WO2020189822A1 - Diagnosis apparatus, diagnosis method, and diagnosis system for malicious code in cloud environment - Google Patents
Diagnosis apparatus, diagnosis method, and diagnosis system for malicious code in cloud environment Download PDFInfo
- Publication number
- WO2020189822A1 WO2020189822A1 PCT/KR2019/003218 KR2019003218W WO2020189822A1 WO 2020189822 A1 WO2020189822 A1 WO 2020189822A1 KR 2019003218 W KR2019003218 W KR 2019003218W WO 2020189822 A1 WO2020189822 A1 WO 2020189822A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- file
- malicious code
- diagnosis
- normal
- information
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Abstract
Description
Claims (13)
- 사용자 컴퓨터에 설치되어서, 사용자 컴퓨터가 클라우드 서버에 악성코드 감염 여부 진단을 의뢰하기 전에, 진단대상 파일이 악성코드의 감염이 의심되지 않는 정상파일인가 여부를 검사하는 악성코드 진단장치로,This is a malicious code diagnosis device that is installed on the user's computer and checks whether the file to be diagnosed is a normal file that is not suspicious of malicious code infection before the user computer requests the cloud server to diagnose malicious code infection.진단대상 파일에서 추출한 파일 키 정보와 파일정보로부터 당해 진단대상 파일이 상기 정상파일인가 여부를 검사하는 진단 캐시와,A diagnostic cache for checking whether the diagnostic target file is the normal file from the file key information and the file information extracted from the diagnostic target file;상기 진단대상 파일 중 상기 진단 캐시가 정상파일이 아닌 것으로 판정한 파일에서 추출한 파일 경로, 파일 크기 및 파일 해시 값으로부터 그 파일이 상기 정상파일인가 여부를 검사하는 전처리 화이트필터와,A pre-processing white filter for checking whether the file is the normal file from the file path, file size, and file hash value extracted from the file that the diagnosis cache is determined to be not a normal file among the files to be diagnosed;상기 진단대상 파일 중 상기 전처리 화이트필터가 정상파일이 아닌 것으로 판정한 파일에서 추출한 일부 CRC32 값, 파일 크기정보 및 파일 해시 값으로부터 그 파일이 상기 정상파일인가 여부를 검사하는 전처리 블룸필터를 포함하는 악성코드 진단장치.Malware including a pre-processed bloom filter that checks whether the file is the normal file from some CRC32 values, file size information, and file hash values extracted from files that are determined to be non-normal files among the diagnosis target files Code diagnosis device.
- 청구항 1에 있어서,The method according to claim 1,상기 악성코드 진단장치는 이전에 악성코드 감염 여부 진단이 이루어진 파일의 파일정보와 함께 악성코드에 감염되지 않은 파일의 파일 키 정보를 캐시 데이터베이스에 보유하고 있고,The malicious code diagnosis device holds in a cache database file key information of a file that has not been infected with malicious code along with file information of a file for which a malicious code infection has been diagnosed previously,상기 진단 캐시는,The diagnostic cache,상기 진단대상 파일에서 추출한 파일 키 정보가 상기 캐시 데이터베이스에 있으면 그 진단대상 파일의 파일정보의 변조 여부를 검사하며,If the file key information extracted from the file to be diagnosed is in the cache database, it is checked whether the file information of the file to be diagnosed is altered,검사 결과 파일정보가 변조되지 않았으면 그 파일을 정상파일로 판정하는 악성코드 진단장치.Malware diagnosis device that determines the file as a normal file if the file information is not altered as a result of the scan.
- 청구항 1에 있어서,The method according to claim 1,상기 악성코드 진단장치는 이전에 이루어진 악성코드 감염 여부 진단결과 악성코드에 감염되지 않은 것으로 진단된 파일의 파일 경로와 파일 크기 및 파일의 전체 해시 값에 관한 정보를 화이트패턴 데이터베이스에 보유하고 있고,The malicious code diagnosis device retains information on the file path, file size, and total hash value of a file diagnosed as not infected by malicious code as a result of a previously performed malicious code infection diagnosis in a white pattern database,상기 전처리 화이트필터는 상기 진단대상 파일 중 상기 진단 캐시가 정상파일이 아닌 것으로 판정한 파일에서 추출한 파일 경로와 파일 크기 및 전체 해시 값에 대응하는 파일이 상기 화이트패턴 데이터베이스에 있으면 그 파일을 정상파일로 판정하는 악성코드 진단장치.The pre-processing white filter converts the file to a normal file if a file corresponding to a file path, file size, and total hash value extracted from a file that is determined to be a non-normal file among the diagnosis target files is in the white pattern database. Malware diagnosis device to determine.
- 청구항 1에 있어서,The method according to claim 1,상기 악성코드 진단장치는 이전에 이루어진 악성코드 감염 여부 진단결과 악성코드에 감염된 것으로 진단된 파일의 일부 CRC32 값과 파일 크기정보로부터 작성된 비트맵 형태의 CRC 맵과 파일의 전체 해시 값으로부터 작성된 비트맵 형태의 해시 맵으로 이루어지는 악성코드정보를 블룸필터 데이터베이스에 보유하고 있고,The malware diagnosis device is in the form of a bitmap created from a CRC map in the form of a bitmap created from some CRC32 values and file size information of a file diagnosed as infected with a malicious code as a result of a previously performed malware infection diagnosis, and a bitmap form created from the entire hash value of the file. It holds malicious code information consisting of hash maps of the bloom filter database,상기 전처리 블룸필터는,The pretreatment bloom filter,상기 진단대상 파일 중 상기 전처리 화이트필터가 정상파일이 아닌 것으로 판정한 파일에서 추출한 일부 CRC32 값과 파일 크기정보를 이용하여 비트맵화 한 값이 상기 CRC 맵에 없으면 그 파일을 정상 파일로 판정하고,If a bitmapped value using some CRC32 values and file size information extracted from a file that is determined to be a non-normal file among the diagnosis target files is not in the CRC map, the file is determined as a normal file,상기 전처리 화이트필터가 정상파일이 아닌 것으로 판정한 파일에서 추출한 일부 CRC32 값과 파일 크기정보를 이용하여 비트맵화 한 값이 상기 CRC 맵에 있어서 정상 파일이 아닌 것으로 판정된 경우, 당해 정상 파일이 아닌 것으로 판정된 파일의 전체 해시 값을 이용하여 비트맵화 한 값이 상기 해시 맵에 없으면 그 파일을 정상 파일로 판정하는 악성코드 진단장치.When it is determined that the bitmapped value using some CRC32 values and file size information extracted from the file determined by the preprocessing white filter as not being a normal file is not a normal file in the CRC map, the file is not considered a normal file. A malicious code diagnosis device that determines a file as a normal file if the bitmapped value by using the entire hash value of the determined file is not in the hash map.
- 청구항 4에 있어서,The method of claim 4,일부 CRC32 값은 진단대상 파일의 맨 앞쪽의 일부 데이터 및 맨 뒤쪽의 일부 데이터의 합계 데이터로부터 추출한 CRC32 값이고,Some CRC32 values are CRC32 values extracted from the sum data of some data at the top and some data at the end of the file to be diagnosed.상기 CRC 맵은 이전의 진단과정에서 악성코드에 감염된 것으로 진단된 파일로부터 추출한 상기 CRC32 값에 시드 값 0을 적용하여 무어무어 해시 3을 적용하여 작성된 비트맵과 상기 CRC32 값에 시드 값으로 파일 크기정보를 적용하여 무어무어 해시 3 방식으로 작성된 비트맵으로 구성되는 악성코드 진단장치.The CRC map is a bitmap created by applying a seed value of 0 to the CRC32 value extracted from a file diagnosed as infected with a malicious code in the previous diagnosis process and applying a Moore Moore hash 3 and file size information as a seed value to the CRC32 value. Malware diagnosis device consisting of bitmaps created in the Moore Moore hash 3 method by applying.
- 청구항 4에 있어서,The method of claim 4,상기 해시 맵은 이전의 진단과정에서 악성코드에 감염된 것으로 진단된 파일로부터 MD5 방식으로 추출한 4개의 MD5 파일에 각각 시드 값 0을 적용해서 무어무어 해시 3 방식으로 작성된 비트맵인 악성코드 진단장치.The hash map is a malware diagnosis device that is a bitmap created in a Moore Moore hash 3 method by applying a seed value of 0 to each of the four MD5 files extracted in the MD5 method from the file diagnosed as infected with the malicious code in the previous diagnosis process.
- 청구항 1에 있어서,The method according to claim 1,상기 악성코드 진단장치는 상기 전처리 블룸필터가 정상파일이 아닌 것으로 판정한 파일을 상기 클라우드 서버로 전송하여 악성코드 감염 여부 진단을 의뢰하는 악성코드 진단장치.The malicious code diagnosis device transmits a file determined by the preprocessing bloom filter as not a normal file to the cloud server to request diagnosis of malicious code infection.
- 사용자 컴퓨터에 설치되어서, 사용자 컴퓨터가 클라우드 서버에 악성코드 감염 여부 진단을 의뢰하기 전에, 진단대상 파일이 악성코드의 감염이 의심되지 않는 정상파일인가 여부를 검사하는 악성코드 진단장치에 의한 악성코드 진단방법으로,Malware diagnosis by a malicious code diagnosis device that is installed on the user's computer and checks whether the file to be diagnosed is a normal file that is not suspicious of malicious code infection before the user computer requests the cloud server to diagnose malicious code infection. Way,진단대상 파일에서 추출한 파일 키 정보와 파일정보로부터 당해 진단대상 파일이 상기 정상파일인가 여부를 검사하는 단계 a)와,Step a) of checking whether the diagnosis target file is the normal file from the file key information and the file information extracted from the diagnosis target file;상기 단계 a)에서 정상파일이 아닌 것으로 판정한 파일에서 추출한 파일 경로, 파일 크기 및 파일 해시 값으로부터 그 파일이 상기 정상파일인가 여부를 검사하는 단계 b)와,Step b) of checking whether the file is the normal file from the file path, file size, and file hash value extracted from the file determined to be not a normal file in step a); and상기 단계 b)에서 정상파일이 아닌 것으로 판정한 파일에서 추출한 일부 CRC32 값, 파일 크기정보 및 파일 해시 값으로부터 그 파일이 상기 정상파일인가 여부를 검사하는 단계 c)를 포함하는 악성코드 진단방법.And step c) of checking whether the file is the normal file from some CRC32 values, file size information, and file hash values extracted from the file determined as not being a normal file in step b).
- 청구항 8에 있어서,The method of claim 8,상기 사용자 컴퓨터는 이전에 악성코드 감염 여부 진단이 이루어진 파일의 파일정보와 함께 악성코드에 감염되지 않은 파일의 파일 키 정보를 캐시 데이터베이스에 보유하고 있고,The user computer holds the file key information of the file not infected with the malicious code in the cache database along with the file information of the file for which the malware infection has been diagnosed previously,상기 단계 a)에서는,In step a),상기 진단대상 파일에서 추출한 파일 키 정보가 상기 캐시 데이터베이스에 있으면 그 진단대상 파일의 파일정보의 변조 여부를 검사하고,If the file key information extracted from the diagnosis target file is in the cache database, it is checked whether the file information of the diagnosis target file is altered,검사 결과 파일정보가 변조되지 않았으면 그 파일을 정상파일로 판정하는 악성코드 진단방법.Malware diagnosis method that determines the file as a normal file if the file information is not altered as a result of the scan.
- 청구항 8에 있어서,The method of claim 8,상기 사용자 컴퓨터는 이전에 이루어진 악성코드 감염 여부 진단결과 악성코드에 감염되지 않은 것으로 진단된 파일의 파일 경로와 파일 크기 및 파일의 전체 해시 값에 관한 정보를 화이트패턴 데이터베이스에 보유하고 있고,The user computer holds information on the file path, file size, and total hash value of the file diagnosed as not infected by the malicious code as a result of the previously performed malicious code infection diagnosis in the white pattern database,상기 단계 b)에서는 상기 진단대상 파일 중 상기 단계 a)에서 정상파일이 아닌 것으로 판정한 파일에서 추출한 파일 경로와 파일 크기 및 전체 해시 값에 대응하는 파일이 상기 화이트패턴 데이터베이스에 있으면 그 파일을 정상파일로 판정하는 악성코드 진단방법.In step b), if a file corresponding to a file path, file size, and total hash value extracted from a file determined as not a normal file in step a) among the files to be diagnosed is in the white pattern database, the file is saved as a normal file. Malware diagnosis method determined by
- 청구항 8에 있어서,The method of claim 8,상기 사용자 컴퓨터는 이전에 이루어진 악성코드 감염 여부 진단결과 악성코드에 감염된 것으로 진단된 파일의 일부 CRC32 값과 파일 크기정보로부터 작성된 비트맵 형태의 CRC 맵과 파일의 전체 해시 값으로부터 작성된 비트맵 형태의 해시 맵으로 이루어지는 악성코드정보를 블룸필터 데이터베이스에 보유하고 있고,The user computer is a bitmap-type hash created from a bitmap-type CRC map created from some CRC32 values and file size information of a file diagnosed as infected with a malicious code as a result of a previously performed malware infection diagnosis result, and a bitmap-type hash created from the entire hash value of the file. Malicious code information consisting of maps is held in the Bloom Filter database,상기 단계 c)에서는,In step c),상기 진단대상 파일 중 상기 단계 b)에서 정상파일이 아닌 것으로 판정한 파일에서 추출한 일부 CRC32 값과 파일 크기정보를 이용하여 비트맵화 한 값이 상기 CRC 맵에 없으면 그 파일을 정상 파일로 판정하고,If a bitmapped value using some CRC32 values and file size information extracted from the files determined to be non-normal in step b) among the diagnosis target files is not in the CRC map, the file is determined as a normal file,상기 단계 b)에서 정상파일이 아닌 것으로 판정한 파일에서 추출한 일부 CRC32 값과 파일 크기정보를 이용하여 비트맵화 한 값이 상기 CRC 맵에 있어서 정상 파일이 아닌 것으로 판정된 경우, 당해 정상 파일이 아닌 것으로 판정된 파일의 전체 해시 값을 이용하여 비트맵화 한 값이 상기 해시 맵에 없으면 그 파일을 정상 파일로 판정하는 악성코드 진단방법.If it is determined that the bitmapped value using the partial CRC32 value and file size information extracted from the file determined to be not a normal file in step b) is not a normal file in the CRC map, it is determined that the file is not a normal file. A method for diagnosing malicious code in which if a bitmapped value by using the entire hash value of the determined file is not in the hash map, the file is determined as a normal file.
- 청구항 8에 있어서,The method of claim 8,진단대상 파일 중 상기 단계 c)에서 정상파일이 아닌 것으로 판정한 파일을 상기 클라우드 서버로 전송하여 악성코드 감염 여부 진단을 의뢰하는 단계 d)를 더 포함하는 악성코드 진단방법.A method for diagnosing malicious code, further comprising step d) of requesting diagnosis of malicious code infection by transmitting a file determined to be non-normal in step c) among the files to be diagnosed to the cloud server.
- 청구항 1 내지 7 중 어느 한 항의 악성코드 진단장치를 구비하는 사용자 컴퓨터와,A user computer provided with the malicious code diagnostic device of any one of claims 1 to 7,상기 사용자 컴퓨터와 통신망을 통해서 통신 가능하게 접속되며, 상기 사용자 컴퓨터로부터 의뢰된 파일의 악성코드 감염 여부를 진단하는 클라우드 서버를 포함하는 악성코드 진단시스템.A malicious code diagnosis system comprising a cloud server that is connected to the user computer and communicates through a communication network and diagnoses whether a file requested from the user computer is infected with a malicious code.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/KR2019/003218 WO2020189822A1 (en) | 2019-03-20 | 2019-03-20 | Diagnosis apparatus, diagnosis method, and diagnosis system for malicious code in cloud environment |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/KR2019/003218 WO2020189822A1 (en) | 2019-03-20 | 2019-03-20 | Diagnosis apparatus, diagnosis method, and diagnosis system for malicious code in cloud environment |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2020189822A1 true WO2020189822A1 (en) | 2020-09-24 |
Family
ID=72520949
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/KR2019/003218 WO2020189822A1 (en) | 2019-03-20 | 2019-03-20 | Diagnosis apparatus, diagnosis method, and diagnosis system for malicious code in cloud environment |
Country Status (1)
Country | Link |
---|---|
WO (1) | WO2020189822A1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100116392A (en) * | 2009-04-22 | 2010-11-01 | 주식회사 안철수연구소 | Method and apparatus for longtime-maintaining reexamination protecting information for malicious code, and computer readable recording medium containing program thereof |
KR101256461B1 (en) * | 2012-09-03 | 2013-04-19 | 주식회사 안랩 | Apparatus and method for detecting start point of process |
KR101473658B1 (en) * | 2013-05-31 | 2014-12-18 | 주식회사 안랩 | Apparatus and system for detecting malicious code using filter and method thereof |
KR20170087007A (en) * | 2016-01-19 | 2017-07-27 | 삼성전자주식회사 | Electronic Apparatus for detecting Malware and Method thereof |
KR20190020998A (en) * | 2017-08-22 | 2019-03-05 | 주식회사 하우리 | Apparatus, method and system for detecting malicious code |
-
2019
- 2019-03-20 WO PCT/KR2019/003218 patent/WO2020189822A1/en active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100116392A (en) * | 2009-04-22 | 2010-11-01 | 주식회사 안철수연구소 | Method and apparatus for longtime-maintaining reexamination protecting information for malicious code, and computer readable recording medium containing program thereof |
KR101256461B1 (en) * | 2012-09-03 | 2013-04-19 | 주식회사 안랩 | Apparatus and method for detecting start point of process |
KR101473658B1 (en) * | 2013-05-31 | 2014-12-18 | 주식회사 안랩 | Apparatus and system for detecting malicious code using filter and method thereof |
KR20170087007A (en) * | 2016-01-19 | 2017-07-27 | 삼성전자주식회사 | Electronic Apparatus for detecting Malware and Method thereof |
KR20190020998A (en) * | 2017-08-22 | 2019-03-05 | 주식회사 하우리 | Apparatus, method and system for detecting malicious code |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2012091400A1 (en) | System and method for detecting malware in file based on genetic map of file | |
WO2013089340A1 (en) | Apparatus and method for detecting similarity between applications | |
WO2015056885A1 (en) | Detection device and detection method for malicious android application | |
WO2016088937A1 (en) | Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and api flow-based dynamic analysis | |
WO2014035043A1 (en) | Apparatus and method for diagnosing malicious applications | |
WO2013077538A1 (en) | Device and method for analyzing api-based application | |
WO2018182126A1 (en) | System and method for authenticating safe software | |
WO2011090329A2 (en) | Apparatus, system, and method for preventing infection by malicious code | |
WO2014088262A1 (en) | Apparatus and method for detecting fraudulent/altered applications | |
WO2018056601A1 (en) | Device and method for blocking ransomware using contents file access control | |
WO2013100320A1 (en) | System, user terminal, method, and apparatus for protecting and recovering system file. | |
WO2010123261A2 (en) | Network-based malicious code diagnosis method and diagnosis server | |
WO2023075500A1 (en) | Iot device inspection method, and device therefor | |
WO2017131355A1 (en) | Device for self-defense security based on system environment and user behavior analysis, and operating method therefor | |
WO2021125517A1 (en) | Dedicated artificial intelligence system | |
WO2014168408A1 (en) | Device, system and method for diagnosing malware on basis of cloud | |
WO2012091341A1 (en) | Method and apparatus for detecting a malware in files | |
WO2014010847A1 (en) | Apparatus and method for diagnosing malicious applications | |
KR102042045B1 (en) | Apparatus, method and system for detecting malicious code | |
WO2020096262A1 (en) | Electronic device, method for providing personal information using same, and computer-readable recording medium for recording same | |
WO2022107964A1 (en) | Adjacent-matrix-based malicious code detection and classification apparatus and malicious code detection and classification method | |
WO2020189822A1 (en) | Diagnosis apparatus, diagnosis method, and diagnosis system for malicious code in cloud environment | |
WO2019093755A1 (en) | System and method for font copyright protection | |
WO2018212610A1 (en) | Malicious code diagnosis server, system, and method | |
WO2023229066A1 (en) | Reversing engine-based document action determination method, and device therefor |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 19919726 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 19919726 Country of ref document: EP Kind code of ref document: A1 |
|
32PN | Ep: public notification in the ep bulletin as address of the adressee cannot be established |
Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 19.04.2022) |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 19919726 Country of ref document: EP Kind code of ref document: A1 |