KR20130071617A - 변종 악성 코드를 탐지하기 위한 시스템 및 방법 - Google Patents
변종 악성 코드를 탐지하기 위한 시스템 및 방법 Download PDFInfo
- Publication number
- KR20130071617A KR20130071617A KR1020110138923A KR20110138923A KR20130071617A KR 20130071617 A KR20130071617 A KR 20130071617A KR 1020110138923 A KR1020110138923 A KR 1020110138923A KR 20110138923 A KR20110138923 A KR 20110138923A KR 20130071617 A KR20130071617 A KR 20130071617A
- Authority
- KR
- South Korea
- Prior art keywords
- behavior
- malicious
- code
- information
- actual
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
악성 코드의 분석 시간을 줄일 수 있는 변종 악성 코드를 탐지하기 위한 시스템 및 방법이 개시된다. 본 발명에 따르면, 각각의 실제 악성 행위 정보와 상기 기준 악성 행위 정보를 비교하여 일치하는 할 경우, 상기 행위 코드 정보에서 해당하는 실제 행위 코드 정보를 각각 찾아 순서화하는 실제 행위 코드 추출부; 상기 순서화된 전의 또는 후의 실제 행위 코드 정보 중 임의의 두개를 1:1 비교하여 일치하는 공통 행위의 개수가 위치의 유,무에 따라 소정의 범위내에 있는지를 판단하는 유사성 검증부; 및 상기 유사성 검증부의 판단 결과 소정의 범위내 있다고 판단되면 상기 두개의 실제 행위 코드 정보 중 어느 하나를 변종 악성 코드로서 추출하는 변종 악성 코드 추출부;를 포함하는 변종 악성 코드 탐지 시스템이 제공된다.
이에, 본 발명은 악성 코드의 실제 행위 정보에 기초하여 실제 행위를 코드화, 순서화하고, 순서화되기 전의 또는 후의 행위 코드를 이용하여 유사성을 검증하게 되면, 악성 코드 간의 변종 관계를 쉽게 확인할 수 있어, 악성 코드 분석 시간을 줄일 수 있는 효과가 달성된다.
이에, 본 발명은 악성 코드의 실제 행위 정보에 기초하여 실제 행위를 코드화, 순서화하고, 순서화되기 전의 또는 후의 행위 코드를 이용하여 유사성을 검증하게 되면, 악성 코드 간의 변종 관계를 쉽게 확인할 수 있어, 악성 코드 분석 시간을 줄일 수 있는 효과가 달성된다.
Description
본 발명은 변종 악성 코드를 탐지하기 위한 시스템 및 방법에 관한 것으로서, 더욱 상세하게는, 악성 코드의 분석 시간을 줄일 수 있는 변종 악성 코드를 탐지하기 위한 시스템 및 방법에 관한 것이다.
컴퓨터 바이러스는 파일 감염을 목적으로 하는 바이러스로부터 네트워크를 통한 급속 확산을 시도하는 웜, 그리고 데이터 유출을 위한 트로이 목마에 이르기까지 다양한 형태의 악성 코드 형태로 발전하였다.
이에 더하여, 최근에는 새로운 유형의 악성 코드가 등장하고 있어 컴퓨터 사용자로 하여금 더욱더 불안하게 만들고 있는 것이 사실이다.
특히, Symantec에서 발표한 보고 자료에 의하면, 2010년 2억 8600만종의 악성코드의 변종이 발생되었다고 보고 자료서는 밝히고 있다. 이와 같이 악성 코드의 수가 점차 증가되는 추세이다.
그러나, 악성 코드 분석가가 분석할 수 있는 악성 코드의 수는 매우 한정되어 있다. 비록, 악성 코드 분석가가 자동화된 악성 코드 분석 시스템을 이용하여 분석을 수행하지만, 늘어나는 악성 코드 때문에 매우 많은 시간을 소비 해야만 악성 코드 분석이 가능하였다.
본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 악성 코드의 행위를 분석하여 악성 코드 간의 변종 관계를 밝혀내어 악성 코드의 분석 시간을 줄일 수 있는 변종 악성 코드 탐지 시스템 및 방법을 제공하고자 한다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 기능을 수행하기 위한, 본 발명의 특징은 다음과 같다.
본 발명의 일 태양에 따르면, 샘플 악성 코드를 정적 또는 동적 분석을 수행하여 악성 행위에 따른 기준 악성 행위 정보를 추출, 저장하는 기준 악성 행위 저장부; 상기 저장된 기준 악성 행위 정보를 코드화하여 행위 코드 정보로서 저장하는 행위 코드 저장부; 인터넷 상에 배포된 복수 개의 악성 코드 정보를 수집한 후, 정적 또는 동적 분석을 수행하여 각각 실제 악성 행위 정보를 추출하는 악성 행위 추출부; 상기 각각의 실제 악성 행위 정보와 상기 기준 악성 행위 정보를 비교하여 일치하는 할 경우, 상기 행위 코드 정보에서 해당하는 실제 행위 코드 정보를 각각 찾아 순서화하는 실제 행위 코드 추출부; 상기 순서화된 전의 또는 후의 실제 행위 코드 정보 중 임의의 두개를 1:1 비교하여 일치하는 공통 행위의 개수가 위치의 유,무에 따라 소정의 범위내에 있는지를 판단하는 유사성 검증부; 및 상기 유사성 검증부의 판단 결과 소정의 범위내 있다고 판단되면 상기 두개의 실제 행위 코드 정보 중 어느 하나를 변종 악성 코드로서 추출하는 변종 악성 코드 추출부;를 포함하는 변종 악성 코드 탐지 시스템이 제공된다.
여기서, 상기 유사성 검증부는, 상기 순서화된 후의 실제 행위 코드 정보 비교에 대해서는 상기 공통 행위의 위치를 반영하여 유사성을 판단하거나, 또는 상기 순서화된 전의 실제 행위 코드 정보 비교에 대해서는 상기 공통 행위의 위치를 반영하지 않는 경우에 유사성을 판단하거나, 상기 비교시, 상기 공통 행위가 아닌 행위 개수가 소정의 범위내에 있는지를 더 반영하여 유사성을 판단할 수도 있다.
또한, 본 발명의 다른 일 태양에 따르면, (a) 샘플 악성 코드를 정적 또는 동적 분석을 수행하여 악성 행위에 따른 복수 개의 기준 악성 행위 정보를 생성하는 단계; (b) 상기 생성된 복수 개의 기준 악성 행위 정보를 각각 코드화시키는 단계; (c) 인터넷 상에 배포된 복수 개의 악성 코드 정보를 수집한 후, 정적 또는 동적 분석을 수행하여 각각 실제 악성 행위 정보를 생성하는 단계; (d) 상기 생성된 각각의 실제 악성 행위 정보와 기준 악성 행위 정보를 비교하여 일치하는 할 경우, 상기 행위 코드 정보에서 해당하는 실제 행위 코드 정보를 각각 찾아 순서화하는 단계; (e) 상기 순서화된 전의 또는 후의 실제 행위 코드 정보 중 임의의 두개를 1:1 비교하여 일치하는 공통 행위의 개수가 위치의 유,무에 따라 소정의 범위내에 있는지를 판단하는 단계; 및 (f) 상기 (e) 단계의 판단 결과 소정의 범위내 있다고 판단되면, 상기 두개의 실제 행위 코드 정보 중 어느 하나를 변종 악성 코드로서 생성하는 단계;를 포함하는 변종 악성 코드 탐지 방법이 제공된다.
여기서, 상기 (e) 단계는, 상기 순서화된 후의 실제 행위 코드 정보 비교에 대해서는 상기 공통 행위의 위치를 반영하여 판단하거나, 상기 순서화된 전의 실제 행위 코드 정보 비교에 대해서는 상기 공통 행위의 위치를 반영하지 않은 상태에서 판단하거나, 상기 비교시, 상기 공통 행위가 아닌 비공통 행위의 개수가 소정의 범위내에 있는지를 더 반영하여 유사성을 판단할 수도 있다.
이상과 같이, 본 발명에 의하면, 악성 코드의 실제 행위 정보에 기초하여 실제 행위를 코드화, 순서화하고, 순서화되기 전의 또는 후의 행위 코드를 이용하여 유사성을 검증하게 되면, 악성 코드 간의 변종 관계를 쉽게 확인할 수 있어, 악성 코드 분석 시간을 줄일 수 있는 효과가 달성된다.
또한, 본 발명은 유사성 검증의 기준으로서, 순서화되기 전의 또는/및 순서화되기 후의 실제 행위 코드에 대하여 공통 행위의 위치를 반영하여 기설정된 개수내에 있는지를 판단함으로써, 유사성의 정확도를 높여 정확도가 높은 변종 악성 코드를 확인 가능한 효과가 있다.
도 1은 본 발명의 제1 실시예에 따른 변종 악성 코드 탐지 시스템(100)을 예시적으로 나타낸 도면이다.
도 2 및 도 3은 본 발명의 제1 실시예에 따른 변종 악성 코드 탐지 시스템(100)에 의해 추출된 기준 악성 행위 정보를 예시적으로 나타낸 도면이다.
도 4는 본 발명의 제1 실시예에 따른 변종 악성 코드 탐지 시스템(100)에 의해 생성된 실제 행위 코드 정보를 나타낸 도면이다.
도 5는 본 발명의 제2 실시예에 따른 변종 악성 코드 탐지 방법(S100)을 예시적으로 나타낸 도면이다.
도 6 내지 도 8은 본 발명의 제2 실시예에 따른 변종 악성 코드 탐지 방법(S100)에 의한 유사성 판단의 일례를 각각 나타낸 도면이다.
도 9 및 도 10은 본 발명의 제1 실시예 또는/및 제2 실시예를 적용하여 복수 개의 악성 코드에 대하여 유사도 분석 시험을 진행한 결과를 나타낸 도면이다.
도 2 및 도 3은 본 발명의 제1 실시예에 따른 변종 악성 코드 탐지 시스템(100)에 의해 추출된 기준 악성 행위 정보를 예시적으로 나타낸 도면이다.
도 4는 본 발명의 제1 실시예에 따른 변종 악성 코드 탐지 시스템(100)에 의해 생성된 실제 행위 코드 정보를 나타낸 도면이다.
도 5는 본 발명의 제2 실시예에 따른 변종 악성 코드 탐지 방법(S100)을 예시적으로 나타낸 도면이다.
도 6 내지 도 8은 본 발명의 제2 실시예에 따른 변종 악성 코드 탐지 방법(S100)에 의한 유사성 판단의 일례를 각각 나타낸 도면이다.
도 9 및 도 10은 본 발명의 제1 실시예 또는/및 제2 실시예를 적용하여 복수 개의 악성 코드에 대하여 유사도 분석 시험을 진행한 결과를 나타낸 도면이다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
제1 실시예
도 1은 본 발명의 제1 실시예에 따른 변종 악성 코드 탐지 시스템(100)을 예시적으로 나타낸 도면이고, 도 2 및 도 3은 본 발명의 제1 실시예에 따른 변종 악성 코드 탐지 시스템(100)에 의해 추출된 기준 악성 행위 정보를 예시적으로 나타낸 도면이며, 도 4는 본 발명의 제1 실시예에 따른 변종 악성 코드 탐지 시스템(100)에 의해 생성된 실제 행위 코드 정보를 예시적으로 나타낸 도면이다. 상기 도 2 내지 도 4는 도 1의 참고로서 중간에 인용하여 보조적으로 설명하기로 한다.
먼저, 도 1를 참조하면, 본 발명의 제1 실시예에 따른 변종 악성 코드 탐지 시스템(100)은 기준 악성 행위 저장부(110), 행위 코드 저장부(120), 악성 행위 추출부(130), 실제 행위 코드 추출부(140), 유사성 검증부(150), 변종 악성 코드 추출부(160), 통신부(170) 및 제어부(180)을 포함하여 구성된다.
먼저, 기준 악성 행위 저장부(110)는 인터넷 상에서 알려진 악성 코드를 샘플로 인정한 후, 인정된 샘플 악성 코드(이하에서는 샘플 악성 코드(정보)라 칭함)를 가지고서 정적 또는 동적 분석을 수행한다. 이때, 정적 또는 동적 분석은 통상적으로 당업자에게 널리 알려진 악성 코드 분석 툴에 의하여 악성 코드를 탐지하는 기법인 것을 의미한다.
따라서, 인터넷 상에서 알려진 샘플 악성 코드 정보에 기초하여 악성 행위에 따른 정적 또는 동적 분석을 하게 되면, 악성 코드의 실제 행위 정보를 획득하게 된다. 획득된 실제 행위 정보는 샘플 악성 코드에 대하여 정적 또는 동적 분석을 하였으므로, 이하에서는 기준 악성 행위 정보라 지칭한다.
결국, 본 발명의 기준 악성 행위 저장부(110)는 샘플용 악성 코드에 대하여 정정 또는 동적 분석을 진행한 후, 그 결과로서 행위의 기준될 만한 기준 악성 행위 정보를 추출 한후, 저장하는 역할을 하게 되는 것이다. 저장된 기준 악성 행위 정보는 도 2 및 도 3에 보다 구체적으로 예시하였다.
도 2 및 도 3에 도시된 기준 악성 행위 정보에는 메인 그룹에 해당하는 대분류 정보(190)와 메인 그룹의 서브 그룹에 해당하는 소분류 정보(192) 등을 포함할 수 있다. 물론 각 서브 그룹은 그 하부 서브 그룹으로서 복수 개를 구비할 수 있다. 다만, 도 2 및 도 3에서는 각 서브 그룹의 하위 그룹들에 대해서는 도면 상에 표시하지 는 않았다.
여기서, 대분류 정보(190)에는 '은폐', '전파', '설정', '자동 실행', '연결/설치' 및 '네트워크' 등과 같은 기준 악성 행위 정보들을 포함하고 있으며, 소분류 정보(192)에는 예컨대 '자동실행'과 관련하여 '익스플로러 실행시 자동 실행', '익스플로러 연동', '윈도우 스케쥴러를 통한 자동실행', '부팅시 자동실행' 및 '이동식미디어 실행시 자동실행' 등과 같은 기준 악성 행위 정보들을 포함하고 있다. 이러한 기준 악성 행위 정보들은 기준 악성 행위 저장부(110)에 의해 데이터베이스화 저장된다.
다음으로, 행위 코드 저장부(120)는 기준 악성 행위 저장부(110)에 의해 저장된 기준 악성 행위 정보를 코드화하여 행위 코드 정보로서 저장하는 기능을 수행한다. 행위 코드 정보는 각 기준 악성 행위 정보에 대응하여 고유 번호를 갖게 함으로써, 행위 코드 정보가 생성되어 행위 코드 저장부(120)에 의해 저장되는 것이다.
예를 들면, 도 2에 도시된 '네트워크'라는 기준 악성 행위 정보에 대응하여 '00050000'으로 코드화되고, '네트워크'의 서브 디렉토리에 있는 '블랙리스트 DNS 쿼리'에 대응하여 '00051000'으로 코드화되며, 같은 서브 디렉토리안에 있는 'FTP 제어(명령) 포트'에 대해서는 '00052000'로 코드화되어 각각 저장된다.
이와 마찬가지로 '블랙리스트 DNS 쿼리'라는 서브 디렉토리에 있는 여러 기준 악성 행위 정보(미도시)들도 그 하위 개념으로서 코드화되어 저장될 수 있다. 이와 같이 복수 개의 그룹에 대한 각각의 기준 악성 행위 정보들을 코드화시켜 저장할 수 있게 되는 것이다.
다시 1로 돌아와, 다음으로, 악성 행위 추출부(130)는 먼저 인터넷 상에 배포된 복수 개의 악성 코드를 수집하는 기능을 수행한다. 여기서, 인터넷이라 함은 인터넷 망을 의미하는 것으로서, 상기 인터넷 망에는 다양한 데이터, 예컨대 월드와이드웹(WWW)이라는 환경을 통해 전달되는 이메일, 문서 데이터(MS 오피스 계열 문서, 한글 문서, PDF 문서 등을 포함) 및 소설네트워크서비스(SNS) 데이터 등이 복수 개의 서버(200)와 클라이언트(100) 사이에서 거래되도록 하는 통신 환경을 의미한다.
그러나, 실질적으로는 복수 개의 서버와 클라이언트 사이에서 거래되는 다양한 데이터를 인터넷 망을 통해 수집될 때, 수집된 다양한 데이터로부터 악성 코드를 수집하는 것이다.
이와 같이 복수 개의 악성 코드 정보가 수집되면, 악성 행위 추출부(130)는 복수 개의 악성 코드 정보에 대하여 정적 또는 동적 분석을 수행한다. 여기서의 동적 또는 정적 분석은 기준 악성 행위 저장부(110)에서 설명된 바와 같이 통상적으로 당업자에게 널리 알려진 악성 코드 분석 툴에 의하여 악성 코드를 탐지하는 것을 의미한다.
정적 또는 동적 분석이 완료되면, 도 2 및 도 3을 통해 설명된 기준 악성 행위 정보와 마찬가지로, 악성 행위 추출부(130)는 복수 개의 악성 코드 정보에 대응하여 각각 다른 실제 악성 행위 정보를 추출할 수 있게 되는 것이다. 이러한 실제 악성 행위 정보는 본 발명이 목적하는 바인 변종 악성 코드를 찾아내는데 필요한 분석 대상의 정보인 것을 의미한다.
다음으로, 실제 행위 코드 추출부(140)는 악성 행위 추출부(130)에 의하여 추출된 각각의 실제 악성 행위 정보와 기준 악성 행위 저장부(110)에 의하여 추출된 기준 악성 행위 정보를 비교하는 기능을 수행한다.
예를 들면, 악성 행위 추출부(130)에 의해 추출된 실제 악성 행위 정보가 'POP3 전자우편 가져오기에 사용'일 경우, 이것이 기준 악성 행위 저장부(110)에 의해 추출된 기준 악성 행위 정보에 있다고 하면, 일치하고 것으로서 인식하게 되는 것이다.
이와 같은 형태로 각각의 실제 악성 행위 정보와 기준 악성 행위 정보를 비교하여 일치하는 것으로서 확인하였다면, 본 발명의 실제 행위 코드 추출부(140)는 기준 악성 행위 정보에 대응하여 저장된 행위 코드 정보에서 해당하는 실제 행위 코드 정보를 각각 찾아내는 기능을 수행한다.
예를 들어, 실제 악성 행위 정보와 기준 악성 행위 정보가 'POP3 전자우편 가져오기에 사용'인 경우, 'POP3 전자우편 가져오기에 사용'의 기준 악성 행위 정보가 '0003455'의 행위 코드 정보로 코드화되어 있으면, 상기 '0003455'의 행위 코드 정보를 찾아내어 실제 행위 코드 정보로서 '0003455'를 찾아낼 수 있다.
이와 같은 형태로, 본 발명의 실제 행위 코드 추출부(140)는 복수 개의 실제 악성 행위 정보에 대하여 해당하는 실제 행위 코드 정보를 행위 코드 저장부(120)로부터 찾아냄으로써, 원하는 실제 행위 코드 정보들을 획득하게 되는 것이다.
이어서, 본 발명의 실제 행위 코드 추출부(140)는 획득된 복수 개의 실제 악성 행위 코드 정보에 대하여 순서화하는 기능을 수행한다. 여기서, 실제 행위간의 순서를 코드화하는 이유는 실제 행위 코드 추출부(140)에 의해 추출된 실제 악성 행위 정보 또는 기준 악성 행위 저장부(110)에 저장된 기준 악성 행위 정보가 실질적으로는 매우 긴 정보를 담고 있기 때문에 그 것을 간단히 하여 식별하기 위함이다.
순서화된 실제 행위 코드 정보의 예는 도 4와 같이 나타낼 수 있다. 도 4를 잠시 살펴보면, 도 4에 도시된 실제 행위 코드 정보는 각 실제 악성 코드 정보(194, 간단히 '악성 코드'라 함)에 대응한 결과(196)를 나타낸 것이며, 순서화되어 있음을 알 수 있다.
이와 같이, 실제 행위 코드 추출부(140)는 최종적으로 각각의 실제 악성 행위 정보에 대응하여 순서화된 복수 개의 실제 악성 행위 정보를 획득하고자 하는데 있다.
다음으로, 유사성 검증부(150)는 순서화된 후의 실제 행위 코드 정보 중 임의의 두개를 1:1 비교하여 일치하는 공통 행위의 개수가 위치에 따라 소정의 범위내에 있는지를 판단하는 기능을 수행한다.
예를 들어, 공통 행위의 개수가 위치를 반영하여 3개로 설정된 상태에서, 도 4에 도시된 NXVirus2.exe에 대응하여 순서화한 후의 실제 행위 코드 정보와 NXVirus3.exe에 대응하여 순서화한 후의 실제 행위 코드 정보가 1:1로 비교되면, 같은 위치 상에 있는 공통 행위 개수가 4개이므로 설정된 3개의 공통 행위 개수보다 많기 때문에 NXVirus2.exe와 NXVirus3.exe는 유사성이 있는 것으로 판단하게 되는 것이다. 이와 마찬가지로, 위치를 반영한 다른 순서화된 후의 실제 행위 코드 정보들에 대해서도 위와 같은 방식으로 유사성을 검증할 수 있다.
또는 유사성 검증부(150)는 순서화된 전의 실제 행위 코드 정보 중 임의의 두개를 1:1 비교하여 일치하는 공통 행위의 개수가 위치에 상관없이 소정의 범위내에 있는지를 판단하는 기능을 수행한다.
예를 들면, 공통 행위의 개수가 위치 반영없이 5개로 설정된 상태에서, 도 4에 도시된 NXVirus2.exe에 대응하여 순서화하기 전의 실제 행위 코드 정보와 NXVirus3.exe에 대응하여 순서화하기 전의 실제 행위 코드 정보를 1:1 비교하면, 위치에 상관없이 공통 행위 개수가 6개이므로 설정된 4개의 공통 행위 개수보다 많기 때문에 NXVirus2.exe와 NXVirus3.exe는 유사성이 있는 것으로 판단하게 되는 것이다.
이와 같이, 본 발명의 유사성 검증부(150)는 순서화된 전의 또는 후의 실제 행위 코드 정보 중 임의의 두개를 1:1 비교하여 일치하는 공통 행위의 개수가 위치의 유,무에 따라 소정의 범위내에 있는지를 판단함으로써, 상호 유사성이 있는지를 검증할 수 있게 되는 것이다.
여기서, 순서화된 전의 또는 후의 실제 행위 코드 정보 중 임의의 두개를 1:1 비교시, 두개의 실제 행위 코드 정보가 공통 행위를 갖지 않는 개수에 대해서도 유사성 판단의 기준으로서 더 반영할 수 있다. 예를 들면, 순서화된 전의 또는 후의 실제 행위 코드 정보 중 임의의 두개를 비교하여 공통 행위의 개수가 5개 이상이고, 상기 공통 행위가 아닌 개수가 20개 미만일 경우를 유사성이 있는 것으로 판단할 수 있다.
다음으로, 변종 악성 코드 추출부(160)는 유사성 검증부(150)의 판단 결과 소정의 범위내 있다고 판단되면 두개의 실제 행위 코드 정보 중 어느 하나를 변종 악성 코드로서 추출하는 기능을 수행한다.
예를 들어, NXVirus2.exe와 NXVirus3.exe의 실제 행위 코드 정보(196)가 유사성이 있는 것으로 판단되면 NXVirus2.exe의 실제 행위 코드 정보로부터 NXVirus3.exe가 변종된 사실을 밝혀내거나, NXVirus3.exe의 실제 행위 코드 정보로부터 NXVirus2.exe가 변종된 사실을 밝혀내는 등, 임의의 두개의 실제 행위 코드 정보 중에서 하나의 변종 악성 코드를 확인하여 추출하게 되는 것이다.
이때, 두개의 실제 행위 코드 정보가 순서가 반영되어 있을 경우에는 어느 실제 행위 코드 정보를 기준으로 하느냐에 따라 유사성 정도가 달라져 변종 사실이 달라지기 때문에 위와 같은 기준으로 선택을 반영하여 변종 악성 코드를 추출할 수 있다.
다음으로, 본 발명의 통신부(170)는 서버(200) 및/또는 클라이언트(210)와 변종 악성 코드 탐지 시스템(100) 간의 통신 인터페이스를 지원하여, 변종 악성 코드 탐지 시스템(100)에서 인터넷에 존재하는 악성 코드를 원활하게 수집할 수 있다. 만약, 변종 악성 코드 탐지 시스템(100)이 오픈 라인 상에서 악성 코드 분석을 실시하게 되면, 통신부(170)의 구성은 생략 가능하다.
마지막으로, 본 발명의 제어부(180)는 기준 악성 행위 저장부(110), 행위 코드 저장부(120), 악성 행위 추출부(130), 실제 행위 코드 추출부(140), 유사성 검증부(150), 변종 악성 코드 추출부(160), 통신부(170) 및 제어부(180)간의 데이터 흐름을 제어하며, 이로써 각 구성에서 고유의 기능을 수행할 수 있는 것이다.
한편, 이상에서 설명된 기준 악성 행위 저장부(110)와 행위 코드 저장부(120)는 데이터베이스일 수 있다. 이럴 경우, 상기 데이터베이스(DB)는 데이터베이스 관리 프로그램(DBMS)을 이용하여 컴퓨터 시스템의 저장공간(하드디스크 또는 메모리)에 구현된 일반적인 데이터구조를 의미하는 것으로, 데이터의 검색(추출), 삭제, 편집, 추가 등을 자유롭게 행할 수 있는 데이터 저장형태를 뜻하는 것으로, 오라클(Oracle), 인포믹스(Infomix), 사이베이스(Sybase), DB2와 같은 관계형 데이타베이스 관리 시스템(RDBMS)이나, 겜스톤(Gemston), 오리온(Orion), O2 등과 같은 객체 지향 데이타베이스 관리 시스템(OODBMS) 및 엑셀론(Excelon), 타미노(Tamino), 세카이주(Sekaiju) 등의 XML 전용 데이터베이스(XML Native Database)를 이용하여 본 실시예의 목적에 맞게 구현될 수 있고, 자신의 기능을 달성하기 위하여 적당한 필드(Field) 또는 엘리먼트들을 가지고 있다.
위와 같은 데이터베이스는 기준 악성 행위 저장부(110), 행위 코드 저장부(120)를 제외한 다른 각 구성에 의해 처리된 결과를 더 저장할 수 있으며, 해당하는 구성들에 의해 이용되어질 수 있다.
제2 실시예
도 5는 본 발명의 제2 실시예에 따른 변종 악성 코드 탐지 방법(S100)을 예시적으로 나타낸 도면이다. 보조적으로 도 2 내지 도 4를 참고하여 설명한다.
도 5를 참조하면, 본 발명의 제2 실시예에 따른 변종 악성 코드 탐지 방법(S100)은 샘플 악성 코드에 대응하여 복수 개의 기준 악성 행위 정보를 생성하는 단계(S110), 복수 개의 기준 악성 행위 정보를 코드화시키는 단계(S120), 수집된 악성 코드에 대응하여 복수 개의 실제 악성 행위 정보를 생성하는 단계(S130), 실제 악성 행위 정보와 기준 악성 행위 정보를 비교하여 실제 행위 코드 정보를 찾아 순서화하는 단계(S140), 임의의 두개의 실제 행위 코드 정보를 비교하여 유사성을 판단하는 단계(S150) 및 유상성으로 판단된 임의의 변종 악성 코드를 추출하는 단계(S160)를 포함하여 이루어진다.
각 단계에 대하여 보다 구체적으로 살펴보면, 먼저, S110 단계에서는 인터넷 상에서 수집되어진 샘플 악성 코드를 정적 또는 동적 분석을 실시한다. 정적 또는 동적 분석을 수행하게 되면 악성 행위에 따른 악성 행위 정보를 생성할 수 있는데, 복수 개의 샘플 악성 코드를 대상으로 수행하였기 때문에 기준 악성 행위 정보라 명명한다. 이러한 기준 악성 행위 정보는 앞서 설명되었던 도 2 및 도 3에 도시된 바와 같이 복수 개로 구비되어 있으며, 기설정되어진다. 한편, 정적 또는 동적 분석은 당업자에게 널리 알려진 방식을 사용한다.
이후, S120 단계에서는 S110 단계에 의해 생성된 복수 개의 기준 악성 행위 정보를 각각 코드화시키는 과정을 실시한다. 여기서, 복수 개의 기준 악성 행위 정보를 코드화하는 이유는 기준 악성 행위 정보들이 매우 긴 행위 상태를 갖고 있기 때문에 이들을 단순화된 상태로 처리하기 위하여 코드화하는 것이다. 이때, 코드화된 기준 악성 행위 정보를 가리켜 행위 코드 정보라 명명한다.
이러한 행위 코드 정보에 대한 예를 언급하여 보면, 도 2에 도시된 '네트워크'라는 기준 악성 행위 정보에 대응하여 '00050000'으로 코드화되고, '네트워크'의 서브 디렉토리에 있는 '블랙리스트 DNS 쿼리'에 대응하여 '00051000'으로 코드화되며, 같은 서브 디렉토리안에 있는 'FTP 제어(명령) 포트'에 대해서는 '00052000'로 코드화된다. 이와 같이 복수 개의 그룹에 대한 각각의 기준 악성 행위 정보들에 대해서도 코드화될 수 있다.
이후, S130 단계에서는 인터넷 상에 배포된 복수 개의 악성 코드 정보를 수집한 후, 정적 또는 동적 분석을 수행한다. 이때, 수집된 복수 개의 악성 코드 정보는 변종 악성 코드인지를 확인하는데 필요한 분석 대상의 악성 코드들을 의미한다.
통상적으로 널리 알려진 정적 또는 동적 분석을 수행하게 되면, 복수 개의 악성 코드 정보에 대응하여 각각 실제 악성 행위 정보를 생성할 수 있다. 실제 악성 행위 정보는 앞서 설명되었던 S110 단계의 기준 악성 행위 정보와는 실질적으로 같은 형식을 갖고 있으나, 기설정된 정보 대비 분석용 정보인 면에서 차이가 있을 ㅃ뿐이다.
이와 같이, S130 단계에서는 인터넷 상에 배포된 복수 개의 악성 코드 정보를 수집한 후, 정적 또는 동적 분석을 수행하여 복수 개의 실제 악성 행위 정보를 얻을 수 있다.
이후, S140 단계에서는 S120 단계에 의해 생성된 각각의 실제 악성 행위 정보와 기준 악성 행위 정보를 비교하여 일치하는지의 여부를 판단한다. 판단 결과 일치된다고 판단되면, 상기 기준 악성 행위 정보에 대응하고 있는 행위 코드 정보에서 해당하는 실제 행위 코드 정보를 각각 찾아, 실제 악성 행위 정보에 대응하는 각각의 실제 행위 코드 정보를 얻을 수 있게 되는 것이다.
예를 들어, 실제 악성 행위 정보와 기준 악성 행위 정보가 'POP3 전자우편 가져오기에 사용'인 경우, 'POP3 전자우편 가져오기에 사용'의 기준 악성 행위 정보가 '0003455'의 행위 코드 정보로 코드화되어 있으면, 상기 '0003455'의 행위 코드 정보를 찾아내어 실제 행위 코드 정보로서 획득하게 되는 것이다.
이어서, 본 발명의 S140 단계에서는 복수 개로 획득한 실제 행위 코드 정보를 순서화하는 과정을 실시한다. 이때의 순서화는 순차적으로 획득한 실제 행위 코드 정보를 나열하여 연결한 과정인 것을 의미한다. 순서화된 실제 행위 코드 정보의 예는 앞서 설명된 바와 같이 도 4와 같이 나타낼 수 있다.
이후, S150 단계에서는 S140 단계에 의해 순서화된 전의 또는 후의 실제 행위 코드 정보 중 임의의 두개를 1:1 비교하여 일치하는 공통 행위의 개수가 위치에 따라 소정의 범위내에 있는지를 판단하는 과정을 실시한다.
이러한 S150 단계의 과정 중, 순서화된 후의 실제 행위 코드 정보 비교에 대해서는 공통 행위의 위치를 반영하여 판단할 수 있다. 이러한 예는 도 6과 같이 나타내어진다. 도 6을 살펴보면, 먼저 순서화된 후의 두개의 실제 행위 코드 정보를 추출한 후(S151), 두개의 실제 행위 코드 정보가 공통적인 공통 행위가 같은 위치에 해당되고, 이것이 기설정된 범위 내의 개수에 포함되어 있는지를 판단한다(152).
예를 들면, 공통 행위의 개수가 위치를 반영하여 3개로 설정된 상태에서, 도 4에 도시된 NXVirus2.exe에 대응하여 순서화한 후의 실제 행위 코드 정보와 NXVirus3.exe에 대응하여 순서화한 후의 실제 행위 코드 정보가 1:1로 비교 판단되면, 같은 위치 상에 있는 공통 행위 개수가 4개이므로 설정된 3개의 공통 행위 개수보다 많기 때문에 NXVirus2.exe와 NXVirus3.exe는 유사성이 있는 것으로 판단하게 되는 것이다. 유사성이 있는 것으로 판단되면 유사성 검증을 완료하며(S153), 아닐 경우에는 S151 단계를 수행하게 된다.
이와 마찬가지로, 위치를 반영한 다른 순서화된 후의 실제 행위 코드 정보들에 대해서도 두개를 서로 비교하여 위와 같은 방식으로 유사성을 검증할 수 있다.
또는 위와 같은 S150 단계의 과정 중, 순서화된 전의 실제 행위 코드 정보 비교에 대해서는 공통 행위의 위치를 반영하지 않은 상태에서 유사성을 판단할 수도 있다. 이러한 예는 도 7과 같이 나타낼 수 있다.
도 7을 살펴보면, 먼저, 순선화되기전의 두개의 실제 행위 코드 정보를 추출한 후(S154), 두개의 실제 행위 코드 정보가 공통적인 공통 행위의 개수가 위치에 상관없이 기설정된 범위 내의 개수에 포함되어 있는지를 판단한다(S155).
예를 들면, 공통 행위의 개수가 위치 반영없이 5개로 설정된 상태에서, 도 4에 도시된 NXVirus2.exe에 대응하여 순서화하기 전의 실제 행위 코드 정보와 NXVirus3.exe에 대응하여 순서화하기 전의 실제 행위 코드 정보를 1:1 비교하면, 위치에 상관없이 공통 행위 개수가 6개이므로 설정된 4개의 공통 행위 개수보다 많기 때문에 NXVirus2.exe와 NXVirus3.exe는 유사성이 있는 것으로 판단하게 되는 것이다. 이와 같이, 유사성이 있는 것으로 판단되면 유사성 검증을 완료하며(S156), 아닐 경우에는 S154 단계를 반복 수행하게 된다.
또는 위와 같은 S150 단계의 과정 중, 순서화되기 전 또는 후에 상관없이 두개의 실제 행위 코드 정보내의 공통 행위가 아닌 비공통 행위의 개수가 소정의 범위내에 있는지를 더 반영하여 유사성을 판단할 수도 있다. 이러한 예는 도 8과 같이 나타낼 수 있다.
도 8을 살펴보면, 순서화전 또는 순선화된 후의 두개의 실제 행위 코드 정보를 추출한 후(S157), 두개의 실제 행위 코드 정보내에 있는 비공통 행위 개수(공통적이지 않은 행위 개수를 의미함)가 기설정된 개수 범위 내에 있는지를 판단한다(S158).
예를 들면, 도 4에 도시된 순서화된 후의 두개의 실제 행위 코드 정보가 NXVirus1.exe와 NXVirus3이고, 비공통 행위의 개수가 3개 이하인 경우를 유사성 판단 기준일 경우, NXVirus1.exe와 NXVirus3가 비공통 행위의 개수가 NXVirus1.exe의 관점에서 1개만이 검출되므로 설정된 3개와 비교하여 그 이하이므로 유사성이 있는 것으로 판단될 수 있는 것이다. 이와 같이, 유사성이 있는 것으로 판단되면 유사성 검증을 완료하며(S159), 아닐 경우에는 S157 단계를 반복 수행하게 된다.
아울러, 위와 같은 방식과 마찬가지로, 순서에 상관없는 순서화되기 전의 두개의 실제 행위 코드 정보를 비교하여 비공통 행위 개수를 반영하여 유사성을 판단할 수도 있는 것이다. 한편, 도 6과 도 8을 결합하거나, 도 6과 도 7을 결합하여 시행도 가능하다.
다시, 도 5로 돌아와, 마지막으로 S160 단계를 설명하면, 본 발명의 S160 단계에서는 S150 단계의 각 실시 형태에 따른 판단 결과, 기설정된 소정의 범위내 있다고 판단되면, 두개의 실제 행위 코드 정보 중 어느 하나를 변종 악성 코드로서 생성하는 과정을 실시한다.
예를 들면, 도 4에 도시된 NXVirus2.exe와 NXVirus3.exe의 실제 행위 코드 정보(196)가 유사성이 있는 것으로 판단되면 NXVirus2.exe의 실제 행위 코드 정보로부터 NXVirus3.exe가 변종된 사실을 밝혀내거나, NXVirus3.exe의 실제 행위 코드 정보로부터 NXVirus2.exe가 변종된 사실을 밝혀내는 등, 임의의 두개의 실제 행위 코드 정보 중에서 하나의 변종 악성 코드를 확인하여 추출하게 되는 것이다.
이때, 두개의 실제 행위 코드 정보가 순서가 반영되어 있을 경우에는 어느 실제 행위 코드 정보를 기준으로 하느냐에 따라 유사성 정도가 달라져 변종 사실이 달라지기 때문에 위와 같은 기준으로 선택을 반영하여 변종 악성 코드를 추출할 수도 있다.
이와 같이, 본 발명의 제2 실시예에 따른 변종 악성 코드 탐지 방법(S100)은 순서화되기전 또는/및 순서화된 후의 두개의 실제 행위 코드 정보를 공통 행위 개수의 위치 유,무에 따라 기설정된 개수 범위내에서 1;1 비교함으로써, 변종 악성 코드가 있는지 및/또는 어느 악성 코드로부터 변종 악성 코드가 생성되었는지를 알 수 있어, 전체적으로 악성 코드 분석 시간을 크게 줄일 수 있는 것이다. 이하에서는 본 발명의 제1 실시예와 제2 실시예를 실질적으로 적용하여 유사도 분석 결과를 보여준다.
분석예
도 9에서와 같이, 본 시험은 2011년 발생한 악성 코드 중 Top 20dp 포함되는 악성 코드 유형인 Zbot, Virut, Startpage, Mydoom, Palevo을 대상으로 모든 변종 악성 코드간 전수 비교하였다. 여기서 수집한 각각의 변종 악성 코드는 같은 공격툴킷에서 생성된 변종이 아니라, 각각 다른 출처에서 수집된 정보이다.
도 10에서는 악성 코드 변종 간 유사도 비교 결과 중, Mydoom과 관련도니 비교 결과만 기술하였다. Mydoom 내의 변종 악성 코드 간의 악성 코드 유사도는 매우 높게 나타났으나, 다른 유형의 악성 코드와 유사도는 매우 낮게 나왔음을 확인할 수 있다. 이와 같이, 확인된 악성 코드 간의 유사도를 통해 변종 악성 코드 여부를 쉽게 확인 가능하였다.
이상에서와 같이, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.
100 : 변종 악성 코드 탐지 시스템 110 : 기준 악성 행위 저장부
120 : 행위 코드 저장부 130 : 악성 행위 추출부
140 : 실제 행위 코드 추출부 150 : 유사성 검증부
160 : 변종 악성 코드 추출부 170 : 통신부
180 : 제어부 190 : 대분류 정보
192 : 소분류 정보 194 : 실제 악성 코드 정보
196 : 순서화된 실제 악성 코드
120 : 행위 코드 저장부 130 : 악성 행위 추출부
140 : 실제 행위 코드 추출부 150 : 유사성 검증부
160 : 변종 악성 코드 추출부 170 : 통신부
180 : 제어부 190 : 대분류 정보
192 : 소분류 정보 194 : 실제 악성 코드 정보
196 : 순서화된 실제 악성 코드
Claims (8)
- 샘플 악성 코드를 정적 또는 동적 분석을 수행하여 악성 행위에 따른 기준 악성 행위 정보를 추출, 저장하는 기준 악성 행위 저장부;
상기 저장된 기준 악성 행위 정보를 코드화하여 행위 코드 정보로서 저장하는 행위 코드 저장부;
인터넷 상에 배포된 복수 개의 악성 코드 정보를 수집한 후, 정적 또는 동적 분석을 수행하여 각각 실제 악성 행위 정보를 추출하는 악성 행위 추출부;
상기 각각의 실제 악성 행위 정보와 상기 기준 악성 행위 정보를 비교하여 일치하는 할 경우, 상기 행위 코드 정보에서 해당하는 실제 행위 코드 정보를 각각 찾아 순서화하는 실제 행위 코드 추출부;
상기 순서화된 전의 또는 후의 실제 행위 코드 정보 중 임의의 두개를 1:1 비교하여 일치하는 공통 행위의 개수가 위치의 유,무에 따라 소정의 범위내에 있는지를 판단하는 유사성 검증부; 및
상기 유사성 검증부의 판단 결과 소정의 범위내 있다고 판단되면 상기 두개의 실제 행위 코드 정보 중 어느 하나를 변종 악성 코드로서 추출하는 변종 악성 코드 추출부;
를 포함하는 것을 특징으로 하는 변종 악성 코드 탐지 시스템. - 제 1항에 있어서,
상기 유사성 검증부는,
상기 순서화된 후의 실제 행위 코드 정보 비교에 대해서는 상기 공통 행위의 위치를 반영하는 것을 특징으로 하는 변종 악성 코드 탐지 시스템. - 제 1항에 있어서,
상기 유사성 검증부는,
상기 순서화된 전의 실제 행위 코드 정보 비교에 대해서는 상기 공통 행위의 위치를 반영하지 않는 것을 특징으로 하는 변종 악성 코드 탐지 시스템. - 제 2항 또는 제3항에 있어서,
상기 유사성 검증부는,
상기 비교시, 상기 공통 행위가 아닌 행위 개수가 소정의 범위내에 있는지를 더 반영하여 유사성을 판단하는 것을 특징으로 하는 변종 악성 코드 탐지 시스템. - (a) 샘플 악성 코드를 정적 또는 동적 분석을 수행하여 악성 행위에 따른 복수 개의 기준 악성 행위 정보를 생성하는 단계;
(b) 상기 생성된 복수 개의 기준 악성 행위 정보를 각각 코드화시키는 단계;
(c) 인터넷 상에 배포된 복수 개의 악성 코드 정보를 수집한 후, 정적 또는 동적 분석을 수행하여 각각 실제 악성 행위 정보를 생성하는 단계;
(d) 상기 생성된 각각의 실제 악성 행위 정보와 기준 악성 행위 정보를 비교하여 일치하는 할 경우, 상기 행위 코드 정보에서 해당하는 실제 행위 코드 정보를 각각 찾아 순서화하는 단계;
(e) 상기 순서화된 전의 또는 후의 실제 행위 코드 정보 중 임의의 두개를 1:1 비교하여 일치하는 공통 행위의 개수가 위치의 유,무에 따라 소정의 범위내에 있는지를 판단하는 단계; 및
(f) 상기 (e) 단계의 판단 결과 소정의 범위내 있다고 판단되면, 상기 두개의 실제 행위 코드 정보 중 어느 하나를 변종 악성 코드로서 생성하는 단계;
를 포함하는 것을 특징으로 하는 변종 악성 코드 탐지 방법. - 제 5항에 있어서,
상기 (e) 단계는,
상기 순서화된 후의 실제 행위 코드 정보 비교에 대해서는 상기 공통 행위의 위치를 반영하여 판단하는 것을 특징으로 하는 변종 악성 코드 탐지 방법. - 제 6항에 있어서,
상기 (e) 단계는,
상기 순서화된 전의 실제 행위 코드 정보 비교에 대해서는 상기 공통 행위의 위치를 반영하지 않은 상태에서 판단하는 것을 특징으로 하는 변종 악성 코드 탐지 방법. - 제 6항 또는 제 7항에 있어서,
상기 비교시, 상기 공통 행위가 아닌 비공통 행위의 개수가 소정의 범위내에 있는지를 더 반영하여 유사성을 판단하는 것을 특징으로 하는 변종 악성 코드 탐지 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110138923A KR20130071617A (ko) | 2011-12-21 | 2011-12-21 | 변종 악성 코드를 탐지하기 위한 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110138923A KR20130071617A (ko) | 2011-12-21 | 2011-12-21 | 변종 악성 코드를 탐지하기 위한 시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20130071617A true KR20130071617A (ko) | 2013-07-01 |
Family
ID=48986555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020110138923A KR20130071617A (ko) | 2011-12-21 | 2011-12-21 | 변종 악성 코드를 탐지하기 위한 시스템 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20130071617A (ko) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101508577B1 (ko) * | 2013-10-08 | 2015-04-07 | 고려대학교 산학협력단 | 악성코드 탐지장치 및 방법 |
| KR101514984B1 (ko) * | 2014-03-03 | 2015-04-24 | (주)엠씨알시스템 | 홈페이지 악성코드 유포 탐지 시스템 및 방법 |
| KR101520671B1 (ko) * | 2014-04-25 | 2015-05-20 | 충남대학교산학협력단 | 실행코드 유사도 분석 시스템 및 방법 |
| KR20160073801A (ko) * | 2014-12-17 | 2016-06-27 | 고려대학교 산학협력단 | 문서에 포함된 악성 공격 코드 탐지 시스템 및 방법 |
| KR101701302B1 (ko) * | 2015-08-28 | 2017-02-02 | 고려대학교 산학협력단 | 실행코드 암호화 장치 및 방법 |
| KR20190073255A (ko) * | 2017-12-18 | 2019-06-26 | 고려대학교 산학협력단 | 모바일 운영체제 환경에서 악성 코드 행위에 따른 위험을 관리하는 장치 및 방법, 이 방법을 수행하기 위한 기록 매체 |
| KR20200116713A (ko) * | 2019-04-02 | 2020-10-13 | 충남대학교산학협력단 | 로그 기반 변종 악성 코드 탐지 시스템 및 그 방법 |
-
2011
- 2011-12-21 KR KR1020110138923A patent/KR20130071617A/ko not_active Application Discontinuation
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101508577B1 (ko) * | 2013-10-08 | 2015-04-07 | 고려대학교 산학협력단 | 악성코드 탐지장치 및 방법 |
| KR101514984B1 (ko) * | 2014-03-03 | 2015-04-24 | (주)엠씨알시스템 | 홈페이지 악성코드 유포 탐지 시스템 및 방법 |
| KR101520671B1 (ko) * | 2014-04-25 | 2015-05-20 | 충남대학교산학협력단 | 실행코드 유사도 분석 시스템 및 방법 |
| KR20160073801A (ko) * | 2014-12-17 | 2016-06-27 | 고려대학교 산학협력단 | 문서에 포함된 악성 공격 코드 탐지 시스템 및 방법 |
| KR101701302B1 (ko) * | 2015-08-28 | 2017-02-02 | 고려대학교 산학협력단 | 실행코드 암호화 장치 및 방법 |
| KR20190073255A (ko) * | 2017-12-18 | 2019-06-26 | 고려대학교 산학협력단 | 모바일 운영체제 환경에서 악성 코드 행위에 따른 위험을 관리하는 장치 및 방법, 이 방법을 수행하기 위한 기록 매체 |
| US11019497B2 (en) | 2017-12-18 | 2021-05-25 | Korea University Research And Business Foundation | Apparatus and method for managing risk of malware behavior in mobile operating system and recording medium for perform the method |
| KR20200116713A (ko) * | 2019-04-02 | 2020-10-13 | 충남대학교산학협력단 | 로그 기반 변종 악성 코드 탐지 시스템 및 그 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR20130071617A (ko) | 변종 악성 코드를 탐지하기 위한 시스템 및 방법 | |
| CN108156131B (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
| US20150256552A1 (en) | Imalicious code detection apparatus and method | |
| US20150205960A1 (en) | Method of detecting a malware based on a white list | |
| RU2568285C2 (ru) | Способ и система анализа работы правил обнаружения программного обеспечения | |
| US20130117246A1 (en) | Methods of processing text data | |
| CN105224600B (zh) | 一种样本相似度的检测方法及装置 | |
| KR101716564B1 (ko) | 하둡 기반의 악성코드 탐지 방법과 시스템 | |
| CN107229839B (zh) | 一种基于新一代测序数据的Indel检测方法 | |
| CN102867038A (zh) | 文件类型的确定方法和装置 | |
| CN113132311A (zh) | 异常访问检测方法、装置和设备 | |
| KR101520671B1 (ko) | 실행코드 유사도 분석 시스템 및 방법 | |
| Briones et al. | Graphs, entropy and grid computing: Automatic comparison of malware | |
| JP6691240B2 (ja) | 判定装置、判定方法、および、判定プログラム | |
| Vadrevu et al. | Maxs: Scaling malware execution with sequential multi-hypothesis testing | |
| CN104504334A (zh) | 用于评估分类规则选择性的系统及方法 | |
| US11899770B2 (en) | Verification method and apparatus, and computer readable storage medium | |
| KR101222178B1 (ko) | 악성코드 dna 및 메타데이터 자동 관리 시스템 | |
| CN103714269A (zh) | 病毒的识别方法及设备 | |
| JP6523799B2 (ja) | 情報分析システム、情報分析方法 | |
| KR101749210B1 (ko) | 다중 서열 정렬 기법을 이용한 악성코드 패밀리 시그니쳐 생성 장치 및 방법 | |
| KR101907681B1 (ko) | 악성코드 검출을 위한 자동 규칙 생성방법, 장치, 시스템 및 이를 기록한 컴퓨터로 판독가능한 기록매체 | |
| CN111368128A (zh) | 目标图片的识别方法、装置和计算机可读存储介质 | |
| CN111898126A (zh) | 一种基于动态获取用户界面的Android重打包应用检测方法 | |
| KR20190003670A (ko) | 모바일 디바이스 식별자를 설정하기 위한 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |