-
公开(公告)号:KR101593163B1
公开(公告)日:2016-02-15
申请号:KR1020140056209
申请日:2014-05-12
Applicant: 한국전자통신연구원
IPC: G06F21/56
Abstract: 가상환경을인지하여가상환경인경우악성행위를진행하지않는악성코드의행위를감시하고분석하기위한실 환경악성코드분석장치및 방법을제시한다. 제시된장치는원본가상하드디스크및 자식가상하드디스크를저장하는저장부, 감염되지않은깨끗한가상하드디스크를사용하여부팅을실시하고입력받은악성코드분석결과를외부로출력하는 VHD 제어부, 및부팅이후에외부로부터의분석대상을실행하여분석대상에대한정적, 동적및 상태분석을근거로하는제 1 분석결과를생성하고분석대상의실행에의해상태가감염된가상하드디스크와깨끗한가상하드디스크사이의상태변화를비교분석하여제 2 분석결과를생성하고제 1 분석결과및 제 2 분석결과를근거로악성코드분석결과를생성하여 VHD 제어부에게로보내는분석부를포함한다.
-
公开(公告)号:KR1020150129357A
公开(公告)日:2015-11-20
申请号:KR1020140056209
申请日:2014-05-12
Applicant: 한국전자통신연구원
IPC: G06F21/56
Abstract: 가상환경을인지하여가상환경인경우악성행위를진행하지않는악성코드의행위를감시하고분석하기위한실 환경악성코드분석장치및 방법을제시한다. 제시된장치는원본가상하드디스크및 자식가상하드디스크를저장하는저장부, 감염되지않은깨끗한가상하드디스크를사용하여부팅을실시하고입력받은악성코드분석결과를외부로출력하는 VHD 제어부, 및부팅이후에외부로부터의분석대상을실행하여분석대상에대한정적, 동적및 상태분석을근거로하는제 1 분석결과를생성하고분석대상의실행에의해상태가감염된가상하드디스크와깨끗한가상하드디스크사이의상태변화를비교분석하여제 2 분석결과를생성하고제 1 분석결과및 제 2 분석결과를근거로악성코드분석결과를생성하여 VHD 제어부에게로보내는분석부를포함한다.
Abstract translation: 提供了一种在实际环境中分析恶意代码的装置和方法,用于监视和分析当通过识别虚拟环境时虚拟环境不进行恶意行为的恶意代码的行为。 所提出的装置包括:存储部分,其存储原始虚拟硬盘和子虚拟硬盘; VHD控制部,其使用未感染且清洁的虚拟硬盘执行引导,并将输入的恶意代码分析结果输出到外部; 以及分析部,其在引导之后从外部执行分析对象,基于针对分析对象的静态,活动和状态分析生成第一分析结果,比较并分析感染的虚拟硬盘与所述分析对象之间的状态变化 通过执行分析目标来清洁虚拟硬盘以产生第二分析结果,并且基于第一分析结果和第二分析结果生成恶意代码分析结果以将其发送到VHD控制部分。
-
公开(公告)号:KR101554633B1
公开(公告)日:2015-09-21
申请号:KR1020140025542
申请日:2014-03-04
Applicant: 한국전자통신연구원
IPC: G06F21/56
CPC classification number: G06F21/554 , G06F21/566
Abstract: 본발명은악성코드샘플을실행하기전과후의시스템상태를토대로악성코드를검출하는장치및 그방법에관한것이다. 악성코드검출장치는악성코드샘플이실행되기전 샘플실행시스템의상태를추출하는단계, 악성코드샘플에대한정적분석및 동적분석을수행하는단계, 악성코드샘플을실행한 후, 샘플실행시스템의상태를추출하고, 추출한결과와악성코드샘플이실행되기전 샘플실행시스템의상태를추출한결과를비교하여시스템의변경정보를획득하는단계및 정적분석및 동적분석을수행한결과에해당하는정적분석정보및 동적분석정보, 시스템의변경정보를이용하여악성코드샘플의악성행위여부를검출하는단계를포함한다.
-
公开(公告)号:KR101428781B1
公开(公告)日:2014-08-08
申请号:KR1020120129309
申请日:2012-11-15
Applicant: 한국전자통신연구원
Abstract: 컴파일러 정보 유사도를 이용한 실행파일 분류 장치 및 방법이 개시된다. 본 발명에 따른 컴파일러 정보 유사도를 이용한 실행파일 분류 장치는 분류 대상 실행파일의 헤더에서 분류 대상 컴파일러 정보를 획득하는 컴파일러 정보 획득부; 실행파일 그룹들 각각의 샘플 컴파일러 정보 및 상기 분류 대상 컴파일러 정보 간의 유사도 값들을 산출하는 유사도 산출부; 및 상기 유사도 값들을 이용하여 상기 분류 대상 실행파일이 상기 실행파일 그룹들 중 어느 하나에 해당하는지 여부를 판단하여 상기 분류 대상 실행파일을 분류한다.
-
公开(公告)号:KR101498614B1
公开(公告)日:2015-03-04
申请号:KR1020140023408
申请日:2014-02-27
Applicant: 한국전자통신연구원
CPC classification number: G06F21/562 , G06F21/568
Abstract: 사용자 단말이 종료되고 재시작되는 상황에서도 지속적으로 동작하는 악성코드의 활동을 부팅 및 로그인 단계에서 차단하도록 하는 악성코드 활동 차단 장치 및 방법을 제시한다. 제시된 장치는 자동실행을 허용할 수 있는 파일의 정보목록 및 설정된 보안수준의 정보를 저장하는 저장부, 사용자 단말의 부팅 직후의 기설정된 통제시간 및 사용자 로그인 직후의 기설정된 통제시간을 계시하는 계시부, 및 사용자 단말이 부팅됨에 따라 부팅 직후 및 사용자 로그인 직후에 자동실행을 허용할 수 있는 파일의 정보목록 및 설정된 보안수준을 근거로 부팅 직후의 기설정된 통제시간 및 사용자 로그인 직후의 기설정된 통제시간 동안 실행시도 파일의 실행을 허용하거나 차단하는 제어부를 포함한다.
Abstract translation: 公开了一种用于去激活恶意代码的装置和方法,其能够停用恶意代码,即使在用户终端被终止并重新启动的情况下,这些恶意代码在启动和登录步骤中也是连续运行的。 该装置包括:存储单元,被配置为存储关于允许自动执行的文件的信息列表和关于设置的安全级别的信息的信息; 计数单元,被配置为在刚刚启动用户终端之后对预定的控制时间进行计数,并且在用户登录之后计算预定的控制时间; 以及控制单元,被配置为基于用户登录后的预定控制时间,以及刚刚在用户登录之后的预定控制时间,允许或阻止用户尝试执行的文件的执行,基于可被允许的文件的信息列表 在启动和用户登录之后,自动执行和设置安全级别的信息,作为用户启动。
-
Patent Agency Ranking
公开(公告)号:KR100882348B1
公开(公告)日:2009-02-13
申请号:KR1020060123871
申请日:2006-12-07
Applicant: 한국전자통신연구원 , 전남대학교산학협력단
CPC classification number: G06F21/6218
Abstract: 본 발명은 보안 정책의 복잡성을 개선시켜 전문지식이 없는 사용자가 보안 정책을 쉽게 설정할 수 있도록 하는 보안 운영 체제에서의 보안 정책 설정 방법 및 장치에 관한 것으로, 객체의 타입 수 및 규칙의 수를 현저하게 감소시켜 보안 정책의 복잡성을 제거하고, 그 결과 전문 지식이 없는 사용자라도 쉽게 원하는 보안 정책을 설정하거나 조정할 수 있도록 하기 위하여, 주체, 객체, 그리고 주체가 객체에 가질 수 있는 권한을 설정하는 형태로 구성되는 보안 정책 템플릿을 정의하고, 상기 정의된 보안 정책 템플릿을 SELinux에 적용 가능한 TE 보안 정책으로 변화하여 SELinux에서 보안 정책으로 적용될 수 있도록 한 것이다.
보안 정책, 보안 운영 체제, SELinux, TE(Type Enforcement)-
公开(公告)号:KR101593183B1
公开(公告)日:2016-02-15
申请号:KR1020140109572
申请日:2014-08-22
Applicant: 한국전자통신연구원
IPC: G06F21/56
CPC classification number: G06F21/00
Abstract: 가상환경에서악성파일로의심되는실행파일을분석시악성행위가발현되지않아분석결과가잘못되는문제점을해결할수 있는가상환경에서의악성코드분석을위한자동행위발현장치및 방법을제시한다. 제시된장치는가상의환경에서실행파일의분석을행하고실행파일이수행될때 생성되는시스템정보를저장하는분석에이전트부, 및분석에이전트부에서분석되는실행파일중에서분석되지않은실행파일이있다면가상의환경을분석되지않은실행파일이동작하는실제환경과일치되도록재설정하고분석에이전트부가분석되지않은실행파일에대한재분석을수행하도록관리하는매니저부를포함한다.
Abstract translation: 提出了一种用于自动表达分析虚拟环境中的恶意代码的动作的装置和方法,其可以解决分析结果不正确的问题,因为当分析可疑为恶意的可执行文件时,不表示恶意行为 文件在虚拟环境中。 所提出的装置包括:分析代理单元,用于分析虚拟环境中的可执行文件并存储执行可执行文件时生成的系统信息; 以及管理单元,用于将虚拟环境重置为与其中运行未分析的可执行文件的实际环境相匹配,如果在由分析代理单元分析的可执行文件中存在未分析的可执行文件,并且将分析代理单元管理为 对未分析的可执行文件执行重新分析。
-
公开(公告)号:KR1020140062959A
公开(公告)日:2014-05-27
申请号:KR1020120129309
申请日:2012-11-15
Applicant: 한국전자통신연구원
Abstract: Disclosed are a device for classifying execution files using compiler data similarity and a method thereof. According to the present invention, the device for classifying execution files using compiler data similarity includes: a compiler data acquisition unit which acquires classification-target compiler data from the header of a classification-target execution file; and a similarity calculation unit which calculates a similarity value between sample compiler data of each execution file group and the classification-target compiler data, thereby classifying the classification-target execution file by determining to which execution file group the classification-target execution file belongs using the similarity value.
Abstract translation: 公开了一种使用编译器数据相似性对执行文件进行分类的装置及其方法。 根据本发明,使用编译器数据相似度对执行文件进行分类的装置包括:编译器数据获取单元,从分类目标执行文件的头部获取分类目标编译器数据; 以及相似度计算单元,其计算每个执行文件组的样本编辑器数据与分类对象编辑器数据之间的相似度值,从而通过确定分类目标执行文件所属于哪个执行文件组来分类分类目标执行文件 相似度值。
-
公开(公告)号:KR1020150103903A
公开(公告)日:2015-09-14
申请号:KR1020140025542
申请日:2014-03-04
Applicant: 한국전자통신연구원
IPC: G06F21/56
CPC classification number: G06F21/554 , G06F21/566 , G06F21/56
Abstract: 본 발명은 악성 코드 샘플을 실행하기 전과 후의 시스템 상태를 토대로 악성 코드를 검출하는 장치 및 그 방법에 관한 것이다. 악성 코드 검출 장치는 악성 코드 샘플이 실행되기 전 샘플 실행 시스템의 상태를 추출하는 단계, 악성 코드 샘플에 대한 정적 분석 및 동적 분석을 수행하는 단계, 악성 코드 샘플을 실행 한 후, 샘플 실행 시스템의 상태를 추출하고, 추출한 결과와 악성 코드 샘플이 실행되기 전 샘플 실행 시스템의 상태를 추출한 결과를 비교하여 시스템의 변경 정보를 획득하는 단계 및 정적 분석 및 동적 분석을 수행한 결과에 해당하는 정적 분석 정보 및 동적 분석 정보, 시스템의 변경 정보를 이용하여 악성 코드 샘플의 악성 행위 여부를 검출하는 단계를 포함한다.
Abstract translation: 本发明涉及一种基于在执行恶意代码样本之前和之后的系统的状态来检测恶意代码的装置和方法。 该装置包括以下步骤:在执行恶意代码样本之前提取样本执行系统的状态; 执行与恶意代码示例相关的静态分析和动态分析; 在执行恶意代码样本之后提取样本执行系统的状态,并且与执行恶意代码之前和之后的抽样执行系统的状态的提取结果相比较获得系统的修改信息; 并通过使用静态分析信息和动态分析信息来检测恶意代码样本的恶意行为,这些静态分析信息和动态分析信息是执行静态分析和动态分析的结果,以及系统的修改信息。
-
公开(公告)号:KR1020080051972A
公开(公告)日:2008-06-11
申请号:KR1020060123871
申请日:2006-12-07
Applicant: 한국전자통신연구원 , 전남대학교산학협력단
CPC classification number: G06F21/6218 , G06F9/4401 , G06F21/6281
Abstract: A method and a device for setting up a security policy for a secure OS(Operating System) are provided to remove complexity by reducing the number of types and rules remarkably based on comparison with a usual SELinux(Security Enhanced Linux) security policy setting mode, and enable a user having no specialize knowledge to set up or control the desired security policy easily. An SELinux security policy template(51) comprises a form for setting up a subject, an object, and a subject's right for the object. A converting module(52) converts the security policy template into a TE(Type Enforcement) security policy(53) applicable to SELinux. The security policy includes a subject element defining the subject accessing the object, an object element defining the object accessed by the defined subject, a right element defining an access authority between the defined object and subject, and a transition element defining domain transition. The converting module includes a parser(521) parsing the security policy template, and a generator(522) generating more than one of a subject domain, the domain transition, an object type, and a TE operation from the parsed data, and generating TE context by combining the same.
Abstract translation: 提供了一种用于设置安全操作系统(Operating System,安全操作系统)安全策略的方法和设备,以通过与通常的SELinux(安全增强型Linux)安全策略设置模式进行比较来显着减少类型和规则的数量来消除复杂性, 并且使得不具有专业知识的用户容易地设置或控制期望的安全策略。 SELinux安全策略模板(51)包括用于设置对象的对象,对象和主体的权利的表单。 转换模块(52)将安全策略模板转换为适用于SELinux的TE(Type Enforcement)安全策略(53)。 安全策略包括定义访问对象的主体的主题元素,定义由定义的对象访问的对象的对象元素,定义被定义的对象和对象之间的访问权限的正确元素以及定义域转换的过渡元素。 转换模块包括解析安全策略模板的解析器(521),以及生成器(522),从解析的数据生成多个主题域,域转换,对象类型和TE操作,以及生成TE 上下文相结合。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.022 seconds)
