명세서청구범위청구항 1 문서에포함된악성공격코드를탐지하는시스템에있어서, 상기악성공격코드를탐지하는프로그램이저장된메모리, 기수집된악성공격코드에기초하여분류된행위시그너처가저장된데이터베이스및상기프로그램을실행시키는프로세서를포함하되, 상기프로세서는상기악성공격코드를탐지하는프로그램이실행

Similar documents

특허청구의 범위 청구항 1 복수개의 프리캐스트 콘크리트 부재(1)를 서로 결합하여 연속화시키는 구조로서, 삽입공이 형성되어 있고 상기 삽입공 내면에는 나사부가 형성되어 있는 너트형 고정부재(10)가, 상기 프리캐스 트 콘크리트 부재(1) 내에 내장되도록 배치되는 내부

이발명을지원한국가연구개발사업 과제고유번호 부처명 미래창조부 연구관리전문기관 한국산업기술평가관리원 연구사업명 산업융합원천기술개발 연구과제명 단일노드 48TB 이상을지원하는개방형하둡스토리지어플라이언스 (Hadoop Storage Appliance) 개발 기

알람음을 출력하는 이동통신 단말기에 있어서, 실시간 알람음을 출력하는 음향 출력 수단; 디지털 멀티미디어 방송(DMB: Digital Multimedia Broadcasting, 이하 'DMB'라 칭함) 신호를 수신하면 오디오 형태로 변 환하여 DMB의 음향을 전달하는

비휘발성메모리의맵핑정보, 및상기맵핑정보가저장된시점에서할당된제 1 물리블록주소를상기비휘발성메모리에저장하는맵핑정보저장모듈 ; 상기제 1 물리블록주소로부터현재할당된제 2 물리블록주소까지스캔을수행하는스캔모듈 ; 및 상기스캔결과에따라상기제 1 물리블록주소및상기제 2 물리블록주소

특허청구의 범위 청구항 1 디바이스가 어플리케이션을 실행하는 방법에 있어서, 상기 디바이스에 연결된 제1 외부 디바이스와 함께 상기 어플리케이션을 실행하는 단계; 상기 어플리케이션의 실행 중에 제2 외부 디바이스를 통신 연결하는 단계; 및 상기 제1 외부 디바이스 및

특허청구의 범위 청구항 1 삭제 청구항 2 단일 개의 운영체제를 갖는 클라이언트 단말에 있어서, 제1 운영체제와, 상기 제1 운영체제 하에서 사용되는 파일을 저장하는 메모리; 및 상기 메모리에 저장된 파일을 운영체제 제공장치로 전송하고 상기 메모리를 포맷하며, 상기 운

특허청구의범위청구항 1 복수의영상검출부로부터출력되는영상의히스토그램 (histogram) 을계산하는단계 ; 상기복수의영상검출부로부터출력되는영상을히스토그램평활화 (histogram equalization) 하는단계 ; 상기복수의영상검출부중하나의영상검출부를선택하는단계 ; 및

(52) CPC 특허분류 G06F 21/31 ( ) H04M 1/72519 ( ) (72) 발명자 박희정 경기도성남시분당구서판교로 29, 911 동 1401 호 ( 판교동, 판교원마을한림풀에버아파트 ) 여상직 경기용인시수지구대지로 27, 103 동

(72) 발명자 신일훈 경기 수원시 영통구 영통동 황골마을1단지아파트 151동 702호 나세욱 서울 용산구 용산동2가 18-5 김효준 경기 용인시 기흥구 상갈동 금화마을주공아파트 407동 1204호 윤송호 경기 용인시 수지구 풍덕천2동 삼성5차아파트 신동

이 발명을 지원한 국가연구개발사업 과제고유번호 A 부처명 지식경제부 연구관리전문기관 연구사업명 IT핵심기술개발 연구과제명 융합형 포털서비스를 위한 이용자 참여형 방송기술개발 기여율 주관기관 전자부품연구원 연구기간 2008년 03월 01일 ~ 2

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

*2008년1월호진짜

많이 이용하는 라면,햄버그,과자,탄산음료등은 무서운 병을 유발하고 비만의 원인 식품 이다. 8,등겨에 흘려 보낸 영양을 되 찾을 수 있다. 도정과정에서 등겨에 흘려 보낸 영양 많은 쌀눈과 쌀껍질의 영양을 등겨를 물에 우러나게하여 장시간 물에 담가 두어 영양을 되 찾는다

(52) CPC 특허분류 G06F 11/1016 ( ) G06F 12/0246 ( ) G06F 12/0253 ( ) 이발명을지원한국가연구개발사업 과제고유번호 부처명 연구관리전문기관 연구사업명 연구과제명 교육부 기여율


< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

Microsoft PowerPoint - chap01-C언어개요.pptx

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

도 1 명세서 도면의 간단한 설명 도 1은 본 발명의 일실시예에 따른 비접촉 USB 리더기의 블럭도를 나타낸다. 도 2는 도 1의 비접촉 USB 리더기를 이용한 인프라 구축 시스템의 개략도를 나타낸다. 도 3은 도 1의 비접촉 USB 리더기를 이용한 이용 방법에 대한

Microsoft PowerPoint - 권장 사양

서 인코딩한 데이터를 무선으로 송신하기 위한 무선 송신 수단; 및 통화중 상기 입력 수단으로부터의 음원 데이터 전송신 호에 따라 상기 저장 수단에 저장되어 있는 해당 음원 데이터를 상기 디코딩 수단에 의해 디코딩하고, 상기 디코딩한 음원 데이터와 상기 입력 수단을 통해

본 발명은 중공코어 프리캐스트 슬래브 및 그 시공방법에 관한 것으로, 자세하게는 중공코어로 형성된 프리캐스트 슬래브 에 온돌을 일체로 구성한 슬래브 구조 및 그 시공방법에 관한 것이다. 이를 위한 온돌 일체형 중공코어 프리캐스트 슬래브는, 공장에서 제작되는 중공코어 프

이 발명을 지원한 국가연구개발사업 과제고유번호 부처명 교육과학기술부 연구사업명 기초사업연구-일반연구자지원사업-기본연구지원사업(유형II) 연구과제명 시공간 부호 협력 통신을 위한 동기 알고리즘 연구 기 여 율 1/1 주관기관 서울시립대학교 산학협력단

Microsoft PowerPoint - 30.ppt [호환 모드]

한것으로스마트단말기에의하여드론조종앱을설치하는제 1 단계 ; 스마트단말기에의하여드론의불루투스통 신부에부여된고유식별번호를입력저장하고드론의불루투스를인식하며드론의블루투스통신부로부터회신되 는신호의수신레벨을분석하여최대통신거리를확인하여저장하는제 2 단계 ; 스마트단말기에의하여최대통

(52) CPC 특허분류 B01D 53/62 ( ) Y02C 10/10 ( ) (72) 발명자 이정현 대전광역시서구대덕대로 246 넥서스밸리 B 동 1417 호 박영철 대전광역시유성구반석동로 33 반석마을 5 단지아파트 505 동 201 호 이발명

이발명을지원한국가연구개발사업 과제고유번호 부처명 미래창조과학부 연구관리전문기관 정보통신산업진흥원 연구사업명 대학ICT연구센터지원육성사업 연구과제명 산업기밀정보유출방지를위한융합보안 SW연구및전문인력양성 기여율 1/1 주관기관 중앙대학교산학협력단 연구기

` 동향보고서 1. 악성코드은닉동향요약 3 2. 홈페이지은닉형악성코드통계 악성코드유포지현황 6 - 유포지탐지현황 6 - 대량경유지가탐지된유포지 TOP 악성코드취약점및취약한 S/W 악용현황 8 - 악성코드유형별비율 9 - 위협 IP 및도메인현황 10

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

상기 DVD 플레이어는 거의 거치형(톱니형)으로 개발되어 텔레비젼, AC3 앰프 및 6개의 스피커 또는 단순 히 스테레오 시스템 등에 연결되어 영화 재생용으로만 특징지워지고, 반면에 상기 DVD-롬 드라이브는 컴 퓨터에 장착되어 소정의 인터페이스 방식을 통해 컴퓨터 테

(72) 발명자 이동희 서울 동작구 여의대방로44길 10, 101동 802호 (대 방동, 대림아파트) 노삼혁 서울 중구 정동길 21-31, B동 404호 (정동, 정동상 림원) 이 발명을 지원한 국가연구개발사업 과제고유번호 부처명 교육과학기술부

청구항 1. 주저장매체 ; 상기주저장매체의캐쉬로사용되며, 데이터의고정여부에따라고정영역및비고정영역을포함하는비휘발성메모리 ; 및 상기비휘발성메모리에할당되는블록을관리하는블록관리부를포함하는비휘발성메모리가캐쉬로사용되는저장장치. 청구항 2. 제 1 항에있어서, 상기블록관리부는,

특허청구의 범위 청구항 1 제1 내지 제6 암이 각각의 관절부를 가지며 형성되며, 상기 제1 내지 제6 암 각각은 제1 내지 제6 링크에 의해 링크되고, 상기 제1 내지 제6 암 내부에는 각각의 암을 구동하는 구동모듈이 각각 내장되며, 상기 구동모듈 각각의 선단에는 1

(72) 발명자 서진교 경기 용인시 수지구 풍덕천2동 1167 진산마을 삼성5차아파트526동 1004호 조필제 경기 용인시 풍덕천동 유스빌 401호 - 2 -

Secure Programming Lecture1 : Introduction


목 차 1. 개 요 배경 요약 정보 대상시스템 원리 공격 기법 및 기본 개념 Heap Spray Font 공 격..

공개특허 (51) Int. Cl. G06F 12/08 ( ) (19) 대한민국특허청 (KR) (12) 공개특허공보 (A) (11) 공개번호 (43) 공개일자 년 07 월 02 일 (21) 출원

DBMS & SQL Server Installation Database Laboratory

Microsoft Word - src.doc

특허청구의범위청구항 1 영상제공서버에서의실시간으로영상을제공하는방법에있어서, 클라이언트로부터매장의종류를포함하는검색어를수신하는단계 ; 수신된검색어에기초하여특정지역내에서상기매장의종류에해당하는적어도하나의매장을검색하고검색결과를상기클라이언트에전송하는단계 ; 상기클라이언트로부터발생

Microsoft PowerPoint - CSharp-10-예외처리

이발명을지원한국가연구개발사업 과제고유번호 NRF-2012R1A1A4A 부처명 교육과학기술부 연구관리전문기관 한국연구재단 연구사업명 지역대학우수과학자지원사업 연구과제명 저주파신호와바이스태틱레이다를동시에이용한스텔스형표적의인식에관한연구 기여율 1/1 주관기관

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

윈도우시스템프로그래밍

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

A Dynamic Grid Services Deployment Mechanism for On-Demand Resource Provisioning

월간악성코드은닉사이트탐지 동향보고서 4 월 침해사고대응단인터넷침해대응본부

C++ Programming

청구항 1. 소정데이터를저장하는비휘발성메모리 ; 상기비휘발성메모리를구비한휴대용장치의전원상태를체크하는전원상태체크부 ; 및 상기체크된전원상태를기초로상기비휘발성메모리에할당된물리블록을회수하는블록회수부를포함하는전원상태에따라비휘발성메모리의블록회수를수행하는장치. 청구항 2. 제 1

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

Microsoft PowerPoint - C프로그래밍-chap03.ppt [호환 모드]

Microsoft Word - Static analysis of Shellcode.doc

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

Cloud Friendly System Architecture

월간악성코드은닉사이트탐지 동향보고서 9 월 침해대응단사이버침해대응본부

(72) 발명자 김도규 서울특별시성북구장위 3 동 박준일 서울특별시강서구등촌동 서광아파트 103 동 803 호 유형규 경기도광명시광명 4 동한진아파트 101 동 1801 호 - 2 -

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

정보보안 개론과 실습:네트워크

Computer Architecture

PowerPoint 프레젠테이션

대 표 도 - 2 -

API 매뉴얼

Deok9_Exploit Technique

(72) 발명자 최종무 경기도 용인시 수지구 죽전동 단국대학교 컴퓨터학 과 김은삼 서울시 마포구 상수동 72-1 홍익대학교 컴퓨터공학 과 T동708호 현철승 서울시 동대문구 전농동 90 서울시립대학교 공과대 학 컴퓨터과학부 오용석 경기도 과천시 과천동

歯15-ROMPLD.PDF

리눅스 취약점대응방안권고 / KISA 취약점점검팀 영향받는플랫폼 OS, FAQ 추가 개요 미국보안회사 에의해 시스템의 라이브러리 의특정함수에서임의코드를실행할수있는취약점이공개 해당취약점은 CVE 지정, 도메인네임을

JVM 메모리구조

iii. Design Tab 을 Click 하여 WindowBuilder 가자동으로생성한 GUI 프로그래밍환경을확인한다.

** 5 개이발생한주요소프트웨어별취약점세 EDB 번호취약점종류공격난이도공격위험도취약점이름소프트웨어이름

gnu-lee-oop-kor-lec06-3-chap7

특허청구의범위청구항 1 선박의안티재머 (Anti-Jammer) 위성항법시스템으로서, GPS 신호및 DGPS 신호를자함의 INS(Intertial Navigation System) 신호와비교하여기준오차범위초과시수신되는 GPS 신호와 DGPS 신호를재밍 (Jamming)

untitled

Microsoft PowerPoint - ch07.ppt

ADP-2480

공개 SW 기술지원센터

특허청구의범위청구항 1 물을여과하는필터부 ; 상기필터부에물을유동시키는정수관 ; 상기정수관에설치되고, 상기정수관의수류를이용하여전기를발생시키는발전모듈 ; 및상기정수관에배치되고, 상기발전모듈에서발생된전기가공급되고, 상기정수관을따라유동되는정수를전기분해하여살균하는살균모듈 ; 을

게시판 스팸 실시간 차단 시스템

(72) 발명자 오승용 경기도안산시상록구오목로 11 길 45, 202 호 ( 본오동 ) 박영욱 경기도수원시권선구당진로 31 번길 16, 한라비발디 202 동 1201 호 ( 당수동 ) 고대화 경기도수원시권선구금호로 189 번길 82-12, 202 호 ( 구운동 ) 김준

슬라이드 1

Microsoft PowerPoint - 알고리즘_1주차_2차시.pptx

특허청구의 범위 청구항 1 소스 컴퓨팅 디바이스로부터 복수의 컴퓨팅 디바이스들 중 적어도 하나의 컴퓨팅 디바이스로의 무선 액세스 포 인트를 통한 데이터 송신들에 대한 (i) 현재 데이터 레이트 및 (ii) 최고 데이터 레이트를 구축하는 단계; 상기 복수의 컴퓨팅 디바이

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

PowerPoint Presentation

이발명을지원한국가연구개발사업 과제고유번호 No 부처명 한국연구재단 연구관리전문기관 - 연구사업명 일반연구자지원사업 연구과제명 유무선통합환경에서의안전한클라우드데이터센터구축을위한지능형보안관제기술개 발 기여율 1/1 주관기관 순천향대학교산학협력단 연구기

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

<BBEABEF7B5BFC7E22DA5B12E687770>

PowerPoint 프레젠테이션

C# Programming Guide - Types

실용신안 등록청구의 범위 청구항 1 톤백마대가 설치될 수 있도록 일정간격을 두고 설치되는 한 쌍의 지지프레임과, 상기 지지프레임과 지지프레임의 상부를 서로 연결하는 한 쌍의 연결프레임과, 상기 연결프레임의 상부에 일정간격을 두고 다수 설치되어 상기 톤백마대와 그 투입구

등록특허 (51) Int. Cl. G06F 12/00 ( ) (19) 대한민국특허청 (KR) (12) 등록특허공보 (B1) (45) 공고일자 (11) 등록번호 (24) 등록일자 2007 년 04 월 12 일 년

3. CS4SMB-IT-2014-June-01.hwp

Microsoft PowerPoint - 00_(C_Programming)_(Korean)_Computer_Systems

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

(72) 발명자 정유석 경기도 안양시 동안구 안양천동로 162, 103동 403 호 (비산동, 비산현대힐스테이트아파트) 마은경 경기도 수원시 영통구 효원로 363, 131동 2004호 (매탄동, 매탄위브하늘채아파트) 조용연 서울특별시 관악구 관악로24나길 13 (봉천동

특허청구의 범위 청구항 1 고유한 USB-ID를 가지며, 강제 포맷이나 프로그램 삭제가 불가능한 CD영역과 데이터의 읽기, 쓰기가 가능한 일 반영역으로 분할되어 있고 상기 CD영역에 임산부 도우미 프로그램이 임산부 PC(200)에 연결되면 자동 설치 및 실행되게 탑재된

Transcription:

(19) 대한민국특허청 (KR) (12) 등록특허공보 (B1) (51) 국제특허분류 (Int. Cl.) G06F 21/56 (2013.01) G06F 21/60 (2013.01) (21) 출원번호 10-2014-0182578 (22) 출원일자 2014 년 12 월 17 일 심사청구일자 2014 년 12 월 17 일 (65) 공개번호 10-2016-0073801 (43) 공개일자 2016 년 06 월 27 일 (56) 선행기술조사문헌 KR1020060067117 A* KR1020130071617 A* * 는심사관에의하여인용된문헌 (45) 공고일자 2016년07월20일 (11) 등록번호 10-1641295 (24) 등록일자 2016년07월14일 (73) 특허권자 고려대학교산학협력단 주식회사한글과컴퓨터 주식회사한컴시큐어 (72) 발명자 이희조 권종훈 김종민 (74) 대리인 특허법인엠에이피에스전체청구항수 : 총 7 항심사관 : 구본재 (54) 발명의명칭문서에포함된악성공격코드탐지시스템및방법 (57) 요약 본발명의일실시예에따른문서에포함된악성공격코드를탐지하는시스템은악성공격코드를탐지하는프로그램이저장된메모리, 기수집된악성공격코드에기초하여분류된행위시그너처가저장된데이터베이스및프로그램을실행시키는프로세서를포함하되, 프로세서는상기악성공격코드를탐지하는프로그램이실행됨에따라, 문서를파싱하고, 파싱된문서의구조적특징에기초하여악성공격코드를추출하며, 추출된악성공격코드에기초하여행위시그너처를추출하고, 데이터베이스에저장된행위시그너처와문서에서추출된행위시그너처가매칭되는경우, 악성공격코드가공격행위를하는것으로탐지한다. 대표도 - 도 1-1 -

명세서청구범위청구항 1 문서에포함된악성공격코드를탐지하는시스템에있어서, 상기악성공격코드를탐지하는프로그램이저장된메모리, 기수집된악성공격코드에기초하여분류된행위시그너처가저장된데이터베이스및상기프로그램을실행시키는프로세서를포함하되, 상기프로세서는상기악성공격코드를탐지하는프로그램이실행됨에따라, 상기문서를파싱하고, 상기파싱된문서의구조적특징에기초하여악성공격코드를추출하며, 상기추출된악성공격코드에기초하여행위시그너처를추출하고, 상기데이터베이스에저장된행위시그너처와상기문서에서추출된행위시그너처가매칭되는경우, 상기악성공격코드가공격행위를하는것으로탐지하며, 상기데이터베이스에저장된행위시그너처와상기문서에서추출된행위시그너처가매칭되지않는경우, 상기데이터베이스에상기문서에서추출된행위시그너처를업데이트하는것인악성공격코드탐지시스템. 청구항 2 제 1 항에있어서, 상기구조적특징은상기파싱된문서에서악성공격코드가저장될수있는구조체및상기악성공격코드의크기를포함하는악성공격코드탐지시스템. 청구항 3 제 1 항에있어서, 상기프로세서는상기파싱된문서의구조적특징을이용하여탐색범위를줄이고, 상기탐색범위에서악성공격코드로의심되는부분을찾아바이너리코드화를수행한이후에상기악성공격코드를추출하는악성공격코드탐지시스템. 청구항 4 제 1 항에있어서, 상기악성공격코드는상기악성공격코드의공격방법을정의하는익스플로잇코드및상기악성공격코드의공격유형을정의하는쉘코드를포함하되, 상기프로세서는상기익스플로잇코드및상기쉘코드에기초하여상기악성공격코드의행위시그너처를분류하는악성공격코드탐지시스템. 청구항 5 삭제청구항 6 문서에대한악성공격코드탐지방법에있어서, 데이터베이스에기수집된악성공격코드에기초하여추출된행위정보를저장하는단계 ; 상기문서에서악성공격코드를추출하는단계 ; - 2 -

상기악성공격코드에기초하여행위시그너처를추출하는단계 ; 상기데이터베이스에저장된행위시그너처와상기문서에서추출된행위시그너처를매칭하는단계 ; 상기매칭하는단계를통하여, 상기데이터베이스에저장된행위시그너처와상기문서에서추출된행위시그너처가매칭되면, 상기악성공격코드가공격행위를하는것으로탐지하는단계 ; 및상기데이터베이스에저장된행위시그너처와상기문서에서추출된행위시그너처가매칭되지않으면, 상기데이터베이스에상기문서에서추출된상기행위시그너처를업데이트하는단계를포함하는악성공격코드탐지방법. 청구항 7 제 6 항에있어서, 상기악성공격코드를추출하는단계는, 상기문서를파싱하는단계 ; 및상기파싱된문서의구조적특징에기초하여악성공격코드를추출하는단계를포함하되, 상기구조적특징은상기파싱된문서에서악성공격코드가저장될수있는구조체및상기악성공격코드의크기를포함하는악성공격코드탐지방법. 청구항 8 제 6 항에있어서, 상기악성공격코드는상기악성공격코드의위치및공격방법을정의하는익스플로잇코드및상기악성공격코드의공격유형을정의하는쉘코드를포함하되, 상기악성공격코드에포함된상기익스플로잇코드및상기쉘코드에기초하여상기악성공격코드의행위시그너처를분류하는악성공격코드탐지방법. 청구항 9 삭제 발명의설명 [0001] 기술분야 본발명은문서에포함된악성공격코드탐지시스템및방법에관한것이다. [0002] [0003] [0004] [0005] 배경기술오피스응용프로그램 (office application) 은워드프로세서 (word processor), 스프레드시트 (spread sheet), 데이터베이스 (database), 프리젠테이션 (presentation) 등의응용소프트웨어의모음이다. 예를들어, " 한글과컴퓨터 " 사의 " 한컴오피스 ", " 마이크로소프트 (Microsoft)" 사의 " 마이크로소프트오피스 (Microsoft office)", "Apple" 사의 "Works" 및 "Apache" 사의 " 아파치오픈오피스 (Apache Open Office)" 등이있다. 최근에는이러한오피스응용프로그램에의해생성된문서파일에악성공격코드를삽입하고정상문서처럼위장하여실행을유도하는해킹공격방법이전세계적으로늘어나고있다. 특히오피스응용프로그램파일은개인뿐아니라기업, 관공서및군부대등에서널리사용하고있어그위험성이커지고있다. 그러므로오피스응용프로그램을사용하는사용자들에게안전한오피스환경을보장하기위한보안대응이필요하다. 오피스응용프로그램에삽입된악성공격코드를탐지하는기술에대한종래발명은다음과같다. 한국공개특허공보제10-2012-0130626호 ( 발명의명칭 : " 발명의명칭문서기반악성코드탐지장치및방법 ") 는가상머신에서행위분석프로그램을이용하여문서의행위분석결과를검출하고, 검출된결과를이용하여악성공격코드 - 3 -

를판단하는문서기반악성탐지장치및방법을개시하고있다. [0006] 또한, 한국공개특허공보제 10-2013-0078960 호 ( 발명의명칭 : " 오피스프로그램의취약점을이용한악성공격코 드의행위기반진단및차단방법 ") 는오피스프로그램의취약점을이용하여문서에삽입된악성공격코드의행 위기반의진단및차단을하는방법을개시하고있다. 발명의내용 [0007] [0008] 해결하려는과제본발명은전술한종래기술의문제점을해결하기위한것으로서, 본실시예는문서에포함된악성공격코드를추출하고공격행위를탐지하는시스템및방법을제공하는데그목적이있다. 다만, 본실시예가이루고자하는기술적과제는상기된바와같은기술적과제로한정되지않으며, 또다른기술적과제들이존재할수있다. [0009] [0010] 과제의해결수단상술한기술적과제를달성하기위한기술적수단으로서, 본발명의일실시예에따른문서에포함된악성공격코드를탐지하는시스템은악성공격코드를탐지하는프로그램이저장된메모리, 기수집된악성공격코드에기초하여분류된행위시그너처가저장된데이터베이스및프로그램을실행시키는프로세서를포함하되, 프로세서는상기악성공격코드를탐지하는프로그램이실행됨에따라, 문서를파싱하고, 파싱된문서의구조적특징에기초하여악성공격코드를추출하며, 추출된악성공격코드에기초하여행위시그너처를추출하고, 데이터베이스에저장된행위시그너처와문서에서추출된행위시그너처가매칭되는경우, 악성공격코드가공격행위를하는것으로탐지한다. 또한, 본발명의일실시예에따른문서에대한악성공격코드탐지방법은데이터베이스에기수집된악성공격코드에기초하여추출된행위정보를저장하는단계 ; 문서에서악성공격코드를추출하는단계 ; 악성공격코드에기초하여행위시그너처를추출하는단계 ; 및상기데이터베이스에저장된행위시그너처와상기문서에서추출된행위시그너처를매칭하여상기악성공격코드가공격행위를하는것으로탐지하는단계를포함한다. [0011] [0012] 발명의효과전술한과제해결수단중어느하나에의하면, 본발명의일실시예는다수의악성공격코드에기초하여생성된적은수의행위시그너처만을이용하여악성공격코드의공격행위를탐지할수있으므로악성공격코드를탐지하는데소요되는시간및자원을대폭감소시킬수있다. 또한, 행위시그너처를이용하므로향후발생할수있는유사행위를수행하는변종악성공격코드를사전에탐지하고공격을예방할수있다. 즉, 적은시간과자원을이용하여문서에포함된다양한변종의악성공격코드를사전에탐지하므로사용자의개인컴퓨터의악성공격코드의감염을예방할수있고문서에대한안정성및신뢰성을증대시킬수있다. [0013] 도면의간단한설명 도 1 은본발명의일실시예에따른문서에포함된악성공격코드탐지시스템을개략적으로도시한구성도이 다. 도 2는본발명의일실시예에따른문서에포함된악성공격코드를개략적으로도시한블록도이다. 도 3은본발명의일실시예에따른문서에포함된악성공격코드탐지시스템의악성공격코드를탐지하는프로그램을개략적으로도시한구성도이다. 도 4는본발명의일실시예에따른문서에대한악성공격코드탐지방법을설명하기위한순서도이다. 도 5는본발명의일실시예에따른문서에대한악성공격코드탐지방법에서악성공격코드추출방법을설명하기위한순서도이다. [0014] 발명을실시하기위한구체적인내용 아래에서는첨부한도면을참조하여본발명이속하는기술분야에서통상의지식을가진자가용이하게실시할 - 4 -

수있도록본발명의실시예를상세히설명한다. 그러나본발명은여러가지상이한형태로구현될수있으며 여기에서설명하는실시예에한정되지않는다. 그리고도면에서본발명을명확하게설명하기위해서설명과 관계없는부분은생략하였다. [0015] [0016] [0017] [0018] [0019] [0020] [0021] [0022] [0023] [0024] [0025] [0026] [0027] 명세서전체에서, 어떤부분이다른부분과 " 연결 " 되어있다고할때, 이는 " 직접적으로연결 " 되어있는경우뿐아니라, 그중간에다른소자를사이에두고 " 전기적으로연결 " 되어있는경우도포함한다. 또한, 어떤부분이어떤구성요소를 " 포함 " 한다고할때, 이는특별히반대되는기재가없는한다른구성요소를제외하는것이아니라다른구성요소를더포함할수있는것을의미한다. 이하에서는도 1 내지도 3을참조하여본발명의일실시예에따른문서 (200) 에포함된악성공격코드탐지시스템 (100) 을설명하도록한다. 도 1은본발명의일실시예에따른문서 (200) 에포함된악성공격코드탐지시스템 (100) 을개략적으로도시한구성도이다. 악성공격코드탐지시스템 (100) 은문서 (200) 내에서추출한행위시그너처를이용하여악성공격코드를탐지하고악성공격코드의행위정보를제공한다. 이때, 악성공격코드탐지시스템 (100) 은기존의오피스프로그램과연동하거나, 독립적인형태 (stand only) 로실행될수있다. 예를들어, 기존의오피스프로그램과연동한악성공격코드탐지시스템 (100) 은사용자가오피스프로그램을이용하여문서 (200) 를편집하기위하여오피스프로그램을실행하고문서 (200) 를로드할때, 악성공격코드탐지를수행할수있다. 이때, 문서 (200) 에악성공격코드가포함된경우, 오피스프로그램의실행을중단하고사용자에게악성공격코드의행위정보및위험성을통보할수있다. 그리고악성공격코드탐지시스템 (100) 은메일서버 (mail server) 및사용자의메일시스템 (mail system) 과연동되어메일에첨부된문서 (200) 파일을대상으로악성공격코드의유무를탐지할수있다. 만약메일에첨부된문서 (200) 파일에서악성공격코드가탐지되는경우, 사용자이나메일서버관리자에게악성공격코드를포함하는문서 (200) 파일에대한정보및해당문서 (200) 파일에포함된악성공격코드의행위정보를통보하고, 사전에차단할수있도록할수있다. 또한, 독립적인형태로실행되는악성공격코드탐지시스템 (100) 은사용자의컴퓨터내에포함된복수개의문서 (200) 파일을대상으로악성공격코드의유무를탐지하고사용자에게악성공격코드를포함하는문서 (200) 파일에대한정보및해당문서 (200) 파일에포함된악성공격코드의행위정보를통보할수있으나이에한정된것은아니다. 본발명의일실시예에따른악성공격코드탐지시스템 (100) 은메모리 (110), 데이터베이스 (120) 및프로세서 (130) 를포함한다. 이때, 메모리 (110) 에는악성공격코드를탐지하는프로그램 (150) 이저장된다. 여기에서메모리 (110) 는전원이공급되지않아도저장된정보를계속유지하는비휘발성저장장치를통칭하는것이다. 예를들어, 메모리 (110) 는콤팩트플래시 (compact flash; CF) 카드, SD(secure digital) 카드, 메모리스틱 (memory stick), 솔리드스테이트드라이브 (solid-state drive; SSD) 및마이크로 (micro) SD 카드등과같은낸드플래시메모리 (NAND flash memory), 하드디스크드라이브 (hard disk drive; HDD) 등과같은마그네틱컴퓨터기억장치및 CD-ROM, DVD-ROM 등과같은광학디스크드라이브 (optical disc drive) 등을포함할수있다. 또한, 메모리 (110) 에저장된악성공격코드를탐지하는프로그램은소프트웨어또는 FPGA(Field Programmable Gate Array) 또는 ASIC(Application Specific Integrated Circuit) 와같은하드웨어형태로구현될수있으며, 소정의역할들을수행할수있다. 그렇지만 ' 구성요소들 ' 은소프트웨어또는하드웨어에한정되는의미는아니며, 각구성요소는어드레싱할수있는저장매체에있도록구성될수도있고하나또는그이상의프로세서들을재생시키도록구성될수도있다. 따라서, 일예로서구성요소는소프트웨어구성요소들, 객체지향소프트웨어구성요소들, 클래스구성요소들및태스크구성요소들과같은구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램코드의세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터구조들, 테이블들, 어레이들및변수들을포함한다. 구성요소들과해당구성요소들안에서제공되는기능은더작은수의구성요소들로결합되거나추가적인구 - 5 -

성요소들로더분리될수있다. [0028] [0029] [0030] [0031] [0032] [0033] [0034] [0035] [0036] [0037] [0038] [0039] 데이터베이스 (120) 에는기수집된악성공격코드에기초하여분류된행위시그너처 (semantic signature) 가저장된다. 이때, 데이터베이스 (120) 는악성공격코드탐지시스템 (100) 에서버프로그램 (server program) 형태로실행되거나, 악성공격코드탐지시스템 (100) 과네트워크로연결된독립적인데이터베이스서버 (database server) 일수있다. 그리고데이터베이스 (120) 는캐쉬, ROM(Read Only Memory), PROM(Programmable ROM), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM) 및플래쉬메모리 (Flash memory) 와같은비휘발성메모리소자또는 RAM(Random Access Memory) 과같은휘발성메모리소자또는하드디스크드라이브 (HDD, Hard Disk Drive), CD-ROM과같은저장매체중적어도하나로구현될수있으나이에한정되지는않는다. 또한, 데이터베이스 (120) 에기수집된악성공격코드는알려진악성공격코드샘플이거나, 악성공격코드탐지시스템 (100) 을수행하며수집된악성공격코드일수있으나, 이에한정된것은아니다. 본발명의일실시예에따른프로세서 (130) 는메모리 (110) 에저장된악성공격코드를탐지하는프로그램 (150) 이실행됨에따라, 문서 (200) 를파싱하고, 파싱된문서 (200) 의구조적특징에기초하여악성공격코드를추출한다. 이때, 프로세서 (130) 는문서 (200) 를파싱하기위하여문서 (200) 의종류에따라복호화하고악성공격코드가의심되는파일내의오프셋 (offset) 을파악할수있다. 복호화방법은각각문서 (200) 의종류에따라상이할수있다. 예를들어, 입력되는문서 (200) 가 " 한글과컴퓨터 " 의 " 한글워드프로세서 " 를이용하여작성된 " 한글문서파일 "( 파일확장자 : "hwp") 의경우에는공개된한글워드프로세서포맷에기반하여복호화를수행할수있다. 또한, 입력되는문서 (200) 가 " 마이크로소프트오피스 " 를이용하여작성된 " 워드파일 "( 파일확장자 : "doc" 또는 "docx") 및 " 엑셀파일 "( 파일확장자 : "xls" 또는 "xlsx") 등의 " 마이크로소프트오피스문서파일 " 인경우에는 " 오피스 API(application programming interface)" 를이용하여복호화를수행할수있으나, 이에한정된것은아니다. 그리고프로세서 (130) 는악성공격코드가의심되는파일오프셋에기반하여악성공격코드가시작되는앵커포인터 (anchor point ) 를찾아바이너리코드화를수행한다. 이때, 바이너리코드화는프로그램이나파일의구조적인부분을분석하여바이너리코드나데이터를추출하는역공학 (reverse engineering) 을이용할수있다. 이때, 앵커포인터는악성공격코드에따라다양하게정의될수있다. 예를들어, 앵커포인터는 "0x0c", "0x0d" 와같은힙오버플로어 (heap overflow) 가가능한 1바이트 (byte) 기계어로구성될수있으며, "PUSH" 나 "NOP 코드 " 와같은명령어세트로구성될수있다. 이렇게문서 (200) 를파싱하고파싱된문서의구조적특징을이용하여탐색범위를줄인후에악성공격코드로의심되는부분을찾아바이너리코드화를거친후, 악성공격코드에기초하여행위시그너처를추출한다. 이때, 행위시그너처는악성공격코드의위치정보, 구조정보및행위정보등을포함할수있다. 위치정보는문서 (200) 내의악성공격코드가존재하는위치에대한정보이며, 구조정보는악성공격코드의구조적특징에대한정보일수있다. 그리고행위정보는문서 (200) 내의악성공격코드가포함하고있는악성행위정보이며, 이악성행위정보는악성공격코드가실행되었을때발생하는사용자컴퓨터의이벤트 (event) 일수있다. 예를들어, 위치정보는 " 헤더영역 ", " 본문영역 ", " 이미지 " 및 " 스크립트 " 등이될수있고, 구조정보는 " 일반적인구조 ", " 암호화루틴이포함된구조 " 및 " 체인형태로실행되는구조 " 등이될수있다. 그리고행위정보는 " 파일실행 ", " 라이브러리호출 " 및 " 레지스트리접근 " 등이될수있다. 행위시그너처는위치정보, 구조정보및행위정보를코드화하여표현 (representation) 할수있다. 예를들어, 위치정보는 " 헤더영역 " 의코드를 1, " 본문영역 " 의코드를 2로설정될수있다. 또한, 구조정보는 " 알수없음 " 의코드를 0, " 일반적인구조 " 의코드를 1, " 암호화루틴이포함된구조 " 의코드를 2로설정할수있다. 그리고행위정보는 " 알수없음 " 의코드를 0, " 파일실행 " 의코드를 1로설정할수있다. 이때, 행위시그너처는위치정보, 구조정보및행위정보코드에기초하여 3자리의코드를생성할수있다. 그러므로위치정보가 " 본문영역 ", 구조정보가 " 일반적인구조 " 이며, 행위정보가 " 파일실행 " 인악성공격코드의행위시그너처는 "211" 과같이코드화되어표현될수있다. 또한, 위치정보가 " 헤더영역 ", 구조정 - 6 -

보가 " 암호화루틴이포함된구조 " 이며, 행위정보가 " 알수없음 " 인악성공격코드의행위시그너처는 "120" 과같이코드화되어표현될수있다. [0040] [0041] [0042] [0043] [0044] [0045] [0046] [0047] [0048] [0049] [0050] [0051] [0052] [0053] 한편, 프로세서 (130) 는행위시그너처를추출한다음, 데이터베이스 (120) 에저장된행위시그너처와문서 (200) 에서추출된행위시그너처의매칭여부를판단한다. 이때, 프로세서 (130) 은데이터베이스 (120) 에저장된행위시그너처와문서 (200) 에서추출된행위시그너처가매칭되는경우, 문서 (200) 에포함된악성공격코드가공격행위를하는것으로탐지한다. 한편, 파싱된문서 (200) 에서악성공격코드를추출하기위하여사용되는구조적특징은파싱된문서 (200) 에서악성공격코드가저장될수있는구조체및악성공격코드의크기를포함할수있다. 이때, 악성공격코드가저장될수있는구조체는문서의포맷 (format) 에따른스트림 (stream) 구조체를의미하며, 태그 (tag) 등을포함할수있다. 예를들어, 구조체는문서의내용, 문서의형식및문장의형태등을포함할수있다. 그러므로프로세서 (130) 는파싱된문서 (200) 에서특정한구조체의길이가악성공격코드를구성하는최소크기이상인지판별한후, 악성공격코드의최소길이이상인경우, 의심구조체로분류할수있다. 의심구조체로분류한다음프로세서 (130) 은특정한구조체를악성공격코드탐색영역에포함되는것으로탐색할수있다. 또한, 프로세서 (130) 는역어셈블 (disassemble) 에기반하여파싱된문서 (200) 에서악성공격코드가시작되는것으로의심되는앵커포인터를찾고어셈블리어로변환하여바이너리코드화를수행할수있다. 역어셈블은역공학방법의하나로실행파일이나문서파일을어셈블리어 (assembly language) 로변환하는것이다. 그리고프로세서 (130) 는어셈블리어로변환된문서 (200) 에포함된명령어 (instruction) 및인자 (operand) 등의구조적특징에기초하여악성공격코드를추출할수있다. 도 2는본발명의일실시예에따른악성공격코드를개략적으로도시한블록도이다. 도 2를참조하면, 문서 (200) 에서추출되는악성공격코드는악성공격코드의공격방법을정의하는익스플로잇코드 (exploit code) 및악성공격코드의공격유형을정의하는쉘코드 (shell code) 를포함할수있다. 그러므로프로세서 (130) 는문서 (200) 에서추출되는악성공격코드의익스플로잇코드및쉘코드에기초하여악성공격코드의행위시그너처를분류할수있다. 예를들어, 프로세서 (130) 는악성공격코드의익스플로잇코드및쉘코드를분석하여공격행위를추출하여행위시그너처를분류할수있다. 한편, 문서 (200) 에서추출된악성공격코드의행위시그너처가데이터베이스 (120) 에저장된행위시그너처와매칭되지않을경우, 프로세서 (130) 은문서 (200) 에서추출된행위시그너처를데이터베이스 (120) 에업데이트할수있다. 이렇게데이터베이스 (120) 에업데이트된행위시그너처는앞으로다른문서 (200) 의악성공격코드탐지시활용될수있다. 다음은도 3을참조하여본발명의일실시예에따른문서에포함된악성공격코드탐지시스템 (100) 을상세하게설명한다. 도 3은본발명의일실시예에따른문서 (200) 에포함된악성공격코드탐지시스템 (100) 의악성공격코드를탐지하는프로그램 (150) 을개략적으로도시한구성도이다. 도 3을참조하면악성공격코드탐지시스템 (100) 의악성공격코드탐지프로그램 (150) 은문서파싱모듈 (151) 및악성공격코드탐지모듈 (152) 을포함하며, 문서 (200), 문서파일뷰어 (300) 및데이터베이스 (120) 와연결될수있다. 악성공격코드탐지프로그램 (150) 은하나이상의문서 (200) 가입력되면문서 (200) 의악성공격코드를추출하기위하여문서 (200) 를문서파싱모듈 (151) 에전달할수있다. 그리고문서 (200) 를수신한문서파싱모듈 (151) 은문서 (200) 의파싱을수행할수있다. 이때, 악성공격코드탐지시스템 (100) 으로입력되는하나이상의문서 (200) 는모두동일한종류이거나, 각각상이한종류일수있다. 또한, 문서파싱모듈 (151) 은문서 (200) 의종류에따라악성공격코드를탐지하기위하여문서 (200) 의복호화라이브러리를포함할수있다. 이때, 복호화라이브러리는각각문서 (200) 의종류에따라상이할수도있다. 예를들어, 입력되는문서 (200) 가 " 한글과컴퓨터 " 의 " 한글워드프로세서 " 를이용하여작성된 " 한글문서파일 ( 확장자 : "hwp")" 의경우에는복호화라이브러리로공개된한글워드프로세서포맷에기반하여복호화를수행할수있다. 또한, 입력되는문서 (200) 가 " 마이크로소프트오피스 " 를이용하여작성된 " 워드파일 ( 확장자 : "doc" 또는 "docx")" 및 " 엑셀파일 ( 확장자 : "xls" 또는 "xlsx")" 등의 " 마이크로소프트오피스문서파일 " 인경우에는 - 7 -

복호화라이브러리로 " 오피스 API(application programming interface)" 를이용하여복호화를수행할수있으 나, 이에한정된것은아니다. [0054] [0055] [0056] [0057] [0058] [0059] [0060] [0061] [0062] [0063] [0064] [0065] [0066] 그리고문서파싱모듈 (151) 은문서의파싱을수행한다음파싱된문서를악성공격코드탐지모듈 (152) 에전달할수있다. 악성공격코드탐지모듈 (152) 은파싱된문서 (200) 에서악성공격코드가시작될것으로의심되는파일내의오프셋에기반하여악성공격코드가시작되는앵커포인터를찾아바이너리코드화를수행할수있다. 바이너리코드화를수행한다음악성공격코드탐지모듈 (152) 은문서 (200) 의구조적특징을분석하여, 악성공격코드를추출할수있다. 이때, 구조적특징은파싱된문서 (200) 에서악성공격코드가저장될수있는구조체및악성공격코드의크기를포함할수있다. 또한, 악성공격코드탐지모듈 (152) 은추출된악성공격코드에기초하여행위시그너처를추출할수있다. 이때, 행위시그너처는악성공격코드의위치정보및행위정보등을포함할수있다. 악성공격코드탐지모듈 (152) 은행위시그너처를추출하고문서 (200) 에서추출된행위시그너처와데이터베이스 (120) 에저장된행위시그너처의매칭여부를판단할수있다. 이때, 데이터베이스 (120) 에저장된행위시그너처는악성공격코드탐지시스템 (100) 에의하여기수집된악성공격코드에서추출한행위시그너처이거나악성공격코드탐지시스템 (100) 구축을위하여수집된악성공격코드샘플에서추출된행위시그너처일수있다. 프로세서 (130) 는데이터베이스 (120) 에저장된행위시그너처와문서 (200) 에서추출된행위시그너처가매칭되는경우, 악성공격코드탐지모듈 (152) 은문서 (200) 에포함된악성공격코드가공격행위를하는것으로탐지하고문서파일뷰어 (300) 에탐지결과및문서내용을전달할수있다. 이때, 탐지결과는악성공격코드의행위시그너처에포함된위치정보및행위정보등이포함될수있다. 이와반대로데이터베이스 (120) 에저장된행위시그너처와문서 (200) 에서추출된행위시그너처가매칭되지않는경우, 악성공격코드탐지모듈 (152) 은데이터베이스 (120) 에행위시그너처를업데이트하고, 문서파일뷰어 (300) 에알려지지않은악성공격코드가탐지되었음을통보하는탐지결과및문서의내용을전달할수있다. 다음은도 4 및도 5를이용하여본발명의일실시예에따른문서 (200) 에대한악성공격코드탐지방법을설명한다. 도 4는본발명의일실시예에따른문서 (200) 에대한악성공격코드탐지방법을설명하기위한순서도이다. 도 4에도시된것처럼, 문서 (200) 에대한악성공격코드탐지방법은기수집된악성공격코드에기초하여추출된행위정보를데이터베이스 (120) 에저장한다 (S400). 이때, 기수집된악성공격코드는악성공격코드탐지시스템 (100) 에의하여기수집된악성공격코드이거나악성공격코드탐지시스템 (100) 을구축하기위하여수집된악성공격코드샘플일수있다. 악성공격코드탐지시스템 (100) 에문서 (200) 가입력되면, 악성공격코드탐지방법은문서 (200) 에서악성공격코드를추출하고 (S410), 악성공격코드에기초하여행위시그너처를추출한다 (S420). 이때, 행위시그너처는악성공격코드의위치정보및행위정보등을포함할수있다. 위치정보는문서 (200) 내의악성공격코드가존재하는위치에대한정보이며, 행위정보는문서 (200) 내의악성공격코드가포함하고있는악성행위정보가될수있다. 또한, 악성공격코드탐지방법은문서 (200) 에서행위시그너처를추출한다음, 데이터베이스 (120) 에저장된행위시그너처와문서 (200) 에서추출된행위시그너처를매칭한다 (S440). 매칭여부를판단하여 (S440) 문서 (200) 의행위시그너처와데이터베이스 (120) 에저장된행위시그너처가매칭되면악성공격코드가공격행위를하는것으로탐지한다 (S450). 한편, 악성공격코드탐지방법은데이터베이스 (120) 에저장된행위시그너처와문서 (200) 에서추출된행위시그너처를매칭하고 (S440) 매칭되지않으면, 데이터베이스 (120) 에문서 (200) 에서추출된행위시그너처를업데이트할수있다 (S460). 이렇게업데이트된행위시그너처는다른문서 (200) 의악성공격코드탐지를위하여활용될수있다. 도 5는본발명의일실시예에따른문서 (200) 에대한악성공격코드탐지방법에서악성공격코드추출방법을설명하기위한순서도이다. - 8 -

[0067] [0068] [0069] [0070] [0071] [0072] [0073] 악성공격코드탐지방법은악성공격코드를추출하기위하여 (S410) 문서 (200) 를파싱하고 (S411), 파싱된문서 (200) 의구조적특징에기초하여악성공격코드를추출할수있다 (S412). 이때, 구조적특징은파싱된문서 (200) 에서악성공격코드가저장될수있는구조체및악성공격코드의크기를포함할수있다. 특히, 악성공격코드가저장될수있는구조체는문서 (200) 의포맷에따른스트림구조체를의미하며, 태그 (tag) 등을포함할수있다. 예를들어, 구조체는문서의내용, 문서의형식및문장의형태등을포함할수있다. 그러므로악성공격코드탐지방법은파싱된문서 (200) 에서특정한구조체의길이가악성공격코드를구성하는최소크기이상인지판별한후, 악성공격코드의최소길이이상인경우, 의심구조체로분류할수있다. 의심구조체로분류한다음악성공격코드탐지방법은특정한구조체를악성공격코드탐색영역에포함되는것으로탐색할수있다. 또한, 악성공격코드는악성공격코드의위치및공격방법을정의하는익스플로잇코드및악성공격코드의공격유형을정의하는쉘코드를포함할수있다. 이때, 악성공격코드에포함된익스플로잇코드및쉘코드에기초하여공격코드의행위시그너처를추출할수있다. 본발명의일실시예에따른악성공격코드탐지시스템 (100) 및방법은다수의악성공격코드에기초하여생성된적은수의행위시그너처만을이용하여악성공격코드의공격행위를탐지할수있으므로악성공격코드를탐지하는데소요되는시간및자원을대폭감소시킬수있다. 또한, 행위시그너처를이용하므로향후발생할수있는유사행위를수행하는변종악성공격코드를사전에탐지하고공격을예방할수있다. 본발명의일실시예는컴퓨터에의해실행되는프로그램모듈과같은컴퓨터에의해실행가능한명령어를포함하는기록매체의형태로도구현될수있다. 컴퓨터판독가능매체는컴퓨터에의해액세스될수있는임의의가용매체일수있고, 휘발성및비휘발성매체, 분리형및비분리형매체를모두포함한다. 또한, 컴퓨터판독가능매체는컴퓨터저장매체및통신매체를모두포함할수있다. 컴퓨터저장매체는컴퓨터판독가능명령어, 데이터구조, 프로그램모듈또는기타데이터와같은정보의저장을위한임의의방법또는기술로구현된휘발성및비휘발성, 분리형및비분리형매체를모두포함한다. 통신매체는전형적으로컴퓨터판독가능명령어, 데이터구조, 프로그램모듈, 또는반송파와같은변조된데이터신호의기타데이터, 또는기타전송메커니즘을포함하며, 임의의정보전달매체를포함한다. 본발명의방법및시스템은특정실시예와관련하여설명되었지만, 그것들의구성요소또는동작의일부또는전부는범용하드웨어아키텍쳐를갖는컴퓨터시스템을사용하여구현될수있다. 전술한본발명의설명은예시를위한것이며, 본발명이속하는기술분야의통상의지식을가진자는본발명의기술적사상이나필수적인특징을변경하지않고서다른구체적인형태로쉽게변형이가능하다는것을이해할수있을것이다. 그러므로이상에서기술한실시예들은모든면에서예시적인것이며한정적이아닌것으로이해해야만한다. 예를들어, 단일형으로설명되어있는각구성요소는분산되어실시될수도있으며, 마찬가지로분산된것으로설명되어있는구성요소들도결합된형태로실시될수있다. 본발명의범위는상기상세한설명보다는후술하는특허청구범위에의하여나타내어지며, 특허청구범위의의미및범위그리고그균등개념으로부터도출되는모든변경또는변형된형태가본발명의범위에포함되는것으로해석되어야한다. [0074] 부호의설명 100: 악성공격탐지시스템 110: 스토리지장치 120: 데이터베이스 130: 프로세서 - 9 -

도면 도면 1 도면 2-10 -

도면 3 도면 4-11 -

도면 5-12 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원