1 |
1
코드를 실행시키기 위한 운영체제를 갖춘 컴퓨터 단말기;상기 컴퓨터 단말기가 접속되는 공중망; 및상기 코드가 악성코드인지 여부를 결정하는 악성코드 분석부를 포함하여 구성되되, 상기 악성코드 분석부는,상기 코드가 상기 운영체제에서 실행되는 동안 상기 운영체제로부터 호출하는 시스템 호출 및 장치호출에 관련된 실행특성 및 상기 공중망으로 네트워크 트래픽을 일정 수준 이상으로 발생시키는 네트워크 트래픽 특성을 모니터링하여 메모리에 저장된 악성코드의 호출특성과 비교함으로써 악성코드 여부를 결정하는 것을 특징으로 하는 악성코드 분석 시스템
|
2 |
2
제 1 항에 있어서, 상기 악성코드 분석부는,상기 코드가 상기 운영체제에서 실행될 때 발생하는 장치호출을 검사하는 장치 호출 검사부;상기 코드가 상기 운영체제에서 실행될 때 발생하는 시스템 호출을 검사하는 시스템 호출 검사부;상기 장치 호출 검사부 및 상기 시스템 호출 검사부에 의하여 검사된 상기 코드의 특성을 상기 악성코드의 특성과 비교하는 비교부; 및상기 악성코드 및 상기 악성코드의 특성을 저장하는 데이터베이스;를 구비하는 것을 특징으로 하는 악성코드 분석 시스템
|
3 |
3
제 2 항에 있어서, 상기 시스템 호출 검사부는,상기 코드가 상기 운영체제에서 실행되는 동안 프로세스 및 쓰레드 발생량, 파일 생성 및 삭제, 레지스트리 생성과 변경 및 삭제, 프로세스 종료, 네트워크 상태 중 적어도 하나를 검사하는 것을 특징으로 하는 악성코드 분석 시스템
|
4 |
4
삭제
|
5 |
5
제 2 항에 있어서, 상기 비교부는,상기 코드의 호출특성과 상기 악성코드 호출특성 간의 유사성이 50퍼센트 이상 일 경우, 악성코드 또는 상기 악성코드의 변종 중 어느 하나로 결정하는 것을 특징으로 하는 악성코드 분석 시스템
|
6 |
6
제 5 항에 있어서, 상기 코드는,상기 악성코드로 결정되는 경우, 상기 데이터베이스에 추가로 등재되는 것을 특징으로 하는 악성코드 분석 시스템
|
7 |
7
제 1 항에 있어서, 상기 운영체제는,유닉스 계열 또는 윈도우 계열의 운영체제 중 적어도 하나인 것을 특징으로 하는 악성코드 분석 시스템
|
8 |
8
삭제
|
9 |
9
일정 수준 이상의 네트워크 트래픽을 발생시키는 코드를 컴퓨터 단말기 상에 실행시키는 제1 단계;상기 코드가 상기 운영체제에서 실행되는 동안 상기 운영체제로부터 호출하는 시스템 호출 및 장치호출에 관련된 실행특성 및 상기 공중망으로 네트워크 트래픽을 일정 수준 이상으로 발생시키는 네트워크 트래픽 특성을 모니터링 하여 상기 코드의 특성을 분석하는 제2 단계; 및상기 분석된 코드의 특성과 기 저장된 악성코드의 특성을 상호 비교하여 악성코드 여부를 결정하는 제3 단계를 포함하는 것을 특징으로 하는 악성코드 분석 방법
|
10 |
10
제 9 항에 있어서, 상기 제2 단계는,상기 코드 실행에 의해 발생하는 프로세스 및 쓰레드 발생량, 파일 생성 및 삭제, 레지스트리 생성과 변경 및 삭제, 프로세스 종료, 네트워크 변화 중 적어도 하나를 모니터링하는 단계 인 것을 특징으로 하는 악성코드 분석 방법
|
11 |
11
제 9 항에 있어서, 상기 제3 단계는,상기 코드 특성 및 상기 악성코드 특성 간의 유사성이 80퍼센트 이상일 경우 악성코드 또는 악성코드의 변종 중 어느 하나로 결정하는 것을 특징으로 하는 악성코드 분석 방법
|
12 |
12
제 11 항에 있어서,상기 코드가 악성코드로 결정되는 경우, 데이터베이스에 새롭게 등재하는 부단계를 더 포함하는 것을 특징으로 하는 악성코드 분석 방법
|