公开(公告)号：KR1020150103903A

公开(公告)日：2015-09-14

申请号：KR1020140025542

申请日：2014-03-04

Applicant: 한국전자통신연구원

Inventor： 이상록 ,  이철호 ,  장인숙 ,  김정순 ,  강정민

IPC: G06F21/56

CPC classification number: G06F21/554 ,  G06F21/566 ,  G06F21/56

Abstract: 본 발명은 악성 코드 샘플을 실행하기 전과 후의 시스템 상태를 토대로 악성 코드를 검출하는 장치 및 그 방법에 관한 것이다. 악성 코드 검출 장치는 악성 코드 샘플이 실행되기 전 샘플 실행 시스템의 상태를 추출하는 단계, 악성 코드 샘플에 대한 정적 분석 및 동적 분석을 수행하는 단계, 악성 코드 샘플을 실행 한 후, 샘플 실행 시스템의 상태를 추출하고, 추출한 결과와 악성 코드 샘플이 실행되기 전 샘플 실행 시스템의 상태를 추출한 결과를 비교하여 시스템의 변경 정보를 획득하는 단계 및 정적 분석 및 동적 분석을 수행한 결과에 해당하는 정적 분석 정보 및 동적 분석 정보, 시스템의 변경 정보를 이용하여 악성 코드 샘플의 악성 행위 여부를 검출하는 단계를 포함한다.

Abstract translation: 本发明涉及一种基于在执行恶意代码样本之前和之后的系统的状态来检测恶意代码的装置和方法。 该装置包括以下步骤：在执行恶意代码样本之前提​​取样本执行系统的状态; 执行与恶意代码示例相关的静态分析和动态分析; 在执行恶意代码样本之后提取样本执行系统的状态，并且与执行恶意代码之前和之后的抽样执行系统的状态的提取结果相比较获得系统的修改信息; 并通过使用静态分析信息和动态分析信息来检测恶意代码样本的恶意行为，这些静态分析信息和动态分析信息是执行静态分析和动态分析的结果，以及系统的修改信息。

公开(公告)号：KR1020090130990A

公开(公告)日：2009-12-28

申请号：KR1020080056736

申请日：2008-06-17

Applicant: 한국전자통신연구원

Inventor： 장인숙 ,  이은영 ,  오형근 ,  이도훈

IPC: G06F21/22 ,  G06F21/00

CPC classification number: G06F21/554 ,  G06F21/52

Abstract: PURPOSE: An abnormal action interception device of an application program and a method thereof are provided to perform detection and interception of an abnormal action based on an action profile, thereby reducing a misjudgment rate of abnormal action detection. CONSTITUTION: An action monitor(311) detects actions of ongoing application programs(320). An abnormal action detector(312) decides whether the detected actions of the application programs are abnormal. If so, an abnormal action interceptor(313) intercepts execution of the actions of the application programs. An action profile extractor(317) generates an action profile by simulation of the application programs of analysis or source files of the application programs.

Abstract translation: 目的：提供一种应用程序的异常动作拦截装置及其方法，以基于动作简档来执行异常动作的检测和截取，从而减少异常动作检测的误判率。 构成：动作监视器（311）检测正在进行的应用程序（320）的动作。 异常动作检测器（312）判断检测到的应用程序的动作是否异常。 如果是这样，异常动作拦截器（313）拦截执行应用程序的动作。 动作简档提取器（317）通过模拟应用程序的分析应用程序或源文件来生成动作简档。

公开(公告)号：KR1020060134334A

公开(公告)日：2006-12-28

申请号：KR1020050053935

申请日：2005-06-22

Applicant: 한국전자통신연구원

Inventor： 강정민 ,  남택준 ,  장인숙 ,  이진석

IPC: G06F15/00 ,  G06F17/00

Abstract: A process classification/execution controlling device for strengthening DAC(Discretionary Access Control) and a method thereof are provided to prevent probable authority elevation by dividing program objects executable in a system into a CUS(Command, Utility, and Safety) group and a DVO(Discretionary, Vulnerable, and Outer) group, and making a process subject of a DVO group member execute a CUS group member program. An application end includes a program group management program(3) requesting program classification to the objects classified into the CUS group(1) and the DVO group(2). A kernel module(5) performs CUS/DVO group classification by responding to a received request, and controls execution of the program by linking with group information of the executable programs while storing a group of the processes executed in the system, information for an execution object repository(7), and consistency information to a kernel memory. The execution object repository classifies/stores the CUS and DVO group. A program classifier(51) classifies the execution object programs stored to the execution object repository into the CUS a DVO group.

Abstract translation: 提供了一种用于加强DAC（自由访问控制）的过程分类/执行控制装置及其方法，以通过将系统中可执行的程序对象分为CUS（命令，实用程序和安全）组和DVO（ 自由选择，弱势群体和外部群体），并使DVO小组成员的进程主体执行CUS组成员程序。 应用程序结束包括对分类为CUS组（1）和DVO组（2）的对象请求程序分类的程序组管理程序（3）。 内核模块（5）通过响应接收的请求来执行CUS / DVO组分类，并且通过与存储在系统中执行的一组处理相关的可执行程序的组信息进行链接来控制程序的执行，用于执行的信息 对象库（7），以及与内核内存的一致性信息。 执行对象库分类/存储CUS和DVO组。 程序分类器（51）将存储在执行对象库中的执行对象程序分类到CUS DVO组。

公开(公告)号：KR101709115B1

公开(公告)日：2017-03-08

申请号：KR1020150144813

申请日：2015-10-16

Applicant: 한국전자통신연구원

Inventor： 장문수 ,  장인숙 ,  김태균 ,  홍순좌

IPC: H04L12/24 ,  H04L12/22 ,  H04L29/06

Abstract: 가상훈련제공장치및 방법이개시된다. 본발명의일실시예에따른가상훈련제공장치는가상화된공격도구들을이용하여가상화된전산망에대한사이버공격훈련을제공하는공격훈련제공부; 사이버공격에대한분석을수행하는도구를이용하여, 상기가상화된전산망에대한방어훈련을제공하는방어훈련제공부; 및공격훈련의유형또는상기방어훈련의유형에기반하여상기가상화된전산망에대한재구성을수행하는관리부를포함한다.

公开(公告)号：KR101498614B1

公开(公告)日：2015-03-04

申请号：KR1020140023408

申请日：2014-02-27

Applicant: 한국전자통신연구원

Inventor： 이철호 ,  이상록 ,  장인숙 ,  김정순 ,  강정민

IPC: G06F21/56 ,  G06F9/24

CPC classification number: G06F21/562 ,  G06F21/568

Abstract: 사용자 단말이 종료되고 재시작되는 상황에서도 지속적으로 동작하는 악성코드의 활동을 부팅 및 로그인 단계에서 차단하도록 하는 악성코드 활동 차단 장치 및 방법을 제시한다. 제시된 장치는 자동실행을 허용할 수 있는 파일의 정보목록 및 설정된 보안수준의 정보를 저장하는 저장부, 사용자 단말의 부팅 직후의 기설정된 통제시간 및 사용자 로그인 직후의 기설정된 통제시간을 계시하는 계시부, 및 사용자 단말이 부팅됨에 따라 부팅 직후 및 사용자 로그인 직후에 자동실행을 허용할 수 있는 파일의 정보목록 및 설정된 보안수준을 근거로 부팅 직후의 기설정된 통제시간 및 사용자 로그인 직후의 기설정된 통제시간 동안 실행시도 파일의 실행을 허용하거나 차단하는 제어부를 포함한다.

Abstract translation: 公开了一种用于去激活恶意代码的装置和方法，其能够停用恶意代码，即使在用户终端被终止并重新启动的情况下，这些恶意代码在启动和登录步骤中也是连续运行的。 该装置包括：存储单元，被配置为存储关于允许自动执行的文件的信息列表和关于设置的安全级别的信息的信息; 计数单元，被配置为在刚刚启动用户终端之后对预定的控制时间进行计数，并且在用户登录之后计算预定的控制时间; 以及控制单元，被配置为基于用户登录后的预定控制时间，以及刚刚在用户登录之后的预定控制时间，允许或阻止用户尝试执行的文件的执行，基于可被允许的文件的信息列表 在启动和用户登录之后，自动执行和设置安全级别的信息，作为用户启动。

公开(公告)号：KR100706176B1

公开(公告)日：2007-04-12

申请号：KR1020050062560

申请日：2005-07-12

Applicant: 한국전자통신연구원

Inventor： 장인숙 ,  이진석

IPC: G06F9/44

Abstract: 본 발명은 커널 취약요소를 방어하기 위한 커널 패치 방법 및 시스템에 관한 것으로서, 커널 취약점을 제거하는 적재 가능한 커널 모듈 형태인 LKM 방식을 이용한 커널 취약점 방어 모듈과, 커널 버전별 취약점 방어 모듈 정보를 저장하고 있는 커널 패치 데이터베이스와, 커널 패치 데이터베이스를 검색하여 커널 시스템의 커널 버전에 맞는 패치를 검색하기 위한 시스템 정보 수집 모듈을 구성하여, 시스템 콜 처리 루틴에 해당 커널 취약점을 익스플로잇할 수 없도록 입력값의 유효성 검사 코드를 삽입하는 부분을 포함하여 LKM(Loadable Kernel Module) 형태로 구성함으로써 커널 수정방식의 커널 패치와 동일한 효과를 가질 수 있을 뿐만 아니라, 시스템을 재컴파일 및 재부팅할 필요가 없으며, 새로운 취약점이 발생할 경우 커널 취약점 보완 모듈만을 추가 적재함으로써 커널 취약점을 이용한 공격에 즉시적으로 대응할 수 있다.
커널 취약점, 리눅스 커널, 패치 관리, 커널 모듈, 커널 익스플로잇