경로는 인터넷에서 쉽게 구할 수 있는 각종 무료 소프트웨어에 의한 것이다. 파일 공유 프로그램인 경우가 많은데, 해당 프로그램 설치 중에 악성코드가 같이 설치되도록 하는 것이다. 이러한 프로그램들은 이미 장기간 인터넷에 노출되어 있어 컴퓨터 백신 프로그램에서 탐지하는 경우가 많다.Malware is software that is intentionally designed to perform malicious activities, such as destroying the system or exposing information against the user's intentions and interests. The typical malware distribution route is due to various free softwares that are easily available on the Internet. It is often a file-sharing program, which allows malware to be installed during the program installation. These programs are already exposed to the Internet for long periods of time and are often detected by computer antivirus programs.
그러나, 이러한 감염 경로 이외에 웹사이트에 악성코드가 삽입되어 있는 경우도 있다. 도 1은 종래기술에 있어서, 웹사이트를 통한 악성코드 감염 경로를 설명하기 위한 일례이다. 도 1은 사용자 단말기(110), 웹사이트(120), 웹 서버(130) 및 공격자 서버(140)를 도시하고 있다.However, in addition to these infection paths, malicious code may be inserted into websites. 1 is an example for explaining a malicious code infection path through a website in the prior art. 1 shows a
사용자가 사용자 단말기(110)를 통해 웹사이트(120)를 방문하고자 요청하는 경우, 웹 서버(130)는 사용자 단말기(110)로 웹사이트(120)를 제공할 수 있다. 이때, 사용자가 방문한 웹사이트(120)가 보안에 취약하여 공격자의 악성코드가 숨겨져 있다면, 사용자가 단순히 웹사이트(120)의 특정 페이지를 방문하는 것만으로도 특정 페이지에 숨겨져 있는 악성코드가 실행되어 악성코드 링크(150)를 통해 사용자 단말기(110)가 공격자 서버(140)에 접근하게 되고, 공격자 서버(140)로부터 악성 프로그램(160)을 다운로드 받아 설치하게 된다. 이때, 종래기술에서는 이러한 악성코드의 설치 및 실행을 미리 탐지할 수 없는 실정이다.When the user requests to visit the
이러한 공격코드를 익스플로잇(exploit)이라고 하며, 자바스크립트(JavaScript)로 작성된 경우가 많고, 보통 코드 난독화(obfuscation)을 통해 코드를 읽기 어렵게 만들어 놓은 경우가 많다. 심지어 사용자가 해당 페이지에 방문할 때마다 동적으로 변경되는 속성을 갖기도 한다.Such exploits are called exploits, often written in JavaScript, and often made code hard to read through code obfuscation. It even has a property that changes dynamically every time the user visits the page.
이런 형태의 공격코드는 컴퓨터 백신에서 탐지하기 위한 패턴화 작업을 어렵게 만들며 특히, 동적으로 자동 변경되는 코드는 백신에서 탐지를 하지 못하는 경우가 대부분이다.This type of attack code makes patterning difficult for computer vaccines to detect, especially for dynamically changing code that cannot be detected by the vaccine.
이러한 공격코드들은 대부분 운영체제나 액티브 엑스(ActiveX), 웹 플러그인(플래쉬 등) 모듈의 취약점을 이용하며 보안패치가 발표되지 않은 신규 취약점을 이용하는 공격코드(제로 데이 익스플로잇(Zero-Day-Exploit))로 쉽게 변경 가능하여 심각한 문제점을 유발한다.Most of these exploits take advantage of operating system, ActiveX, and web plug-in (Flash, etc.) modules. Easily changeable causes serious problems.
본 명세서에서는 보다 효율적으로 악성코드를 탐지할 수 있는 시스템 및 방법이 제안된다.In the present specification, a system and method for more efficiently detecting malicious codes are proposed.
사용자 단말기와 유사한 환경의 에뮬레이터를 구성하여 웹사이트에 접속하고, 프로그램의 실행 행위 유무를 확인하여 공격코드를 탐지할 수 있는 악성코드 탐지 시스템 및 방법에 관한 것이다.The present invention relates to a malicious code detection system and method for configuring an emulator in an environment similar to a user terminal, accessing a website, and detecting an attack code by checking whether a program is executed.
악성코드의 패턴에 따라 악성코드를 탐지하는 것이 아니라 악성코드에 따라 실행되는 행위에 따라 악성코드를 탐지함으로써, 코드 난독화(obfuscation)을 통해 코드를 읽기 어려운 악성코드나 동적으로 자동 변경되는 악성코드도 쉽게 탐지할 수 있는 악성코드 탐지 시스템 및 방법에 관한 것이다.Instead of detecting malicious codes according to the patterns of malicious codes, malicious codes are detected according to the actions performed according to malicious codes. Thus, code obfuscation makes malware difficult to read and dynamically changes automatically. It also relates to a malicious code detection system and method that can be easily detected.
링크 정보를 이용하여 링크 정보에 대응하는 웹사이트에 접속하는 웹사이트 접속 제어부 및 웹사이트에 포함된 코드를 통한 실행(execution) 행위가 탐지되는 경우, 코드 및 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지하는 악성코드 탐지부를 포함하는 악성코드 탐지 시스템이 제공된다.At least one of a website access control unit that accesses a website corresponding to the link information using the link information and execution of execution through the code included in the website is detected. A malicious code detection system including a malicious code detection unit for detecting as malicious code is provided.
일측에 따르면, 악성코드 탐지부는 코드를 통해 임의의 서버로 접속되고, 파일이 자동으로 다운로드되어 설치 또는 실행되는 경우, 실행 행위를 탐지할 수 있다.According to one side, the malware detection unit is connected to any server through the code, when the file is automatically downloaded and installed or executed, it can detect the execution behavior.
다른 측면에 따르면, 악성코드 탐지 시스템은 웹사이트, 코드, 파일 및 서버 중 적어도 하나에 대한 정보를 수집하여 기록하는 정보 수집부를 더 포함할 수 있다.According to another aspect, the malware detection system may further include an information collection unit for collecting and recording information about at least one of a website, a code, a file, and a server.
또 다른 측면에 따르면, 악성코드 탐지 시스템은 코드 및 파일 중 적어도 하나가 악성코드로서 탐지되는 경우, 기록된 적어도 하나에 대한 정보를 관리자에게 제공하는 정보 제공부를 더 포함할 수 있다.According to another aspect, the malware detection system may further include an information providing unit that provides the administrator with information on at least one recorded when at least one of the code and the file is detected as the malicious code.
링크 정보를 이용하여 링크 정보에 대응하는 웹사이트에 접속하는 단계 및 웹사이트에 포함된 코드를 통한 실행(execution) 행위가 탐지되는 경우, 코드 및 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지하는 단계를 포함하는 악성코드 탐지 방법이 제공된다.At least one of a code and a file downloaded through the code is detected as malicious code when a step of accessing a website corresponding to the link information using the link information and execution of execution through the code included in the website is detected. There is provided a malicious code detection method comprising the step of detecting.
사용자 단말기와 유사한 환경의 에뮬레이터를 구성하여 웹사이트에 접속하고, 프로그램의 실행 행위 유무를 확인하여 공격코드를 탐지할 수 있다.An emulator with an environment similar to that of a user terminal can be configured to access a website, and detect an attack code by checking whether a program is executed.
악성코드의 패턴에 따라 악성코드를 탐지하는 것이 아니라 악성코드에 따라 실행되는 행위에 따라 악성코드를 탐지함으로써, 코드 난독화(obfuscation)을 통해 코드를 읽기 어려운 악성코드나 동적으로 자동 변경되는 악성코드도 쉽게 탐지할 수 있다.Instead of detecting malicious codes according to the patterns of malicious codes, malicious codes are detected according to the actions performed according to malicious codes. Thus, code obfuscation makes malware difficult to read and dynamically changes automatically. Can be easily detected.
도 1은 종래기술에 있어서, 웹사이트를 통한 악성코드 감염 경로를 설명하기 위한 일례이다.
도 2는 본 발명의 일실시예에 있어서, 웹사이트를 통한 악성코드를 탐지하는 전체적인 구성을 도시한 도면이다.
도 3은 본 발명의 일실시예에 있어서, 악성코드 탐지 시스템의 내부 구성을 설명하기 위한 블록도이다.
도 4는 본 발명의 일실시예에 있어서, 악성코드 탐지 방법을 도시한 흐름도이다.
도 5는 본 발명의 일실시예에 있어서, 악성코드 탐지 시스템이 에뮬레이터를 통해 수집한 정보를 나타낸 일례이다.1 is an example for explaining a malicious code infection path through a website in the prior art.
2 is a diagram illustrating the overall configuration of detecting malicious code through a website according to an embodiment of the present invention.
3 is a block diagram illustrating an internal configuration of a malware detection system according to an embodiment of the present invention.
4 is a flowchart illustrating a malicious code detection method according to an embodiment of the present invention.
FIG. 5 illustrates an example of information collected through an emulator by a malware detection system according to an exemplary embodiment of the present invention.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 2는 본 발명의 일실시예에 있어서, 웹사이트를 통한 악성코드를 탐지하는 전체적인 구성을 도시한 도면이다. 도 2는 악성코드 탐지 시스템(210), 웹사이트(220), 웹 서버(230) 및 공격자 서버(240)를 도시하고 있다.2 is a diagram illustrating the overall configuration of detecting malicious code through a website according to an embodiment of the present invention. 2 illustrates a
우선, 악성코드 탐지 시스템(210)은 사용자 단말기와 유사한 환경의 에뮬레이터를 포함할 수 있다. 여기서, 에뮬레이터는 어떤 하드웨어나 소프트웨어의 기능을 다른 종류의 하드웨어나 소프트웨어로 모방하여 실현시키기 위한 장치나 프로그램으로서 악성코드 탐지 시스템(210)은 웹 서버(230)를 통해 웹사이트(220)에 접근하기 위한 사용자 단말기의 기능을 모방하여 실현시킨 장치 또는 프로그램일 수 있다. 즉, 악성코드 탐지 시스템(210)은 웹사이트(220)에 접근하기 위해 사용자 단말기의 기능을 모방하여 구성된 에뮬레이터를 포함할 수 있다. 여기서, 악성코드 탐지 시스템(210)은 URL과 같은 링크 정보를 이용하여 웹사이트(220)에 접근할 수 있다.First, the
이때, 악성코드 탐지 시스템(210)은 이러한 에뮬레이터를 이용하여 웹 서버(230)를 통해 웹사이트(220)에 접속할 수 있다. 만약, 해당 웹사이트(220)에 악성코드가 포함되어 있어서, 악성코드 링크(250)를 공격자 서버(240)로 접속되고, 악성 프로그램(260) 등의 다운로드와 실행이 이루어진다면, 악성코드 탐지 시스템(210)는 접속한 웹사이트(220)에 대한 정보, 악성코드 링크(250)에 대한 정보, 악성 프로그램(260)에 대한 정보 등을 얻을 수 있다. 이때, 악성코드 탐지 시스템(210)은 얻어진 정보를 분석하여 악성코드 유포 행위를 탐지할 수 있을 뿐만 아니라, 이러한 악성코드 유포 행위에 대한 정보를 관리자에게 통보함으로써, 관리자가 해당 웹사이트(220)에 악성코드가 숨겨져 있음을 탐지할 수 있게 된다.In this case, the
도 3은 본 발명의 일실시예에 있어서, 악성코드 탐지 시스템의 내부 구성을 설명하기 위한 블록도이다. 본 실시예에 따른 악성코드 탐지 시스템(300)은 도 2를 통해 설명한 악성코드 탐지 시스템(210)에 대응될 수 있고, 웹사이트 접속 제어부(310) 및 악성코드 탐지부(320)를 포함할 수 있다. 또한, 악성코드 탐지 시스템(300)은 필요에 따라 도 3에 도시된 정보 수집부(330) 및 정보 제공부(340)를 더 포함할 수도 있다.3 is a block diagram illustrating an internal configuration of a malware detection system according to an embodiment of the present invention. The malicious
웹사이트 접속 제어부(310)는 링크 정보를 이용하여 링크 정보에 대응하는 웹사이트에 접속한다. 여기서, 링크 정보는 웹사이트의 URL과 같이 해당 웹사이트를 식별 및 접속하기 위한 정보를 포함할 수 있다.The website
악성코드 탐지부(320)는 웹사이트에 포함된 코드를 통한 실행(execution) 행위가 탐지되는 경우, 상기 코드 및 상기 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지할 수 있다. 즉, 이미 설명한 바와 같이 웹상에서의 공격 행위는 사용자의 단말기에 악성코드를 설치하기 위해 필히 실행 행위를 유발한다. 따라서, 악성코드 탐지부(320)는 악성코드의 패턴을 이용하여 악성코드를 탐지하는 것이 아니라 악성코드의 실행 행위를 탐지하여 해당 코드나 코드를 통해 다운로드 되는 파일이 악성코드임을 탐지할 수 있다. 예를 들어, 악성코드 탐지부(320)는 코드를 통해 임의의 서버로 접속되고, 파일이 자동으로 다운로드되어 설치 또는 실행되는 경우, 상기 실행 행위를 탐지할 수 있다.The
정보 수집부(330)는 상기 웹사이트, 상기 코드, 상기 파일 및 상기 서버 중 적어도 하나에 대한 정보를 수집하여 기록할 수 있다. 예를 들어, 정보 수집부(330)는 웹사이트의 URL이나 상기 코드 자체에 대한 정보 또는 상기 파일명 또는 상기 파일이 다운로드 또는 설치된 경로, 상기 서버의 IP 주소와 같은 정보를 수집하여 기록할 수 있다.The
정보 제공부(340)는 상기 코드 및 상기 파일 중 적어도 하나가 악성코드로서 탐지되는 경우, 기록된 적어도 하나에 대한 정보를 관리자에게 제공한다. 즉, 정보 제공부(340)는 악성코드가 탐지되었음을 관리자에게 알림과 동시에 악성코드와 연관된 웹사이트, 코드, 파일 및 서버 중 적어도 하나에 대한 정보를 관리자에게 알려줌으로써, 관리자가 악성코드에 대응하도록 할 수 있다.If at least one of the code and the file is detected as a malicious code, the
도 4는 본 발명의 일실시예에 있어서, 악성코드 탐지 방법을 도시한 흐름도이다. 본 실시예에 따른 악성코드 탐지 방법은 도 3을 통해 설명한 악성코드 탐지 시스템(300)에 의해 수행될 수 있다. 도 4에서는 악성코드 탐지 시스템(300)에 의해 각각의 단계가 수행되는 과정을 설명함으로써, 악성코드 탐지 방법을 설명한다.4 is a flowchart illustrating a malicious code detection method according to an embodiment of the present invention. The malware detection method according to the present embodiment may be performed by the
단계(410)에서 악성코드 탐지 시스템(300)은 링크 정보를 이용하여 링크 정보에 대응하는 웹사이트에 접속한다. 여기서, 링크 정보는 웹사이트의 URL과 같이 해당 웹사이트를 식별 및 접속하기 위한 정보를 포함할 수 있다.In
단계(420)에서 악성코드 탐지 시스템(300)은 웹사이트에 포함된 코드를 통한 실행(execution) 행위가 탐지되는 경우, 상기 코드 및 상기 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지할 수 있다. 즉, 이미 설명한 바와 같이 웹상에서의 공격 행위는 사용자의 단말기에 악성코드를 설치하기 위해 필히 실행 행위를 유발한다. 따라서, 악성코드 탐지 시스템(300)은 악성코드의 패턴을 이용하여 악성코드를 탐지하는 것이 아니라 악성코드의 실행 행위를 탐지하여 해당 코드나 코드를 통해 다운로드 되는 파일이 악성코드임을 탐지할 수 있다. 예를 들어, 악성코드 탐지 시스템(300)은 코드를 통해 임의의 서버로 접속되고, 파일이 자동으로 다운로드되어 설치 또는 실행되는 경우, 상기 실행 행위를 탐지할 수 있다.In
단계(430)에서 악성코드 탐지 시스템(300)은 상기 웹사이트, 상기 코드, 상기 파일 및 상기 서버 중 적어도 하나에 대한 정보를 수집하여 기록할 수 있다. 예를 들어, 악성코드 탐지 시스템(300)은 웹사이트의 URL이나 상기 코드 자체에 대한 정보 또는 상기 파일명 또는 상기 파일이 다운로드 또는 설치된 경로, 상기 서버의 IP 주소와 같은 정보를 수집하여 기록할 수 있다.In
단계(440)에서 악성코드 탐지 시스템(300)은 상기 코드 및 상기 파일 중 적어도 하나가 악성코드로서 탐지되는 경우, 기록된 적어도 하나에 대한 정보를 관리자에게 제공한다. 즉, 악성코드 탐지 시스템(300)은 악성코드가 탐지되었음을 관리자에게 알림과 동시에 악성코드와 연관된 웹사이트, 코드, 파일 및 서버 중 적어도 하나에 대한 정보를 관리자에게 알려줌으로써, 관리자가 악성코드에 대응하도록 할 수 있다.In
도 3 내지 도 4에서 생략된 내용은 도 2를 참조할 수 있다.3 to 4 may refer to FIG. 2.
도 5는 본 발명의 일실시예에 있어서, 악성코드 탐지 시스템이 에뮬레이터를 통해 수집한 정보를 나타낸 일례이다.FIG. 5 illustrates an example of information collected through an emulator by a malware detection system according to an exemplary embodiment of the present invention.
표(500)는 도 2 내지 도 5를 통해 설명한 악성코드 탐지 시스템(210 또는 300)에서 수집 가능한 정보를 나타내고 있다. 우선, 'Target URL'은 악성코드 탐지 시스템(210 또는 300)이 접속하여 악성코드의 존재 유무를 분석하고자 하는 웹사이트의 URL을 의미할 수 있다. 또한, 'Analysis Date Time'는 분석이 이루어진 날짜와 시각을 나타내고, 'Top Level'는 위험 정도를 나타내는 레벨의 최고 레벨을 의미할 수 있다.Table 500 shows information that can be collected by the
'Type Code'는 기록된 정보들의 종류를 나타내고, 'Result Code'는 기록된 정보들이 악성코드 가능 여부를 나타낼 수 있다. 또한, 'Risk Level'은 기록된 정보들의 위험 정도를 나타낼 수 있으며, 'Info'는 실제 기록된 정보들이 어떠한 정보들에 관한 것인가를 나타낼 수 있다. 'Type Code'에서 'CDR'은 서로 다른 도메인간의 요청(request)이 발생했음을 나타낸다. 예를 들어, aaa.com 사이트를 방문했을 때, bbb.com의 데이터를 수신하는 상황이 발생하는 경우, CDR(Cross-Domain-Request)이 발생했다고 할 수 있다. 'FILE'은 기록된 정보에 따른 행위가 파일이 다운로드되는 행위임을 나타내며, 'EXECUTION'은 기록된 정보에 따른 행위가 파일 또는 관련 프로그램이 실행되는 행위임을 나타낼 수 있다. 또한, 'Result Code'에서 'Malcode Distribution Possibility'는 기록된 정보가 악성코드의 배포와 관련되었을 가능성이 존재함을 나타낸다.'Type Code' may indicate the type of recorded information, and 'Result Code' may indicate whether the recorded information is capable of malware. In addition, the 'Risk Level' may indicate the degree of danger of the recorded information, and the 'Info' may indicate what information the recorded information relates to. 'CDR' in 'Type Code' indicates that a request between different domains has occurred. For example, if a user visits aaa.com site and receives data of bbb.com, a CDR (Cross-Domain-Request) has occurred. 'FILE' may indicate that the action based on the recorded information is the act of downloading the file, and 'EXECUTION' may indicate that the action according to the recorded information is the act of executing the file or related program. In addition, 'Malcode Distribution Possibility' in 'Result Code' indicates that there is a possibility that the recorded information is related to the distribution of malicious code.
이때, 표(500)를 참조하면, 사용자가 웹사이트 'www.aaa.kr'를 방문하는 경우, 'www.bbb.com'와 관련하여 악성코드가 포함된 'sky.html' 및 'ko1.jtm'와 같은 경로가 웹사이트 'www.aaa.kr'에 포함되어 있으며, 이러한 악성코드가 'www.bbb.com.cn'에 대응하는 공격자 서버로부터 's.exe'fmf 자동으로 다운로드 받아 해당하는 프로그램을 실행 또는 설치하는 실행 행위를 수행함을 알 수 있다.At this time, referring to the table 500, when the user visits the website 'www.aaa.kr', 'sky.html' and 'en1. jtm 'is included on the website' www.aaa.kr ', and this malware is automatically downloaded from the attacker's server corresponding to' www.bbb.com.cn '. It can be seen that the execution of executing or installing a program is performed.
즉, 악성코드 탐지 시스템(210 또는 300)은 특정 웹사이트에 접속하여 웹사이트에 포함된 코드가 파일을 다운로드하여 설치 또는 실행되도록 제어하는가 여부에 따라 악성코드를 탐지할 수 있다.That is, the malicious
이와 같이, 본 발명의 실시예들에 따르면, 사용자 단말기와 유사한 환경의 에뮬레이터를 구성하여 웹사이트에 접속하고, 프로그램의 실행 행위 유무를 확인하여 공격코드를 탐지할 수 있고, 악성코드의 패턴에 따라 악성코드를 탐지하는 것이 아니라 악성코드에 따라 실행되는 행위에 따라 악성코드를 탐지함으로써, 코드 난독화(obfuscation)을 통해 코드를 읽기 어려운 악성코드나 동적으로 자동 변경되는 악성코드도 쉽게 탐지할 수 있다. 또한, 백신 등으로 탐지가 불가능한 제로 데이 익스플로잇(Zero-Day-Exploit)과 같은 악성코드들의 탐지가 가능해진다.As described above, according to the embodiments of the present invention, an emulator in an environment similar to a user terminal may be configured to access a website, and to detect an attack code by checking whether a program is executed, and according to a pattern of malicious code. By detecting malicious codes according to the actions performed according to the malicious code, not malicious code, the code obfuscation can easily detect malicious codes or dynamically changing malicious code. . It can also detect malware such as zero-day exploits that cannot be detected by vaccines.
본 발명의 실시예에 따른 방법들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 또한, 상술한 파일 시스템은 컴퓨터 판독이 가능한 기록 매체에 기록될 수 있다.Methods according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed by various computer means and recorded in a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. In addition, the above-described file system can be recorded in a computer-readable recording medium.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described by way of limited embodiments and drawings, but the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and variations from such descriptions. This is possible.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the equivalents of the claims, as well as the claims.
210: 악성코드 탐지 시스템
220: 웹사이트
230: 웹 서버
240: 공격자 서버
250: 악성코드 링크
260: 악성 프로그램210: malware detection system
220: website
230: web server
240: attacker server
250: malware link
260: malware
Claims (9)
상기 웹사이트에 포함된 코드를 통한 실행(execution) 행위가 탐지되는 경우, 상기 코드 및 상기 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지하는 악성코드 탐지부
를 포함하는 악성코드 탐지 시스템.A website access control unit which accesses a website corresponding to the link information using link information; And
Malware detection unit that detects at least one of the code and the file downloaded through the code as a malicious code when the execution behavior through the code included in the website is detected
Malware detection system comprising a.
상기 악성코드 탐지부는,
상기 코드를 통해 임의의 서버로 접속되고, 상기 파일이 자동으로 다운로드되어 설치 또는 실행되는 경우, 상기 실행 행위를 탐지하는 것을 특징으로 하는, 악성코드 탐지 시스템.The method of claim 1,
The malware detection unit,
When connected to any server through the code, the file is automatically downloaded and installed or executed, characterized in that for detecting the execution behavior, malware detection system.
상기 웹사이트, 상기 코드, 상기 파일 및 상기 서버 중 적어도 하나에 대한 정보를 수집하여 기록하는 정보 수집부
를 더 포함하는 악성코드 탐지 시스템.The method of claim 2,
An information collecting unit collecting and recording information about at least one of the website, the code, the file, and the server
Malware detection system further comprising a.
상기 코드 및 상기 파일 중 적어도 하나가 악성코드로서 탐지되는 경우, 상기 기록된 적어도 하나에 대한 정보를 관리자에게 제공하는 정보 제공부
를 더 포함하는 악성코드 탐지 시스템.The method of claim 3,
When at least one of the code and the file is detected as a malicious code, an information providing unit for providing information on the recorded at least one to the administrator
Malware detection system further comprising a.
상기 웹사이트에 포함된 코드를 통한 실행(execution) 행위가 탐지되는 경우, 상기 코드 및 상기 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지하는 단계
를 포함하는 악성코드 탐지 방법.Accessing a website corresponding to the link information by using the link information; And
Detecting execution as at least one of the code and a file downloaded through the code, when execution is detected through code included in the website;
Malware detection method comprising a.
상기 코드 및 상기 코드를 통해 다운로드 되는 파일 중 적어도 하나를 악성코드로서 탐지하는 단계는,
상기 코드를 통해 임의의 서버로 접속되고, 상기 파일이 자동으로 다운로드되어 설치 또는 실행되는 경우, 상기 실행 행위를 탐지하는 것을 특징으로 하는, 악성코드 탐지 방법.The method of claim 5,
Detecting at least one of the code and a file downloaded through the code as malicious code,
Connecting to any server through the code, and detecting the execution behavior when the file is automatically downloaded and installed or executed.
상기 웹사이트, 상기 코드, 상기 파일 및 상기 서버 중 적어도 하나에 대한 정보를 수집하여 기록하는 단계
를 더 포함하는 악성코드 탐지 방법.The method according to claim 6,
Collecting and recording information about at least one of the website, the code, the file, and the server
Malware detection method further comprising a.
상기 코드 및 상기 파일 중 적어도 하나가 악성코드로서 탐지되는 경우, 상기 기록된 적어도 하나에 대한 정보를 관리자에게 제공하는 단계
를 더 포함하는 악성코드 탐지 방법.The method of claim 7, wherein
If at least one of the code and the file is detected as malicious code, providing information about the recorded at least one to an administrator
Malware detection method further comprising a.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110042414A KR20120124638A (en) | 2011-05-04 | 2011-05-04 | Malignant code detecting system and method based on action |
JP2012100899A JP2012234540A (en) | 2011-05-04 | 2012-04-26 | Malicious code detection system and malicious code detection method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110042414A KR20120124638A (en) | 2011-05-04 | 2011-05-04 | Malignant code detecting system and method based on action |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20120124638A true KR20120124638A (en) | 2012-11-14 |
Family
ID=47434740
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020110042414A KR20120124638A (en) | 2011-05-04 | 2011-05-04 | Malignant code detecting system and method based on action |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2012234540A (en) |
KR (1) | KR20120124638A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101589652B1 (en) | 2015-01-19 | 2016-01-28 | 한국인터넷진흥원 | System and method for detecting and inquiring metamorphic malignant code based on action |
KR101589656B1 (en) | 2015-01-19 | 2016-01-28 | 한국인터넷진흥원 | System and method for detecting and inquiring metamorphic malignant code based on action |
KR20190014918A (en) * | 2017-08-04 | 2019-02-13 | 국방과학연구소 | Apparatus and method for the detection of drive-by download using unusual behavior monitoring |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10097567B2 (en) | 2013-05-20 | 2018-10-09 | Nippon Telegraph And Telephone Corporation | Information processing apparatus and identifying method |
CN115037490B (en) * | 2021-11-12 | 2023-12-15 | 国网浙江省电力有限公司衢州供电公司 | Cross-network communication system for detecting malicious codes of transformer substation |
-
2011
- 2011-05-04 KR KR1020110042414A patent/KR20120124638A/en active Search and Examination
-
2012
- 2012-04-26 JP JP2012100899A patent/JP2012234540A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101589652B1 (en) | 2015-01-19 | 2016-01-28 | 한국인터넷진흥원 | System and method for detecting and inquiring metamorphic malignant code based on action |
KR101589656B1 (en) | 2015-01-19 | 2016-01-28 | 한국인터넷진흥원 | System and method for detecting and inquiring metamorphic malignant code based on action |
KR20190014918A (en) * | 2017-08-04 | 2019-02-13 | 국방과학연구소 | Apparatus and method for the detection of drive-by download using unusual behavior monitoring |
Also Published As
Publication number | Publication date |
---|---|
JP2012234540A (en) | 2012-11-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Nikiforakis et al. | You are what you include: large-scale evaluation of remote javascript inclusions | |
KR101514984B1 (en) | Detecting system for detecting Homepage spreading Virus and Detecting method thereof | |
Rastogi et al. | Are these Ads Safe: Detecting Hidden Attacks through the Mobile App-Web Interfaces. | |
CA2919727C (en) | Dynamic application security verification | |
Zhou et al. | Detecting repackaged smartphone applications in third-party android marketplaces | |
CN102413011B (en) | A kind of method and system of LAN safety assessment | |
Chen et al. | WebPatrol: Automated collection and replay of web-based malware scenarios | |
Alosefer et al. | Honeyware: a web-based low interaction client honeypot | |
Zheng et al. | DroidRay: a security evaluation system for customized android firmwares | |
Hsu et al. | Browserguard: A behavior-based solution to drive-by-download attacks | |
US9450980B2 (en) | Automatic malignant code collecting system | |
Perrotta et al. | Botnet in the browser: Understanding threats caused by malicious browser extensions | |
US20110219454A1 (en) | Methods of identifying activex control distribution site, detecting security vulnerability in activex control and immunizing the same | |
US20160134658A1 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
CN106663171B (en) | Browser simulator device, browser simulator building device, browser simulation method, and browser simulation building method | |
KR20120124638A (en) | Malignant code detecting system and method based on action | |
KR20150075550A (en) | System and method for real-time malware detection based on web browser plugin | |
KR101541244B1 (en) | System and method for pharming attack prevention through dns modulation such as the pc and access point | |
Kazdagli et al. | Morpheus: Benchmarking computational diversity in mobile malware | |
Pradeep et al. | Not your average app: A large-scale privacy analysis of android browsers | |
KR101781780B1 (en) | System and Method for detecting malicious websites fast based multi-server, multi browser | |
KR20120070025A (en) | Web / email for distributing malicious code through the automatic control system and how to manage them | |
KR20160061141A (en) | Method and apparatus for blocking web page attack | |
Chinprutthiwong et al. | The service worker hiding in your browser: The next web attack target? | |
Dai et al. | Holography: a behavior‐based profiler for malware analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment |