요약 | 본 발명은 악성코드 탐지장치 및 방법에 관한 것으로서, 실행파일을 분석하여 상기 실행파일의 각 필드영역 별로 계층을 분류하고, 각 계층의 필드영역에 대한 바이트 분포를 측정하는 실행파일 분석기 및 상기 실행파일 분석기를 통해 각 계층별로 분류된 필드영역의 바이트 분포에 기초하여 적어도 하나의 악성코드를 탐지하는 악성코드 분류기를 포함한다. 본 발명에 따르면, 실행파일을 여러 개의 필드영역으로 계층화하고, 이들 각 계층에 대해 클러스터링 분석 기법을 적용하여 검사할 실행파일의 바이트 분포 유사도를 측정함으로써, 악성코드를 검출하게 됨에 따라 기존에 알려진 악성코드뿐만 아니라, 새로운 형태의 알려지지 않은 악성코드들에 대해서도 대응할 수 있는 이점이 있다. 악성코드, 실행파일, 클러스터링 중심값, 바이트 분포 |
---|---|
Int. CL | G06F 11/00 (2006.01) |
CPC | G06F 21/566(2013.01) |
출원번호/일자 | 1020070122412 (2007.11.29) |
출원인 | 한국전자통신연구원 |
등록번호/일자 | 10-0942798-0000 (2010.02.09) |
공개번호/일자 | 10-2009-0055669 (2009.06.03) 문서열기 |
공고번호/일자 | (20100218) 문서열기 |
국제출원번호/일자 | |
국제공개번호/일자 | |
우선권정보 | |
법적상태 | 소멸 |
심사진행상태 | 수리 |
심판사항 | |
구분 | 신규 |
원출원번호/일자 | |
관련 출원번호 | |
심사청구여부/일자 | Y (2007.11.29) |
심사청구항수 | 15 |
번호 | 이름 | 국적 | 주소 |
---|---|---|---|
1 | 한국전자통신연구원 | 대한민국 | 대전광역시 유성구 |
번호 | 이름 | 국적 | 주소 |
---|---|---|---|
1 | 김병구 | 대한민국 | 대전 유성구 |
2 | 윤승용 | 대한민국 | 대전 서구 |
3 | 최양서 | 대한민국 | 대전 유성구 |
4 | 김대원 | 대한민국 | 대전 유성구 |
5 | 김익균 | 대한민국 | 대전 유성구 |
6 | 오진태 | 대한민국 | 대전 유성구 |
7 | 장종수 | 대한민국 | 대전 유성구 |
번호 | 이름 | 국적 | 주소 |
---|---|---|---|
1 | 박병창 | 대한민국 | 서울특별시 강남구 테헤란로*길 *, 동주빌딩 *층 팍스국제특허법률사무소 (역삼동) |
번호 | 이름 | 국적 | 주소 |
---|---|---|---|
1 | 백진성 | 경상남도 양산시 평산회야로 | |
2 | 양병학 | 경기도 용인시 기흥구 |
번호 | 서류명 | 접수/발송일자 | 처리상태 | 접수/발송번호 |
---|---|---|---|---|
1 | [특허출원]특허출원서 [Patent Application] Patent Application |
2007.11.29 | 수리 (Accepted) | 1-1-2007-0859772-76 |
2 | 선행기술조사의뢰서 Request for Prior Art Search |
2008.08.07 | 수리 (Accepted) | 9-1-9999-9999999-89 |
3 | 선행기술조사보고서 Report of Prior Art Search |
2008.09.11 | 수리 (Accepted) | 9-1-2008-0054340-40 |
4 | 출원인정보변경(경정)신고서 Notification of change of applicant's information |
2009.08.04 | 수리 (Accepted) | 4-1-2009-5150899-36 |
5 | 의견제출통지서 Notification of reason for refusal |
2009.09.30 | 발송처리완료 (Completion of Transmission) | 9-5-2009-0406273-18 |
6 | [지정기간연장]기간연장(단축, 경과구제)신청서 [Designated Period Extension] Application of Period Extension(Reduction, Progress relief) |
2009.11.30 | 수리 (Accepted) | 1-1-2009-0738331-75 |
7 | [거절이유 등 통지에 따른 의견]의견(답변, 소명)서 [Opinion according to the Notification of Reasons for Refusal] Written Opinion(Written Reply, Written Substantiation) |
2009.12.30 | 수리 (Accepted) | 1-1-2009-0817533-77 |
8 | [명세서등 보정]보정서 [Amendment to Description, etc.] Amendment |
2009.12.30 | 보정승인간주 (Regarded as an acceptance of amendment) | 1-1-2009-0817548-51 |
9 | 등록결정서 Decision to grant |
2010.01.18 | 발송처리완료 (Completion of Transmission) | 9-5-2010-0021360-32 |
10 | 출원인정보변경(경정)신고서 Notification of change of applicant's information |
2015.02.02 | 수리 (Accepted) | 4-1-2015-0006137-44 |
번호 | 청구항 |
---|---|
1 |
1 실행파일을 분석하여 상기 실행파일의 각 필드 영역에 따른 계층을 분류하고, 상기 각 계층의 바이트 분포에 대한 클러스터링 연산을 수행하여 중심 값을 산출하는 실행파일 분석기; 및 상기 각 계층에 대한 중심 값, 및 미리 준비된 악성 코드의 중심 값을 참조하여 상기 실행파일에 대한 악성 코드 여부를 탐지하는 악성코드 분류기;를 포함하는 것을 특징으로 하는 악성코드 탐지장치 |
2 |
2 제 1 항에 있어서, 상기 실행파일 분석기는, 상기 실행파일 내의 각 필드영역에 대한 시작점과 그 크기를 감지하고, 상기 필드 영역에 대한 시작점과 크기에 기초하여 상기 실행파일을 각 계층별로 분류하는 것을 특징으로 하는 악성코드 탐지장치 |
3 |
3 제 1 항에 있어서, 상기 각 계층의 필드영역은 다른 계층의 필드영역을 포함하지 않는 것을 특징으로 하는 악성코드 탐지장치 |
4 |
4 제 1 항에 있어서, 상기 악성코드 분류기를 통해 분류된 정상 실행파일이 저장되는 정상 시행파일 저장부 및 적어도 하나의 상기 악성코드를 포함하는 악성 실행파일이 저장되는 악성 실행파일 저장부를 구비한 데이터베이스;를 더 포함하는 악성코드 탐지장치 |
5 |
5 제 4 항에 있어서, 상기 실행파일 분석기는, 상기 데이터베이스에 저장된 적어도 하나의 상기 정상 실행파일 및 상기 악성 실행파일을 이용하여 상기 실행파일의 악성코드를 탐지하기 위한 비교값을 산출하는 것을 특징으로 하는 악성코드 탐지장치 |
6 |
6 제 4 항에 있어서, 상기 실행파일 분석기는, 상기 정상 실행파일 및 상기 악성 실행파일의 바이트 분포를 측정하여 각 계층별 클러스터링 중심값을 산출하는 클러스터링 연산부;를 더 포함하는 악성코드 탐지장치 |
7 |
7 제 6 항에 있어서, 상기 악성코드 분류기는, 상기 실행파일의 각 계층별로 분류된 필드영역의 바이트 분포값과, 상기 정상 실행파일 및 상기 악성 실행파일의 각 계층별 클러스터링 중심값을 비교하여, 상기 악성코드에 대한 유사성을 판단하는 것을 특징으로 하는 악성코드 탐지장치 |
8 |
8 제 7 항에 있어서, 상기 악성코드 분류기는, 상기 실행파일의 각 계층별로 분류된 필드영역의 바이트 분포값과, 상기 정상 실행파일 및 상기 악성 실행파일의 각 계층별 클러스터링 중심값 사이의 거리를 측정하여 상기 악성코드에 대한 유사성을 판단하는 것을 특징으로 하는 악성코드 탐지장치 |
9 |
9 제 1 항에 있어서, 상기 악성코드 분류기는, 상기 실행파일의 각 계층별로 분류된 필드영역 중 적어도 어느 하나의 계층에 대해 상기 악성코드가 탐지되면, 상기 실행파일을 악성 실행파일로 분류하는 것을 특징으로 하는 악성코드 탐지장치 |
10 |
10 실행파일을 분석하여 상기 실행파일의 각 필드영역 별로 계층을 분류하는 단계; 상기 각 계층별로 분류된 필드영역의 바이트 분포를 측정하여, 각 계층별로 악성코드에 대한 유사성을 비교하는 단계; 및 상기 각 계층별로 분류된 필드영역 중 적어도 어느 하나의 계층에 대한 클러스터링 연산 값이 상기 악성코드의 클러스터링 연산 값과 유사한 것으로 판단되면, 상기 실행파일을 악성 실행파일로 분류하는 단계;를 포함하는 악성코드 탐지방법 |
11 |
11 제 10 항에 있어서, 상기 계층을 분류하는 단계는, 상기 실행파일을 분석하여 상기 실행파일 내의 필드영역에 대한 시작점과 크기에 기초하여 상기 실행파일을 각 계층별로 분류하는 것을 특징으로 하는 악성코드 탐지방법 |
12 |
12 제 10 항에 있어서, 기 저장된 적어도 하나의 정상 실행파일 및 악성 실행파일의 바이트 분포를 측정하여 각 계층별 클러스터링 중심값을 산출하는 단계;를 더 포함하는 악성코드 탐지방법 |
13 |
13 제 12 항에 있어서, 상기 유사성을 비교하는 단계는, 상기 실행파일의 각 계층별로 분류된 필드영역의 바이트 분포값과, 상기 정상 실행파일 및 상기 악성 실행파일의 각 계층별 클러스터링 중심값을 비교하는 단계;를 포함하는 악성코드 탐지방법 |
14 |
14 제 13 항에 있어서, 상기 실행파일의 각 계층별로 분류된 필드영역의 바이트 분포값과, 상기 정상 실행파일 및 상기 악성 실행파일의 각 계층별 클러스터링 중심값 사이의 거리를 측정하여 비교하는 것을 특징으로 하는 악성코드 탐지방법 |
15 |
15 제 14 항에 있어서, 어느 하나의 계층에 대한 필드영역의 바이트 분포값이, 상기 정상 실행파일의 클러스터링 중심값 보다 상기 악성 실행파일의 클러스터링 중심값과 가까운 경우, 상기 악성코드와 유사한 것으로 판단하는 것을 특징으로 하는 악성코드 탐지방법 |
지정국 정보가 없습니다 |
---|
패밀리정보가 없습니다 |
---|
순번 | 연구부처 | 주관기관 | 연구사업 | 연구과제 |
---|---|---|---|---|
1 | 정보통신부 | 한국전자통신연구원 | IT신성장동력핵심기술개발사업 | Network 위협의 Zero-Day Attack 대응을 위한 실시간 공격Signature 생성 및 관리 기술개발 |
특허 등록번호 | 10-0942798-0000 |
---|
표시번호 | 사항 |
---|---|
1 |
출원 연월일 : 20071129 출원 번호 : 1020070122412 공고 연월일 : 20100218 공고 번호 : 특허결정(심결)연월일 : 20100118 청구범위의 항수 : 15 유별 : G06F 11/00 발명의 명칭 : 악성코드 탐지장치 및 방법 존속기간(예정)만료일 : 20200210 |
순위번호 | 사항 |
---|---|
1 |
(권리자) 한국전자통신연구원 대전광역시 유성구... |
2 |
(권리자) 백진성 경상남도 양산시 평산회야로 ... |
2 |
(의무자) 한국전자통신연구원 대전광역시 유성구... |
3 |
(권리자) 양병학 경기도 용인시 기흥구... |
3 |
(의무자) 백진성 경상남도 양산시 평산회야로 ... |
제 1 - 3 년분 | 금 액 | 315,000 원 | 2010년 02월 10일 | 납입 |
제 4 년분 | 금 액 | 370,000 원 | 2013년 02월 05일 | 납입 |
제 5 년분 | 금 액 | 370,000 원 | 2014년 01월 23일 | 납입 |
제 6 년분 | 금 액 | 259,000 원 | 2015년 01월 26일 | 납입 |
제 7 년분 | 금 액 | 670,000 원 | 2016년 01월 27일 | 납입 |
제 8 년분 | 금 액 | 469,000 원 | 2017년 01월 24일 | 납입 |
제 9 년분 | 금 액 | 730,300 원 | 2018년 04월 10일 | 납입 |
제 10 년분 | 금 액 | 1,065,000 원 | 2018년 11월 24일 | 납입 |
번호 | 서류명 | 접수/발송일자 | 처리상태 | 접수/발송번호 |
---|---|---|---|---|
1 | [특허출원]특허출원서 | 2007.11.29 | 수리 (Accepted) | 1-1-2007-0859772-76 |
2 | 선행기술조사의뢰서 | 2008.08.07 | 수리 (Accepted) | 9-1-9999-9999999-89 |
3 | 선행기술조사보고서 | 2008.09.11 | 수리 (Accepted) | 9-1-2008-0054340-40 |
4 | 출원인정보변경(경정)신고서 | 2009.08.04 | 수리 (Accepted) | 4-1-2009-5150899-36 |
5 | 의견제출통지서 | 2009.09.30 | 발송처리완료 (Completion of Transmission) | 9-5-2009-0406273-18 |
6 | [지정기간연장]기간연장(단축, 경과구제)신청서 | 2009.11.30 | 수리 (Accepted) | 1-1-2009-0738331-75 |
7 | [거절이유 등 통지에 따른 의견]의견(답변, 소명)서 | 2009.12.30 | 수리 (Accepted) | 1-1-2009-0817533-77 |
8 | [명세서등 보정]보정서 | 2009.12.30 | 보정승인간주 (Regarded as an acceptance of amendment) | 1-1-2009-0817548-51 |
9 | 등록결정서 | 2010.01.18 | 발송처리완료 (Completion of Transmission) | 9-5-2010-0021360-32 |
10 | 출원인정보변경(경정)신고서 | 2015.02.02 | 수리 (Accepted) | 4-1-2015-0006137-44 |
기술정보가 없습니다 |
---|
과제고유번호 | 1415107437 |
---|---|
세부과제번호 | KI002151 |
연구과제명 | 분산서비스거부(DDoS) 공격 대응 기술 개발 |
성과구분 | 등록 |
부처명 | 지식경제부 |
연구관리전문기관명 | SECRET PROJECT |
연구주관기관명 | SECRET PROJECT |
성과제출연도 | 2010 |
연구기간 | 200903~201202 |
기여율 | 1 |
연구개발단계명 | 응용연구 |
6T분류명 | IT(정보기술) |
과제고유번호 | 1445006545 |
---|---|
세부과제번호 | 2006-S-042-02 |
연구과제명 | Network위협의Zero-DayAttack대응을위한실시간공격Signature생성및관리기술개발 |
성과구분 | 출원 |
부처명 | 지식경제부 |
연구관리전문기관명 | 정보통신연구진흥원 |
연구주관기관명 | 한국전자통신연구원 |
성과제출연도 | 2007 |
연구기간 | 200703~200802 |
기여율 | 1 |
연구개발단계명 | 개발연구 |
6T분류명 | IT(정보기술) |
[1020100133929] | 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법 | 새창보기 |
---|---|---|
[1020100130874] | 네트워크 공격 관리 방법 및 시스템, 네트워크 공격 관리를 위한 네트워크 서비스 제공 장치 | 새창보기 |
[1020100130306] | DNS 쿼리 트래픽 감시 및 처리 방법과 그 장치 | 새창보기 |
[1020100129356] | NAT IP탐지 및 호스트 개수 식별 방법 및 그 장치 | 새창보기 |
[1020100129067] | 대량 트래픽 환경에서의 디도스 공격 탐지 및 대응 방법 및 그 장치 | 새창보기 |
[1020100129062] | 워킹 시간 기반 디도스 공격 탐지 및 대응 방법 및 그 장치 | 새창보기 |
[1020100127821] | 서비스 거부 공격 차단 방법 | 새창보기 |
[1020100127820] | 서비스 거부 공격 차단 방법 | 새창보기 |
[1020100113826] | 세션 상태를 이용한 분산 서비스 공격 제어 장치 및 방법 | 새창보기 |
[1020100109324] | 송신 제어 프로토콜 플러딩 공격 방어 방법 및 장치 | 새창보기 |
[1020100082074] | CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치 | 새창보기 |
[1020090062371] | 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법 | 새창보기 |
[1020070133772] | 폴리몰픽 쉘코드 탐지방법 | 새창보기 |
[1020070132808] | 문자열의 유사성과 포함성을 바탕으로 하는 시그니처스트링 생성방법 | 새창보기 |
[1020070132806] | 시그니처 스트링 저장 메모리 최적화방법과 그 메모리 구조및 시그니처 스트링 패턴 매칭방법 | 새창보기 |
[1020070132804] | 하드웨어 기반 비정상 트래픽 탐지방법 및 하드웨어 기반비정상 트래픽 탐지엔진이 탑재된 탐지장치 | 새창보기 |
[1020070132796] | 시그니처 패턴 매칭방법과 그 시스템 및 시그니처 패턴이기록된 기록매체 | 새창보기 |
[1020070132795] | 시그니처 최적화 장치 및 방법 | 새창보기 |
[1020070126821] | 시그니처 최적화 시스템 및 방법 | 새창보기 |
[1020070122412] | 악성코드 탐지장치 및 방법 | 새창보기 |
[1020070119190] | 악성프로그램 탐지장치 및 그 방법 | 새창보기 |
[1020070106113] | 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및방법 | 새창보기 |
[1020070049071] | 파일 탐색 시스템 및 방법 | 새창보기 |
[KST2015093747][한국전자통신연구원] | 패리티 엔진을 이용한 고속 디스테이징 방법 | 새창보기 |
---|---|---|
[KST2015073609][한국전자통신연구원] | 부분적인재시동에의한장애의복원방법 | 새창보기 |
[KST2015095788][한국전자통신연구원] | 보안 위험 관리 시스템 및 방법 | 새창보기 |
[KST2015094291][한국전자통신연구원] | 감사 자료의 실시간 분석기 및 분석방법 | 새창보기 |
[KST2015095164][한국전자통신연구원] | 컴퓨터 시스템의 고장 감내 방법 | 새창보기 |
[KST2015080926][한국전자통신연구원] | 순차적 데이터 처리 기반의 유해 멀티미디어 서비스 차단장치 및 그 방법 | 새창보기 |
[KST2015093003][한국전자통신연구원] | 웹 서비스 프로세스를 하이버네이션시키고 복원하는 방법및 그 장치 | 새창보기 |
[KST2015082796][한국전자통신연구원] | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 | 새창보기 |
[KST2015079689][한국전자통신연구원] | 통합 전달 시스템에서의 망 장치 관리 시스템 및 그 동적관리 요소 유지 방법 | 새창보기 |
[KST2015085233][한국전자통신연구원] | 사용자 데이터 백업 시스템 및 방법 | 새창보기 |
[KST2015086958][한국전자통신연구원] | 병렬 수신 장치 및 방법 | 새창보기 |
[KST2015087347][한국전자통신연구원] | 원격으로 복제객체를 생성하는 장치 및 방법 | 새창보기 |
[KST2015097228][한국전자통신연구원] | 주CPU감시장치 | 새창보기 |
[KST2015078393][한국전자통신연구원] | 병렬 CRC 계산장치 및 그 방법 | 새창보기 |
[KST2015085380][한국전자통신연구원] | 부채널 분석기의 분석 방법 | 새창보기 |
[KST2020006106][한국전자통신연구원] | 데이터 분석 장치 및 그의 수집 데이터 무결성 검증 방법 | 새창보기 |
[KST2015095368][한국전자통신연구원] | 씨(C)32신호처리기 | 새창보기 |
[KST2015077592][한국전자통신연구원] | 객체지향 칠의 프로세스 클래스 정의 사용에 대한 오류탐지 방법 | 새창보기 |
[KST2015093834][한국전자통신연구원] | 유한체내에서 다단 구조의 역수 계산 장치 | 새창보기 |
[KST2015073603][한국전자통신연구원] | 트랜잭션처리시스팀의지능망서비스제어용과부하자동감시방법 | 새창보기 |
[KST2015076642][한국전자통신연구원] | 허상 트랜잭션의 발생 방지를 위한 트랜잭션로깅 방법 및퍼지 체크포인트 방법 | 새창보기 |
[KST2015076816][한국전자통신연구원] | 프로세스감시및장애복구방법 | 새창보기 |
[KST2015084414][한국전자통신연구원] | 무결성 참조 정보 자동관리시스템 및 그 관리방법 | 새창보기 |
[KST2015088476][한국전자통신연구원] | 레이드 서브 시스템에서 중복 데이터의 일관성 유지 방법 | 새창보기 |
[KST2015095283][한국전자통신연구원] | 순환여유검사동기장치 | 새창보기 |
[KST2015073819][한국전자통신연구원] | 동기식다중장치의BIP검사회로 | 새창보기 |
[KST2015083859][한국전자통신연구원] | 악성 코드에 의해 삽입된 동적 연결 라이브러리 검출 장치 및 방법 | 새창보기 |
[KST2015086966][한국전자통신연구원] | 클라우드 컴퓨팅의 디지털 포렌식 장치 | 새창보기 |
[KST2015093789][한국전자통신연구원] | 암호프로세서 패키지에서의 물리적인 해킹방지 장치 | 새창보기 |
[KST2015083376][한국전자통신연구원] | 콘텐츠 불법 복제 방지 방법 및 콘텐츠 불법 복제 방지시스템 | 새창보기 |
심판사항 정보가 없습니다 |
---|