-
公开(公告)号:KR101122650B1
公开(公告)日:2012-03-09
申请号:KR1020100039335
申请日:2010-04-28
Applicant: 한국전자통신연구원
CPC classification number: G06F21/566
Abstract: 본발명은정상프로세스에위장삽입된악성코드를탐지하기위한장치, 시스템및 방법에관한것이다. 본발명에따른악성코드탐지장치는, 컴퓨터시스템상에서실행중인프로세스로부터생성된쓰레드정보를추출하여상기쓰레드에연관된코드를식별하고상기식별된코드의악성여부를추정하여상기악성으로추정된코드를추출하는악성코드탐지모듈과, 상기추출된코드를가상환경에서실행하여행위를분석한결과에기반하여상기코드를악성코드로최종판단하고상기코드의실행을강제종료하는악성코드강제종료모듈을포함한다.
-
Patent Agency Ranking2.发明授权좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 有权用于识别僵尸和Sinkhole服务器的虚拟服务器和方法以及基于虚拟服务器整合管理僵尸信息的方法
公开(公告)号:KR101109669B1
公开(公告)日:2012-02-08
申请号:KR1020100039332
申请日:2010-04-28
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1458 , G06F21/44 , H04L67/146
Abstract: 본 발명은 악성봇(bot)에 의해 감염되어 악성행위를 수행하는 좀비(zombie) 호스트를 식별 및 차단하기 위한 방법 및 이를 수행하는 가상 서버와, 이러한 가상 서버에 기반하여 획득된 좀비 정보를 분석함으로써 좀비의 규모 및 분포를 파악하기 위한 방법 및 이를 수행하는 싱크홀 서버에 관한 것이다.
본 발명에 따른 가상 서버는 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하지 않은 경우에 자동접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 제공하는 인증처리모듈; 상기 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 웹서버 접속요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값을 검증하는 쿠키값검증모듈; 상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상기 웹서버로 접속할 수 있도록 유도하는 웹페이지 접속유도모듈; 및 상기 쿠키값의 검증에 실패한 경우 상기 호스트의 접속을 차단하고 상기 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 좀비식별모듈을 포함한다.-
公开(公告)号:KR101122646B1
公开(公告)日:2012-03-09
申请号:KR1020100039358
申请日:2010-04-28
Applicant: 한국전자통신연구원
CPC classification number: G06F9/455 , G06F21/55 , G06F21/554 , G06F21/56 , G06F21/566 , G06F2212/151 , H04L29/06877 , H04L29/06891 , H04L29/06911 , H04L29/06918 , H04L63/14 , H04L63/1416 , H04L63/1441 , H04L2463/144
Abstract: 본발명은위장가상머신정보를이용한인텔리전트봇 대응방법및 장치에관한것으로, 본발명에따른위장가상머신정보를이용한인텔리전트봇 대응방법은프로세스로부터의가상머신탐지요청을전역후킹(Global hooking)하는단계; 기저장된악성프로세스정보에기반하여상기가상머신탐지요청을전달한프로세스가악성프로세스에해당하는지판단하는단계; 및상기판단결과악성프로세스에해당하면상기프로세스가인텔리전트봇에의해생성된것으로판단하여위장가상머신정보를상기프로세스에리턴하는단계를포함한다.
-
公开(公告)号:KR1020110119918A
公开(公告)日:2011-11-03
申请号:KR1020100039335
申请日:2010-04-28
Applicant: 한국전자통신연구원
CPC classification number: G06F21/566
Abstract: PURPOSE: A malignant code in which is hided in a normal process detection apparatus using virtual environment, system, and method thereof are provided to effectively counteract malignant codes by detecting the changed code of the detected malignant code. CONSTITUTION: A malignant code detection module(210) distinguishes codes in which are related to thread by extracting information about the thread in which is created from a process. The malignant code detection module extracts the distinguished malignant code by distinguishing the malignant code. A malignant code termination module(220) terminates the execution of the code and determines the malignant code based on an analysis result. The analysis result is created by analyzing the extracted code in virtual environment.
Abstract translation: 目的:提供使用虚拟环境,系统及其方法的正常过程检测装置中隐藏的恶性代码,以通过检测检测到的恶性代码的改变的代码来有效地抵消恶性代码。 构成:恶性代码检测模块(210)通过提取关于从进程创建的线程的信息来区分与线程相关的代码。 恶性代码检测模块通过区分恶性代码来提取恶性代码。 恶性代码终止模块(220)终止代码的执行并基于分析结果确定恶性代码。 分析结果是通过分析虚拟环境中提取的代码来创建的。
-
公开(公告)号:KR1020110119929A
公开(公告)日:2011-11-03
申请号:KR1020100039358
申请日:2010-04-28
Applicant: 한국전자통신연구원
CPC classification number: G06F9/455 , G06F21/55 , G06F21/554 , G06F21/56 , G06F21/566 , G06F2212/151 , H04L29/06877 , H04L29/06891 , H04L29/06911 , H04L29/06918 , H04L63/14 , H04L63/1416 , H04L63/1441 , H04L2463/144
Abstract: PURPOSE: An intelligent boot action method using camouflage virtual machine information and apparatus thereof are provided to prevent an DDOS(Distributed Denial Of Service) attack or the leakage of information by enabling a user terminal not to execute a malicious process. CONSTITUTION: A VM(Virtual Machine) information database(120) stores camouflage VM information and malicious process information for determining a malicious process. A global hooking module(110) determines a VM detection request transmission process based on the malicious process information by hooking a VM search request from the process. If the process is included in the malicious process, the global hooking module returns the camouflage VM information to the process.
Abstract translation: 目的:提供使用伪装虚拟机信息的智能启动操作方法及其装置,以防止DDOS(分布式拒绝服务)攻击或信息泄漏,使得用户终端不执行恶意进程。 构成:VM(虚拟机)信息数据库(120)存储用于确定恶意进程的伪装VM信息和恶意进程信息。 全局挂钩模块(110)通过挂起来自该进程的VM搜索请求,基于恶意进程信息来确定VM检测请求传输处理。 如果进程包含在恶意进程中,则全局挂接模块会将伪装虚拟机信息返回给进程。
-
6.发明公开좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 有权虚拟服务器和识别ZOMBIES和SINKHOVER服务器的方法和基于虚拟服务器一体化管理ZOMBIE信息的方法
公开(公告)号:KR1020110119915A
公开(公告)日:2011-11-03
申请号:KR1020100039332
申请日:2010-04-28
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1458 , G06F21/44 , H04L67/146
Abstract: PURPOSE: A virtual server and method for zombie discrimination and a sinkhole server and method for managing zombie information in an integrated way based on the virtual server are provided to utilize the virtual server, thereby discriminating zombie hosts which are abnormally connected to a web server. CONSTITUTION: An authentication process module(220) certifies a host using an automatic access prevention test. The authentication process module supplies a cookie to the certified host. A cookie value verification module(240) verifies a detected cookie value by extracting the cookie value from a web server access request message. A web page access induction module(250) induces access to a web server of the host in a case of cookie value verification success. A zombie discrimination module(260) blocks the access of the host in a case of cookie value verification failure. The zombie discrimination module identifies the host as a zombie when the number of blockings exceeds a critical value.
Abstract translation: 目的:提供用于僵尸鉴别的虚拟服务器和方法,以及基于虚拟服务器的集成方式来管理僵尸信息的宿窝服务器和方法,以利用虚拟服务器,从而区分异常连接到web服务器的僵尸主机。 构成:认证处理模块(220)使用自动访问防止测试来证明主机。 认证过程模块向认证主机提供Cookie。 cookie值验证模块(240)通过从Web服务器访问请求消息提取cookie值来验证检测到的cookie值。 在cookie值验证成功的情况下,网页访问感应模块(250)可以访问主机的Web服务器。 在cookie值验证失败的情况下,僵尸识别模块(260)阻止主机的访问。 僵尸识别模块在阻塞次数超过临界值时将主机识别为僵尸。
-
-
-
-
-
Search Results
6
records
(took 0.018 seconds)
