1 |
1
시스템에서 발생되는 행위를 모니터링하는 커널 필터 드라이버와,상기 커널 필터 드라이버에서 모니터링된 행위 정보를 제 1 테이블에 저장하는 행위 정보 저장 모듈과,상기 제 1 테이블에 저장된 행위 정보의 행위 주체가 되는 프로세스가 최초로 실행한 악성 코드의 프로세스와 일치하는 행위들을 추출하여 제 2 테이블에 저장하는 악성 코드 행위 추출 모듈과,상기 제 2 테이블에 저장된 행위들로부터 악성 코드가 추가적으로 실행한 자식 프로세스들의 프로세스 정보를 추출하여 제 3 테이블에 저장하는 자식 프로세스 정보 추출 모듈과,상기 제 1 테이블로부터 상기 제 3 테이블에 해당되는 프로세스의 정보를 추출하여 제 4 테이블에 저장하는 프로세스 비교 모듈과,상기 제 4 테이블을 기초로, 상기 행위 정보 저장 모듈과 상기 악성 코드 행위 추출 모듈과 상기 자식 프로세스 정보 추출 모듈 및 프로세스 비교 모듈을 제어하여 프로세스 정보와 연결되어 있는 행위 정보를 추출하는 자식 프로세스 연관 행위 추출 모듈을 포함하는 것을 특징으로 하는 자식 프로세스를 생성하는 악성 코드 행위 모니터링 시스템
|
2 |
2
청구항 1에 있어서,상기 제 2 테이블과 상기 제 3 테이블에 저장된 행위 정보들을 종합하여 악성 코드의 행위 정보로 구분하고 관리하는 악성 코드 행위 구분 모듈을 포함하는 것을 특징으로 하는 자식 프로세스를 생성하는 악성 코드 행위 모니터링 시스템
|
3 |
3
삭제
|
4 |
4
청구항 1 또는 청구항 2에 있어서,상기 행위 정보로부터 해당 행위 정보의 주체가 되는 프로세스에 대한 전체 경로를 추출하는 전체 경로 추출 모듈을 더 포함하는 것을 특징으로 하는 자식 프로세스를 생성하는 악성 코드 행위 모니터링 시스템
|
5 |
5
시스템에서 발생하는 행위를 모니터링하는 단계와,상기 모니터링된 행위를 제 1 테이블에 저장하는 단계와,상기 제 1 테이블에 저장된 행위들 중 행위 주체가 되는 프로세스가 최초 실행한 악성 코드의 프로세스와 일치하는 행위들을 추출하여 제 2 테이블에 저장하는 단계와,상기 제 2 테이블에 저장된 행위들로부터 악성 코드가 추가적으로 실행한 자식 프로세스들의 프로세스 정보를 추출하여 제 3 테이블에 저장하는 단계와,상기 제 1 테이블로부터 상기 제 3 테이블에 해당하는 프로세스의 정보를 추출하여 제 4 테이블에 저장하는 단계 및상기 제 1 테이블로부터 상기 제 3 테이블에 해당하는 프로세스의 정보를 추출하여 제 4 테이블에 저장하는 단계, 이후상기 제 4 테이블에 저장된 행위 정보들을 바탕으로, 시스템에서 발생하는 행위를 모니터링하는 단계와, 상기 모니터링된 행위를 제 1 테이블에 저장하는 단계와, 상기 제 1 테이블에 저장된 행위들 중 행위 주체가 되는 프로세스가 최초 실행한 악성 코드의 프로세스와 일치하는 행위들을 추출하여 제 2 테이블에 저장하는 단계와, 상기 제 2 테이블에 저장된 행위들로부터 악성 코드가 추가적으로 실행한 자식 프로세스들의 프로세스 정보를 추출하여 제 3 테이블에 저장하는 단계, 및 상기 제 1 테이블로부터 상기 제 3 테이블에 해당하는 프로세스의 정보를 추출하여 제 4 테이블에 저장하는 단계를 순차적으로 반복 수행하여, 프로세스 정보로 연결된 행위를 추출하는 단계를 포함하는 것을 특징으로 하는 자식 프로세스를 생성하는 악성 코드 행위 모니터링 방법
|
6 |
6
청구항 5에 있어서,상기 제 1 테이블로부터 상기 제 3 테이블에 해당하는 프로세스의 정보를 추출하여 제 4 테이블에 저장하는 단계, 이후상기 제 2 테이블과 상기 제 4 테이블에 저장된 행위 정보들을 종합하여 악성 코드의 행위 정보로 구분하고 관리하는 단계를 더 포함하는 것을 특징으로 하는 자식 프로세스를 생성하는 악성 코드 행위 모니터링 방법
|
7 |
7
삭제
|
8 |
8
청구항 5 또는 청구항 6에 있어서,상기 행위 정보로부터 해당 행위 정보의 주체가 되는 프로세스에 대한 전체 경로를 추출하는 단계를 더 포함하는 것을 특징으로 하는 자식 프로세스를 생성하는 악성 코드 행위 모니터링 방법
|