악성코드 검출시스템 및 검출방법

출원번호 : 10-2018-0008052 (출원일: 2018-01-23)

등록번호 : 10-1983997 (등록일: 2019-05-24)

특허권자 : 충남대학교산학협력단

요약 : 본 발명에 의한 악성코드 검출방법은, 다수의 단말 컴퓨터 및 포렌식 서버를 포함하는 악성코드 검출시스템을 이용한 악성코드 검출방법으로서, 단말 컴퓨터는, 블랙리스트 및 화이트리스트를 이용하여 악성코드 1차 탐지를 진행하는 제1 단계; 상기 단말 컴퓨터는, 제1 단계의 악성코드 탐지 결과, 악성코드 1차 탐지결과 판단이 어려운 프로그램을 발견한 경우 그 프로그램의 동작을 중지시킨 후 그 프로그램의 사본과 아티팩트 정보를 포렌식 서버로 전송하는 제2 단계; 상기 포렌식 서버는 전송받은 프로그램의 사본과 아티팩트 정보를 분석하여 악성코드 여부를 판단하는 제3 단계; 상기 단말 컴퓨터가 포렌식 서버로부터 상기 프로그램이 악성코드가 아니라는 판단 정보를 전송받으면 그 프로그램의 동작을 재개하고, 상기 프로그램이 악성코드라는 판단 정보를 전송받으면 그 프로그램을 삭제 또는 격리하는 제4 단계;를 포함하는 것을 특징으로 한다.

대표청구항 : 다수의 단말 컴퓨터 및 포렌식 서버를 포함하는 악성코드 검출시스템을 이용한 악성코드 검출방법으로서,단말 컴퓨터는, 블랙리스트 및 화이트리스트를 이용하여 악성코드 1차 탐지를 진행하는 제1 단계;상기 단말 컴퓨터는, 제1 단계의 악성코드 탐지 결과, 악성코드 1차 탐지결과 판단이 어려운 프로그램을 발견한 경우 그 프로그램의 동작을 중지시킨 후 그 프로그램의 사본과 아티팩트 정보를 포렌식 서버로 전송하는 제2 단계;상기 포렌식 서버는 전송받은 프로그램의 사본과 아티팩트 정보를 분석하여 악성코드 여부를 판단하는 제3 단계;상기 단말 컴퓨터가 포렌식 서버로부터 상기 프로그램이 악성코드가 아니라는 판단 정보를 전송받으면 그 프로그램의 동작을 재개하고, 상기 프로그램이 악성코드라는 판단 정보를 전송받으면 그 프로그램을 삭제 또는 격리하는 제4 단계;를 포함하고,상기 제3 단계는,난독화된 프로세스 이름이 있는지를 검색하는 제3-1 단계;난독화된 프로세스 이름을 갖는 프로세스의 자식 프로세스들을 검색하는 제3-2 단계;상기 자식 프로세스들 중 악성행위 위험성이 높은 프로세스가 존재하면 그 프로세스를 유발한 프로그램을 악성코드로 판단하는 제3-3 단계;를 포함하고,상기 난독화된 프로세스 이름이란 프로세스 이름이 사전에 등록되지 않은 단어로 이루어진 이름인 것을 특징으로 하는 악성코드 검출방법.

상세링크 : http://newsd.wips.co.kr/wipslink/api/dkrdshtm.wips?skey=3519224000700