1 |
1
악성코드 자동 분석 시스템에 있어서,분석해야할 악성 의심파일들을 FTP(File Transfer Protocol)를 통해 악성코드 분석서버로 업로드(Upload)하는 악성 의심파일 수집서버;상기 악성코드 분석서버로 특정 파일에 대한 해쉬섬(Hashsum)을 포함하는 악성여부 판단요청정보를 전송하여 악성여부에 대한 판단을 요청하되, 특정 파일 해쉬섬은 XML포맷의 데이터로 HTTP를 이용하여 전송하며, 상기 악성코드 분석서버로부터 특정 파일 해쉬섬에 대응하는 XML포맷 형태의 해쉬섬 악성여부 분석정보를 수신하는 악성코드 탐지서버; 및사용자로부터 수신한 악성 의심파일 및 사용자 입력정보를 분석하여 악성코드 분석결과정보를 생성하고, 상기 악성 의심파일 수집서버로부터 업로드된 악성 의심파일을 분석하여 악성코드 분석결과정보를 생성하며, 상기 악성코드 탐지서버로부터 수신한 악성여부 판단요청정보에 포함된 특정 파일 해쉬섬의 악성여부를 분석하여 해쉬섬 악성여부 분석정보를 생성하는 악성코드 분석서버;를 포함하되,상기 악성코드 분석서버는,상기 악성코드 탐지서버로부터 특정 파일에 대한 해쉬섬(Hashsum)을 포함하는 악성여부 판단요청정보 수신하여 파싱(Parsing)을 통해 XML포맷 형태의 구조체로 변환하는 입력정보 파싱모듈;상기 해쉬섬(Hashsum)과 대응하는 악성코드 분석결과를 악성코드 분석DB로부터 색인하여 해쉬섬 악성여부 분석정보가 존재하는지 여부를 판단하되, 악성 의심파일의 해쉬섬(Hashsum)과 대응하는 해쉬섬 악성여부 분석정보가 존재하는 경우, 악성코드 분석결과정보를 악성코드 분석모듈로 인가하고, 악성 의심파일의 해쉬섬(Hashsum)과 대응하는 해쉬섬 악성여부 분석정보가 존재하지 않는 경우, 악성 의심파일의 해쉬섬(Hashsum)을 분석결과전송 확인모듈로 인가하는 분석결과 확인모듈;상기 해쉬섬 악성여부 분석정보를 XML포맷 형태의 구조체로 변환하여 악성코드 탐지서버로 전송하되, 악성여부 판단요청정보와 대응하는 모든 해쉬섬 악성여부 분석정보를 전송했는지 여부를 판단하여 모든 해쉬섬 악성여부 분석정보가 전송되지 않은 경우, 악성 여부 결과를 전송하지 못한 악성 의심파일의 해쉬섬(Hashsum)을 상기 분석결과전송 확인모듈로 인가하는 악성코드 분석모듈; 및상기 악성 의심파일의 해쉬섬(Hashsum)을 인가받고, 악성 여부 결과를 전송하지 못한 악성 의심파일의 해쉬섬(Hashsum)에 대한 해쉬섬 악성여부 분석정보가 존재하는지 여부를 확인하여 해쉬섬 악성여부 분석정보가 존재하는 경우, 이를 XML포맷 형태의 구조체로 변환하여 공유 디렉터리에 저장시키는 분석결과전송 확인모듈;을 포함하는 것을 특징으로 하는 악성코드 자동 분석 시스템
|
2 |
2
제 1 항에 있어서,상기 악성코드 분석서버는,사용자로부터 악성 의심파일 및 사용자 입력정보를 수신하여 상기 사용자 입력정보를 파싱(Parsing)하여 XML포맷 형태의 구조체로 변환하는 입력정보 파싱모듈;상기 악성 의심파일의 해쉬섬(Hashsum)과 대응하는 악성코드 분석결과를 악성코드 분석DB로부터 색인하여 악성코드 분석결과정보가 존재하는지 여부를 판단하되, 악성 의심파일의 해쉬섬(Hashsum)과 대응하는 악성코드 분석결과정보가 존재하지 않는 경우, 악성 의심파일 및 사용자 입력정보를 PE헤더 추출모듈로 인가하는 분석결과 확인모듈;상기 악성 의심파일에 대한 PE헤더 정보를 추출하여 상기 악성코드 분석DB로 전송하여 삽입·저장토록 하는 PE헤더 추출모듈;상기 사용자 입력정보에 포함된 분석설정정보를 파싱하여 추출한 분석요청내역을 상기 악성코드 분석DB로 전송하여 삽입·저장토록 하는 분석설정정보 파싱모듈;상기 악성 의심파일에 대한 PE헤더 정보 및 분석요청내역과 대응하는 악성코드 분석결과정보가 상기 악성코드 분석DB에 존재하는지 여부를 판단하고, 악성 의심파일에 대한 PE헤더 정보 및 분석요청내역과 대응하는 악성코드 분석결과정보가 존재하는 경우, 이를 색인하여 분석결과 파싱모듈로 인가하는 악성코드 분석모듈;상기 악성코드 분석결과정보를 파싱하여 XML포맷 형태의 구조체로 변환하는 분석결과 파싱모듈; 및상기 XML포맷 형태로 변환된 악성코드 분석결과정보와 이에 대한 차트 및 그래프를 생성하여 출력하는 분석결과 리포팅모듈;을 포함하는 것을 특징으로 하는 악성코드 자동 분석 시스템
|
3 |
3
제 1 항에 있어서,상기 악성코드 분석서버는,상기 악성 의심파일 수집서버로부터 업로드(Upload)된 XML포맷 문서 형태의 악성 의심파일들이 공유 디렉터리(Directory)에 존재하는지 확인하여 존재하는 경우, 악성 의심파일을 파싱(Parsing)하여 XML포맷 형태의 구조체로 변환하는 입력정보 파싱모듈;상기 악성 의심파일의 해쉬섬(Hashsum)과 대응하는 악성코드 분석결과를 악성코드 분석DB로부터 색인하여 악성코드 분석결과정보가 존재하는지 여부를 판단하되, 악성 의심파일의 해쉬섬(Hashsum)과 대응하는 악성코드 분석결과정보가 존재하지 않는 경우, 악성 의심파일 및 사용자 입력정보를 PE헤더 추출모듈로 인가하는 분석결과 확인모듈;상기 악성 의심파일에 대한 PE헤더 정보를 추출하여 상기 악성코드 분석DB로 전송하여 삽입·저장토록 하는 PE헤더 추출모듈; 및상기 사용자 입력정보에 포함된 분석설정정보를 파싱하여 추출한 분석요청내역을 상기 악성코드 분석DB로 전송하여 삽입·저장토록 하는 분석설정정보 파싱모듈;을 포함하는 것을 특징으로 하는 악성코드 자동 분석 시스템
|
4 |
4
삭제
|
5 |
5
악성코드 자동 분석 방법에 있어서,(a) 악성 의심파일 수집서버가 분석해야할 악성 의심파일들을 FTP를 통해 악성코드 분석서버로 업로드 하는 단계;(b) 악성코드 탐지서버가 상기 악성코드 분석서버로 특정 파일에 대한 해쉬섬(Hashsum)을 포함하는 악성여부 판단요청정보를 전송하여 악성여부에 대한 판단을 요청하는 단계;(c) 상기 악성코드 분석서버가 사용자로부터 수신한 악성 의심파일 및 사용자 입력정보를 분석하여 악성코드 분석결과정보를 생성하는 단계;(d) 상기 악성코드 분석서버가 상기 악성 의심파일 수집서버로부터 업로드된 악성 의심파일을 분석하여 악성코드 분석결과정보를 생성하는 단계; 및(e) 상기 악성코드 분석서버가 상기 악성코드 탐지서버로부터 수신한 악성여부 판단요청정보에 포함된 특정 파일 해쉬섬의 악성여부를 분석하여 해쉬섬 악성여부 분석정보를 생성하는 단계;를 포함하되,상기 (e) 단계는,상기 악성코드 분석서버의 입력정보 파싱모듈이 상기 악성코드 탐지서버로부터 특정 파일에 대한 해쉬섬(Hashsum)을 포함하는 악성여부 판단요청정보 수신하여 파싱(Parsing)을 통해 XML포맷 형태의 구조체로 변환하는 (e-1) 단계;분석결과 확인모듈이 상기 해쉬섬(Hashsum)과 대응하는 악성코드 분석결과를 악성코드 분석DB로부터 색인하여 해쉬섬 악성여부 분석정보가 존재하는지 여부를 판단하는 (e-2) 단계;상기 (e-2)단계의 판단결과, 상기 악성 의심파일의 해쉬섬(Hashsum)과 대응하는 해쉬섬 악성여부 분석정보가 존재하는 경우, 상기 분석결과 확인모듈이 악성코드 분석결과정보를 악성코드 분석모듈로 인가하고, 악성 의심파일의 해쉬섬(Hashsum)과 대응하는 해쉬섬 악성여부 분석정보가 존재하지 않는 경우, 분석결과 확인모듈이 상기 악성 의심파일의 해쉬섬(Hashsum)을 분석결과전송 확인모듈로 인가하는 (e-3) 단계;상기 악성코드 분석모듈이 상기 해쉬섬 악성여부 분석정보를 XML포맷 형태의 구조체로 변환하여 상기 악성코드 탐지서버로 전송하는 (e-4) 단계;악성코드 분석모듈이 악성여부 판단요청정보와 대응하는 모든 해쉬섬 악성여부 분석정보가 전송되었는지 여부를 판단하는 (e-5) 단계;상기 (e-5) 단계의 판단결과, 악성여부 판단요청정보와 대응하는 모든 해쉬섬 악성여부 분석정보가 전송되지 않은 경우, 상기 악성코드 분석모듈이 악성 여부 결과를 전송하지 못한 악성 의심파일의 해쉬섬(Hashsum)을 상기 분석결과전송 확인모듈로 인가하는 (e-6) 단계; 및상기 분석결과전송 확인모듈이 악성 의심파일의 해쉬섬(Hashsum)을 인가받은 경우, 악성 여부 결과를 전송하지 못한 악성 의심파일의 해쉬섬(Hashsum)에 대한 해쉬섬 악성여부 분석정보들을 색인하여 XML포맷 형태의 구조체로 변환하여 공유 디렉터리에 저장시키는 (e-7) 단계;를 포함하는 것을 특징으로 하는 악성코드 자동 분석 방법
|
6 |
6
제 5 항에 있어서,상기 (c) 단계는,(c-1) 상기 악성코드 분석서버의 입력정보 파싱모듈이 악성 의심파일 및 사용자 입력정보를 수신하고, 사용자 입력정보를 파싱(Parsing)하여 XML포맷 형태의 구조체로 변환하는 단계;(c-2) 분석결과 확인모듈이 상기 악성 의심파일의 해쉬섬(Hashsum)과 대응하는 악성코드 분석결과를 악성코드 분석DB로부터 색인하여 악성코드 분석결과정보가 존재하는지 여부를 판단하는 단계;(c-3) 상기 (c-2)단계의 판단결과, 악성 의심파일의 해쉬섬(Hashsum)과 대응하는 악성코드 분석결과정보가 존재하지 않는 경우, 분석결과 확인모듈이 악성 의심파일 및 사용자 입력정보를 PE헤더 추출모듈로 인가하는 단계;(c-4) PE헤더 추출모듈이 인가받은 악성 의심파일에 대한 PE헤더 정보를 추출하여 상기 악성코드 분석DB로 전송하여 삽입·저장시키는 단계;(c-5) 분석설정정보 파싱모듈이 사용자 입력정보에 포함된 분석설정정보를 파싱하여 추출한 분석요청내역을 상기 악성코드 분석DB로 전송하여 삽입·저장시키는 단계;(c-6) 악성코드 분석모듈이 인가받은 악성 의심파일에 대한 PE헤더 정보 및 분석요청내역과 대응하는 악성코드 분석결과정보가 상기 악성코드 분석DB에 존재하는지 여부를 판단하는 단계;(c-7) 상기 (c-6)단계의 판단결과, 악성 의심파일에 대한 PE헤더 정보 및 분석요청내역과 대응하는 악성코드 분석결과정보가 존재하는 경우, 상기 악성코드 분석모듈이 이를 색인하여 분석결과 파싱모듈로 인가하는 단계;(c-8) 분석결과 파싱모듈이 인가받은 악성코드 분석결과정보를 파싱하여 XML포맷 형태의 구조체로 변환하는 단계; 및(c-9) 분석결과 리포팅모듈이 상기 XML포맷 형태로 변환된 악성코드 분석결과정보와 이에 대한 차트 및 그래프를 생성하여 출력하는 단계;를 포함하는 것을 특징으로 하는 악성코드 자동 분석 방법
|
7 |
7
제 5 항에 있어서,상기 (d) 단계는,(d-1) 상기 악성코드 분석서버의 입력정보 파싱모듈이 상기 악성 의심파일 수집서버로부터 업로드(Upload)된 XML포맷 문서 형태의 악성 의심파일들이 공유 디렉터리(Directory)에 존재하는지 확인하여 존재하는 경우, 악성 의심파일을 파싱(Parsing)하여 XML포맷 형태의 구조체로 변환하는 단계;(d-2) 분석결과 확인모듈이 상기 악성 의심파일의 해쉬섬(Hashsum)과 대응하는 악성코드 분석결과를 악성코드 분석DB로부터 색인하여 악성코드 분석결과정보가 존재하는지 여부를 판단하는 단계;(d-3) 상기 (d-2)단계의 판단결과, 상기 악성 의심파일의 해쉬섬(Hashsum)과 대응하는 악성코드 분석결과정보가 존재하지 않는 경우, 상기 분석결과 확인모듈이 악성 의심파일 및 사용자 입력정보를 PE헤더 추출모듈로 인가하는 단계;(d-4) 상기 PE헤더 추출모듈이 인가받은 악성 의심파일에 대한 PE헤더 정보를 추출하여 상기 악성코드 분석DB로 전송하여 삽입·저장시키는 단계; 및(d-5) 분석설정정보 파싱모듈이 상기 사용자 입력정보에 포함된 분석설정정보를 파싱하여 추출한 분석요청내역을 상기 악성코드 분석DB로 전송하여 삽입·저장시키는 단계;를 포함하는 것을 특징으로 하는 악성코드 자동 분석 방법
|
8 |
8
삭제
|