KR100729794B1 - 유해 소프트웨어 자동 치료 시스템 및 방법 - Google Patents
유해 소프트웨어 자동 치료 시스템 및 방법 Download PDFInfo
- Publication number
- KR100729794B1 KR100729794B1 KR1020050100830A KR20050100830A KR100729794B1 KR 100729794 B1 KR100729794 B1 KR 100729794B1 KR 1020050100830 A KR1020050100830 A KR 1020050100830A KR 20050100830 A KR20050100830 A KR 20050100830A KR 100729794 B1 KR100729794 B1 KR 100729794B1
- Authority
- KR
- South Korea
- Prior art keywords
- client
- traffic
- infected
- server
- transmission
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
본 발명에 따른 유해 소프트웨어 자동 치료 시스템은, 하나 이상의 클라이언트; 상기 클라이언트에게 네트워크를 통하여 웹 서비스를 제공하는 웹 서버; 상기 클라이언트에게 상기 네트워크를 통하여 유해 소프트웨어의 치료 서비스를 제공하는 치료 서버; 및 상기 하나 이상의 클라이언트와 상기 네트워크 사이에 위치해서 상기 클라이언트에 대한 송수신 트래픽을 모니터링 및 분석함으로써 상기 유해 소프트웨어에 감염된 감염 클라이언트를 감지하고, 상기 감염 클라이언트의 웹 접속 시 상기 치료 서버로 접속 유도하는 감지/유도 서버를 포함하는 것을 특징으로 한다.
클라이언트, 웹 서버, 치료 서버, 감지/유도 서버
Description
도 1 은 본 발명에 따른 유해 소프트웨어 자동 치료 시스템을 나타내는 도면.
도 2 는 본 발명의 감지/유도 서버의 세부 구성을 나타내는 도면.
도 3 은 본 발명에 따른 유해 소프트웨어 자동 치료 방법을 나타내는 순서도.
<도면의 주요부분에 대한 부호의 설명>
100 클라이언트 200 미러링 장치
300 감지/유도 서버 310 트래픽 모니터링부
320 트래픽 분석부 330 감염 클라이언트 관리부
340 접속 유도부 350 유도 조절부
400 네트워크 500 웹 서버
600 치료 서버 700 유해 서버
800 유해 소프트웨어 자동 치료 시스템
본 발명은 유해 소프트웨어 자동 치료 시스템 및 방법에 관한 것으로, 더욱 상세하게는, 네트워크의 트래픽 분석을 통해 유해 소프트웨어에 감염된 클라이언트를 식별해 내고 그 클라이언트가 유해 소프트웨어를 치료할 수 있는 치료 서버에 자동 접속하도록 하는 유해 소프트웨어 자동 치료 시스템 및 방법에 관한 것이다.
개인용 PC의 보급이 확산되고 인터넷과 같은 통신망이 확충됨에 따라, 네트워크를 이용한 클라이언트를 서비스 요구자로, 서버를 서비스 제공자의 형태로 네트워킹하여 자원을 공유하는 클라이언트/서버 방식이 널리 도입되게 되었다. 이렇게 네트워크를 이용함으로써 클라이언트의 이용 편의성은 더욱 증대되었지만, 컴퓨터 바이러스나 스파이웨어와 같은 불법적인 유해 소프트웨어 또한 서버를 통해 배포됨으로써 클라이언트 PC가 손상되거나 불법적으로 클라이언트 PC로부터 개인정보가 유출되는 사례 역시 급격하게 증가하게 되었다.
이와 같은 문제점을 해결하기 위해, 개인용 PC마다 유해 소프트웨어를 치료할 수 있는 유해 소프트웨어 치료 프로그램을 설치해서 그것을 이용해 클라이언트가 유해 소프트웨어에 감염되었는지 여부를 검출하고 치료하는 기술이 보급되었다. 즉, 개인용 PC의 메모리 및 파일을 검색해서 메모리 시그너쳐나 파일 시그너쳐와 비교하여 유해 소프트웨어를 검출해 낼 수 있는 특별한 프로그램을 이용한 유해 소프트웨어 치료 기술이 보편화되기에 이르렀다.
그러나, 종래의 유해 소프트웨어 치료 기술은 개인용 PC마다 일일이 유해 소프트웨어 치료 프로그램이 설치되어 있어야 하고, 개인용 PC마다 상기 유해 소프트 웨어 치료 프로그램의 업데이트를 실행하지 않는 한, 새로운 컴퓨터 바이러스 등 신규 유해 소프트웨어에 대해서는 여전히 피해 위험에 노출되게 된다는 문제점을 가지고 있다.
본 발명은 상술한 종래기술의 문제점을 감안하여 이루어진 것으로, 클라이언트 PC마다 일일이 유해 소프트웨어 치료 프로그램을 설치하지 않고도 클라이언트가 유해 소프트웨어에 감염되었음을 감지하여 이를 자동적으로 치료할 수 있는 시스템을 제공하는 것을 제 1 목적으로 한다.
또한, 본 발명은 클라이언트 PC마다 일일이 유해 소프트웨어 치료 프로그램을 설치하지 않고도 클라이언트가 유해 소프트웨어에 감염되었음을 감지하여 이를 자동적으로 치료할 수 있는 방법을 제공하는 것을 제 2 목적으로 한다.
상기 제 1 목적을 달성하기 위해, 본 발명에 따른 유해 소프트웨어 자동 치료 시스템은, 하나 이상의 클라이언트; 상기 클라이언트에게 네트워크를 통하여 웹 서비스를 제공하는 웹 서버; 상기 클라이언트에게 상기 네트워크를 통하여 유해 소프트웨어의 치료 서비스를 제공하는 치료 서버; 및 상기 하나 이상의 클라이언트와 상기 네트워크 사이에 위치해서 상기 클라이언트에 대한 송수신 트래픽을 모니터링 및 분석함으로써 상기 유해 소프트웨어에 감염된 감염 클라이언트를 감지하고, 상기 감염 클라이언트의 웹 접속 시 상기 치료 서버로 접속 유도하는 감지/유도 서버를 포함하는 것을 특징으로 한다.
이와 같이 본 발명은 감지/유도 서버를 설치하여 클라이언트의 송수신 트래픽을 모니터링 및 분석하는 방식에 의해 유해 소프트웨어에 감염된 클라이언트를 찾아내기 때문에, 클라이언트의 사용자가 일일이 유해 소프트웨어 치료 프로그램을 클라이언트 장치에 설치해야 할 필요가 없다. 또한, 유해 소프트웨어의 감지 및 치료는 서버 단계에서 이루어지기 때문에, 유해 소프트웨어를 감지 및 치료하기 위한 데이터베이스와 프로그램의 업데이트 역시 서버 단계에서 이루어지면 충분하다는 장점이 있다. 나아가, 본 발명에 따른 시스템은 감염 클라이언트의 웹 접속 시 치료 서버로 자동 유도케 하는 기능까지 포함하고 있어서, 유해 소프트웨어에 감염된 상태로 클라이언트가 웹 서버에 접속함으로 인해 생길 수 있는 여러 문제들을 미연에 방지할 수도 있다.
여기서, 상기 감지/유도 서버는, 상기 클라이언트에 대한 송수신 트래픽을 모니터링하는 트래픽 모니터링부; 상기 트래픽 모니터링부로부터 송수신 트래픽을 수신·분석함으로써 상기 감염 클라이언트를 판별하는 트래픽 분석부; 상기 트래픽 분석부에 의해 판별된 감염 클라이언트의 IP 목록을 저장·관리하는 감염 클라이언트 관리부; 및 상기 IP 목록상의 감염 클라이언트의 웹 접속 시도가 상기 트래픽 모니터링부에서 모니터링된 때에, 상기 감염 클라이언트를 상기 치료 서버로 접속시키는 유도 접속 동작을 행하는 접속 유도부를 구비하는 것이 바람직하다. 이러한 세부 구성들은 감지/유도 서버의 트래픽 모니터링 및 분석, 그리고 접속 유도 동작의 실행을 위해 필요한 구성이다.
한편, 상기 감지/유도 서버는, 상기 유도 접속 동작을 허용할 것인지 여부를 묻는 메세지를 작성해서 상기 감염 클라이언트로 전송하고 상기 감염 클라이언트로부터 유도 거절 메세지를 받은 경우에는 상기 접속 유도부를 디스에이블시키는 유도 조절부를 더 구비하는 것이 바람직한데, 이는 클라이언트가 웹 서버에 급하게 접속해야 할 사정 등으로 인해 당장의 유해 소프트웨어 치료를 원치 않을 수도 있다는 점을 고려한 구성이다.
또, 본 발명에 따른 유해 소프트웨어 자동 치료 시스템은, 상기 클라이언트와 상기 네트워크 사이에 위치하여 상기 송수신 트래픽을 복제하는 미러링 장치를 더 포함하고, 상기 트래픽 모니터링부는 상기 미러링 장치로부터 복제된 송수신 트래픽을 모니터링하는 것이 바람직하다. 이는 네트워크 패킷을 미러링(패킷의 사본 형성 작업)하고 미러링된 패킷을 검사하는 방식으로 시스템을 운영하는 것이 전체 시스템의 안정적인 동작에 도움이 되기 때문이다. 즉, 본 발명은 감지/유도 서버가 과부하 등으로 인해 오작동하게 될 경우, 감지/유도 서버가 클라이언트와 네트워크의 접속을 끊어버리는 문제점이 생길 가능성을 감안해서, 비교적 안정적인 옵티컬탭(OPTICAL TAP)과 같은 광학 장치를 미러링 장치로서 설치하여 시스템을 운영하도록 한 것이다.
그리고, 상기 유해 소프트웨어는 상기 클라이언트로부터 정보를 불법적으로 유출하는 스파이웨어, 상기 클라이언트를 컴퓨터 바이러스로 감염시키거나 상기 클라이언트의 네트워크 접속을 방해하는 바이러스 프로그램 중 하나 이상을 포함할 수 있다.
또한, 상기 트래픽 분석부가 트래픽 분석을 실행하는 방식으로는, 상기 유해 소프트웨어를 제작하거나 배포한 적이 있는 유해 서버의 IP 목록을 미리 저장해 놓은 상태에서 상기 하나 이상의 클라이언트 중 상기 IP 목록 상의 IP와 트래픽을 발생시키는 클라이언트를 감염 클라이언트로 판별하는 방법; 상기 송수신 트래픽의 전송 프로토콜의 종류와 그 패킷 길이를 기준으로 하여 감염 클라이언트를 판별하는 방법; 유해 소프트웨어임을 나타내는 소정 시그너쳐를 미리 저장해 놓은 상태에서 상기 송수신 트래픽에 포함된 시그너쳐를 분석하여 상기 소정 시그너쳐와 일치하는지 여부에 따라 감염 클라이언트를 판별하는 방법; 및 유해 소프트웨어가 갖는 특징적인 소정 통신 메커니즘을 저장해 놓은 상태에서 상기 소정 통신 메커니즘에 따른 트래픽을 발생시키는 것을 감염 클라이언트로 판별하는 방법이 있을 수 있으며, 이들 방법 중 2 이상의 방법을 조합해서 트래픽을 분석하는 것도 가능하다.
이처럼, 본 발명에 따른 유해 소프트웨어 치료 시스템은, 종래기술에서 개인용 PC에서의 시그너쳐 비교를 통해 유해 소프트웨어를 검출해내는 방식을 벗어나서, 클라이언트가 유해 소프트웨어에 감염되었을 때 나타나는 이상 징후를 트래픽 분석을 통해 파악하는 방식에 의해 감염 클라이언트인지 여부를 가려내는 방식을 채택하고 있다.
한편, 상기 제 2 목적을 달성하기 위해, 본 발명에 따른 방법은, 하나 이상의 클라이언트의 네트워크를 통한 송수신 트래픽을 모니터링하는 제 1 단계; 상기 송수신 트래픽을 분석함으로써 상기 하나 이상의 클라이언트 중 유해 소프트웨어에 감염된 감염 클라이언트를 판별하는 제 2 단계; 및 상기 감염 클라이언트의 웹 접속 시 상기 유해 소프트웨어를 치료하게 하는 치료 서버로 접속 유도하는 제 3 단 계를 포함하는 것을 특징으로 한다.
여기서, 상기 제 2 단계는 상기 감염 클라이언트의 IP 목록을 저장·관리하는 단계를 포함하는 것이 바람직한데, 이는 접속 유도가 필요한 클라이언트가 무엇인지 보다 신속하게 찾아내기 위함이다.
나아가, 상기 제 3 단계는 클라이언트에게 상기 치료 서버로의 접속 유도를 허용할 것인지 여부를 묻는 단계를 더 포함하는 것이 바람직하다.
본 발명에 따른 시스템의 경우와 마찬가지로, 상기 제 1 단계에서의 상기 송수신 트래픽은 미러링에 의해 복제된 송수신 트래픽인 것이 좋다. 이로써, 미러링 검사 방식을 채택하여 유해 소프트웨어 치료 방법을 보다 안정적으로 실행할 수 있다.
상기 유해 소프트웨어는 상기 클라이언트로부터 정보를 불법적으로 유출하는 스파이웨어, 상기 클라이언트를 컴퓨터 바이러스로 감염시키거나 상기 클라이언트의 네트워크 접속을 방해하는 바이러스 프로그램 중 하나 이상을 포함할 수 있다.
한편, 상기 제 2 단계에 있어서 트래픽의 분석은, 상기 유해 소프트웨어를 제작하거나 배포한 적이 있는 유해 서버의 IP 목록을 미리 저장해 놓은 상태에서 상기 하나 이상의 클라이언트 중 상기 IP 목록 상의 IP와 트래픽을 발생시키는 클라이언트를 감염 클라이언트로 판별하는 단계; 상기 송수신 트래픽의 전송 프로토콜의 종류와 그 패킷 길이를 기준으로 하여 감염 클라이언트를 판별하는 단계; 유해 소프트웨어임을 나타내는 소정 시그너쳐를 미리 저장해 놓은 상태에서 상기 송수신 트래픽에 포함된 시그너쳐를 분석하여 상기 소정 시그너쳐와 일치하는지 여부 에 따라 감염 클라이언트를 판별하는 단계; 및 유해 소프트웨어가 갖는 특징적인 소정 통신 메커니즘을 저장해 놓은 상태에서 상기 소정 통신 메커니즘에 따른 트래픽을 발생시키는 것을 감염 클라이언트로 판별하는 단계 중 하나 또는 2 이상의 조합에 의해 이루어질 수 있다.
이하, 첨부도면을 참조하여 본 발명에 따른 유해 소프트웨어 자동 치료 시스템에 대해 상세하게 설명한다.
도 1 은 본 발명에 따른 유해 소프트웨어 자동 치료 시스템(800)을 나타낸 도면이고 도 2 는 본 발명의 핵심 구성인 감지/유도 서버(300)의 세부 구성을 나타내는 도면이다. 도 1 에 있어서, 하나 이상의 클라이언트(100)는 네트워크(400)를 통해 웹 서버(500)에 접속하여 인터넷 서핑 등을 하게 되는데, 네트워크(400)에 연결된 유해 서버(700)에 의해 스파이웨어나 컴퓨터 바이러스와 같은 유해 소프트웨어가 다운로드되어 스파이웨어 등에 의해 감염되는 경우가 생길 수 있다.
본 발명에 따른 유해 소프트웨어 자동 치료 시스템은, 이와 같은 클라이언트(100)의 피해를 막기 위해, 치료 서버(600)와 감지/유도 서버(300)를 포함하는 구성을 취하고 있다. 종래의 유해 소프트웨어 치료 방식은 클라이언트(100)에 일일이 유해 소프트웨어 치료 프로그램을 설치하여야 하는데 반해, 본 발명의 경우에는 트래픽 분석 방식으로 유해 소프트웨어에 감염된 클라이언트를 판별하고 치료 서버(600)에서 적절한 조치를 받도록 하는 시스템을 구현하였다. 본 발명에 따른 시스템(800)의 세부 동작을 도 2 와 함께 상세하게 설명하면 다음과 같다.
감지/유도 서버(300)는, 클라이언트(100)에 대한 송수신 트래픽을 모니터링 하는 트래픽 모니터링부(310)와, 트래픽 모니터링부(310)로부터 송수신 트래픽을 수신·분석함으로써 유해 소프트웨어에 감염된 감염 클라이언트를 판별하는 트래픽 분석부(320)와, 트래픽 분석부(320)에 의해 판별된 감염 클라이언트의 IP 목록을 저장·관리하는 감염 클라이언트 관리부(330)와, IP 목록상의 감염 클라이언트의 웹 접속 시도가 트래픽 모니터링부(310)에서 모니터링된 때에 감염 클라이언트를 치료 서버(600)로 접속시키는 유도 접속 동작을 행하는 접속 유도부(340)를 구비하고 있다.
우선, 감지/유도 서버(300)의 트래픽 모니터링부(310)는 클라이언트(100)가 네트워크(400)를 통해 송수신하는 트래픽을 모니터링한다. 따라서, 감지/유도 서버(300)는 클라이언트(100)와 네트워크(400) 사이에 존재해야 하는데, 클라이언트(100)와 네트워크(400)의 사이에 직접 연결되어 트래픽 모니터링을 할 경우에는 감지/유도 서버(300)에 장애가 발생하면 클라이언트(100)의 네트워크 접속 자체가 불가능해진다는 문제점이 있기 때문에, 도 1 에서와 같이 미러링 장치(200)를 설치하여 미러링 장치(200)로부터 복제되는 트래픽을 분석하도록 하는 것이 바람직하다. 여기서, 미러링 장치(200)는 전자 장치보다는 OPTICAL TAP 과 같은 광학 장치로 구성하는 것이 보통인데, 이 점 때문에 미러링 장치(200)에 성능 저하나 오류가 생길 가능성이 매우 낮아, 클라이언트(100)의 네트워크 접속을 불필요하게 방해할 가능성 또한 적다는 장점이 있다.
트래픽 모니터링부(310)로부터의 복제 송수신 트래픽은 트래픽 분석부(320)로 전달되며, 트래픽 분석부(320)는 복제된 송수신 트래픽을 분석한다. 트래픽을 분석하는 방식으로는, 예들 들어, 유해 소프트웨어를 제작하거나 배포한 적이 있는 유해 서버(700)의 IP 목록을 미리 저장해 놓은 상태에서 하나 이상의 클라이언트(100) 중 유해 서버 IP 목록 상의 IP와 트래픽을 주고받는 클라이언트를 감염 클라이언트로 판별하는 제 1 방법과, 송수신 트래픽의 전송 프로토콜의 종류와 그 패킷 길이를 기준으로 하여 감염 클라이언트를 판별하는 제 2 방법과, 유해 소프트웨어임을 나타내는 소정 시그너쳐를 미리 저장해 놓은 상태에서 송수신 트래픽에 포함된 시그너쳐를 분석하여 소정 시그너쳐와 일치하는지 여부에 따라 감염 클라이언트를 판별하는 제 3 방법과, 유해 소프트웨어가 갖는 특징적인 소정 통신 메커니즘을 저장해 놓은 상태에서 소정 통신 메커니즘에 따른 트래픽을 발생시키는 것을 감염 클라이언트로 판별하는 제 4 방법 등 다양한 방법이 있을 수 있으며, 이들 방법을 2 이상 조합해서 트래픽 분석에 적용하는 것도 가능하다.
위에서 예를 든 4가지 방법에 대해 좀 더 구체적으로 설명하면 다음과 같다. 제 1 방법은, 예컨대 특정 스파이웨어가 개인정보를 유출시켜 전송하는 서버 IP 및 대상 포트가 111.111.111.111 및 8080포트라는 점을 트래픽 분석부(320)에 입력한 다음, 미러링 장치(200)에 의해 복제되어 수신된 특정 클라이언트(100)의 트래픽이 111.111.111.111의 IP를 가진 서버의 8080포트로 전송됨이 분석된 경우에 해당 특정 클라이언트(100)를 감염 클라이언트로서 판별하는 방법이다. 제 2 방법은, 예컨대 특정 웜 바이러스가 UDP 프로토콜을 이용하여 2330바이트 이상의 패킷을 반복 송출하는 특성을 나타낸다는 점을 판별 기준으로서 트래픽 분석부(320)에 입력하고, 트래픽 분석부(320)가 이러한 판별 기준에 맞는 송수신 트래픽을 검출한 때에 는 그 트래픽을 주고받은 클라이언트를 감염 클라이언트로서 판별하는 방식이다. 제 3 방법은, 특정한 컴퓨터 바이러스의 경우에는 시그너쳐로서 "CIH_VIRUS_OPEN"이라는 스트링을 포함하고 있다면, 이를 트래픽 분석의 기준으로서 트래픽 분석부(320)에 입력해서 감염 클라이언트를 분석해 내는 방식이다. 끝으로, 제 4 방법은, 예컨대 특정 스파이웨어가 개인정보를 유출할 때에는 "스파이웨어 서버(700)에 접속/스파이웨어 서버(700)로 42바이트 패킷 송신/스파이웨어 서버(700)가 8바이트 패킷으로 답신/답신이 전송되면 패킷 유출/접속 해제"와 같은 통신 메커니즘을 형성한다는 점을 판별 기준으로 삼는 방식이다.
트래픽 분석부(320)에 의해 감염 클라이언트로 판별된 경우에는 감염 클라이언트 관리부(330)가 감염 클라이언트의 IP 목록을 저장하며, 트래픽 모니터링부(310)는, 감염 클라이언트 IP 목록을 참조하여, 감염 클라이언트가 웹에 접속하려고 하는지 여부를 모니터링한다.
트래픽 모니터링부(310)가 감염 클라이언트의 웹 접속 시도를 감지한 때에는 이를 접속 유도부(340)로 통지하고, 접속 유도부(340)는 웹 서버(500)에는 마치 클라이언트(100)가 작성한 것과 같은 웹 접속 차단 메세지를 보내어서 웹 접속을 차단하고, 클라이언트(100)에는 치료 서버(600)로의 접속을 위한 메세지를 보낸다. 이로써 클라이언트(100)는 유해 소프트웨어에 감염된 경우에는 웹 접속을 하기 이전에 유해 소프트웨어의 치료부터 자동적으로 받을 수 있게 되는 것이다.
다만, 사용자측의 사정으로 인해 클라이언트(100)의 감염 사실을 알고도 웹 접속을 원하는 경우가 있을 수 있기 때문에, 감지/유도 서버(300)에는 유도 조절부 (350)를 설치하여, 일단은 감염 클라이언트(100)에게 접속 유도를 묻게 하고 클라이언트가 접속 유도를 원치 않는다는 응답을 보내오면 접속 유도부(340)를 디스에이블시키도록 하는 것이 바람직하다. 나아가, 유도 조절부(350)로 하여금 감염 클라이언트 관리부(330)에 소정의 서비스료를 지급한 클라이언트로서 등재되지 않았는지 여부를 조회하도록 하고 그 조회 결과에 따라 접속 유도부의 디스에이블 여부를 조절하도록 하는 구성도 가능할 것이다.
이제, 도 3 을 참조하여 본 발명에 따른 유해 소프트웨어 자동 치료 방법을 설명한다. 도 3 을 참조하면, 우선 클라이언트(100)의 송수신 트래픽을 모니터링한다(S1). 앞서 설명한 바와 같이, 송수신 트래픽을 복제한 후에 복제된 트래픽을 모니터링함으로써 클라이언트(100)의 네트워크 접속 안정성을 도모할 수 있다. 다음으로, 송수신 트래픽을 분석(S2)하여 감염 클라이언트인지 여부를 판별하는데(S3), 스텝 S2 에서 트래픽을 분석하는 방법으로는 앞서 설명한 제 1 내지 제 4 방법이나 이들을 조합한 방법 등을 사용할 수 있을 것이다. 스텝 S3 에서 감염 클라이언트가 아니라고 판별된 경우에는 트래픽 모니터링을 계속 실시하면 되고, 스텝 S3 에서 감염 클라이언트로 판별된 경우에는 해당 감염 클라이언트의 웹 접속 시도를 모니터링한다(S4). 이 때, 감염 클라이언트의 IP 목록을 미리 저장해 놓으면, 그 IP 목록을 참조함으로써 보다 신속하게 감염 클라이언트를 모니터링할 수 있을 것이다.
스텝 S5 에서, 감염 클라이언트의 웹 접속이 감지된 때에는 치료 서버(600)로 접속 유도를 하고(S6), 그렇지 않으면 스텝 S4 로 돌아가서 감염 클라이언트의 웹 접속 여부를 계속 모니터링하면 된다.
물론, S1 의 실행 이전 단계에서 또는 S6 에서의 접속 유도 이전 단계에서, 소정의 서비스료를 납부한 클라이언트인지 여부를 판별하도록 하는 스텝을 추가하는 것도 가능할 것이며, 스텝 S5 에서 "예"라고 판별된 때에 클라이언트(100)에게 접속 유도를 원하는지 여부를 질의하는 스텝을 포함하도록 하여도 좋을 것이다.
본 발명에 의하면, 클라이언트 PC마다 일일이 유해 소프트웨어 치료 프로그램을 설치하지 않고도 클라이언트가 유해 소프트웨어에 감염되었음을 감지해서 자동적으로 치료하는 것이 가능하다.
Claims (12)
- 하나 이상의 클라이언트;상기 클라이언트에게 네트워크를 통하여 웹 서비스를 제공하는 웹 서버;상기 클라이언트에게 상기 네트워크를 통하여 유해 소프트웨어의 치료 서비스를 제공하는 치료 서버; 및상기 하나 이상의 클라이언트와 상기 네트워크 사이에 위치해서 상기 클라이언트에 대한 송수신 트래픽을 모니터링 및 분석함으로써 상기 유해 소프트웨어에 감염된 감염 클라이언트를 감지하고, 상기 감염 클라이언트의 웹 접속 시 상기 치료 서버로 접속 유도하는 감지/유도 서버를 포함하는 것을 특징으로 하는 유해 소프트웨어 자동 치료 시스템.
- 제 1 항에 있어서,상기 감지/유도 서버는,상기 클라이언트에 대한 송수신 트래픽을 모니터링하는 트래픽 모니터링부;상기 트래픽 모니터링부로부터 송수신 트래픽을 수신·분석함으로써 상기 감염 클라이언트를 판별하는 트래픽 분석부;상기 트래픽 분석부에 의해 판별된 감염 클라이언트의 IP 목록을 저장·관리하는 감염 클라이언트 관리부; 및상기 IP 목록상의 감염 클라이언트의 웹 접속 시도가 상기 트래픽 모니터링 부에서 모니터링된 때에, 상기 감염 클라이언트를 상기 치료 서버로 접속시키는 유도 접속 동작을 행하는 접속 유도부를 구비하는 것을 특징으로 하는 유해 소프트웨어 자동 치료 시스템.
- 제 2 항에 있어서,상기 감지/유도 서버는, 상기 유도 접속 동작을 허용할 것인지 여부를 묻는 메세지를 작성해서 상기 감염 클라이언트로 전송하고 상기 감염 클라이언트로부터 유도 거절 메세지를 받은 경우에는 상기 접속 유도부를 디스에이블시키는 유도 조절부를 더 구비하는 것을 특징으로 하는 유해 소프트웨어 자동 치료 시스템.
- 제 2 항에 있어서,상기 클라이언트와 상기 네트워크 사이에 위치하여 상기 송수신 트래픽을 복제하는 미러링 장치를 더 포함하고,상기 트래픽 모니터링부는 상기 미러링 장치로부터 복제된 송수신 트래픽을 모니터링하는 것을 특징으로 하는 유해 소프트웨어 자동 치료 시스템.
- 제 2 항에 있어서,상기 유해 소프트웨어는 상기 클라이언트로부터 정보를 불법적으로 유출하는 스파이웨어, 상기 클라이언트를 컴퓨터 바이러스로 감염시키거나 상기 클라이언트의 네트워크 접속을 방해하는 바이러스 프로그램 중 하나 이상을 포함하는 것을 특 징으로 하는 유해 소프트웨어 자동 치료 시스템.
- 제 2 항 내지 제 5 항 중 어느 한 항에 있어서,상기 트래픽 분석부는,상기 유해 소프트웨어를 제작하거나 배포한 적이 있는 유해 서버의 IP 목록을 미리 저장해 놓은 상태에서 상기 하나 이상의 클라이언트 중 상기 IP 목록 상의 IP와 트래픽을 발생시키는 클라이언트를 감염 클라이언트로 판별하는 방법; 상기 송수신 트래픽의 전송 프로토콜의 종류와 그 패킷 길이를 기준으로 하여 감염 클라이언트를 판별하는 방법; 유해 소프트웨어임을 나타내는 소정 시그너쳐를 미리 저장해 놓은 상태에서 상기 송수신 트래픽에 포함된 시그너쳐를 분석하여 상기 소정 시그너쳐와 일치하는지 여부에 따라 감염 클라이언트를 판별하는 방법; 및 유해 소프트웨어가 갖는 특징적인 소정 통신 메커니즘을 저장해 놓은 상태에서 상기 소정 통신 메커니즘에 따른 트래픽을 발생시키는 것을 감염 클라이언트로 판별하는 방법 중 하나 이상의 방법을 실행하는 것을 특징으로 하는 유해 소프트웨어 자동 치료 시스템.
- 하나 이상의 클라이언트의 네트워크를 통한 송수신 트래픽을 모니터링하는 제 1 단계;상기 송수신 트래픽을 분석함으로써 상기 하나 이상의 클라이언트 중 유해 소프트웨어에 감염된 감염 클라이언트를 판별하는 제 2 단계; 및상기 감염 클라이언트의 웹 접속 시 상기 유해 소프트웨어를 치료하게 하는 치료 서버로 접속 유도하는 제 3 단계를 포함하는 것을 특징으로 하는 유해 소프트웨어 자동 치료 방법.
- 제 7 항에 있어서,상기 제 2 단계는 상기 감염 클라이언트의 IP 목록을 저장·관리하는 단계를 포함하는 것을 특징으로 하는 유해 소프트웨어 자동 치료 방법.
- 제 7 항에 있어서,상기 제 3 단계는 클라이언트에게 상기 치료 서버로의 접속 유도를 허용할 것인지 여부를 묻는 단계를 더 포함하는 것을 특징으로 하는 유해 소프트웨어 자동 치료 방법.
- 제 7 항에 있어서,상기 제 1 단계에서의 상기 송수신 트래픽은 미러링에 의해 복제된 송수신 트래픽인 것을 특징으로 하는 유해 소프트웨어 자동 치료 방법.
- 제 7 항에 있어서,상기 유해 소프트웨어는 상기 클라이언트로부터 정보를 불법적으로 유출하는 스파이웨어, 상기 클라이언트를 컴퓨터 바이러스로 감염시키거나 상기 클라이언트 의 네트워크 접속을 방해하는 바이러스 프로그램 중 하나 이상을 포함하는 것을 특징으로 하는 유해 소프트웨어 자동 치료 방법.
- 제 7 항 내지 제 11 항 중 어느 한 항에 있어서,상기 제 2 단계는, 상기 유해 소프트웨어를 제작하거나 배포한 적이 있는 유해 서버의 IP 목록을 미리 저장해 놓은 상태에서 상기 하나 이상의 클라이언트 중 상기 IP 목록 상의 IP와 트래픽을 발생시키는 클라이언트를 감염 클라이언트로 판별하는 단계; 상기 송수신 트래픽의 전송 프로토콜의 종류와 그 패킷 길이를 기준으로 하여 감염 클라이언트를 판별하는 단계; 유해 소프트웨어임을 나타내는 소정 시그너쳐를 미리 저장해 놓은 상태에서 상기 송수신 트래픽에 포함된 시그너쳐를 분석하여 상기 소정 시그너쳐와 일치하는지 여부에 따라 감염 클라이언트를 판별하는 단계; 및 유해 소프트웨어가 갖는 특징적인 소정 통신 메커니즘을 저장해 놓은 상태에서 상기 소정 통신 메커니즘에 따른 트래픽을 발생시키는 것을 감염 클라이언트로 판별하는 단계 중 하나 이상을 포함하는 것을 특징으로 하는 유해 소프트웨어 자동 치료 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050100830A KR100729794B1 (ko) | 2005-10-25 | 2005-10-25 | 유해 소프트웨어 자동 치료 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020050100830A KR100729794B1 (ko) | 2005-10-25 | 2005-10-25 | 유해 소프트웨어 자동 치료 시스템 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20070044666A KR20070044666A (ko) | 2007-04-30 |
| KR100729794B1 true KR100729794B1 (ko) | 2007-06-20 |
Family
ID=38178525
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020050100830A KR100729794B1 (ko) | 2005-10-25 | 2005-10-25 | 유해 소프트웨어 자동 치료 시스템 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100729794B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101951730B1 (ko) * | 2016-11-02 | 2019-02-25 | 주식회사 아이티스테이션 | 지능형 지속위협 환경에서의 통합 보안 시스템 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100495777B1 (ko) | 2005-02-23 | 2005-06-16 | 노태호 | 에이전트를 활용한 클라이언트 통합 관리 시스템 |
-
2005
- 2005-10-25 KR KR1020050100830A patent/KR100729794B1/ko not_active IP Right Cessation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100495777B1 (ko) | 2005-02-23 | 2005-06-16 | 노태호 | 에이전트를 활용한 클라이언트 통합 관리 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20070044666A (ko) | 2007-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11916933B2 (en) | Malware detector | |
| EP3127301B1 (en) | Using trust profiles for network breach detection | |
| US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
| US7506056B2 (en) | System analyzing configuration fingerprints of network nodes for granting network access and detecting security threat | |
| US8839442B2 (en) | System and method for enabling remote registry service security audits | |
| KR100798923B1 (ko) | 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체 | |
| TWI402691B (zh) | 用於保護計算裝置或網路裝置免於受到網路上經識別安全威脅的網路安全模組及方法 | |
| US20160127417A1 (en) | Systems, methods, and devices for improved cybersecurity | |
| KR102580898B1 (ko) | Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법 | |
| CN109922062B (zh) | 源代码泄露监控方法及相关设备 | |
| US20070294699A1 (en) | Conditionally reserving resources in an operating system | |
| US20220159024A1 (en) | Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
| KR101600302B1 (ko) | 클라우드 멀티백신을 이용한 보안방법 및 그 장치 | |
| KR20180047935A (ko) | 지능형 지속위협 환경에서의 통합 보안 시스템 | |
| US8862730B1 (en) | Enabling NAC reassessment based on fingerprint change | |
| KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
| KR100729794B1 (ko) | 유해 소프트웨어 자동 치료 시스템 및 방법 | |
| KR20180051806A (ko) | 도메인 네임 시스템 화이트리스트 데이터베이스를 이용한 파밍 공격 차단 시스템 및 그 방법 | |
| KR20150026187A (ko) | 드로퍼 판별을 위한 시스템 및 방법 | |
| KR100695489B1 (ko) | 프로파일링 기반 웹 서비스 보안 시스템 및 그 방법 | |
| KR101997181B1 (ko) | Dns관리장치 및 그 동작 방법 | |
| KR102174507B1 (ko) | 통신 게이트웨이 방화벽 자동설정장치 및 그 방법 | |
| US11451584B2 (en) | Detecting a remote exploitation attack | |
| JP7518859B2 (ja) | Dnsメッセージを使用してコンピュータ・フォレンジック・データを選択的に収集するためのシステムおよび方法 | |
| RU2776349C1 (ru) | Системы и способы использования сообщений dns для селективного сбора компьютерных криминалистических данных |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| G170 | Publication of correction | ||
| FPAY | Annual fee payment |
Payment date: 20130610 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20140529 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20150608 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20160609 Year of fee payment: 10 |
|
| LAPS | Lapse due to unpaid annual fee |