[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR101609124B1 - 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법 및 장치 - Google Patents

모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법 및 장치 Download PDF

Info

Publication number
KR101609124B1
KR101609124B1 KR1020140084464A KR20140084464A KR101609124B1 KR 101609124 B1 KR101609124 B1 KR 101609124B1 KR 1020140084464 A KR1020140084464 A KR 1020140084464A KR 20140084464 A KR20140084464 A KR 20140084464A KR 101609124 B1 KR101609124 B1 KR 101609124B1
Authority
KR
South Korea
Prior art keywords
file
packet
engine
list
app
Prior art date
Application number
KR1020140084464A
Other languages
English (en)
Other versions
KR20160005489A (ko
Inventor
주은영
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020140084464A priority Critical patent/KR101609124B1/ko
Priority to US14/793,686 priority patent/US9537897B2/en
Publication of KR20160005489A publication Critical patent/KR20160005489A/ko
Application granted granted Critical
Publication of KR101609124B1 publication Critical patent/KR101609124B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 NIC(Network Interface Card)로부터 로딩되어 디코딩된 패킷에 대한 악성코드 검출을 위해 기설정된 정책 정보 기반 상기 패킷의 경로를 제어하는 과정과, 상기 경로에 위치하는 엔진별 패킷 분석 결과에 따라 패킷을 차단하거나 혹은 패킷의 정보를 추출하고, 추출된 정보를 기설정된 정책 정보 기반 경로 상의 엔진별로 선택적으로 처리하는 과정과, 특정 엔진에서 상기 패킷 URL의 다운로드 파일을 수집하여 앱 파일로 추출하고, 추출된 상기 앱 파일을 매니코어(manycore) 프로세서 환경 기반 가상화된 컴퓨팅 자원(resource)이 할당된 가상 머신에 전달하는 과정과, 상기 가상 머신 OS 버전별로 앱 파일의 데이터와 행위를 분석하여 악성코드 존재 여부 및 자원에의 접근 여부를 판단하여 판단 결과에 따라 해당 앱을 선택적으로 관리하는 과정을 포함함을 특징으로 한다.

Description

모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법 및 장치{METHOD AND APPARATUS FOR PROVIDING BEHAVIOR-BASED ANALYSIS SERVICE IN MOBILE NETWORK ENVIRONMENT}
본 발명은 고속 네트워크 보안 서비스에서 모바일 앱 취약점 분석을 통해 악성 행위 탐지 및 관리 서비스에 관한 것이다.
일반적인 앱 취약점은, 모바일 환경에 설치된 후, 모바일 단말기 백신 프로그램에 의해 취약점을 패턴으로 차단 하는 방식을 일반적으로 사용하고 있다.
이 경우, 1차 발생하고 감염된 후, 격리/치료 방식이기 때문에 백신의 탐지 능력에 따라 감염치료 의존도가 높다.
도 1은 종래 네트워크 보안에서 악성파일 분석에 관한 시스템의 개략적인 구성도이다.
도 1에 도시된 바와 같이, 사용자(110)가 모바일 앱을 서비스(116)로부터 다운로드 받을 경우, 서비스(116)에서 악성 앱 파일이 다운로드된 경우 이러한 악성 앱을 분석하기 위해서는 분석 시스템(112), 행위분석 시스템(118)을 통한 분석과 연동 작업이 이뤄지고, 분석된 결과는 분석 시스템(112)에 전달되어 관리되게 된다.
이럴 경우, 가상 머신 행위분석 시스템(118)과 네트워크 트래픽 분석 시스템(112)이 별도로 각각 정적 분석과 동적 분석의 결과를 취합하여 분석하기 때문에 분석 시간이 오래 걸리고 즉각적인 대응이 용이치 않은 문제가 있다.
따라서 본 발명은 네트워크 보안 단계에서 앱 다운로드 시, 해당 앱에 대한 취약점등을 시뮬레이션 분석을 통한 보다 빠른 분석 및 실시간 취약점을 관리 대응하는 기술을 제공하고자 한다.
또한, 본 발명은 모바일 네트워크 환경에서 실시간 취약성 앱을 분석 차단하여 시스템 내 내부 사용자에 대한 무결성의 내부 환경 유지가 가능할 뿐만 아니라, 다수의 서버로부터 각각 운영되어 분석되는 시스템을 단일 시스템으로 운영 가능하므로 빠른 분석과 실시간 유해 앱을 차단 가능하고, 매니코어 카드(many core card)를 이용하여 다수 개의 취약성 파일을 동시에 분석 가능한 기술을 제공하고자 한다.
본 발명의 일 견지에 따르면, NIC(Network Interface Card)로부터 로딩되어 디코딩된 패킷에 대한 악성코드 검출을 위해 기설정된 정책 정보 기반 상기 패킷의 경로를 제어하는 과정과, 상기 경로에 위치하는 엔진별 패킷 분석 결과에 따라 패킷을 차단하거나 혹은 패킷의 정보를 추출하고, 추출된 정보를 기설정된 정책 정보 기반 경로 상의 엔진별로 선택적으로 처리하는 과정과, 특정 엔진에서 상기 패킷 URL의 다운로드 파일을 수집하여 앱 파일로 추출하고, 추출된 상기 앱 파일을 매니코어(manycore) 프로세서 환경 기반 가상화된 컴퓨팅 자원(resource)이 할당된 가상 머신에 전달하는 과정과, 상기 가상 머신 OS 버전별로 앱 파일의 데이터와 행위를 분석하여 악성코드 존재 여부 및 자원에의 접근 여부를 판단하여 판단 결과에 따라 해당 앱을 선택적으로 관리하는 과정을 포함함을 특징으로 한다.
본 발명의 다른 견지에 따르면, NIC(Network Interface Card)로부터 로딩되어 디코딩된 패킷에 대한 악성코드 검출을 위해 기설정된 정책 정보 기반 상기 패킷의 경로를 제어하고, 상기 경로별 위치하는 엔진으로부터 패킷 분석 결과에 따라 패킷을 차단하거나 혹은 패킷의 정보를 추출하고, 추출된 정보를 기설정된 정책 정보 기반 경로 상의 엔진별로 선택적으로 처리하는 제어부와, 상기 제어부를 통해 패킷 URL의 다운로드 파일을 수집하여 앱 파일로 추출하고, 추출된 상기 앱 파일을 매니코어(manycore) 프로세서 환경을 기반으로 가상화된 컴퓨팅 자원(resource)이 할당된 가상 머신에 전달하는 다운로드 경로 및 파일 관리 엔진과, 상기 제어부의 제어 하에 가상 머신 OS 버전별로 앱 파일의 데이터와 행위를 분석하여 악성코드 존재 여부 및 자원에의 접근 여부를 판단하여 판단 결과에 따라 해당 앱을 선택적으로 관리하는 가상 머신 관리 엔진부를 포함함을 특징으로 한다.
본 발명은 모바일 네트워크 환경에서 실시간 취약성 앱을 분석 차단하여 시스템 내 내부 사용자에 대한 무결성의 내부 환경 유지가 가능할 뿐만 아니라, 다수의 서버로부터 각각 운영되어 분석되는 시스템을 단일 시스템으로 운영 가능하므로 빠른 분석과 실시간 유해 앱을 차단 가능하고, 매니코어 카드(many core card)를 이용하여 다수 개의 취약성 파일을 동시에 분석 가능한 효과가 있다.
도 1은 종래 네트워크 보안에서 악성파일 분석에 관한 시스템의 개략적인 구성도.
도 2는 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법이 적용된 시스템의 개략적인 구성도.
도 3은 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법에 관한 전체 흐름도.
도 4는 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법에 있어서, 패킷 이동 경로 상에 위치하는 엔진별 패킷 처리에 관한 흐름도.
도 5는 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법에 있어서, 패킷 이동 경로 상에 위치하는 엔진별 패킷 처리에 관한 흐름도.
도 6은 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 방법에 있어서 가상 머신 OS 버전별 앱 파일의 데이터와 행위분석에 관한 동작 흐름도.
도 7은 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 장치의 구성도.
이하 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명에서는 구체적인 구성 소자 등과 같은 특정 사항들이 나타나고 있는데 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐 이러한 특정 사항들이 본 발명의 범위 내에서 소정의 변형이나 혹은 변경이 이루어질 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다.
본 발명은 고속 네트워크 보안 서비스에서 모바일 앱 취약점 분석을 통해 악성 행위 탐지 및 관리에 관한 것으로, 보다 상세하게는 패킷 경로별 위치하는 패킷 분석 엔진으로부터 패킷을 분석하여 악성 파일이 추출되면 가상 머신을 통해 가상 머신 OS 버전별 앱 파일의 데이터와 행위를 분석하고, 분석된 결과 기반 해당 패킷의 분석 시그니처 및 악성 파일의 다운로드 경로, 파일, 파일명, 해쉬값을 포함하는 항목을 파싱하여 관리함으로써 모바일 네트워크 환경에서 실시간 취약성 앱을 분석 차단하여 시스템 내 내부 사용자에 대한 무결성의 내부 환경 유지가 가능할 뿐만 아니라, 다수의 서버로부터 각각 운영되어 분석되는 시스템을 단일 시스템으로 운영 가능하므로 빠른 분석과 실시간 유해 앱을 차단 가능하고, 매니코어 카드(many core card)를 이용하여 다수 개의 취약성 파일을 동시에 분석 가능한 기술을 제공하고자 한다.
이하, 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법에 대해 도 2 내지 6을 참조하여 자세히 살펴보기로 한다.
우선, 도 2는 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법이 적용된 시스템의 개략적인 구성도이다.
도 2에 도시된 바와 같이, 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 시스템에서는 네트워크 분석 시스템(215)의 NIC(Network Interface Card, 214)에서 악성 파일이 추출된 경우, 매니코어 카드(혹은 칩)(218)이 포함된 가상 머신 엔진(212)으로 전송된다.
이때, 상기 매니코어 카드(218)에는 각각의 모바일 버전별 OS가 가상 머신(Virtual Machine)으로 구성되어 있으며, 상기 매니코어 카드(218)를 통해 가상 모바일 환경을 구축한 후 유해한 앱을 가상 환경에서 시뮬레이션을 통한 데이터 유출, 환경 추출 등을 통해 행위 동작의 정상 여부 및 관리를 진행한다.
즉, 서비스(216)에서 다운로드된 해당 앱의 취약점은 모바일 버전별 OS에 설치 및 행위분석 작업이 수행된다.
이러한, 행위분석 작업 결과, 본 발명은 각각의 가상 모바일 OS에서 행위 결과를 취합하여 통계적으로 취약한 OS 버전의 결과를 네트워크 분석 엔진으로 전달함으로써 모바일 네트워크 환경에서 발생하는 비정상행위를 매니코어 가속기 카드를 통해 빠르게 분석하여 사전에 탐지 가능하다.
더욱 상세하게는, 도 3을 참조하여 설명한다.
도 3은 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법에 관한 전체 흐름도이다.
도 3을 참조하면, 310 과정에서는 NIC(Network Interface Card)로 로딩하여 해당 패킷이 리드되고, 312 과정에서는 상기 NIC로부터 리드된 패킷의 디코딩을 수행한다.
314 과정에서는 악성코드 검출을 위해 기설정된 정책(policy) 정보 기반 상기 패킷의 경로를 제어하고, 316 과정에서 상기 경로 상에 위치하는 엔진별로 패킷 분석을 수행한다.
이때, 상기 기설정된 정책 정보는 통신 네크워크에 관해서 부당한 액세스, 악성 행위 관련 네트워크 보안 서비스 관련 프로토콜을 기반으로 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 수행을 위한 전반적인 제어를 위한 것으로, 이에 따라 상기 기설정된 정책 정보 제어 신호에 의해 NIC로부터 로딩되어 디코딩 패킷은 패킷 처리용 이동해야 하는 경로에 위치하는 엔진별 정책 정보에 따라 순차적으로 전달되어 분석된다.
이에 따라, 상기 316 과정에서는 경로 상에 위치하는 엔진으로부터 패킷 분석 결과에 따라 패킷을 차단하거나 혹은 패킷의 정보를 추출하고, 추출된 정보를 기설정된 정책 정보 기반 경로 상의 엔진별로 선택적으로 처리된다.
보다 상세하게는, 디코딩된 패킷을 While List 엔진으로 제1 경로 제어하여 해당 패킷의 다운로드 경로 및 파일 검색을 통해 기존 정상 파일 리스트 기반 정상 파일 여부를 판단하고, 판단 결과 상기 정상 파일 리스트에 대응되는 경우 상기 패킷을 Black List 엔진으로 제2 경로 제어하여 해당 패킷의 다운로드 경로 및 파일 검색을 통해 기존 파일 리스트에 대응되는 경우 패킷을 차단하고, 대응되지 않은 경우 정적 분석엔진으로 전달한다.
여기서, 상술한 314 및 316 과정의 동작을 도 4를 통해 더욱 상세히 살펴보도록 한다.
도 4는 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법에 있어서, 패킷 이동 경로 상에 위치하는 엔진별 패킷 처리에 관한 흐름도이다.
도 4를 참조하면, 410 과정에서는 기설정된 정책 정보 기반 패킷의 경로를 제어하기 위해 디코딩된 패킷을 While List 엔진으로 제1 경로 제어한다.
412 과정에서는 상기 While List 엔진에서 해당 패킷의 다운로드 경로 및 파일 검색을 통해 기존 정상 파일 리스트 기반 정상 파일 여부를 판단한다.
414 과정에서 정상 파일 여부 판단 결과, 정상 파일이 아닌 경우 416 과정으로 이동하여 Black List 엔진으로 해당 패킷을 제2 경로 제어한다.
즉, While List 엔진으로부터 관리되는 DB를 통해 다운로드 경로(URL), 다운로드 파일이 이전에 받은 정상 파일인지 검사하여, 정상 파일 리스트에 존재하지 않은 경우 Black List 엔진으로 처리한다.
또한, 상기 While List 엔진의 정상 파일 리스트에 해당 패킷의 다운로드 경로 및 파일이 존재하는 경우 타임아웃(timeout)범위 여부를 검사하여 타임아웃된 경우 Black List 엔진으로 해당 패킷의 경로를 진행하고, 타임아웃되지 않은 경우 정적 분석엔진으로 해당 패킷의 경로를 진행한다.
이후, 418 과정에서는 상기 Black List 엔진으로 제2 경로 제어된 해당 패킷의 다운로드 경로 및 파일 검색을 수행하여, 420 과정에서 Black List 엔진의 DB를 통해 해당 패킷의 파일 리스트 포함 여부를 체크하여, 체크 결과 파일 리스트에 포함된 경우 422 과정으로 이동하여 해당 패킷은 차단되고, 포함되지 않은 경우 424 과정으로 이동하여 해당 패킷은 정적 분석 엔진으로 전달된다.
한편, 상기 414 과정에서 체크 결과, 정상 파일 리스트에 존재할 경우, 해당 패킷은 424 과정으로 이동하여 정적 분석 엔진으로 진행된다.
상기 정적 분석엔진으로 경로 제어된 해당 패킷의 시그니처(signature) 기반 검출을 통해 탐지를 수행하여 악성코드가 탐지된 경우 패킷을 차단한다.
다시 도 3의 설명으로 돌아가서, 318 과정에서는 특정 엔진 즉, While List 엔진 혹은 Black List 엔진으로부터 분석되어 정적 분석 엔진으로 전달된 패킷 URL의 다운로드 파일을 수집하여 앱 파일로 추출하여 해당 패킷을 처리한다.
더욱 상세하게는, 도 5를 참조하여 설명한다.
도 5는 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법에 있어서, 패킷 이동 경로 상에 위치하는 엔진별 패킷 처리에 관한 흐름도이다.
도 5를 참조하면, 510 과정에서는 상기 패킷 URL의 다운로드 파일을 수집하여 앱 파일로 추출하기 위해 패킷의 URL의 다운로드 파일을 모아 수집하고, 512 과정에서 앱 파일로 추출한다.
514 과정에서 파일 추출 엔진에서 다운로드 URL에서 첨부된 첨부파일의 구조를 기반으로 앱 파일을 추출하여 해당 패킷에서 추출된 상기 앱 파일 사이즈에 대응되게 버퍼하여 516 과정에서 앱 파일로 생성한다.
이후, 518 과정에서는 유해파일 관리 엔진에서 상기 추출된 앱 파일의 기설정된 항목을 파싱하여 URL, 다운로드 파일, 해쉬(hash)값, 날짜 유해 정보 유지 시간을 관리하고, 520 과정에서는 파일 체크 엔진으로부터 상기 추출된 앱 파일의 무결성 및 앱 파일의 포맷인지 여부를 동일한 파일명과 해쉬값 존재 여부를 통해 체크하고, 체크 결과 존재하는 경우 522 과정으로 이동하여 해당 패킷을 차단하고, 존재하지 않는 경우 524 과정으로 이동하여 DB의 업데이트를 수행한다.
다시 도 3의 설명으로 돌아가, 상술한 과정별 동작을 통해 처리된 패킷의 해당 앱 파일을 320 과정에서는 매니코어 프로세서 환경 기반 가상화된 컴퓨팅 자원(resource)이 할당된 가상 머신에 전달한다.
322 과정에서는 상기 가상 머신 OS 버전별로 앱 파일의 데이터와 행위를 분석하고, 324 과정에서 악성코드 존재 여부 및 자원에의 접근 여부를 판단하여 판단 결과에 따라 해당 앱을 선택적으로 관리한다.
이때, 상기 앱을 선택적으로 관리하는 과정은, 판단 결과 악성 파일인 경우 Black List 엔진에서 악성 URL, 파일 네임, 해쉬 값을 비교하고, 악성 파일이 아닌 경우 While List 엔진에 URL, 파일 리스트를 등록하여 관리하는 것으로, 326 과정에서 악성 파일 체크 결과, 악성 파일인 경우 330 과정으로 이동하여 Black List 엔진의 DB 업데이트를 수행한다.
악성 파일이 아닌 경우, 328 과정으로 이동하여 While List 엔진 DB의 업데이트를 수행한다.
이때, 상기 322 과정의 동작을 도 6을 통해 더욱 상세히 살펴본다.
도 6은 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 방법에 있어서 가상 머신 OS 버전별 앱 파일의 데이터와 행위분석에 관한 동작 흐름도이다.
도 6을 참조하면, 610 과정에서는 해당 앱이 모바일 단말 내 자원에의 접근 시 발생하는 이벤트를 획득한다.
즉, 모바일 단말 내 자원에 접근을 시도하여 상기 자원을 사용하거나 제어하고, 상기 자원의 정보 수집 관련 발생 이벤트를 모니터링하여 획득한다.
612 과정에서는 모바일 OS 버전별 잡 스케줄러에 앱 파일을 전달하고, 614 과정에서 각 OS 버전별 앱 파일 행위분석 수행을 통해 616 과정에서 악성 행위를 판단한다.
상술한 610 ~ 616 과정을 통해 가상 머신의 앱 파일 행위 분석을 통해 DNS, Socket 생성, 특정 폴더 접근 등의 위험 요소를 파악하고, 이러한 가상 머신의 행위 분석 결과를 취합하여 악성 파일 결과 검사를 수행한다.
이를 통해 악성 파일 결과 검사 결과, 악성 파일인 경우, Black List에 악성 URL, File Name, hash 값 등을 비교하여 비교결과를 해당 Black List 엔진의 DB에 업데이트하고, 악성 파일이 아닐 경우, White List 엔진에 URL, File list 등록을 수행한다.
이와 같이, 본 발명에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법에 따라 모바일 앱 취약점을 빠르게 분석하고 관리하기 위한 행위기반 탐지를 위해 매니코어 가속기 카드를 이용한 가상 모바일 환경을 구축한 후, 유해한 앱을 가상 환경에서 시뮬레이션하여 데이터 유출, 환경 추출 등을 통해 행위 동작의 정상 여부 확인 및 관리를 진행함으로써 앱 취약점을 사전 차단 및 정상 앱에 대한 사용 여부를 판단 관리 한다.
이상 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법에 대해 살펴보았다.
이하에서는, 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 장치에 대해 도 7을 참조하여 자세히 살펴보기로 한다.
도 7은 본 발명의 일 실시 예에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 장치의 구성도이다.
도 7을 참조하면, 본 발명이 적용된 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 장치(700)은 While List 엔진(714), Black List 엔진(716), 정적 분석 엔진(718), 제어부(720), 매니코어 카드(736), 가상머신 관린 엔진(738), 행위분석 엔진(740), Download URL 및 파일관리 엔진(722), 유해 파일 관리 엔진(732), 파일 체크 엔진(734)를 포함한다.
상기 제어부(720)은 NIC(Network Interface Card)로부터 로딩되어 디코딩된 패킷에 대한 악성코드 검출을 위해 기설정된 정책 정보 기반 상기 패킷의 경로를 제어하고, 상기 경로에 위치하는 엔진별 패킷 분석 결과에 따라 패킷을 차단하거나 혹은 패킷의 정보를 추출하고, 추출된 정보를 기설정된 정책 정보 기반 경로 상의 엔진별로 선택적으로 처리한다.
상기 While List 엔진(714)는 제어부(720)를 통해 제1 경로 제어된 디코딩된 패킷에 대한 다운로드 경로 및 파일 검색을 통해 기존 정상 파일 리스트 기반 정상 파일 여부를 판단하여 판단 결과 상기 정상 파일 리스트에 대응되는 경우 상기 패킷을 상기 제어부(720)의 제어 하에 제2 경로 제어되는 Black List 엔진(716)으로 전달하고, 대응되지 않은 경우 정적 분석엔진(718)으로 전달한다.
또한, 상기 While List 엔진(714)은, 정상 파일 리스트에 해당 패킷의 다운로드 경로 및 파일이 존재하는 경우 타임아웃(timeout) 범위 여부를 검사하여 타임아웃된 경우 상기 Black List 엔진으로 해당 패킷의 경로를 진행하고, 타임아웃되지 않은 경우 상기 정적 분석엔진으로 해당 패킷의 경로를 진행한다.
상기 Black List 엔진(716)은 While List 엔진(714)으로부터 전달된 해당 패킷의 다운로드 경로 및 파일 검색을 통해 기존 파일 리스트에 대응되는 경우 패킷을 차단한다.
상기 정적 분석 엔진(718)은 While List 엔진 및 Black List 엔진으로부터 경로 제어된 해당 패킷의 시그니처(signature) 기반 검출을 통해 탐지를 수행하여 악성코드가 탐지된 경우 패킷을 차단한다.
상기 다운로드 경로 및 파일 관리 엔진(722)는 제어부(720)를 통해 패킷 URL의 다운로드 파일을 수집하여 앱 파일로 추출하고, 추출된 상기 앱 파일을 매니코어(manycore) 프로세서 환경을 기반으로 가상화된 컴퓨팅 자원(resource)이 할당된 가상 머신에 전달한다.
더욱 상세하게는, 상기 다운로드 경로 및 파일 관리 엔진(722)은 상기 패킷 URL의 다운로드 파일을 수집하는 수집부(724)와, 상기 수집부(724)로부터 수집된 패킷에서의 URL의 다운로드 파일을 모아 앱 파일로 추출하는 추출부(726)와, 다운로드 URL에서 첨부된 첨부파일의 구조를 기반으로 어플리케이션 파일을 추출하여 해당 패킷에서 추출된 상기 앱 파일 사이즈에 대응되게 버퍼하여 앱 파일로 생성하는 파일 추출 엔진(728)을 포함한다.
상기 가상 머신 관리 엔진(738)은 제어부(720)의 제어 하에 가상 머신 OS 버전별로 앱 파일의 데이터와 행위를 분석하여 악성코드 존재 여부 및 자원에의 접근 여부를 판단하여 판단 결과에 따라 해당 앱을 선택적으로 관리한다.
또한, 상기 가상 머신 관리 엔진(738)는, 해당 앱이 모바일 단말 내 자원에의 접근 시 발생하는 이벤트를 획득하고, 획득된 이벤트 검사를 통해 모바일 OS 버전별 잡(job) 스케줄러로 전달된 앱 파일에 대하여 각 OS 버전별 앱 파일의 행위분석을 수행하고, 상기 행위분석을 통해 악성행위 유무를 판단한다.
한편, 상기 가상 머신 관리 엔진(738)은 매니코어 카드(혹은 칩)은 적은 용량의 CPU가 200개 이상을 가지고 있기 때문에, 가상 OS를 효율적으로 사용하기 위해 잡(Job) 분배 및 가상 머신을 관리하여 사용한다.
클라우드(Cloud) 환경과 같이 각각의 OS의 잡이 처리 속도가 떨어질 경우, 해당 OS의 가상 머신(Virtual Machine)을 활성화하여 처리 속도를 조절하는 방법으로 관리한다.
상기 행위분석 엔진(740)은 네트워크 상에서 패킷으로 다운로드 되는 악성 앱 파일을 조합하여, 앱 파일을 추출 후, 해당 앱파일을 가상 모바일 환경에 실행되면 모바일 앱에 특정 파일/디렉토리에 접근하거나, 통신을 통하여, 접근한 파일을 전송하는 형태를 취하는지 검사한다.
이러한, 행위분석 엔진(740)은 특정 레지스터 또는 특정파일을 변조시키는지 검사할 수 있는지 수행하는 엔진으로, 해당 엔진은 가상 모바일 OS 환경으로, 분석이 끝나면, 초기 OS 환경 설정으로 복구하여, 다음 분석을 수행한다.
상기 유해파일 관리 엔진(732)은 상기 추출된 앱 파일의 기설정된 항목을 파싱하여 URL, 다운로드 파일, 해쉬(hash)값, 날짜 유해 정보 유지 시간을 관리한다.
상기 파일 체크 엔진(734)는 추출된 앱 파일의 무결성 및 앱 파일의 포맷인지 여부를 동일한 파일명과 해쉬값 존재 여부를 통해 체크하여 존재하는 경우 해당 패킷을 차단한다.
상기와 같이 본 발명에 따른 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법 및 장치에 관한 동작이 이루어질 수 있으며, 한편 상기한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 청구범위와 청구범위의 균등한 것에 의하여 정하여져야 할 것이다.
714: While List 엔진 716: Black List 엔진
718: 정적 분석 엔진 720: 제어부
722: Download URL 및 파일관리 엔진 732: 유해 파일 관리 엔진
738: 가상 머신 관리 엔진 740: 행위 분석 엔진

Claims (15)

  1. NIC(Network Interface Card)로부터 로딩되어 디코딩된 패킷에 대한 악성코드 검출을 위해 기설정된 정책 정보 기반 상기 패킷의 경로를 제어하는 과정과,
    상기 경로에 위치하는 엔진별 패킷 분석 결과에 따라 패킷을 차단하거나 혹은 패킷의 정보를 추출하고, 추출된 정보를 기설정된 정책 정보 기반 경로 상의 엔진별로 선택적으로 처리하는 과정과,
    특정 엔진에서 상기 패킷의 URL의 다운로드 파일을 수집하여 앱 파일로 추출하고, 추출된 상기 앱 파일을 매니코어(manycore) 프로세서 환경 기반 가상화된 컴퓨팅 자원(resource)이 할당된 가상 머신에 전달하는 과정과,
    상기 가상 머신 OS 버전별로 앱 파일의 데이터와 행위를 분석하여 악성코드 존재 여부 및 자원에의 접근 여부를 판단하여 판단 결과에 따라 해당 앱을 선택적으로 관리하는 과정을 포함함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법.
  2. 제1항에 있어서, 상기 기설정된 정책 정보 기반 패킷의 경로를 제어하는 과정은,
    디코딩된 패킷을 While List 엔진으로 제1 경로 제어하여 해당 패킷의 다운로드 경로 및 파일 검색을 통해 기존 정상 파일 리스트 기반 정상 파일 여부를 판단하는 과정과,
    판단 결과 상기 정상 파일 리스트에 대응되는 경우 상기 패킷을 Black List 엔진으로 제2 경로 제어하여 해당 패킷의 다운로드 경로 및 파일 검색을 통해 기존 파일 리스트에 대응되는 경우 패킷을 차단하고, 대응되지 않은 경우 정적 분석엔진으로 전달하는 과정을 포함함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법.
  3. 제2항에 있어서,
    상기 While List 엔진의 정상 파일 리스트에 해당 패킷의 다운로드 경로 및 파일이 존재하는 경우 타임아웃(timeout)범위 여부를 검사하여 타임아웃된 경우 Black List 엔진으로 해당 패킷의 경로를 진행하고,
    타임아웃되지 않은 경우 정적 분석엔진으로 해당 패킷의 경로를 진행함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법.
  4. 제2항에 있어서, 상기 정적 분석엔진으로 경로 제어된 해당 패킷의 시그니처(signature) 기반 검출을 통해 탐지를 수행하여 악성코드가 탐지된 경우 패킷을 차단함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법.
  5. 제1항에 있어서, 상기 패킷의 URL의 다운로드 파일을 수집하여 앱 파일로 추출하는 과정은,
    파일 추출 엔진에서 다운로드 URL에서 첨부된 첨부파일의 구조를 기반으로 앱 파일을 추출하여 해당 패킷에서 추출된 상기 앱 파일 사이즈에 대응되게 버퍼하여 앱 파일로 생성함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법.
  6. 제5항에 있어서,
    유해파일 관리 엔진에서 상기 추출된 앱 파일의 기설정된 항목을 파싱하여 URL, 다운로드 파일, 해쉬(hash)값, 날짜 유해 정보 유지 시간을 관리함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법.
  7. 제5항에 있어서,
    파일 체크 엔진에서 상기 추출된 앱 파일의 무결성 및 앱 파일의 포맷인지 여부를 동일한 파일명과 해쉬값 존재 여부를 통해 체크하여 존재하는 경우 해당 패킷을 차단함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법.
  8. 제1항에 있어서, 상기 가상 머신 OS 버전별로 앱 파일의 데이터와 행위 분석은,
    해당 앱이 모바일 단말 내 자원에의 접근 시 발생하는 이벤트를 획득하고, 획득된 이벤트 검사를 통해 모바일 OS 버전별 잡(job) 스케줄러로 전달된 앱 파일에 대하여 각 OS 버전별 앱 파일의 행위분석을 수행하고, 상기 행위분석 수행을 통해 악성행위 유무를 판단함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법.
  9. 제1항에 있어서, 상기 앱을 선택적으로 관리하는 과정은,
    판단 결과 악성 파일인 경우 Black List 엔진에서 악성 URL, 파일 네임, 해쉬 값을 비교하고,
    악성 파일이 아닌 경우 While List 엔진에 URL, 파일 리스트를 등록하여 관리함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법.
  10. NIC(Network Interface Card)로부터 로딩되어 디코딩된 패킷에 대한 악성코드 검출을 위해 기설정된 정책 정보 기반 상기 패킷의 경로를 제어하고, 상기 경로별 위치하는 엔진으로부터 패킷 분석 결과에 따라 패킷을 차단하거나 혹은 패킷의 정보를 추출하고, 추출된 정보를 기설정된 정책 정보 기반 경로 상의 엔진별로 선택적으로 처리하는 제어부와,
    상기 제어부를 통해 패킷 URL의 다운로드 파일을 수집하여 앱 파일로 추출하고, 추출된 상기 앱 파일을 매니코어(manycore) 프로세서 환경을 기반으로 가상화된 컴퓨팅 자원(resource)이 할당된 가상 머신에 전달하는 다운로드 경로 및 파일 관리 엔진과,
    상기 제어부의 제어 하에 가상 머신 OS 버전별로 앱 파일의 데이터와 행위를 분석하여 악성코드 존재 여부 및 자원에의 접근 여부를 판단하여 판단 결과에 따라 해당 앱을 선택적으로 관리하는 가상 머신 관리 엔진부를 포함함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 장치.
  11. 제10항에 있어서,
    상기 제어부를 통해 제1 경로 제어된 디코딩된 패킷에 대한 다운로드 경로 및 파일 검색을 통해 기존 정상 파일 리스트 기반 정상 파일 여부를 판단하여 판단 결과 상기 정상 파일 리스트에 대응되는 경우 상기 패킷을 상기 제어부의 제어 하에 제2 경로 제어되는 Black List 엔진으로 전달하고, 대응되지 않은 경우 정적 분석엔진으로 전달하는 While List 엔진과,
    상기 While List 엔진으로부터 전달된 해당 패킷의 다운로드 경로 및 파일 검색을 통해 기존 파일 리스트에 대응되는 경우 패킷을 차단하는 Black List 엔진과,
    상기 While List 엔진 및 Black List 엔진으로부터 경로 제어된 해당 패킷의 시그니처(signature) 기반 검출을 통해 탐지를 수행하여 악성코드가 탐지된 경우 패킷을 차단하는 정적 분석 엔진을 더 포함함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 장치.
  12. 제11항에 있어서, 상기 While List 엔진은,
    정상 파일 리스트에 해당 패킷의 다운로드 경로 및 파일이 존재하는 경우 타임아웃(timeout) 범위 여부를 검사하여 타임아웃된 경우 상기 Black List 엔진으로 해당 패킷의 경로를 진행하고,
    타임아웃되지 않은 경우 상기 정적 분석엔진으로 해당 패킷의 경로를 진행함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 장치.
  13. 제10항에 있어서, 상기 다운로드 경로 및 파일 관리 엔진은,
    상기 패킷 URL의 다운로드 파일을 수집하는 수집부와,
    상기 수집부로부터 수집된 패킷에서의 URL의 다운로드 파일을 모아 앱 파일로 추출하는 추출부와,
    다운로드 URL에서 첨부된 첨부파일의 구조를 기반으로 어플리케이션 파일을 추출하여 해당 패킷에서 추출된 상기 앱 파일 사이즈에 대응되게 버퍼하여 앱 파일로 생성하는 파일 추출 엔진을 포함함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 장치.
  14. 제10항에 있어서,
    상기 추출된 앱 파일의 기설정된 항목을 파싱하여 URL, 다운로드 파일, 해쉬(hash)값, 날짜 유해 정보 유지 시간을 관리하는 유해파일 관리 엔진과,
    상기 추출된 앱 파일의 무결성 및 앱 파일의 포맷인지 여부를 동일한 파일명과 해쉬값 존재 여부를 통해 체크하여 존재하는 경우 해당 패킷을 차단하는 파일 체크 엔진을 더 포함함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 장치.
  15. 제10항에 있어서, 상기 가상 머신 관리 엔진부는,
    해당 앱이 모바일 단말 내 자원에의 접근 시 발생하는 이벤트를 획득하고, 획득된 이벤트 검사를 통해 모바일 OS 버전별 잡(job) 스케줄러로 전달된 앱 파일에 대하여 각 OS 버전별 앱 파일의 행위분석을 수행하고, 상기 행위분석을 통해 악성행위 유무를 판단함을 특징으로 하는 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 장치.
KR1020140084464A 2014-07-07 2014-07-07 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법 및 장치 KR101609124B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140084464A KR101609124B1 (ko) 2014-07-07 2014-07-07 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법 및 장치
US14/793,686 US9537897B2 (en) 2014-07-07 2015-07-07 Method and apparatus for providing analysis service based on behavior in mobile network environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140084464A KR101609124B1 (ko) 2014-07-07 2014-07-07 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20160005489A KR20160005489A (ko) 2016-01-15
KR101609124B1 true KR101609124B1 (ko) 2016-04-20

Family

ID=55017858

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140084464A KR101609124B1 (ko) 2014-07-07 2014-07-07 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법 및 장치

Country Status (2)

Country Link
US (1) US9537897B2 (ko)
KR (1) KR101609124B1 (ko)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016121348A1 (ja) * 2015-01-29 2016-08-04 日本電気株式会社 マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
US9769195B1 (en) * 2015-04-16 2017-09-19 Symantec Corporation Systems and methods for efficiently allocating resources for behavioral analysis
KR101673774B1 (ko) * 2015-06-01 2016-11-08 주식회사 수산아이앤티 가상화 시스템에서 파일 입출력 제어를 위한 방법
CN105740454A (zh) * 2016-02-04 2016-07-06 北京金山安全软件有限公司 一种图片文件夹的显示方法、装置及电子设备
US10237284B2 (en) * 2016-03-31 2019-03-19 International Business Machines Corporation Internet of things security appliance
CN106230809B (zh) * 2016-07-27 2019-11-19 南京快页数码科技有限公司 一种基于url的移动互联网舆情监测方法及系统
CN106506263B (zh) * 2016-10-20 2020-03-20 广州爱九游信息技术有限公司 应用程序信息获取系统、设备、装置及方法
US9756061B1 (en) * 2016-11-18 2017-09-05 Extrahop Networks, Inc. Detecting attacks using passive network monitoring
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
JP6898846B2 (ja) * 2017-12-28 2021-07-07 株式会社日立製作所 異常原因特定支援システムおよび異常原因特定支援方法
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US10795994B2 (en) 2018-09-26 2020-10-06 Mcafee, Llc Detecting ransomware
US10965702B2 (en) * 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
CN112929326B (zh) * 2019-12-05 2022-05-24 华为技术有限公司 恶意域名访问的检测方法、装置及计算机可读存储介质
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
EP4218212A4 (en) 2020-09-23 2024-10-16 Extrahop Networks Inc ENCRYPTED NETWORK TRAFFIC MONITORING
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
US11647040B1 (en) * 2022-07-14 2023-05-09 Tenable, Inc. Vulnerability scanning of a remote file system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101390475B1 (ko) 2013-02-05 2014-04-29 주식회사 윈스 네트워크 기반의 악성코드 탐지 시스템 및 탐지 방법

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2002232464A1 (en) * 2001-02-09 2002-08-28 Microsoft Corporation Distribution of binary executables and content from peer locations/machines
US7751397B2 (en) * 2006-05-05 2010-07-06 Broadcom Corporation Switching network employing a user challenge mechanism to counter denial of service attacks
US8417677B2 (en) * 2006-06-02 2013-04-09 Duaxes Corporation Communication management system, communication management method and communication control device
US20080016339A1 (en) * 2006-06-29 2008-01-17 Jayant Shukla Application Sandbox to Detect, Remove, and Prevent Malware
US8615800B2 (en) * 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
KR101755646B1 (ko) * 2011-03-24 2017-07-10 삼성전자주식회사 안티-바이러스 유닛을 포함하는 데이터 저장 장치 및 그것의 동작 방법
WO2013041016A1 (zh) * 2011-09-19 2013-03-28 北京奇虎科技有限公司 处理计算机病毒的方法和装置
US8973144B2 (en) * 2011-10-13 2015-03-03 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US20140007229A1 (en) * 2012-06-29 2014-01-02 Christopher T. Smith System and method for identifying installed software products
KR102280465B1 (ko) * 2013-06-14 2021-07-22 삼성전자 주식회사 단말 및 그 단말에서 애플리케이션 동기화 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101390475B1 (ko) 2013-02-05 2014-04-29 주식회사 윈스 네트워크 기반의 악성코드 탐지 시스템 및 탐지 방법

Also Published As

Publication number Publication date
KR20160005489A (ko) 2016-01-15
US9537897B2 (en) 2017-01-03
US20160006766A1 (en) 2016-01-07

Similar Documents

Publication Publication Date Title
KR101609124B1 (ko) 모바일 네트워크 환경에서 행위기반 분석 서비스 제공 방법 및 장치
US8726387B2 (en) Detecting a trojan horse
US10657251B1 (en) Multistage system and method for analyzing obfuscated content for malware
EP3014514B1 (en) Zero-day discovery system
US8732304B2 (en) Method and system for ensuring authenticity of IP data served by a service provider
US10581879B1 (en) Enhanced malware detection for generated objects
US9166988B1 (en) System and method for controlling virtual network including security function
US9875353B2 (en) Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium
EP3407236B1 (en) Identifying a file using metadata and determining a security classification of the file before completing receipt of the file
US20140096246A1 (en) Protecting users from undesirable content
US10757135B2 (en) Bot characteristic detection method and apparatus
WO2015056885A1 (ko) 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법
WO2014182321A1 (en) Optimized resource allocation for virtual machines within a malware content detection system
CN105631312B (zh) 恶意程序的处理方法及系统
KR20080037909A (ko) 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법
Liu et al. An integrated architecture for IoT malware analysis and detection
CN116860489A (zh) 用于安全威胁的威胁风险评分的系统和方法
CN108809950B (zh) 一种基于云端影子系统的无线路由器保护方法和系统
KR101060596B1 (ko) 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
KR20150026187A (ko) 드로퍼 판별을 위한 시스템 및 방법
KR20100124441A (ko) 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법
WO2021015941A1 (en) Inline malware detection
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム
EP2743858A1 (en) Using a honeypot workflow for software review

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 4