-
公开(公告)号:KR1020120130626A
公开(公告)日:2012-12-03
申请号:KR1020110048713
申请日:2011-05-23
Applicant: 한국전자통신연구원
IPC: G06F21/22
CPC classification number: G06F21/53 , G06F9/45533 , G06F11/0712 , G06F21/577
Abstract: PURPOSE: A malicious code detecting device based on a document and a method thereof are provided to find a special action generated in only special version OS, a document editor or a special version or a special file execution mode through an action analysis, thereby detecting an unknown malicious code. CONSTITUTION: A virtual machine unit(130) includes virtual machines in which different operating systems or different document editors is installed. A virtual machine executing unit(120) selects the virtual machines in which a document editor corresponding to a document file is installed. The virtual machine executing unit delivers the document file to the selected virtual machines. A result analyzing unit(140) collects action analysis results according to execution of the document file from the selected virtual machines. The result analyzing unit compares the action analysis results and detects an action analysis result which an operation state is different. A malicious code identifying unit(160) identifies a malicious code inserted into the document file by using the action analysis results. [Reference numerals] (110) Extension identifying unit; (120) Virtual machine executing unit; (130) Virtual machine unit; (140) Result analyzing unit; (150) Malignant code identifying unit; (160) Analysis result storing unit
Abstract translation: 目的:提供一种基于文档及其方法的恶意代码检测设备,通过动作分析来查找专门的版本OS,文档编辑器或特殊文件执行模式中产生的特殊动作,从而检测 未知的恶意代码。 构成:虚拟机单元(130)包括虚拟机,其中安装有不同的操作系统或不同的文档编辑器。 虚拟机执行单元(120)选择其中安装了与文档文件对应的文档编辑器的虚拟机。 虚拟机执行单元将文档文件传送到所选择的虚拟机。 结果分析单元(140)根据来自所选择的虚拟机的文档文件的执行来收集动作分析结果。 结果分析单元比较动作分析结果并检测操作状态不同的动作分析结果。 恶意代码识别单元(160)通过使用动作分析结果识别插入到文档文件中的恶意代码。 (附图标记)(110)扩展识别单元; (120)虚拟机执行单元; (130)虚拟机单元; (140)结果分析单位; (150)恶意代码识别单位; (160)分析结果存储单元
-
公开(公告)号:KR1020110119929A
公开(公告)日:2011-11-03
申请号:KR1020100039358
申请日:2010-04-28
Applicant: 한국전자통신연구원
CPC classification number: G06F9/455 , G06F21/55 , G06F21/554 , G06F21/56 , G06F21/566 , G06F2212/151 , H04L29/06877 , H04L29/06891 , H04L29/06911 , H04L29/06918 , H04L63/14 , H04L63/1416 , H04L63/1441 , H04L2463/144
Abstract: PURPOSE: An intelligent boot action method using camouflage virtual machine information and apparatus thereof are provided to prevent an DDOS(Distributed Denial Of Service) attack or the leakage of information by enabling a user terminal not to execute a malicious process. CONSTITUTION: A VM(Virtual Machine) information database(120) stores camouflage VM information and malicious process information for determining a malicious process. A global hooking module(110) determines a VM detection request transmission process based on the malicious process information by hooking a VM search request from the process. If the process is included in the malicious process, the global hooking module returns the camouflage VM information to the process.
Abstract translation: 目的:提供使用伪装虚拟机信息的智能启动操作方法及其装置,以防止DDOS(分布式拒绝服务)攻击或信息泄漏,使得用户终端不执行恶意进程。 构成:VM(虚拟机)信息数据库(120)存储用于确定恶意进程的伪装VM信息和恶意进程信息。 全局挂钩模块(110)通过挂起来自该进程的VM搜索请求,基于恶意进程信息来确定VM检测请求传输处理。 如果进程包含在恶意进程中,则全局挂接模块会将伪装虚拟机信息返回给进程。
-
3.发明公开좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 有权虚拟服务器和识别ZOMBIES和SINKHOVER服务器的方法和基于虚拟服务器一体化管理ZOMBIE信息的方法
公开(公告)号:KR1020110119915A
公开(公告)日:2011-11-03
申请号:KR1020100039332
申请日:2010-04-28
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1458 , G06F21/44 , H04L67/146
Abstract: PURPOSE: A virtual server and method for zombie discrimination and a sinkhole server and method for managing zombie information in an integrated way based on the virtual server are provided to utilize the virtual server, thereby discriminating zombie hosts which are abnormally connected to a web server. CONSTITUTION: An authentication process module(220) certifies a host using an automatic access prevention test. The authentication process module supplies a cookie to the certified host. A cookie value verification module(240) verifies a detected cookie value by extracting the cookie value from a web server access request message. A web page access induction module(250) induces access to a web server of the host in a case of cookie value verification success. A zombie discrimination module(260) blocks the access of the host in a case of cookie value verification failure. The zombie discrimination module identifies the host as a zombie when the number of blockings exceeds a critical value.
Abstract translation: 目的:提供用于僵尸鉴别的虚拟服务器和方法,以及基于虚拟服务器的集成方式来管理僵尸信息的宿窝服务器和方法,以利用虚拟服务器,从而区分异常连接到web服务器的僵尸主机。 构成:认证处理模块(220)使用自动访问防止测试来证明主机。 认证过程模块向认证主机提供Cookie。 cookie值验证模块(240)通过从Web服务器访问请求消息提取cookie值来验证检测到的cookie值。 在cookie值验证成功的情况下,网页访问感应模块(250)可以访问主机的Web服务器。 在cookie值验证失败的情况下,僵尸识别模块(260)阻止主机的访问。 僵尸识别模块在阻塞次数超过临界值时将主机识别为僵尸。
-
公开(公告)号:KR1020070061009A
公开(公告)日:2007-06-13
申请号:KR1020060030200
申请日:2006-04-03
Applicant: 한국전자통신연구원
Abstract: A system and a method for managing security risks are provided to enable a plurality of specialized estimators to perform estimation irrespective of time/location, and secure promptness for a protection measure comparison and analysis result by including a damage calculation field and defining a process for enabling the specialized estimators to perform the estimation in a remote place. A risk management processor comprises a high level risk analyzing module(100), a low level risk analyzing module(200), and a damage estimating module(300). A risk management server generates a calculation algorithm to output a result by aggregating the data received from the risk management processor, and estimates the information protection level through statistical calculation of a questionnaire result. The high level risk analyzing module estimates an information protection level by responding to data received from each estimator terminal(601). The low level risk analyzing module analyzes the risk when the information protection level is specified and detail security risk management is planned. The damage estimating module performs a cost-effect and damage level analysis, and quantizes damages while providing the information protection measures.
Abstract translation: 提供了一种用于管理安全风险的系统和方法,以使得多个专门的估计器可以不考虑时间/位置来执行估计,并且通过包括损伤计算字段并定义启用过程来确保保护措施比较和分析结果的及时性 在偏远地区执行估计的专门估算人员。 风险管理处理器包括高级风险分析模块(100),低级风险分析模块(200)和损伤估计模块(300)。 风险管理服务器生成计算算法,通过汇总从风险管理处理器收到的数据来输出结果,并通过问卷调查结果的统计计算来估计信息保护水平。 高级风险分析模块通过响应从每个估计器终端(601)接收的数据来估计信息保护等级。 低级别风险分析模块在规定信息保护等级并分析详细安全风险管理时对风险进行分析。 损害估算模块执行成本效益和损害水平分析,并在提供信息保护措施的同时量化损失。
-
公开(公告)号:KR101122650B1
公开(公告)日:2012-03-09
申请号:KR1020100039335
申请日:2010-04-28
Applicant: 한국전자통신연구원
CPC classification number: G06F21/566
Abstract: 본발명은정상프로세스에위장삽입된악성코드를탐지하기위한장치, 시스템및 방법에관한것이다. 본발명에따른악성코드탐지장치는, 컴퓨터시스템상에서실행중인프로세스로부터생성된쓰레드정보를추출하여상기쓰레드에연관된코드를식별하고상기식별된코드의악성여부를추정하여상기악성으로추정된코드를추출하는악성코드탐지모듈과, 상기추출된코드를가상환경에서실행하여행위를분석한결과에기반하여상기코드를악성코드로최종판단하고상기코드의실행을강제종료하는악성코드강제종료모듈을포함한다.
-
Patent Agency Ranking6.发明授权좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 有权用于识别僵尸和Sinkhole服务器的虚拟服务器和方法以及基于虚拟服务器整合管理僵尸信息的方法
公开(公告)号:KR101109669B1
公开(公告)日:2012-02-08
申请号:KR1020100039332
申请日:2010-04-28
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1458 , G06F21/44 , H04L67/146
Abstract: 본 발명은 악성봇(bot)에 의해 감염되어 악성행위를 수행하는 좀비(zombie) 호스트를 식별 및 차단하기 위한 방법 및 이를 수행하는 가상 서버와, 이러한 가상 서버에 기반하여 획득된 좀비 정보를 분석함으로써 좀비의 규모 및 분포를 파악하기 위한 방법 및 이를 수행하는 싱크홀 서버에 관한 것이다.
본 발명에 따른 가상 서버는 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하지 않은 경우에 자동접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 제공하는 인증처리모듈; 상기 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 웹서버 접속요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값을 검증하는 쿠키값검증모듈; 상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상기 웹서버로 접속할 수 있도록 유도하는 웹페이지 접속유도모듈; 및 상기 쿠키값의 검증에 실패한 경우 상기 호스트의 접속을 차단하고 상기 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 좀비식별모듈을 포함한다.-
公开(公告)号:KR100755000B1
公开(公告)日:2007-09-04
申请号:KR1020060030200
申请日:2006-04-03
Applicant: 한국전자통신연구원
Abstract: 본 발명은 보안 위험 관리 시스템 및 방법에 관한 것으로서, 위험 관리 평가 프로세스 단계내에 정성적 위험도 산정 후 피해 영향 및 수준을 산정하는 부분을 포함시키고 보호대책이 수립 되었을 때와 안 되었을 때, 혹은 서로 상이한 보호대책을 선정하였을 때를 비교하여 최적의 위험 감소 결과를 보이는 최적의 솔루션을 선택할 수 있도록 한다. 이러한 일련의 프로세스가 프로젝트 관리 절차에 따라 진행되고 각 프로세스마다 역할이 주어져서 하나의 도구로써 개발되고 이 도구를 사용하게 되는 경우 기존에 수기식에 의한 방법보다 평가 기간을 단축시키면서 기존의 위험 관리 결과를 자동화할 수 있게 되는 것이다. 또한, 본 발명에서는 여러 평가자들에 의해 수행되는 위험분석시 평가자들 간의 온라인으로 정보를 검색하고 타 평가자의 의견을 사전에 검토하여 혼자 잘못된 평가를 내리는 것을 최소화할 수 있도록 시스템화한다. 이를 위해, 본 발명에서는 상위 위험분석 모델 하위 위험분석 모델, 피해 산정 모델, 위험 관리 엔진서버, 설문 서버, 위험도 산정 알고리즘, 피해 산정 알고리즘, 그리고 각 데이터베이스 목록에 대한 데이터베이스 스키마가 포함된다.
정보 보안 위험 관리, 자산분석, 위협분석, 취약성분석, 위험도 계산, 피해산정-
公开(公告)号:KR100474155B1
公开(公告)日:2005-03-08
申请号:KR1020020026405
申请日:2002-05-14
Applicant: 한국전자통신연구원
IPC: H04L12/22
Abstract: 본 발명은 지역적으로 분산된 네트워크 환경에서 취약성(Vulnerability)을 중앙 집중식으로 감사 및 분석할 수 있도록 한 취약성 분석 시스템 및 방법에 관한 것으로, 침입차단 시스템(Firewall)으로 보호된 네트워크에서도 내부망에 대한 취약성을 분석할 수 있다.
본 발명은 취약성 분석 대상 네트워크의 내부망에 대한 점검을 수행하는 에이전트와, 각 에이전트들로부터 결과를 제공받아 분석하고 DMZ(De-Militarized Zones)에 대한 취약성을 탐지하는 매니저, 그리고 매니저와 에이전트간의 통신을 위한 보안 프로토콜로 구성된다. 매니저는 에이전트가 보내온 각각의 정보를 분석하고 호스트별, 네트워크별 취약성 탐지결과에 대한 차등 분석을 수행하여 비교결과를 생성하는 기능을 가지며, 에이전트를 기반으로 하여 네트워크별로 취약성에 대한 정보를 전체적으로 관리하고, 매니저에 새로운 취약성을 탐지하기 위한 코드를 설치하면 자동으로 각 에이전트에 분배되므로 네트워크 전체에 대한 취약성 분석이 효율적으로 이루어질 수 있다.-
公开(公告)号:KR101262228B1
公开(公告)日:2013-05-15
申请号:KR1020110048713
申请日:2011-05-23
Applicant: 한국전자통신연구원
IPC: G06F21/22
Abstract: 문서기반악성코드탐지장치는가상머신을통해운영체제의버전, 문서편집기의버전또는파일실행방식에따라결정되는서로다른실행조건들로문서파일을실행하고, 행위분석프로그램을이용하여실행조건들에각각대응되는행위분석결과들을수집하며, 행위분석결과들을비교하여작동상태가상이한행위분석결과를검출한후, 검출된행위분석결과로부터문서파일이악성코드가삽입된악성문서파일인지를판단하여문서파일이악성문서파일이면, 검출된행위분석결과에대응되는실행조건을악성코드의실행조건으로검출한다.
-
公开(公告)号:KR101122646B1
公开(公告)日:2012-03-09
申请号:KR1020100039358
申请日:2010-04-28
Applicant: 한국전자통신연구원
CPC classification number: G06F9/455 , G06F21/55 , G06F21/554 , G06F21/56 , G06F21/566 , G06F2212/151 , H04L29/06877 , H04L29/06891 , H04L29/06911 , H04L29/06918 , H04L63/14 , H04L63/1416 , H04L63/1441 , H04L2463/144
Abstract: 본발명은위장가상머신정보를이용한인텔리전트봇 대응방법및 장치에관한것으로, 본발명에따른위장가상머신정보를이용한인텔리전트봇 대응방법은프로세스로부터의가상머신탐지요청을전역후킹(Global hooking)하는단계; 기저장된악성프로세스정보에기반하여상기가상머신탐지요청을전달한프로세스가악성프로세스에해당하는지판단하는단계; 및상기판단결과악성프로세스에해당하면상기프로세스가인텔리전트봇에의해생성된것으로판단하여위장가상머신정보를상기프로세스에리턴하는단계를포함한다.
-
-
-
-
-
-
-
-
-
Search Results
14
records
(took 0.022 seconds)
