KR20140124906A - 행위 기반 프로세스 검사 시스템 및 방법 - Google Patents
행위 기반 프로세스 검사 시스템 및 방법 Download PDFInfo
- Publication number
- KR20140124906A KR20140124906A KR1020130008017A KR20130008017A KR20140124906A KR 20140124906 A KR20140124906 A KR 20140124906A KR 1020130008017 A KR1020130008017 A KR 1020130008017A KR 20130008017 A KR20130008017 A KR 20130008017A KR 20140124906 A KR20140124906 A KR 20140124906A
- Authority
- KR
- South Korea
- Prior art keywords
- behavior
- inspection
- target process
- inspection target
- engine
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
이 발명은 가상화 기술을 이용하여 프로세스가 접근하는 자원을 가상화하고 프로세스를 실행하면서 그 행위를 분석하는 행위 기반 프로세스 검사 시스템 및 방법에 관한 것이다.
이 발명에 따른 행위 기반 프로세스 검사 시스템은, 검사대상 프로세스의 실행이 탐지되면 상기 검사대상 프로세스에 행위기반검사엔진이 삽입되는 동안 상기 검사대상 프로세스가 일시 중지되도록 하는 프로세스실행탐지부와; 상기 검사대상 프로세스가 사용하는 API를 후킹하여 상기 행위기반검사엔진이 호출되도록 상기 검사대상 프로세스에 상기 행위기반검사엔진을 삽입하는 행위기반검사엔진삽입부를 포함한다. 또한, 상기 행위기반검사엔진은 상기 검사대상 프로세스로부터 후킹된 API를 분석하여 상기 검사대상 프로세스가 접근하는 자원을 가상화하는 가상화연산부와, 상기 후킹된 API를 분석하여 상기 검사대상 프로세스의 행위 패턴을 추출하고 상기 검사대상 프로세스의 행위 패턴과 기저장된 유해 행위 패턴을 비교하여 상기 검사대상 프로세스의 유해 여부를 판단하는 유해여부판단부를 포함한다.
이 발명에 따른 행위 기반 프로세스 검사 시스템은, 검사대상 프로세스의 실행이 탐지되면 상기 검사대상 프로세스에 행위기반검사엔진이 삽입되는 동안 상기 검사대상 프로세스가 일시 중지되도록 하는 프로세스실행탐지부와; 상기 검사대상 프로세스가 사용하는 API를 후킹하여 상기 행위기반검사엔진이 호출되도록 상기 검사대상 프로세스에 상기 행위기반검사엔진을 삽입하는 행위기반검사엔진삽입부를 포함한다. 또한, 상기 행위기반검사엔진은 상기 검사대상 프로세스로부터 후킹된 API를 분석하여 상기 검사대상 프로세스가 접근하는 자원을 가상화하는 가상화연산부와, 상기 후킹된 API를 분석하여 상기 검사대상 프로세스의 행위 패턴을 추출하고 상기 검사대상 프로세스의 행위 패턴과 기저장된 유해 행위 패턴을 비교하여 상기 검사대상 프로세스의 유해 여부를 판단하는 유해여부판단부를 포함한다.
Description
이 발명은 가상화 기술을 이용하여 프로세스의 행위를 검사하는 시스템 및 방법에 관한 것으로서, 보다 상세하게는 가상화 기술을 이용하여 프로세스가 접근하는 자원을 가상화하고 프로세스를 실행하면서 그 행위를 분석하는 행위 기반 프로세스 검사 시스템 및 방법에 관한 것이다.
컴퓨터 시스템에서, '프로그램' 또는 '파일'은 하드디스크 등에 저장되어 있는 실행코드이고, '프로세스'는 프로그램(파일)을 구동하여 메모리에 적재된 상태로 컴퓨터에서 연속적으로 실행되는 작업 단위이다. 악성 프로그램을 포함한 모든 응용 프로그램은 하드디스크 등에 파일 형태로 저장되어 있는 동안에는, 그 응용 프로그램이 악성 프로그램이든지 비악성 프로그램이든지 관계없이 컴퓨터 시스템에 아무런 작업을 할 수 없다. 해당 응용 프로그램이 프로세스 형태로 구동되어야 비로소 컴퓨터 시스템에서 악성 또는 비악성의 작업을 수행할 수 있다. 이때, 일부 악성 프로그램은 파일의 실행코드 분석만으로 그 악성 여부를 검출할 수 있지만, 일부 악성 프로그램은 파일의 실행코드는 비악성이지만 메모리에 로딩되는 과정에서 악성 작업을 하도록 변경될 수 있다.
악성 프로그램에는 바이러스, 웜, 트로이목마, 애드웨어, 스파이웨어 등이 포함되며, 이 악성 프로그램들은 컴퓨터 시스템에서 구동하여 사용자가 입력하는 키입력을 훔치거나 팝업창을 뿌리거나, 표적 이메일을 발송하거나 피싱 웹페이지를 표시하거나, 개인정보를 원격서버에 보고하는 등, 사용자가 알지 못하고 동의하지 않은 각종 악의적인 작업을 수행한다.
컴퓨터 사용자들은 컴퓨터 시스템에서 악성 프로그램의 구동을 차단하기 위해 안티 바이러스 프로그램을 설치하여 안티 바이러스 검사를 수행한다. 컴퓨터 시스템의 안티 바이러스 검사는 일반 검사와 실시간 검사로 구분된다.
일반 검사는 주기적으로 또는 일정한 조건(예컨대, 대기모드)에서 사용자가 지정한 응용 프로그램의 파일 목록에 대해 일괄적으로 그 유해성 검사를 수행하는 방법이다. 이러한 일반 검사 방법은, 컴퓨터 시스템에 아무런 유해를 끼칠 수 없는 구동되지 않는 응용 프로그램의 유해성까지 모두 검사하기 때문에 컴퓨터 자원이 과도하게 소모되는 문제점이 있다. 또한, 일반 검사는 파일의 실행코드는 비악성이지만 메모리로 로딩되는 과정에서 악성으로 변경되는 악성 프로그램을 검출할 수 없는 문제점이 있다.
반면, 실시간 검사는 컴퓨터 시스템에서 실제 실행되어 메모리에 로드되는 프로세스에 대해 그 유해성 검사를 수행하는 방법이다. 임의의 응용 프로그램의 구동이 시도되면, 해당 프로세스의 실행을 일단 정지시키고 해당 프로세스의 유해성 여부를 검사한 후 그 결과에 따라 해당 프로세스의 실행을 허용 또는 차단한다. 이때, 해당 프로세스의 유해성 여부 검사 방법에는 시그니처 기반 검사 방법과 행위 기반 검사 방법이 포함되는데, 시그니처 기반 검사 방법은 신규 악성 프로세스 또는 변종의 악성 프로세스를 검출할 수 없기 때문에, 최근에 가상화 환경에서 해당 프로세스를 실행시켜 그 프로세스의 행위를 기반으로 유해성 여부를 검사(행위 기반 검사)하고 있다.
가상화를 이용한 실시간 파일 검사 방법에 관한 선행특허로서, 미국특허 제7614084호가 있다. 이 선행특허는 프로그램을 실행시키기 전에 격리된 메모리 공간에서 에뮬레이팅한 후 그 이벤트들에 따른 행위를 분석하여 해당 실행 프로그램의 악성 여부를 분석한다. 보다 구체적으로 설명하면, 악성 프로그램들의 행위와 관련된 악성 행위 이벤트 패턴들을 구축한다. 격리된 컴퓨터 환경에서 컴퓨터 프로그램의 실행을 에뮬레이팅하고, 실행요소에 의해 생성된 이벤트들을 검출한다. 검출된 이벤트들 중 악성 프로그램의 행위와 관련된 이벤트들을 추출한다. 컴퓨터 프로그램에서 추출된 이벤트들 패턴과 악성 행위 이벤트 패턴들을 비교하여 에뮬레이트된 컴퓨터 프로그램의 악성 행위를 검출한다.
이러한 선행특허는 컴퓨터 프로그램을 격리된 메모리 공간에서 에뮬레이팅한다. 즉, 해당 컴퓨터 프로그램에 의한 실행 프로세스와 그 실행 프로세스가 접근하는 자원을 모두 가상 환경에서 구동한 후 해당 프로세스에 의해 수행되는 행위가 악성인지 아닌지를 검출한다. 이러한 가상 환경에서의 프로세스 행위 기반 악성 여부 검사 결과에 따라 해당 컴퓨터 프로그램은 리얼 환경에서 실행되든지 혹은 실행 차단된다. 따라서, 해당 컴퓨터 프로그램을 실행하고자 하는 사용자는 해당 프로그램의 유해성 여부가 검사되어 안전하다고 판단될 때까지 기다려야 하는 문제점이 있다.
상술한 종래기술의 문제점을 해결하기 위하여 안출된 이 발명의 목적은, 가상화 기술을 이용하여 대기 시간 없이도 컴퓨터 프로그램을 구동하며 유해성 여부를 검사하는 행위 기반 프로세스 검사 시스템 및 방법을 제공하기 위한 것이다.
상술한 목적을 달성하기 위한 이 발명에 따른 행위 기반 프로세스 검사 시스템은, 검사대상 프로세스의 실행이 탐지되면 상기 검사대상 프로세스에 행위기반검사엔진이 삽입되는 동안 상기 검사대상 프로세스가 일시 중지되도록 하는 프로세스실행탐지부와;
상기 검사대상 프로세스가 사용하는 API를 후킹하여 상기 행위기반검사엔진이 호출되도록 상기 검사대상 프로세스에 상기 행위기반검사엔진을 삽입하는 행위기반검사엔진삽입부를 포함하고,
상기 행위기반검사엔진은 상기 검사대상 프로세스로부터 후킹된 API를 분석하여 상기 검사대상 프로세스가 접근하는 자원을 가상화하는 가상화연산부와, 상기 후킹된 API를 분석하여 상기 검사대상 프로세스의 행위 패턴을 추출하고 상기 검사대상 프로세스의 행위 패턴과 기저장된 유해 행위 패턴을 비교하여 상기 검사대상 프로세스의 유해 여부를 판단하는 유해여부판단부를 포함하는 것을 특징으로 한다.
또한, 이 발명에 따른 행위 기반 프로세스 검사 방법은, 행위 기반 프로세스 검사 시스템이 검사대상 프로세스의 실행이 탐지되면 상기 검사대상 프로세스 실행을 일시 정지시키는 제1단계와;
상기 행위 기반 프로세스 검사 시스템이 검사대상 프로세스에 행위기반검사엔진을 삽입하고 상기 검사대상 프로세스를 실행하는 제2단계와;
상기 행위기반검사엔진이 호출되어 상기 검사대상 프로세스가 접근하는 자원을 가상화하는 제3단계와;
상기 행위기반검사엔진이 상기 검사대상 프로세스의 행위 패턴을 추출하고 상기 검사대상 프로세스의 행위 패턴과 기저장된 유해 행위 패턴을 비교하여 상기 검사대상 프로세스의 유해 여부를 판단하는 제4단계를 포함하는 것을 특징으로 한다.
이상과 같이 이 발명에 따르면, 실행 요청된 프로그램에 대한 유해성 검사를 수행하지 않은 채 바로 실행하기 때문에 사용자의 대기 시간이 줄어드는 잇점이 있다. 또한, 실행 요청된 프로그램에 대해, 프로세스는 리얼 환경에서 실행되고 상기 프로세스가 접근하는 자원은 가상 환경에서 실행되기 때문에, 상기 프로세스가 악의적인 행위를 하더라도 리얼 환경의 자원을 보호할 수 있는 잇점이 있다. 또한, 상기 프로세스를 직접 실행하면서 그 행위의 유해성을 검사하기 때문에 검사에 소요되는 불필요한 자원 낭비를 줄일 수 있으며, 무해하다고 판단된 프로세스 접근 자원에 대해서는 가상 환경과 동일하게 리얼 환경에 적용하기 때문에 사용자가 프로그램을 실행하는데 아무런 불편함 없이 안전하게 구동하도록 할 수 있는 잇점이 있다.
도 1은 이 발명에 따른 행위 기반 프로세스 검사 시스템의 구성 블록도이다.
도 2는 이 발명에 따른 행위 기반 프로세스 검사 방법의 동작 흐름도이다.
도 2는 이 발명에 따른 행위 기반 프로세스 검사 방법의 동작 흐름도이다.
이하, 첨부된 도면을 참조하여 이 발명에 따른 행위 기반 프로세스 검사 시스템 및 방법에 대해 설명한다.
도 1은 이 발명에 따른 행위 기반 프로세스 검사 시스템의 구성 블록도이다.
이 발명에 따른 행위 기반 프로세스 검사 시스템은, 프로세스실행탐지부(110)와, 행위기반검사엔진삽입부(120)와, 행위기반검사엔진(130)으로 이루어진다.
프로세스실행탐지부(110)는 컴퓨터 시스템에서 임의의 프로세스(이하, 검사대상 프로세스라 함)가 실행되는지를 탐지하고, 검사대상 프로세스의 실행이 탐지되면 상기 검사대상 프로세스를 일시 중지시키고 행위기반검사엔진삽입부(120)로 상기 검사대상 프로세스의 경로 정보를 전달한다. 그리고, 행위기반검사엔진삽입부(120)로부터 행위기반검사엔진 삽입 완료보고가 입력되면 상기 검사대상 프로세스의 일시 중지를 해제하여 정상적으로 실행되도록 한다.
행위기반검사엔진삽입부(120)는 프로세스실행탐지부(110)로부터 상기 검사대상 프로세스의 경로 정보가 입력되면 상기 검사대상 프로세스에 행위기반검사엔진(130)을 삽입한다. 여기서, 검사대상 프로세스에 행위기반검사엔진(130)을 삽입한다는 의미는 상기 검사대상 프로세스가 사용하는 다수의 API들을 후킹한다는 것이다. 부연설명하면, 윈도우즈 운영체제 하에서 임의의 프로세스가 구동을 하려면 윈도우즈 운영체제에서 제공하는 다수의 API 명령들을 사용해야 한다. 행위기반검사엔진삽입부(120)는 메모리에 행위기반검사엔진(130)을 로딩하고 검사대상 프로세스가 특정 API를 호출할 때 상기 행위기반검사엔진(130)이 호출되어 실행되도록 하는데, 이를 API 후킹이라고 한다. 여기서, 후킹되는 특정 API는 악성 프로세스의 행위와 관련된 API인 것이 바람직하다.
행위기반검사엔진삽입부(120)는 검사대상 프로세스에 행위기반검사엔진(130)을 삽입한 후 프로세스실행탐지부(110)에게 행위기반검사엔진 삽입 완료보고를 한다. 그러면, 프로세스실행탐지부(110)는 상술한 바와 같이 검사대상 프로세스의 일시 중지를 해제하고 정상적으로 실행되도록 한다.
검사대상 프로세스는 다수의 API들을 사용하여 일련의 작업을 수행한다. 이때, 검사대상 프로세스가 임의의 후킹된 API를 사용하면 행위기반검사엔진(130)이 호출된다. 행위기반검사엔진(130)은 상기 후킹된 API를 분석하여 상기 검사대상 프로세스가 접근하는 자원을 가상화하고 상기 검사대상 프로세스의 행위 패턴과 유해 행위 패턴을 비교하여 상기 검사대상프로세스의 유해 여부를 판단한다. 또한, 행위기반검사엔진(130)은 검사대상프로세스의 유해 여부 판단 결과에 따라 가상화된 자원을 리얼 머신에 적용 또는 삭제한다.
행위기반검사엔진(130)은 가상화연산부(131)와, 유해여부판단부(132)와, 유해행위패턴저장부(133)와, 유해프로세스처리부(134)와, 무해프로세스처리부(135)를 포함한다.
가상화연산부(131)는 상기 후킹된 API를 분석하여 상기 검사대상 프로세스가 접근하는 자원을 가상화한다. 가상화된 자원에는 파일, 레지스트리, 네트워크 소켓, 동기화 객체 등이 포함될 수 있다.
자원 가상화에 대해 구체적인 예를 들어 설명한다. 검사대상 프로세스가 리얼 영역의 자원(예컨대, 시스템 폴더에 있는 시스템 파일)을 읽고자 시도할 경우, 가상화연산부(131)는 검사대상 프로세스가 읽기 시도하는 시스템 폴더의 시스템 파일을 읽어서 별도의 가상 영역(예컨대, sandbox 디렉토리 내)에 시스템 폴더를 생성하고 해당 가상 영역의 시스템 폴더에 시스템 파일을 기록한 후 검사대상 프로세스에게 제공한다. 또한, 검사대상 프로세스가 리얼 영역의 임의의 폴더의 파일 데이터를 변경하고자 시도할 경우, 가상화연산부(131)는 검사대상 프로세스가 쓰기 시도하는 폴더의 파일을 읽어서 가상 영역인 sandbox 디렉토리 내에 해당 폴더를 생성하고 파일을 기록한 후 검사대상 프로세스가 변경한 데이터를 기록한다. 가상화연산부(131)는 다른 자원들 즉, 레지스트리, 네트워크 소켓, 동기화 객체 등에 대해서는 유사한 방법으로 가상화한다. 검사대상 프로세스가 임의의 폴더의 파일을 삭제하거나 새롭게 생성하더라도, 가상화연산부(131)는 sandbox 디렉토리 내에 해당 폴더를 생성하여 해당 파일을 삭제하거나 생성하는 작업을 수행한다.
이와 같이 가상화연산부(131)는 검사대상 프로세스가 수행하는 작업에 대해 리얼 영역의 자원을 대상으로 하지 않고, 리얼 영역과는 별도의 가상 영역의 자원을 대상으로 하기 때문에, 상기 검사대상 프로세스의 수행 작업이 리얼 영역에 영향을 주지 않는다.
유해여부판단부(132)는 상기 후킹된 API를 분석하여 검사대상 프로세스의 행위 패턴을 추출한다. 유해여부판단부(132)는 검사대상 프로세스의 작업 패턴(API 후킹 순서 등), 해당 작업의 대상 등의 정보로부터 행위 패턴을 추출한다. 그리고, 유해여부판단부(132)는 검사대상 프로세스의 행위 패턴을 유해 행위 패턴 저장부(133)에 저장된 유해 행위 패턴을 비교하여, 상기 검사대상 프로세스의 유해 여부를 판단한다. 유해여부판단부(132)는 검사대상 프로세스가 유해 여부 판단 결과를 유해프로세스처리부(134)와 무해프로세스처리부(135)에게 전달한다.
유해프로세스처리부(134)는 상기 유해여부판단부(132)의 판단결과 검사대상프로세스가 유해하다고 판단되면, 상기 가상화 자원을 삭제 또는 비활성화하고, 상기 검사대상 프로세스를 종료시키고 사용자에게 경고하며, 치료를 유도한다.
무해프로세스처리부(135)는 상기 유해여부판단부(132)의 판단결과 검사대상 프로세스가 무해하다고 판단되면, 상기 가상화 자원을 리얼 영역에 적용하고, 상기 검사대상 프로세스로부터 상기 행위기반검사엔진을 추출한다. 가상화 자원을 리얼 영역에 적용한다 함은, 예컨대, sandbox 디렉토리의 하위 폴더의 파일들을 c:\ 디렉토리의 해당 하위 폴더에 저장함을 의미한다. 여기서, 검사대상 프로세스로부터 행위기반검사엔진을 추출하는 것이라 함은, 검사대상 프로세스의 API 후킹을 해제하는 것으로서, 검사대상 프로세스가 해당 API를 사용하더라도 행위기반검사엔진이 호출되지 않도록 하는 것이다.
도 2는 이 발명에 따른 행위 기반 프로세스 검사 방법의 동작 흐름도이다.
이 발명의 행위 기반 프로세스 검사 시스템은, 검사대상프로세스의 실행을 탐지한다(S21). 탐지된 검사대상프로세스의 실행을 일시 정지시키고, 검사대상프로세스에 행위기반검사엔진을 삽입한다(S22). 여기서, 검사대상프로세스에 행위기반검사엔진을 삽입한다 함은, 검사대상프로세스가 사용하는 특정 API들을 후킹하여 행위기반검사엔진이 호출되도록 하는 것이다. 이후, 검사대상프로세스를 실행시킨다(S23).
이 상태에서, 검사대상프로세스가 실행되어 상기 특정 API를 사용하면, 행위기반검사엔진이 호출된다(S24). 행위기반검사엔진이 호출되면(S24), 후킹된 상기 특정 API를 분석하여 검사대상프로세스가 접근하고자 하는 자원을 가상화한다(S25). 즉, 리얼 영역과는 별도의 가상 영역에 상기 검사대상프로세스가 접근하는 자원을 복사하여 그 복사된 영역(가상화된 자원)에서 검사대상프로세스의 작업을 수행한다.
또한, 일련의 후킹된 API들의 패턴을 분석하여 검사대상프로세스의 행위 패턴을 추출하고(S26), 검사대상프로세스의 행위 패턴을 유해 행위 패턴과 비교한다(S27). 행위 패턴의 비교를 통해 검사대상프로세스가 유해한 것으로 판단되면(S28) 가상화된 자원을 삭제 또는 비활성화하여 리얼 영역에 반영되지 못하도록 하고, 검사대상프로세스를 종료하며 사용자에게 경고하여 치료가 이루어지도록 한다(S29). 유해하다고 판단된 검사대상프로세스에 대한 조치는 사용자의 정책에 따라 결정될 수 있다.
한편, 검사대상프로세스가 무해한 것으로 판단되면(S30), 가상화 자원을 리얼 영역에 적용하고 검사대상프로세스로부터 행위기반검사엔진을 추출한다(S31). 검사대상프로세스로부터 행위기반검사엔진을 추출한다 함은 검사대상프로세스가 상기 특정 API를 사용하더라도 행위기반검사엔진이 호출되지 않도록 하는 것이다.
한편, 검사대상프로세스의 유해/무해 여부를 판단되지 않은 경우에는 단계 S23부터 반복 수행한다.
이상에서 본 발명에 대한 기술사상을 첨부도면과 함께 서술하였지만, 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술분야의 통상의 지식을 가진 자라면 누구나 본 발명의 기술사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
110 : 프로세스실행탐지부 120 : 행위기반검사엔진삽입부
130 : 행위기반검사엔진 131 : 가상화연산부
132 : 유해여부판단부 133 : 유해행위패턴저장부
134 : 유해프로세스처리부 135 : 무해프로세스처리부
130 : 행위기반검사엔진 131 : 가상화연산부
132 : 유해여부판단부 133 : 유해행위패턴저장부
134 : 유해프로세스처리부 135 : 무해프로세스처리부
Claims (8)
- 검사대상 프로세스의 실행이 탐지되면 상기 검사대상 프로세스에 행위기반검사엔진이 삽입되는 동안 상기 검사대상 프로세스가 일시 중지되도록 하는 프로세스실행탐지부와;
상기 검사대상 프로세스가 사용하는 API를 후킹하여 상기 행위기반검사엔진이 호출되도록 상기 검사대상 프로세스에 상기 행위기반검사엔진을 삽입하는 행위기반검사엔진삽입부를 포함하고,
상기 행위기반검사엔진은 상기 검사대상 프로세스로부터 후킹된 API를 분석하여 상기 검사대상 프로세스가 접근하는 자원을 가상화하는 가상화연산부와, 상기 후킹된 API를 분석하여 상기 검사대상 프로세스의 행위 패턴을 추출하고 상기 검사대상 프로세스의 행위 패턴과 기저장된 유해 행위 패턴을 비교하여 상기 검사대상 프로세스의 유해 여부를 판단하는 유해여부판단부를 포함하는 것을 특징으로 하는 행위 기반 프로세스 검사 시스템. - 제 1 항에 있어서, 상기 행위기반검사엔진은 상기 유해여부판단부의 판단 결과 상기 검사대상 프로세스가 유해하다고 판단되면 가상화된 자원을 삭제 또는 비활성화하는 유해프로세스처리부를 더 포함한 것을 특징으로 하는 행위 기반 프로세스 검사 시스템.
- 제 1 항에 있어서, 상기 행위기반검사엔진은, 상기 유해여부판단부의 판단 결과 상기 검사대상 프로세스가 무해하다고 판단되면 가상화된 자원을 리얼 영역에 적용하는 무해프로세스처리부를 더 포함한 것을 특징으로 하는 행위 기반 프로세스 검사 시스템.
- 제 1 항 내지 제 3 항 중 어느 한 항에 있어서, 상기 자원은 파일, 레지스트리, 네트워크 소켓 및 동기화 객체 중 적어도 하나인 것을 특징으로 하는 행위 기반 프로세스 검사 시스템.
- 행위 기반 프로세스 검사 시스템이 검사대상 프로세스의 실행이 탐지되면 상기 검사대상 프로세스 실행을 일시 정지시키는 제1단계와;
상기 행위 기반 프로세스 검사 시스템이 검사대상 프로세스에 행위기반검사엔진을 삽입하고 상기 검사대상 프로세스를 실행하는 제2단계와;
상기 행위기반검사엔진이 호출되어 상기 검사대상 프로세스가 접근하는 자원을 가상화하는 제3단계와;
상기 행위기반검사엔진이 상기 검사대상 프로세스의 행위 패턴을 추출하고 상기 검사대상 프로세스의 행위 패턴과 기저장된 유해 행위 패턴을 비교하여 상기 검사대상 프로세스의 유해 여부를 판단하는 제4단계를 포함하는 것을 특징으로 하는 행위 기반 프로세스 검사 방법. - 제 5 항에 있어서, 상기 행위기반검사엔진이 상기 제4단계의 판단 결과 상기 검사대상 프로세스가 유해하다고 판단되면 가상화된 자원을 삭제 또는 비활성화하는 제5단계를 더 포함한 것을 특징으로 하는 행위 기반 프로세스 검사 방법.
- 제 5 항에 있어서, 상기 행위기반검사엔진이 상기 제4단계의 판단 결과 상기 검사대상 프로세스가 무해하다고 판단되면 가상화된 자원을 리얼 영역에 적용하는 제6단계를 더 포함한 것을 특징으로 하는 행위 기반 프로세스 검사 방법.
- 제 5 항 내지 제 7 항 중 어느 한 항에 있어서, 상기 자원은 파일, 레지스트리, 네트워크 소켓 및 동기화 객체 중 적어도 하나인 것을 특징으로 하는 행위 기반 프로세스 검사 방법.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130008017A KR20140124906A (ko) | 2013-01-24 | 2013-01-24 | 행위 기반 프로세스 검사 시스템 및 방법 |
| PCT/KR2014/000624 WO2014116025A1 (ko) | 2013-01-24 | 2014-01-22 | 행위 기반 프로세스 검사 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130008017A KR20140124906A (ko) | 2013-01-24 | 2013-01-24 | 행위 기반 프로세스 검사 시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20140124906A true KR20140124906A (ko) | 2014-10-28 |
Family
ID=51227769
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020130008017A KR20140124906A (ko) | 2013-01-24 | 2013-01-24 | 행위 기반 프로세스 검사 시스템 및 방법 |
Country Status (2)
| Country | Link |
|---|---|
| KR (1) | KR20140124906A (ko) |
| WO (1) | WO2014116025A1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102014014488A1 (de) * | 2014-09-25 | 2016-03-31 | Giesecke & Devrient Gmbh | Wartungseinrichtung und Wartungsverfahren |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7263616B1 (en) * | 2000-09-22 | 2007-08-28 | Ge Medical Systems Global Technology Company, Llc | Ultrasound imaging system having computer virus protection |
| JPWO2004075060A1 (ja) * | 2003-02-21 | 2006-06-01 | 田部井 光 | コンピュータウィルス判断方法 |
| KR100953355B1 (ko) * | 2008-04-22 | 2010-04-20 | 주식회사 안철수연구소 | 온라인 전자거래 프로그램 보호방법 |
| KR20110128632A (ko) * | 2010-05-24 | 2011-11-30 | 충남대학교산학협력단 | 스마트폰 응용프로그램의 악성행위 탐지 방법 및 장치 |
-
2013
- 2013-01-24 KR KR1020130008017A patent/KR20140124906A/ko active Search and Examination
-
2014
- 2014-01-22 WO PCT/KR2014/000624 patent/WO2014116025A1/ko active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014116025A1 (ko) | 2014-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12026257B2 (en) | Method of malware detection and system thereof | |
| US9779240B2 (en) | System and method for hypervisor-based security | |
| US8955132B2 (en) | Emulation for malware detection | |
| EP3690692B1 (en) | Identifying an evasive malicious object based on a behavior delta | |
| US8201246B1 (en) | Preventing malicious codes from performing malicious actions in a computer system | |
| JP6706273B2 (ja) | インタープリタ仮想マシンを用いた挙動マルウェア検出 | |
| JP6317435B2 (ja) | マルウェア検出のための複雑なスコアリング | |
| US10382468B2 (en) | Malware identification via secondary file analysis | |
| US9094451B2 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
| US8990934B2 (en) | Automated protection against computer exploits | |
| US8978141B2 (en) | System and method for detecting malicious software using malware trigger scenarios | |
| US20190286821A1 (en) | Protecting against malware code injections in trusted processes | |
| CN101826139B (zh) | 一种非可执行文件挂马检测方法及其装置 | |
| JP2018524756A (ja) | 複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 | |
| US20140372991A1 (en) | System, method, and computer program product for simulating at least one of a virtual environment and a debugging environment to prevent unwanted code from executing | |
| KR20120031745A (ko) | 커널 콜백 매커니즘을 이용한 악성코드 자동 분석 방법 | |
| US10860716B2 (en) | Detecting malware concealed by delay loops of software programs | |
| CN105975328A (zh) | 基于安全虚拟机的日志文件安全审计系统及方法 | |
| EP3652667B1 (en) | System and method for detecting malware injected into memory of a computing device | |
| JP5326063B1 (ja) | デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法 | |
| KR20110057297A (ko) | 악성 봇 동적 분석 시스템 및 방법 | |
| KR20140124906A (ko) | 행위 기반 프로세스 검사 시스템 및 방법 | |
| EP2819055B1 (en) | System and method for detecting malicious software using malware trigger scenarios | |
| EP2720170B1 (en) | Automated protection against computer exploits | |
| US8607348B1 (en) | Process boundary isolation using constrained processes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application | ||
| AMND | Amendment | ||
| J201 | Request for trial against refusal decision | ||
| J301 | Trial decision |
Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20140814 Effective date: 20150603 |