KR20150134172A - 악성코드 탐지 장치 및 방법 - Google Patents

악성코드 탐지 장치 및 방법 Download PDF

Info

Publication number
KR20150134172A
KR20150134172A KR1020140061175A KR20140061175A KR20150134172A KR 20150134172 A KR20150134172 A KR 20150134172A KR 1020140061175 A KR1020140061175 A KR 1020140061175A KR 20140061175 A KR20140061175 A KR 20140061175A KR 20150134172 A KR20150134172 A KR 20150134172A
Authority
KR
South Korea
Prior art keywords
network connection
electronic document
malicious code
expected
actual
Prior art date
Application number
KR1020140061175A
Other languages
English (en)
Other versions
KR102292844B1 (ko
Inventor
이상재
최진묵
이갑수
백남민
안호근
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020140061175A priority Critical patent/KR102292844B1/ko
Publication of KR20150134172A publication Critical patent/KR20150134172A/ko
Application granted granted Critical
Publication of KR102292844B1 publication Critical patent/KR102292844B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

악성코드를 탐지하기 위한 장치, 방법 및 컴퓨터 판독 가능 저장 매체가 개시된다. 예시적인 실시예에 따른 악성코드 탐지 장치는, 전자 문서에 대한 액세스를 통해 수립된 실제 네트워크 연결을 감지하고 상기 전자 문서로부터 예상 네트워크 연결을 식별하는 악성코드 분석기; 및 상기 실제 네트워크 연결 및 상기 예상 네트워크 연결을 기반으로 상기 전자 문서 내에 악성코드가 포함되어 있는지 판정하는 악성코드 판정기를 포함한다.

Description

악성코드 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING MALICIOUS CODE}
개시되는 실시예들은 악성코드 탐지 기술에 관한 것으로서, 더욱 상세하게는 전자 문서에 대한 액세스를 위한 실제 네트워크 연결 및 예상 네트워크 연결에 기반하여 그 전자 문서 내의 악성코드를 탐지하기 위한 기법과 관련된다.
컴퓨팅 장치에서 널리 사용되는 웹 브라우저의 보안 취약점을 활용하여 그러한 컴퓨팅 장치를 공격하는 악성코드의 위험이 상존하고 있다. 예를 들어, 컴퓨팅 장치의 사용자가 웹 브라우저를 통해 악성 웹 사이트를 방문하는 경우, 악성 웹 사이트의 공격 스크립트가 컴퓨팅 장치에 의해 실행된다. 공격 스크립트의 실행은 웹 브라우저에 할당된 메모리의 감염을 비롯한 예외적이고 비정상적인 동작을 유발할 수 있다. 통상적으로, 이와 같이 감염된 컴퓨팅 장치는 해커 서버에 연결되어 악성코드 파일을 다운로드하는 행위, 다운로드된 악성코드를 새로운 프로세스로서 실행하는 행위 및 악성코드의 재실행을 위해 컴퓨팅 장치의 파일 및/또는 레지스트리와 같은 구성을 변경하는 행위를 수행한다. 이에 따라, 위와 같은 행위들로부터 나타날 수 있는 특징들(예컨대, 새로운 파일의 생성, 신규 프로세스의 실행 및/또는 컴퓨팅 장치의 구성 변경 등)을 감지하는 동적 분석을 통해 악성코드를 탐지하는 기법이 기존에 널리 사용되었다.
그러나, 이러한 종래의 악성코드 탐지 기법은 최근에 등장한 유형의 악성코드들에 대해 속수무책이다. 예를 들어, APT(Advanced Persistent Threat) 유형의 악성코드는 컴퓨팅 장치를 해커 서버와 연결시키되 상당한 시간 동안 컴퓨팅 장치를 공격 준비 상태에서 대기시키거나 컴퓨팅 장치에서 이미 실행 중인 프로그램(예컨대, 웹 브라우저)를 감염시키고 감염된 프로그램이 직접 악성행위를 하게 한다. 따라서, 이러한 신종 악성코드를 탐지할 수 있는 새로운 기법이 필요하다.
대한민국 등록특허공보 제10-1070184호 (2011. 10. 07. 공고)
개시되는 실시예들은 악성코드를 탐지하기 위한 장치 및 방법을 제공한다.
예시적인 실시예에 따르면, 전자 문서에 대한 액세스를 통해 수립된 실제 네트워크 연결을 감지하고 상기 전자 문서로부터 예상 네트워크 연결을 식별하는 악성코드 분석기; 및 상기 실제 네트워크 연결 및 상기 예상 네트워크 연결을 기반으로 상기 전자 문서 내에 악성코드가 포함되어 있는지 판정하는 악성코드 판정기를 포함하는 악성코드 탐지 장치가 제공된다.
상기 악성코드 판정기는 상기 판정을 위해 상기 실제 네트워크 연결을 상기 예상 네트워크 연결과 비교할 수 있다.
상기 식별된 예상 네트워크 연결은 상기 전자 문서 내에 상기 악성코드가 포함되어 있지 않을 경우 상기 액세스를 통해 수립될 것으로 예상되는 네트워크 연결을 나타낼 수 있다.
상기 악성코드 분석기는 상기 액세스에 사용된 네트워크의 상태를 모니터링하여 상기 실제 네트워크 연결을 감지하는 네트워크 연결 감지기; 및 상기 전자 문서의 구조를 분석하여 상기 예상 네트워크 연결을 식별하는 전자 문서 구조 분석기를 포함할 수 있다.
상기 네트워크 연결 감지기는 또한 상기 모니터링을 통해 상기 실제 네트워크 연결의 유형, 상기 실제 네트워크 연결의 포트, 상기 실제 네트워크 연결의 전송 프로토콜 및 상기 실제 네트워크 연결을 사용하는 실행 프로세스 중 적어도 하나를 나타내는 정보를 획득할 수 있고, 상기 악성코드 판정기는 상기 판정을 위해 상기 정보를 또한 이용할 수 있다.
상기 전자 문서 구조 분석기는 상기 전자 문서와 링크된 다른 전자 문서를 제공하기 위하여 사용될 것으로 예상되는 네트워크 연결을 상기 분석을 통해 상기 예상 네트워크 연결로서 식별할 수 있다.
상기 전자 문서 구조 분석기는 또한 상기 전자 문서에서 난독화된(obfuscated) 부분을 상기 분석을 통해 식별할 수 있고 상기 전자 문서 중 상기 난독화된 부분 외의 부분으로부터 상기 예상 네트워크 연결을 식별할 수 있다.
상기 악성코드 분석기는 상기 전자 문서가 로딩된 실행 환경 내의 파일, 프로세스 및 레지스트리 중 적어도 하나의 변화를 감지하는 악성코드 동적 분석기를 더 포함할 수 있고, 상기 악성코드 판정기는 상기 판정을 위해 상기 감지된 변화를 또한 이용할 수 있다.
상기 전자 문서는 웹 페이지를 포함할 수 있다.
예시적인 실시예에 따르면, 전자 문서에 대한 액세스를 통해 수립된 실제 네트워크 연결을 감지하는 단계; 상기 전자 문서로부터 예상 네트워크 연결을 식별하는 단계; 및 상기 실제 네트워크 연결 및 상기 예상 네트워크 연결을 기반으로 상기 전자 문서 내에 악성코드가 포함되어 있는지 판정하는 단계를 포함하는 악성코드 탐지 방법이 제공된다.
상기 악성코드 탐지 방법은, 상기 판정을 위해 상기 실제 네트워크 연결을 상기 예상 네트워크 연결과 비교하는 단계를 더 포함할 수 있다.
상기 식별된 예상 네트워크 연결은 상기 전자 문서 내에 상기 악성코드가 포함되어 있지 않을 경우 상기 액세스를 통해 수립될 것으로 예상되는 네트워크 연결을 나타낼 수 있다.
상기 감지하는 단계는 상기 액세스에 사용된 네트워크의 상태를 모니터링하여 상기 실제 네트워크 연결을 감지하는 단계를 포함할 수 있고, 상기 식별하는 단계는 상기 전자 문서의 구조를 분석하여 상기 예상 네트워크 연결을 식별하는 단계를 포함할 수 있다.
상기 악성코드 탐지 방법은, 상기 모니터링을 통해 상기 실제 네트워크 연결의 유형, 상기 실제 네트워크 연결의 포트, 상기 실제 네트워크 연결의 전송 프로토콜 및 상기 실제 네트워크 연결을 사용하는 실행 프로세스 중 적어도 하나를 나타내는 정보를 획득하는 단계; 및 상기 판정을 위해 상기 정보를 또한 이용하는 단계를 더 포함할 수 있다.
상기 전자 문서의 구조를 분석하여 상기 예상 네트워크 연결을 식별하는 단계는 상기 전자 문서와 링크된 다른 전자 문서를 제공하기 위하여 사용될 것으로 예상되는 네트워크 연결을 상기 분석을 통해 상기 예상 네트워크 연결로서 식별하는 단계를 포함할 수 있다.
상기 전자 문서의 구조를 분석하여 상기 예상 네트워크 연결을 식별하는 단계는 상기 전자 문서에서 난독화된(obfuscated) 부분을 상기 분석을 통해 식별하는 단계 및 상기 전자 문서 중 상기 난독화된 부분 외의 부분으로부터 상기 예상 네트워크 연결을 식별할 수 있다.
상기 악성코드 탐지 방법은, 상기 전자 문서가 로딩된 실행 환경 내의 파일, 프로세스 및 레지스트리 중 적어도 하나의 변화를 감지하는 단계; 및 상기 판정을 위해 상기 감지된 변화를 또한 이용하는 단계를 더 포함할 수 있다.
상기 전자 문서는 웹 페이지를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 방법들 중 임의의 하나를 실행하기 위한 컴퓨터 프로그램이 저장된 컴퓨터 판독 가능 저장 매체가 제공된다.
소정의 실시예들에 따르면, 소정의 시간 내에 새로운 파일의 생성, 신규 프로세스의 실행 및/또는 컴퓨팅 장치의 구성 변경 등을 모니터링하는 것만으로는 사실상 감지하기 곤란한 지능형 악성코드(예컨대, APT 형 악성코드)가 탐지될 수 있다.
소정의 실시예들에 따르면, 악성코드에서 해커 서버가 은닉되더라도 실제로 수립된 네트워크 연결 및 예상되는 네트워크 연결을 기반으로 악성코드가 탐지될 수 있다.
도 1은 예시적인 실시예에 따른 악성코드 탐지 시스템이 배치된 네트워크 환경을 도시한 도면,
도 2는 예시적인 실시예에 따른 악성코드 분석기를 도시한 도면,
도 3은 예시적인 실시예에 따라 악성코드를 탐지하기 위한 과정을 도시한 도면,
도 4는 예시적인 실시예에 따라 악성코드를 탐지하기 위한 과정을 도시한 도면.
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
도 1은 예시적인 실시예에 따른 악성코드 탐지 시스템이 배치된 네트워크 환경을 도시한다.
도 1에 도시된 바와 같이, 예시적인 네트워크 환경(10)은 악성코드 탐지 시스템(100)을 포함한다. 악성코드 탐지 시스템(100)은 네트워크를 통해 액세스 가능한 전자 문서 내에 포함된 악성코드를 탐지하도록 구성된다. 예를 들어, 악성코드 탐지 시스템(100)은 네트워크(170)(예컨대, 인터넷, 광역 네트워크 또는 셀룰라 네트워크)를 통해 웹 서버(180)와 통신 가능하게 연결될 수 있고, 이러한 악성코드 탐지 시스템(100)은 향상된 악성코드 분석 기법을 수행함으로써 웹 사이트(181)의 웹 페이지(183) 내에 악성코드가 포함되어 있는지 여부를 판정할 수 있다. 도 1에는 1개의 악성코드 탐지 시스템(100)이 네트워크 환경(10)에 포함되어 있는 것으로 도시되었으나, 네트워크 환경(10) 내에 악성코드 탐지 시스템(100)과 마찬가지 방식으로 구성되는 추가적인 악성코드 탐지 시스템이 포함될 수 있다. 또한, 도 1에는 1개의 웹 페이지(183)가 도시되었으나, 액세스 가능한 웹 페이지 또는 다른 형태의 전자 문서가 네트워크 환경(10) 내에서 웹 서버(180) 또는 다른 서버로부터 제공될 수 있다.
악성코드 탐지 시스템(100)은 (가령 서버 컴퓨터, 네트워크 컴퓨터, 범용 또는 특정 용도의 물리적 머신, 또는 다른 적합한 형태를 가지는) 컴퓨팅 장치 내에 구현되거나 포함될 수 있다. 이러한 컴퓨팅 장치는 하나 이상의 프로세서 및 그 프로세서와 연결된 컴퓨터 판독 가능 저장 매체를 포함할 수 있다. 컴퓨터 판독 가능 저장 매체는 프로세서의 내부 또는 외부에 있을 수 있고, 잘 알려진 다양한 수단으로 프로세서와 연결될 수 있다. 컴퓨터 판독 가능 저장 매체에는 컴퓨터 실행 가능 명령어가 저장되어 있을 수 있다. 프로세서는 컴퓨터 판독 가능 저장 매체에 저장된 명령어를 실행할 수 있고, 그러한 명령어는 프로세서에 의해 실행되는 경우 컴퓨팅 장치로 하여금 소정의 실시예에 따른 동작을 수행하게 하도록 구성될 수 있다. 몇몇 실시예들에서, 전술한 컴퓨팅 장치는 (가령 하이퍼바이저(hypervisor)에 의해) CPU나 메모리 등과 같은 기반 시스템 하드웨어가 추상화된 가상화 환경을 제공할 수 있다. 악성코드 탐지 시스템(100)은 이러한 가상화 환경에서 게스트 운영체제(guest operating system)가 실행되는 동안 악성코드를 탐지하도록 구성될 수 있다. 또한, 실행 중인 게스트 운영체제 상에서 다양한 타입의 애플리케이션(예컨대, 웹 브라우저)이 실행될 수 있다.
악성코드 탐지 시스템(100)은 악성코드 탐지를 위해 소정의 전자 문서에 액세스할 수 있다. 만일 액세스된 전자 문서 내에 악성코드가 포함된 경우, 그 악성코드는 악성코드 탐지 시스템(100)을 위해 실행 중인 운영체제(예컨대, 가상화 환경에서 실행 중인 게스트 운영체제) 및/또는 그 운영체제 상에서 실행되는 애플리케이션의 보안 취약점을 통해 전파되어 이러한 운영체제 및/또는 애플리케이션을 공격할 수 있다. 예를 들어, 네트워크(170)를 통해 액세스 가능한 웹 페이지(가령, 네트워크(170)를 통해 웹 서버(180)에 의해 제공되는 웹 사이트(181)의 웹 페이지(183))를 악성코드 탐지 시스템(100)이 방문하는 경우, 그 웹 페이지 내의 악성코드는 위와 같이 보안 취약점을 갖는 실행 환경에서 실행 중인 애플리케이션(예컨대, 웹 브라우저)을 감염시킬 수 있다. 악성코드 탐지 시스템(100)은 다양한 악성코드 분석 기법을 이용하여 웹 페이지(181) 내에 악성코드가 포함되었는지 여부를 판정할 수 있다. 몇몇 실시예들에서, 이러한 판정을 위한 악성코드 분석 기법은 웹 페이지(181)에 대한 액세스를 통해 수립된 실제 네트워크 연결 및 웹 페이지(181)로부터 도출되는 예상 네트워크 연결을 비교하는 것을 수반할 수 있다. 이와 더불어, 실행 환경 내 운영체제에 의해 지원되는 파일 시스템 내 파일의 생성, 삭제, 판독 및/또는 수정과 같은 변화, 운영체제 상의 프로세스의 생성, 소멸, 액세스 및/또는 수정과 같은 변화 및 운영체제의 레지스트리의 생성, 삭제, 판독 및/또는 수정과 같은 변화 중 적어도 하나를 감지하는 동적 분석 기법이 이용될 수도 있다. 또한, 웹 페이지(183) 내에 악성코드가 포함되었다고 판정되는 경우, 악성코드 탐지 시스템(100)은 악성코드 내지 악성코드 내 공격 스크립트를 추출할 수 있다. 나아가, 악성코드 탐지 시스템(100)은 웹 페이지(183)의 URL(Uniform Resource Locator) 및/또는 악성코드가 유래하는 서버의 IP 주소 등과 같은 악성 코드 정보를 획득할 수 있다. 이러한 악성코드 탐지 시스템(100)의 예시적인 구현에 관해 이하에서 더욱 상세히 설명한다.
도 1에 도시된 바와 같이, 예시적인 악성코드 탐지 시스템(100)은 전자 문서 선택기(110), 전자 문서 로딩기(120), 악성코드 분석기(130), 악성코드 판정기(140), 악성코드 추출기(150) 및 악성코드 정보 저장기(160)를 포함할 수 있다.
전자 문서 선택기(110)는 악성코드 탐지를 위해 점검되어야 할 전자 문서를 선택할 수 있다. 전자 문서 로딩기(120)는 선택된 전자 문서를 네트워크(예컨대, 네트워크(170))를 통해 액세스하여 이를 악성코드 탐지 시스템(100)의 실행 환경으로 로딩할 수 있다. 선택된 전자 문서가 로딩되어 실행되는 실행 환경은 그 실행 환경 내의 운영체제 및 애플리케이션(예컨대, 웹 브라우저)을 일부러 악성코드 감염에 노출시키기 위해 앞서 언급된 바와 같이 보안 취약점을 갖도록 구성될 수 있다.
악성코드 분석기(130)는 선택된 전자 문서에 대한 액세스를 통해 수립된 실제 네트워크 연결을 감지하는 것 및 선택된 전자 문서로부터 예상 네트워크 연결을 식별할 수 있다. 이하에서, 몇몇 실시예들에 따른 예시적인 악성코드 분석기(130)가 도 2를 참조하여 기술된다.
도 2에 도시된 바와 같이, 예시적인 악성코드 분석기(130)는 네트워크 연결 감지기(210) 및 전자 문서 구조 분석기(220)를 포함할 수 있다.
네트워크 연결 감지기(210)는 전자 문서에 대한 액세스 후 그러한 액세스에 사용된 네트워크의 상태를 모니터링하여 전자 문서에 대한 액세스를 통해 실제로 수립된 네트워크 연결을 감지할 수 있다. 이러한 모니터링은 네트워크의 상태 및/또는 그러한 네트워크 상태의 변화를 감지하는 것을 수반할 수 있다. 예를 들어, 네트워크 연결 감지기(210)는 네트워크 상태의 모니터링을 통해 소정의 정보를 획득할 수 있고 획득된 정보를 포함하는 모니터링 결과를 생성할 수 있다. 예컨대, 획득된 정보는 전자 문서에 대한 액세스를 통해 수립된 실제 네트워크 연결을 나타내는 정보(예컨대, 그러한 실제 네트워크 연결을 통해 악성코드 탐지 시스템(100)과 연결된 서버의 IP 주소 또는 URL)를 포함할 수 있다. 나아가, 획득된 정보는 감지된 실제 네트워크 연결의 유형, 포트 및/또는 전송 프로토콜 및/또는 그러한 실제 네트워크 연결을 사용하는 프로세스를 나타내는 정보를 더 포함할 수 있다. 네트워크 연결 감지기(210)는 이러한 모니터링 결과를 악성코드 판정기(140)에 전달할 수 있다.
전자 문서 구조 분석기(220)는 액세스된 전자 문서의 구조를 분석하여 예상 네트워크 연결을 식별할 수 있다. 식별된 예상 네트워크 연결은 위 전자 문서가 악성코드를 포함하지 않을 경우 수립될 것으로 예상되는 네트워크 연결을 나타낼 수 있다. 예를 들어, 전자 문서 구조 분석기(220)는 전자 문서의 구조의 분석을 수행하여 전자 문서에 대한 액세스 이후에 수립될 것으로 예상되는 네트워크 연결(예컨대, 위 전자 문서와 링크된 다른 전자 문서를 제공하기 위하여 사용될 것으로 예상되는 네트워크 연결)을 식별할 수 있고, 이와 같이 식별을 통해 획득된 정보(예컨대, 위와 같은 예상 네트워크 연결을 통해 악성코드 탐지 시스템(100)과 연결될 서버의 IP 주소 또는 URL)를 포함하는 분석 결과를 생성할 수 있다. 한편, 전자 문서 구조 분석기(220)는 전자 문서의 구조의 분석을 통해 그 전자 문서에서 난독화된(obfuscated) 부분을 식별할 수 있고, 난독화된 부분 외의 부분으로부터 예상 네트워크 연결을 식별할 수 있다. 예를 들어, 전자 문서 구조 분석기(220)는 전자 문서에서 난독화된 URL을 식별할 수 있고, 난독화된 URL을 분석 결과로부터 제외시킬 수 있다. 이는 다수의 악성코드들이 역추적을 회피하거나 분석 시간을 증가시키기 위해 패킹 기법, JS 인코딩 기법 또는 URL 인코딩 기법 등을 이용하여 악성코드가 유래하는 서버의 URL의 가독성을 낮추는 행태를 보이기 때문이다. 전자 문서 구조 분석기(220)는 위와 같이 생성된 분석 결과를 악성코드 판정기(140)에 전달할 수 있다.
도 2에 도시된 바와 같이, 악성코드 분석기(130)는 악성코드 동적 분석기(230)를 더 포함할 수 있다. 악성코드 동적 분석기(230)는 보안 취약점을 갖는 실행 환경 내의 파일, 프로세스 및 레지스트리 중 적어도 하나의 변화를 감지할 수 있다. 악성코드 동적 분석기(230)는 감지된 변화를 악성코드 판정기(140)에 알릴 수 있다.
다시 도 1을 참조하여, 악성코드 판정기(140), 악성코드 추출기(150) 및악성코드 정보 저장기(160)가 이하에서 설명된다.
악성코드 판정기(140)는 감지된 실제 네트워크 연결 및 식별된 예상 네트워크 연결을 기반으로 전자 문서 내에 악성코드가 포함되어 있는지 판정할 수 있다. 이러한 판정을 위해 악성코드 판정기(140)는 실제 네트워크 연결을 예상 네트워크 연결과 비교할 수 있다. 예를 들어, 실제 네트워크 연결이 예상 네트워크 연결과 동일한 경우, 악성코드 판정기(140)는 전자 문서 내에 악성코드가 포함되어 있지 않다고 판정할 수 있다. 그 밖에도, 악성코드 판정기(140)는 다양한 기준에 따라 전자 문서 내에 악성코드가 포함되어 있는지 판정할 수 있다. 예를 들어, 악성코드 판정기(140)는 화이트리스트(whitelist) 기반의 필터링을 수행할 수 있다. 추가적으로 또는 대안적으로, 악성코드 판정기(140)는 악성코드 분석기(130)로부터 전달된 다른 정보를 이용하여(예컨대, 실제 네트워크 연결의 유형의 체크, 실제 네트워크 연결을 사용하는 프로세스의 식별, 실제 네트워크 연결의 포트의 식별, 실제 네트워크 연결이 미리 설정된 전송 프로토콜(예컨대, 표준 프로토콜인 HTTP/HTTPS)을 따르는지 여부의 체크 및/또는 실행 환경 내 파일, 프로세스 또는 레지스트리의 변화 여부의 체크를 통해) 전자 문서 내에 악성코드가 포함되어 있는지 판정할 수 있다.
전자 문서 내에 악성코드가 포함되어 있다는 판정되는 경우, 악성코드 추출기(150)는 탐지된 악성코드를 역추적할 수 있고, 이에 따라 관련된 악성코드 내지 악성코드 내 공격 스크립트를 포함하여 악성코드 정보를 추출할 수 있다.
악성코드 정보 저장기(160)는 추출된 악성코드 정보를 컴퓨터 판독가능 저장 매체와 같은 소정의 저장소에 저장할 수 있다. 추출된 악성코드 정보는 후속 악성코드 탐지에서 이용 가능하도록 악성코드 정보 저장기(160)에 의해 가공된 후 저장될 수 있다.
도 3은 예시적인 실시예에 따라 악성코드를 탐지하기 위한 과정을 도시한다. 예를 들어, 예시적인 과정(300)에 포함된 동작들은 악성코드 탐지 시스템(100)에 의해 수행될 수 있다.
악성코드 탐지를 위한 실행 환경을 제공하는 데 필요한 일련의 작업들(예컨대, 운영체제의 실행)을 포함하는 시작 동작 후, 과정(300)은 동작(S310)으로 진행된다.
동작(S310)에서, 악성코드 탐지를 위해 점검될 웹 페이지가 선택된다. 설명의 편의상, 이 예시적인 실시예에서는 "mypatent.com"이라는 웹 주소를 이용하여 액세스 가능한 웹 사이트의 홈 페이지가 선택되었다고 가정한다. 예를 들어, 전자 문서 선택기(110)에는 점검될 하나 이상의 타겟 웹 페이지의 URL의 리스트가 제공될 수 있다. 전자 문서 선택기(110)는 타겟 웹 페이지로의 액세스에 대한 요청을 전자 문서 로딩기(120)에 전달할 수 있다. 이러한 액세스 요청은 선택된 웹 페이지의 URL인 "mypatent.com"을 포함할 수 있다.
이어서, 선택된 웹 페이지가 액세스된다(S320). 예를 들어, 전자 문서 선택기(110)로부터의 액세스 요청에 응답하여, 전자 문서 로딩기(120)는 선택된 웹 페이지를 액세스할 수 있다. 전자 문서 로딩기(120)는 이러한 액세스를 위해 실행 환경 내의 웹 브라우저를 실행할 수 있다. 이어서, 전자 문서 로딩기(120)는 위 웹 페이지를 웹 브라우저로 로딩할 수 있다. 전술한 바와 같이 고의적으로 실행 환경은 보안 취약점을 가지도록 구성될 수 있는바, 액세스된 웹 페이지 내의 악성코드는 실행 환경 내 운영체제 및/또는 그 운영체제 상에서 실행 중인 애플리케이션(예컨대, 웹 브라우저)을 감염시킬 수 있다.
동작(S330)에서, 악성코드 분석이 수행된다. 동작(S330)에서 수행되는 분석은 선택된 웹 페이지에 대한 액세스를 통해 수립된 실제 네트워크 연결을 감지하는 것 및 선택된 웹 페이지로부터 예상 네트워크 연결을 식별하는 것을 포함할 수 있다. 예를 들어, 악성코드 분석기(130)의 네트워크 연결 감지기(210)는 아래에 제시된 URL 및 IP 주소와 같은 식별자 각각이 나타내는 서버와 악성코드 탐지 시스템(100) 간에 실제로 네트워크 연결이 수립됨을 감지할 수 있고, 그러한 식별자들을 포함하는 실제 네트워크 연결 리스트를 생성할 수 있다.
- mypatent.com
- www.naver.com
- www.google.com
- Github.com
- Hackerdomain.com
- 201.10.15.11
- 76.60.49.11
대안적으로, 위 리스트는 어느 하나의 식별자가 나타내는 서버로의 연결로부터 파생되는 서버를 나타내는 식별자(예컨대, www.naver.com으로의 접속에 동반되어 접속되는 서버의 식별자 또는 C 클래스 IP 주소 등)를 더 포함할 수도 있으나, 이러한 파생적 서버의 식별자는 동작(S340)의 수행 전에 그 리스트로부터 제거될 수 있다.
또한, 악성코드 분석기(130)의 전자 문서 구조 분석기(220)는 선택된 웹 페이지의 구조를 분석하여 아래에 제시된 URL과 같은 식별자 각각이 나타내는 서버와 악성코드 탐지 시스템(100) 간에 네트워크 연결이 수립될 것으로 예상할 수 있고, 그러한 식별자들을 포함하는 예상 네트워크 연결 리스트를 생성할 수 있다.
- mypatent.com
- www.naver.com
- www.google.com
- Github.com
동작(S340)에서, 액세스된 웹 페이지에 악성코드가 포함되어 있는지 여부가 동작(S330)에서 수행된 악성코드 분석에 기반하여 판정된다. 예를 들어, 위 판정을 위해 악성코드 판정기(140)는 실제 네트워크 연결과 예상 네트워크 연결을 비교할 수 있다. 구체적으로, 악성코드 판정기(140)는 (필요한 경우 파생적 서버의 식별자를 실제 네트워크 연결 리스트로부터 제거한 후) 실제 네트워크 연결 리스트에 포함되나 예상 네트워크 연결 리스트에는 포함되지 않은 다음의 식별자들을 식별할 수 있고, 이러한 차이에 기반하여 액세스된 웹 페이지에 악성코드가 포함되어 있다고 판정할 수 있다.
- Hackerdomain.com
- 201.10.15.11
- 76.60.49.11
한편, 앞서 언급된 동작(S330)에서 수행되는 악성코드 분석은 운영체제에서의 파일, 프로세스 및/또는 레지스트리의 생성이나 다른 변화 등을 감지하는 것을 선택적으로 더 포함할 수 있고, 동작(S340)에서 수행되는 판정은 그러한 감지의 결과에 또한 기반할 수 있다.
만일 액세스된 웹 페이지에 악성코드가 포함되어 있지 않다고 판정된 경우, 과정(300)은 동작(S310)으로 이어진다. 이와 달리, 액세스된 웹 페이지에 악성코드가 포함되어 있다고 판정되는 경우, 악성코드를 포함하여 악성코드 정보(예컨대, 웹 페이지의 URL 및 해커 서버의 IP 주소 등)이 추출된다(S350). 동작(S360)에서, 추출된 악성코드 정보가 저장된다. 이어서, 후속 악성코드 탐지를 위해 과정(300)은 동작(S310)으로 이어진다.
도 4는 예시적인 실시예에 따라 악성코드를 탐지하기 위한 과정을 도시한다. 예를 들어, 예시적인 과정(400)의 동작들은 악성코드 탐지 시스템(100)에 의해 수행될 수 있다. 몇몇 실시예들에 따르면, 과정(400)의 동작들은 도 3의 동작(S330) 및 동작(S340)의 구현을 위해 수행될 수 있다.
시작 동작 후, 과정(400)은 동작(S405)으로 진행된다. 동작(S405)에서, 웹 페이지를 액세스하는 데 사용된 네트워크의 상태가 모니터링된다. 모니터링된 네트워크 상태는 웹 페이지에 대한 액세스를 통해 실제로 수립된 적어도 하나의 네트워크 연결과 그러한 실제 네트워크 연결의 유형, 포트 및 전송 프로토콜, 그리고 그러한 실제 네트워크 연결을 사용하는 프로세스를 나타낼 수 있다. 예컨대, 악성코드 시스템(100)의 악성코드 분석기(130)(의 네트워크 연결 감지기(210))가 위와 같은 네트워크 상태를 모니터링할 수 있다.
동작(S410)에서, 액세스된 웹 페이지의 URL이 화이트리스트에 포함되어 있는지 판정된다. 그러한 경우, 액세스된 웹 페이지에 악성코드가 포함되어 있지 않다고 판정된다(S465). 이와 같이 화이트리스트에 기반한 필터링은 악성코드가 포함되어 있지 않은 것으로 미리 확인/설정된 웹 페이지에 대한 악성코드 탐지를 건너뛰게 한다.
액세스된 웹 페이지의 URL이 화이트리스트에 포함되어 있지 않다고 판정된 경우, 실제 네트워크 연결의 유형이 연결 대기(Listen)인지 판정된다 (S415). 이는 일반적으로 악성코드에 감염되지 않은 웹 페이지를 액세스한 클라이언트 시스템은 그 웹 페이지를 제공하는 서버 시스템과 연결 요청(Request)와 같은 유형의 네트워크 연결을 통해 통신 가능하게 연결되며, 연결 대기 유형의 네트워크 연결은 악성코드 감염으로 인해 발생할 것이기 때문이다. 실제 네트워크 연결의 유형이 연결 대기라고 판정된 경우, 액세스된 웹 페이지에 악성코드가 포함되어 있다고 판정된다(S460).
실제 네트워크 연결의 유형이 연결 대기가 아니라고 판정된 경우, 실제 네트워크 연결을 사용하는 프로세스가 웹 브라우저인지 판정된다(S425). 실제 네트워크 연결을 사용하는 프로세스가 웹 브라우저가 아니라고 판정된 경우, 액세스된 웹 페이지에 악성코드가 포함되어 있다고 판정된다(S460). 이는 네트워크를 통해 웹 페이지를 액세스하는 데 사용된 웹 브라우저 외의 다른 프로그램의 프로세스가 실제 네트워크 연결을 사용 중인 경우 그 프로세스는 악성코드 감염으로 인해 생성되었다고 볼 수 있기 때문이다.
실제 네트워크 연결을 사용하는 프로세스가 웹 브라우저라고 판정된 경우, 실제 네트워크 연결의 포트(port)가 비정상적인지 판정된다(S430). 예를 들어, 비정상적인 포트는 웹 페이지를 액세스하는 데 통상적으로 사용되는 포트(예컨대, 80 포트, 443 포트 또는 8080 포트)가 아닌 것을 의미할 수 있다. 실제 네트워크 연결의 포트가 비정상적인 포트(예컨대, 4444 포트)라고 판정된 경우, 액세스된 웹 페이지에 악성코드가 포함되어 있다고 판정된다(S460).
실제 네트워크 연결의 포트가 정상적인 포트라고 판정된 경우, 액세스된 웹 페이지로부터 예상 네트워크 연결이 식별된다(S435). 예컨대, 악성코드 시스템(100)의 악성코드 분석기(130)(의 전자 문서 구조 분석기(220))가 웹 페이지(183)의 구조를 분석하여 웹 페이지(183)로부터 소정의 예상 네트워크 연결 리스트를 도출할 수 있다.
동작(S440)에서, 실제 네트워크 연결과 예상 네트워크 연결 간 차이가 있는지 판정된다. 실제 네트워크 연결과 예상 네트워크 연결이 일치한다고 판정된 경우, 액세스된 웹 페이지에 악성코드가 포함되어 있지 않다고 판정된다(S465). 예컨대, APT형 악성코드에 감염된 실행 환경에서는 웹 브라우저가 악성코드 대신 악성행위를 수행할 수 있는데, 이러한 악성행위로 인해 실제 네트워크 연결 리스트는 예상 네트워크 연결 리스트와 상이할 수 있다. 이러한 경우에도 웹 브라우저를 감염시킨 악성코드가 위 판정 동작(S465)을 통해 탐지될 수 있다.
실제 네트워크 연결과 예상 네트워크 연결 간 차이가 있다고 판정된 경우, 실제 네트워크 연결이 표준 프로토콜(예컨대, HTTP/HTTPS)을 따르는지 여부가 판정된다(S445). 실제 네트워크 연결이 표준 프로토콜을 따르지 않는다고 판정된 경우, 액세스된 웹 페이지에 악성코드가 포함되어 있다고 판정된다(S460). 실제 네트워크 연결이 표준 프로토콜에 규정된 전송 규칙을 준수한다고 판정된 경우, 액세스된 웹 페이지는 악성코드 의심군으로 분류되고 상세 점검이 수행된다(S450). 예를 들어, 이러한 상세 점검은 운영체제에서의 파일, 프로세스 및/또는 레지스트리의 생성이나 다른 변화 등을 감지하여 웹 페이지에 악성코드가 포함되어 있는지 판정하는 것을 수반할 수 있다. 예컨대, 운영체제 내 소정의 실행 파일의 생성과 같이 소정의 파일, 프로세스 및/또는 레지스트리에 변화가 발생한 것이 감지된 경우, 상세 점검이 수행된 웹 페이지는 악성코드를 포함한다고 판정될 수 있다. 동작(S455)에서, 상세 점검의 결과에 따라 과정(400)은 판정 동작(S460) 또는 판정 동작(S465)으로 분기된다.
한편, 소정의 실시예는 본 명세서에서 기술한 과정을 컴퓨터상에서 수행하기 위한 프로그램을 포함하는 컴퓨터 판독 가능 저장 매체를 포함할 수 있다. 이러한 컴퓨터 판독 가능 저장 매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 그 컴퓨터 판독 가능 저장 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들일 수 있다. 컴퓨터 판독 가능 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
100: 악성코드 탐지 시스템
110: 전자 문서 선택기
120: 전자 문서 로딩기
130: 악성코드 분석기
140: 악성코드 판정기
150: 악성코드 추출기
160: 악성코드 정보 저장기
210: 네트워크 연결 감지기
220: 전자 문서 구조 분석기
230: 악성코드 동적 분석기

Claims (16)

  1. 전자 문서에 대한 액세스를 통해 수립된 실제 네트워크 연결을 감지하고 상기 전자 문서로부터 예상 네트워크 연결을 식별하는 악성코드 분석기; 및
    상기 실제 네트워크 연결 및 상기 예상 네트워크 연결을 기반으로 상기 전자 문서 내에 악성코드가 포함되어 있는지 판정하는 악성코드 판정기를 포함하는
    악성코드 탐지 장치.
  2. 청구항 1에 있어서,
    상기 식별된 예상 네트워크 연결은 상기 전자 문서 내에 상기 악성코드가 포함되어 있지 않을 경우 상기 액세스를 통해 수립될 것으로 예상되는 네트워크 연결을 나타내는, 악성코드 탐지 장치.
  3. 청구항 1에 있어서,
    상기 악성코드 분석기는
    상기 액세스에 사용된 네트워크의 상태를 모니터링하여 상기 실제 네트워크 연결을 감지하는 네트워크 연결 감지기; 및
    상기 전자 문서의 구조를 분석하여 상기 예상 네트워크 연결을 식별하는 전자 문서 구조 분석기를 포함하는,
    악성코드 탐지 장치.
  4. 청구항 3에 있어서,
    상기 네트워크 연결 감지기는 또한 상기 모니터링을 통해 상기 실제 네트워크 연결의 유형, 상기 실제 네트워크 연결의 포트, 상기 실제 네트워크 연결의 전송 프로토콜 및 상기 실제 네트워크 연결을 사용하는 실행 프로세스 중 적어도 하나를 나타내는 정보를 획득하고, 상기 악성코드 판정기는 상기 판정을 위해 상기 정보를 또한 이용하는, 악성코드 탐지 장치.
  5. 청구항 3에 있어서,
    상기 전자 문서 구조 분석기는 상기 전자 문서와 링크된 다른 전자 문서를 제공하기 위하여 사용될 것으로 예상되는 네트워크 연결을 상기 분석을 통해 상기 예상 네트워크 연결로서 식별하는, 악성코드 탐지 장치.
  6. 청구항 3에 있어서,
    상기 전자 문서 구조 분석기는 또한 상기 전자 문서에서 난독화된(obfuscated) 부분을 상기 분석을 통해 식별하고 상기 전자 문서 중 상기 난독화된 부분 외의 부분으로부터 상기 예상 네트워크 연결을 식별하는, 악성코드 탐지 장치.
  7. 청구항 3에 있어서,
    상기 악성코드 분석기는 상기 전자 문서가 로딩된 실행 환경 내의 파일, 프로세스 및 레지스트리 중 적어도 하나의 변화를 감지하는 악성코드 동적 분석기를 더 포함하고, 상기 악성코드 판정기는 상기 판정을 위해 상기 감지된 변화를 또한 이용하는, 악성코드 탐지 장치.
  8. 전자 문서에 대한 액세스를 통해 수립된 실제 네트워크 연결을 감지하는 단계;
    상기 전자 문서로부터 예상 네트워크 연결을 식별하는 단계; 및
    상기 실제 네트워크 연결 및 상기 예상 네트워크 연결을 기반으로 상기 전자 문서 내에 악성코드가 포함되어 있는지 판정하는 단계를 포함하는
    악성코드 탐지 방법.
  9. 청구항 8에 있어서,
    상기 판정을 위해 상기 실제 네트워크 연결을 상기 예상 네트워크 연결과 비교하는 단계를 더 포함하는, 악성코드 탐지 방법.
  10. 청구항 8에 있어서,
    상기 식별된 예상 네트워크 연결은 상기 전자 문서 내에 상기 악성코드가 포함되어 있지 않을 경우 상기 액세스를 통해 수립될 것으로 예상되는 네트워크 연결을 나타내는, 악성코드 탐지 방법.
  11. 청구항 8에 있어서,
    상기 감지하는 단계는 상기 액세스에 사용된 네트워크의 상태를 모니터링하여 상기 실제 네트워크 연결을 감지하는 단계를 포함하고, 상기 식별하는 단계는 상기 전자 문서의 구조를 분석하여 상기 예상 네트워크 연결을 식별하는 단계를 포함하는,
    악성코드 탐지 방법.
  12. 청구항 11에 있어서,
    상기 모니터링을 통해 상기 실제 네트워크 연결의 유형, 상기 실제 네트워크 연결의 포트, 상기 실제 네트워크 연결의 전송 프로토콜 및 상기 실제 네트워크 연결을 사용하는 실행 프로세스 중 적어도 하나를 나타내는 정보를 획득하는 단계; 및
    상기 판정을 위해 상기 정보를 또한 이용하는 단계를 더 포함하는,
    악성코드 탐지 방법.
  13. 청구항 11에 있어서,
    상기 전자 문서의 구조를 분석하여 상기 예상 네트워크 연결을 식별하는 단계는 상기 전자 문서와 링크된 다른 전자 문서를 제공하기 위하여 사용될 것으로 예상되는 네트워크 연결을 상기 분석을 통해 상기 예상 네트워크 연결로서 식별하는 단계를 포함하는, 악성코드 탐지 방법.
  14. 청구항 11에 있어서,
    상기 전자 문서의 구조를 분석하여 상기 예상 네트워크 연결을 식별하는 단계는 상기 전자 문서에서 난독화된 부분을 상기 분석을 통해 식별하는 단계 및 상기 전자 문서 중 상기 난독화된 부분 외의 부분으로부터 상기 예상 네트워크 연결을 식별하는 단계를 포함하는, 악성코드 탐지 방법.
  15. 청구항 11에 있어서,
    상기 전자 문서가 로딩된 실행 환경 내의 파일, 프로세스 및 레지스트리 중 적어도 하나의 변화를 감지하는 단계; 및
    상기 판정을 위해 상기 감지된 변화를 또한 이용하는 단계를 더 포함하는,
    악성코드 탐지 방법.
  16. 제8항 내지 제15항 중 어느 한 항에 기재된 방법을 실행하기 위한 컴퓨터 프로그램이 저장된 컴퓨터 판독가능 저장 매체.
KR1020140061175A 2014-05-21 2014-05-21 악성코드 탐지 장치 및 방법 KR102292844B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140061175A KR102292844B1 (ko) 2014-05-21 2014-05-21 악성코드 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140061175A KR102292844B1 (ko) 2014-05-21 2014-05-21 악성코드 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20150134172A true KR20150134172A (ko) 2015-12-01
KR102292844B1 KR102292844B1 (ko) 2021-08-23

Family

ID=54882654

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140061175A KR102292844B1 (ko) 2014-05-21 2014-05-21 악성코드 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102292844B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180062714A (ko) * 2016-12-01 2018-06-11 단국대학교 산학협력단 IoT 기기의 보안 강화를 위한 BLE 통신 기반의 스캔 장치 및 방법
US10348755B1 (en) * 2016-06-30 2019-07-09 Symantec Corporation Systems and methods for detecting network security deficiencies on endpoint devices
KR102592711B1 (ko) * 2022-05-03 2023-10-23 주식회사 소프트웨어인라이프 전자문서 관리 시스템에서의 전자문서 데이터 제공방법 및 장치

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090044202A (ko) * 2007-10-31 2009-05-07 주식회사 이븐스타 웹페이지의 우회침입 탐지 및 매개변수 변조 침입 탐지를이용한 웹 보안 서비스 방법 및 그 시스템
KR101070184B1 (ko) 2011-02-24 2011-10-07 주식회사 윈스테크넷 멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법
KR101296716B1 (ko) * 2011-12-14 2013-08-20 한국인터넷진흥원 피디에프 문서형 악성코드 탐지 시스템 및 방법
KR101372906B1 (ko) * 2012-06-26 2014-03-25 주식회사 시큐아이 악성코드를 차단하기 위한 방법 및 시스템
KR101388962B1 (ko) * 2012-11-19 2014-04-24 한국인터넷진흥원 대규모 웹사이트 고속 점검방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090044202A (ko) * 2007-10-31 2009-05-07 주식회사 이븐스타 웹페이지의 우회침입 탐지 및 매개변수 변조 침입 탐지를이용한 웹 보안 서비스 방법 및 그 시스템
KR101070184B1 (ko) 2011-02-24 2011-10-07 주식회사 윈스테크넷 멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법
KR101296716B1 (ko) * 2011-12-14 2013-08-20 한국인터넷진흥원 피디에프 문서형 악성코드 탐지 시스템 및 방법
KR101372906B1 (ko) * 2012-06-26 2014-03-25 주식회사 시큐아이 악성코드를 차단하기 위한 방법 및 시스템
KR101388962B1 (ko) * 2012-11-19 2014-04-24 한국인터넷진흥원 대규모 웹사이트 고속 점검방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10348755B1 (en) * 2016-06-30 2019-07-09 Symantec Corporation Systems and methods for detecting network security deficiencies on endpoint devices
KR20180062714A (ko) * 2016-12-01 2018-06-11 단국대학교 산학협력단 IoT 기기의 보안 강화를 위한 BLE 통신 기반의 스캔 장치 및 방법
KR102592711B1 (ko) * 2022-05-03 2023-10-23 주식회사 소프트웨어인라이프 전자문서 관리 시스템에서의 전자문서 데이터 제공방법 및 장치

Also Published As

Publication number Publication date
KR102292844B1 (ko) 2021-08-23

Similar Documents

Publication Publication Date Title
US9680848B2 (en) Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and API flow-based dynamic analysis
EP3076326B1 (en) Configuring a sandbox environment for malware testing
US10397261B2 (en) Identifying device, identifying method and identifying program
US8683596B2 (en) Detection of DOM-based cross-site scripting vulnerabilities
US8291500B1 (en) Systems and methods for automated malware artifact retrieval and analysis
US8528095B2 (en) Injection context based static analysis of computer software applications
US20140053267A1 (en) Method for identifying malicious executables
US20110307956A1 (en) System and method for analyzing malicious code using a static analyzer
CN110704836A (zh) 实时无签名恶意软件检测
US20150310211A1 (en) Method, apparatus and system for detecting malicious process behavior
JP6176622B2 (ja) マルウェアの検出方法
CN107465702B (zh) 基于无线网络入侵的预警方法及装置
US10482240B2 (en) Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
EP2881877A1 (en) Program execution device and program analysis device
US9910983B2 (en) Malware detection
WO2017056121A1 (en) Method for the identification and prevention of client-side web attacks
CN107566401B (zh) 虚拟化环境的防护方法及装置
CN108182363B (zh) 嵌入式office文档的检测方法、系统及存储介质
KR102292844B1 (ko) 악성코드 탐지 장치 및 방법
CN103390129A (zh) 检测统一资源定位符安全性的方法和装置
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
CN107517226B (zh) 基于无线网络入侵的报警方法及装置
US20190080090A1 (en) Method and apparatus for detecting dynamically-loaded malware with run time predictive analysis
WO2014048751A1 (en) Method and apparatus for detecting a malicious website
JP5425980B2 (ja) バグ判定装置およびバグ判定方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant