맞춤기술찾기

홈으로 가기
맞춤기술찾기
이전대상기술
프린트하기

이전대상기술

집단행동 악성코드 검색 방법 및 장치

  • 기술번호 : KST2015134162
  • 담당센터 : 서울동부기술혁신센터
  • 전화번호 : 02-2155-3662
상담신청 PDF 받기
요약, Int. CL, CPC, 출원번호/일자, 출원인, 등록번호/일자, 공개번호/일자, 공고번호/일자, 국제출원번호/일자, 국제공개번호/일자, 우선권정보, 법적상태, 심사진행상태, 심판사항, 구분, 원출원번호/일자, 관련 출원번호, 기술이전 희망, 심사청구여부/일자, 심사청구항수의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 서지정보 표입니다.
요약 본 발명은 악성코드에 감염된 호스트들의 그룹행위를 기반으로 집단행동 악성코드를 검색하는 방법에 관한 것으로, 검색 대상 네트워크의 트래픽 데이터를 수집하여 상기 트래픽 데이터를 검토하여 서로 다른 호스트에서 일어나는 공통행위인 그룹행위와 상기 그룹행위의 행위대상을 기준으로 복수의 호스트 그룹을 작성하고, 상기 복수의 호스트 그룹 각각에 속한 호스트가 얼마나 일치하는지를 나타내는 상기 복수의 호스트 그룹간 유사도를 측정하고, 상기 유사도를 이용하여 집단행동 악성코드를 찾는다. 봇넷, 그룹행위, 집단행동 악성코드
Int. CL H04L 12/26 (2006.01) H04L 12/22 (2006.01)
CPC H04L 63/1408(2013.01) H04L 63/1408(2013.01) H04L 63/1408(2013.01) H04L 63/1408(2013.01) H04L 63/1408(2013.01)
출원번호/일자 1020080006826 (2008.01.22)
출원인 고려대학교 산학협력단
등록번호/일자 10-1124615-0000 (2012.02.29)
공개번호/일자 10-2009-0080841 (2009.07.27) 문서열기
공고번호/일자 (20120319) 문서열기
국제출원번호/일자
국제공개번호/일자
우선권정보
법적상태 소멸
심사진행상태 수리
심판사항 심판사항
구분 신규
원출원번호/일자
관련 출원번호 1020100046164;
심사청구여부/일자 Y (2008.01.22)
심사청구항수 17

출원인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 출원인 표입니다.
번호 이름 국적 주소
1 고려대학교 산학협력단 대한민국 서울특별시 성북구

발명자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 발명자 표입니다.
번호 이름 국적 주소
1 이희조 대한민국 경기도 남양주시 경춘로****번길
2 최현상 대한민국 서울특별시 동대문구

대리인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 대리인 표입니다.
번호 이름 국적 주소
1 유미특허법인 대한민국 서울특별시 강남구 테헤란로 ***, 서림빌딩 **층 (역삼동)

최종권리자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 최종권리자 표입니다.
번호 이름 국적 주소
1 고려대학교 산학협력단 서울특별시 성북구
번호, 서류명, 접수/발송일자, 처리상태, 접수/발송일자의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 행정처리 표입니다.
번호 서류명 접수/발송일자 처리상태 접수/발송번호
1 [특허출원]특허출원서
[Patent Application] Patent Application		 2008.01.22 수리 (Accepted) 1-1-2008-0054424-23
2 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2008.03.05 수리 (Accepted) 4-1-2008-5034712-96
3 선행기술조사의뢰서
Request for Prior Art Search		 2009.01.12 수리 (Accepted) 9-1-9999-9999999-89
4 선행기술조사보고서
Report of Prior Art Search		 2009.02.19 수리 (Accepted) 9-1-2009-0011948-82
5 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2009.06.09 수리 (Accepted) 4-1-2009-5111177-32
6 의견제출통지서
Notification of reason for refusal		 2009.10.27 발송처리완료 (Completion of Transmission) 9-5-2009-0441215-46
7 [명세서등 보정]보정서
[Amendment to Description, etc.] Amendment		 2009.12.28 보정승인간주 (Regarded as an acceptance of amendment) 1-1-2009-0808180-42
8 [거절이유 등 통지에 따른 의견]의견(답변, 소명)서
[Opinion according to the Notification of Reasons for Refusal] Written Opinion(Written Reply, Written Substantiation)		 2009.12.28 수리 (Accepted) 1-1-2009-0808176-69
9 거절결정서
Decision to Refuse a Patent		 2010.04.15 발송처리완료 (Completion of Transmission) 9-5-2010-0157343-66
10 [분할출원]특허출원서
[Divisional Application] Patent Application		 2010.05.17 수리 (Accepted) 1-1-2010-0315996-75
11 명세서 등 보정서(심사전치)
Amendment to Description, etc(Reexamination)		 2010.06.16 보정승인 (Acceptance of amendment) 7-1-2010-0025543-22
12 보정각하결정서
Decision of Rejection for Amendment		 2010.07.23 발송처리완료 (Completion of Transmission) 9-5-2010-0314973-04
13 심사전치출원의 심사결과통지서
Notice of Result of Reexamination		 2010.07.23 발송처리완료 (Completion of Transmission) 9-5-2010-0314974-49
14 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2010.08.12 수리 (Accepted) 4-1-2010-5149278-93
15 심사관의견요청서
Request for Opinion of Examiner		 2010.08.31 수리 (Accepted) 7-8-2010-0026337-10
16 등록결정서
Decision to grant		 2012.02.21 발송처리완료 (Completion of Transmission) 9-5-2012-0099893-85
17 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2014.02.11 수리 (Accepted) 4-1-2014-5018243-16
18 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2014.04.22 수리 (Accepted) 4-1-2014-5049934-62
19 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2019.10.10 수리 (Accepted) 4-1-2019-5210941-09
번호, 청구항의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 청구항 표입니다.
번호 청구항
1 1
검색 대상 네트워크 상에서 송수신되는 트래픽 데이터를 수집하는 단계;상기 트래픽 데이터를 검토하여, 단위 시간당 서로 다른 호스트들이 소정의 트래픽 데이터에 대하여 동일하게 수행한 행위인 그룹 행위와, 상기 트래픽 데이터를 구성하는 정보 중에서 그룹 행위가 이루어진 정보인 행위대상을 기준으로 복수의 호스트 그룹을 작성하는 단계;상기 복수의 호스트 그룹 각각에 속한 호스트가 얼마나 일치하는지를 나타내는 상기 복수의 호스트 그룹간 유사도를 측정하는 단계; 및 상기 유사도를 이용하여 집단행동 악성코드를 찾는 단계를 포함하고상기 그룹 행위는 DNS(domain name server) 룩업과정에서 DNS에 질의를 하는 행위이고, 상기 트래픽 데이터가 DNS 트래픽이며, 상기 행위 대상은 DNS 쿼리의 도메인 네임인, 집단행동 악성코드 검색방법
2 2
검색 대상 네트워크 상에서 송수신되는 트래픽 데이터를 수집하는 단계;상기 트래픽 데이터를 검토하여, 단위 시간당 서로 다른 호스트들이 소정의 트래픽 데이터에 대하여 동일하게 수행한 행위인 그룹 행위와, 상기 트래픽 데이터를 구성하는 정보 중에서 그룹 행위가 이루어진 정보인 행위대상을 기준으로 복수의 호스트 그룹을 작성하는 단계;상기 복수의 호스트 그룹 각각에 속한 호스트가 얼마나 일치하는지를 나타내는 상기 복수의 호스트 그룹간 유사도를 측정하는 단계; 및 상기 유사도를 이용하여 집단행동 악성코드를 찾는 단계를 포함하고상기 그룹 행위는 C0026#C(Command and Control) 채널에 합류한 호스트들이 자신의 채널 접속 상태를 알리기 위해 IRC(Internet Relay Chat)가 사용하는 핑(Ping)과 퐁(Pong) 메시지를 주기적으로 주고 받는 행위이고,상기 트래픽 데이터가 와치독 트래픽이며, 상기 행위 대상은 트래픽 데이터의 IP(internet protocol) 주소지인, 집단행동 악성코드 검색방법
3 3
검색 대상 네트워크 상에서 송수신되는 트래픽 데이터를 수집하는 단계;상기 트래픽 데이터를 검토하여, 단위 시간당 서로 다른 호스트들이 소정의 트래픽 데이터에 대하여 동일하게 수행한 행위인 그룹 행위와, 상기 트래픽 데이터를 구성하는 정보 중에서 그룹 행위가 이루어진 정보인 행위대상을 기준으로 복수의 호스트 그룹을 작성하는 단계;상기 복수의 호스트 그룹 각각에 속한 호스트가 얼마나 일치하는지를 나타내는 상기 복수의 호스트 그룹간 유사도를 측정하는 단계; 및 상기 유사도를 이용하여 집단행동 악성코드를 찾는 단계를 포함하고상기 그룹 행위는 분산 서비스 거부(Distributed denial of service) 공격이고,상기 트래픽 데이터가 공격 트래픽이며, 상기 행위 대상은 트래픽 데이터의 도착지의 IP(internet protocol) 주소지인, 집단행동 악성코드 검색방법
4 4
제1항 내지 제3항 중 어느 한 항에 있어서상기 복수의 호스트 그룹을 작성하는 단계는단위 시간 동안 검색 대상 네트워크상의 소정 트래픽 데이터에 관련된 정보인 동일한 행위대상에 대하여, 동일한 그룹행위를 한 호스트의 개수를 세는 단계; 및상기 호스트의 개수를 상기 검색 대상 네트워크에 속한 전체 호스트의 개수로 나눈 값이 임계값 이상이면 상기 동일한 그룹행위를 한 호스트들을 하나의 그룹으로 작성하는 단계를 포함하는 집단행동 악성코드 검색방법
5 5
제4항에 있어서, 상기 임계값은 상기 검색 대상 네트워크에 상기 집단행동 악성코드가 존재할 확률인 집단행동 악성코드 검색방법
6 6
제4항에 있어서, 상기 트래픽 데이터가 DNS(Domain name server) 트래픽이면, 상기 단위 시간은 DNS TTL(time to live)에 따라 결정되는 집단행동 악성코드 검색방법
7 7
제6항에 있어서, 상기 단위 시간은 동적 DNS의 TTL(time to live)의 최소값보다 크고 정상 DNS의 TTL(time to live)의 최대값보다 작은 집단행동 악성코드 검색방법
8 8
제4항에 있어서, 상기 트래픽 데이터가 와치독 트래픽이면, 상기 단위 시간은 핑퐁 주기의 최소값보다 크고 핑퐁 주기의 최대값보다 작은 집단행동 악성코드 검색방법
9 9
제4항에 있어서, 상기 트래픽 데이터가 공격 트래픽이면, 상기 단위 시간은 상기 공격 트래픽이 따르는 분포를 기반으로 결정되는 집단행동 악성코드 검색방법
10 10
제1항 내지 제3항 중 어느 한 항에 있어서, 상기 유사도는 상기 복수의 호스트 그룹 중 제1 그룹과 제2 그룹에 동시에 속한 호스트의 개수를 상기 제1 그룹에 속한 호스트의 개수로 나눈 값과 상기 제1 그룹과 상기 제2 그룹에 동시에 속한 호스트의 개수를 상기 제2 그룹에 속한 호스트의 개수로 나눈 값의 합을 2로 나눈 값이고상기 제1 그룹과 상기 제2 그룹은 동일한 행위대상에 대한 동일한 그룹행위를 한 그룹인 집단행동 악성코드 검색방법
11 11
제10항에 있어서, 상기 유사도가 미리 결정된 유사도 임계값을 넘으면 상기 제1 그룹 또는 상기 제2 그룹에 속한 호스트들을 집단행동 악성코드에 감염된 호스트들로 판단하는 단계를 더 포함하는 집단행동 악성코드 검색방법
12 12
제11항에 있어서, 상기 유사도가 상기 유사도 임계값과 유사도 오차범위 한계 값의 차보다 크고 상기 유사도 임계값보다 작으면 상기 제1 그룹 또는 상기 제2 그룹에 속한 호스트들을 의심이 되는 그룹으로 판단하는 단계; 및 상기 제1 그룹과 상기 제2 그룹의 동일한 행위대상을 블랙리스트에 추가하는 단계를 더 포함하는 집단행동 악성코드 검색방법
13 13
제12항에 있어서상기 복수의 호스트 그룹을 작성하는 단계는 상기 블랙리스트를 이용하는 집단행동 악성코드 검색방법
14 14
검색 대상 네트워크 상에서 송수신되는 트래픽 데이터를 수집하는 제1 수단;상기 제1 수단이 수집한 트래픽 데이터를 검토하여, 단위 시간당 서로 다른 호스트들이 소정의 트래픽 데이터에 대하여 동일하게 수행한 그룹행위 및 상기 트래픽 데이터를 구성하는 정보 중에서 그룹 행위가 이루어진 정보인 행위대상을 기준으로 복수의 호스트 그룹을 작성하는 제2 수단; 및상기 복수의 호스트 그룹 중에서 제1 그룹과 제2 그룹에 각각 속한 호스트들이 얼마나 일치하는지를 나타내는 유사도를 측정하여 상기 유사도를 이용하여 집단행동 악성코드를 찾는 제3 수단을 포함하고, 상기 제1 그룹과 상기 제2 그룹은 동일한 행위대상에 대하여 동일한 그룹행위를 한 그룹이며,상기 그룹 행위는 호스트 스캐닝, 포트 스캐닝, 웜 코드 전파, 봇 코드를 다운로드하는 행위, DNS(domain name server) 룩업과정에서 DNS에 질의를 하는 행위, C0026#C(Command and Control,) 채널에 합류한 호스트들이 자신의 채널 접속 상태를 알리기 위해 IRC((Internet Relay Chat)가 사용하는 핑(Ping)과 퐁(Pong) 메시지를 주기적으로 주고 받는 행위, 분산 서비스 거부(Distributed denial of service) 공격, 스패밍(spamming) 중 하나이고,상기 트래픽 데이터가 DNS 트래픽인 경우, 상기 행위 대상은 DNS 쿼리의 도메인 네임이며,상기 트래픽 데이터가 공격 트래픽인 경우, 상기 행위 대상은 트래픽 데이터의 도착지의 IP(internet protocol) 주소지이며,상기 트래픽 데이터가 공격 트래픽인 경우인 경우, 상기 행위 대상은 트래픽 데이터의 도착지의 IP 주소지이며,상기 트래픽 데이터가 명령 및 제어 트래픽인 경우, 상기 행위 대상은 트랙픽 데이터의 출발지 IP 주소인,집단행동 악성코드 검색장치
15 15
제14항에 있어서, 상기 호스트 그룹은 단위 시간 동안 동일한 행위대상에 대해 동일한 그룹행위를 한 임계값 이상의 호스트의 모임인 집단행동 악성코드 검색장치
16 16
제15항에 있어서, 상기 유사도는 상기 제1 그룹과 상기 제2 그룹에 동시에 속한 호스트의 개수를 상기 제1 그룹에 속한 호스트의 개수로 나눈 값과 상기 제1 그룹과 상기 제2 그룹에 동시에 속한 호스트의 개수를 상기 제2 그룹에 속한 호스트의 개수로 나눈 값의 합을 2로 나눈 값인 집단행동 악성코드 검색장치
17 17
제16항에 있어서상기 제3 수단은 상기 유사도가 미리 정해진 유사도 임계값을 넘으면 상기 제1 그룹 또는 상기 제2 그룹에 속한 호스트들을 집단행동 악성코드에 감염된 호스트로 판단하는 집단행동 악성코드 검색장치
지정국 정보가 없습니다
순번, 패밀리번호, 국가코드, 국가명, 종류의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 패밀리정보 - 패밀리정보 표입니다.
순번 패밀리번호 국가코드 국가명 종류
1 KR1020100084488 KR 대한민국 FAMILY

DOCDB 패밀리 정보

순번, 패밀리번호, 국가코드, 국가명, 종류의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 패밀리정보 - DOCDB 패밀리 정보 표입니다.
순번 패밀리번호 국가코드 국가명 종류
DOCDB 패밀리 정보가 없습니다
국가 R&D 정보가 없습니다.