KR20140060906A - 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법 - Google Patents

이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법 Download PDF

Info

Publication number
KR20140060906A
KR20140060906A KR1020120127841A KR20120127841A KR20140060906A KR 20140060906 A KR20140060906 A KR 20140060906A KR 1020120127841 A KR1020120127841 A KR 1020120127841A KR 20120127841 A KR20120127841 A KR 20120127841A KR 20140060906 A KR20140060906 A KR 20140060906A
Authority
KR
South Korea
Prior art keywords
document file
server
result
malicious
mail
Prior art date
Application number
KR1020120127841A
Other languages
English (en)
Other versions
KR101434179B1 (ko
Inventor
이창용
강홍구
이태진
김지상
김병익
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020120127841A priority Critical patent/KR101434179B1/ko
Publication of KR20140060906A publication Critical patent/KR20140060906A/ko
Application granted granted Critical
Publication of KR101434179B1 publication Critical patent/KR101434179B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Abstract

본 발명은 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법에 관한 것으로, 본 발명에 따른 이메일 기반 문서형 악성코드 고속탐지 시스템은 메일서버로부터 이메일에 첨부된 문서파일을 다운로드하고, 상기 문서파일에 대한 이전 탐지기록이 존재하는지를 확인하여 상기 문서파일에 대한 이전 탐지기록이 미존재하는 경우, 상기 문서파일을 정적분석서버 및 동적분석서버, 백신점검서버로 전송하고, 상기 정적분석서버 및 동적분석서버, 백신점검서버로부터 상기 문서파일에 대한 정적분석결과, 행위정보 모니터링 결과, 백신검사결과를 수신하며 상기 행위정보 모니터링 결과를 행위 탐지 룰과 매칭하여 행위 위험도를 산정하고, 상기 정적분석결과 및 백신검사결과, 산정된 행위 위험도에 근거하여 상기 문서파일의 악성여부를 최종적으로 결정한다.

Description

이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법{A SYSTEM AND A METHOD FOR QUICKLY DETECTING E-MAIL BASED MALICIOUS CODE-BEARING DOCUMENTS}
본 발명은 이메일에 첨부된 문서파일에 대해 정적분석 및 동적분석, 백신검사를 자동으로 실시하여 파일의 악성여부를 고속으로 탐지하는 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법에 관한 것이다.
최근 증가하고 있는 특정인을 대상으로 하는 사이버공격은 이메일의 송신자를 이메일 수신자가 이미 알고 있는 지인으로 가장하여 악성 메일을 보냄으로써, 메일 수신자가 아무런 의심없이 해당 메일을 보도록 유도하여 특정인의 컴퓨터를 감염시켜 정보를 절취하는 형태의 공격이다. 절취되는 정보에는 특정인의 개인정보를 포함하여 개인용 컴퓨터에 저장되어 관리되고 있는 중요정보까지 다양하다. 이러한 특정인 대상의 공격위협은 꾸준히 발생하고 있다. 특정인을 대상으로 하는 공격은 주로 알려지지 않은 취약점을 이용하며, 특히 마이크로소프트의 오피스, PDF 문서, 한글 등의 문서관련 응용프로그램의 취약점을 이용하여 악성코드를 전파한다. 일반적으로 알려지지 않은 취약점이란 소프트웨어 개발사나 보안 업계에서는 인지하지 못하고 있지만, 해커와 같은 공격자가 발견하여 이미 활용하고 있는 취약점을 의미한다. 특히 조직내의 방화벽 등에 의해 직접적인 공격이 대부분 차단됨에 따라 조직 내부의 사용자 컴퓨터를 공격하기 위한 방안으로써, 문서 내에 악성코드를 은닉시켜 이메일에 첨부하여 전달하는 방법이 많이 활용되고 있다.
따라서, 종래에는 응용프로그램의 알려지지 않은 취약점을 이용하여 악성코드를 은닉한 악성문서를 첨부한 이메일 공격을 탐지가 어렵다.
본 발명은 상기한 종래기술의 문제점을 해결하기 위하여 안출된 것으로, 이메일에 첨부되는 문서파일에 대해 정적분석 및 동적분석, 백신검사를 자동으로 실시하여 파일의 악성여부를 고속으로 탐지하는 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법을 제공하기 위한 것이다.
본 발명에 따른 이메일 기반 문서형 악성코드 고속탐지 시스템은 메일서버로부터 이메일에 첨부된 문서파일을 수신하고, 그 수신된 문서파일에 대한 최종 악성여부를 판단하는 관리서버와, 상기 관리서버로부터 제공받은 문서파일에 대한 정적분석을 통해 악성여부를 판단하고 그 정적분석결과를 상기 관리서버로 전송하는 정적분석서버와, 상기 관리서버로부터 수신한 문서파일을 실행시켜 행위정보를 모니터링하고 그 모니터링 결과를 상기 관리서버로 전송하는 동적분석서버와, 상기 관리서버로부터 전달받은 문서파일에 대해 백신검사를 수행하고 그 백신검사결과를 상기 관리서버로 전송하는 백신점검서버를 포함하며, 상기 관리서버는 상기 동적분석서버로부터 상기 모니터링 결과를 기저장된 탐지 룰과 매칭하여 행위 위험도를 산정하고, 그 산정된 행위 위험도 및 상기 정적분석결과, 백신검사결과를 분석하여 상기 문서파일의 악성여부를 최종적으로 판단하는 것을 특징으로 한다.
또한, 상기 관리서버는, 상기 메일서버로부터 전송되는 이메일 정보를 수신하여 확인하고 그 확인결과 이메일에 문서파일이 첨부된 경우 해당 문서파일을 상기 메일서버로부터 다운로드하는 것을 특징으로 한다.
또한, 상기 관리서버는, 상기 산정된 행위 위험도 및 정적분석결과, 백신검사결과 중 하나의 결과가 악성을 탐지하면 악성의심으로 판단하고, 둘 이상의 결과가 악성으로 탐지되면 악성으로 판단하며, 상기 백신검사결과가 악성이면 상기 문서파일을 악성으로 판단하는 것을 특징으로 한다.
또한, 상기 정적분석서버는, 상기 문서파일 내 스크립트 및 쉘코드 포함여부, 난독화 여부, 툴 기반 검증과 같은 정적분석을 통해 악성여부를 판단하는 것을 특징으로 한다.
또한, 상기 동적분석서버는, 상기 문서파일의 파일 행위, 레지스트리 행위, 네트워크 행위, 프로세스 행위를 모니터링하는 것을 특징으로 한다.
또한, 상기 동적분석서버는, 상기 행위 모니터링 중 생성되는 PE(Portable Executable) 형태의 실행 파일을 상기 관리서버로 전송하는 것을 특징으로 한다.
또한, 상기 관리서버는, 악성코드 분석결과 및 악성코드 통계을 관리자가 확인할 수 있도록 웹 기반 사용자 인터페이스를 제공하는 것을 특징으로 한다.
본 발명에 따른 이메일 기반 문서형 악성코드 고속탐지 방법은 메일서버로부터 이메일에 첨부된 문서파일을 다운로드하는 단계와, 상기 문서파일에 대한 이전 탐지기록이 존재하는지를 확인하는 단계와, 상기 문서파일에 대한 이전 탐지기록이 미존재하는 경우, 상기 문서파일을 정적분석서버 및 동적분석서버, 백신점검서버로 전송하는 단계와, 상기 정적분석서버 및 동적분석서버, 백신점검서버로부터 상기 문서파일에 대한 정적분석결과, 행위정보 모니터링 결과, 백신검사결과를 수신하는 단계와, 상기 행위정보 모니터링 결과를 행위 탐지 룰과 매칭하여 행위 위험도를 산정하는 단계와, 상기 정적분석결과 및 백신검사결과, 산정된 행위 위험도에 근거하여 상기 문서파일의 악성여부를 최종적으로 결정하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 문서파일 다운로드 단계는, 상기 메일서버로부터 이메일 정보를 수신하는 단계와, 상기 이메일 정보를 통해 이메일에 첨부된 파일이 문서파일인지를 확인단계와, 상기 이메일에 첨부된 파일이 문서파일이면 해당 문서파일을 상기 메일서버로부터 다운로드하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 문서파일의 악성여부 최종결정 단계는, 정적분석결과 및 백신검사결과, 산정된 행위 위험도 중 어느 하나가 악성으로 탐지되면 상기 문서파일을 악성의심으로 결정하는 것을 특징으로 한다.
또한, 상기 문서파일의 악성여부 최종결정 단계는, 정적분석결과 및 백신검사결과, 산정된 행위 위험도 중 둘 이상이 악성으로 탐지되면 상기 문서파일을 악성으로 결정하는 것을 특징으로 한다.
또한, 상기 문서파일의 악성여부 최종결정 단계는, 상기 백신검사결과가 악성으로 탐지되면 상기 문서파일을 악성으로 결정하는 것을 특징으로 한다.
본 발명은 이메일에 첨부되는 문서파일에 대해 정적분석 및 동적분석, 백신검사를 자동으로 실시하여 문서파일의 악성여부를 고속으로 탐지할 수 있다.
도 1은 본 발명에 따른 이메일 기반 문서형 악성코드 고속탐지 시스템을 도시한 블록구성도.
도 2는 본 발명에 따른 이메일 기반 문서형 악성코드 고속탐지 방법을 도시한 흐름도.
이하, 첨부된 도면들을 참조하여 본 발명에 따른 실시예를 상세하게 설명한다.
도 1은 본 발명에 따른 이메일 기반 문서형 악성코드 고속탐지 시스템을 도시한 블록구성도이다.
도 1을 참조하면, 본 발명에 따른 이메일 기반 문서형 악성코드 고속탐지 시스템(200)은 관리서버(210), 정적분석서버(220), 동적분석서버(230), 백신점검서버(240)를 포함한다.
관리서버(210)는 관리자에 의해 직접 입력되는 문서파일 또는 메일서버(100)로부터 송신되는 문서파일을 수신하여 정적분석서버(220) 및 동적분석서버(230), 백신점검서버(240)로 전송한다. 여기서, 문서파일은 PDF 파일, DOC 파일, XLS 파일, PPT 파일, HWP 파일 등을 포함한다.
관리서버(210)는 메일서버(100)로부터 이메일 정보를 수신하고, 그 수신된 이메일 정보에 근거하여 이메일 내 문서파일 첨부여부를 확인하여 메일서버(100)로부터 상기 문서파일을 다운로드한다. 여기서, 이메일 정보는 텍스트 형태의 이메일 로그(email log)로, 각 데이터 항목이 탭(tab)으로 구분된다. 이메일 로그는 메일수신시간, 이메일 원본 파일(*.eml)이 저장된 경로(path), 메일 제목, 발신메일 주소, 발신자 도메인, 수신메일 주소, 발신 IP, 메일 발신 시간, 첨부파일명, 메일러(mailer) 정보, 메일 본문에 포함된 첫번째 URL(도메인까지만), 수신된 필드(field) 개수, 메일본문에 포함된 첫번째 URL(http 제외), 메일 본문에 포함된 첫번째 URL(full URL) 등을 포함한다. 메일서버(100)는 정해진 주기로 유입된 이메일의 이메일 로그를 전송하거나 또는 이메일 유입이 발생할 때마다 해당 이메일의 이메일 로그를 전송할 수도 있다.
메일서버(100)는 이메일(e-mail)이 수신되면 수신된 이메일과 관련된 이메일 정보를 관리서버(210)로 전송하고, 관리서버(210)로부터 전송되는 분석결과에 따라 악성코드가 탐지된 문서파일이 첨부된 이메일을 차단한다.
정적분석서버(220)는 관리서버(210)로부터 제공받은 문서파일의 스크립트(script) 추출 및 난독화 판단, 쉘코드(shell code) 추출, 툴(tool) 기반 검증 등의 정적분석을 통해 문서파일의 악성여부를 판단한다. 그리고, 정적분석서버(220)는 정적분석결과를 관리서버(50)로 전송한다. 상기 정적분석결과는 악성코드 탐지여부, 난독화 여부, 난독화 기법, 스크립트 포함여부, 추출된 스크립트, 쉘코드 포함여부, 추출된 쉘코드, 툴 기반 검증 결과 등을 포함한다.
정적분석서버(220)는 문서파일 분석결과에 쉘코드가 포함되어 있는지를 확인하여, 문서파일에 쉘코드가 존재하면 악성으로 판단한다.
또한, 정적분석서버(220)는 툴 기반 검증시 문서파일에서 취약점이 발견되면 악성으로 판단한다. 예를 들어, 문서파일이 PDF 파일이면 PDF 스트림 덤프(stream dump)를 사용하여 검증한 검증결과에서 "Exploit"로 시작하는 문장이 포함되어 있는 경우 악성으로 판단하고, 문서파일이 오피스(워드 파일, 엑셀 파일, 파워포인트 파일) 또는 HWP 파일이면 OfficeMalScanner를 사용하여 검증한 검증결과의 마지막에 "(파일명) seems to be Malicious!" 문장이 포함된 경우 악성으로 탐지한다.
또한, 정적분석서버(220)는 문서파일 내 난독화 및 스크립트가 포함되어 있는 경우 악성으로 판단한다.
동적분석서버(30)는 관리서버(50)로부터 수신한 문서파일을 해당 문서파일에 대응되는 문서편집기를 사용하여 직접 실행시킨다. 이때, 동적분석서버(30)는 문서파일 실행 시 생성되는 PE 형식의 실행파일을 관리서버(210)로 전송한다. 관리서버(210)는 PE 형식의 실행파일을 외부 자동분석 시스템(미도시)에 전송하여 해당 실행파일의 악성여부를 점검한다.
그리고, 동적분석서버(30)는 파일, 레지스트리, 네트워크, 프로세스의 행위를 빠르게 모니터링하고 그 행위 모니터링 결과를 상기 관리서버(50)로 전송한다. 여기서, 파일 행위는 특정폴더에 파일을 생성/쓰기/읽기/닫기하는 행위이고, 레지스트리 행위는 특정 레지스트리 폴더에 키를 생성/삭제/수정하는 행위이며, 프로세스 행위는 다른 실행파일을 실행 또는 종료시키는 행위이고, 네트워크 행위는 DNS 쿼리 행위 또는 특정 IP/Port로 TCP/UDP 접근 시도하는 행위이다.
정적분석서버(20)와 동적분석서버(30)는 가상머신 형태로 구성되므로, 복수 개의 가상머신이 병렬적으로 동작할 수 있다.
백신점검서버(40)는 관리서버(50)로부터 전달받은 문서파일에 대해 백신점검을 수행하고 그 백신검사결과를 관리서버(50)로 전송한다.
관리서버(210)는 동적분석서버(30)로부터 행위 모니터링 결과를 수신하고, 그 수신된 행위 모니터링 결과와 기저장된 탐지 룰을 매칭하여 행위 위험도를 산정한다.
관리서버(210)는 정적분석결과 및 산정된 행위 위험도, 백신검사결과를 분석하여 문서파일의 악성여부를 최종적으로 판단한다.
예를 들어, 관리서버(210)는 정적분석결과 및 산정된 행위 위험도, 백신검사결과 중 하나에서 악성이 탐지되면 '악성의심'으로 판단하고, 둘 이상의 결과가 악성으로 탐지되면 '악성'으로 판단한다. 단, 관리서버(210)는 백신검사결과가 악성이면 무조건 '악성'으로 판단한다.
도 2는 본 발명에 따른 이메일 기반 문서형 악성코드 고속탐지 방법을 도시한 흐름도이다.
도 2를 참조하면, 관리서버(210)는 메일서버(100)로부터 이메일 정보를 수신한다(S11). 상기 메일서버(100)는 이메일이 수신되면 그 수신된 이메일의 송/수신자 및 제목, 첨부파일 등에 대한 이메일 정보를 생성하여 관리서버(210)로 전송한다.
관리서버(210)는 수신된 이메일 정보를 확인하고(S12), 이메일 정보 확인결과 이메일에 첨부된 파일이 있는 경우 첨부파일을 메일서버(100)로부터 다운로드한다(S13). 이때, 관리서버(210)는 이메일의 첨부파일이 문서파일인 경우 해당 문서파일을 메일서버(100)로부터 다운로드한다.
관리서버(210)는 다운로드된 문서파일이 이전에 악성으로 탐지된 기록이 있는지를 확인한다(S14). 즉, 관리서버(210)는 문서파일에 대한 악성탐지기록(history)이 존재하는지를 확인한다.
관리서버(210)는 상기 문서파일이 이전에 악성으로 탐지된 기록이 존재하지 않으면 해당 문서파일을 임시 데이터베이스(temp DB)에 저장한다(S15).
이어서, 관리서버(210)는 상기 문서파일을 정적분석서버(220) 및 동적분석서버(230), 백신점검서버(240)로 전송한다(S16-1 내지 S16-3).
정적분석서버(220)는 상기 문서파일에 대해 난독화 점검, 스크립트 추출, 쉘코드 추출, 툴 기반 검증 등의 정적분석을 수행한다. 그리고, 정적분석서버(220)는 난독화 존재여부, 스크립트 추출여부, 쉘 코드 추출여부, 툴 기반 검증결과를 통해 악성여부를 판단한다. 이후, 정적분석서버(220)는 정적분석결과를 관리서버(210)로 전송하면, 상기 관리서버(210)는 정적분석서버(220)로부터 출력되는 정적분석결과를 수신한다(S17-1)
동적분석서버(230)는 관리서버(210)로부터 제공받은 문서파일을 직접 실행시켜 파일 및 레지스트리, 네트워크, 프로세스 등의 행위를 모니터링하여 그 행위 모니터링 결과를 관리서버(210)로 전송한다. 이때, 동적분석서버(230)는 문서파일의 형태에 대응되는 문서편집기를 사용한다.
관리서버(210)는 동적분석서버(230)로부터 출력되는 모니터링 결과를 수신하고(S17-2), 그 수신된 모니터링 결과를 기저장된 탐지 룰과 매칭하여 행위 위험도를 산정한다(S18-2).
백신점검서버(240)는 관리서버(210)로부터 수신한 문서파일을 최신으로 업데이트된 상용백신을 이용하여 악성여부를 검사하여 그 백신검사결과를 출력한다. 상기 관리서버(210)는 상기 백신점검서버(240)로부터 전송되는 백신검사결과를 수신한다(S17-3)
관리서버(210)는 정적분석결과 및 백신검사결과, 산정된 행위 위험도를 분석하여 문서파일의 악성여부를 최종적으로 결정한다(S19). 여기서, 관리서버(210)는 문서파일에 대한 악성여부 최종 탐지결과를 메일서버(100)로 전송하고, 메일서버(100)는 악성으로 탐지된 문서파일이 첨부된 이메일을 차단한다.
상기 문서파일에 대한 악성여부가 최종적으로 결정되면 관리서버(210)는 탐지결과 데이터베이스에 저장한다(S20). 즉, 관리서버(210)는 상기 문서파일의 악성여부 최종결정에 따라 탐지결과 데이터베이스를 업데이트한다.
상기 단계(S14)에서 상기 문서파일이 이전에 악성파일로 탐지된 기록이 존재하면, 관리서버(210)는 기존 탐지결과를 유지한다(S16-4).
100: 메일서버
200: 이메일 기반 문서형 악성코드 고속탐지 시스템
210: 관리서버
220: 정적분석서버
230: 동적분석서버
240: 백신점검서버

Claims (12)

  1. 메일서버로부터 이메일에 첨부된 문서파일을 수신하고, 그 수신된 문서파일에 대한 최종 악성여부를 판단하는 관리서버와,
    상기 관리서버로부터 제공받은 문서파일에 대한 정적분석을 통해 악성여부를 판단하고 그 정적분석결과를 상기 관리서버로 전송하는 정적분석서버와,
    상기 관리서버로부터 수신한 문서파일을 실행시켜 행위정보를 모니터링하고 그 모니터링 결과를 상기 관리서버로 전송하는 동적분석서버와,
    상기 관리서버로부터 전달받은 문서파일에 대해 백신검사를 수행하고 그 백신검사결과를 상기 관리서버로 전송하는 백신점검서버를 포함하며, 상기 관리서버는 상기 동적분석서버로부터 상기 모니터링 결과를 기저장된 탐지 룰과 매칭하여 행위 위험도를 산정하고, 그 산정된 행위 위험도 및 상기 정적분석결과, 백신검사결과를 분석하여 상기 문서파일의 악성여부를 최종적으로 판단하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 시스템.
  2. 제1항에 있어서,
    상기 관리서버는,
    상기 메일서버로부터 전송되는 이메일 정보를 수신하여 확인하고 그 확인결과 이메일에 문서파일이 첨부된 경우 해당 문서파일을 상기 메일서버로부터 다운로드하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 시스템.
  3. 제1항에 있어서,
    상기 관리서버는,
    상기 산정된 행위 위험도 및 정적분석결과, 백신검사결과 중 하나의 결과가 악성을 탐지하면 악성의심으로 판단하고, 둘 이상의 결과가 악성으로 탐지되면 악성으로 판단하며, 상기 백신검사결과가 악성이면 상기 문서파일을 악성으로 판단하는 것을 특징으로
  4. 제1항에 있어서,
    상기 정적분석서버는,
    상기 문서파일 내 스크립트 및 쉘코드 포함여부, 난독화 여부, 툴 기반 검증과 같은 정적분석을 통해 악성여부를 판단하는 것을 특징으로
  5. 제1항에 있어서,
    상기 동적분석서버는,
    상기 문서파일의 파일 행위, 레지스트리 행위, 네트워크 행위, 프로세스 행위를 모니터링하는 것을 특징으로
  6. 제1항에 있어서,
    상기 동적분석서버는,
    상기 행위 모니터링 중 생성되는 PE(Portable Executable) 형태의 실행 파일을 상기 관리서버로 전송하는 것을 특징으로
  7. 제1항에 있어서,
    상기 관리서버는,
    악성코드 분석결과 및 악성코드 통계을 관리자가 확인할 수 있도록 웹 기반 사용자 인터페이스를 제공하는 것을 특징으로
  8. 메일서버로부터 이메일에 첨부된 문서파일을 다운로드하는 단계와,
    상기 문서파일에 대한 이전 탐지기록이 존재하는지를 확인하는 단계와,
    상기 문서파일에 대한 이전 탐지기록이 미존재하는 경우, 상기 문서파일을 정적분석서버 및 동적분석서버, 백신점검서버로 전송하는 단계와,
    상기 정적분석서버 및 동적분석서버, 백신점검서버로부터 상기 문서파일에 대한 정적분석결과, 행위정보 모니터링 결과, 백신검사결과를 수신하는 단계와,
    상기 행위정보 모니터링 결과를 행위 탐지 룰과 매칭하여 행위 위험도를 산정하는 단계와,
    상기 정적분석결과 및 백신검사결과, 산정된 행위 위험도에 근거하여 상기 문서파일의 악성여부를 최종적으로 결정하는 단계를 포함하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 방법.
  9. 제8항에 있어서,
    상기 문서파일 다운로드 단계는,
    상기 메일서버로부터 이메일 정보를 수신하는 단계와,
    상기 이메일 정보를 통해 이메일에 첨부된 파일이 문서파일인지를 확인단계와,
    상기 이메일에 첨부된 파일이 문서파일이면 해당 문서파일을 상기 메일서버로부터 다운로드하는 단계를 포함하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 방법.
  10. 제8항에 있어서,
    상기 문서파일의 악성여부 최종결정 단계는,
    상기 정적분석결과 및 백신검사결과, 산정된 행위 위험도 중 어느 하나가 악성으로 탐지되면 상기 문서파일을 악성의심으로 결정하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 방법.
  11. 제8항에 있어서,
    상기 문서파일의 악성여부 최종결정 단계는,
    상기 정적분석결과 및 백신검사결과, 산정된 행위 위험도 중 둘 이상이 악성으로 탐지되면 상기 문서파일을 악성으로 결정하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 방법.
  12. 제8항에 있어서,
    상기 문서파일의 악성여부 최종결정 단계는,
    상기 백신검사결과가 악성으로 탐지되면 상기 문서파일을 악성으로 결정하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 방법.
KR1020120127841A 2012-11-13 2012-11-13 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법 KR101434179B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120127841A KR101434179B1 (ko) 2012-11-13 2012-11-13 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120127841A KR101434179B1 (ko) 2012-11-13 2012-11-13 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20140060906A true KR20140060906A (ko) 2014-05-21
KR101434179B1 KR101434179B1 (ko) 2014-08-27

Family

ID=50890088

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120127841A KR101434179B1 (ko) 2012-11-13 2012-11-13 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101434179B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016072790A1 (ko) * 2014-11-07 2016-05-12 박현수 전자통신기기를 보호하는 보호 시스템, 장치, 및 그 방법
KR101969572B1 (ko) 2018-06-22 2019-04-16 주식회사 에프원시큐리티 악성코드 탐지 장치 및 방법
KR20200109677A (ko) 2019-03-14 2020-09-23 주식회사 에프원시큐리티 Ai 기반 머신러닝 교차 검증 기법을 활용한 악성코드 탐지 장치 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4145582B2 (ja) * 2002-06-28 2008-09-03 Kddi株式会社 コンピュータウィルス検査装置およびメールゲートウェイシステム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016072790A1 (ko) * 2014-11-07 2016-05-12 박현수 전자통신기기를 보호하는 보호 시스템, 장치, 및 그 방법
KR101969572B1 (ko) 2018-06-22 2019-04-16 주식회사 에프원시큐리티 악성코드 탐지 장치 및 방법
KR20200109677A (ko) 2019-03-14 2020-09-23 주식회사 에프원시큐리티 Ai 기반 머신러닝 교차 검증 기법을 활용한 악성코드 탐지 장치 및 방법

Also Published As

Publication number Publication date
KR101434179B1 (ko) 2014-08-27

Similar Documents

Publication Publication Date Title
Tahir A study on malware and malware detection techniques
EP3113064B1 (en) System and method for determining modified web pages
US10089464B2 (en) De-obfuscating scripted language for network intrusion detection using a regular expression signature
US10140451B2 (en) Detection of malicious scripting language code in a network environment
US11122061B2 (en) Method and server for determining malicious files in network traffic
Nissim et al. Detection of malicious PDF files and directions for enhancements: A state-of-the art survey
US9560059B1 (en) System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
EP2829037B1 (en) Method and system for malicious code detection
KR101497742B1 (ko) 인증, 데이터 전송 및 피싱에 대한 보호를 위한 방법 및 시스템
AU2012347793B2 (en) Detecting malware using stored patterns
US20120222117A1 (en) Method and system for preventing transmission of malicious contents
US8769692B1 (en) System and method for detecting malware by transforming objects and analyzing different views of objects
Cohen et al. Novel set of general descriptive features for enhanced detection of malicious emails using machine learning methods
US10757135B2 (en) Bot characteristic detection method and apparatus
CN110891048A (zh) 一种检测终端安全状况方法、装置及系统
EP3136276A1 (en) System and method for detecting harmful files executable on a virtual stack machine
US20210194915A1 (en) Identification of potential network vulnerability and security responses in light of real-time network risk assessment
Su et al. A framework of APT detection based on dynamic analysis
KR101434179B1 (ko) 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법
JP2011008730A (ja) コンピュータシステム、コンピュータ装置、ファイルオープン方法、及びプログラム
Bejo et al. Design, Analysis and Implementation of an Advanced Keylogger to Defend Cyber Threats
Priya et al. A static approach to detect drive-by-download attacks on webpages
Guri et al. Using malware for the greater good: Mitigating data leakage
Xie et al. iPanda: A comprehensive malware analysis tool
ÖZDEMİR et al. Investigation of Attack Types in Android Operating System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee