KR100799302B1 - 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템및 방법 - Google Patents

시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템및 방법 Download PDF

Info

Publication number
KR100799302B1
KR100799302B1 KR1020060055951A KR20060055951A KR100799302B1 KR 100799302 B1 KR100799302 B1 KR 100799302B1 KR 1020060055951 A KR1020060055951 A KR 1020060055951A KR 20060055951 A KR20060055951 A KR 20060055951A KR 100799302 B1 KR100799302 B1 KR 100799302B1
Authority
KR
South Korea
Prior art keywords
hidden
event information
kernel layer
monitoring
layer
Prior art date
Application number
KR1020060055951A
Other languages
English (en)
Other versions
KR20070121195A (ko
Inventor
김은영
윤영태
박응기
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060055951A priority Critical patent/KR100799302B1/ko
Priority to EP06121085A priority patent/EP1870830A1/en
Priority to US11/527,018 priority patent/US20070300061A1/en
Priority to JP2006267392A priority patent/JP2008004064A/ja
Priority to CNA2006101635765A priority patent/CN101093452A/zh
Publication of KR20070121195A publication Critical patent/KR20070121195A/ko
Application granted granted Critical
Publication of KR100799302B1 publication Critical patent/KR100799302B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

본 발명은 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템 및 방법에 관한 것으로, 루트킷 등의 악성 코드를 이용하여 실행되는 은닉 프로세스도 해당 프로세스를 실행하기 위해 시스템의 운영체제로부터 자원을 할당받아야 하는 특성을 가지기 때문에 응용 계층에서는 은닉되어 프로세스에 관한 정보가 나타나지 않지만, 시스템의 커널 계층에서는 프로세스를 실행하기 위해 시스템의 자원을 할당받는 과정에서 프로세스 관련 정보가 공개된다. 따라서, 본 발명은 커널 계층에서 실시간 시스템 자원 접근시 제공되는 시스템 이벤트 정보를 이용하여 프로세스 리스트를 추출하여 응용 계층에서 사용자에게 제공되는 프로세스 리스트와의 비교를 통해 커널 계층에만 제공되는 프로세스를 은닉 프로세스로 검출하고 제거하여 실시간으로 시스템에 존재하는 은닉 프로세스를 탐지할 수 있다.
시스템 이벤트, 은닉 프로세스, 커널 계층, 응용 계층

Description

시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템 및 방법{A SYSTEM AND METHOD FOR DETECTION OF A HIDDEN PROCESS USING SYSTEM EVENT}
도 1은 본 발명에 의한 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템의 구성을 나타내는 블록도,
도 2는 본 발명에 의한 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 방법을 나타내는 흐름도이다.
본 발명은 은닉 프로세스 탐지 시스템 및 방법에 관한 것으로, 더욱 상세하게는 실시간으로 시스템 커널 계층의 모니터링에 의해 발생하는 시스템 이벤트 정보를 이용하여 커널 계층에서 제공되는 프로세스 리스트를 추출하여 응용 계층에서 제공되는 프로세스 리스트와 비교하여 은닉 프로세스를 탐지함으로써 사용자 시스템을 은닉 프로세스로부터 실시간으로 방어하여 시스템 보안성을 확보하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템 및 방법에 관한 것이다.
은닉 프로세스는 시스템 내에서 실행되고 있다는 점에서 일반적인 프로세스와 같은 종류의 프로세스라고 볼 수 있다. 하지만, 루터킷과 같은 악성코드에 의해 해당 프로세스가 은닉되어 시스템의 응용 계층에서 어떠한 정보도 나타나지 않기 때문에 사용자는 프로세스 정보 프로그램인 작업 관리자를 통해서 은닉 프로세스의 존재 여부를 알 수 없다.
이와 같이, 은닉 프로세스는 응용계층에서 어떠한 정보를 제공하지 않지만, 해당 프로세스를 실행하기 위해 시스템 커널 계층에서 시스템의 자원을 할당받아야 하기 때문에 일반 프로세스와 같이 시스템의 커널 계층에서는 그 정보를 공개할 수밖에 없다.
따라서, 은닉 프로세스를 탐지하기 위해 실시간 시스템 자원 접근시 제공되는 시스템 이벤트 정보를 이용하여 이에 접근하는 프로세스를 감지하여 응용 계층에서 나타나는 프로세스와 비교하여 은닉 프로세스를 탐지할 수 있다.
종래 은닉 프로세스를 탐지하기 위한 방법으로 EPROCESS 구조체에 포함된 ActiveProcessLinks 구조를 이용하여 탐지하는 방식이 있다. 해당 은닉 프로세스 탐지 기법은 Joanna Rutkowska에 공개(http://invisiblethings.org/)되었는데, 해당 은닉 프로세스 탐지 기법은 다음과 같다. 시스템의 응용 계층에서 해당 프로세스 리스트(a) 획득한 후, 커널 계층에서 EPROCESS 구조체의 ActiveProcessLinks 선회를 통해 커널 계층에서 존재하는 프로세스 리스트(b)를 얻는다. 따라서 (a) 리스트와 (b) 리스트를 비교하여 커널 내에서만 존재하는 프로세스가 검색될 경우 해당 프로세스를 은닉 프로세스로 판단한다. 이러한 방법은 리스트를 얻어오는 사이의 시간차이에 의해 은닉 프로세스로 오인 판단할 수 있는 단점을 가지고 있고, 커널 계층 내에서 프로세스 리스트를 EPROCESS 구조체의 ActiveProcessLinks를 통해서 얻는데 해당 EPROCESS 구조체 자체가 윈도우 운영체제를 제작한 마이크로 소프트사 측에서 공식적으로 발표한 시스템 내부 구조체가 아니므로 해당 구조체의 정보 변경시에는 은닉 프로세스 탐지 자체가 불가능하다.
또한 EPROCESS 구조체의 ActiveProcessLinks 자체는 해당 프로세스가 실제 시스템 내부에서 시스템 자원 할당시에 해당 리스트에 추가가 되어 실행이 된다. 따라서 자원 할당을 요청하지 않은 상태, 즉 프로세스가 주기적 idle 상태일 경우 해당 프로세스는 EPROCESS 구조체에 ActiveProcessLinks가 추가되지 않으므로, 시스템 내에 idle 상태의 은닉 프로세스는 탐지가 되지 않는 단점을 가지게 된다
또한 은닉 프로세스를 탐지하기 위한 제품으로 F-Secure 사(http://www.f-secure.com/blacklight/)의 베타 버전으로 공개하고 있는 BlackLight 제품이 있다. 해당 제품은 윈도우 시스템 내에서 현재 수행중인 프로그램에 대한 정보 요청시 사용되는 OpenProcess() 함수를 이용한다. 해당 함수의 입력 인자값에 윈도우 시스템 내에서 생성될 수 있는 모든 PID 값을 모두 대입시켜 리턴되는 값에 따라 해당 PID의 프로세스가 존재 유무를 판단하게 된다. 이때 응용 계층에서 해당 PID 프로세스 리스트 정보가 없을 경우 해당 PID 프로세스는 은닉된 것으로 판단할 수 있다. 이와 같은 방법은 시스템 커널 계층에 어떠한 행위를 하지 않고 단지 시스템의 응용 계층에서 사용되는 API를 통해 은닉 여부를 검사하는 방법이다. 하지만, 이와 같은 방법도 은닉 프로세스가 악의적으로 본인의 PID 값에 대한 OpenProcess()요청시 결과값을 임의로 조작된 값을 넘겨준다면 해당 프로세스가 시스템 내에서 존재하지 않는 것으로 판단되어 해당 은닉 프로세스는 탐지할 수 없게 되며, Openprocess()함수를 이용한 은닉 프로세스 탐지 기법은 실시간 탐지 기법이 아닌 스캐닝 기법을 이용한 은닉 프로세스 탐지 기법으로, 은닉 프로세스 탐지를 위한 스캐닝시에 해당 은닉 프로세스가 시작되지 않거나 이미 종료되었을 경우 탐지할 수 없는 단점을 가지게 된다.
따라서, 본 발명은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 시스템의 커널 계층에서 실시간 시스템 모니터링을 통해 발생한 시스템 이벤트 정보에서 커널 계층의 프로세스 리스트를 검출하여 응용계층에서 제공되는 프로세스 리스트와의 비교를 통해 은닉 프로세스를 탐지 및 제거하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템 및 방법을 제공하는데 있다.
한편, 본 발명의 다른 목적은 실시간으로 시스템 내에서 발생되는 파일, 레지스트리, 네트워크 이벤트 정보를 토대로 시스템 내의 응용 계층과의 프로세스 리스트 비교를 통해 은닉 프로세스를 탐지하므로 은닉 프로세스가 idle 상태인 경우에도 시스템 내에서 발생하는 이벤트 정보를 이용하여 은닉 프로세스를 탐지하여 기존 ActiveProcessLinks를 이용한 탐지 기법의 한계를 보완하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템 및 방법을 제공하는데 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템은 커널 계층 시스템을 모니터링하여 시스템 이벤트 정보를 추출하는 커널 계층 모니터링 모듈, 상기 추출된 시스템 이벤트 정보로부터 이벤트와 관련한 프로세스를 검출하는 커널 계층 프로세스 리스트 검출 모듈, 응용 계층에서 사용자에게 제공되는 프로세스 리스트를 검출하는 응용 계층 프로세스 리스트 검출 모듈, 상기 커널 계층 프로세스 리스트 검출 모듈에서 검출된 프로세스와 상기 응용계층 프로세스 리스트 검출 모듈에서 검출된 프로세스를 비교하여 상기 커널 계층에만 존재하는 프로세스를 은닉프로세스로 탐지하는 은닉 프로세스 탐지 모듈을 포함하는 것을 특징으로 한다.
이때, 커널 계층 모니터링 모듈은 상기 커널 계층에서 파일 시스템을 모니터링하여 파일 이벤트 정보를 추출하는 파일 모니터링 모듈과 상기 커널 계층에서 접근되는 레지스트리를 모니터링하여 레지스트리 이벤트 정보를 추출하는 레지스트리 모니터링 모듈, 그리고 상기 커널 계층에서 네트워크를 모니터링하여 네트워크 이벤트 정보를 추출하는 네트워크 모니터링 모듈을 포함하는 것을 특징으로 한다.
한편, 본 발명의 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 방법은 커널 계층 시스템을 모니터링하여 시스템 이벤트 정보를 추출하는 커널 계층 모니 터링 단계, 상기 추출된 시스템 이벤트 정보로부터 이벤트와 관련한 프로세스를 검출하는 커널 계층 프로세스 리스트 검출 단계, 응용 계층에서 사용자에게 제공되는 프로세스 리스트를 검출하는 응용 계층 프로세스 리스트 검출 단계, 상기 커널 계층 프로세스 리스트 검출 단계에서 검출된 프로세스와 상기 응용계층 프로세스 리스트 검출 단계에서 검출된 프로세스를 비교하여 상기 커널 계층에만 존재하는 프로세스를 은닉프로세스로 탐지하는 은닉 프로세스 탐지 단계를 포함하는 것을 특징로 한다.
이때, 커널 계층 모니터링 단계는 상기 커널 계층에서 파일 시스템을 모니터링하여 파일 이벤트 정보를 추출하는 파일 모니터링 단계, 상기 커널 계층에서 접근되는 레지스트리를 모니터링하여 레지스트리 이벤트 정보를 추출하는 레지스트리 모니터링 단계, 상기 커널 계층에서 네트워크를 모니터링하여 네트워크 이벤트 정보를 추출하는 네트워크 모니터링 단계를 포함하는 것을 특징으로 한다.
이하, 본 발명에 의한 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템 및 방법에 대하여 첨부된 도면을 참조하여 상세하게 설명하기로 한다.
도 1은 본 발명에 의한 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템의 구성을 나타내는 블록도이다.
본 발명에 의한 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템은 커널 계층 시스템을 모니터링하여 시스템 이벤트 정보를 추출하는 커널 계층 모니 터링 모듈(100), 추출된 시스템 이벤트 정보로부터 이벤트와 관련한 프로세스를 검출하는 커널 계층 프로세스 리스트 검출 모듈(200), 응용 계층에서 사용자에게 제공되는 프로세스 리스트를 검출하는 응용 계층 프로세스 리스트 검출 모듈(300), 커널 계층 프로세스 리스트 검출 모듈(200)에서 검출된 프로세스와 응용계층 프로세스 리스트 검출 모듈(300)에서 검출된 프로세스를 비교하여 커널 계층에만 존재하는 프로세스를 은닉 프로세스로 탐지하는 은닉 프로세스 탐지 모듈(400), 은닉 프로세스 탐지 모듈(400)에서 탐지된 은닉 프로세스를 제거하는 은닉 프로세스 제거 모듈(500)을 포함하여 구성된다.
커널 계층 모니터링 모듈(100)은 커널 계층에서 제공되는 시스템 이벤트 정보를 모니터링 하기 위해 커널 계층에서 파일 시스템을 모니터링 하는 파일 모니터링 모듈(110), 커널 계층에서 접근되는 레지스트리를 모니터링 하는 레지스트리 모니터링 모듈(120), 실시간으로 네트워크를 모니터링 하는 네트워크 모니터링 모듈(130)을 포함한다.
커널 계층에서는 프로세스를 실행하기 위해 시스템 정보를 할당하기 때문에 은닉 프로세스에 관련된 정보가 나타난다.
파일 모니터링 모듈(110)은 실시간으로 커널 계층에서 파일 시스템을 모니터링하여 파일 이벤트 정보를 탐색하는 모듈이다. 파일 모니터링 모듈(110)은 어떤 프로세스가 어떠한 파일을 어떤 이벤트 요구사항에 대해 접근하는가에 관한 파일 시스템 이벤트 정보를 모니터링한다. 파일 모니터링 모듈(110)을 통해 나오는 파일 이벤트 정보는 파일 접근 프로세스(Process name), 파일 접근시간(Time), 파일 요 청(Request) 이벤트(Query Information, Open, Close 등), 접근 파일 경로(Path), 접근 파일 성공 유무(Result) 등의 정보를 말한다. 파일 모니터일 모듈(110)로부터 나온 파일 이벤트 정보는 커널 계층 프로세스 리스트 검출 모듈(200)에 제공된다.
레지스트리 모니터링 모듈(120)은 실시간으로 커널 계층에서 접근되는 레지스트리를 모니터링하는 모듈이다. 레지스트리 모니터링 모듈(120)은 어떤 프로세스가 현재 어떤 레지스트리 이벤트 정보를 요구하며 그 요구된 정보가 무엇인지를 감지한다. 레지스트리 모니터링 모듈(120)을 통해 나오는 레지스트리 이벤트 정보는 레지스트리 접근 프로세스(Process name), 레지스트리 접근 시간(Time), 레지스트리 요청(Request) 이벤트(Openkey, CloseKey 등), 레지스트리 접근 경로(Path), 레지스트리 접근 성공 유무(Result) 등이 있다. 레지스트링 모니터링 모듈(120)을 통해 나온 레지스트리 이벤트 정보는 커널 계층 프로세스 리스트 검출 모듈(200)에 제공된다.
네트워크 모니터링 모듈(130)은 실시간으로 네트워크 모니터링을 통해 네트워크 이벤트 정보를 산출하는 모듈이다. 네트워크 모니터링 모듈(130)은 실시간으로 네트워크를 통해 어떤 프로세스가 어떤 포트를 통해 어디로 어떤 패킷을 전송 및 수신하는가에 대한 정보를 모니터링한다. 네트워크 모니터링 모듈(130)을 통해 나오는 네트워크 이벤트 정보는 네트워크 접근 프로세스, 네트워크 패킷 발생 시간, 송신지 주소, 수신지 주소, 송신지 포트, 수신지 포트, 패킷 길이, 체크섬, TTL 값, Fragmentation 여부에 관한 정보를 말한다. 네트워크 모니터링 모듈(130)을 통해 나온 네트워크 이벤트 정보는 커널 계층 프로세스 리스트 검출 모듈(200) 에 제공된다.
커널 계층 모니터링 모듈(100)이 시스템의 커널 계층의 시스템 이벤트 정보를 모니터링 함에 있어서 시스템 이벤트 정보 필터링 모듈(140)을 포함할 수 있다.
시스템 이벤트 정보 필터링 모듈(140)은 커널 계층에서 모니터링되는 시스템 이벤트 정보 중에서 특정 모니터링의 이벤트 및 특정 프로세스를 미리 모니터링 대상에서 제외한다. 따라서, 시스템 이벤트 정보 필터링 모듈(140)은 은닉 프로세스를 감지하기 위해 모니터링해야 하는 대상을 줄임으로써 은닉 프로세스 탐지 시스템의 성능을 향상시킨다.
커널 계층 프로세스 리스트 검출 모듈(200)은 커널 계층 모니터링 모듈(100)을 통해 제공된 시스템 이벤트 정보 중에서 이벤트에 접근한 프로세스 리스트만을 추출한다. 시스템 이벤트 정보에는 파일 모니터링 모듈(110)에 의한 파일 이벤트 정보, 레지스트리 모니터링 모듈(120)에 의한 레지스트리 이벤트 정보, 네트워크 모니터링 모듈(130)에 의한 네트워크 이벤트 정보가 있다. 커널 계층 프로세스 리스트 검출 모듈(200)에 의해 추출되는 프로세스 리스트는 파일 접근 프로세스, 레지스트리 접근 프로세스, 네트워크 접근 프로세스 등이 있다.
응용 계층 프로세스 리스트 검출 모듈(300)은 응용계층에서 사용자에게 제공되는 프로세스 리스트에 대한 정보를 검출한다. 일반적으로 Win32 API를 통해 응용 계층에서 제공되는 프로세스 정보를 표준으로 한다. 윈도우 시스템의 경우 작업관리자를 통해 제공되는 프로세스 리스트 정보를 예로 들 수 있다.
커널 계층 프로세스 리스트 검출 모듈(200)에서 검출된 프로세스 리스트와 응용 계층 프로세스 리스트 검출 모듈(300)에서 검출된 프로세스 리스트는 은닉 프로세스 탐지 모듈(400)에 전달된다.
은닉 프로세스 탐지 모듈(400)은 커널 계층 프로세스 리스트와 응용 계층 프로세스 리스트를 비교하여 은닉 프로세스로 판단되는 프로세스를 찾아낸다.
은닉 프로세스는 응용 계층에서는 은닉을 통해 그 정보가 나타나지 않지만, 커널 계층에서는 프로세스 실행을 위해 자원을 할당받기 위해 그 정보가 공개된다.
따라서, 프로세스가 커널 계층에만 존재하고 응용 계층에는 존재하지 않는 경우에는 은닉 프로세스로 판단된다.
하지만, 커널 계층 프로세스 리스트와 응용 계층 프로세스 리스트를 비교한 결과 동일한 경우에는 시스템에서 실행되고 있는 프로세스는 정상 프로세스로 판단된다.
은닉 프로세스 탐지 모듈(400)에서 은닉 프로세스로 판단되는 프로세스가 존재하는 경우에는 은닉 프로세스 제거 모듈(500)에 의해 해당 은닉 프로세스를 종료하거나 삭제한다.
은닉 프로세스 제거 모듈(500)은 은닉 프로세스로 판단된 프로세스에 대한 처리 여부를 사용자의 결정에 따라 처리하는 역할을 한다.
도 2는 본 발명에 의한 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 방법을 나타내는 흐름도이다.
은닉 프로세스 탐지는 사용자에 의해 은닉 프로세스를 탐지하기 위한 시스템 및 프로그램을 시작하는 것으로 은닉 프로세스의 탐지가 시작된다.(S210)
은닉 프로세스 탐지는 사용자의 시작 명령에 의해 시작될 수도 있지만, 시스템이 시작하여 작동하는 동안에는 항상 작동을 하는 것이 실시간으로 은닉 프로세스를 탐지한다는 점에서 바람직하다.
은닉 프로세스 탐지가 시작(S210)되면 커널 계층 모니터링 단계(S220)와 응용 계층 프로세스 리스트 검출 단계(S230)가 진행된다.
커널 계층 모니터링 단계(S220)는 커널 계층의 시스템을 모니터링 하여 시스템 이벤트 정보를 추출한다.
시스템 이벤트 정보를 추출하기 위해 파일 이벤트 정보를 추출하는 파일 모니터링 단계(S221)와 레지스트리 이벤트 정보를 추출하는 레지스트리 모니터링 단계(S220) 그리고 네트워크 이벤트 정보를 추출하는 네트워크 모니터링 단계(S223)에 의해 커널 계층 모니터링 단계(S220)가 진행된다.
커널 계층 모니터링 단계(S220)에서 추출된 시스템 이벤트 정보는 커널 계층 프로세스 리스트 검출 단계(S240)에 제공된다.
커널 계층 프로세스 리스트 검출 단계(S240)는 제공된 시스템 이벤트 정보 중에서 이벤트에 접근한 프로세스 리스트만을 검출한다. 이렇게 검출된 커널 계층 프로세스 리스트는 은닉 프로세스 여부를 판단하기 위해 커널 계층과 응용 계층 프로세스 리스트 비교 단계(S250)에 제공된다.
응용 계층 프로세스 리스트 검출 단계(S230)는 응용 계층에서 사용자에게 제공되는 프로세스 리스트에 대한 정보를 검출하여 커널 계층과 응용 계층 프로세스 리스트 비교 단계(S250)에 제공한다.
커널 계층과 응용 계층 프로세스 리스트 비교 단계(S250)는 커널 계층 프로세스 리스트와 응용 계층 프로세스 리스트를 비교하여 일치 여부를 판단한다.
커널 계층 프로세스 리스트와 응용 계층 프로세스 리스트가 일치하는 경우에는 정상 프로세스로 판단한다.(S260)
커널 계층 프로세스 리스트와 응용 계층 프로세스 리스트가 불일치 하는 경우에 커널 계층 프로세스 리스트에만 존재하고 응용 계층 프로세스 리스트에는 존재하지 않는 경우에는 해당 프로세스를 은닉 프로세스로 판단한다.(S270)
은닉 프로세스로 판단된 프로세스는 사용자에 의해 처리가 결정된다. 사용자가 은닉 프로세스 삭제를 하는 경우에 은닉 프로세스는 시스템에서 삭제된다.(S280)
이상에서 몇 가지 실시 예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것은 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
상술한 바와 같이, 본 발명에 의한 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템은 커널 계층에서 제공되는 시스템 이벤트 정보를 이용하여 실시간으로 은닉 프로세스를 탐지할 수 있어 은닉 프로세스로 사용자 시스템을 공격하 는 행위를 원천적으로 방어할 수 있는 효과가 있다.
또한, 본 발명에 의한 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템 및 방법은 은닉 프로세스가 idle 상태인 경우에도 시스템에서 발생하는 이벤트 정보를 이용하여 은닉 프로세스를 탐지 및 제거하고, 실시간으로 시스템 내에 발생된 이벤트 정보를 이용하여 탐지하므로 실시간으로 은닉 프로세스의 실행과 동시에 이를 탐지할 수 있는 효과가 있다.

Claims (16)

  1. 커널 계층에서 파일 시스템을 모니터링 하여 파일 이벤트 정보를 추출하는 커널 계층 모니터링에 의한 시스템 이벤트 정보로부터 추출한 프로세스 리스트와 응용 계층에서 사용자에게 제공되는 프로세스 리스트를 비교하여 커널 계층에만 존재하는 프로세스를 은닉 프로세스로 탐지하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템.
  2. 커널 계층에서 접근되는 레지스트리를 모니터링하여 레지스트리 이벤트 정보를 추출하는 커널 계층 모니터링에 의한 시스템 이벤트 정보로부터 추출한 프로세스 리스트와 응용 계층에서 사용자에게 제공되는 프로세스 리스트를 비교하여 커널 계층에만 존재하는 프로세스를 은닉 프로세스로 탐지하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템.
  3. 네트워크를 모니터링하여 네트워크 이벤트 정보를 추출하는 커널 계층 모니터링에 의한 시스템 이벤트 정보로부터 추출한 프로세스 리스트와 응용 계층에서 사용자에게 제공되는 프로세스 리스트를 비교하여 커널 계층에만 존재하는 프로세스를 은닉 프로세스로 탐지하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템.
  4. 제 1항 내지 제 3항 중 어느 하나의 항에 있어서,
    상기 커널 계층의 모니터링은 실시간으로 이루어지는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템.
  5. 제 1항 내지 제 3항에 중 어느 하나의 항에 있어서,
    상기 커널 계층 모니터링은 특정의 이벤트 정보와 프로세스를 감지하지 않는 시스템 이벤트 정보 필터링 모듈을 더 포함하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템.
  6. 커널 계층에서 파일 시스템을 모니터링하여 파일 이벤트 정보를 추출하는 파일 모니터링 모듈을 포함하는 커널 계층 모니터링 모듈;
    추출된 시스템 이벤트 정보로부터 이벤트와 관련한 프로세스를 검출하는 커널 계층 프로세스 리스트 검출 모듈;
    응용 계층에서 사용자에게 제공되는 프로세스 리스트를 검출하는 응용 계층 프로세스 리스트 검출 모듈;
    상기 커널 계층 프로세스 리스트 검출 모듈에서 검출된 프로세스와 상기 응용계층 프로세스 리스트 검출 모듈에서 검출된 프로세스를 비교하여 상기 커널 계층에만 존재하는 프로세스를 은닉 프로세스로 탐지하는 은닉 프로세스 탐지 모듈을 포함하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템.
  7. 커널 계층에서 접근되는 레지스트리를 모니터링하여 레지스트리 이벤트 정보를 추출하는 레지스트리 모니터링 모듈을 포함하는 커널 계층 모니터링 모듈;
    추출된 시스템 이벤트 정보로부터 이벤트와 관련한 프로세스를 검출하는 커널 계층 프로세스 리스트 검출 모듈;
    응용 계층에서 사용자에게 제공되는 프로세스 리스트를 검출하는 응용 계층 프로세스 리스트 검출 모듈;
    상기 커널 계층 프로세스 리스트 검출 모듈에서 검출된 프로세스와 상기 응용계층 프로세스 리스트 검출 모듈에서 검출된 프로세스를 비교하여 상기 커널 계층에만 존재하는 프로세스를 은닉 프로세스로 탐지하는 은닉 프로세스 탐지 모듈을 포함하는 것을 특징으로 하는 레지스트리 모니터링 모듈을 포함하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템.
  8. 커널 계층에서 네트워크를 모니터링 하여 네트워크 이벤트 정보를 추출하는 네트워크 모니터링 모듈을 포함하는 커널 계층 모니터링 모듈;
    추출된 시스템 이벤트 정보로부터 이벤트와 관련한 프로세스를 검출하는 커널 계층 프로세스 리스트 검출 모듈;
    응용 계층에서 사용자에게 제공되는 프로세스 리스트를 검출하는 응용 계층 프로세스 리스트 검출 모듈;
    상기 커널 계층 프로세스 리스트 검출 모듈에서 검출된 프로세스와 상기 응용계층 프로세스 리스트 검출 모듈에서 검출된 프로세스를 비교하여 상기 커널 계층에만 존재하는 프로세스를 은닉 프로세스로 탐지하는 은닉 프로세스 탐지 모듈을 포함하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템.
  9. 커널 계층 모니터링 모듈은 커널 계층에서 파일 시스템을 모니터링 하여 파일 이벤트 정보를 추출하는 파일 모니터링 모듈과, 상기 커널 계층에서 접근되는 레지스트리를 모니터링하여 레지스트리 이벤트 정보를 추출하는 레지스트리 모니터링 모듈과, 상기 커널 계층에서 네트워크를 모니터링 하여 네트워크 이벤트 정보를 추출하는 네트워크 모니터링 모듈을 포함하는 커널 계층 모니터링 모듈;
    추출된 시스템 이벤트 정보로부터 이벤트와 관련한 프로세스를 검출하는 커널 계층 프로세스 리스트 검출 모듈;
    응용 계층에서 사용자에게 제공되는 프로세스 리스트를 검출하는 응용 계층 프로세스 리스트 검출 모듈;
    상기 커널 계층 프로세스 리스트 검출 모듈에서 검출된 프로세스와 상기 응용계층 프로세스 리스트 검출 모듈에서 검출된 프로세스를 비교하여 상기 커널 계층에만 존재하는 프로세스를 은닉 프로세스로 탐지하는 은닉 프로세스 탐지 모듈을 포함하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템.
  10. 제 9항에 있어서,
    상기 응용 계층 프로세스 리스트 검출 모듈은 API를 통해 상기 응용계층에서 제공되는 프로세스 정보를 검출하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템.
  11. 제 6항 내지 제 10항 중에서 어느 하나의 항에 있어서,
    상기 은닉 프로세스 탐지모듈에서 탐지된 은닉 프로세스를 제거하는 은닉 프로세스 제거 모듈을 더 포함하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템.
  12. 커널 계층에서 파일 시스템을 모니터링 하여 파일 이벤트 정보를 추출하는 파일 모니터링 단계;
    추출된 시스템 이벤트 정보로부터 이벤트와 관련한 프로세스를 검출하는 커널 계층 프로세스 리스트 검출 단계;
    응용 계층에서 사용자에게 제공되는 프로세스 리스트를 검출하는 응용 계층 프로세스 리스트 검출 단계;
    상기 커널 계층 프로세스 리스트 검출 단계에서 검출된 프로세스와 상기 응용계층 프로세스 리스트 검출 단계에서 검출된 프로세스를 비교하여 상기 커널 계층에만 존재하는 프로세스를 은닉 프로세스로 탐지하는 은닉 프로세스 탐지 단계를 포함하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 방법.
  13. 커널 계층에서 접근되는 레지스트리를 모니터링하여 레지스트리 이벤트 정보를 추출하는 레지스트리 모니터링 단계;
    추출된 시스템 이벤트 정보로부터 이벤트와 관련한 프로세스를 검출하는 커널 계층 프로세스 리스트 검출 단계;
    응용 계층에서 사용자에게 제공되는 프로세스 리스트를 검출하는 응용 계층 프로세스 리스트 검출 단계;
    상기 커널 계층 프로세스 리스트 검출 단계에서 검출된 프로세스와 상기 응용계층 프로세스 리스트 검출 단계에서 검출된 프로세스를 비교하여 상기 커널 계층에만 존재하는 프로세스를 은닉 프로세스로 탐지하는 은닉 프로세스 탐지 단계를 포함하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 방법.
  14. 커널 계층에서 네트워크를 모니터링하여 네트워크 이벤트 정보를 추출하는 네트워크 모니터링 단계;
    추출된 시스템 이벤트 정보로부터 이벤트와 관련한 프로세스를 검출하는 커널 계층 프로세스 리스트 검출 단계;
    응용 계층에서 사용자에게 제공되는 프로세스 리스트를 검출하는 응용 계층 프로세스 리스트 검출 단계;
    상기 커널 계층 프로세스 리스트 검출 단계에서 검출된 프로세스와 상기 응용계층 프로세스 리스트 검출 단계에서 검출된 프로세스를 비교하여 상기 커널 계층에만 존재하는 프로세스를 은닉 프로세스로 탐지하는 은닉 프로세스 탐지 단계를 포함하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 방법.
  15. 제 12항 내지 제 14항 중에서 어느 하나의 항에 있어서,
    상기 은닉 프로세스 탐지 단계에서 탐지된 은닉 프로세스를 삭제하는 은닉 프로세스 삭제단계를 더 포함하는 것을 특징으로 하는 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 방법.
  16. 삭제
KR1020060055951A 2006-06-21 2006-06-21 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템및 방법 KR100799302B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020060055951A KR100799302B1 (ko) 2006-06-21 2006-06-21 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템및 방법
EP06121085A EP1870830A1 (en) 2006-06-21 2006-09-22 System and method for detecting hidden process using system event information
US11/527,018 US20070300061A1 (en) 2006-06-21 2006-09-26 System and method for detecting hidden process using system event information
JP2006267392A JP2008004064A (ja) 2006-06-21 2006-09-29 システムイベント情報を用いた隠匿プロセスの探知システムおよび方法(asystemandmethodfordetectionofahiddenprocessusingsystemevent)
CNA2006101635765A CN101093452A (zh) 2006-06-21 2006-09-30 使用***事件信息来探测隐藏进程的***和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060055951A KR100799302B1 (ko) 2006-06-21 2006-06-21 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템및 방법

Publications (2)

Publication Number Publication Date
KR20070121195A KR20070121195A (ko) 2007-12-27
KR100799302B1 true KR100799302B1 (ko) 2008-01-29

Family

ID=38042690

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060055951A KR100799302B1 (ko) 2006-06-21 2006-06-21 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템및 방법

Country Status (5)

Country Link
US (1) US20070300061A1 (ko)
EP (1) EP1870830A1 (ko)
JP (1) JP2008004064A (ko)
KR (1) KR100799302B1 (ko)
CN (1) CN101093452A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101308228B1 (ko) * 2011-12-28 2013-09-13 한양대학교 산학협력단 악성 코드 자동 탐지 방법
KR20160082016A (ko) * 2014-12-30 2016-07-08 고려대학교 산학협력단 안드로이드 프로세스간 통신 모니터링을 이용한 개인정보 유출 탐지 기법

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090038010A1 (en) * 2007-07-31 2009-02-05 Microsoft Corporation Monitoring and controlling an automation process
US8099740B1 (en) * 2007-08-17 2012-01-17 Mcafee, Inc. System, method, and computer program product for terminating a hidden kernel process
KR100954356B1 (ko) * 2008-03-10 2010-04-21 주식회사 안철수연구소 코드 보호 기법을 고려한 악성 프로그램 감지 시스템 및 그방법
KR101013417B1 (ko) * 2008-05-14 2011-02-14 주식회사 안철수연구소 네트워크 정보를 이용한 은폐형 악성코드 검출 방법
CN101304409B (zh) * 2008-06-28 2011-04-13 成都市华为赛门铁克科技有限公司 恶意代码检测方法及***
KR101001899B1 (ko) * 2008-09-25 2010-12-17 주식회사 안철수연구소 은폐된 시스템 개체 진단 시스템 및 진단 방법
KR101039551B1 (ko) * 2008-10-15 2011-06-09 (주)씨디네트웍스 은닉 프로세스 모니터링 방법 및 시스템
US20100107257A1 (en) * 2008-10-29 2010-04-29 International Business Machines Corporation System, method and program product for detecting presence of malicious software running on a computer system
KR101042944B1 (ko) * 2009-01-20 2011-06-20 한국모바일인증 주식회사 데이터 통신 중인 프로그램을 검출하는 데이터 보호 시스템및 그 데이터 보호 방법
EP2425365A4 (en) * 2009-04-30 2016-08-24 Ericsson Telefon Ab L M DEVIATING BEHAVIOR OF A USER TERMINAL
KR101122646B1 (ko) * 2010-04-28 2012-03-09 한국전자통신연구원 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
EP2388726B1 (en) 2010-05-18 2014-03-26 Kaspersky Lab, ZAO Detection of hidden objects in a computer system
KR101018848B1 (ko) * 2010-06-28 2011-03-04 (주)더프론즈 모바일 기기의 악성 코드가 생성하는 네트워크 데이터를 제어하는 네트워크 데이터 제어 장치 및 네트워크 데이터 제어 방법
CN101917682A (zh) * 2010-08-25 2010-12-15 宇龙计算机通信科技(深圳)有限公司 一种移动终端的信息发送方法、***及移动终端
CN102207894B (zh) * 2011-05-25 2013-01-02 上海宁乐科技有限公司 一种键盘过滤器及唤醒无响应的操作***的方法
CN103034807B (zh) * 2011-10-08 2016-01-27 腾讯科技(深圳)有限公司 恶意程序检测方法和装置
KR101143999B1 (ko) * 2011-11-22 2012-05-09 주식회사 안철수연구소 Api 기반 어플리케이션 분석 장치 및 방법
CN102521537B (zh) * 2011-12-06 2015-05-20 北京航空航天大学 基于虚拟机监控器的隐藏进程检测方法和装置
US9286047B1 (en) 2013-02-13 2016-03-15 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
CN104063288B (zh) * 2013-03-22 2016-05-25 腾讯科技(深圳)有限公司 进程管理方法及装置
US9690354B1 (en) * 2013-05-06 2017-06-27 AGGIOS, Inc. Automatic energy design and management system for assessing system components' energy consumption, compiling energy management control and optimizing energy usage
CN103400074B (zh) * 2013-07-09 2016-08-24 青岛海信传媒网络技术有限公司 一种隐藏进程的检测方法及装置
KR20150055442A (ko) * 2013-11-13 2015-05-21 삼성디스플레이 주식회사 입체 영상 표시 장치
CN103888616B (zh) * 2014-03-28 2018-01-16 上海斐讯数据通信技术有限公司 一种基于Android平台的彩信拦截方法
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9800497B2 (en) 2015-05-27 2017-10-24 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10033766B2 (en) 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
CN106599683B (zh) * 2015-10-16 2019-10-22 华为技术有限公司 一种确定隐藏的内核模块的方法、装置及设备
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10659426B2 (en) * 2017-05-26 2020-05-19 Verisign, Inc. System and method for domain name system using a pool management service
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
CN108256320B (zh) * 2017-12-27 2020-04-28 北京梆梆安全科技有限公司 微分域动态检测方法及装置、设备和存储介质
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
RU2700185C1 (ru) * 2018-07-27 2019-09-13 Закрытое акционерное общество "Перспективный мониторинг" Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы
CN112260889B (zh) * 2020-09-28 2022-03-11 中孚安全技术有限公司 一种基于Linux的进程流量监控方法、***及设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060065961A (ko) * 2004-12-11 2006-06-15 엘지전자 주식회사 메모리 확보를 위한 백그라운드 프로세스 관리 방법

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003058451A1 (en) * 2002-01-04 2003-07-17 Internet Security Systems, Inc. System and method for the managed security control of processes on a computer system
US7448084B1 (en) * 2002-01-25 2008-11-04 The Trustees Of Columbia University In The City Of New York System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses
US20050229250A1 (en) * 2004-02-26 2005-10-13 Ring Sandra E Methodology, system, computer readable medium, and product providing a security software suite for handling operating system exploitations
US7571482B2 (en) * 2005-06-28 2009-08-04 Microsoft Corporation Automated rootkit detector
US7874001B2 (en) * 2005-07-15 2011-01-18 Microsoft Corporation Detecting user-mode rootkits
US7841006B2 (en) * 2005-10-05 2010-11-23 Computer Associates Think, Inc. Discovery of kernel rootkits by detecting hidden information
US8572371B2 (en) * 2005-10-05 2013-10-29 Ca, Inc. Discovery of kernel rootkits with memory scan

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060065961A (ko) * 2004-12-11 2006-06-15 엘지전자 주식회사 메모리 확보를 위한 백그라운드 프로세스 관리 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101308228B1 (ko) * 2011-12-28 2013-09-13 한양대학교 산학협력단 악성 코드 자동 탐지 방법
KR20160082016A (ko) * 2014-12-30 2016-07-08 고려대학교 산학협력단 안드로이드 프로세스간 통신 모니터링을 이용한 개인정보 유출 탐지 기법
KR101640033B1 (ko) 2014-12-30 2016-07-15 고려대학교 산학협력단 안드로이드 프로세스간 통신 모니터링을 이용한 개인정보 유출 탐지 기법

Also Published As

Publication number Publication date
US20070300061A1 (en) 2007-12-27
KR20070121195A (ko) 2007-12-27
JP2008004064A (ja) 2008-01-10
EP1870830A1 (en) 2007-12-26
CN101093452A (zh) 2007-12-26

Similar Documents

Publication Publication Date Title
KR100799302B1 (ko) 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템및 방법
JP7460696B2 (ja) カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護
EP3430556B1 (en) System and method for process hollowing detection
US10657251B1 (en) Multistage system and method for analyzing obfuscated content for malware
EP3200115B1 (en) Specification device, specification method, and specification program
US8515075B1 (en) Method of and system for malicious software detection using critical address space protection
US7673341B2 (en) System and method of efficiently identifying and removing active malware from a computer
US8590045B2 (en) Malware detection by application monitoring
CA2625274C (en) Method and system for protecting a computer system during boot operation
CN101478407B (zh) 在线安全登录的方法及装置
US8613093B2 (en) System, method, and computer program product for comparing an object with object enumeration results to identify an anomaly that at least potentially indicates unwanted activity
KR102271545B1 (ko) 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들
US10931685B2 (en) Malware analysis and recovery
KR102005107B1 (ko) Api 호출 시퀀스를 이용한 악성코드의 기능 분석 방법 및 장치
Almutairi et al. Innovative signature based intrusion detection system: Parallel processing and minimized database
US20180137274A1 (en) Malware analysis method and storage medium
US8938807B1 (en) Malware removal without virus pattern
KR100959274B1 (ko) 네트워크 모니터링 정보를 이용한 악성 코드 조기방역 시스템 및 그 방법
JP7166969B2 (ja) ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法
US7130981B1 (en) Signature driven cache extension for stream based scanning
US20040093514A1 (en) Method for automatically isolating worm and hacker attacks within a local area network
US20230229717A1 (en) Optimized real-time streaming graph queries in a distributed digital security system
JP2005175714A (ja) ネットワークにおけるアクセスの悪意度の評価装置、方法及びシステム
WO2023003565A1 (en) Kill chain identifications
CN116578967A (zh) 基于Windows的远程线程检测方法、装置及***

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130111

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140103

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20141224

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20151224

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20161227

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20181226

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20200106

Year of fee payment: 13