-
公开(公告)号:KR101593163B1
公开(公告)日:2016-02-15
申请号:KR1020140056209
申请日:2014-05-12
Applicant: 한국전자통신연구원
IPC: G06F21/56
Abstract: 가상환경을인지하여가상환경인경우악성행위를진행하지않는악성코드의행위를감시하고분석하기위한실 환경악성코드분석장치및 방법을제시한다. 제시된장치는원본가상하드디스크및 자식가상하드디스크를저장하는저장부, 감염되지않은깨끗한가상하드디스크를사용하여부팅을실시하고입력받은악성코드분석결과를외부로출력하는 VHD 제어부, 및부팅이후에외부로부터의분석대상을실행하여분석대상에대한정적, 동적및 상태분석을근거로하는제 1 분석결과를생성하고분석대상의실행에의해상태가감염된가상하드디스크와깨끗한가상하드디스크사이의상태변화를비교분석하여제 2 분석결과를생성하고제 1 분석결과및 제 2 분석결과를근거로악성코드분석결과를생성하여 VHD 제어부에게로보내는분석부를포함한다.
-
公开(公告)号:KR1020150129357A
公开(公告)日:2015-11-20
申请号:KR1020140056209
申请日:2014-05-12
Applicant: 한국전자통신연구원
IPC: G06F21/56
Abstract: 가상환경을인지하여가상환경인경우악성행위를진행하지않는악성코드의행위를감시하고분석하기위한실 환경악성코드분석장치및 방법을제시한다. 제시된장치는원본가상하드디스크및 자식가상하드디스크를저장하는저장부, 감염되지않은깨끗한가상하드디스크를사용하여부팅을실시하고입력받은악성코드분석결과를외부로출력하는 VHD 제어부, 및부팅이후에외부로부터의분석대상을실행하여분석대상에대한정적, 동적및 상태분석을근거로하는제 1 분석결과를생성하고분석대상의실행에의해상태가감염된가상하드디스크와깨끗한가상하드디스크사이의상태변화를비교분석하여제 2 분석결과를생성하고제 1 분석결과및 제 2 분석결과를근거로악성코드분석결과를생성하여 VHD 제어부에게로보내는분석부를포함한다.
Abstract translation: 提供了一种在实际环境中分析恶意代码的装置和方法,用于监视和分析当通过识别虚拟环境时虚拟环境不进行恶意行为的恶意代码的行为。 所提出的装置包括:存储部分,其存储原始虚拟硬盘和子虚拟硬盘; VHD控制部,其使用未感染且清洁的虚拟硬盘执行引导,并将输入的恶意代码分析结果输出到外部; 以及分析部,其在引导之后从外部执行分析对象,基于针对分析对象的静态,活动和状态分析生成第一分析结果,比较并分析感染的虚拟硬盘与所述分析对象之间的状态变化 通过执行分析目标来清洁虚拟硬盘以产生第二分析结果,并且基于第一分析结果和第二分析结果生成恶意代码分析结果以将其发送到VHD控制部分。
-
公开(公告)号:KR101554633B1
公开(公告)日:2015-09-21
申请号:KR1020140025542
申请日:2014-03-04
Applicant: 한국전자통신연구원
IPC: G06F21/56
CPC classification number: G06F21/554 , G06F21/566
Abstract: 본발명은악성코드샘플을실행하기전과후의시스템상태를토대로악성코드를검출하는장치및 그방법에관한것이다. 악성코드검출장치는악성코드샘플이실행되기전 샘플실행시스템의상태를추출하는단계, 악성코드샘플에대한정적분석및 동적분석을수행하는단계, 악성코드샘플을실행한 후, 샘플실행시스템의상태를추출하고, 추출한결과와악성코드샘플이실행되기전 샘플실행시스템의상태를추출한결과를비교하여시스템의변경정보를획득하는단계및 정적분석및 동적분석을수행한결과에해당하는정적분석정보및 동적분석정보, 시스템의변경정보를이용하여악성코드샘플의악성행위여부를검출하는단계를포함한다.
-
公开(公告)号:KR1020090002140A
公开(公告)日:2009-01-09
申请号:KR1020070059904
申请日:2007-06-19
Applicant: 한국전자통신연구원
CPC classification number: G06F21/554
Abstract: A method for checking information flow and detecting information leakage by analyzing action of a user is provided to systematically represent the user action causing the information flow and detect the information leakage by checking the information flow generated from access to a system object. Processes operated in an OS(Operating System) are recognized as context, which is defined as a set of object handle, related API(Application Programming Interface), a function list, and context information(S701). All possible relations among the context are represented(S704). The relation among the represented context is clearly represented as user action generated from a system(S706). The represented relation among the context is determined whether a target object for the action is used as function relation for an source object of other actions(S708). The target object for the action is recognized as the action corresponding to the dynamically expanded context relation when the target object for the action has the function relation(S712).
Abstract translation: 提供了一种通过分析用户的动作来检查信息流和检测信息泄漏的方法,以系统地表示通过检查从对系统对象的访问产生的信息流引起信息流的用户动作并检测信息泄漏。 在OS(操作系统)中操作的进程被识别为上下文,其被定义为一组对象句柄,相关API(应用编程接口),功能列表和上下文信息(S701)。 表示上下文之间的所有可能的关系(S704)。 所表示的上下文之间的关系被清楚地表示为从系统生成的用户操作(S706)。 确定上下文中表示的关系是否将用于动作的目标对象用作其他动作的源对象的功能关系(S708)。 当动作的目标对象具有功能关系时,动作的目标对象被识别为对应于动态扩展的上下文关系的动作(S712)。
-
公开(公告)号:KR101498614B1
公开(公告)日:2015-03-04
申请号:KR1020140023408
申请日:2014-02-27
Applicant: 한국전자통신연구원
CPC classification number: G06F21/562 , G06F21/568
Abstract: 사용자 단말이 종료되고 재시작되는 상황에서도 지속적으로 동작하는 악성코드의 활동을 부팅 및 로그인 단계에서 차단하도록 하는 악성코드 활동 차단 장치 및 방법을 제시한다. 제시된 장치는 자동실행을 허용할 수 있는 파일의 정보목록 및 설정된 보안수준의 정보를 저장하는 저장부, 사용자 단말의 부팅 직후의 기설정된 통제시간 및 사용자 로그인 직후의 기설정된 통제시간을 계시하는 계시부, 및 사용자 단말이 부팅됨에 따라 부팅 직후 및 사용자 로그인 직후에 자동실행을 허용할 수 있는 파일의 정보목록 및 설정된 보안수준을 근거로 부팅 직후의 기설정된 통제시간 및 사용자 로그인 직후의 기설정된 통제시간 동안 실행시도 파일의 실행을 허용하거나 차단하는 제어부를 포함한다.
Abstract translation: 公开了一种用于去激活恶意代码的装置和方法,其能够停用恶意代码,即使在用户终端被终止并重新启动的情况下,这些恶意代码在启动和登录步骤中也是连续运行的。 该装置包括:存储单元,被配置为存储关于允许自动执行的文件的信息列表和关于设置的安全级别的信息的信息; 计数单元,被配置为在刚刚启动用户终端之后对预定的控制时间进行计数,并且在用户登录之后计算预定的控制时间; 以及控制单元,被配置为基于用户登录后的预定控制时间,以及刚刚在用户登录之后的预定控制时间,允许或阻止用户尝试执行的文件的执行,基于可被允许的文件的信息列表 在启动和用户登录之后,自动执行和设置安全级别的信息,作为用户启动。
-
Patent Agency Ranking
公开(公告)号:KR1020180001896A
公开(公告)日:2018-01-05
申请号:KR1020160080973
申请日:2016-06-28
Applicant: 한국전자통신연구원
CPC classification number: G06F21/56 , G06F17/30321 , G06F17/30368 , G06F17/30554
Abstract: 행위정규화를통한악성코드고속탐지및 시각화방법및 이를이용한장치가개시된다. 본발명에따른악성코드고속탐지및 시각화방법은검사대상프로그램의행위로그를추출하는단계; 기설정된정규화테이블에정의된인덱스를이용하여상기행위로그와행위기반탐지규칙을각각정규화하는단계; 정규화된행위기반탐지규칙을기준으로정규화된행위로그를비교하여악성코드를고속탐지하는단계; 및상기기설정된정규화테이블에정의된인덱스간 링크를생성하여시각화정보를제공하는단계를포함한다.
-
公开(公告)号:KR1020150103903A
公开(公告)日:2015-09-14
申请号:KR1020140025542
申请日:2014-03-04
Applicant: 한국전자통신연구원
IPC: G06F21/56
CPC classification number: G06F21/554 , G06F21/566 , G06F21/56
Abstract: 본 발명은 악성 코드 샘플을 실행하기 전과 후의 시스템 상태를 토대로 악성 코드를 검출하는 장치 및 그 방법에 관한 것이다. 악성 코드 검출 장치는 악성 코드 샘플이 실행되기 전 샘플 실행 시스템의 상태를 추출하는 단계, 악성 코드 샘플에 대한 정적 분석 및 동적 분석을 수행하는 단계, 악성 코드 샘플을 실행 한 후, 샘플 실행 시스템의 상태를 추출하고, 추출한 결과와 악성 코드 샘플이 실행되기 전 샘플 실행 시스템의 상태를 추출한 결과를 비교하여 시스템의 변경 정보를 획득하는 단계 및 정적 분석 및 동적 분석을 수행한 결과에 해당하는 정적 분석 정보 및 동적 분석 정보, 시스템의 변경 정보를 이용하여 악성 코드 샘플의 악성 행위 여부를 검출하는 단계를 포함한다.
Abstract translation: 本发明涉及一种基于在执行恶意代码样本之前和之后的系统的状态来检测恶意代码的装置和方法。 该装置包括以下步骤:在执行恶意代码样本之前提取样本执行系统的状态; 执行与恶意代码示例相关的静态分析和动态分析; 在执行恶意代码样本之后提取样本执行系统的状态,并且与执行恶意代码之前和之后的抽样执行系统的状态的提取结果相比较获得系统的修改信息; 并通过使用静态分析信息和动态分析信息来检测恶意代码样本的恶意行为,这些静态分析信息和动态分析信息是执行静态分析和动态分析的结果,以及系统的修改信息。
-
8.发明授权
公开(公告)号:KR101055267B1
公开(公告)日:2011-08-09
申请号:KR1020100019869
申请日:2010-03-05
Applicant: 한국전자통신연구원
Abstract: PURPOSE: A distribution site identification method of an active-X control, security vulnerability detection method, and immunization method are provided to recognize the distribution of an active-X control. CONSTITUTION: A checking object URL is obtained by performing a search engine query in a distribution site identification server(S202,S203). The checking object URL is accessed through the implementation of a web browser(S204,S205). It is determined whether to use active-X control in the accessed detection target(S206). The information of the corresponding active-x control is collected and recorded in the distribution present condition DB(S208).
Abstract translation: 目的:提供Active-X控件的分发站点识别方法,安全漏洞检测方法和免疫方法,以识别主动X控件的分布。 构成:通过在分发站点识别服务器中执行搜索引擎查询来获得检查对象URL(S202,S203)。 通过Web浏览器的实现访问检查对象URL(S204,S205)。 确定是否在被访问的检测目标中使用主动X控制(S206)。 相应的active-x控制的信息被收集并记录在分配当前状态DB中(S208)。
-
公开(公告)号:KR1020080047261A
公开(公告)日:2008-05-28
申请号:KR1020070100391
申请日:2007-10-05
Applicant: 한국전자통신연구원
IPC: G06F11/00
Abstract: A method and a system for detecting an anomaly malicious code with a process behavior prediction technique are provided to detect the anomaly malicious code by making a prediction pattern based on combination between all behaviors generated from normal/malicious codes and related events, and comparing the prediction pattern with a behavior pattern generated from a new execution code. A database filtering module(200) filters malicious codes from execution codes executed in a system. A system resource monitoring module(3001) monitors system resources to collect individual event information generated from the executed execution codes. A reprocessing module(4001) reconfigures one integrated log representing a behavior property value of the execution codes by reprocessing the individual event information. A behavior prediction information processing module(500) extracts the behavior property value of an anomaly malicious behavior by inputting the integrated log in a learning algorithm. An anomaly malicious behavior detecting module(700) detects malicious behavior by comparing the anomaly malicious behavior property value extracted from the behavior prediction information processing module with behavior property value data reformed in the reprocessing module.
Abstract translation: 提供了一种利用过程行为预测技术检测异常恶意代码的方法和系统,用于通过基于从正常/恶意代码和相关事件产生的所有行为之间的组合进行预测模式来检测异常恶意代码,并比较预测 模式与从新的执行代码生成的行为模式。 数据库过滤模块(200)从系统中执行的执行代码过滤恶意代码。 系统资源监控模块(3001)监视系统资源以收集从执行的执行代码生成的各个事件信息。 重新处理模块(4001)通过重新处理各个事件信息来重新配置表示执行代码的行为属性值的一个集成日志。 行为预测信息处理模块(500)通过在学习算法中输入积分日志来提取异常恶意行为的行为属性值。 异常恶意行为检测模块(700)通过将从行为预测信息处理模块提取的异常恶意行为属性值与在再处理模块中改进的行为属性值数据进行比较来检测恶意行为。
-
公开(公告)号:KR100635130B1
公开(公告)日:2006-10-17
申请号:KR1020050061579
申请日:2005-07-08
Applicant: 한국전자통신연구원
Abstract: A system and a method for detecting a kernel backdoor through window network monitoring are provided to prevent illegal intrusion and information leakage caused from the kernel backdoor by transmitting information to a kernel backdoor detector in case that the information respectively received from a TDI(Transport Driver Interface) and NDIS(Network Driver Interface Specification) monitor is present at the same time. The TDI monitor(310) detects a network packet generated from a user process(350) and transmits detected network packet information to the kernel backdoor detector(300). The NDIS detector(320) detects the outgoing and incoming network packet network of a network protocol, and transmits the detected network packet information to the kernel backdoor detector. The kernel backdoor detector determines only the network packet passing the NDIS monitor as the kernel backdoor by analyzing a route of the network packet received from the TDI and NDIS monitor. The TDI monitor is placed between a user process layer and a network protocol layer including the kernel backdoor. The NDIS monitor is placed the network protocol layer and a mini port.
Abstract translation: 提供了一种通过窗口网络监视来检测内核后门的系统和方法,用于通过向内核后门检测器发送信息来防止由内核后门引起的非法入侵和信息泄露,在TDI(传输驱动程序接口 )和NDIS(网络驱动程序接口规范)监视器同时存在。 TDI监视器(310)检测从用户进程(350)产生的网络分组并将检测到的网络分组信息发送到内核后门检测器(300)。 NDIS检测器(320)检测网络协议的输出和输入网络分组网络,并将检测到的网络分组信息发送到内核后门检测器。 内核后门检测器通过分析从TDI和NDIS监视器接收到的网络数据包的路由,仅确定通过NDIS监视器作为内核后门的网络数据包。 TDI监视器位于用户进程层和包含内核后门的网络协议层之间。 NDIS监视器放置在网络协议层和一个迷你端口上。
-
-
-
-
-
-
-
-
-
Search Results
14
records
(took 0.024 seconds)
