| 1 |
1
임의의 호스트에서 사용되는 커널 자료구조에 대해, 자료구조 그래프(Data Structure Graph) 및 커널 스냅샷(Kernel Snapshot) 중 적어도 하나와 관련된 정보를 추출하는 자료구조 추출모듈;상기 추출된 정보를 이용하여, 상기 호스트에 사용되는 커널 자료구조의 불변량과 관련된 정보를 생성하는 불변량 생성모듈;추출된 불변량이 기 설정된 불변량 범위에 포함되는지 여부를 판단하고,상기 판단결과에 근거하여, 상기 호스트의 정상 작동 여부를 판단하는 모니터링 모듈을 포함하고,상기 자료구조 추출모듈은,상기 호스트의 커널에 포함된 소스코드로부터 자료구조 정의(Data Structure Definition)와 관련된 정보를 추출하고,상기 자료구조 정의, 상기 커널에 포함된 복수의 데이터 구조체 중 루트 심볼(Root Symbol) 및 상기 커널 스냅샷 중 적어도 하나와 관련된 정보를 이용하여, 상기 자료구조 그래프를 생성하고,상기 생성된 자료구조 그래프를 이용하여, 상기 커널에 포함된 복수의 데이터 구조체 중 루트 심볼(Root Symbol)부터 트래버싱함으로써, 상기 커널 자료구조의 값에 대한 트레이스(trace)를 추출하는 추출 과정을 반복적으로 수행하고,상기 복수의 데이터 구조체에 포함된 포인터가 범용 포인터인 경우, 상기 소스코드에 대해 분석을 수행함으로써, 상기 범용 포인터에 대응되는 데이터 타입과 관련된 후보군 리스트를 생성하고,생성된 후보군 리스트를 이용하여, 상기 범용 포인터에 대응되는 트레이스를 추가적으로 추출하고,상기 불변량 생성모듈은,상기 추출된 트레이스를 이용하여, 상기 불변량과 관련된 정보를 생성하고,상기 모니터링 모듈은,상기 자료구조 그래프, 커널 스냅샷 및 불변량을 이용하여, 상기 호스트의 물리 메모리를 트래버싱함으로써, 각 자료구조로부터 추출된 불변량 값들이 미리 설정된 불변량 범위를 벗어나는지 판단하고,미리 설정된 불변량 범위를 벗어나는 값들이 검출되면, 상기 호스트를 정지시키거나, 호스트의 운영자에게 경고 메시지를 전송하는 것을 특징으로 하는 악성코드 탐지 시스템
|
| 2 |
2
제1항에 있어서,상기 자료구조 추출모듈은,가상머신 내부분석 기법(VMI)을 이용하여, 상기 호스트의 메모리를 덤프함으로써 상기 커널 스냅샷을 추출하는 것을 특징으로 하는 악성코드 탐지 시스템
|
| 3 |
3
삭제
|
| 4 |
4
제1항에 있어서,상기 루트 심볼은 리스트의 형태로 상호 연결된 상기 복수의 데이터 구조체 중 고정된 출발점에 대한 정보에 대응되는 것을 특징으로 하는 악성코드 탐지 시스템
|
| 5 |
5
제4항에 있어서, 상기 복수의 데이터 구조체는 각각 연결대상인 데이터 구조체와 관련된 포인터를 포함하여 형성되는 것을 특징으로 하는 악성코드 탐지 시스템
|
| 6 |
6
제5항에 있어서,상기 자료구조 추출모듈은,상기 루트 심볼과 관련된 정보를 이용하여, 상기 생성된 자료구조 그래프와 관련된 복수의 데이터 구조체에 대해 트레이스(Trace)를 생성하는 것을 특징으로 하는 악성코드 탐지 시스템
|
| 7 |
7
삭제
|
| 8 |
8
삭제
|
| 9 |
9
제1항에 있어서,상기 자료구조 추출모듈은,상기 호스트의 물리 메모리를 분석하여, 상기 범용 포인터에 대응되는 자료구조의 시그니쳐와 관련된 정보를 추출하고,상기 추출된 시그니쳐에 근거하여 상기 트레이스를 생성하는 것을 특징으로 하는 악성코드 탐지 시스템
|
| 10 |
10
제1항에 있어서,상기 불변량 생성모듈은,상기 자료구조 추출모듈에서 추출된 자료구조 그래프 및 커널 스냅샷과 관련된 정보에, 머신러닝 기법을 적용하여 불변량을 생성하는 것을 특징으로 하는 악성코드 탐지 시스템
|
| 11 |
11
제10항에 있어서,상기 머신러닝 기법은 Daikon 프로그램을 포함하는 것을 특징으로 하는 악성코드 탐지 시스템
|
| 12 |
12
제1항에 있어서,상기 모니터링 모듈은,상기 호스트가 정상이 아닌 것으로 판단되면, 상기 호스트를 정지시키거나,상기 호스트의 운영자에게 경고 메시지를 전송하는 것을 특징으로 하는 악성코드 탐지 시스템
|
