1 |
1
메일서버로부터 이메일에 첨부된 문서파일을 수신하고, 그 수신된 문서파일에 대한 최종 악성여부를 판단하는 관리서버와,상기 관리서버로부터 제공받은 문서파일에 대한 정적분석을 통해 악성여부를 판단하고 그 정적분석결과를 상기 관리서버로 전송하는 정적분석서버와,상기 관리서버로부터 수신한 문서파일을 실행시켜 행위정보를 모니터링하고 그 모니터링 결과를 상기 관리서버로 전송하는 동적분석서버와,상기 관리서버로부터 전달받은 문서파일에 대해 백신검사를 수행하고 그 백신검사결과를 상기 관리서버로 전송하는 백신점검서버를 포함하여 구성되며, 상기 관리서버는 상기 동적분석서버로부터 상기 모니터링 결과를 기저장된 탐지 룰과 매칭하여 행위 위험도를 산정하고, 그 산정된 행위 위험도 및 상기 정적분석결과, 백신검사결과를 분석하여 상기 문서파일의 악성여부를 최종적으로 판단하고, 상기 관리서버는 상기 메일서버로부터 전송되는 이메일 정보를 수신하여 확인하고 그 확인결과 이메일에 문서파일이 첨부된 경우 해당 문서파일을 상기 메일서버로부터 다운로드하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 시스템
|
2 |
2
삭제
|
3 |
3
제1항에 있어서,상기 관리서버는, 상기 산정된 행위 위험도 및 정적분석결과, 백신검사결과 중 하나의 결과가 악성을 탐지하면 악성의심으로 판단하고, 둘 이상의 결과가 악성으로 탐지되면 악성으로 판단하며, 상기 백신검사결과가 악성이면 상기 문서파일을 악성으로 판단하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 시스템
|
4 |
4
제1항에 있어서,상기 정적분석서버는,상기 문서파일 내 스크립트 및 쉘코드 포함여부, 난독화 여부, 툴 기반 검증과 같은 정적분석을 통해 악성여부를 판단하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 시스템
|
5 |
5
제1항에 있어서,상기 동적분석서버는,상기 문서파일의 파일 행위, 레지스트리 행위, 네트워크 행위, 프로세스 행위를 모니터링하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 시스템
|
6 |
6
제1항에 있어서,상기 동적분석서버는,상기 행위 모니터링 중 생성되는 PE(Portable Executable) 형태의 실행 파일을 상기 관리서버로 전송하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 시스템
|
7 |
7
제1항에 있어서,상기 관리서버는,악성코드 분석결과 및 악성코드 통계을 관리자가 확인할 수 있도록 웹 기반 사용자 인터페이스를 제공하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 시스템
|
8 |
8
메일서버로부터 이메일에 첨부된 문서파일을 다운로드하는 단계와,상기 문서파일에 대한 이전 탐지기록이 존재하는지를 확인하는 단계와,상기 문서파일에 대한 이전 탐지기록이 미존재하는 경우, 상기 문서파일을 정적분석서버 및 동적분석서버, 백신점검서버로 전송하는 단계와,상기 정적분석서버 및 동적분석서버, 백신점검서버로부터 상기 문서파일에 대한 정적분석결과, 행위정보 모니터링 결과, 백신검사결과를 수신하는 단계와,상기 행위정보 모니터링 결과를 행위 탐지 룰과 매칭하여 행위 위험도를 산정하는 단계와,상기 정적분석결과 및 백신검사결과, 산정된 행위 위험도에 근거하여 상기 문서파일의 악성여부를 최종적으로 결정하는 단계를 포함하여 이루어지며,상기 문서파일 다운로드 단계는,상기 메일서버로부터 이메일 정보를 수신하는 단계와,상기 이메일 정보를 통해 이메일에 첨부된 파일이 문서파일인지를 확인단계와,상기 이메일에 첨부된 파일이 문서파일이면 해당 문서파일을 상기 메일서버로부터 다운로드하는 단계를 포함하여 이루어지는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 방법
|
9 |
9
삭제
|
10 |
10
제8항에 있어서,상기 문서파일의 악성여부 최종결정 단계는,상기 정적분석결과 및 백신검사결과, 산정된 행위 위험도 중 어느 하나가 악성으로 탐지되면 상기 문서파일을 악성의심으로 결정하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 방법
|
11 |
11
제8항에 있어서,상기 문서파일의 악성여부 최종결정 단계는,상기 정적분석결과 및 백신검사결과, 산정된 행위 위험도 중 둘 이상이 악성으로 탐지되면 상기 문서파일을 악성으로 결정하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 방법
|
12 |
12
제8항에 있어서,상기 문서파일의 악성여부 최종결정 단계는,상기 백신검사결과가 악성으로 탐지되면 상기 문서파일을 악성으로 결정하는 것을 특징으로 하는 이메일 기반 문서형 악성코드 고속탐지 방법
|