요약 | 본 발명은 봇넷 탐지 정보의 분석 시스템 및 방법에 관한 것으로, 트래픽 수집 시스템으로 부터 수신된 정보를 이용하여 봇넷을 탐지하고 행위를 분석하는 봇넷 탐지 정보의 분석 시스템에 있어서, 상기 트래픽 수집 시스템으로부터 전송된 그룹데이터들에 대해 봇넷 그룹을 판정하는 봇넷 탐지 엔진과, 상기 트래픽 수집 시스템과 봇넷 탐지 엔진의 다양한 탐지 정보를 하나의 봇넷 탐지 정보로 출력하는 통합 분석 엔진을 포함하는 것을 특징으로 하는 봇넷 탐지 정보의 분석 시스템 및 이의 분석 방법을 제공한다. |
---|---|
Int. CL | G06F 17/40 (2006.01) G06F 17/10 (2006.01) G06F 21/20 (2006.01) G06F 17/30 (2006.01) |
CPC | G06F 21/56(2013.01) G06F 21/56(2013.01) G06F 21/56(2013.01) |
출원번호/일자 | 1020100134992 (2010.12.24) |
출원인 | 한국인터넷진흥원, 고려대학교 산학협력단 |
등록번호/일자 | 10-1230271-0000 (2013.01.31) |
공개번호/일자 | 10-2012-0073018 (2012.07.04) 문서열기 |
공고번호/일자 | (20130206) 문서열기 |
국제출원번호/일자 | |
국제공개번호/일자 | |
우선권정보 | |
법적상태 | 소멸 |
심사진행상태 | 수리 |
심판사항 | |
구분 | 신규 |
원출원번호/일자 | |
관련 출원번호 | |
심사청구여부/일자 | Y (2010.12.24) |
심사청구항수 | 10 |
번호 | 이름 | 국적 | 주소 |
---|---|---|---|
1 | 한국인터넷진흥원 | 대한민국 | 전라남도 나주시 |
2 | 고려대학교 산학협력단 | 대한민국 | 서울특별시 성북구 |
번호 | 이름 | 국적 | 주소 |
---|---|---|---|
1 | 정현철 | 대한민국 | 서울특별시 송파구 |
2 | 임채태 | 대한민국 | 서울특별시 송파구 |
3 | 지승구 | 대한민국 | 경기도 용인시 수지구 |
4 | 오주형 | 대한민국 | 서울특별시 송파구 |
5 | 강동완 | 대한민국 | 서울특별시 구로구 |
6 | 이희조 | 대한민국 | 경기도 남양주시 경춘로****번 |
7 | 권종훈 | 대한민국 | 서울특별시 동대문구 |
8 | 이주석 | 대한민국 | 서울특별시 성북구 |
9 | 이제현 | 대한민국 | 경기도 평택시 송탄*로 |
10 | 김태범 | 대한민국 | 서울특별시 동대문구 |
번호 | 이름 | 국적 | 주소 |
---|---|---|---|
1 | 특허법인다울 | 대한민국 | 서울 강남구 봉은사로 ***, ***호(역삼동, 혜전빌딩) |
번호 | 이름 | 국적 | 주소 |
---|---|---|---|
1 | 한국인터넷진흥원 | 전라남도 나주시 | |
2 | 고려대학교 산학협력단 | 서울특별시 성북구 |
번호 | 서류명 | 접수/발송일자 | 처리상태 | 접수/발송번호 |
---|---|---|---|---|
1 | [특허출원]특허출원서 [Patent Application] Patent Application |
2010.12.24 | 수리 (Accepted) | 1-1-2010-0858666-59 |
2 | 출원인정보변경(경정)신고서 Notification of change of applicant's information |
2012.03.27 | 수리 (Accepted) | 4-1-2012-5064323-14 |
3 | 선행기술조사의뢰서 Request for Prior Art Search |
2012.04.12 | 수리 (Accepted) | 9-1-9999-9999999-89 |
4 | 선행기술조사보고서 Report of Prior Art Search |
2012.05.15 | 수리 (Accepted) | 9-1-2012-0037359-91 |
5 | 의견제출통지서 Notification of reason for refusal |
2012.07.16 | 발송처리완료 (Completion of Transmission) | 9-5-2012-0405723-88 |
6 | [명세서등 보정]보정서 [Amendment to Description, etc.] Amendment |
2012.09.17 | 보정승인간주 (Regarded as an acceptance of amendment) | 1-1-2012-0749308-75 |
7 | [거절이유 등 통지에 따른 의견]의견(답변, 소명)서 [Opinion according to the Notification of Reasons for Refusal] Written Opinion(Written Reply, Written Substantiation) |
2012.09.17 | 수리 (Accepted) | 1-1-2012-0749310-67 |
8 | 출원인정보변경(경정)신고서 Notification of change of applicant's information |
2013.01.14 | 수리 (Accepted) | 4-1-2013-0000694-44 |
9 | 등록결정서 Decision to grant |
2013.01.25 | 발송처리완료 (Completion of Transmission) | 9-5-2013-0054471-78 |
10 | 출원인정보변경(경정)신고서 Notification of change of applicant's information |
2014.02.11 | 수리 (Accepted) | 4-1-2014-5018243-16 |
11 | 출원인정보변경(경정)신고서 Notification of change of applicant's information |
2014.04.22 | 수리 (Accepted) | 4-1-2014-5049934-62 |
12 | 출원인정보변경(경정)신고서 Notification of change of applicant's information |
2017.11.15 | 수리 (Accepted) | 4-1-2017-5183538-19 |
13 | 출원인정보변경(경정)신고서 Notification of change of applicant's information |
2019.10.10 | 수리 (Accepted) | 4-1-2019-5210941-09 |
번호 | 청구항 |
---|---|
1 |
1 신, 변종 악성코드를 효과적으로 분석하고 분류할 수 있는 악성 코드 탐지를 위한 시스템에 있어서, 적어도 하나 이상의 악성 코드의 동적 정보 분석을 통해 행위 부분 집합을 생성하는 행위 감지 모듈; 및 상기 행위 감지 모듈에 의한 악성 코드의 행위 유사성을 판단하는 유사도 판별 모듈을 포함하고,상기 행위 감지 모듈은, 악성 코드의 함수 호출 정보를 추출하기 위한 호출 정보 추출 모듈;상기 추출된 함수 호출 정보를 분석하여 행위 노드, 호출 순서와 호출 함수 집합을 갖는 호출 그래프를 생성하는 호출 그래프 생성 모듈;함수들의 목적에 따라 추상화된 행위 노드에 의해 호출 그래프를 행위 그래프로 일반화하는 행위 그래프 생성 모듈; 및 n개의 노드를 갖는 악성 코드 M에 대하여 행위 그래프에서 노드를 차례로 줄여가며 가능한 모든 부분 그래프를 추출하는 부분 그래프 추출 모듈을 포함하는 것을 특징으로 하는 악성 코드 탐지를 위한 시스템 |
2 |
2 삭제 |
3 |
3 청구항 1에 있어서, 악성 코드의 함수 호출 정보로 API를 사용하는 것을 특징으로 하는 악성 코드 탐지를 위한 시스템 |
4 |
4 청구항 3에 있어서, 상기 추상화된 행위 노드는 수많은 API들을 32개의 카테고리로 분류하고, 이들을 각기 다시 4개의 행위로 분류하여 총 128개의 행위 노드로 추상화하는 것을 특징으로 하는 악성 코드 탐지를 위한 시스템 |
5 |
5 청구항 1에 있어서, 상기 유사도 판별 모듈은 서로 다른 악성 코드들에서 추출한 부분 그래프에 대한 유사도를 판별하는 것을 특징으로 하는 악성 코드 탐지를 위한 시스템 |
6 |
6 신, 변종 악성코드를 효과적으로 분석하고 분류할 수 있는 악성 코드 탐지 방법에 있어서,악성 코드 함수 정보를 이용하여 행위 그래프를 포함하는 악성 코드의 행위 부분 집합을 생성하는 단계; 및상기 생성된 행위 그래프 간의 유사도 분석을 통해 악성 코드간의 유사도를 분석하는 단계를 포함하고,상기 악성 코드의 행위 부분 집합을 생성하는 단계는,API 호출 정보를 이용하여 호출 그래프를 생성하는 단계;상기 호출 그래프의 추상화를 통한 행위 그래프로 변환하는 단계; 및악성 코드의 모듈별 행위 특징을 분석하기 위해 상기 행위 그래프에서 부분 그래프를 추출하는 단계를 포함하는 것을 특징으로 하는 악성 코드 탐지 방법 |
7 |
7 삭제 |
8 |
8 청구항 6에 있어서, 상기 호출 그래프를 생성하는 단계는, 동적 분석을 통해 악성 코드의 API를 추출하는 단계;API 정보를 분석하는 단계; 및상기 API 정보를 이용하여 행위 노드, 호출 순서와 호출 함수 집합을 갖는 호출 그래프를 생성하는 단계를 포함하는 것을 특징으로 하는 악성 코드 탐지 방법 |
9 |
9 청구항 6에 있어서, 상기 호출 그래프의 추상화는, 상기 API를 32개의 카테고리로 분류하고, 이들을 각기 다시 4개의 행위로 분류하여 총 128개의 행위 노드로 추상화하는 것을 특징으로 하는 악성 코드 탐지 방법 |
10 |
10 청구항 6에 있어서, 상기 부분 그래프 추출 단계는, n개의 노드를 가진 악성 코드 M에 대한 행위 그래프에서 노드를 차례로 감소시켜 추출하는 것을 특징으로 하는 악성 코드 탐지 방법 |
11 |
11 청구항 10에 있어서, 상기 n의 최소값은 3이고, n개의 노드를 가진 악성 코드 M에 대한 최대 부분 그래프(SG(Mn)i)의 개수는 하기 수학식과 같은 것을 특징으로 하는 악성 코드 탐지 방법 |
12 |
12 청구항 6에 있어서, 상기 유사도 분석에 의한 유사도 지수Sim은 변종 악성 코드를 각기 M, M'로 하고, 부분 그래프를 SG(M)i, SG(M')로 할 경우 하기 수학식과 같은 것을 특징으로 하는 악성 코드 탐지 방법 |
지정국 정보가 없습니다 |
---|
패밀리정보가 없습니다 |
---|
순번 | 연구부처 | 주관기관 | 연구사업 | 연구과제 |
---|---|---|---|---|
1 | 지식경제부 | 한국인터넷진흥원 | IT산업원천 기술개발사업 | 신종 봇넷 능동형 탐지 및 대응 기술 개발 |
특허 등록번호 | 10-1230271-0000 |
---|
표시번호 | 사항 |
---|---|
1 |
출원 연월일 : 20101224 출원 번호 : 1020100134992 공고 연월일 : 20130206 공고 번호 : 특허결정(심결)연월일 : 20130125 청구범위의 항수 : 10 유별 : G06F 21/20 발명의 명칭 : 악성 코드 탐지를 위한 시스템 및 방법 존속기간(예정)만료일 : 20180201 |
순위번호 | 사항 |
---|---|
1 |
(권리자) 고려대학교 산학협력단 서울특별시 성북구... |
1 |
(권리자) 한국인터넷진흥원 전라남도 나주시... |
제 1 - 3 년분 | 금 액 | 217,500 원 | 2013년 02월 01일 | 납입 |
제 4 년분 | 금 액 | 260,000 원 | 2016년 01월 25일 | 납입 |
제 5 년분 | 금 액 | 182,000 원 | 2017년 01월 09일 | 납입 |
번호 | 서류명 | 접수/발송일자 | 처리상태 | 접수/발송번호 |
---|---|---|---|---|
1 | [특허출원]특허출원서 | 2010.12.24 | 수리 (Accepted) | 1-1-2010-0858666-59 |
2 | 출원인정보변경(경정)신고서 | 2012.03.27 | 수리 (Accepted) | 4-1-2012-5064323-14 |
3 | 선행기술조사의뢰서 | 2012.04.12 | 수리 (Accepted) | 9-1-9999-9999999-89 |
4 | 선행기술조사보고서 | 2012.05.15 | 수리 (Accepted) | 9-1-2012-0037359-91 |
5 | 의견제출통지서 | 2012.07.16 | 발송처리완료 (Completion of Transmission) | 9-5-2012-0405723-88 |
6 | [명세서등 보정]보정서 | 2012.09.17 | 보정승인간주 (Regarded as an acceptance of amendment) | 1-1-2012-0749308-75 |
7 | [거절이유 등 통지에 따른 의견]의견(답변, 소명)서 | 2012.09.17 | 수리 (Accepted) | 1-1-2012-0749310-67 |
8 | 출원인정보변경(경정)신고서 | 2013.01.14 | 수리 (Accepted) | 4-1-2013-0000694-44 |
9 | 등록결정서 | 2013.01.25 | 발송처리완료 (Completion of Transmission) | 9-5-2013-0054471-78 |
10 | 출원인정보변경(경정)신고서 | 2014.02.11 | 수리 (Accepted) | 4-1-2014-5018243-16 |
11 | 출원인정보변경(경정)신고서 | 2014.04.22 | 수리 (Accepted) | 4-1-2014-5049934-62 |
12 | 출원인정보변경(경정)신고서 | 2017.11.15 | 수리 (Accepted) | 4-1-2017-5183538-19 |
13 | 출원인정보변경(경정)신고서 | 2019.10.10 | 수리 (Accepted) | 4-1-2019-5210941-09 |
기술정보가 없습니다 |
---|
과제고유번호 | 1415107302 |
---|---|
세부과제번호 | KI001863 |
연구과제명 | 신종 봇넷 능동형 탐지 및 대응 기술 개발 |
성과구분 | 출원 |
부처명 | 지식경제부 |
연구관리전문기관명 | 한국산업기술평가관리원 |
연구주관기관명 | 한국인터넷진흥원 |
성과제출연도 | 2010 |
연구기간 | 200803~201102 |
기여율 | 0.5 |
연구개발단계명 | 응용연구 |
6T분류명 | IT(정보기술) |
과제고유번호 | 1425064556 |
---|---|
세부과제번호 | 산기업10-2-16 |
연구과제명 | UCT기반 불법 콘텐츠 추적 관리 시스템 개발 |
성과구분 | 출원 |
부처명 | 중소기업청 |
연구관리전문기관명 | 한국산업기술평가관리원 |
연구주관기관명 | ㈜엠더블유스토리 |
성과제출연도 | 2010 |
연구기간 | 200906~201205 |
기여율 | 0.5 |
연구개발단계명 | 개발연구 |
6T분류명 | CT(문화기술) |
과제고유번호 | 1415107302 |
---|---|
세부과제번호 | KI001863 |
연구과제명 | 신종 봇넷 능동형 탐지 및 대응 기술 개발 |
성과구분 | 등록 |
부처명 | 지식경제부 |
연구관리전문기관명 | 한국산업기술평가관리원 |
연구주관기관명 | 한국인터넷진흥원 |
성과제출연도 | 2010 |
연구기간 | 200803~201102 |
기여율 | 1 |
연구개발단계명 | 응용연구 |
6T분류명 | IT(정보기술) |
[1020100134997] | 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법 | 새창보기 |
---|---|---|
[1020100134996] | 특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법 | 새창보기 |
[1020100134994] | 자식 프로세스를 생성하는 악성 코드 행위 모니터링 시스템 및 그 방법 | 새창보기 |
[1020100134992] | 악성 코드 탐지를 위한 시스템 및 방법 | 새창보기 |
[1020100134989] | 봇의 행위 모니터링 정보 및 봇넷 정보의 시각화 방법 | 새창보기 |
[1020100134969] | 봇넷 탐지 정보의 분석 시스템 및 방법 | 새창보기 |
[1020100134963] | 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법 | 새창보기 |
[1020100134957] | 네트워크 트래픽 분석을 통한 시그니쳐 기반 봇넷 탐지 시스템 및 그 방법 | 새창보기 |
[1020100134956] | 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법 | 새창보기 |
[1020100118617] | 봇 프로세스 탐지 장치 및 방법 | 새창보기 |
[1020090126914] | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | 새창보기 |
[1020090126905] | 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 시스템과 네트워크 기반의 그룹 행위 매트릭스를 사용한 봇넷 그룹 탐지 방법 | 새창보기 |
[1020090126884] | 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법 | 새창보기 |
[1020080133656] | IRC 및 HTTP 봇넷 정보 공유 시스템 및 그 방법 | 새창보기 |
[1020080133644] | IRC 및 HTTP 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | 새창보기 |
[1020080133610] | 네트워크 기반의 IRC와 HTTP 봇넷을 탐지하여 대응하는 시스템과 그 방법 | 새창보기 |
[1020080132962] | 네트워크 기반의 IRC 및 HTTP 봇넷 행위 분석 방법 | 새창보기 |
[1020080132935] | 네트워크 기반의 HTTP 봇넷 탐지 방법 | 새창보기 |
[1020080132922] | 네트워크 기반의 IRC 봇넷 탐지 방법 | 새창보기 |
[KST2015215326][한국인터넷진흥원] | 악성코드 경유-유포지 시각화 장치 및 시각화 방법 | 새창보기 |
---|---|---|
[KST2018012544][한국인터넷진흥원] | 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법 | 새창보기 |
[KST2017012380][한국인터넷진흥원] | 침해 사고 정보를 관리하기 위한 방법과 침해 사고 관리 시스템, 및 컴퓨터 판독 가능한 매체(METHOD AND INCIDENT MANAGEMENT SYSTEM, AND COMPUTER-READABLE RECORDING MEDIUM) | 새창보기 |
[KST2015215333][한국인터넷진흥원] | 특정 프로세스에 대한 네트워크 행위 모니터링 시스템 및 그 방법 | 새창보기 |
[KST2015215367][한국인터넷진흥원] | 악성코드 유포지 및 경유지 주기 점검 시스템 및 방법 | 새창보기 |
[KST2015215431][한국인터넷진흥원] | 에스엔에스 트랩 수집 시스템 및 그에 의한 유알엘 수집 방법 | 새창보기 |
[KST2015215301][한국인터넷진흥원] | 악성코드 분류 시스템 | 새창보기 |
[KST2018012543][한국인터넷진흥원] | 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치 | 새창보기 |
[KST2017013821][한국인터넷진흥원] | 악성앱 동적 행위 분석 방법 및 장치(METHOD AND APPARATUS FOR ANALYSING DYNAMIC BEHAVIOR OF MALICIOUS APPLICATION) | 새창보기 |
[KST2015215328][한국인터넷진흥원] | SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법 | 새창보기 |
[KST2015215330][한국인터넷진흥원] | 악성코드 경유-유포지 탐지 시스템 | 새창보기 |
[KST2015219885][한국인터넷진흥원] | 패스워드 교환방식을 이용한 사용자-서버간의 상호 신분 인증방법 | 새창보기 |
[KST2015215325][한국인터넷진흥원] | 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법 | 새창보기 |
[KST2015215329][한국인터넷진흥원] | 악성코드 그룹 및 변종 자동 관리 시스템 | 새창보기 |
[KST2015215348][한국인터넷진흥원] | 이미지 특성정보를 이용한 개인정보 노출 검색 시스템 | 새창보기 |
[KST2015215415][한국인터넷진흥원] | 데이터 분산 저장 관리 시스템 및 분산 저장 관리 방법 | 새창보기 |
[KST2015215425][한국인터넷진흥원] | 악성코드 경유-유포지 탐지를 위한 씨드 정보 수집 장치 및 수집 방법 | 새창보기 |
[KST2017012378][한국인터넷진흥원] | 침해 사고 정보의 재귀적 수집 방법 및 그를 실행하는 프로그램이 기록된 컴퓨터 판독 가능한 매체(COLLECTION METHOD OF INCIDENT INFORMATION, AND COMPUTER-READABLE RECORDING MEDIUM RECORDED WITH PROGRAM TO PERFORM THE SAME) | 새창보기 |
[KST2015219888][한국인터넷진흥원] | 오용행위와 비정상행위의 통합 판정 기능을 갖는 호스트기반의 통합침입탐지시스템 및 방법 | 새창보기 |
[KST2015215440][한국인터넷진흥원] | 악성코드 경유-유포지 평가 장치 | 새창보기 |
[KST2015215394][한국인터넷진흥원] | 자식 프로세스를 생성하는 악성 코드 행위 모니터링 시스템 및 그 방법 | 새창보기 |
[KST2015215332][한국인터넷진흥원] | 이상 도메인 네임 시스템 트래픽 분석을 통한 봇넷 탐지 시스템 및 그 방법 | 새창보기 |
[KST2015215353][한국인터넷진흥원] | 악성코드 통합정보 생성 시스템 및 이를 포함하는 악성코드 통합관리 시스템 | 새창보기 |
[KST2018006493][한국인터넷진흥원] | 오픈 포트 배너 키워드 분석을 통한 취약점 정보를 식별하는 방법 및 장치(Method and Apparatus for Identifying Vulnerability Information Using Keyword Analysis for Banner of Open Port) | 새창보기 |
[KST2016014274][한국인터넷진흥원] | 분산 병렬 처리 기반의 HTML5 문서 수집 및 분석 장치 및 방법(Apparatus and method for collecting and analysing HTML5 documents based a distributed parallel processing) | 새창보기 |
[KST2015215313][한국인터넷진흥원] | 악성코드 DNA 및 메타데이터 자동 관리 시스템 | 새창보기 |
[KST2015215406][한국인터넷진흥원] | 봇넷 탐지 정보의 분석 시스템 및 방법 | 새창보기 |
[KST2015215310][한국인터넷진흥원] | 다국어 도메인 네임 변환 서버 및 이를 이용하는 변환 방법 | 새창보기 |
[KST2015215432][한국인터넷진흥원] | 에스엔에스 검색 서비스를 이용한 유알엘 수집 시스템 및 방법 | 새창보기 |
[KST2015215340][한국인터넷진흥원] | 봇의 행위 모니터링 정보 및 봇넷 정보의 시각화 방법 | 새창보기 |
심판사항 정보가 없습니다 |
---|