KR20180080450A - 클라우드 기반으로 악성코드를 탐지하는 장치 및 이를 이용한 방법 - Google Patents

클라우드 기반으로 악성코드를 탐지하는 장치 및 이를 이용한 방법 Download PDF

Info

Publication number
KR20180080450A
KR20180080450A KR1020170001184A KR20170001184A KR20180080450A KR 20180080450 A KR20180080450 A KR 20180080450A KR 1020170001184 A KR1020170001184 A KR 1020170001184A KR 20170001184 A KR20170001184 A KR 20170001184A KR 20180080450 A KR20180080450 A KR 20180080450A
Authority
KR
South Korea
Prior art keywords
malicious code
cloud
code detection
service
detection
Prior art date
Application number
KR1020170001184A
Other languages
English (en)
Inventor
문대성
김익균
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170001184A priority Critical patent/KR20180080450A/ko
Publication of KR20180080450A publication Critical patent/KR20180080450A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 일 실시예는, 기선별된 악성코드 패턴정보들에 대한 블랙리스트와 기선별된 정상파일 패턴정보들에 대한 화이트리스트가 저장된 필수 데이터베이스; 상기 필수 데이터베이스를 이용하여 제 1차 악성코드 탐지 서비스를 실시하는 악성코드 필수 탐지모듈; 및 클라우드 장치와 각종의 데이터들을 송수신하는 클라이언트 통신모듈; 을 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라이언트 장치를 제공한다.

Description

클라우드 기반으로 악성코드를 탐지하는 장치 및 이를 이용한 방법 {APPARATUS FOR MALWARE DETECTION BASED ON CLOUD AND METHOD USING THE SAME}
본 발명은 클라우드를 기반으로 악성코드를 탐지하는 클라이언트 장치와 클라우드 장치 및 그 방법에 관한 것이다. 더욱 상세하게, 본 발명은 클라우드 서비스를 기반으로 하여 효율적으로 악성코드를 탐지하기 위한 악성코드 탐지 장치 및 그 방법에 관한 것이다.
악성코드 탐지 기술은 시그너처기반 탐지, 평판기반 탐지, 룰(Rule)기반 탐지, 동적 행위기반 탐지 등의 다양한 방법들을 사용한다. 악성코드 탐지 엔진은 시그너처, 평판, 룰 등을 포함한 데이터베이스를 탑재한채 사용자의 PC에 저장 및 설치되고, 검사 대상 파일 또는 프로세스가 들어왔을 때 상기 데이터베이스와 비교하여 악성코드 여부를 판단한다.
호스트 PC에서 악성코드를 탐지하는 기술은 기하급수적으로 생성되는 신종 악성코드에 따라 데이터베이스의 대용량화되고 악성코드 탐지 작업의 속도가 저하되는 등의 문제가 발생한다. 또한, 데이터베이스와 악성코드 탐지 엔진을 모든 호스트 PC에서 업데이트 해야하는 오버헤드(Overhead)가 존재한다.
한국 공개특허공보 제10-2007-0049511호
본 발명은 클라우드 서비스에 기반하여 새로운 악성코드의 발생시에도 효율적으로 악성코드의 탐지를 가능케 하는 것을 목적으로 한다.
또한, 본 발명은 악성코드 탐지에 있어서, 각 호스트 PC들에 저장하는 데이터베이스의 거대화에 따른 공간 확보 문제를 해소하고, 각 호스트 PC들에서 데이터베이스와 악성코드 탐지 엔진를 개별적으로 업데이트하는 오버헤드를 줄이는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일 실시예는, 기선별된 악성코드 패턴정보들에 대한 블랙리스트와 기선별된 정상파일 패턴정보들에 대한 화이트리스트가 저장된 필수 데이터베이스; 상기 필수 데이터베이스를 이용하여 제 1차 악성코드 탐지 서비스를 실시하는 악성코드 필수 탐지모듈; 및 클라우드 장치와 각종의 데이터들을 송수신하는 클라이언트 통신모듈; 을 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라이언트 장치를 제공한다.
또한, 상기 클라이언트 장치는 사용자의 네트워크 장치에 위치하고, 상기 네트워크 장치로부터 패킷들을 읽어오는 패킷 처리모듈; 및 상기 패킷 처리모듈로부터 읽어온 패킷들을 검사를 실시할 파일들로 변환하는 파일 재구성모듈; 을 포함할 수 있다.
또한, 상기 클라이언트 통신모듈은 상기 제 1차 악성코드 탐지 결과를 통해 정밀 검사가 필요한 경우에 검사 대상 데이터들을 상기 클라우드 장치에 송신하고; 상기 클라우드 장치에서 데이터베이스에 저장된 악성코드 패턴정보들을 이용하여 실시한 제 2차 악성코드 탐지 서비스의 결과를 수신할 수 있다.
또한, 상기 클라이언트 통신모듈은 상기 클라우드 장치에서 할당된 악성코드 탐지 자원을 이용하고 여러 악성코드 탐지 방법들을 선택적으로 사용하여 실시한 상기 제 2차 악성코드 탐지 서비스의 결과를 수신할 수 있다.
또한, 상기 클라이언트 통신모듈은 상기 클라우드 장치에서 누적된 제 2차 악성코드 탐지 서비스들의 결과들을 통해 선별한 고빈도군 또는 고위험군 악성코드 패턴정보들을 수신하고, 상기 필수 데이터베이스는 상기 수신한 선별된 고빈도군 또는 고위험군 악성코드 패턴정보들을 반영할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명의 일 실시예는, 악성코드에 패턴정보들을 저장하는 클라우드 데이터베이스; 상기 클라우드 데이터베이스를 이용하여 제 2차 악성코드 탐지 서비스를 실시하는 악성코드 탐지모듈; 클라이언트 장치와 각종의 데이터들을 송수신하는 클라우드 통신모듈; 상기 제 2차 악성코드 탐지 서비스의 생성, 종료 또는 갱신과 같은 클라우드 서비스를 관리하는 클라이언트 서비스 관리모듈; 및 상기 악성코드 탐지모듈의 악성코드 탐지 엔진을 갱신하는 악성코드 패턴정보 관리모듈; 을 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라우드 장치를 제공한다.
또한, 상기 클라우드 통신모듈은 상기 클라이언트 장치에서 실시한 제 1차 악성코드 탐지 서비스의 결과를 통해 정밀 검사가 요구되는 경우 검사 대상 데이터들을 수신하고, 상기 클라우드 장치는 상기 검사 대상 데이터들을 수신하여 악성코드 탐지 서비스를 실시할 수 있다.
또한, 상기 악성코드 패턴정보 관리모듈은 신종 또는 변종의 악성코드들의 발견시, 상기 신종 또는 변종의 악성코드들 각각에 상응하는 상기 악성코드 패턴정보들을 상기 클라우드 데이터베이스에 저장할 수 있다.
또한, 상기 클라이언트 서비스 관리모듈은 상기 제 2차 악성코드 탐지 서비스의 생성시 상기 악성코드 탐지모듈에 악성코드 탐지모듈 자원을 할당하고, 상기 악성코드 탐지모듈은 상기 할당된 악성코드 탐지모듈 자원을 이용해 상기 제 2차 악성코드 탐지 서비스를 실시할 수 있다.
또한, 상기 악성코드 탐지모듈은 시그니처 기반 탐지, 평판 기반 탐지, 행위 룰 기반 탐지 및 동적분석 탐지를 포함한 악성코드 탐지 방법들을 사용하고, 상기 악성코드 탐지모듈 자원은상기 악성코드 탐지 방법들을 선택적으로 사용할 수 있다.
또한, 상기 악성코드 패턴정보 관리모듈은 상기 제 2차 악성코드 탐지 서비스들의 누적된 결과들을 통해 고빈도군 또는 고위험군 악성코드 패턴정보들을 선별하여 상기 클라우드 데이터베이스에 반영하고, 상기 클라우드 통신모듈은 상기 선별된 고빈도군 또는 고위험군 악성코드 패턴정보들을 상기 클라이언트 장치로 송신하여 상기 제 1차 악성코드 탐지 서비스에 반영할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명의 일 실시예는, 검사 대상 파일들에 대한 제 1차 악성코드 탐지 서비스를 실시하고, 정밀 검사가 요구되는 경우 상기 정밀 검사를 요청하는 클라이언트 서비스단계; 및 상기 정밀 검사 요청에 따라 클라우드 서비스를 이용하여 상기 검사 대상 파일들에 대한 제 2차 악성코드 탐지 서비스를 실시하는 클라우드 서비스단계; 를 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 방법을 제공한다.
또한, 상기 클라우드 서비스단계는 상기 클라이언트 서비스단계로부터 검사 대상 파일들을 수신하는 단계; 상기 제 2차 악성코드 탐지 서비스와 관련된 클라우드 서비스를 생성, 종료 또는 갱신하는 클라이언트 서비스 관리단계; 악성코드 패턴정보들이 저장된 클라우드 데이터베이스에서 데이터들을 읽어오는 단계; 상기 읽어온 데이터들을 이용하여 상기 제 2차 악성코드 탐지 서비스를 실시하는 악성코드 탐지단계; 상기 악성코드 탐지단계에서 사용하는 악성코드 탐지 엔진을 갱신하는 악성코드 패턴정보 관리단계; 및 상기 클라이언트 서비스단계로 상기 제 2차 악성코드 탐지 서비스 결과를 송신하는 단계; 를 포함할 수 있다.
또한, 상기 클라이언트 서비스단계는 기선별된 상기 악성코드 패턴정보들에 대한 블랙리스트와 기선별된 정상파일 패턴정보들에 대한 화이트리스트가 저장된 필수 데이터베이스에서 데이터들을 읽어오는 단계; 상기 읽어온 데이터들을 이용하여 상기 제 1차 악성코드 탐지 서비스를 실시하는 악성코드 필수 탐지단계; 상기 클라우드 서비스단계에 검사 대상 파일들을 송신하는 단계; 및 상기 클라우드 서비스단계로부터 상기 제 2차 악성코드 탐지 서비스 결과를 수신하는 단계; 를 포함할 수 있다.
또한, 상기 클라이언트 서비스단계는 상기 클라이언트의 네트워크 장치에서 실시하고, 상기 네트워크 장치로부터 패킷들을 읽어오는 패킷 처리단계; 및 상기 패킷 처리단계로 읽어온 패킷들을 검사를 실시할 파일들로 변환하는 파일 재구성단계; 를 포함할 수 있다.
또한, 상기 악성코드 패턴정보 관리단계는 신종 또는 변종의 악성코드들의 발견시, 상기 신종 또는 변종의 악성코드들 각각에 상응하는 상기 악성코드 패턴정보들을 상기 클라우드 데이터베이스에 저장하는 단계를 포함할 수 있다.
또한, 상기 클라이언트 서비스 관리단계는 상기 제 2차 악성코드 탐지 서비스의 생성시 상기 악성코드 탐지모듈에 악성코드 탐지모듈 자원을 할당하고, 상기 악성코드 탐지단계는 상기 할당된 악성코드 탐지모듈 자원을 이용해 상기 제 2차 악성코드 탐지 서비스를 실시할 수 있다.
또한, 상기 악성코드 탐지단계는 시그니처 기반 탐지, 평판 기반 탐지, 행위 룰 기반 탐지 및 동적분석 탐지를 포함한 악성코드 탐지 방법들을 사용할 수 있다.
또한, 상기 악성코드 탐지모듈 자원은 상기 악성코드 탐지 방법들을 선택적으로 사용할 수 있다.
또한, 상기 악성코드 패턴정보 관리단계는 상기 제 2차 악성코드 탐지 서비스들의 누적된 결과들을 통해 고빈도군 또는 고위험군 악성코드 패턴정보들을 선별하는 단계; 및 상기 선별된 고빈도군 또는 고위험군 악성코드 패턴정보들을 상기 필수 데이터베이스와 상기 클라우드 데이터베이스에 반영하는 단계; 를 포함할 수 있다.
본 발명은 클라우드 서비스에 기반하여 새로운 악성코드의 발생시에도 효율적으로 악성코드를 탐지할 수 있다.
또한, 본 발명은 악성코드 탐지에 있어서, 각 호스트 PC들에 저장하는 데이터베이스의 거대화에 따른 공간 확보 문제를 해소하고, 각 호스트 PC들에서 데이터베이스와 악성코드 탐지 엔진를 개별적으로 업데이트하는 오버헤드를 줄일 수 있다.
도 1은 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 시스템의 구성을 나타낸 도면이다.
도 2는 도 1에 도시된 클라우드 기반 악성코드 탐지 시스템의 구성의 일 예를 나타낸 블록도이다.
도 3은 도 2에 도시된 클라우드 기반 악성코드 탐지 시스템의 일부 구성요소들의 관계에 대한 일 예를 나타낸 블록도이다.
도 4는 도 3에 도시된 악성코드 탐지모듈의 내부 구성의 일 예를 나타낸 블록도이다.
도 5는 본 발명의 일 실시예에 따른 클라우드 기반으로 악성코드를 탐지하는 방법을 나타낸 동작 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 클라우드 기반으로 악성코드를 탐지하는 방법에서 필수 데이터베이스와 클라우드 데이터베이스를 갱신하는 방법 중 하나를 나타낸 동작 흐름도이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 본 발명의 효과 및 특징, 그리고 그것들을 달성하는 방법은 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성되어 다양한 형태로 구현될 수 있다. 이하의 실시예에서, 제1, 제2 등의 용어는 한정적인 의미가 아니라 하나의 구성 요소를 다른 구성 요소와 구별하는 목적으로 사용되었다. 또한, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함한다. 또한, 포함하다 또는 가지다 등의 용어는 명세서상에 기재된 특징, 또는 구성요소가 존재함을 의미하는 것이고, 하나 이상의 다른 특징들 또는 구성요소가 부가될 가능성을 미리 배제하는 것은 아니다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명하기로 하며, 도면을 참조하여 설명할 때 동일하거나 대응하는 구성 요소는 동일한 도면 부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 시스템(1)의 구성을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 시스템(1)은 사용자인 기업 A(2A)와 상호 연결되고, 상기 클라우드 기반 악성코드 탐지 시스템(1)은 클라우드를 이용하여 악성코드를 탐지하는 클라우드 장치(100)와 상기 사용자 기업 A(2A)와 연결되어 클라우드를 이용하여 악성코드를 탐지하는 클라이언트 장치(200)로 구성된다.
본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 시스템(1)은 클라이언트 장치(200)를 통해서 사용자인 기업 A(2A)에 상호 연결된다. 상기 클라이언트 장치(200)는 기업 A(2A)로부터 특정 파일들에 대한 악성코드 탐지를 요청받고 필수적인 제 1차 악성코드 탐지 서비스를 실시한다. 상기 제 1차 악성코드 탐지 서비스의 실시 결과, 악성코드가 발견되지 않았거나 악성코드가 발견되었음에도 정밀한 검사가 필요한 경우에는 클라우드 장치(100)에 제 2차 악성코드 탐지 서비스를 요청한다. 이 때, 클라우드 장치(100)와 클라이언트 장치(200)은 네트워크를 통해 연결될 수 있다.
선택적 실시예에서, 상기의 클라이언트 장치(200)는 사용자인 기업 A(2A)의 모든 호스트 PC 대신, 기업 A(2A)의 게이트웨이와 같은 네트워크 장치에 설치될 수 있다. 이에 따라, 다수의 호스트 PC를 가지는 클라이언트들에 대해서도 적은 수의 상기 클라이언트 장치(200)로 본 발명을 실시가능하므로 비용을 감소시키고 관리의 효율성을 높일 수 있다.
도 2는 도 1에 도시된 클라우드 기반 악성코드 탐지 시스템(1)의 구성의 일 예를 나타낸 블록도이다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 시스템(1)은 클라우드 장치(100)와 클라이언트 장치(200)로 구성된다. 그리고, 클라우드 장치(100)는 클라이언트 서비스 관리모듈(110), 악성코드 탐지모듈(120), 악성코드 패턴정보 관리모듈(130), 클라우드 데이터베이스(140) 및 클라우드 통신모듈(150) 등을 포함하고, 클라이언트 장치(200)는 악성코드 필수 탐지모듈(210), 필수 데이터베이스(220), 패킷 처리모듈(230), 파일 재구성모듈(240) 및 클라이언트 통신모듈(250) 등을 포함한다.
상세히, 클라이언트 장치(200)는 검사가 필요한 파일들에 대해서 필수적인 제 1차 악성코드 탐지 서비스를 실시하며, 정밀 검사가 필요한 경우에는 클라우드 장치(100)에 정밀 검사를 요청할 수 있다.
그리고, 클라우드 장치(100)는 클라우드 서비스에 기반한 악성코드 탐지 서비스를 제공하며, 클라이언트 장치(200)로부터 정밀 검사 요청을 받아 제 2차 악성코드 탐지 서비스를 실시할 수 있다.
클라이언트 서비스 관리모듈(110)은 클라이언트 장치(200)의 요청에 따른 악성코드 탐지 서비스와 관련된 클라우드 서비스를 관리한다.
이 때, 클라이언트 서비스 관리 모듈(110)은 클라이언트 장치(200)의 요청에 따른 악성코드 탐지 서비스의 생성, 종료 또는 갱신과 같이 클라우드 서비스를 관리할 수 있다. 또한, 악성코드 탐지 서비스의 생성시 악성코드 탐지모듈(120)에 악성코드 탐지모듈 자원(도 3의 120_1, 120_2 및 120_n 참조)을 할당할 수 있다.
악성코드 탐지모듈(120)은 클라우드 데이터베이스(140)에 저장된 악성코드 패턴정보들을 이용하여 검사 대상 파일에 대해 제 2차 악성코드 탐지 서비스를 실시한다.
이 때, 악성코드 탐지모듈(120)은 시그니처 기반 탐지, 평판 기반 탐지, 행위 룰(Rule) 기반 탐지 및 동적분석 탐지를 포함한 악성코드 탐지 방법들을 사용할 수 있다. 나아가, 사용자의 요청에 따라 상기 악성코드 탐지 방법들을 선택적으로 사용할 수도 있다.
또한, 악성코드 탐지모듈(120)은 악성코드 탐지모듈 자원(도 3의 120_1, 120_2 또는 120_n 참조)들이 할당된 경우에는, 상기 할당된 악성코드 탐지모듈 자원(도 3의 120_1, 120_2 및 120_n 참조)들을 이용하여 악성코드를 탐지할 수 있다. 따라서, 각각의 악성코드 탐지모듈 자원(도 3의 120_1, 120_2 및 120_n 참조)들은 서로 다른 구성의 악성코드 탐지 방법들을 사용할 수 있다.
악성코드 패턴정보 관리모듈(130)은 악성코드 탐지모듈(120)의 악성코드 탐지 엔진을 갱신한다.
또한, 악성코드 패턴정보 관리모듈(130)은 악성코드 탐지모듈(120)에서 신종 또는 변종의 악성코드들을 발견한 경우, 상기 신종 또는 변종의 악성코드들 각각에 상응하는 악성코드 패턴정보들을 클라우드 데이터베이스(140)에 저장할 수 있다.
또한, 악성코드 패턴정보 관리모듈(130)은 상기 악성코드 탐지 서비스들의 누적된 결과들을 통해 고빈도군 또는 고위험군 악성코드들에 상응하는 악성코드 패턴정보들을 선별할 수도 있다. 나아가, 선별된 고빈도군 또는 고위험군 악성코드 패턴정보들을 필수 데이터베이스(220)와 클라우드 데이터베이스(140)에 반영할 수 있다.
클라우드 데이터베이스(140)는 악성코드에 상응하는 시그니처, 평판, 행위 룰 및 동적 행위 모델 등을 포함한 악성코드 패턴정보들을 저장한다. 클라우드 데이터베이스(140)에 저장된 악성코드 패턴정보들은 악성코드 탐지모듈(120)에서 악성코드를 탐지할 때 사용한다.
이 때, 클라우드 데이터베이스(140)는 악성코드 패턴정보 관리모듈(130)을 통해 신종 또는 변종의 악성코드들 각각에 상응하는 악성코드 패턴정보들을 저장할 수 있다. 또한, 클라우드 데이터베이스(140)는 악성코드 패턴정보 관리모듈(130)을 통해 고빈도군 또는 고위험군 악성코드 패턴정보들을 저장할 수 있다.
클라우드 통신모듈(150)은 클라우드 장치(100)가 각종 네트워크를 통해 클라이언트 장치(200)와 각종의 데이터들을 송수신하는데 필요한 통신 인터페이스를 제공한다.
여기서, 클라우드 통신모듈(150)은 다른 네트워크 장치와 유무선 연결을 통해 제어 신호 또는 데이터 신호와 같은 신호를 송수신하기 위해 필요한 하드웨어 및 소프트웨어를 포함하는 장치일 수 있다.
클라이언트 장치(200)는 검사가 필요한 파일들에 대해서 필수적인 제 1차 악성코드 탐지 서비스를 실시하며, 정밀 검사가 필요한 경우에는 클라우드 장치(100)에 정밀 검사를 요청할 수 있다.
특히, 클라이언트 장치(200)는 클라이언트의 게이트웨이와 같은 네트워크 장치에 위치할 수 있다. 이와 같이, 클라이언트 장치(200)가 클라이언트의 네트워크 장치에 위치하게 되면, 클라이언트의 모든 호스트 PC에 설치되지 않아도 되므로 본 발명을 실시하는 비용을 감소시키고 관리의 효율성을 높일 수 있다.
악성코드 필수 탐지모듈(210)은 필수 데이터베이스(220)에 저장된 기선별된 악성코드 패턴정보들에 대한 블랙리스트와 기선별된 정상파일 패턴정보들에 대한 화이트리스트를 이용하여 이용하여 검사 대상 파일에서 대해 필수적인 제 1차 악성코드 탐지 서비스를 실시한다.
필수 데이터베이스(220)는 필수적으로 탐지해야하는 기선별된 악성코드 패턴정보들에 대한 블랙리스트와 기선별된 정상파일 패턴정보들에 대한 화이트리스트를 저장한다. 필수 데이터베이스(220)에 저장된 블랙리스트와 화이트리스트를 이용하여 악성코드 필수 탐지모듈(210)에서 필수적인 제 1차 악성코드 탐지 서비스를 실시한다.
이 때, 필수 데이터베이스(220)에 저장된 상기 기선별된 악성코드 패턴정보들에 대한 블랙리스트는, 고빈도군 또는 고위험군의 악성코드 패턴정보들에 대한 블랙리스트를 포함할 수 있다. 또한, 악성코드 패턴정보 관리모듈(130)에서 상기 고빈도군 또는 고위험군의 악성코드 패턴정보들을 선별하여 필수 데이터베이스(220)에 반영할 수 있다.
패킷 처리모듈(230)은 클라이언트 장치(200)가 사용자 기업 A(도 1의 2A 참조)의 네트워크 장치에 위치한 경우에 있어서, 상기 네트워크 장치를 거치는 패킷들을 읽어온다.
파일 재구성모듈(240)은 클라이언트 장치(200)가 사용자 기업 A(도 1의 2A 참조)의 네트워크 장치에 설치된 경우에 있어서, 패킷 처리모듈(230)로부터 읽어온 패킷들로부터 검사를 실시할 파일들로 변환한다.
클라이언트 통신모듈(250)은 클라이언트 장치(200)가 각종 네트워크를 통하여 클라우드 장치(100)와 각종의 데이터들을 송수신하는데 필요한 통신 인터페이스를 제공한다.
여기서, 클라이언트 통신모듈(250)은 다른 네트워크 장치와 유무선 연결을 통해 제어 신호 또는 데이터 신호와 같은 신호를 송수신하기 위해 필요한 하드웨어 및 소프트웨어를 포함하는 장치일 수 있다.
도 3은 도 2에 도시된 클라우드 기반 악성코드 탐지 시스템(도 1의 1 참조)의 일부 구성요소들의 관계에 대한 일 예를 나타낸 블록도이다.
도 3을 참조한 본 발명의 일 실시예에 따르면, 클라우드 장치(100)가 클라이언트 장치(200_1, 200_2 또는 200_n)로부터 정밀 검사 요청을 받은 경우, 클라이언트 서비스 관리모듈(110)이 악성코드 탐지모듈(120)에 악성코드 탐지모듈 자원(120_1, 120_2 또는 120_n)을 할당한다. 따라서 하나의 클라이언트 장치(200_1, 200_2 또는 200_n)에는 하나의 악성코드 탐지모듈 자원(120_1, 120_2 또는 120_n)이 대응되어 제 2차 악성코드 탐지 서비스를 실시한다.
악성코드 탐지모듈(120)은 제 2차 악성코드 탐지 서비스를 실시함에 있어서, 클라우드 데이터베이스(140)로부터 악성코드 패턴정보들을 불러와 악성코드들을 탐지한다.
이 때, 악성코드 탐지모듈(120)에서 신종 또는 변종의 악성코드 발견한 경우에는 악성코드 패턴정보 관리모듈(130)에서 상기 신종 또는 변종의 악성코드에 상응하는 악성코드 패턴정보를 생성하여 클라우드 데이터베이스(140)에 저장할 수 있다. 또한, 악성코드 패턴정보 관리모듈(130)은 새로운 악성코드 탐지 방법이 있으면, 악성코드 탐지모듈(120)에 탑재된 악성코드 탐지 엔진을 갱신할 수 있다.
도 4는 도 3에 도시된 악성코드 탐지모듈(120)의 내부구성의 일 예를 나타낸 블록도이다.
도 3과 도 4를 참조하면, 본 발명의 일 실시예에 따른 악성코드 탐지모듈(120)은 클라이언트 장치(200_1, 200_2 또는 200_n)로부터 정밀 검사 요청을 받을 때마다, 클라이언트 서비스 관리모듈(110)에 의해 악성코드 탐지모듈 자원(120_1, 120_2 또는 120_n)이 할당된다. 따라서 하나의 클라이언트 장치(200_1, 200_2 또는 200_n)에는 하나의 악성코드 탐지모듈 자원(120_1, 120_2 또는 120_n)이 대응되어 제 2차 악성코드 탐지 서비스를 실시한다.
또한, 악성코드 탐지모듈(120)은 제 2차 악성코드 탐지 서비스를 실시함에 있어서, 시그니처 기반 탐지, 평판 기반 탐지, 행위 룰 기반 탐지 및 동적분석 탐지를 포함한 악성코드 탐지 방법들을 사용할 수 있다.
이 때, 각각의 악성코드 탐지모듈 자원들(120_1, 120_2 또는 120_n)은 클라이언트의 요청에 따라 상기 악성코드 탐지 방법들을 선택적으로 사용할 수 있다. 따라서, 악성코드 탐지모듈 자원들(120_1, 120_2 및 120_n)마다 서로 다른 악성코드 탐지 방법을 사용할 수 있다.
도 5는 본 발명의 일 실시예에 따른 클라우드 기반으로 악성코드를 탐지하는 방법을 나타낸 동작 흐름도이다.
도 5를 참조하면, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 클라이언트 장치(도 1의 200 참조)가 필수 데이터베이스(도 2의 220 참조)에 기반한 필수적인 제 1차 악성코드 탐지 서비스를 실시한다(S501).
또한, 악성코드 필수 탐지 실시(S501) 결과 악성코드가 발견되었는지 여부를 판단한다(S502).
또한, 단계(S502)의 판단 결과 악성코드가 발견된 경우, 악성코드가 발견되었음에도 불구하고 추가적인 정밀 검사가 필요한지 여부를 판단하게 된다(S503).
또한, 단계(S502)의 판단 결과 악성코드가 발견되지 않은 경우; 또는 단계(S503)의 판단 결과 악성코드가 발견되었음에도 정밀 검사가 필요한 경우; 에는 클라우드 서비스를 이용한 제 2차 악성코드 탐지 서비스를 요청한다(S504).
또한, 악성코드 탐지모듈(도 2의 120 참조)이 악성코드 탐지를 위한 악성코드 탐지모듈 자원을 할당한다(S505).
또한, 악성코드 탐지모듈(도 2의 120 참조)이 할당된 악성코드 탐지모듈 자원을 이용해서 클라우드 데이터베이스(도 2의 140 참조)에 기반한 제 2차 악성코드 탐지 서비스를 실시한다(S506).
또한, 제 2차 악성코드 탐지 서비스 결과를 통해 악성코드가 발견되었는지 여부를 판단한다(S507).
또한, 단계(S507)의 판단 결과 악성코드가 발견되지 않은 경우에는, 별도의 조치를 취하지 않고 절차를 마무리한다.
또한, 단계(S507)의 판단 결과 악성코드가 발견된 경우에는, 발견된 악성코드가 신종 또는 변종의 악성코드인지 여부를 판단한다(S508).
또한, 단계(S508)의 판단 결과 신종 또는 변종의 악성코드가 발견된 경우에는, 상기 신종 또는 변종의 악성코드에 상응하는 정보들을 클라우드 데이터베이스(도 2의 140 참조)에 반영하고, 새로운 탐지 방법이 있으면 악성코드 탐지 엔진을 갱신한다(S509).
또한, 단계(S503)의 판단 결과 제 1차 악성코드 탐지 서비스로 발견된 악성코드가 정밀 검사를 요하지 않은 경우; 및 단계(S508)의 판단 결과 제 2차 악성코드 탐지 서비스로 발견된 악성코드가 신종 또는 변종의 악성코드가 아닌 경우; 에는 발견된 악성코드를 처리한다(S510). 이 때, 악성코드를 처리하는 것은 상응하는 파일을 삭제, 격리 또는 차단 등의 방법을 포함한 악성코드로부터 위협을 방지하는 일련의 절차를 포함한다.
본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은, 클라이언트의 검사 대상 파일들에 대한 제 1차 악성코드 탐지 서비스를 실시하고, 필요시 네트워크를 이용해 정밀 검사를 요청하는 클라이언트 서비스단계; 및 정밀 검사 요청에 따라 클라우드 서비스를 이용하여 검사 대상 파일들에 대한 제 2차 악성코드 탐지 서비스를 실시하는 클라우드 서비스단계; 를 포함한다.
또한, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 클라이언트 서비스단계에서 기선별된 악성코드 패턴정보들에 대한 블랙리스트와 기선별된 정상파일 패턴정보들에 대한 화이트리스트가 저장된 필수 데이터베이스에서 데이터들을 읽어오고, 상기 읽어온 데이터들을 이용하여 제 1차 악성코드 탐지 서비스를 실시하며, 정밀 검사가 필요한 경우 검사 대상 파일들과 함께 클라우드 서비스단계에 정밀 검사를 요청할 수 있다.
또한, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 클라이언트 서비스단계를 클라이언트의 네트워크 장치에서 실시할 수 있다. 이 때, 네트워크 장치로부터 패킷들을 읽어오고, 읽어온 패킷들을 검사를 실시할 파일들로 변환할 수 있다. 상기 네트워크 장치에는 게이트웨이와 같은 장치가 포함된다. 이와 같이, 클라이언트 서비스단계가 클라이언트의 네트워크 장치에서 실시되는 경우, 클라이언트의 모든 호스트 PC에서 실시되지 않아도 되므로 본 발명을 실시하는 비용을 감소시키고 관리의 효율성을 높일 수 있다.
또한, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 클라우드 서비스단계에서 클라이언트 서비스단계로부터 검사 대상 파일들과 정밀 검사 요청을 수신하며, 요청에 따라 제 2차 악성코드 탐지 서비스와 관련된 클라우드 서비스를 관리할 수 있고, 클라우드 데이터베이스로부터 악성코드 패턴정보들을 읽어와 제 2차 악성코드 탐지 서비스를 실시하며 악성코드 탐지 서비스 결과와 악성코드에 대한 처리 명령을 송신할 수 있다. 나아가, 악성코드 탐지단계에서 사용하는 악성코드 탐지 엔진을 갱신할 수 있다.
또한, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 클라이언트 서비스 관리단계에서 클라이언트 서비스단계의 요청에 따라 제 2차 악성코드 탐지 서비스를 생성, 종료 및 갱신할 수 있다.
또한, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 클라이언트 서비스 관리단계에서 악성코드 탐지 서비스를 생성할 때, 악성코드 탐지모듈(도 2의 120 참조)에 악성코드 탐지모듈 자원을 할당할 수 있고, 악성코드를 탐지할 때 상기 할당된 악성코드 탐지모듈 자원을 이용할 수 있다.
또한, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 악성코드를 탐지할 때 시그니처 기반탐지, 평판 기반 탐지, 행위 룰 기반 탐지 및 동적분석 탐지를 포함한 탐지 방법들을 사용할 수 있다. 나아가, 클라이언트의 요청에 따라 상기 악성코드 탐지 방법들을 선택적으로 사용할 수 있다. 따라서, 악성코드 탐지모듈 자원을 이용하는 경우, 각각의 악성코드 탐지모듈 자원들에 따라 서로 사용하는 악성코드 탐지 방법이 다를 수 있다.
또한, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 제 2차 악성코드 탐지 서비스 실시 결과, 신종 또는 변종의 악성코드들을 발견한 경우에 각각에 상응하는 악성코드 패턴정보들을 클라우드 데이터베이스에 저장할 수 있다.
또한, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 필수 데이터베이스에 기선별된 고빈도군 또는 고위험군의 악성코드 패턴정보들에 대한 블랙리스트를 포함할 수 있다.
도 6는 본 발명의 일 실시예에 따른 클라우드 기반으로 악성코드를 탐지하는 방법에서 필수 데이터베이스(도 2의 220 참조)와 클라우드 데이터베이스(도 2의 140 참조)를 갱신하는 방법 중 하나를 나타낸 동작 흐름도이다.
도 6를 참조하면, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 누적된 악성코드 탐지 서비스 결과들을 분석한다(S601).
또한, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 단계(S601)에서 분석한 결과들로부터 신규 고빈도군 또는 고위험군 악성코드들을 선별한다(S602).
이 때, 신규 고빈도군 또는 고위험군 악성코드들은 여러 악성코드 탐지 서비스 결과, 기설정된 기준을 충족하여 높은 빈도로 발견되는 악성코드들; 또는 악성코드에 의한 피해가 심각하여 기설정된 기준을 충족하여 높은 위험도를 가진다고 판단되는 악성코드들; 을 포함할 수 있다.
또한, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 단계(S602)를 통해 신규 고빈도군 또는 고위험군 악성코드들이 선별되어 존재하는지 여부를 판단한다(S603).
또한, 본 발명의 일 실시예에 따른 클라우드 기반 악성코드 탐지 방법은 단계(S603)의 결과 신규 고빈도군 또는 고위험군 악성코드들이 존재한다고 판단될 경우, 해당 신규 고빈도군 또는 고위험군 악성코드들에 상응하는 악성코드 패턴정보들을 클라우드 데이터베이스(도 2의 140 참조)와 필수 데이터베이스(도 2의 220 참조)에 반영할 수 있다. 이 때, 필수 데이터베이스(도 2의 220 참조)에 상기의 패턴정보들에 따라 블랙리스트와 화이트리스트를 갱신할 수 있다.
한편, 상술한 클라우드 기반 악성코드 탐지 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터로 판독 가능한 기록 매체에 기록될 수 있다. 이 때, 컴퓨터로 판독 가능한 기록매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 한편, 기록매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터로 판독 가능한 기록매체에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM, DVD와 같은 광기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광매체(Magneto-Optical Media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 한편, 이러한 기록매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다.
이상에서와 같이 본 발명에 따른 클라우드 기반 악성코드 탐지 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
1: 클라우드 기반 악성코드 탐지 시스템
2A: 기업 A
100: 클라우드 장치
110: 클라이언트 서비스 관리모듈 120: 악성코드 탐지모듈
130: 악성코드 패턴정보 관리모듈 140: 클라우드 데이터베이스
150: 클라우드 통신모듈
200: 클라이언트 장치
210: 악성코드 필수 탐지모듈 220: 필수 데이터베이스
230: 패킷 처리모듈 240: 파일 재구성모듈
250: 클라이언트 통신모듈

Claims (20)

  1. 기선별된 악성코드 패턴정보들에 대한 블랙리스트와 기선별된 정상파일 패턴정보들에 대한 화이트리스트가 저장된 필수 데이터베이스;
    상기 필수 데이터베이스를 이용하여 제 1차 악성코드 탐지 서비스를 실시하는 악성코드 필수 탐지모듈; 및
    클라우드 장치와 각종의 데이터들을 송수신하는 클라이언트 통신모듈; 을 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라이언트 장치.
  2. 청구항 1에 있어서,
    상기 클라이언트 장치는
    사용자의 네트워크 장치에 위치하고,
    상기 네트워크 장치로부터 패킷들을 읽어오는 패킷 처리모듈; 및
    상기 패킷 처리모듈로부터 읽어온 패킷들을 검사를 실시할 파일들로 변환하는 파일 재구성모듈; 을 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라이언트 장치.
  3. 청구항 2에 있어서,
    상기 클라이언트 통신모듈은
    상기 제 1차 악성코드 탐지 결과를 통해 정밀 검사가 필요한 경우에 검사 대상 데이터들을 상기 클라우드 장치에 송신하고;
    상기 클라우드 장치에서 데이터베이스에 저장된 악성코드 패턴정보들을 이용하여 실시한 제 2차 악성코드 탐지 서비스의 결과를 수신하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라이언트 장치.
  4. 청구항 3에 있어서,
    상기 클라이언트 통신모듈은
    상기 클라우드 장치에서 할당된 악성코드 탐지 자원을 이용하고 여러 악성코드 탐지 방법들을 선택적으로 사용하여 실시한 상기 제 2차 악성코드 탐지 서비스의 결과를 수신하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라이언트 장치.
  5. 청구항 4에 있어서,
    상기 클라이언트 통신모듈은
    상기 클라우드 장치에서 누적된 제 2차 악성코드 탐지 서비스들의 결과들을 통해 선별한 고빈도군 또는 고위험군 악성코드 패턴정보들을 수신하고,
    상기 필수 데이터베이스는
    상기 수신한 선별된 고빈도군 또는 고위험군 악성코드 패턴정보들을 반영하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라우드 장치.
  6. 악성코드에 패턴정보들을 저장하는 클라우드 데이터베이스;
    상기 클라우드 데이터베이스를 이용하여 제 2차 악성코드 탐지 서비스를 실시하는 악성코드 탐지모듈;
    클라이언트 장치와 각종의 데이터들을 송수신하는 클라우드 통신모듈;
    상기 제 2차 악성코드 탐지 서비스의 생성, 종료 또는 갱신과 같은 클라우드 서비스를 관리하는 클라이언트 서비스 관리모듈; 및
    상기 악성코드 탐지모듈의 악성코드 탐지 엔진을 갱신하는 악성코드 패턴정보 관리모듈; 을 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라우드 장치.
  7. 청구항 6에 있어서,
    상기 클라우드 통신모듈은
    상기 클라이언트 장치에서 실시한 제 1차 악성코드 탐지 서비스의 결과를 통해 정밀 검사가 요구되는 경우 검사 대상 데이터들을 수신하고,
    상기 클라우드 장치는
    상기 검사 대상 데이터들을 수신하여 악성코드 탐지 서비스를 실시하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라우드 장치.
  8. 청구항 7에 있어서,
    상기 악성코드 패턴정보 관리모듈은
    신종 또는 변종의 악성코드들의 발견시, 상기 신종 또는 변종의 악성코드들 각각에 상응하는 상기 악성코드 패턴정보들을 상기 클라우드 데이터베이스에 저장하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라우드 장치.
  9. 청구항 8에 있어서,
    상기 클라이언트 서비스 관리모듈은
    상기 제 2차 악성코드 탐지 서비스의 생성시 상기 악성코드 탐지모듈에 악성코드 탐지모듈 자원을 할당하고,
    상기 악성코드 탐지모듈은
    상기 할당된 악성코드 탐지모듈 자원을 이용해 상기 제 2차 악성코드 탐지 서비스를 실시하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라우드 장치.
  10. 청구항 9에 있어서,
    상기 악성코드 탐지모듈은
    시그니처 기반 탐지, 평판 기반 탐지, 행위 룰 기반 탐지 및 동적분석 탐지를 포함한 악성코드 탐지 방법들을 사용하고,
    상기 악성코드 탐지모듈 자원은
    상기 악성코드 탐지 방법들을 선택적으로 사용하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라우드 장치.
  11. 청구항 10에 있어서,
    상기 악성코드 패턴정보 관리모듈은
    상기 제 2차 악성코드 탐지 서비스들의 누적된 결과들을 통해 고빈도군 또는 고위험군 악성코드 패턴정보들을 선별하여 상기 클라우드 데이터베이스에 반영하고,
    상기 클라우드 통신모듈은
    상기 선별된 고빈도군 또는 고위험군 악성코드 패턴정보들을 상기 클라이언트 장치로 송신하여 상기 제 1차 악성코드 탐지 서비스에 반영하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 클라우드 장치.
  12. 검사 대상 파일들에 대한 제 1차 악성코드 탐지 서비스를 실시하고, 정밀 검사가 요구되는 경우 상기 정밀 검사를 요청하는 클라이언트 서비스단계; 및
    상기 정밀 검사 요청에 따라 클라우드 서비스를 이용하여 상기 검사 대상 파일들에 대한 제 2차 악성코드 탐지 서비스를 실시하는 클라우드 서비스단계; 를 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 방법.
  13. 청구항 12에 있어서,
    상기 클라우드 서비스단계는
    상기 클라이언트 서비스단계로부터 검사 대상 파일들을 수신하는 단계;
    상기 제 2차 악성코드 탐지 서비스와 관련된 클라우드 서비스를 생성, 종료 또는 갱신하는 클라이언트 서비스 관리단계;
    악성코드 패턴정보들이 저장된 클라우드 데이터베이스에서 데이터들을 읽어오는 단계;
    상기 읽어온 데이터들을 이용하여 상기 제 2차 악성코드 탐지 서비스를 실시하는 악성코드 탐지단계;
    상기 악성코드 탐지단계에서 사용하는 악성코드 탐지 엔진을 갱신하는 악성코드 패턴정보 관리단계; 및
    상기 클라이언트 서비스단계로 상기 제 2차 악성코드 탐지 서비스 결과를 송신하는 단계; 를 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 방법.
  14. 청구항 13에 있어서,
    상기 클라이언트 서비스단계는
    기선별된 상기 악성코드 패턴정보들에 대한 블랙리스트와 기선별된 정상파일 패턴정보들에 대한 화이트리스트가 저장된 필수 데이터베이스에서 데이터들을 읽어오는 단계;
    상기 읽어온 데이터들을 이용하여 상기 제 1차 악성코드 탐지 서비스를 실시하는 악성코드 필수 탐지단계;
    상기 클라우드 서비스단계에 검사 대상 파일들을 송신하는 단계; 및
    상기 클라우드 서비스단계로부터 상기 제 2차 악성코드 탐지 서비스 결과를 수신하는 단계; 를 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 방법.
  15. 청구항 14에 있어서,
    상기 클라이언트 서비스단계는
    상기 클라이언트의 네트워크 장치에서 실시하고,
    상기 네트워크 장치로부터 패킷들을 읽어오는 패킷 처리단계; 및
    상기 패킷 처리단계로 읽어온 패킷들을 검사를 실시할 파일들로 변환하는 파일 재구성단계; 를 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 방법.
  16. 청구항 15에 있어서,
    상기 악성코드 패턴정보 관리단계는
    신종 또는 변종의 악성코드들의 발견시, 상기 신종 또는 변종의 악성코드들 각각에 상응하는 상기 악성코드 패턴정보들을 상기 클라우드 데이터베이스에 저장하는 단계를 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 방법.
  17. 청구항 16에 있어서,
    상기 클라이언트 서비스 관리단계는
    상기 제 2차 악성코드 탐지 서비스의 생성시 상기 악성코드 탐지모듈에 악성코드 탐지모듈 자원을 할당하고,
    상기 악성코드 탐지단계는
    상기 할당된 악성코드 탐지모듈 자원을 이용해 상기 제 2차 악성코드 탐지 서비스를 실시하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 방법.
  18. 청구항 17에 있어서,
    상기 악성코드 탐지단계는
    시그니처 기반 탐지, 평판 기반 탐지, 행위 룰 기반 탐지 및 동적분석 탐지를 포함한 악성코드 탐지 방법들을 사용하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 방법.
  19. 청구항 18에 있어서,
    상기 악성코드 탐지모듈 자원은
    상기 악성코드 탐지 방법들을 선택적으로 사용하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 방법.
  20. 청구항 19에 있어서,
    상기 악성코드 패턴정보 관리단계는
    상기 제 2차 악성코드 탐지 서비스들의 누적된 결과들을 통해 고빈도군 또는 고위험군 악성코드 패턴정보들을 선별하는 단계; 및
    상기 선별된 고빈도군 또는 고위험군 악성코드 패턴정보들을 상기 필수 데이터베이스와 상기 클라우드 데이터베이스에 반영하는 단계; 를 포함하는 것을 특징으로 하는, 클라우드 기반으로 악성코드를 탐지하는 방법.
KR1020170001184A 2017-01-04 2017-01-04 클라우드 기반으로 악성코드를 탐지하는 장치 및 이를 이용한 방법 KR20180080450A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170001184A KR20180080450A (ko) 2017-01-04 2017-01-04 클라우드 기반으로 악성코드를 탐지하는 장치 및 이를 이용한 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170001184A KR20180080450A (ko) 2017-01-04 2017-01-04 클라우드 기반으로 악성코드를 탐지하는 장치 및 이를 이용한 방법

Publications (1)

Publication Number Publication Date
KR20180080450A true KR20180080450A (ko) 2018-07-12

Family

ID=62919933

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170001184A KR20180080450A (ko) 2017-01-04 2017-01-04 클라우드 기반으로 악성코드를 탐지하는 장치 및 이를 이용한 방법

Country Status (1)

Country Link
KR (1) KR20180080450A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111865910A (zh) * 2020-06-09 2020-10-30 北京邮电大学 一种针对应用恶意代码检测与定位的方法
KR102189361B1 (ko) * 2019-12-02 2020-12-09 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
KR20220099749A (ko) * 2021-01-07 2022-07-14 국민대학교산학협력단 하이브리드 인공지능 기반의 악성코드 탐지 장치 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102189361B1 (ko) * 2019-12-02 2020-12-09 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
WO2021112494A1 (ko) * 2019-12-02 2021-06-10 주식회사 파고네트웍스 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
CN111865910A (zh) * 2020-06-09 2020-10-30 北京邮电大学 一种针对应用恶意代码检测与定位的方法
KR20220099749A (ko) * 2021-01-07 2022-07-14 국민대학교산학협력단 하이브리드 인공지능 기반의 악성코드 탐지 장치 및 방법

Similar Documents

Publication Publication Date Title
CN105721461B (zh) 利用专用计算机安全服务的系统和方法
US8966633B2 (en) Method and device for multiple engine virus killing
US10075453B2 (en) Detecting suspicious files resident on a network
US11936661B2 (en) Detecting malicious beaconing communities using lockstep detection and co-occurrence graph
US20180302430A1 (en) SYSTEM AND METHOD FOR DETECTING CREATION OF MALICIOUS new USER ACCOUNTS BY AN ATTACKER
KR20110063637A (ko) 데이터 센터들에 걸친 리소스 위치 확인 및 마이그레이션 기법
JP6101407B2 (ja) 同期及び遠隔データアクセスのためのモバイルデバイス接続制御
CN103152391B (zh) 一种日志输出方法和装置
US9519789B2 (en) Identifying security vulnerabilities related to inter-process communications
KR20180080450A (ko) 클라우드 기반으로 악성코드를 탐지하는 장치 및 이를 이용한 방법
KR20160056944A (ko) 캐싱된 플로우들에 기초한 가속
CN113301155B (zh) 数据路由方法、装置、设备和存储介质
US20160063379A1 (en) Anonymous Crowd Sourced Software Tuning
CN117131516B (zh) 一种运维方法和装置
CN109298937A (zh) 文件解析方法及网络设备
RU2491611C2 (ru) Система и способ адаптивной приоритизации объектов антивирусной проверки
JPWO2014057542A1 (ja) セキュリティシステム、および、セキュリティ監視方法
US10893090B2 (en) Monitoring a process on an IoT device
JP7099533B2 (ja) 影響範囲推定装置、影響範囲推定方法、及びプログラム
GB2505749A (en) Coexistence management system for measuring channel information between spectrum sharing devices and method thereof
CN104243604A (zh) 一种文件禁用的方法及装置
US11082484B2 (en) Load balancing system
CN113824748A (zh) 一种资产特征主动探测对抗方法、装置、电子设备及介质
KR20180074221A (ko) Rapi 기반 프로파일링 정보를 공유하기 위한 시스템 및 그 방법
KR20170059636A (ko) 악성 코드 업로드 보상 방법