1 |
1
네트워크상의 실행 파일을 수집하고, 제공되는 악성 파일 정보에 따라 상기 실행 파일을 선택 차단하는 네트워크 보안 장치와,
상기 수집된 실행 파일에 대응하는 가상화창을 할당하고, 상기 할당된 가상화창에 대응하는 가상화 프로그램을 통해 상기 실행 파일을 실행시키며, 상기 실행 파일의 실행 중에 모니터링된 동작 상태 결과를 분석하여 상기 실행 파일의 악성 파일 유무를 판단한 후에 상기 악성 파일 정보를 상기 네트워크 보안 장치로 제공하는 악성 파일 탐지 장치
를 포함하는 악성 파일 탐지 시스템
|
2 |
2
제 1 항에 있어서,
상기 악성 파일 탐지 장치는, 상기 실행 파일의 분석이 완료되면 상기 가상화창을 종료시키고, 기 저장된 다수의 원본 가상화 이미지 데이터 중 어느 하나를 이용하여 다른 가상화창을 활성화시키는 악성 파일 탐지 시스템
|
3 |
3
제 1 항 또는 제 2 항에 있어서,
상기 악성 파일 탐지 장치는, CPU, 메모리, 파일, 네트워크, 인터페이스 및 프로세스를 포함하는 항목에서 상기 실행 파일의 동작 상태를 모니터링하는 악성 파일 탐지 시스템
|
4 |
4
수집된 실행 파일에 대응하는 가상화창을 할당하고, 상기 할당된 가상화창에 대응하는 가상화 프로그램을 통해 상기 실행 파일을 실행시키도록 제어하며, 상기 실행 파일의 동작 상태 결과를 수신 및 분석하여 상기 실행 파일의 악성 파일 유무를 판단한 후에 악성 파일 정보를 제공하는 탐지 제어부와,
상기 할당된 가상화창 및 가상화 프로그램을 통해 상기 실행 파일을 실행하면서 상기 실행 파일의 동작 상태를 모니터링하고, 모니터링된 동작 상태 결과를 상기 탐지 제어부로 전송하는 가상화 탐지부와,
상기 수집된 실행 파일을 전송하는 네트워크 보안 장치와 상기 탐지 제어부 간의 통신을 담당하는 제 1 통신부와,
상기 탐지 제어부와 상기 가상화 탐지부 간의 통신을 담당하는 제 2 통신부
를 포함하는 악성 파일 탐지 장치
|
5 |
5
제 4 항에 있어서,
상기 탐지 제어부는, 상기 실행 파일의 분석이 완료되면 상기 가상화창을 종료시키기 위한 제어신호를 상기 가상화 탐지부로 제공하고, 기 저장된 다수의 원본 가상화 이미지 데이터 중 어느 하나를 이용하여 다른 가상화창을 활성화시키는 제어신호를 상기 가상화 탐지부로 제공하는 악성 파일 탐지 장치
|
6 |
6
제 5 항에 있어서,
상기 탐지 제어부는, 상기 다른 가상화창을 활성화시키는 경우 상기 기 저장된 다수의 원본 가상화 이미지 데이터 중 어느 하나를 선택하여 종료된 가상화 이미지로 복사한 후에, 상기 다른 가상화창을 활성화시켜 상기 가상화 프로그램을 재구동시키는 악성 파일 탐지 장치
|
7 |
7
제 4 항 내지 제 6 항에 있어서,
상기 가상화 탐지부는, CPU, 메모리, 파일, 네트워크, 인터페이스 및 프로세스를 포함하는 항목에서 상기 실행 파일의 동작 상태를 모니터링하는 악성 파일 탐지 장치
|
8 |
8
수집된 실행 파일이 전송되면, 상기 전송된 실행 파일을 어느 하나의 가상화창에 할당하는 단계와,
상기 할당된 가상화창에서 가상화 프로그램을 통해 상기 실행 파일을 실행하는 단계와,
상기 실행 파일의 실행 중에 동작 상태를 모니터링하여 모니터링된 동작 상태 결과를 제공하는 단계와,
상기 제공된 동작 상태 결과를 분석하여 악성 파일 여부를 판단하는 단계와,
상기 악성 파일 여부를 포함하는 악성 파일 정보를 제공하는 단계
를 포함하는 악성 파일 탐지 방법
|
9 |
9
제 8 항에 있어서,
상기 악성 파일 탐지 방법은,
상기 악성 파일 여부를 판단하는 단계 이 후에 상기 실행 파일의 분석이 완료된 상기 가상화창을 종료한 후 다른 가상화창을 활성화시키는 단계
를 더 포함하는 악성 파일 탐지 방법
|
10 |
10
제 8 항 또는 제 9 항에 있어서,
상기 다른 가상화창을 활성화시키는 단계는, 상기 실행 파일의 분석이 완료되면 기 저장된 기 저장된 다수의 원본 가상화 이미지 데이터 중 어느 하나를 이용하여 다른 가상화창을 활성화시키는 악성 파일 탐지 방법
|
11 |
11
제 9 항에 있어서,
상기 다른 가상화창을 활성화시키는 단계는, 상기 다른 가상화창을 활성화시키는 경우 상기 기 저장된 다수의 원본 가상화 이미지 데이터 중 어느 하나를 선택하여 종료된 가상화 이미지로 복사한 후에, 상기 다른 가상화창을 활성화시켜 상기 가상화 프로그램을 재구동시키는 악성 파일 탐지 방법
|