| 1 |
1
입력된 악성코드가 기 분석된 악성코드인지 확인하여 상기 기 분석된 악성코드를 여과하는 악성코드 여과부;상기 확인된 악성코드가 신종 악성코드인 경우 가상 환경을 이용하여 상기 입력된 신종 악성코드를 실행함으로써 상기 신종 악성코드의 행위를 추출하여 분석 데이터베이스에 저장하는 악성코드 행위 추출부;상기 신종 악성코드의 행위와 상기 분석 데이터베이스에 기 저장된 악성코드의 행위를 비교함으로써 상기 신종 악성코드의 행위를 분석하는 악성코드 행위 분석부;악성코드 분석가들이 상기 신종 악성코드의 행위를 분석하기 위한 환경을 제공하는 악성코드 상세 분석부;상기 분석된 악성코드, 분석할 악성코드 및 분석중인 악성코드 중 적어도 하나의 행위를 표시하고 상기 신종 악성코드의 분석을 요청하며 상기 신종 악성코드의 분석 내용을 표시하는 분석 시스템 인터페이스부; 및상기 신종 악성코드의 행위에 대한 분석을 제어하고 상기 신종 악성코드의 분석 환경을 구성하는 분석 시스템 제어부를 포함하는, 악성코드 관리 및 분석 시스템
|
| 2 |
2
제1항에 있어서,상기 악성코드 여과부는,상기 입력된 악성코드의 해쉬값을 계산하여 상기 분석 데이터베이스에 기 저장된 분석 정보 및 백신과 비교함으로써 상기 기 분석된 악성코드를 여과하는 것을 특징으로 하는 악성코드 관리 및 분석 시스템
|
| 3 |
3
제1항에 있어서,상기 악성코드 행위 추출부는,컴퓨터 하드웨어장치, 커널, 악성코드를 상기 가상 환경에서 실행시키고 제어하는 가상 시스템 제어 프로그램, 상기 확인된 악성코드가 실행되는 가상 시스템 및 상기 가상 시스템에서 발생하는 운영체제 객체의 행위를 관찰하고 저장하는 행위 모니터를 포함하는 것을 특징으로 하는 악성코드 관리 및 분석 시스템
|
| 4 |
4
제3항에 있어서,상기 가상 시스템 제어 프로그램은,상기 입력된 악성코드를 가상화 모듈 인터페이스를 통해 상기 가상 시스템 내의 각각 다른 환경에서 실행시키고, 상기 입력된 악성코드의 동작이 끝나면 상기 가상 시스템을 상기 입력된 악성코드가 실행되기 전의 환경으로 되돌리는 프로그램인 것을 특징으로 하는 악성코드 관리 및 분석 시스템
|
| 5 |
5
제3항에 있어서,상기 행위 모니터는,상기 운영체제 객체에 대하여 일어나는 연산을 모니터링하여 로그 파일로 저장하는 것을 특징으로 하는 악성코드 관리 및 분석 시스템
|
| 6 |
6
제5항에 있어서,상기 운영체제 객체는,프로세스, 메모리, 파일, 레지스트리, 네트워크 및 시스템콜 중 적어도 하나인 것을 특징으로 하는 악성코드 관리 및 분석 시스템
|
| 7 |
7
제3항에 있어서,상기 가상 시스템은,실제 컴퓨터 환경 안에서 가상 컴퓨터 환경을 구성하는 가상화 모듈 인터페이스를 통해 각각 다른 커널과 실행환경에서 상기 확인된 악성코드를 실행하는 것을 특징으로 하는 악성코드 관리 및 분석 시스템
|
| 8 |
8
제1항에 있어서,상기 악성코드 행위 분석부는,상기 악성코드 행위 추출부를 통하여 생성된 로그 파일을 추상화하여 상기 분석 데이터베이스에 저장된 악성코드와의 행위 유사도를 판단하고, 상기 행위 유사도가 기준 유사도 이상인 경우 상기 유사한 악성코드의 해쉬값을 상기 분석 데이터베이스에 저장하는 것을 특징으로 하는 악성코드 관리 및 분석 시스템
|
| 9 |
9
제1항에 있어서,상기 분석 시스템 인터페이스부는,상기 분석 데이터베이스에 저장된 정보 중 상기 분석할 악성코드, 분석중인 악성코드 및 분석된 악성코드로 분류된 분석 정보를 표시하며, 상기 분석할 악성코드와 상기 분석중인 악성코드에 대해 분석을 상기 분석 시스템 제어부에 요청하는 것을 특징으로 하는 악성코드 관리 및 분석 시스템
|
| 10 |
10
제1항에 있어서,상기 분석 시스템 제어부는,상기 신종 악성코드에 대한 분석 요청을 수신 시 상기 분석 데이터베이스에 기 저장된 분석 정보를 상기 악성코드 상세 분석부로 전달하여 상기 가상 환경을 구축하고 상기 신종 악성코드의 행위 분석을 제어하는 것을 특징으로 하는 악성코드 관리 및 분석 시스템
|
| 11 |
11
입력된 악성코드가 기 분석된 악성코드인지 확인하여 상기 기 분석된 악성코드를 여과하는 단계;상기 확인된 악성코드가 신종 악성코드인 경우 가상 환경을 이용하여 상기 입력된 신종 악성코드를 실행함으로써 상기 신종 악성코드의 행위를 추출하여 분석 데이터베이스에 저장하는 단계;상기 신종 악성코드의 행위와 상기 분석 데이터베이스에 기 저장된 악성코드의 행위를 비교함으로써 상기 신종 악성코드의 행위를 분석하는 단계;악성코드 분석가들이 상기 신종 악성코드의 행위를 분석하기 위한 환경을 제공하는 단계; 및상기 분석된 악성코드, 분석할 악성코드 및 분석중인 악성코드 중 적어도 하나의 행위와 상기 신종 악성코드의 분석 내용을 표시하는 단계를 포함하는, 악성코드 관리 및 분석 방법
|
| 12 |
12
제11항에 있어서,상기 여과하는 단계는,상기 입력된 악성코드의 해쉬값을 계산하여 상기 분석 데이터베이스에 기 저장된 분석 정보 및 백신과 비교함으로써 상기 입력된 악성코드가 기 분석된 악성코드에 해당하는 경우 상기 입력된 악성코드를 여과하는 단계인 것을 특징으로 하는 악성코드 관리 및 분석 방법
|
| 13 |
13
제11항에 있어서,상기 저장하는 단계는,상기 확인된 악성코드가 실행되는 가상 시스템의 프로세스, 메모리, 파일, 레지스트리, 네트워크 및 시스템콜 중 적어도 하나에 대하여 일어나는 연산을 모니터링하고 이를 로그 파일로 저장하는 단계인 것을 특징으로 하는 악성코드 관리 및 분석 방법
|
| 14 |
14
제11항에 있어서,상기 확인된 악성코드는,상기 가상 환경에서 각각 다른 커널과 실행환경에서 실행되는 것을 특징으로 하는 악성코드 관리 및 분석 방법
|
| 15 |
15
제13항에 있어서,상기 저장하는 단계 이후에,상기 저장된 로그 파일을 추상화하여 상기 분석 데이터베이스에 저장된 악성코드와의 행위 유사도를 판단하는 단계; 및상기 행위 유사도가 기준 유사도 이상인 경우 상기 유사한 악성코드의 해쉬값을 상기 분석 데이터베이스에 저장하는 단계를 더 포함하는 것을 특징으로 하는 악성코드 관리 및 분석 방법
|
