[go: up one dir, main page]

KR101377014B1 - 면역 데이터베이스 기반의 악성코드 진단 방법 및 시스템 - Google Patents

면역 데이터베이스 기반의 악성코드 진단 방법 및 시스템 Download PDF

Info

Publication number
KR101377014B1
KR101377014B1 KR1020070089358A KR20070089358A KR101377014B1 KR 101377014 B1 KR101377014 B1 KR 101377014B1 KR 1020070089358 A KR1020070089358 A KR 1020070089358A KR 20070089358 A KR20070089358 A KR 20070089358A KR 101377014 B1 KR101377014 B1 KR 101377014B1
Authority
KR
South Korea
Prior art keywords
immune
feature
code
malicious
normal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020070089358A
Other languages
English (en)
Other versions
KR20090024374A (ko
Inventor
안태진
박태준
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020070089358A priority Critical patent/KR101377014B1/ko
Priority to US12/038,378 priority patent/US8464340B2/en
Publication of KR20090024374A publication Critical patent/KR20090024374A/ko
Application granted granted Critical
Publication of KR101377014B1 publication Critical patent/KR101377014B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

진단 대상 코드로부터 코드 특징을 추출하여 면역 저장부의 진단용 면역 데이터베이스와 면역 연산을 수행하여 악성 코드인지 판별하고 그 결과를 외부 서버에게 네트워크를 통하여 보고하는 면역 클라이언트 장치와 면역 클라이언트 장치로부터 메시지를 전달받아 메시지의 내용이 전달되는 코드가 새로운 코드이면 서버 내부의 공통 면역 저장부의 데이터베이스를 이용하여 악성 코드 여부를 진단하여 악성일 경우 공통 면역 저장부 또는 갱신 면역 저장부의 데이터베이스를 갱신하고, 클라이언트로부터 전달되는 메시지의 내용이 악성으로 판단한 진단 결과이면 공통 면역 저장부 또는 갱신 면역 저장부의 데이터베이스를 갱신하고 상기 갱신된 갱신 면역 저장부의 데이터베이스를 클라이언트에게 갱신하도록 갱신 지시 메시지를 전달하는 면역 서버로 구성되는 면역 시스템이 개시된다.
면역 클라이언트, 면역 서버, 면역 연산, 악성 코드, 면역 데이터베이스, 필터 데이터베이스

Description

면역 데이터베이스 기반의 악성코드 진단 방법 및 시스템{System and Method of Malware Diagnosis Mechanism Based on Immune Database}
본 발명은 컴퓨터에 원하지 않는 작동을 일으키는 악성코드를 검출하는 방법에 대한 것이다. 컴퓨터란 PC, 가전제품과 같이 전원에 연결된 것, 노트북, PDA, 휴대폰 등과 같이 전원 공급이 배터리로 이루어지는 것 모두를 포함한다.
현재의 정보산업사회에서 컴퓨터는 생활뿐만 아니라 업무에서도 다양하게 활용되고 있다. 컴퓨터의 보급과 함께 사용자가 의도하지 않은 행동을 하도록 하게 하는 악성 코드도 함께 발생하게 되었다. 악성 코드는 컴퓨터의 오작동을 유도하거나, 데이터의 파손, 사용자 개인 정보 유출, 해킹 등 범죄에의 이용 등 다양한 폐해를 일으킨다. 인터넷의 보급과 함께 악성 코드는 급속도로 유포되어 컴퓨터 악성 코드는 컴퓨터 사용자가 반드시 경계하여야 할 위협으로 인식되고 있다.
한편, 휴대단말의 하드웨어가 고급화되고 휴대단말에서 수행되는 응용프로그램이 다양해지고 복잡해져 감에 따라, 기존 컴퓨터를 공격하던 악성 코드가 휴대단말에도 심각한 피해를 일으킬 수 있다. 특히, WiBro 등 휴대 인터넷 서비스의 확산 추세에 발맞추어, 기존 컴퓨터용 응용프로그램의 취약점을 공격하는 악성코드에 더 하여 블루투스(Bluetooth), MMS(Multimedia Messaging System) 등 휴대단말용 응용프로그램 및 서비스의 취약점을 공격하는 모바일 악성 코드(mobile malware)까지, 각종 악성 코드들이 휴대단말의 오동작을 유도하고, 데이터를 삭제하고, 사용자 개인정보를 유출하는 등의 심각한 피해를 입힐 수 있다.
지금까지 잘 알려진 악성 코드 검출 방법으로는 시그니쳐 기반(signature based)검출 방식을 들 수 있다. 이 기술은 알려진 바이러스의 시그니쳐(바이러스 코드 중 특징이 되는 일부 패턴)를 데이터베이스화 하여 메모리에 저장하고, 입력 데이터를 일일이 상기 데이터베이스와 비교하여 일치하는 시그니쳐가 있는지 검사함으로써 악성 코드를 검출하는 방식이다. 이 기술은 알려진 악성 코드의 개수가 늘어남에 따라서 시그니쳐를 저장하는 데이터베이스의 크기도 더불어 커지게 된다. 이것은 CPU의 오버헤드, 메모리의 오버헤드, 휴대 단말과 같이 전원이 한정되는 경우의 배터리 소모 등의 한계점을 갖는다.
새로운 악성 코드가 등장하게 되면, 이 기술을 탑재한 컴퓨터의 경우 악성 코드가 보고되어 데이터베이스가 갱신되기 전에는 악성 코드의 검출이 어렵고 악성 코드의 확산 시점부터 대처 가능하게 되기까지 시간 동안 많은 컴퓨터는 악성 코드의 위협에 노출된다.
악성 코드로부터 정상적인 기능을 수행하도록 컴퓨터를 유지하는 문제는, 인체 면역 시스템이 바이러스나 미생물로부터 인체를 지켜내는 문제와 유사하다고 생각하여 몇몇의 컴퓨터 바이러스(혹은 악성 코드) 연구자들이 컴퓨터 바이러스와 인체 바이러스의 유사성에 대하여 공감하고, 인체 면역 체계를 모방한 메커니즘을 도 입하고자 하였다. 대표적인 예로 IBM anti-virus research team의 연구를 꼽을 수 있으며, 그들은 인체 면역 체계가 감염을 인식하면 인접 세포들에게 경고를 내보내는 메커니즘에 주목하여, 일부의 컴퓨터가 바이러스에 의한 오작동을 일으키게 될 때, 이를 조기 방역하는 기능의 구현에 초점을 두었다.
본 발명은 상술한 바와 같이 컴퓨터를 악성 코드로부터 보호하기 위한 것으로서, 본 발명의 목적은 이제까지 알려지지 않은 새로운 악성 코드라 하더라도, 그 코드의 바이너리 값들의 특징과 이미 알려진 악성 코드의 특징 및 이미 알려진 정상 코드의 특징과 비교하여 악성 코드를 진단해 내는 것이다.
본 발명의 목적은 악성 코드 진단 능력은 유지하면서 악성 코드 진단을 위하여 사용하는 면역 데이터베이스의 크기를 작게 유지할 수 있도록 하는 것이다.
본 발명의 목적은 악성 코드의 판별을 위하여 저장하는 면역 데이터베이스의 크기를 작게 함으로써 악성 코드 진단에 드는 연산시간을 줄이는 것이다.
본 발명의 목적은 면역 클라이언트 장치별 또는 면역 클라이언트 장치 그룹별로 개인차를 부여하여 다수의 면역 클라이언트 장치가 신종 악성 코드에 노출되더라도 일률적으로 악성 코드에 피해를 입지 않고 그 중 일부분이라도 악성 코드를 검출할 수 있도록 하는 것이다.
상기의 목적을 이루고 종래기술의 문제점을 해결하기 위하여, 본 발명은 진단 대상 코드로부터 코드 특징을 추출하는 필터를 저장하고 있는 필터 데이터베이스, 상기 필터 데이터베이스를 이용하여 진단 대상 코드 특징을 추출해내는 필터링부, 상기 추출된 코드 특징과 면역 연산되는 면역코드 특징을 저장하고 있는 면역 데이터베이스, 상기 면역 연산결과에 기반하여 악성 코드 여부를 판단하는 진단부 를 포함하는 면역 클라이언트 장치를 제공한다.
본 발명의 일측에 따르면 네트워크를 통하여 진단의뢰 또는 진단 결과 메시지를 보고 받는 접수부, 상기 메시지를 해석하는 메시지 해석부. 진단 의뢰된 코드의 특징을 추출하는 공통 필터링부, 코드의 진단에 필요한 데이터베이스를 저장하고 있는 공통 면역 저장부, 상기 공통 면역 저장부의 데이터베이스를 참조하여 진단 의뢰된 코드 특징의 악성 여부를 진단하는 공통 진단부, 상기 공통 진단부의 진단 결과 또는 접수된 메시지의 내용에 따라 갱신되는 데이터베이스를 저장하고 있는 갱신 면역 저장부, 상기 진단 결과 또는 상기 접수된 메시지 내용에 따라서 상기 갱신 면역 저장부의 데이터베이스를 갱신하는 갱신 수행부, 및 네트워크를 통하여 진단 결과 또는 갱신지시 메시지를 전달하는 지시부를 포함하는 면역 서버가 제공된다.
본 발명의 일측에 따르면 진단 대상 코드로부터 코드 특징을 추출하여 면역 저장부의 진단용 면역 데이터베이스와 면역 연산을 수행하여 악성 코드여부를 판단한 결과를 보고하고 접수되는 갱신 메시지에 따라 면역 저장부를 갱신하는 면역 클라이언트 장치, 및 상기 면역 클라이언트 장치로부터 보고되는 메시지를 해석하여 진단 의뢰된 코드의 특징을 추출하여 악성 코드 여부를 진단하거나, 보고된 진단 결과 또는 상기 진단 결과에 기초하여 공통 면역 저장부 또는 갱신 면역 저장부를 갱신하거나, 상기 갱신된 갱신 면역 저장부의 데이터베이스를 포함하는 갱신 메시지를 전달하는 면역 서버로 구성되는 면역 시스템이 제공된다.
본 발명의 일측에 따르면 필터 데이터베이스의 필터 요소를 이용하여 진단 대상 코드로부터 코드 특징을 추출하는 필터링 단계, 및 상기 추출된 코드 특징과 면역 데이터베이스의 면역 코드 특징을 면역 연산하여 악성코드 여부를 판단하는 코드진단 단계를 포함하는 면역 기반의 악성 코드 진단 방법이 제공된다.
본 발명에 따르면, 악성 코드의 코드 특징과 면역 연산 되어 제1 임계값 이상의 면역 연산 결과를 얻을 수 있는 악성 면역 특징을 저장하는 악성 면역 데이터베이스 또는 정상 코드의 코드 특징과 면역 연산 되어 제2 임계값 이상의 면역 연산 결과를 얻을 수 있는 정상 면역 특징을 저장하는 정상 면역 데이터베이스를 면역 연산에 이용함으로써 악성 코드 진단 성공률을 높일 수 있다.
본 발명에 따르면, 면역 클라이언트 장치 또는 면역 클라이언트 장치 그룹별로 고유한 특징을 갖도록 코드 특징 추출용 필터 데이터베이스, 또는 악성 면역 데이터베이스 또는 정상 면역 데이터베이스를 부여함으로써 알려지지 않은 악성 코드에 대해서도 모든 면역 클라이언트 장치가 일률적으로 감염되는 피해를 방지할 수 있다.
본 발명은 전원 공급이 제한되고 네트워크를 형성하고 있는 노트북, PDA, 휴대폰 같은 장치에서도 악성 코드 진단 성능을 기대할 수 있다.
상술한 본 발명의 목적을 달성하기 위한 바람직한 실시 예에 따르면, 적어도 하나 이상의 필터를 저장하는 필터 데이터베이스, 상기 필터를 이용하여 진단 대상 코드의 특징을 추출하는 필터링부, 상기 추출된 코드 특징과 면역 연산되는, 적어 도 하나 이상의 면역 특징이 저장된 면역 데이터베이스, 및 상기 코드 특징과 면역 특징을 면역 연산하고, 상기 면역 연산 결과에 기반하여 악성 코드 여부를 진단하는 진단부를 포함하는 면역 클라이언트 장치를 개시한다.
본 발명의 일실시예에 따르면 면역 클라이언트 장치의 면역 데이터베이스는 악성 면역 특징을 저장하는 악성 면역 데이터베이스 또는 정상 면역 특징을 저장하는 정상 면역 데이터베이스를 포함할 수 있다.
상기 면역 저장부는 면역 클라이언트 장치 또는 면역 클라이언트 장치 그룹별로 서로 다른 필터 조합으로 구성되는 필터 데이터베이스를 구비하고 있는 것을 특징으로 한다. 또한 상기 면역 저장부는 면역 클라이언트 장치 또는 면역 클라이언트 장치 그룹별로 서로 다른 면역 데이터베이스를 구비함으로써 동일한 진단 대상 코드를 대상으로 면역 연산을 실시하더라도 그 결과 값이 다르게 얻어질 수 있다.
면역 서버는 특정한 진단 대상 코드를 악성으로 진단하고, 상기 특정 진단 대상 코드에 감염되지 않은 면역 클라이언트 장치로부터 상기 특정 진단 대상 코드의 정보를 수신할 수 있다. 면역 서버는 상기 수신한 특정 진단 대상 코드의 정보를 상기 면역 서버로부터 갱신 메시지를 수신할 수 있는 면역 클라이언트 장치로 전송하여 전체 면역 클라이언트 장치의 감염을 막을 수 있다.
상기 면역 저장부의 면역 데이터베이스는 더욱 상세하게는 악성 면역 데이터베이스 또는 정상 면역 데이터베이스를 포함한다. 상기 악성 면역 데이터베이스는 악성 코드의 코드 특징과 면역 연산하여 미리 경험적으로 정한 제1 임계값 이상의 면역 연산 결과를 얻을 수 있는 악성 면역 특징을 저장한다, 또한 상기 정상 면역 데이터베이스는 정상 코드의 코드 특징과 면역 연산하여 미리 경험적으로 정한 제2 임계값 이상의 면역 연산 결과를 얻을 수 있는 정상 면역 특징을 구비한다.
본 발명의 일실시예에 따르면 진단부는 진단 대상 코드와 면역 데이터베이스에 포함된 악성 코드, 정상 코드와의 유클리디안 거리(Euclidean distance)를 산출하여 면역 연산을 수행할 수 있다.
면역 클라이언트 장치는 상기 필터링부로 입력되는 진단 대상 코드를 선정하고 전처리하는 모니터링부를 추가로 더 포함할 수 있다.
또한 면역 클라이언트 장치는 상기 진단부의 진단 결과에 기초하여 진단 대상 코드를 처리하는 코드 처리부를 추가로 더 포함할 수 있으며, 상기 코드 처리부에서는 진단 대상 코드의 수행, 중지, 또는 삭제처리를 실행한다.
또한 면역 클라이언트 장치는 상기 진단부의 진단 대상 코드의 진단 결과를 외부로 네트워크를 통하여 보고하는 보고부를 추가로 더 포함할 수 있다.
또한 면역 클라이언트 장치는 상기 면역 저장부의 면역 데이터베이스의 갱신이 필요할 때 외부 네트워크를 통하여 갱신 지시를 받는 수신부를 추가로 더 포함하는 것이 가능하다. 상기 면역 클라이언트 장치는 상기 수신부를 통하여 면역 데이터베이스를 갱신하라는 지시를 수신하는 경우 이를 해석하여 면역 저장부의 필터 데이터베이스 또는 악성 면역 데이터베이스 또는 정상 면역 데이터베이스를 갱신할지 여부를 결정하는 갱신 결정부를 추가로 더 포함할 수 있다.
본 발명의 일실시예에 따르는 면역 서버는 면역 클라이언트 장치로부터 진단 대상 코드의 진단 의뢰 메시지를 수신하는 접수부, 상기 진단 대상 코드로부터 코드 특징을 추출하는 공통 필터링부, 진단 대상 코드의 진단에 필요한 적어도 하나 이상의 면역 특징을 저장하고 있는 공통 면역 저장부, 상기 진단 결과에 기반하여 상기 공통 면역 저장부를 갱신하고, 갱신 지시 메시지를 생성하는 갱신 수행부, 네트워크를 통하여 해당 면역 클라이언트 장치의 면역 저장부의 필터 데이터베이스 또는 악성 면역 데이터베이스 또는 정상 면역 데이터베이스의 갱신을 지시하는 갱신 지시 메시지를 전달하는 지시부를 포함할 수 있다.
상기 면역 서버의 공통 면역 저장부는 알려진 악성 코드의 정보를 저장하는 악성 면역 특징 데이터베이스 또는 알려진 정상 코드의 정보를 저장하는 정상 면역 특징 면역 데이터베이스를 포함한다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 상세하게 설명하지만, 본 발명은 이하에서 설명하는 실시 예에 의해 제한되거나 한정되는 것은 아니다.
도 1은 본 발명의 일 실시예를 설명하기 위한 면역 클라이언트 장치를 도시한다. 도 1을 참조하면, 면역 클라이언트 장치(100)는 필터링부(102), 면역 저장부(104), 진단부(110)를 포함한다.
면역 저장부(104)는 필터 데이터베이스(106)와 면역 데이터베이스(108)를 포함한다. 필터 데이터베이스(106)는 면역 클라이언트 장치(100)를 포함하는 면역 클라이언트 장치별 또는 면역 클라이언트 장치 그룹별 고유성을 갖는 필터 요소를 구비하고 있으며, 면역 데이터베이스(108) 또한 각 면역 클라이언트 장치(100)별 고 유성을 갖는 면역 데이터베이스(108)를 구비함으로써 지금까지 알려지지 않은 동일한 악성 코드가 진단되더라도 어떤 면역 클라이언트 장치는 악성 코드로 진단할 수 있고 다른 면역 클라이언트 장치는 감염될 수 있는 특성을 가질 수 있다.
필터링부(102)는 필터 데이터베이스(106)를 이용하여 진단 대상 코드로부터 진단에 필요한 정보를 추출해낸다. 여기서 진단 대상 코드란 특정 운영체제에서 실행될 수 있는 이진코드를 의미한다. 이진 데이터로 이루어진 대상 코드는 Win32의 경우 통상 3MB이하인 경우가 많다. 이러한 대상 코드의 모든 부분이 악성 코드인지 진단하는데 필요한 것이 아니기 때문에, 필요한 부분만 얻어내는 필터링 과정이 필터링부(102)에서 이루어 진다. 필터링은 이진 데이터 중 일정한 법칙을 만족하는 부분만을 추출하는 과정으로서, 이러한 법칙들은 면역 저장부(104)내 필터 데이터베이스(106)에 저장되어 있다. 필터는 진단 대상 코드 중에서 악성 코드와 상응하는 문자열의 패턴을 정의한 것이다. 필터는 그 속성에 따라서 악성 코드에서 더 많이 발견되는 필터와, 정상 코드에서 더 많이 발견되는 필터로 나눌 수 있다. 예를 들어 6바이트로 구성된 일련의 바이트들 중 세번째 값이 -100이고, 다섯번째 값이 24인 패턴은 필터의 후보가 된다. 본 발명에서는 이러한 필터 중 악성 코드에서는 더 많이 존재하고, 정상 코드에서는 더 적게 존재하는 종류, 정상 코드에서는 더 많이 존재하지만 악성 코드에서는 더 적게 존재하는 두 종류의 필터를 데이터베이스화 한다. 이 때 적용되는 필터는 한 개가 아니라 각 종류별로 여러 개를 적용시킬 수 있다. 필터는 면역 클라이언트 장치 마다 다르게 구성될 수 있다. 이러한 특성에 의하여 악성 코드가 어떤 면역 클라이언트 장치에서는 악성 코드 진단을 회피 하여 감염시키더라도 또 다른 어떤 면역 클라이언트 장치에서는 악성 코드로 진단되어 감염에 실패하게 되는 개별적인 특성을 부여할 수 있다. 알려진 악성 코드에 대하여 방역 집단에 속하는 면역 클라이언트 장치들이 획일적으로 이를 악성 코드로 진단하거나 정상 코드로 진단하는 시스템은 신종이나 변종 바이러스 같은 악성 코드에 대해서는 일률적인 감염 피해를 당할 수 있는 가능성이 있다. 본 발명과 같이 방역 집단내 면역 클라이언트 장치들이 고유한 개인차를 가진다면 적어도 몇몇의 면역 클라이언트 장치들은 신종 또는 변종 바이러스와 같은 악성 코드에 대해서도 진단이 가능하여 일률적인 피해를 방지할 수 있고, 성공적으로 악성 코드 진단에 성공한 면역 클라이언트 장치들에 의하여 방역 경고 및 진단 방법을 아직 피해를 입지 않은 면역 클라이언트 장치에게 전파함으로써 신종 또는 변종 바이러스와 같은 악성 코드 발생상황에 대해서 조기 대응을 가능하게 한다.
도 2는 본 발명의 일 실시예를 설명하기 위한 면역 클라이언트 장치의 면역 저장부를 도시한다. 도 2를 참조하면, 면역 저장부(200)는 필터 데이터베이스(202), 면역 특징 데이터베이스(208)를 포함하고, 면역 특징 데이터베이스(208)는 다시 악성 면역 데이터베이스(204), 정상 면역 데이터베이스(206)를 포함한다.
필터 데이터베이스(202)는 진단 대상 코드로부터 코드 특성을 추출하기 위하여 사용되는 적어도 하나 이상의 필터가 저장된다.
진단 대상 코드로부터 필터링부에 의하여 추출된 이진 서열들(이하 추출된 코드 특성들)은 악성 면역 데이터베이스(204), 정상 면역 데이터베이스(206)에 저장된 적어도 하나 이상의 면역 특성과 각각 면역 연산된다.
악성 면역 데이터베이스(204)에 저장된 악성 면역 특징은 악성 코드의 코드 특징과의 면역 연산에서는 제1 임계값 이상의 연산 결과를 산출할 가능성이 높은 면역 특징이다. 악성 면역 특징은 모든 악성 코드의 모든 코드 특징과의 면역 연산 결과가 모두 제1 임계값 이상인 것은 아니지만, 복수의 악성 면역 특징과 악성 코드의 코드 특징을 면역 연산한 경우에, 적어도 하나 이상의 연산 결과는 제1 임계값 보다 크게 정해진다.
정상 면역 데이터베이스(206)에 저장된 정상 면역 특징은 정상 코드의 코드 특징과의 면역 연산에서는 제2 임계값 이상의 연산 결과를 산출할 가능성이 높은 면역 특징이다. 정상 면역 특징은 모든 정상 코드의 모든 코드 특징과의 면역 연산 결과가 모두 제2 임계값 이상인 것은 아니지만, 복수의 정상 면역 특징과 정상 코드의 코드 특징을 면역 연산한 경우에, 적어도 하나 이상의 연산 결과는 제2 임계값 보다 크게 정해진다.
도 3은 본 발명의 일 실시예를 설명하기 위한 면역 클라이언트 장치를 도시한다. 도 3을 참조하면, 면역 클라이언트 장치(300)는 필터링부(304), 진단부(310), 면역 저장부(312)에 부가적으로 모니터링부(302), 동작 제어부(314), 보고부(316), 수신부(318), 및 갱신 결정부(320)를 포함한다.
모니터링부(302)는 진단 대상 코드를 선정하고 전처리 하는 기능을 담당한다. 윈도우 32형식의 악성 코드의 경우, 이메일, 웹(web), 피투피(P2P), 파일복사, 파일공유, 블루투스(Bluetooth) 등 컴퓨터 간의 네트워킹 혹은 다양한 인터페이스 방법을 통하여 주고 받는 악성 코드에 의하여 컴퓨터가 감염될 수 있다. 모니터링 부는 이러한 경로에서의 파일의 침입 시도를 모니터링 하여 필요시 침입 시도에 대한 악성 여부 판단을 위한 검출을 수행하게 한다.
또한 모니터링부(302)는 악성코드의 잘 알려진 증상을 모니터링하여 악성의 증상을 일으키는 원인 코드를 검사의 대상으로 지정할 수 있다. 윈도우즈 32 형식의 악성 코드의 대표적 증상으로, 레지스트리로의 접근 변조, 허용되지 않은 메모리로의 접근, 복사본의 생성, 네트워크 접근 및 트래픽 증가 등이 있다.
모니터링부(302)는 위와 같은 기능으로 악성 탐지 대상을 선정하고 필요한 전처리를 수행한다. 윈도우즈 32 형식의 악성 코드의 경우 단일 파일로 존재하거나, 파일에 기생하거나, 메모리에 존재하거나, 네트워크 패킷으로 존재할 수 있다. 모니터링부(302)는 다양한 침입 경로의 의심스러운 코드들을, 악성 탐지 검사가 가능한 형태로 수집하는 기능을 수행한다. 이 때 필요한 경우 압축 해제, 코드 노말라이제이션 등을 수행한다.
필터링부(304)는 진단 대상 코드에서 코드 특징을 추출한다.
본 발명의 일실시예에 따르면, 필터링부(304)는 상기 진단 대상 코드의 특정 위치의 문자열을 상기 코드 특징으로 추출할 수 있다.
본 발명의 일실시예에 다르면 필터링부(304)는 상기 진단 대상 코드 중에서 진단하려는 악성 코드 각각에 상응하는 문자열을 상기 진단 대상 코드의 코드 특징으로 추출할 수 있다. 진단 대상 코드에서 진단하려는 악성 코드에 상응하는 특정한 위치의 문자열을 상기 진단 대상 코드의 코드 특징으로 추출한다면, 상기 특정 위치에 고의적인 변이를 가진 변종 악성 코드에 대해서는 정확한 코드 특징을 추출 할 수 없다. 고의적인 변이를 가진 변종 악성 코드의 코드 특징은 종래의 특정 위치가 아닌, 다른 위치에 존재할 수 있다. 필터링부(304)는 진단하려는 악성 코드에 상응하는 문자열 패턴을 포함하는 적어도 하나 이상의 필터를 구비하고, 필터에 포함된 문자열 패턴을 진단 대상 코드의 코드 특징으로 추출할 수 있다.
필터링부(304)가 진단하는 악성 코드는 여러 가지 종류일수 있으므로, 필터링부(304)는 진단하려는 악성 코드 각각에 상응하는 각각의 문자열을 진단 대상 코드의 코드 특징으로 추출할 수 있다. 필터링부(304)는 상기 진단 대상 코드의 전체를 대상으로 상기 각각의 문자열이 존재하는지 여부를 검색한다. 상기 검색 결과 악성 코드에 상응하는 소정의 문자열이 존재 한다면, 필터링부(304)는 상응하는 문자열을 진단 대상 코드의 코드 특징으로 추출한다.
진단부(310)는 상기 추출한 코드 특징과 적어도 하나 이상의 면역 특징을 비교하고, 상기 비교 결과에 기반하여 악성 코드 여부를 진단한다.
면역 저장부(312)는 코드 특징을 추출하기 위한 적어도 하나 이상의 필터를 저장하는 필터 데이터베이스(306)를 포함하고, 필터링부(304)는 필터 데이터베이스(306)에 저장된 적어도 하나 이상의 필터를 이용하여 진단 대상 코드에서 코드 특징을 추출한다. 필터 데이터베이스(306)에 저장된 필터는 각각의 면역 클라이언트 장치마다 서로 상이한 필터의 조합을 구비하고, 필터링부(304)는 상기 서로 상이한 필터의 조합에 기반하여 코드 특징으로서 추출하는 문자열을 개별적으로 결정한다.
본 발명의 일실시예에 따르면 필터 데이터베이스(308)에 저장된 적어도 하나 이상의 면역 특징은 각 면역 클라이언트마다 서로 상이하고, 진단부(310)는 각 면역 클라이언트 장치마다 서로 상이한 조합의 면역 특징을 사용하여 진단 대상코드가 악성 코드인지 여부를 진단할 수 있다.
면역 저장부(312)는 진단 대상 코드의 코드 특징과 면역 연산되는 적어도 하나 이상의 면역 특징을 저장하는 면역 데이터베이스(308)를 포함할 수 있다. 면역 데이터베이스가 저장하는 적어도 하나 이상의 면역 특징은 정상 면역 특징 또는 악성 면역 특징을 포함할 수 있다.
본 발명의 일실시예에 따르면 진단부(310)는 상기 코드 특징과 상기 적어도 하나 이상의 정상 면역 특징과의 적어도 하나 이상의 비교 결과가 제1 임계값 이상이고, 상기 코드 특징과 상기 적어도 하나 이상의 악성 면역 특징과의 비교 결과가 모두 제2 임계값 미만인 경우에 상기 진단 대상 코드를 정상 코드로 진단할 수 있다.
본 발명의 일실시예에 따르면 진단부(310)는 상기 코드 특징과 상기 적어도 하나 이상의 정상 면역 특징과의 비교 결과가 모두 제1 임계값 미만이고, 상기 코드 특징과 상기 적어도 하나 이상의 악성 면역 특징과의 적어도 하나 이상의 비교 결과가 제2 임계값 이상인 경우에, 상기 진단 대상 코드를 악성 코드로 진단할 수 있다.
본 발명의 일실시예에 따르면 진단부(310)는 상기 코드 특징과 상기 적어도 하나 이상의 정상 면역 특징과의 적어도 하나 이상의 비교 결과가 제1 임계값 이상이고, 상기 코드 특징과 상기 적어도 하나 이상의 악성 면역 특징과의 적어도 하나 이상의 비교 결과가 소정의 제2 임계값 이상인 경우에, 상기 진단 대상 코드가 알려진 악성 코드 또는 정상 코드와의 유사한 정도에 따라서 상기 진단 대상 코드를 악성 코드로 진단할 수 있다.
동작 제어부(314)는 상기 진단부의 진단 결과에 기초하여 상기 진단 대상 코드의 동작을 제어한다. 본 발명의 일실시예에 따르면 상기 동작 제어부는 상기 진단 대상 코드의 수행, 중지, 삭제 중에서 적어도 어느 하나를 실행할 수 있다.
보고부(316)는 상기 진단부의 진단 결과를 통신망을 통하여 면역 서버로 전송할 수 있다.
본 발명의 일실시예에 따르면 보고부(316)는 상기 코드 특징과 상기 적어도 하나 이상의 정상 면역 특징과의 적어도 하나 이상의 비교 결과가 제1 임계값 이상이고, 상기 코드 특징과 상기 적어도 하나 이상의 악성 면역 특징과의 적어도 하나 이상의 비교 결과가 소정의 제2 임계값 이상인 경우에, 상기 진단 대상 코드를 면역 서버로 전송할 수 있다.
수신부(318)는 상기 면역 서버로부터 상기 면역 저장부(312)의 필터 데이터베이스(306) 또는 면역 데이터베이스(308)의 갱신 지시 메시지를 수신한다.
갱신 결정부(320)는 수신부(318)를 통하여 수신한 갱신 지시 메시지에 기반하여 필터 데이터베이스(306) 및 면역 데이터베이스(308)를 갱신한다.
본 발명의 일실시예에 따르면 면역 저장부(312)는 적어도 하나 이상의 면역 특징을 저장하는 면역 데이터베이스(308)을 포함하고, 수신부(318)는 제2 면역 특징을 보관하는 면역 서버로부터 제2 면역 특징을 수신할 수 있다. 갱신 결정 부(320)는 상기 수신된 제2 면역 특징에 기반하여 상기 저장된 적어도 하나 이상의 면역 특징을 갱신할 수 있다.
면역 클라이언트 장치(300)는 새로운 악성코드를 진단할 수 있는 제2 면역 특징을 면역 서버로부터 수신하여 기 저장된 면역 특징을 이용해서는 진단할 수 없었던 코드에 대해서도 악성 코드인지 여부를 진단할 수 있다.
본 발명의 일실시예에 따르면 면역 저장부(312)는 적어도 하나 이상의 필터를 저장하는 필터 데이터베이스(306)를 포함하고, 수신부(318)는 제2 필터를 보관하는 면역 서버로부터 제2 필터를 수신할 수 있다. 갱신 결정부(320)는 상기 수신된 제2 필터에 기반하여 상기 저장된 적어도 하나 이상의 필터를 갱신할 수 있다.
면역 클라이언트 장치(300)는 상기 수신된 제2 필터를 이용하여 기 저장된 필터를 이용해서는 진단할 수 없었던 코드에 대해서도 악성 코드인지 여부를 진단할 수 있다.
도 4는 본 발명의 일 실시예를 설명하기 위한 면역 서버를 도시한다. 도 4를 참조하면, 면역 서버(400)는 접수부(402), 접수 메시지 해석부(404), 공통 필터링부 (406), 그리고 공통 면역 저장부(408)를 포함한다.
공통 면역 저장부(408)는 진단 대상 코드의 코드 특징과 면역 연산되는 적어도 하나 이상의 면역 특징을 저장하는 면역 데이터베이스를 포함한다.
접수부(402)는 면역 클라이언트 장치로부터 진단 대상 코드의 진단 의뢰 메시지, 진단 대상 코드, 또는 진단 대상 코드의 악성 여부에 대한 진단 결과를 수신한다.
접수 메시지 해석부(404)는 접수부(402)가 수신한 진단 대상 코드의 진단 의뢰 메시지를 해석한다.
본 발명의 일실시예에 따르면 접수부(402)는 상기 진단 의뢰 메시지에 기반하여 상기 면역 클라이언트로부터 진단 대상 코드를 요청할 수 있다, 면역 클라이언트 장치는 상기 요청에 응답하여 진단 대상 코드를 전송하고, 갱신 수행부(412)는 상기 수신한 진단 대상 코드에 기반하여 공통 면역 저장부(408)를 갱신할 수 있다. 본 발명의 일실시예에 따르면 상기 클라이언트는 상기 진단 대상 코드를 암호화하여 상기 접수부(402)로 전송할 수 있다.
공통 필터링부(406)는 적어도 하나 이상의 필터를 사용하여 상기 진단 대상 코드로부터 코드 특징을 추출한다.
공통 면역 저장부(408)는 상기 진단 대상 코드의 코드 특징을 추출하는 적어도 하나 이상의 필터를 저장하는 공통 필터 데이터베이스, 악성 코드의 코드 특징과 면역 연산하여 제1 기준값 이상의 면역 연산 결과를 산출하는 적어도 하나 이상의 악성 면역 특징을 저장하는 악성 면역 특징 데이터베이스, 정상 코드의 코드 특징과 면역 연산하여 제2 기준값 이상의 면역 연산 결과를 산출하는 적어도 하나 이상의 정상 면역 특징을 저장하는 정상 면역 특징 데이터베이스 중에서 적어도 어느 하나를 포함할 수 있다.
본 발명의 일실시예에 따르면, 공통 면역 저장부(408)는 시그니처 기반 악성 코드 진단용 데이터베이스를 더 포함하고, 공통 진단부(410)는 시그니처 기반의 악성 코드 진단을 수행할 수 있다.
시그니처 기반의 악성 코드 진단은, 알려진 악성 코드에 대한 시그니처를 추출하여 상기 추출한 시그니처가 진단 대상 코드에 존재 하는지 여부에 기반하여 상기 진단 대상 코드가 악성 코드인지 여부를 판단한다. 본 발명의 일실시예에 따르면 시그니처 기반 악성 코드 진단용 데이터베이스는 적어도 하나 이상의 악성 코드로부터 추출한 적어도 하나 이상의 시그니처를 저장한다. 공통 진단부(410)는 상기 저장된 시그니처 중에서 적어도 어느 하나가 진단 대상 코드에 존재하면 상기 진단 대상 코드를 악성 코드로 진단한다.
공통 진단부(410)는 상기 공통 필터 데이터베이스, 악성 면역 특징 데이터베이스, 정상 면역 특징 데이터베이스를 이용하여 진단 대상 코드가 악성인지 여부를 진단할 뿐만 아니라, 시그니처 기반의 악성 코드 진단도 병행하여 수행함으로써, 면역 클라이언트에서는 악성 코드인지, 정상 코드인지 판단할 수 없었던 진단 대상 코드에 대해서도 좀 더 정확히 악성 코드인지 여부를 판단할 수 있다.
공통 진단부(410)는 상기 추출된 코드 특징과 적어도 하나 이상의 면역 특징을 참조하여 상기 진단 대상 코드의 악성 여부를 진단한다.
갱신 수행부(412)는 접수부(402)가 수신한 진단 대상 코드를 공통 진단부(410)가 진단한 진단 결과에 기반하여 상기 공통 면역 저장부(408)를 갱신하고, 갱신 지시 메시지를 생성한다.
본 발명의 일실시예에 따르면, 공통 진단부(410)는 상기 악성 면역 특징 또는 상기 정상 면역 특징과 상기 진단 대상 코드의 코드 특징을 면역 연산하고, 갱신 수행부(412)는, 상기 연산 결과에 기반하여 상기 악성 면역 특징의 일부 또는 상기 정상 면역 특징의 일부를 삭제할 수 있다.
본 발명의 일실시예에 따르면, 갱신 수행부(412)는, 상기 면역 클라이언트 장치로부터 수신된 진단 결과에 기반하여 상기 공통 면역 저장부를 갱신할 수 있다.
지시부(416)는 면역 서버(400)와 통신 가능한 모든 면역 클라이언트로 상기 생성된 갱신 지시 메시지를 전송한다. 본 발명의 일실시예에 다르면 갱신 지시 메시지를 수신한 면역 클라이언트 장치는 상기 갱신 지시 메시지에 기반하여 각각의 면역 데이터베이스를 갱신할 수 있다.
본 발명의 일실시예에 따르면, 공통 면역 저장부(312)는 적어도 하나 이상의 필터를 저장하는 공통 필터 데이터베이스 및 적어도 하나 이상의 면역 특징을 저장하는 면역 특징 데이터베이스를 포함한다. 공통 필터링부(304)는 공통 필터 데이터베이스에 저장된 적어도 하나 이상의 필터를 이용하여 접수부(402)가 수신한 진단 대상 코드로부터 코드 특징을 추출한다. 공통 진단부(410)는 공통 필터링부(304)가 추출한 코드 특징과 면역 특징 데이터베이스에 저장된 적어도 하나 이상의 면역 특징과의 적어도 하나 이상의 거리를 계산할 수 있다. 본 발명의 일실시예에 따르면 상기 계산된 거리는 코드 특징과 면역 특징간의 유클리디안 거리일수 있다. 갱신 수행부(412)는 상기 계산된 적어도 하나 이상의 거리에 기반하여 상기 공통 면역 저장부를 갱신할 수 있다.
본 발명의 일실시예에 따르면, 갱신 수행부(412)는 새로운 악성 코드의 발생에 따라서, 상기 새로운 악성 코드를 진단할 수 있는, 새로운 면역 특성을 상기 공통 면역 저장부(408)에 포함된 면역 특징 데이터베이스에 추가하여 상기 공통 면역 저장부(408)를 갱신할 수 있다.
본 발명의 일실시예에 따르면 갱신 수행부(412)는 코드 특징과 거리 계산된 적어도 하나 이상의 면역 특징 중에서, 상기 계산된 거리가 소정의 임계값 이상인 면역 특징을 삭제할 수 있다. 갱신 수행부(412)는 일부 면역 특징을 삭제하여 새로운 악성 코드의 발생으로 인하여 면역 특징 데이터베이스의 크기가 계속 증가하는 것을 방지할 수 있다.
본 발명의 일실시예에 따르면 공통 면역 저장부(408)는 코드 특징과 거리 계산된 적어도 하나 이상의 면역 특징 중에서, 상기 계산된 거리가 소정의 임계값 이상인 면역 특징의 비율이 소정 비율 이상인 경우에, 상기 진단 대상 코드를 고려하여 면역 특징을 다시 저장할 수 있다. 만약 계산된 거리가 소정의 임계값 이상인 면역 특징의 비율이 소정 비율 이상인 경우에도 상기 면역 특징을 모두 삭제한다면 면역 특징 데이터베이스의 크기가 급격히 감소하여 정상적인 악성 코드 진단이 불가능하므로, 이 경우에 상기 진단 대상 코드를 고려하여 전체 면역 특성을 재구성 할 수 있다.
도 5는 본 발명의 일 실시예를 설명하기 위한 면역 서버의 공통 면역 저장부를 도시한다. 도 5를 참조하면, 공통 면역 저장부(500)는 공통 필터 데이터베이스(502), 면역 특징 데이터베이스(508)를 포함하고, 면역 특징 데이터 베이스(508)는 다시 악성 면역 특징 데이터베이스 (504), 및 정상 면역 특징 데이터베이스 (506)를 포함한다.
공통 필터 데이터 베이스(502)는 먼역 서버와 통신 가능한 모든 면역 클라이언트 장치로부터 수집한 적어도 하나 이상의 필터를 저장한다. 상기 각각의 클라이언트는 상기 저장된 적어도 하나 이상의 필터 중에서 일부만을 이용하여 진단 대상 코드가 악성 코드인지 여부를 진단하지만, 면역 서버는 모든 필터를 이용하여 진단 대상 코드가 악성 코드인지 여부를 진단하므로, 보다 정확한 진단을 할 수 있다.
악성 면역 특징 데이터베이스(504)는 악성 코드의 코드 특징과의 면역 연산에서는 제1 임계값 이상의 연산 결과를 산출할 가능성이 높은 악성 면역 특징을 저장한다. 악성 면역 특징은 모든 악성 면역 특징과의 면역 연산 결과가 모두 제1 임계값 이상은 아니지만, 복수의 악성 면역 특징과 각각 면역 연산한 경우에, 적어도 하나 이상의 악성 면역 특징과의 연산 결과는 제1 임계값보다 클 수 있다. 서버의 악성 특징 데이터베이스(504)는 면역 서버와 통신 가능한 모든 면역 클라이언트 장치로부터 수집한 적어도 하나 이상의 악성 면역 특징을 저장할 수 있다. 면역 클라이언트 장치는 상기 저장된 악성 면역 특징 중에서 일부만을 이용하여 진단 대상 코드가 악성 코드인지 여부를 진단하지만, 면역 서버는 모든 악성 면역 특징을 이용하여 진단 대상 코드가 악성 코드인지 여부를 진단하므로 보다 정확한 진단을 할 수 있다.
정상 면역 특징 데이터베이스(506)는 정상 코드의 코드 특징과의 면역 연산에서는 제2 임계값 이상의 연산 결과를 산출할 가능성이 높은, 정상 면역 특징을 저장한다. 정상 면역 특징은 모든 정상 면역 특징과의 면역 연산 결과가 모두 제2 임계값 이상은 아니지만, 복수의 정상 면역 특징과 정상 코드의 면역 특징을 각각 면역 연산한 경우에, 적어도 하나 이상의 정상 면역 특징과의 면역 연산 결과는 제2 임계값보다 클 수 있다. 면역 서버의 정상 특징 데이터베이스(506)는 면역 서버와 통신 가능한 모든 면역 클라이언트 장치로부터 수집한 적어도 하나 이상의 정상 면역 특징을 저장할 수 있다. 면역 클라이언트 장치는 상기 저장된 정상 면역 특징 중에서 일부만을 이용하여 진단 대상 코드가 악성 코드인지 여부를 진단하지만, 면역 서버는 모든 악성 면역 특징을 이용하여 진단 대상 코드가 악성 코드인지 여부를 진단하므로 보다 정확한 진단을 할 수 있다.
도6은 본 발명의 일실시예에 따른 악성 코드 과정을 도시한 순서도이다. 이하 도 6을 참조하여 악성 코드를 진단하는 과정을 상세히 설명한다.
단계(S610)에서는 전체 실행 코드 중에서 악성 코드로 의심되는 코드를 진단 대상 코드로 선정한다.
단계(S620)에서는 적어도 하나 이상의 필터를 이용하여 상기 진단 대상 코드에서 코드 특징을 추출한다.
단계(S630)에서는 상기 추출된 코드 특징과 면역 특징을 면역 연산한다.
본 발명의 일실시예에 따르면 면역 연산은 추출된 코드 특징과 면역 특징 사이의 유클리디안 거리를 계산하는 것일 수 있다.
단계(S640)에서는 상기 면역 연상 결과에 기반하여 진단 대상 코드가 악성 코드인지 여부를 진단한다.
본 발명의 일실시예에 따르면 상기 면역 연산은 진단 대상 코드의 코드 특 징과 면역 특징의 유클리디안 거리를 산출하는 것일 수 있다.
단계(S650)에서는 상기 진단 결과를 면역 서버로 보고한다.
본 발명의 일실시예에 따르면, 상기 진단 결과 상기 진단 대상 코드가 악성 코드이거나 악성 코드인지 여부가 불분명한 경우에는 상기 진단 대상 코드를 면역 서버로 전송할 수도 있다.
단계(S660)에서는 면역 서버로부터 갱신 지시 메시지를 수신한다.
단계(S670)에서는 상기 수신한 갱신 지시 메시지에 기반하여 상기 면역 특징을 갱신 한다.
본 발명의 일실시예에 따른 면역 시스템은 진단 대상 코드로부터 추출된 코드 특징을 제1 면역 특징과 면역 연산하여 악성 코드 여부를 판단하고, 상기 판단 결과를 면역 서버로 보고하는 면역 클라이언트 장치와 상기 진단 대상 코드의 악성 코드 여부를 진단하고, 상기 진단 결과 또는 상기 면역 클라이언트 장치로부터 보고된 판단 결과에 기초하여 제2 면역 특징을 갱신하고, 상기 갱신된 제2 면역 특징에 대한 갱신 메시지를 상기 면역 클라이언트 장치로 전송하는 면역 서버로 구성될 수 있다.
상술한 바와 같이, 본 발명의 바람직한 실시 예를 참조하여 설명하였지만 해당 기술분야의 숙련된 당업자라면 상기 본 발명의 효과를 달성할 수 있는 다양한 형태의 구성을 포함하여 하기의 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
도 1은 본 발명의 일 실시예를 설명하기 위한 면역 클라이언트 장치를 도시한다.
도 2는 본 발명의 일 실시예를 설명하기 위한 면역 클라이언트 장치의 면역 저장부를 도시한다.
도 3은 본 발명의 일 실시예를 설명하기 위한 면역 클라이언트 장치를 도시한다.
도 4는 본 발명의 일 실시예를 설명하기 위한 면역 서버를 도시한다.
도 5는 본 발명의 일 실시예를 설명하기 위한 면역 서버의 공통 면역 저장부를 도시한다.
도 6은 본 발명의 일실시예에 따른 악성 코드 과정을 도시한 순서도이다.

Claims (36)

  1. 적어도 하나 이상의 필터를 저장하는 필터 데이터베이스;
    상기 적어도 하나 이상의 필터를 이용하여 진단 대상 코드의 코드 특징을 추출하는 필터링부;
    적어도 하나 이상의 악성 면역 특징을 저장하는 악성 면역 데이터베이스 및 적어도 하나 이상의 정상 면역 특징을 저장하는 정상 면역 데이터베이스를 포함하는 면역 데이터베이스; 및
    상기 악성 면역 특징 및 상기 정상 면역 특징을 추출된 상기 코드 특징과 비교함으로써 상기 코드 특징에 대하여 면역 연산을 수행하고, 상기 면역 연산 수행 결과에 기반하여 악성 코드 여부를 진단하는 진단부
    를 포함하는 것을 특징으로 하는 면역 클라이언트 장치.
  2. 제1항에 있어서, 상기 필터 데이터베이스는,
    각각의 면역 클라이언트 장치별로, 또는 상기 각각의 면역 클라이언트 장치가 속한 그룹별로 서로 다른 필터의 조합을 구비하고 있는 것을 특징으로 하는 면역 클라이언트 장치.
  3. 제1항에 있어서, 상기 면역 데이터베이스는,
    각각의 면역 클라이언트 장치 또는 상기 각각의 면역 클라이언트 장치가 속한 그룹별로 서로 다른 악성 면역 특징 및 서로 다른 정상 면역 특징을 구비하는 것을 특징으로 하는 면역 클라이언트 장치.
  4. 제1항에 있어서,
    상기 진단부는 상기 악성 면역 특징에 대한 면역 연산 결과를 제1 기준값과 비교하고, 상기 정상 면역 특징에 대한 면역 연산 결과를 제2 기준값과 비교함으로써, 상기 악성 코드 여부를 판단하는 것을 특징으로 하는 면역 클라이언트 장치.
  5. 제1항에 있어서,
    상기 필터링부에 입력되는 진단 대상 코드를 선정하는 모니터링부를 더 포함하는 것을 특징으로 하는 면역 클라이언트 장치.
  6. 제1항에 있어서,
    상기 진단부의 진단 결과에 기초하여 상기 진단 대상 코드의 동작을 제어하는 동작 제어부를 더 포함하는 것을 특징으로 하는 면역 클라이언트 장치.
  7. 제6항에 있어서, 상기 동작 제어부는,
    상기 진단 대상 코드의 수행, 중지, 및 삭제 중에서 적어도 어느 하나를 실행하는 것을 특징으로 하는 면역 클라이언트 장치.
  8. 제1항에 있어서,
    상기 진단부의 진단 결과를 면역 서버로 보고하는 보고부를 더 포함하는 것 을 특징으로 하는 면역 클라이언트 장치.
  9. 제1항에 있어서,
    면역 서버로부터 상기 필터 데이터베이스 또는 상기 면역 데이터베이스의 갱신 지시 메시지를 수신하는 수신부를 더 포함하는 것을 특징으로 하는 면역 클라이언트 장치.
  10. 제9항에 있어서,
    상기 갱신 지시 메시지에 기반하여 상기 필터 데이터베이스 또는 상기 면역 데이터베이스를 갱신하는 갱신 결정부를 더 포함하는 것을 특징으로 하는 면역 클라이언트 장치.
  11. 적어도 하나 이상의 악성 면역 특징 및 적어도 하나 이상의 정상 면역 특징을 포함하는 면역 특징을 저장하는 공통 면역 저장부;
    면역 클라이언트 장치로부터 진단 대상 코드의 진단 의뢰 메시지를 수신하는 접수부;
    상기 진단 대상 코드로부터 코드 특징을 추출하는 공통 필터링부;
    상기 악성 면역 특징 및 상기 정상 면역 특징을 추출된 상기 코드 특징과 비교함으로써 상기 코드 특징에 대하여 면역 연산을 수행하고, 상기 면역 연산 수행 결과에 기반하여 악성 여부를 진단하는 공통 진단부;
    상기 진단 결과에 기반하여 상기 공통 면역 저장부를 갱신하고, 갱신 지시 메시지를 생성하는 갱신 수행부; 및
    상기 면역 클라이언트 장치로 상기 갱신 지시 메시지를 전달하는 지시부
    를 포함하는 것을 특징으로 하는 면역 서버.
  12. 제11항에 있어서, 상기 공통 면역 저장부는,
    상기 진단 대상 코드의 코드 특징을 추출하는 적어도 하나 이상의 필터를 저장하는 공통 필터 데이터베이스;
    악성 코드의 코드 특징과 면역 연산하여 제1 기준값 이상의 면역 연산 결과를 산출하는 상기 적어도 하나 이상의 악성 면역 특징을 저장하는 악성 면역 특징 데이터베이스; 및
    정상 코드의 코드 특징과 면역 연산하여 제2 기준값 이상의 면역 연산 결과를 산출하는 상기 적어도 하나 이상의 정상 면역 특징을 저장하는 정상 면역 특징 데이터베이스
    를 포함하는 것을 특징으로 하는 면역 서버.
  13. 제12항에 있어서,
    상기 공통 면역 저장부는 시그니처 기반 악성코드 진단용 데이터베이스를 포함하는 것을 특징으로 하는 면역 서버.
  14. 제11항에 있어서,
    상기 갱신 수행부는,
    상기 면역 연산 수행 결과에 기반하여 상기 악성 면역 특징 또는 상기 정상 면역 특징을 삭제하는 것을 특징으로 하는 면역 서버.
  15. 제11항에 있어서, 상기 갱신 수행부는,
    상기 면역 클라이언트 장치로부터 수신된 진단 결과에 기반하여 상기 공통 면역 저장부를 갱신하는 것을 특징으로 하는 면역 서버.
  16. 제1 악성 면역 특징 및 제1 정상 면역 특징을 진단 대상 코드로부터 추출된 코드 특징과 비교함으로써 상기 코드 특징에 대하여 면역 연산을 수행하고, 상기 면역 연산 수행 결과에 기반하여 악성 코드 여부를 판단하고, 상기 판단 결과를 면역 서버로 보고하는 면역 클라이언트 장치; 및
    상기 진단 대상 코드의 악성 코드 여부를 진단하고, 상기 진단 결과 또는 상기 면역 클라이언트 장치로부터 보고된 판단 결과에 기초하여 제2 정상 면역 특징 및 제2 악성 면역 특징을 갱신하고, 상기 갱신된 제2 정상 면역 특징 및 상기 갱신된 제2 악성 면역 특징에 대한 갱신 메시지를 상기 면역 클라이언트 장치로 전송하는 면역 서버
    를 포함하고,
    상기 면역 클라이언트 장치는 상기 면역 서버로부터 수신되는 갱신 메시지에 따라 상기 제1 정상 면역 특징 및 상기 제1 악성 면역 특징을 갱신하는 것을 특징으로 하는 면역 시스템.
  17. 적어도 하나 이상의 필터를 이용하여 진단 대상 코드로부터 코드 특징을 추출하는 단계;
    악성 면역 특징 및 정상 면역 특징을 상기 코드 특징과 비교함으로써 상기 코드 특징에 대하여 면역 연산을 수행하고, 상기 면역 연산 수행 결과에 기반하여 상기 진단 대상 코드가 악성코드인지 여부를 진단하는 단계
    를 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  18. 제17항에 있어서,
    전체 실행 코드 중에서 상기 진단 대상 코드를 선정하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  19. 제17항에 있어서,
    상기 진단 결과를 면역 서버로 보고하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  20. 제17항에 있어서,
    면역 서버로부터 갱신 지시 메시지를 수신하는 단계; 및
    상기 수신된 갱신 지시 메시지에 기반하여 상기 정상 면역 특징 및 상기 악성 면역 특징을 갱신하는 단계
    를 더 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  21. 면역 클라이언트 장치에 있어서,
    진단 대상 코드에서 코드 특징을 추출하는 필터링부; 및
    적어도 하나 이상의 악성 면역 특징 및 적어도 하나 이상의 정상 면역 특징을 추출된 상기 코드 특징과 비교하고, 상기 비교 결과에 기반하여 악성 코드 여부를 판단하는 진단부
    를 포함하는 것을 특징으로 하는 면역 클라이언트 장치.
  22. 제21항에 있어서, 상기 필터링부는,
    상기 진단 대상 코드 중에서 진단하려는 악성 코드 각각에 상응하는 문자열을 상기 코드 특징으로 추출하는 것을 특징으로 하는 면역 클라이언트 장치.
  23. 제21항에 있어서,
    상기 코드 특징을 추출하는 적어도 하나 이상의 필터를 저장하는 필터 데이터베이스를 포함하고,
    상기 코드 특징으로 추출되는 문자열은 상기 각각의 필터에 따라서 개별적으로 결정되는 것을 특징으로 하는 면역 클라이언트 장치.
  24. 제23항에 있어서, 상기 필터링부는,
    각 면역 클라이언트 장치마다 서로 상이한 필터의 조합에 기반하여 상기 코드 특징으로 추출되는 문자열을 결정하는 것을 특징으로 하는 면역 클라이언트 장치.
  25. 삭제
  26. 제21항에 있어서, 상기 진단부는,
    각 면역 클라이언트 장치마다 정상 면역 특징 및 악성 면역 특징을 서로 상이한 조합으로 사용하는 것을 특징으로 하는 면역 클라이언트 장치.
  27. 제21항에 있어서, 상기 진단부는,
    상기 코드 특징과 상기 적어도 하나 이상의 정상 면역 특징과의 적어도 하나 이상의 비교 결과가 제1 임계값 이상이고, 상기 코드 특징과 상기 적어도 하나 이상의 악성 면역 특징과의 비교 결과가 모두 제2 임계값 미만인 경우에 상기 진단 대상 코드를 정상 코드로 진단하는 것을 특징으로 하는 면역 클라이언트 장치.
  28. 제21항에 있어서, 상기 진단부는,
    상기 코드 특징과 상기 적어도 하나 이상의 정상 면역 특징과의 비교 결과가 모두 제1 임계값 미만이고, 상기 코드 특징과 상기 적어도 하나 이상의 악성 면역 특징과의 적어도 하나 이상의 비교 결과가 제2 임계값 이상인 경우에,
    상기 진단 대상 코드를 악성 코드로 진단 하는 것을 특징으로 하는 면역 클라이언트 장치.
  29. 제21항에 있어서,
    상기 코드 특징과 상기 적어도 하나 이상의 정상 면역 특징과의 적어도 하나 이상의 비교 결과가 제1 임계값 이상이고, 상기 코드 특징과 상기 적어도 하나 이상의 악성 면역 특징과의 적어도 하나 이상의 비교 결과가 소정의 제2 임계값 이상인 경우에,
    상기 진단 대상 코드가 알려진 악성 코드 또는 정상 코드와의 유사한 정도에 따라서 상기 진단 대상 코드를 악성 코드로 진단하는 것을 특징으로 하는 면역 클라이언트 장치.
  30. 제21항에 있어서,
    상기 코드 특징과 상기 적어도 하나 이상의 정상 면역 특징과의 적어도 하나 이상의 비교 결과가 제1 임계값 이상이고, 상기 코드 특징과 상기 적어도 하나 이상의 악성 면역 특징과의 적어도 하나 이상의 비교 결과가 소정의 제2 임계값 이상인 경우에,
    상기 진단 대상 코드를 면역 서버로 전송하는 것을 특징으로 하는 면역 클라이언트 장치.
  31. 제21항에 있어서,
    상기 적어도 하나 이상의 정상 면역 특징 및 상기 적어도 하나 이상의 악성 면역 특징을 저장하는 면역 데이터베이스;
    제2 정상 면역 특징 및 제2 악성 면역 특징을 보관하는 면역 서버로부터 상기 제2 정상 면역 특징 및 상기 제2 악성 면역 특징을 수신하는 수신부; 및
    상기 수신된 제2 정상 면역 특징 및 제2 악성 면역 특징에 기반하여 상기 저장된 적어도 하나 이상의 정상 면역 특징 및 상기 저장된 적어도 하나 이상의 악성 면역 특징을 갱신하는 갱신 결정부
    를 더 포함하는 것을 특징으로 하는 면역 클라이언트 장치.
  32. 제23항에 있어서,
    제2 필터를 보관하는 면역 서버로부터 제2 필터를 수신하는 수신부; 및
    상기 수신된 제2 필터에 기반하여 상기 저장된 적어도 하나 이상의 필터를 갱신하는 갱신 결정부
    를 더 포함하는 것을 특징으로 하는 면역 클라이언트 장치.
  33. 삭제
  34. 삭제
  35. 삭제
  36. 삭제
KR1020070089358A 2007-09-04 2007-09-04 면역 데이터베이스 기반의 악성코드 진단 방법 및 시스템 Active KR101377014B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070089358A KR101377014B1 (ko) 2007-09-04 2007-09-04 면역 데이터베이스 기반의 악성코드 진단 방법 및 시스템
US12/038,378 US8464340B2 (en) 2007-09-04 2008-02-27 System, apparatus and method of malware diagnosis mechanism based on immunization database

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070089358A KR101377014B1 (ko) 2007-09-04 2007-09-04 면역 데이터베이스 기반의 악성코드 진단 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20090024374A KR20090024374A (ko) 2009-03-09
KR101377014B1 true KR101377014B1 (ko) 2014-03-26

Family

ID=40409692

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070089358A Active KR101377014B1 (ko) 2007-09-04 2007-09-04 면역 데이터베이스 기반의 악성코드 진단 방법 및 시스템

Country Status (2)

Country Link
US (1) US8464340B2 (ko)
KR (1) KR101377014B1 (ko)

Families Citing this family (160)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8850571B2 (en) * 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
KR101045870B1 (ko) * 2009-04-22 2011-07-01 주식회사 안철수연구소 네트워크 기반 악성 코드 진단 방법 및 진단 서버
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8839433B2 (en) * 2010-11-18 2014-09-16 Comcast Cable Communications, Llc Secure notification on networked devices
KR101291125B1 (ko) * 2011-11-22 2013-08-01 주식회사 안랩 악성코드 진단 및 치료 서비스 장치, 방법 및 그 방법을 실행시키기 위한 기록매체
KR101271821B1 (ko) * 2011-12-23 2013-06-07 주식회사 포스코 철강공정 미들웨어 애플리케이션 오류 분석 시스템 및 이를 이용한 오류 분석 방법
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
KR101436494B1 (ko) * 2013-03-07 2014-09-01 주식회사 안랩 악성코드 검사 시스템 및 악성코드 검사 방법
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
WO2014145805A1 (en) 2013-03-15 2014-09-18 Mandiant, Llc System and method employing structured intelligence to verify and contain threats at endpoints
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9507935B2 (en) 2014-01-16 2016-11-29 Fireeye, Inc. Exploit detection system with threat-aware microvisor
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9805099B2 (en) * 2014-10-30 2017-10-31 The Johns Hopkins University Apparatus and method for efficient identification of code similarity
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
DE102015005071A1 (de) * 2015-04-21 2016-10-27 G Data Software Ag System und Verfahren zur Überwachung der Integrität einer von einem Serversystem an ein Clientsystem ausgelieferten Komponente
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
CN105975857A (zh) * 2015-11-17 2016-09-28 武汉安天信息技术有限责任公司 基于深度学习方法推断恶意代码规则的方法及系统
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
KR101970993B1 (ko) * 2017-11-29 2019-04-23 주식회사 더볼터 랜섬웨어에 대한 데이터 손실이 없는 ssd 내부 방어 방법 및 랜섬웨어 탐지 시스템
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US20200134476A1 (en) * 2018-10-24 2020-04-30 International Business Machines Corporation Generating code performance hints using source code coverage analytics, inspection, and unstructured programming documents
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US12074887B1 (en) 2018-12-21 2024-08-27 Musarubra Us Llc System and method for selectively processing content after identification and removal of malicious content
US11743290B2 (en) 2018-12-21 2023-08-29 Fireeye Security Holdings Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US11176251B1 (en) 2018-12-21 2021-11-16 Fireeye, Inc. Determining malware via symbolic function hash analysis
US11601444B1 (en) 2018-12-31 2023-03-07 Fireeye Security Holdings Us Llc Automated system for triage of customer issues
US11310238B1 (en) 2019-03-26 2022-04-19 FireEye Security Holdings, Inc. System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
US11677786B1 (en) 2019-03-29 2023-06-13 Fireeye Security Holdings Us Llc System and method for detecting and protecting against cybersecurity attacks on servers
US11636198B1 (en) 2019-03-30 2023-04-25 Fireeye Security Holdings Us Llc System and method for cybersecurity analyzer update and concurrent management system
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US12200013B2 (en) 2019-08-07 2025-01-14 Musarubra Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
US11522884B1 (en) 2019-12-24 2022-12-06 Fireeye Security Holdings Us Llc Subscription and key management system
US11838300B1 (en) 2019-12-24 2023-12-05 Musarubra Us Llc Run-time configurable cybersecurity system
US11436327B1 (en) 2019-12-24 2022-09-06 Fireeye Security Holdings Us Llc System and method for circumventing evasive code for cyberthreat detection

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050022011A1 (en) * 2003-06-06 2005-01-27 Microsoft Corporation Multi-layer based method for implementing network firewalls
KR20060055147A (ko) * 2004-11-18 2006-05-23 한제헌 네트워크 악성실행코드 차단장치 및 방법
KR20070071963A (ko) * 2005-12-30 2007-07-04 삼성전자주식회사 침입코드 인식을 위한 코드 모니터링 방법 및 장치

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11102333A (ja) 1997-09-25 1999-04-13 Fujitsu Ltd 端末管理方法及び管理装置及び端末装置、並びに、それらを用いたコンピュータシステム及びそれらを実行するプログラムが記録された記録媒体
JP2003005989A (ja) 2001-04-20 2003-01-10 Xaxon R & D Corp コンピュータウイルス検査システムの一斉管理システム
KR100475968B1 (ko) 2002-07-06 2005-03-10 주식회사 잉카인터넷 다중 계층 구조의 인터넷 보안 방법 및 시스템
JP2004252642A (ja) 2003-02-19 2004-09-09 Matsushita Electric Ind Co Ltd ウイルス検出方法、ウイルス検出装置、ウイルス検出サーバ及びウイルス検出クライアント
US20060191006A1 (en) * 2004-10-12 2006-08-24 Nippon Telegraph And Telephone Corporation Denial-of-service-attack protecting method, denial-of-service attack protecting system, denial-of-service attack protecting device, repeater, denial-of-service attack protecting program, and program for repeater
US8544097B2 (en) * 2005-10-14 2013-09-24 Sistema Universitario Ana G. Mendez, Inc. Attachment chain tracing scheme for email virus detection and control
KR20070049514A (ko) 2005-11-08 2007-05-11 한국정보보호진흥원 악성 코드 감시 시스템 및 이를 이용한 감시 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050022011A1 (en) * 2003-06-06 2005-01-27 Microsoft Corporation Multi-layer based method for implementing network firewalls
KR20060055147A (ko) * 2004-11-18 2006-05-23 한제헌 네트워크 악성실행코드 차단장치 및 방법
KR20070071963A (ko) * 2005-12-30 2007-07-04 삼성전자주식회사 침입코드 인식을 위한 코드 모니터링 방법 및 장치

Also Published As

Publication number Publication date
KR20090024374A (ko) 2009-03-09
US20090064328A1 (en) 2009-03-05
US8464340B2 (en) 2013-06-11

Similar Documents

Publication Publication Date Title
KR101377014B1 (ko) 면역 데이터베이스 기반의 악성코드 진단 방법 및 시스템
US11463472B2 (en) Unknown malicious program behavior detection using a graph neural network
US10728263B1 (en) Analytic-based security monitoring system and method
US11089035B2 (en) Techniques for predicting subsequent attacks in attack campaigns
Shabtai et al. Intrusion detection for mobile devices using the knowledge-based, temporal abstraction method
US8955133B2 (en) Applying antimalware logic without revealing the antimalware logic to adversaries
US10430586B1 (en) Methods of identifying heap spray attacks using memory anomaly detection
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
US8769692B1 (en) System and method for detecting malware by transforming objects and analyzing different views of objects
KR101964148B1 (ko) 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법
CN113282928B (zh) 恶意文件的处理方法、装置、系统、电子装置和存储介质
CN102208002B (zh) 一种新型计算机病毒查杀装置
Savenko et al. Multi-agent based approach of botnet detection in computer systems
Rosli et al. Clustering analysis for malware behavior detection using registry data
Kaur et al. Efficient hybrid technique for detecting zero-day polymorphic worms
CN113872965B (zh) 一种基于Snort引擎的SQL注入检测方法
Kanaker et al. Trojan Horse Infection Detection in Cloud Based Environment Using Machine Learning.
US11372971B2 (en) Threat control
KR20110131627A (ko) 악성 코드 진단 및 복구 장치, 그리고 이를 위한 단말 장치
CN113849813A (zh) 数据检测方法、装置、电子设备及存储介质
US11934515B2 (en) Malware deterrence using computer environment indicators
KR20130028257A (ko) 미식별 멀웨어를 탐지하기 위한 정보를 제공하는 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
Ibrahim et al. Guarding android: A comprehensive review of intrusion detection techniques for smartphones
Shyu et al. Efficient mining and detection of sequential intrusion patterns for network intrusion detection systems
Grace et al. Defending Multiple Attack Via Multiple Algorithms With Fault Tolerance

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20070904

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20120208

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20070904

Comment text: Patent Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20130426

Patent event code: PE09021S01D

AMND Amendment
E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20130923

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20130426

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I

AMND Amendment
J201 Request for trial against refusal decision
PJ0201 Trial against decision of rejection

Patent event date: 20131024

Comment text: Request for Trial against Decision on Refusal

Patent event code: PJ02012R01D

Patent event date: 20130923

Comment text: Decision to Refuse Application

Patent event code: PJ02011S01I

Appeal kind category: Appeal against decision to decline refusal

Decision date: 20131218

Appeal identifier: 2013101007632

Request date: 20131024

PB0901 Examination by re-examination before a trial

Comment text: Amendment to Specification, etc.

Patent event date: 20131024

Patent event code: PB09011R02I

Comment text: Request for Trial against Decision on Refusal

Patent event date: 20131024

Patent event code: PB09011R01I

Comment text: Amendment to Specification, etc.

Patent event date: 20130626

Patent event code: PB09011R02I

B701 Decision to grant
PB0701 Decision of registration after re-examination before a trial

Patent event date: 20131218

Comment text: Decision to Grant Registration

Patent event code: PB07012S01D

Patent event date: 20131126

Comment text: Transfer of Trial File for Re-examination before a Trial

Patent event code: PB07011S01I

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20140317

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20140318

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20170220

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20170220

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20180220

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20180220

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20190220

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20190220

Start annual number: 6

End annual number: 6

FPAY Annual fee payment

Payment date: 20200225

Year of fee payment: 7

PR1001 Payment of annual fee

Payment date: 20200225

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20210216

Start annual number: 8

End annual number: 8

PR1001 Payment of annual fee

Payment date: 20220221

Start annual number: 9

End annual number: 9

PR1001 Payment of annual fee

Payment date: 20230220

Start annual number: 10

End annual number: 10

PR1001 Payment of annual fee

Payment date: 20240222

Start annual number: 11

End annual number: 11