偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置
【課題】ユーザ端末がインテリジェントボットに感染されても、悪性プロセスを実行しないようにして、DDos攻撃または情報流出などの被害を予防する。
【解決手段】プロセスからの仮想マシン探知要請を全域フッキングする段階(S210)と、既保存された悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する段階(S220)と、前記判断の結果、悪性プロセスに該当すれば、前記プロセスがインテリジェントボットによって生成されたものと判断し、偽装仮想マシン情報を前記プロセスにリターンする段階(S230)と、を含む。
【解決手段】プロセスからの仮想マシン探知要請を全域フッキングする段階(S210)と、既保存された悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する段階(S220)と、前記判断の結果、悪性プロセスに該当すれば、前記プロセスがインテリジェントボットによって生成されたものと判断し、偽装仮想マシン情報を前記プロセスにリターンする段階(S230)と、を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置に関し、より詳細には、インテリジェントボットの悪性プロセスを中断するようにする偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置に関する。
【背景技術】
【0002】
インテリジェントボット(Intelligent Bots)は、ユーザの直接的な参加なしに正規的に情報を収集するか、またはサービスを行うプログラムを言う。一般的に、インテリジェントボットは、ユーザが提供したパラメータを使用してインターネットに接続された端末を検索し、ユーザが関心を持っている情報を収集し、ユーザに提供する。しかし、このようなインテリジェントボットは、その特性上、ユーザの意図によって悪性行為に使用されることができる。
【0003】
したがって、保安専門家は、このようなインテリジェントボットを利用した悪性行為を分析するために、仮想マシン(Virtual Machine)を実行し、仮想マシン上でインテリジェントボットが実行されるようにして、悪性行為を分析及び追跡している。
【0004】
しかし、インテリジェントボットの製作者は、このような仮想マシン実行を用いた方法に対応するために、仮想マシンの動作を探知する方法を使用している。このような仮想マシンの動作を探知する方法によれば、インテリジェントボットが仮想マシン上で動作するか否かを探知し、インテリジェントボットが仮想マシン上で動作するものと判断すれば、悪性行為を実行せずに終了する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】韓国登録特許第10−0927240号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、前述したような従来の問題点を解決するためになされたもので、その目的は、仮想マシンの動作を探知するインテリジェントボットが仮想マシン上で動作するものと判断するように、偽装仮想マシン情報を提供し、インテリジェントボットが悪性プロセスを中断するようにすることによって、ユーザ端末がインテリジェントボットに感染されても、悪性プロセスを実行しないようにして、DDos(distributed denial of service)攻撃または情報流出などの被害を予防することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法は、プロセスからの仮想マシン探知要請を全域フッキング(Global hooking)する段階と、既保存された悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する段階と、前記判断結果、悪性プロセスに該当すれば、前記プロセスがインテリジェントボットによって生成されたものと判断し、偽装仮想マシン情報を前記プロセスにリターンする段階とを含む。
【0008】
本発明の他の一実施例によれば、前記プロセスが悪性プロセスに該当するか否かを判断する段階は、前記プロセスがユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つを実行する悪性プロセスに該当するか否かを判断することができる。
【0009】
本発明のさらに他の一実施例によれば、前記プロセスが悪性プロセスに該当するか否かを判断する段階は、前記プロセスが既保存された正常プロセスのリストであるホワイトリストに含まれるか否かを判断する段階をさらに含むことができる。
【0010】
本発明のさらに他の一実施例によれば、前記プロセスが悪性プロセスに該当するか否かを判断する段階は、前記仮想マシン探知要請のバイナリーハッシュ値が既保存された悪性コードのハッシュ値と一致するか否かを判断する段階をさらに含むことができる。
【0011】
本発明のさらに他の一実施例によれば、前記判断結果、一致しなければ、前記仮想マシン探知要請のバイナリーハッシュ値を保存する段階をさらに含むことができる。
【0012】
本発明のさらに他の一実施例によれば、前記偽装仮想マシン情報は、ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことができる。
【0013】
本発明のさらに他の一実施例によれば、前記判断結果、悪性プロセスに該当しなければ、ユーザ端末のウィンドウカーネル(Kernel)に前記仮想マシン探知要請を伝達する段階と、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンする段階とをさらに含むことができる。
【0014】
本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応装置は、ユーザ端末が仮想マシンを使用するものとして偽装する偽装仮想マシン情報及び悪性プロセスを判断するための悪性プロセス情報を保存する仮想マシン情報データベースと、プロセスからの仮想マシン探知要請を全域フッキングし、前記仮想マシン情報データベースに保存された前記悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断し、前記判断結果、前記プロセスが悪性プロセスに該当すれば、前記仮想マシン情報データベースに保存された偽装仮想マシン情報を前記プロセスにリターンする全域フッキングモジュールとを含む。
【0015】
本発明のさらに他の一実施例によれば、前記全域フッキングモジュールは、前記悪性プロセス情報に基づいて前記プロセスが前記ユーザ端末のファイルに対する接近を実行すれば、悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装ファイル情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするファイル制御モジュールと、前記悪性プロセス情報に基づいて前記プロセスが仮想マシンネットワークアドレス検査を実行すれば、悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装ネットワークアドレス情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするネットワーク制御モジュールと、前記悪性プロセス情報に基づいて前記プロセスが前記ユーザ端末のレジストリ接近を実行すれば、前記プロセスが悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装レジストリ情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするレジストリ制御モジュールとを含む。
【0016】
本発明のさらに他の一実施例によれば、前記全域フッキングモジュールは、前記プロセスが前記仮想マシン情報データベースに保存された正常プロセスのリストであるホワイトリストに含まれなければ、前記プロセスが悪性プロセスであると判断することができる。
【0017】
本発明のさらに他の一実施例によれば、前記全域フッキングモジュールは、前記仮想マシン探知要請のバイナリーハッシュ値が前記仮想マシン情報データベースに保存された悪性コードのハッシュ値と一致すれば、前記プロセスが悪性プロセスであると判断することができる。
【0018】
本発明のさらに他の一実施例によれば、前記偽装仮想マシン情報は、前記ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことができる。
【0019】
本発明のさらに他の一実施例によれば、前記悪性プロセス情報は、前記ユーザ端末のファイル、前記仮想マシンのネットワークアドレス及び前記ユーザ端末のレジストリのうち少なくともいずれか1つに接近するための情報を含むことができる。
【0020】
本発明のさらに他の一実施例によれば、前記全域フッキングモジュールは、前記判断結果、悪性プロセスに該当しなければ、前記ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達し、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンすることができる。
【発明の効果】
【0021】
本発明によれば、仮想マシンの動作を探知するインテリジェントボットが仮想マシン上で動作するものと判断するように偽装仮想マシン情報を提供し、インテリジェントボットが悪性プロセスを中断するようにして、ユーザ端末がインテリジェントボットに感染されても、悪性プロセスを実行しないようにして、DDos(Distributed denial of service)攻撃または情報流出などの2次被害を予防することができる。
【図面の簡単な説明】
【0022】
【図1】本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応装置の構成図である。
【図2】本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明するための流れ図である。
【図3】本発明の他の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明するための流れ図である。
【発明を実施するための形態】
【0023】
以下、本発明による実施例を添付の図面を参照して詳細に説明する。しかし、本発明が下記実施例に限定されるものではない。各図面に示された同一の参照符号は、同一の部材を示す。
【0024】
図1は、本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応装置の構成図である。図1を参照して本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボットに対応装置の構成を説明する。
【0025】
図1に示されたように、本発明の一実施例によるインテリジェントボット対応装置100は、全域フッキングモジュール110及び仮想マシン情報データベース120を備えて構成される。
【0026】
インテリジェントボット130がユーザ端末で仮想マシンを使用するか否かを判断するために、前記ユーザ端末にプロセスの実行のための仮想マシン(Virtual Machine)の探知要請を伝送すれば、全域フッキングモジュール110は、前記仮想マシンの探知要請を全域フッキング(Global hooking)する。
【0027】
全域フッキングモジュール110は、仮想マシン情報データベース120に保存された悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する。
【0028】
仮想マシン情報データベース120は、ユーザ端末が仮想マシンを使用するものとして偽装する偽装仮想マシン情報及び悪性プロセスを判断するための悪性プロセス情報を保存する。仮想マシン情報データベース120に保存される前記悪性プロセス情報は、前記ユーザ端末のファイル、前記仮想マシンのネットワークアドレス及び前記ユーザ端末のレジストリのうち少なくともいずれか1つに接近するための情報を含むことができる。
【0029】
したがって、全域フッキングモジュール110は、前記プロセスが悪性プロセスに該当するものと判断すれば、前記ユーザ端末で仮想マシンを使用するものとして偽装するための偽装仮想マシン情報を仮想マシン情報データベース120から読み込んで、前記プロセスを実行したインテリジェントボット130にリターンする。この際、前記偽装仮想マシン情報は、仮想マシン情報データベース120に保存され、前記ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことができる。
【0030】
以下では、全域フッキングモジュール110についてさらに詳細に説明する。
全域フッキングモジュール110は、ファイル制御モジュール111、ネットワーク制御モジュール112及びレジストリ制御モジュール113を備えて構成されることができる。
【0031】
ファイル制御モジュール111は、仮想マシン情報データベース120に保存された悪性プロセス情報を参照して前記プロセスがユーザ端末のファイルに対する接近を実行すれば、前記プロセスを悪性プロセスであると判断する。それによって、ファイル制御モジュール111は、前記仮想マシンに偽装するための偽装ファイル情報を仮想マシン情報データベース120から受信し、前記プロセスを実行したインテリジェントボット130にリターンすることができる。
【0032】
また、ネットワーク制御モジュール112は、仮想マシン情報データベース120に保存された悪性プロセス情報を参照して前記プロセスが仮想マシンネットワークアドレス検査を実行すれば、前記プロセスを悪性プロセスであると判断する。それによって、ネットワーク制御モジュール112は、前記仮想マシンに偽装するための偽装ネットワークアドレス情報を仮想マシン情報データベース120から受信し、前記プロセスを実行したインテリジェントボット130にリターンすることができる。
【0033】
また、レジストリ制御モジュール113は、仮想マシン情報データベース120に保存された悪性プロセス情報を参照して前記プロセスが前記ユーザ端末のレジストリ接近を実行する要請なら、前記プロセスを悪性プロセスであると判断する。それによって、レジストリ制御モジュール113は、前記仮想マシンに偽装するための偽装レジストリ情報を仮想マシン情報データベース120から受信し、前記プロセスを実行したインテリジェントボット130にリターンすることができる。
【0034】
それに加えて、全域フッキングモジュール110は、前記仮想マシン探知要請のバイナリーハッシュ値が仮想マシン情報データベース120に保存された悪性コードのハッシュ値と一致すれば、前記プロセスが悪性プロセスであると判断するように構成されることができる。
【0035】
一方、全域フッキングモジュール110は、前記プロセスが仮想マシン情報データベース120に保存された正常プロセスのリストであるホワイトリストに含まれるか否かを判断し、前記判断結果、ホワイトリストに含まれない場合にのみ、上記のような悪性プロセスの判断を行うように構成されることができる。
【0036】
全域フッキングモジュール110は、前記仮想マシン探知要請を伝達したプロセスが悪性プロセスではないものと判断するか、前記プロセスが前記ホワイトリストに含まれれば、前記プロセスが正常プロセスであると判断することができる。全域フッキングモジュール110は、上記のように、プロセスが正常プロセスであると判断すれば、前記ユーザ端末のウィンドウカーネル(Kernel)140に前記仮想マシン探知要請を伝達し、前記ユーザ端末のウィンドウカーネル140から前記仮想マシン探知要請に対する正常値を受信し、前記プロセスを実行したインテリジェントボット130にリターンすることができる。
【0037】
一方、本発明の一実施例によるインテリジェントボット130からの仮想マシン探知要請は、VMwareまたはCW Sandboxなどで具現される仮想マシン(Virtual Machine)を対象にした要請であることができる。
【0038】
したがって、本発明の一実施例によれば、仮想マシンの動作を探知するインテリジェントボットが仮想マシン上で動作するものと判断するように偽装仮想マシン情報を提供し、インテリジェントボットが悪性プロセスを中断するようにすることができる。
【0039】
図2は、本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明するための流れ図である。図2を参照して、本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明する。
【0040】
本発明の一実施例によれば、インテリジェントボット対応装置は、プロセスからの仮想マシン探知要請を全域フッキングする(S210)。
【0041】
インテリジェントボット対応装置は、既保存された悪性プロセスに基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する(S220)。
【0042】
インテリジェントボット対応装置は、前記判断結果、悪性プロセスに該当すれば、偽装仮想マシン情報を前記プロセスにリターンし、この際、前記偽装仮想マシン情報は、ユーザ端末が仮想マシンを使用するものとして偽装するための情報である(S230)。
【0043】
一方、インテリジェントボット対応装置は、前記プロセスが悪性プロセスに該当しないものと判断すれば、前記ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達することができる(S240)。その後、インテリジェントボット対応装置は、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンすることができる(S250)。
【0044】
図3は、本発明の他の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明するための流れ図である。図3を参照して本発明のさらに他の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明する。
【0045】
インテリジェントボット対応装置は、プロセスからの仮想マシン探知要請を全域フッキングし(S310)、前記プロセスがホワイトリストに含まれるか否かを判断することができる(S320)。この際、前記ホワイトリストは、正常プロセスのリストとして仮想マシン情報データベースに保存される。
【0046】
インテリジェントボット対応装置は、前記判断結果、前記プロセスが前記ホワイトリストに含まれない場合、前記プロセスが前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つを実行するプロセスであるか否かを判断することができる(S330)。
【0047】
インテリジェントボット対応装置は、前記プロセスが前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つを実行するプロセスであると判断すれば、前記仮想マシン探知要請のバイナリーハッシュ値が仮想マシン情報データベースに保存されている悪性コードのハッシュ値と一致するか否かによって悪性プロセスであるか否かを判断することができる(S335)。
【0048】
例えば、インテリジェントボット対応装置は、前記プロセスが00−05−69−xx−xx−xx、00−0c−29−xx−xx−xx、00−50−56−xx−xx−xxなどのように、仮想マシンで使用するMACアドレスに接近するか否かによって悪性プロセスであるか否かを判断するか、前記レジストリに接近し、仮想マシンで使用するプロダクト(product)ID、ハードドライバー、ビデオドライバーなどの情報に接近するか否かによって悪性プロセスであるか否かを判断することができる。
【0049】
インテリジェントボット対応装置は、前記判断結果、前記プロセスが前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つに該当し、前記仮想マシン探知要請のバイナリーハッシュ値が悪性コードのハッシュ値と一致し、悪性プロセスであると判断した場合には、ユーザ端末が仮想マシンを使用するものとして偽装するための偽装仮想マシン情報を前記プロセスを要請した前記プロセスにリターンする(S340)。この際、前記偽装仮想マシン情報は前記ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことができる。
【0050】
一方、インテリジェントボット対応装置は、前記判断結果、前記プロセスが前記ホワイトリストに含まれるか、前記仮想マシン探知要請が前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つに該当しないか、前記仮想マシン探知要請のバイナリーハッシュ値が悪性コードのハッシュ値と一致しないものと判断する場合には、前記プロセスが悪性プロセスに該当しないものと判断し、前記ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達することができる(S350)。
【0051】
また、前記プロセスがホワイトリストに含まれず、前記仮想マシン探知要請が前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つに該当するが、前記仮想マシン探知要請のバイナリーハッシュ値が悪性コードハッシュ値と一致しない場合には、仮想マシン情報データベースに前記仮想マシン探知要請のバイナリーハッシュ値を保存する(S336)。この際、ファイル、プロセス、レジストリ、ネットワークに対する行為を別途の外部システムで分析して悪性可否を判断し、悪性の場合には、前記バイナリーハッシュ値を悪性コードハッシュ値として仮想マシン情報データベースに保存することができる。
【0052】
それによって、インテリジェントボット対応装置は、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンすることができる(S360)。
【0053】
したがって、本発明によれば、仮想マシンの動作を探知するインテリジェントボットが仮想マシン上で動作するものと判断するように偽装仮想マシン情報を提供し、インテリジェントボットが悪性プロセスを中断するようにすることができる。したがって、本発明によれば、ユーザ端末がインテリジェントボットに感染されても、悪性プロセスを実行しないようにして、DDos(Distributed denial of service)攻撃または情報流出などの2次被害を予防することができる。
【0054】
前述した本発明の実施例は、任意の多様な方法で具現されることができる。例えば、実施例は、ハードウェア、ソフトウェアまたはそれらの組み合わせを利用して具現されることができる。ソフトウェアで具現される場合に、多様な運営体制またはプラットフォームを利用する1つ以上のプロセッサ上で実行されるソフトウェアとして具現されることができる。追加的に、このようなソフトウェアは、多数の適合なプログラミング言語のうち任意のものを使用して作成されることができ、また、フレームワークまたは仮想マシンで実行される実行可能な機械語コードまたは中間コードにコンパイルされることができる。
【0055】
また、本発明は、1つ以上のコンピューターまたは他のプロセッサ上で実行される場合、上記で論議された本発明の多様な実施例を具現する方法を行う1つ以上のプログラムが記録されたコンピュータで読み取り可能な媒体(例えば、コンピュータメモリ、1つ以上のプロッピィーディスク、コンパクトディスク、光学ディスク、磁気テープ、フラッシュメモリなど)で具現されることができる。
【0056】
以上のように、本発明では具体的な構成要素などのような特定事項と限定された実施例及び図面によって説明されたが、これは、本発明のさらに全般的な理解を助けるために提供されるものに過ぎず、本発明は、上記実施例に限定されるものではなく、本発明の属する分野における通常的な知識を有する者ならこのような記載から多様な修正及び変形が可能である。したがって、本発明の思想は、説明された実施例に限って定められるものではなく、後述する特許請求範囲だけでなく、この特許請求範囲と均等または等価的変形があるすべてのものなどは、本発明思想の範疇に属すると言える。
【符号の説明】
【0057】
100 インテリジェントボット対応装置
110 全域フッキングモジュール
111 ファイル制御モジュール
112 ネットワーク制御モジュール
113 レジストリ制御モジュール
120 仮想マシン情報データベース
130 インテリジェントボット
140 ウィンドウカーネル
【技術分野】
【0001】
本発明は、偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置に関し、より詳細には、インテリジェントボットの悪性プロセスを中断するようにする偽装仮想マシン情報を利用したインテリジェントボット対応方法及び装置に関する。
【背景技術】
【0002】
インテリジェントボット(Intelligent Bots)は、ユーザの直接的な参加なしに正規的に情報を収集するか、またはサービスを行うプログラムを言う。一般的に、インテリジェントボットは、ユーザが提供したパラメータを使用してインターネットに接続された端末を検索し、ユーザが関心を持っている情報を収集し、ユーザに提供する。しかし、このようなインテリジェントボットは、その特性上、ユーザの意図によって悪性行為に使用されることができる。
【0003】
したがって、保安専門家は、このようなインテリジェントボットを利用した悪性行為を分析するために、仮想マシン(Virtual Machine)を実行し、仮想マシン上でインテリジェントボットが実行されるようにして、悪性行為を分析及び追跡している。
【0004】
しかし、インテリジェントボットの製作者は、このような仮想マシン実行を用いた方法に対応するために、仮想マシンの動作を探知する方法を使用している。このような仮想マシンの動作を探知する方法によれば、インテリジェントボットが仮想マシン上で動作するか否かを探知し、インテリジェントボットが仮想マシン上で動作するものと判断すれば、悪性行為を実行せずに終了する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】韓国登録特許第10−0927240号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明は、前述したような従来の問題点を解決するためになされたもので、その目的は、仮想マシンの動作を探知するインテリジェントボットが仮想マシン上で動作するものと判断するように、偽装仮想マシン情報を提供し、インテリジェントボットが悪性プロセスを中断するようにすることによって、ユーザ端末がインテリジェントボットに感染されても、悪性プロセスを実行しないようにして、DDos(distributed denial of service)攻撃または情報流出などの被害を予防することにある。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法は、プロセスからの仮想マシン探知要請を全域フッキング(Global hooking)する段階と、既保存された悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する段階と、前記判断結果、悪性プロセスに該当すれば、前記プロセスがインテリジェントボットによって生成されたものと判断し、偽装仮想マシン情報を前記プロセスにリターンする段階とを含む。
【0008】
本発明の他の一実施例によれば、前記プロセスが悪性プロセスに該当するか否かを判断する段階は、前記プロセスがユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つを実行する悪性プロセスに該当するか否かを判断することができる。
【0009】
本発明のさらに他の一実施例によれば、前記プロセスが悪性プロセスに該当するか否かを判断する段階は、前記プロセスが既保存された正常プロセスのリストであるホワイトリストに含まれるか否かを判断する段階をさらに含むことができる。
【0010】
本発明のさらに他の一実施例によれば、前記プロセスが悪性プロセスに該当するか否かを判断する段階は、前記仮想マシン探知要請のバイナリーハッシュ値が既保存された悪性コードのハッシュ値と一致するか否かを判断する段階をさらに含むことができる。
【0011】
本発明のさらに他の一実施例によれば、前記判断結果、一致しなければ、前記仮想マシン探知要請のバイナリーハッシュ値を保存する段階をさらに含むことができる。
【0012】
本発明のさらに他の一実施例によれば、前記偽装仮想マシン情報は、ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことができる。
【0013】
本発明のさらに他の一実施例によれば、前記判断結果、悪性プロセスに該当しなければ、ユーザ端末のウィンドウカーネル(Kernel)に前記仮想マシン探知要請を伝達する段階と、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンする段階とをさらに含むことができる。
【0014】
本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応装置は、ユーザ端末が仮想マシンを使用するものとして偽装する偽装仮想マシン情報及び悪性プロセスを判断するための悪性プロセス情報を保存する仮想マシン情報データベースと、プロセスからの仮想マシン探知要請を全域フッキングし、前記仮想マシン情報データベースに保存された前記悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断し、前記判断結果、前記プロセスが悪性プロセスに該当すれば、前記仮想マシン情報データベースに保存された偽装仮想マシン情報を前記プロセスにリターンする全域フッキングモジュールとを含む。
【0015】
本発明のさらに他の一実施例によれば、前記全域フッキングモジュールは、前記悪性プロセス情報に基づいて前記プロセスが前記ユーザ端末のファイルに対する接近を実行すれば、悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装ファイル情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするファイル制御モジュールと、前記悪性プロセス情報に基づいて前記プロセスが仮想マシンネットワークアドレス検査を実行すれば、悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装ネットワークアドレス情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするネットワーク制御モジュールと、前記悪性プロセス情報に基づいて前記プロセスが前記ユーザ端末のレジストリ接近を実行すれば、前記プロセスが悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装レジストリ情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするレジストリ制御モジュールとを含む。
【0016】
本発明のさらに他の一実施例によれば、前記全域フッキングモジュールは、前記プロセスが前記仮想マシン情報データベースに保存された正常プロセスのリストであるホワイトリストに含まれなければ、前記プロセスが悪性プロセスであると判断することができる。
【0017】
本発明のさらに他の一実施例によれば、前記全域フッキングモジュールは、前記仮想マシン探知要請のバイナリーハッシュ値が前記仮想マシン情報データベースに保存された悪性コードのハッシュ値と一致すれば、前記プロセスが悪性プロセスであると判断することができる。
【0018】
本発明のさらに他の一実施例によれば、前記偽装仮想マシン情報は、前記ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことができる。
【0019】
本発明のさらに他の一実施例によれば、前記悪性プロセス情報は、前記ユーザ端末のファイル、前記仮想マシンのネットワークアドレス及び前記ユーザ端末のレジストリのうち少なくともいずれか1つに接近するための情報を含むことができる。
【0020】
本発明のさらに他の一実施例によれば、前記全域フッキングモジュールは、前記判断結果、悪性プロセスに該当しなければ、前記ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達し、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンすることができる。
【発明の効果】
【0021】
本発明によれば、仮想マシンの動作を探知するインテリジェントボットが仮想マシン上で動作するものと判断するように偽装仮想マシン情報を提供し、インテリジェントボットが悪性プロセスを中断するようにして、ユーザ端末がインテリジェントボットに感染されても、悪性プロセスを実行しないようにして、DDos(Distributed denial of service)攻撃または情報流出などの2次被害を予防することができる。
【図面の簡単な説明】
【0022】
【図1】本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応装置の構成図である。
【図2】本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明するための流れ図である。
【図3】本発明の他の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明するための流れ図である。
【発明を実施するための形態】
【0023】
以下、本発明による実施例を添付の図面を参照して詳細に説明する。しかし、本発明が下記実施例に限定されるものではない。各図面に示された同一の参照符号は、同一の部材を示す。
【0024】
図1は、本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応装置の構成図である。図1を参照して本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボットに対応装置の構成を説明する。
【0025】
図1に示されたように、本発明の一実施例によるインテリジェントボット対応装置100は、全域フッキングモジュール110及び仮想マシン情報データベース120を備えて構成される。
【0026】
インテリジェントボット130がユーザ端末で仮想マシンを使用するか否かを判断するために、前記ユーザ端末にプロセスの実行のための仮想マシン(Virtual Machine)の探知要請を伝送すれば、全域フッキングモジュール110は、前記仮想マシンの探知要請を全域フッキング(Global hooking)する。
【0027】
全域フッキングモジュール110は、仮想マシン情報データベース120に保存された悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する。
【0028】
仮想マシン情報データベース120は、ユーザ端末が仮想マシンを使用するものとして偽装する偽装仮想マシン情報及び悪性プロセスを判断するための悪性プロセス情報を保存する。仮想マシン情報データベース120に保存される前記悪性プロセス情報は、前記ユーザ端末のファイル、前記仮想マシンのネットワークアドレス及び前記ユーザ端末のレジストリのうち少なくともいずれか1つに接近するための情報を含むことができる。
【0029】
したがって、全域フッキングモジュール110は、前記プロセスが悪性プロセスに該当するものと判断すれば、前記ユーザ端末で仮想マシンを使用するものとして偽装するための偽装仮想マシン情報を仮想マシン情報データベース120から読み込んで、前記プロセスを実行したインテリジェントボット130にリターンする。この際、前記偽装仮想マシン情報は、仮想マシン情報データベース120に保存され、前記ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことができる。
【0030】
以下では、全域フッキングモジュール110についてさらに詳細に説明する。
全域フッキングモジュール110は、ファイル制御モジュール111、ネットワーク制御モジュール112及びレジストリ制御モジュール113を備えて構成されることができる。
【0031】
ファイル制御モジュール111は、仮想マシン情報データベース120に保存された悪性プロセス情報を参照して前記プロセスがユーザ端末のファイルに対する接近を実行すれば、前記プロセスを悪性プロセスであると判断する。それによって、ファイル制御モジュール111は、前記仮想マシンに偽装するための偽装ファイル情報を仮想マシン情報データベース120から受信し、前記プロセスを実行したインテリジェントボット130にリターンすることができる。
【0032】
また、ネットワーク制御モジュール112は、仮想マシン情報データベース120に保存された悪性プロセス情報を参照して前記プロセスが仮想マシンネットワークアドレス検査を実行すれば、前記プロセスを悪性プロセスであると判断する。それによって、ネットワーク制御モジュール112は、前記仮想マシンに偽装するための偽装ネットワークアドレス情報を仮想マシン情報データベース120から受信し、前記プロセスを実行したインテリジェントボット130にリターンすることができる。
【0033】
また、レジストリ制御モジュール113は、仮想マシン情報データベース120に保存された悪性プロセス情報を参照して前記プロセスが前記ユーザ端末のレジストリ接近を実行する要請なら、前記プロセスを悪性プロセスであると判断する。それによって、レジストリ制御モジュール113は、前記仮想マシンに偽装するための偽装レジストリ情報を仮想マシン情報データベース120から受信し、前記プロセスを実行したインテリジェントボット130にリターンすることができる。
【0034】
それに加えて、全域フッキングモジュール110は、前記仮想マシン探知要請のバイナリーハッシュ値が仮想マシン情報データベース120に保存された悪性コードのハッシュ値と一致すれば、前記プロセスが悪性プロセスであると判断するように構成されることができる。
【0035】
一方、全域フッキングモジュール110は、前記プロセスが仮想マシン情報データベース120に保存された正常プロセスのリストであるホワイトリストに含まれるか否かを判断し、前記判断結果、ホワイトリストに含まれない場合にのみ、上記のような悪性プロセスの判断を行うように構成されることができる。
【0036】
全域フッキングモジュール110は、前記仮想マシン探知要請を伝達したプロセスが悪性プロセスではないものと判断するか、前記プロセスが前記ホワイトリストに含まれれば、前記プロセスが正常プロセスであると判断することができる。全域フッキングモジュール110は、上記のように、プロセスが正常プロセスであると判断すれば、前記ユーザ端末のウィンドウカーネル(Kernel)140に前記仮想マシン探知要請を伝達し、前記ユーザ端末のウィンドウカーネル140から前記仮想マシン探知要請に対する正常値を受信し、前記プロセスを実行したインテリジェントボット130にリターンすることができる。
【0037】
一方、本発明の一実施例によるインテリジェントボット130からの仮想マシン探知要請は、VMwareまたはCW Sandboxなどで具現される仮想マシン(Virtual Machine)を対象にした要請であることができる。
【0038】
したがって、本発明の一実施例によれば、仮想マシンの動作を探知するインテリジェントボットが仮想マシン上で動作するものと判断するように偽装仮想マシン情報を提供し、インテリジェントボットが悪性プロセスを中断するようにすることができる。
【0039】
図2は、本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明するための流れ図である。図2を参照して、本発明の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明する。
【0040】
本発明の一実施例によれば、インテリジェントボット対応装置は、プロセスからの仮想マシン探知要請を全域フッキングする(S210)。
【0041】
インテリジェントボット対応装置は、既保存された悪性プロセスに基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する(S220)。
【0042】
インテリジェントボット対応装置は、前記判断結果、悪性プロセスに該当すれば、偽装仮想マシン情報を前記プロセスにリターンし、この際、前記偽装仮想マシン情報は、ユーザ端末が仮想マシンを使用するものとして偽装するための情報である(S230)。
【0043】
一方、インテリジェントボット対応装置は、前記プロセスが悪性プロセスに該当しないものと判断すれば、前記ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達することができる(S240)。その後、インテリジェントボット対応装置は、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンすることができる(S250)。
【0044】
図3は、本発明の他の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明するための流れ図である。図3を参照して本発明のさらに他の一実施例による偽装仮想マシン情報を利用したインテリジェントボット対応方法を説明する。
【0045】
インテリジェントボット対応装置は、プロセスからの仮想マシン探知要請を全域フッキングし(S310)、前記プロセスがホワイトリストに含まれるか否かを判断することができる(S320)。この際、前記ホワイトリストは、正常プロセスのリストとして仮想マシン情報データベースに保存される。
【0046】
インテリジェントボット対応装置は、前記判断結果、前記プロセスが前記ホワイトリストに含まれない場合、前記プロセスが前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つを実行するプロセスであるか否かを判断することができる(S330)。
【0047】
インテリジェントボット対応装置は、前記プロセスが前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つを実行するプロセスであると判断すれば、前記仮想マシン探知要請のバイナリーハッシュ値が仮想マシン情報データベースに保存されている悪性コードのハッシュ値と一致するか否かによって悪性プロセスであるか否かを判断することができる(S335)。
【0048】
例えば、インテリジェントボット対応装置は、前記プロセスが00−05−69−xx−xx−xx、00−0c−29−xx−xx−xx、00−50−56−xx−xx−xxなどのように、仮想マシンで使用するMACアドレスに接近するか否かによって悪性プロセスであるか否かを判断するか、前記レジストリに接近し、仮想マシンで使用するプロダクト(product)ID、ハードドライバー、ビデオドライバーなどの情報に接近するか否かによって悪性プロセスであるか否かを判断することができる。
【0049】
インテリジェントボット対応装置は、前記判断結果、前記プロセスが前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つに該当し、前記仮想マシン探知要請のバイナリーハッシュ値が悪性コードのハッシュ値と一致し、悪性プロセスであると判断した場合には、ユーザ端末が仮想マシンを使用するものとして偽装するための偽装仮想マシン情報を前記プロセスを要請した前記プロセスにリターンする(S340)。この際、前記偽装仮想マシン情報は前記ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことができる。
【0050】
一方、インテリジェントボット対応装置は、前記判断結果、前記プロセスが前記ホワイトリストに含まれるか、前記仮想マシン探知要請が前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つに該当しないか、前記仮想マシン探知要請のバイナリーハッシュ値が悪性コードのハッシュ値と一致しないものと判断する場合には、前記プロセスが悪性プロセスに該当しないものと判断し、前記ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達することができる(S350)。
【0051】
また、前記プロセスがホワイトリストに含まれず、前記仮想マシン探知要請が前記ユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つに該当するが、前記仮想マシン探知要請のバイナリーハッシュ値が悪性コードハッシュ値と一致しない場合には、仮想マシン情報データベースに前記仮想マシン探知要請のバイナリーハッシュ値を保存する(S336)。この際、ファイル、プロセス、レジストリ、ネットワークに対する行為を別途の外部システムで分析して悪性可否を判断し、悪性の場合には、前記バイナリーハッシュ値を悪性コードハッシュ値として仮想マシン情報データベースに保存することができる。
【0052】
それによって、インテリジェントボット対応装置は、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンすることができる(S360)。
【0053】
したがって、本発明によれば、仮想マシンの動作を探知するインテリジェントボットが仮想マシン上で動作するものと判断するように偽装仮想マシン情報を提供し、インテリジェントボットが悪性プロセスを中断するようにすることができる。したがって、本発明によれば、ユーザ端末がインテリジェントボットに感染されても、悪性プロセスを実行しないようにして、DDos(Distributed denial of service)攻撃または情報流出などの2次被害を予防することができる。
【0054】
前述した本発明の実施例は、任意の多様な方法で具現されることができる。例えば、実施例は、ハードウェア、ソフトウェアまたはそれらの組み合わせを利用して具現されることができる。ソフトウェアで具現される場合に、多様な運営体制またはプラットフォームを利用する1つ以上のプロセッサ上で実行されるソフトウェアとして具現されることができる。追加的に、このようなソフトウェアは、多数の適合なプログラミング言語のうち任意のものを使用して作成されることができ、また、フレームワークまたは仮想マシンで実行される実行可能な機械語コードまたは中間コードにコンパイルされることができる。
【0055】
また、本発明は、1つ以上のコンピューターまたは他のプロセッサ上で実行される場合、上記で論議された本発明の多様な実施例を具現する方法を行う1つ以上のプログラムが記録されたコンピュータで読み取り可能な媒体(例えば、コンピュータメモリ、1つ以上のプロッピィーディスク、コンパクトディスク、光学ディスク、磁気テープ、フラッシュメモリなど)で具現されることができる。
【0056】
以上のように、本発明では具体的な構成要素などのような特定事項と限定された実施例及び図面によって説明されたが、これは、本発明のさらに全般的な理解を助けるために提供されるものに過ぎず、本発明は、上記実施例に限定されるものではなく、本発明の属する分野における通常的な知識を有する者ならこのような記載から多様な修正及び変形が可能である。したがって、本発明の思想は、説明された実施例に限って定められるものではなく、後述する特許請求範囲だけでなく、この特許請求範囲と均等または等価的変形があるすべてのものなどは、本発明思想の範疇に属すると言える。
【符号の説明】
【0057】
100 インテリジェントボット対応装置
110 全域フッキングモジュール
111 ファイル制御モジュール
112 ネットワーク制御モジュール
113 レジストリ制御モジュール
120 仮想マシン情報データベース
130 インテリジェントボット
140 ウィンドウカーネル
【特許請求の範囲】
【請求項1】
プロセスからの仮想マシン探知要請を全域フッキング(Global hooking)する段階と、
既保存された悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する段階と、
前記判断の結果、悪性プロセスに該当すれば、前記プロセスがインテリジェントボットによって生成されたものと判断し、偽装仮想マシン情報を前記プロセスにリターンする段階と、
を含む偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項2】
前記プロセスが悪性プロセスに該当するか否かを判断する段階は、
前記プロセスがユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つを実行する悪性プロセスに該当するか否かを判断することを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項3】
前記プロセスが悪性プロセスに該当するか否かを判断する段階は、
前記プロセスが既保存された正常プロセスのリストであるホワイトリストに含まれるか否かを判断する段階をさらに含むことを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項4】
前記プロセスが悪性プロセスに該当するか否かを判断する段階は、
前記仮想マシン探知要請のバイナリーハッシュ値が既保存された悪性コードのハッシュ値と一致するか否かを判断する段階をさらに含むことを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項5】
前記判断の結果、一致しなければ、前記仮想マシン探知要請のバイナリーハッシュ値を保存する段階をさらに含むことを特徴とする請求項4に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項6】
前記偽装仮想マシン情報は、
ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項7】
前記判断の結果、悪性プロセスに該当しなければ、ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達する段階と、
前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンする段階と、
をさらに含むことを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項8】
ユーザ端末が仮想マシンを使用するものとして偽装する偽装仮想マシン情報及び悪性プロセスを判断するための悪性プロセス情報を保存する仮想マシン情報データベースと、
プロセスからの仮想マシン探知要請を全域フッキングし、前記仮想マシン情報データベースに保存された前記悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断し、前記判断の結果、前記プロセスが悪性プロセスに該当すれば、前記仮想マシン情報データベースに保存された偽装仮想マシン情報を前記プロセスにリターンする全域フッキングモジュールと、
を含む偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項9】
前記全域フッキングモジュールは、
前記悪性プロセス情報に基づいて前記プロセスが前記ユーザ端末のファイルに対する接近を実行すれば、悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装ファイル情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするファイル制御モジュールと、
前記悪性プロセス情報に基づいて前記プロセスが仮想マシンネットワークアドレス検査を実行すれば、悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装ネットワークアドレス情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするネットワーク制御モジュールと、
前記悪性プロセス情報に基づいて前記プロセスが前記ユーザ端末のレジストリ接近を実行すれば、前記プロセスが悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装レジストリ情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするレジストリ制御モジュールと、
を含むことを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項10】
前記全域フッキングモジュールは、
前記プロセスが前記仮想マシン情報データベースに保存された正常プロセスのリストであるホワイトリストに含まれなければ、前記プロセスが悪性プロセスであると判断することを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項11】
前記全域フッキングモジュールは、
前記仮想マシン探知要請のバイナリーハッシュ値が前記仮想マシン情報データベースに保存された悪性コードのハッシュ値と一致すれば、前記プロセスが悪性プロセスであると判断することを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項12】
前記偽装仮想マシン情報は、
前記ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項13】
前記悪性プロセス情報は、
前記ユーザ端末のファイル、前記仮想マシンのネットワークアドレス及び前記ユーザ端末のレジストリのうち少なくともいずれか1つに接近するための情報であることを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項14】
前記全域フッキングモジュールは、
前記判断結果、悪性プロセスに該当しなければ、前記ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達し、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンすることを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項1】
プロセスからの仮想マシン探知要請を全域フッキング(Global hooking)する段階と、
既保存された悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断する段階と、
前記判断の結果、悪性プロセスに該当すれば、前記プロセスがインテリジェントボットによって生成されたものと判断し、偽装仮想マシン情報を前記プロセスにリターンする段階と、
を含む偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項2】
前記プロセスが悪性プロセスに該当するか否かを判断する段階は、
前記プロセスがユーザ端末のファイルに対する接近、仮想マシンのネットワークアドレス検査及び前記ユーザ端末のレジストリに対する接近のうちいずれか1つを実行する悪性プロセスに該当するか否かを判断することを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項3】
前記プロセスが悪性プロセスに該当するか否かを判断する段階は、
前記プロセスが既保存された正常プロセスのリストであるホワイトリストに含まれるか否かを判断する段階をさらに含むことを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項4】
前記プロセスが悪性プロセスに該当するか否かを判断する段階は、
前記仮想マシン探知要請のバイナリーハッシュ値が既保存された悪性コードのハッシュ値と一致するか否かを判断する段階をさらに含むことを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項5】
前記判断の結果、一致しなければ、前記仮想マシン探知要請のバイナリーハッシュ値を保存する段階をさらに含むことを特徴とする請求項4に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項6】
前記偽装仮想マシン情報は、
ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項7】
前記判断の結果、悪性プロセスに該当しなければ、ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達する段階と、
前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンする段階と、
をさらに含むことを特徴とする請求項1に記載の偽装仮想マシン情報を利用したインテリジェントボット対応方法。
【請求項8】
ユーザ端末が仮想マシンを使用するものとして偽装する偽装仮想マシン情報及び悪性プロセスを判断するための悪性プロセス情報を保存する仮想マシン情報データベースと、
プロセスからの仮想マシン探知要請を全域フッキングし、前記仮想マシン情報データベースに保存された前記悪性プロセス情報に基づいて前記仮想マシン探知要請を伝達したプロセスが悪性プロセスに該当するか否かを判断し、前記判断の結果、前記プロセスが悪性プロセスに該当すれば、前記仮想マシン情報データベースに保存された偽装仮想マシン情報を前記プロセスにリターンする全域フッキングモジュールと、
を含む偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項9】
前記全域フッキングモジュールは、
前記悪性プロセス情報に基づいて前記プロセスが前記ユーザ端末のファイルに対する接近を実行すれば、悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装ファイル情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするファイル制御モジュールと、
前記悪性プロセス情報に基づいて前記プロセスが仮想マシンネットワークアドレス検査を実行すれば、悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装ネットワークアドレス情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするネットワーク制御モジュールと、
前記悪性プロセス情報に基づいて前記プロセスが前記ユーザ端末のレジストリ接近を実行すれば、前記プロセスが悪性プロセスであると判断し、前記仮想マシンに偽装するための偽装レジストリ情報を前記仮想マシン情報データベースから受信し、前記プロセスにリターンするレジストリ制御モジュールと、
を含むことを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項10】
前記全域フッキングモジュールは、
前記プロセスが前記仮想マシン情報データベースに保存された正常プロセスのリストであるホワイトリストに含まれなければ、前記プロセスが悪性プロセスであると判断することを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項11】
前記全域フッキングモジュールは、
前記仮想マシン探知要請のバイナリーハッシュ値が前記仮想マシン情報データベースに保存された悪性コードのハッシュ値と一致すれば、前記プロセスが悪性プロセスであると判断することを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項12】
前記偽装仮想マシン情報は、
前記ユーザ端末が仮想マシンを使用するものとして偽装するための偽装ファイル情報、偽装ネットワークアドレス情報及び偽装レジストリ情報のうち少なくともいずれか1つを含むことを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項13】
前記悪性プロセス情報は、
前記ユーザ端末のファイル、前記仮想マシンのネットワークアドレス及び前記ユーザ端末のレジストリのうち少なくともいずれか1つに接近するための情報であることを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【請求項14】
前記全域フッキングモジュールは、
前記判断結果、悪性プロセスに該当しなければ、前記ユーザ端末のウィンドウカーネルに前記仮想マシン探知要請を伝達し、前記ユーザ端末のウィンドウカーネルから前記仮想マシン探知要請に対する正常値を受信し、前記プロセスにリターンすることを特徴とする請求項8に記載の偽装仮想マシン情報を利用したインテリジェントボット対応装置。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2011−233125(P2011−233125A)
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願番号】特願2010−173732(P2010−173732)
【出願日】平成22年8月2日(2010.8.2)
【出願人】(596180076)韓國電子通信研究院 (733)
【氏名又は名称原語表記】Electronics and Telecommunications Research Institute
【住所又は居所原語表記】161 Kajong−dong, Yusong−gu, Taejon korea
【Fターム(参考)】
【公開日】平成23年11月17日(2011.11.17)
【国際特許分類】
【出願日】平成22年8月2日(2010.8.2)
【出願人】(596180076)韓國電子通信研究院 (733)
【氏名又は名称原語表記】Electronics and Telecommunications Research Institute
【住所又は居所原語表記】161 Kajong−dong, Yusong−gu, Taejon korea
【Fターム(参考)】
[ Back to top ]