公开(公告)号：KR101027928B1

公开(公告)日：2011-04-12

申请号：KR1020080071762

申请日：2008-07-23

Applicant: 한국전자통신연구원

Inventor： 강정민 ,  최영한 ,  이도훈 ,  박응기

IPC: G06F21/00 ,  G06F9/00

CPC classification number: G06F21/53 ,  G06F21/563 ,  H04L63/1466

Abstract: 본 발명은 난독화된 악성 웹페이지 탐지 방법 및 장치에 관한 것이다.
본 발명은 난독화된 악성 코드를 해석하여 악성 웹페이지를 찾아내는 것을 목적으로 한다.
본 발명의 악성 웹 페이지 탐지 장치는 웹 페이지의 소스 코드에 난독화된 코드가 포함되었는지를 탐지하는 난독화 코드 탐지부와, 상기 난독화된 코드를 해석하는 함수를 상기 소스 코드에 삽입하여 상기 소스 코드를 재구성하는 난독화 해석 함수 삽입부와, 상기 재구성된 코드에 삽입된 함수에 의해 호출되어 상기 난독화된 코드를 해석하는 난독화 해석부 및 상기 해석된 코드를 이용하여 악성 코드를 탐지하는 악성 코드 탐지부를 포함한다.
난독화, 악성 코드, 탐지

公开(公告)号：KR100894331B1

公开(公告)日：2009-04-24

申请号：KR1020070059535

申请日：2007-06-18

Applicant: 한국전자통신연구원

Inventor： 장문수 ,  강정민 ,  김장하 ,  손기욱

IPC: G06F11/00

Abstract: 본 발명은 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의 비정상 행위를 탐지하는 시스템 및 방법을 제공하는 것으로, 본 발명에 따른 침입 탐지 시스템은 웹 요청과 웹 서버의 응답에 대한 정보와 저장된 웹 로그의 문자열을 Ratcliff와 Metzener의 패턴 매칭 알고리즘을 사용하여 웹 로그 문자열의 유사도를 분석함으로써 특정 웹 페이지로의 접근에 대한 정상 유무를 판단함에 따라 알려지지 않은 공격을 탐지할 수 있고, 오탐지(false positive)율도 낮출 수 있다.
웹 애플리케이션, 웹 로그, 침입 탐지, 상호연관분석, 웹 로그 문자열의 유사도

公开(公告)号：KR100772455B1

公开(公告)日：2007-11-01

申请号：KR1020050053935

申请日：2005-06-22

Applicant: 한국전자통신연구원

Inventor： 강정민 ,  남택준 ,  장인숙 ,  이진석

IPC: G06F15/00 ,  G06F17/00

Abstract: 본 발명은 DAC 강화를 위한 프로세스 분류/실행 제어 장치 및 방법에 관한 것으로서, 시스템 내에서 실행 가능한 프로그램 객체들을 시스템 명령어(Command), 유틸리티(Utility), 안전성(Safety)이 입증된 프로그램들의 그룹인 CUS 그룹과, 내부 사용자가 임의로(Discretionary) 제작한 프로그램, 알려진 취약한(Vulnerable) 프로그램, 외부(Outer) 사용자가 접속 시 구동되는 서비스 프로그램들의 그룹인 DVO 그룹으로 나누고, DVO 그룹 멤버 프로세스 주체가 CUS 그룹 멤버 프로그램을 실행함으로써 발생 가능한 권한 상승을 사전에 차단할 수 있도록 하기 위해, 실행가능 객체들을 분류, 관리할 수 있는 응용단의 관리 프로그램과 커널단의 실행 프로세스 관리부, 실행객체 관리부 및 프로세스 실행 통제부로 구성시킴으로써, 기존 DAC 시스템의 운영성을 그대로 보장할 수 있으며, 버퍼오버플로우 같은 공격으로 인한 시스템 탈취 위협을 줄여 안전한 시스템 개발에 활용될 수 있다.
DAC, 프로세스 관리부, 실행객체 관리부, 프로세스 실행 통제부

公开(公告)号：KR1020170130961A

公开(公告)日：2017-11-29

申请号：KR1020160061988

申请日：2016-05-20

Applicant: 한국전자통신연구원

Inventor： 이건희 ,  김성호 ,  김윤삼 ,  김인중 ,  강정민

IPC: H04L29/06

CPC classification number: H04L63/18 ,  H04L63/0428 ,  H04L63/08 ,  H04L63/166

Abstract: 보안통신장치및 방법이개시된다. 본발명에따른보안통신장치는, 보안통신장치에설치된로컬응용프로그램이전송하는제1 통신패킷이루프백어댑터로전송되도록, 라우팅테이블을수정하는라우팅테이블수정부, 상기루프백어댑터가수신한상기제1 통신패킷을암호화및 캡슐화하여제1 보안패킷을생성하는보안패킷생성부, 그리고생성된상기제1 보안패킷을상기로컬응용프로그램에상응하는원격응용프로그램이설치된원격보안통신장치로전송하는패킷송수신부를포함한다.

公开(公告)号：KR101593163B1

公开(公告)日：2016-02-15

申请号：KR1020140056209

申请日：2014-05-12

Applicant: 한국전자통신연구원

Inventor： 이상록 ,  강정민 ,  김정순 ,  이철호 ,  장인숙

IPC: G06F21/56

CPC classification number: G06F21/53 ,  G06F21/52

Abstract: 가상환경을인지하여가상환경인경우악성행위를진행하지않는악성코드의행위를감시하고분석하기위한실 환경악성코드분석장치및 방법을제시한다. 제시된장치는원본가상하드디스크및 자식가상하드디스크를저장하는저장부, 감염되지않은깨끗한가상하드디스크를사용하여부팅을실시하고입력받은악성코드분석결과를외부로출력하는 VHD 제어부, 및부팅이후에외부로부터의분석대상을실행하여분석대상에대한정적, 동적및 상태분석을근거로하는제 1 분석결과를생성하고분석대상의실행에의해상태가감염된가상하드디스크와깨끗한가상하드디스크사이의상태변화를비교분석하여제 2 분석결과를생성하고제 1 분석결과및 제 2 분석결과를근거로악성코드분석결과를생성하여 VHD 제어부에게로보내는분석부를포함한다.

公开(公告)号：KR1020150129357A

公开(公告)日：2015-11-20

申请号：KR1020140056209

申请日：2014-05-12

Applicant: 한국전자통신연구원

Inventor： 이상록 ,  강정민 ,  김정순 ,  이철호 ,  장인숙

IPC: G06F21/56

CPC classification number: G06F21/53 ,  G06F21/52 ,  G06F21/56

Abstract: 가상환경을인지하여가상환경인경우악성행위를진행하지않는악성코드의행위를감시하고분석하기위한실 환경악성코드분석장치및 방법을제시한다. 제시된장치는원본가상하드디스크및 자식가상하드디스크를저장하는저장부, 감염되지않은깨끗한가상하드디스크를사용하여부팅을실시하고입력받은악성코드분석결과를외부로출력하는 VHD 제어부, 및부팅이후에외부로부터의분석대상을실행하여분석대상에대한정적, 동적및 상태분석을근거로하는제 1 분석결과를생성하고분석대상의실행에의해상태가감염된가상하드디스크와깨끗한가상하드디스크사이의상태변화를비교분석하여제 2 분석결과를생성하고제 1 분석결과및 제 2 분석결과를근거로악성코드분석결과를생성하여 VHD 제어부에게로보내는분석부를포함한다.

Abstract translation: 提供了一种在实际环境中分析恶意代码的装置和方法，用于监视和分析当通过识别虚拟环境时虚拟环境不进行恶意行为的恶意代码的行为。 所提出的装置包括：存储部分，其存储原始虚拟硬盘和子虚拟硬盘; VHD控制部，其使用未感染且清洁的虚拟硬盘执行引导，并将输入的恶意代码分析结果输出到外部; 以及分析部，其在引导之后从外部执行分析对象，基于针对分析对象的静态，活动和状态分析生成第一分析结果，比较并分析感染的虚拟硬盘与所述分析对象之间的状态变化 通过执行分析目标来清洁虚拟硬盘以产生第二分析结果，并且基于第一分析结果和第二分析结果生成恶意代码分析结果以将其发送到VHD控制部分。

公开(公告)号：KR101554633B1

公开(公告)日：2015-09-21

申请号：KR1020140025542

申请日：2014-03-04

Applicant: 한국전자통신연구원

Inventor： 이상록 ,  이철호 ,  장인숙 ,  김정순 ,  강정민

IPC: G06F21/56

CPC classification number: G06F21/554 ,  G06F21/566

Abstract: 본발명은악성코드샘플을실행하기전과후의시스템상태를토대로악성코드를검출하는장치및 그방법에관한것이다. 악성코드검출장치는악성코드샘플이실행되기전 샘플실행시스템의상태를추출하는단계, 악성코드샘플에대한정적분석및 동적분석을수행하는단계, 악성코드샘플을실행한 후, 샘플실행시스템의상태를추출하고, 추출한결과와악성코드샘플이실행되기전 샘플실행시스템의상태를추출한결과를비교하여시스템의변경정보를획득하는단계및 정적분석및 동적분석을수행한결과에해당하는정적분석정보및 동적분석정보, 시스템의변경정보를이용하여악성코드샘플의악성행위여부를검출하는단계를포함한다.

公开(公告)号：KR101428781B1

公开(公告)日：2014-08-08

申请号：KR1020120129309

申请日：2012-11-15

Applicant: 한국전자통신연구원

Inventor： 김정순 ,  강정민 ,  김강산 ,  신욱

IPC: G06F17/00 ,  G06F9/45

Abstract: 컴파일러 정보 유사도를 이용한 실행파일 분류 장치 및 방법이 개시된다. 본 발명에 따른 컴파일러 정보 유사도를 이용한 실행파일 분류 장치는 분류 대상 실행파일의 헤더에서 분류 대상 컴파일러 정보를 획득하는 컴파일러 정보 획득부; 실행파일 그룹들 각각의 샘플 컴파일러 정보 및 상기 분류 대상 컴파일러 정보 간의 유사도 값들을 산출하는 유사도 산출부; 및 상기 유사도 값들을 이용하여 상기 분류 대상 실행파일이 상기 실행파일 그룹들 중 어느 하나에 해당하는지 여부를 판단하여 상기 분류 대상 실행파일을 분류한다.

公开(公告)号：KR1020100010749A

公开(公告)日：2010-02-02

申请号：KR1020080071762

申请日：2008-07-23

Applicant: 한국전자통신연구원

Inventor： 강정민 ,  최영한 ,  이도훈 ,  박응기

IPC: G06F21/00 ,  G06F9/00

CPC classification number: G06F21/53 ,  G06F21/563 ,  H04L63/1466

Abstract: PURPOSE: An apparatus and a method for detecting obfuscated web page are provided to efficiently detect the malicious code before executing the malicious code. CONSTITUTION: An obfuscated code detector(305) detects the insertion of the code which is within the source code of the web page the desultory reading. An obfuscated analysis function insertion unit(307) inserts the analytical function of the code which is the desultory reading into the source code. The desultory reading analytical function insertion part reconstructs the source code. An obfuscated analyzing unit(309) is called with a function. The obfuscated analyzing unit interprets the code which is obfuscated. A malicious code detector(303) detects the malicious code through the interpreted code as described above.

Abstract translation: 目的：提供一种用于检测混淆网页的装置和方法，以在执行恶意代码之前有效地检测恶意代码。 构成：混淆代码检测器（305）检测在网页的源代码内的代码的插入是不完整的读取。 模糊化分析功能插入单元（307）将作为解密读取的代码的分析功能插入到源代码中。 解读阅读分析功能插入部分重构源代码。 调用具有功能的混淆分析单元（309）。 混淆分析单元解释被模糊化的代码。 恶意代码检测器（303）通过如上所述的解释代码检测恶意代码。

公开(公告)号：KR1020090019451A

公开(公告)日：2009-02-25

申请号：KR1020070083896

申请日：2007-08-21

Applicant: 한국전자통신연구원

Inventor： 강정민 ,  이도훈 ,  박응기 ,  박춘식

IPC: G06F11/00

CPC classification number: H04L63/1475 ,  G06F21/554 ,  G06F2221/2119 ,  H04L63/168

Abstract: A phishing and pharming alarming method and device are provided to inform whether the website s is the pishing site or not to protect the user of internet. The phishing and pharming alarm device extract the access site information of the access site in which the connection is(403). In case the database in which the normality site information having the same domain as the access site is already constructed, the apparatus compares the access site information with normality site information(407,409,411). In case the access site information and normality site information does not coincide with, the apparatus informs that the access site gets phishing(413).

Abstract translation: 提供网络钓鱼和制药报警方法和装置，以通知网站是否是钓鱼网站，以保护互联网用户。 网络钓鱼和制药报警装置提取连接所在的访问站点的访问站点信息（403）。 在已经构建了具有与访问站点相同的域的正常站点信息的数据库的情况下，该设备将访问站点信息与正常站点信息进行比较（407,409,411）。 在访问站点信息和正常站点信息不一致的情况下，设备通知访问站点进行网络钓鱼（413）。