公开(公告)号：KR1020090108943A

公开(公告)日：2009-10-19

申请号：KR1020080034302

申请日：2008-04-14

Applicant: 한국전자통신연구원

Inventor： 최영한 ,  장인숙 ,  오형근 ,  이도훈

IPC: G06Q50/32 ,  G06F17/30 ,  G06Q10/10 ,  H03M7/30

CPC classification number: G06F17/30719 ,  G06F17/30616 ,  G06Q10/107 ,  G06Q50/32 ,  H03M7/707

Abstract: PURPOSE: An apparatus and a method for extracting texts from a file attached to an internet mail are provided to extract the texts from a file attached to an e-mail without executing the attached file. CONSTITUTION: A mail display unit(109) displays a received internet mail and an attached file, and an attached file storage unit(103) stores the attached files. A text extraction engine(105) extracts a text code included in the attached file, and an attached file text extraction unit(107) extracts the texts included in the attachment file by using the text extraction engine.

Abstract translation: 目的：提供从连接到互联网邮件的文件中提取文本的装置和方法，用于从连接到电子邮件的文件中提取文本，而不执行附件。 构成：邮件显示单元（109）显示接收到的互联网邮件和附加文件，并且附加文件存储单元（103）存储所附加的文件。 文本提取引擎（105）提取包含在附加文件中的文本代码，并且附加文件文本提取单元（107）通过使用文本提取引擎提取包含在附件文件中的文本。

公开(公告)号：KR100772455B1

公开(公告)日：2007-11-01

申请号：KR1020050053935

申请日：2005-06-22

Applicant: 한국전자통신연구원

Inventor： 강정민 ,  남택준 ,  장인숙 ,  이진석

IPC: G06F15/00 ,  G06F17/00

Abstract: 본 발명은 DAC 강화를 위한 프로세스 분류/실행 제어 장치 및 방법에 관한 것으로서, 시스템 내에서 실행 가능한 프로그램 객체들을 시스템 명령어(Command), 유틸리티(Utility), 안전성(Safety)이 입증된 프로그램들의 그룹인 CUS 그룹과, 내부 사용자가 임의로(Discretionary) 제작한 프로그램, 알려진 취약한(Vulnerable) 프로그램, 외부(Outer) 사용자가 접속 시 구동되는 서비스 프로그램들의 그룹인 DVO 그룹으로 나누고, DVO 그룹 멤버 프로세스 주체가 CUS 그룹 멤버 프로그램을 실행함으로써 발생 가능한 권한 상승을 사전에 차단할 수 있도록 하기 위해, 실행가능 객체들을 분류, 관리할 수 있는 응용단의 관리 프로그램과 커널단의 실행 프로세스 관리부, 실행객체 관리부 및 프로세스 실행 통제부로 구성시킴으로써, 기존 DAC 시스템의 운영성을 그대로 보장할 수 있으며, 버퍼오버플로우 같은 공격으로 인한 시스템 탈취 위협을 줄여 안전한 시스템 개발에 활용될 수 있다.
DAC, 프로세스 관리부, 실행객체 관리부, 프로세스 실행 통제부

公开(公告)号：KR1020070008782A

公开(公告)日：2007-01-18

申请号：KR1020050062560

申请日：2005-07-12

Applicant: 한국전자통신연구원

Inventor： 장인숙 ,  이진석

IPC: G06F9/44

CPC classification number: G06F9/4406 ,  G06F8/65 ,  G06F8/71 ,  G06F21/57

Abstract: A kernel patch method for protecting vulnerability of a kernel and a system thereof are provided to effectively manage against hacking using the kernel vulnerability without modifying the kernel, or a recompiling or rebooting process by making a routine to supplement the kernel vulnerability into an LKM(Loadable Kernel Module) type kernel module. A kernel exploit prevention module(410) uses a KLM mode for removing the kernel vulnerability. A kernel patch database stores information for the vulnerability protecting modules of each version. A system information collecting module searches the patch corresponding to the kernel version of a kernel system by searching the kernel patch database. An OS(Operating System) patches the kernel by forming an LKM having an effectiveness check code with a system call hooking technique to enable a user program(200) to use a kernel service of the OS through a system call interface(210).

Abstract translation: 提供了一种用于保护内核及其系统的漏洞的内核补丁方法，以有效地管理使用内核漏洞进行黑客攻击，而无需修改内核，或者通过将内核漏洞补充到LKM中来进行重新编译或重新引导过程（可加载 内核模块）类型的内核模块。 内核利用预防模块（410）使用KLM模式来消除内核漏洞。 内核修补程序数据库存储每个版本的漏洞保护模块的信息。 系统信息收集模块通过搜索内核补丁数据库来搜索对应于内核系统内核版本的补丁。 OS（操作系统）通过形成具有系统调用挂接技术的有效性校验码的LKM来修复内核，以使得用户程序（200）能够通过系统调用接口（210）来使用OS的内核服务。

公开(公告)号：KR101593163B1

公开(公告)日：2016-02-15

申请号：KR1020140056209

申请日：2014-05-12

Applicant: 한국전자통신연구원

Inventor： 이상록 ,  강정민 ,  김정순 ,  이철호 ,  장인숙

IPC: G06F21/56

CPC classification number: G06F21/53 ,  G06F21/52

Abstract: 가상환경을인지하여가상환경인경우악성행위를진행하지않는악성코드의행위를감시하고분석하기위한실 환경악성코드분석장치및 방법을제시한다. 제시된장치는원본가상하드디스크및 자식가상하드디스크를저장하는저장부, 감염되지않은깨끗한가상하드디스크를사용하여부팅을실시하고입력받은악성코드분석결과를외부로출력하는 VHD 제어부, 및부팅이후에외부로부터의분석대상을실행하여분석대상에대한정적, 동적및 상태분석을근거로하는제 1 분석결과를생성하고분석대상의실행에의해상태가감염된가상하드디스크와깨끗한가상하드디스크사이의상태변화를비교분석하여제 2 분석결과를생성하고제 1 분석결과및 제 2 분석결과를근거로악성코드분석결과를생성하여 VHD 제어부에게로보내는분석부를포함한다.

公开(公告)号：KR1020150129357A

公开(公告)日：2015-11-20

申请号：KR1020140056209

申请日：2014-05-12

Applicant: 한국전자통신연구원

Inventor： 이상록 ,  강정민 ,  김정순 ,  이철호 ,  장인숙

IPC: G06F21/56

CPC classification number: G06F21/53 ,  G06F21/52 ,  G06F21/56

Abstract: 가상환경을인지하여가상환경인경우악성행위를진행하지않는악성코드의행위를감시하고분석하기위한실 환경악성코드분석장치및 방법을제시한다. 제시된장치는원본가상하드디스크및 자식가상하드디스크를저장하는저장부, 감염되지않은깨끗한가상하드디스크를사용하여부팅을실시하고입력받은악성코드분석결과를외부로출력하는 VHD 제어부, 및부팅이후에외부로부터의분석대상을실행하여분석대상에대한정적, 동적및 상태분석을근거로하는제 1 분석결과를생성하고분석대상의실행에의해상태가감염된가상하드디스크와깨끗한가상하드디스크사이의상태변화를비교분석하여제 2 분석결과를생성하고제 1 분석결과및 제 2 분석결과를근거로악성코드분석결과를생성하여 VHD 제어부에게로보내는분석부를포함한다.

Abstract translation: 提供了一种在实际环境中分析恶意代码的装置和方法，用于监视和分析当通过识别虚拟环境时虚拟环境不进行恶意行为的恶意代码的行为。 所提出的装置包括：存储部分，其存储原始虚拟硬盘和子虚拟硬盘; VHD控制部，其使用未感染且清洁的虚拟硬盘执行引导，并将输入的恶意代码分析结果输出到外部; 以及分析部，其在引导之后从外部执行分析对象，基于针对分析对象的静态，活动和状态分析生成第一分析结果，比较并分析感染的虚拟硬盘与所述分析对象之间的状态变化 通过执行分析目标来清洁虚拟硬盘以产生第二分析结果，并且基于第一分析结果和第二分析结果生成恶意代码分析结果以将其发送到VHD控制部分。

公开(公告)号：KR101554633B1

公开(公告)日：2015-09-21

申请号：KR1020140025542

申请日：2014-03-04

Applicant: 한국전자통신연구원

Inventor： 이상록 ,  이철호 ,  장인숙 ,  김정순 ,  강정민

IPC: G06F21/56

CPC classification number: G06F21/554 ,  G06F21/566

Abstract: 본발명은악성코드샘플을실행하기전과후의시스템상태를토대로악성코드를검출하는장치및 그방법에관한것이다. 악성코드검출장치는악성코드샘플이실행되기전 샘플실행시스템의상태를추출하는단계, 악성코드샘플에대한정적분석및 동적분석을수행하는단계, 악성코드샘플을실행한 후, 샘플실행시스템의상태를추출하고, 추출한결과와악성코드샘플이실행되기전 샘플실행시스템의상태를추출한결과를비교하여시스템의변경정보를획득하는단계및 정적분석및 동적분석을수행한결과에해당하는정적분석정보및 동적분석정보, 시스템의변경정보를이용하여악성코드샘플의악성행위여부를검출하는단계를포함한다.

公开(公告)号：KR101937934B1

公开(公告)日：2019-01-14

申请号：KR1020170088497

申请日：2017-07-12

Applicant: 한국전자통신연구원

Inventor： 김경호 ,  박인성 ,  장인숙 ,  양진석 ,  김태균 ,  김인중

IPC: H04L29/06 ,  G06Q50/26 ,  G06T19/00

公开(公告)号：KR100977827B1

公开(公告)日：2010-08-25

申请号：KR1020080100676

申请日：2008-10-14

Applicant: 한국전자통신연구원

Inventor： 오형근 ,  이도훈 ,  김태균 ,  장인숙

IPC: G06F13/14 ,  G06F21/56 ,  G06F9/30 ,  G06F3/12

Abstract: 본 발명은 악성 웹 서버 시스템의 접속을 탐지하는 장치 및 방법을 제공하기 위한 것이다.
이를 위해 본 발명은 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집 및 가공하여, 상기 시스템들의 송수신 IP 정보를 기반으로 네트워크 부가정보를 산출하는 네트워크 패킷 데이터 수집모듈과, 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들 간의 네트워크 연결특성 정보를 추출하는 네트워크 연결특성 추출모듈과, 상기 추출된 네트워크 연결특성 정보를 기반으로 상기 시스템들의 연결 적절성을 판단하는 네트워크 연결 적절성 판단모듈과, 상기 시스템들의 연결 적절성을 기반으로 상기 시스템들 간의 연결을 허용 혹은 차단하는 네트워크 접속 결정모듈을 포함하는 것을 특징으로 한다.
패킷 데이터, 접속 망, 도메인, 악성 웹 서버 시스템

公开(公告)号：KR1020100041471A

公开(公告)日：2010-04-22

申请号：KR1020080100676

申请日：2008-10-14

Applicant: 한국전자통신연구원

Inventor： 오형근 ,  이도훈 ,  김태균 ,  장인숙

IPC: G06F13/14 ,  G06F21/56 ,  G06F9/30 ,  G06F3/12

CPC classification number: G06F13/14 ,  G06F3/1286 ,  G06F9/30036 ,  G06F21/56

Abstract: PURPOSE: An apparatus for detecting connection of malicious web server systems and a method thereof are provided to deal with various kinds of cyber attacks through network connection by detecting connection of malicious codes with remote control function through malicious web server systems. CONSTITUTION: A network packet data collecting module(210) collects packet data between systems. Based on in IP(Internet Protocol) information and supplementary network information of the systems, a network connection feature extracting module(220) extracts network connection feature information between the systems. A network connection propriety deciding module(230) decides connection propriety of the systems. A network access deciding module(240) permits or cuts connection between the systems.

Abstract translation: 目的：提供一种用于检测恶意Web服务器系统连接的装置及其方法，通过恶意Web服务器系统检测恶意代码与远程控制功能的连接，通过网络连接来处理各种网络攻击。 构成：网络分组数据收集模块（210）在系统之间收集分组数据。 基于IP（Internet Protocol）信息和系统的补充网络信息，网络连接特征提取模块（220）提取系统之间的网络连接特征信息。 网络连接适当性决定模块（230）确定系统的连接适当性。 网络接入决定模块（240）允许或切断系统之间的连接。

公开(公告)号：KR100951852B1

公开(公告)日：2010-04-12

申请号：KR1020080056736

申请日：2008-06-17

Applicant: 한국전자통신연구원

Inventor： 장인숙 ,  이은영 ,  오형근 ,  이도훈

IPC: G06F21/22 ,  G06F21/00

CPC classification number: G06F21/554 ,  G06F21/52

Abstract: 본 발명은 응용 프로그램의 비정상행위를 차단하기 위한 장치 및 방법에 관한 것으로서, 특히 각각의 응용 프로그램에 대한 행위 프로파일에 기반하여 비정상행위를 탐지 및 차단하는 응용 프로그램 비정상행위 차단 장치 및 방법에 관한 것이다. 본 발명에 따른 응용 프로그램 비정상행위 차단 장치는 실행중인 응용 프로그램의 행위를 탐지하는 행위 감시부; 상기 실행중인 응용 프로그램의 행위 프로파일에 기반하여 상기 탐지된 응용 프로그램의 행위가 비정상행위인지 여부를 판단하는 비정상행위 탐지부; 및 상기 비정상행위 탐지부에 의해 비정상행위로 판단된 상기 응용 프로그램 행위의 실행을 차단하는 비정상행위 차단부로 구성된다. 본 발명은 각각의 응용 프로그램에 대하여 응용 프로그램의 목적에 따라 가능한 행위를 행위 프로파일에 저장하고 행위 프로파일에 기반하여 비정상행위를 탐지 및 차단함으로써, 비정상행위 탐지의 오판율을 감소시킴과 동시에 사용자가 신뢰하는 프로그램의 권한을 이용한 공격에 대응할 수 없었던 종래의 보안 프로그램의 문제점을 해결할 수 있다.
행위 기반 악성코드 탐지, 바이러스, 비정상행위, 악성행위 탐지, API 후킹