WO2018088680A1 - Security system and method for processing request for access to blocked site - Google Patents

Security system and method for processing request for access to blocked site Download PDF

Info

Publication number
WO2018088680A1
WO2018088680A1 PCT/KR2017/008937 KR2017008937W WO2018088680A1 WO 2018088680 A1 WO2018088680 A1 WO 2018088680A1 KR 2017008937 W KR2017008937 W KR 2017008937W WO 2018088680 A1 WO2018088680 A1 WO 2018088680A1
Authority
WO
WIPO (PCT)
Prior art keywords
destination address
blocked
security server
client terminal
access
Prior art date
Application number
PCT/KR2017/008937
Other languages
French (fr)
Korean (ko)
Inventor
박형배
강경태
Original Assignee
주식회사 수산아이앤티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 수산아이앤티 filed Critical 주식회사 수산아이앤티
Publication of WO2018088680A1 publication Critical patent/WO2018088680A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Definitions

  • One embodiment of the present invention relates to a security system and a method for blocking a malicious site, and a technique for processing a request for access to a blocked site after blocking a site including malicious code.
  • the site contains malicious code, but even if you have to access the site inevitably due to important tasks, there is a problem that can not be accessed due to blocking.
  • the present invention was derived to solve the problems of the prior art, and an object of the present invention is to provide a security system and method for processing a request for access to a blocked site after blocking a site containing malicious code.
  • the present invention relates to a security system and a method for processing an access request to a blocked site, and upon detecting that the client terminal transmits a packet to the blocked site, a blocking message including an access permission button to the client terminal.
  • the purpose of the present invention is to provide a method capable of reflecting the user's intention by informing the user that the blocked site is generated by transmitting and generating the message and allowing the user to connect to the blocked site when requesting the connection.
  • a method for processing an access request from a security server to a blocked site mirroring the packet through the network equipment connected to the client terminal in the security server Doing; Extracting a destination address from the packet at the security server; Confirming, by the security server, whether the destination address is a blocked address; And if the destination address is a blocked address at the security server, generating a blocking message including an access permission button and transmitting the generated blocking message to the client terminal.
  • the blocking message may further include at least one of a reason for blocking, a blocked time, and a time remaining until the blocking is released.
  • the determining whether the destination address is a blocked address in the security server may include determining that the destination address is a blocked address when the destination address is blocked and does not pass a predetermined period.
  • the access permission button may be a button for transmitting the URL information including the information to confirm that the request to ignore the blocking to the URL of the destination address and the information of the client terminal to the security server.
  • the method for processing a request for access to a blocked site may further include the step of not blocking a packet transmitted by the client terminal to the destination address for a preset period when it detects that the access permission button is input. have.
  • the method for processing a request for access to a blocked site may include: re-checking whether a malicious code exists in the destination address when detecting that the access permission button is input; And if the malicious code does not exist as a result of the re-scan may further comprise the step of releasing the block.
  • the method for processing a request for access to a blocked site includes: generating a second blocking message including the access permission button and transmitting the generated second blocking message to the security server if a malicious code exists as a result of re-examination; And detecting that the access permission button included in the secondary blocking message is input, the client terminal not blocking a packet transmitted to the destination address for a preset period of time.
  • the method for processing a request for access to a blocked site may further include releasing the blocking of the destination address when a predetermined time elapses since the destination address is set to the blocked address.
  • the mirroring unit for mirroring the packet (packet) through the network equipment connected to the client terminal;
  • a blocking processing unit which extracts a destination address from the packet, checks whether the destination address is a blocked address, and if the destination address is a blocked address, generates a blocking message including an access permission button and transmits the blocking message to the client terminal.
  • the access permission button may be a button for transmitting the URL information including the information to confirm that the request to ignore the blocking to the URL of the destination address and the information of the client terminal to the security server.
  • the security server may further include an access request processing unit that does not block the packet transmitted by the client terminal to the destination address for a preset period when it detects that the access permission button is input.
  • the security server may further include an access request processing unit for re-checking whether or not a malicious code exists in the destination address, and releasing the block if no malicious code exists as a result of the re-scanning.
  • the access request processing unit if a malicious code exists as a result of re-examination, generates a secondary block message including the access permission button and transmits it to the security server, and the access permission button included in the secondary block message is inputted. If it is detected that the client terminal does not block the packet transmitted to the destination address for a predetermined period.
  • the present invention relates to a security system and a method for processing an access request to a blocked site.
  • the client terminal detects that a packet is transmitted to a blocked site, the present invention generates and transmits a blocking message including an access permission button to the client terminal.
  • the user of the client terminal can be accessed when the user of the client terminal continues to request the connection while notifying the user that the site is blocked.
  • FIG. 1 is a view showing a schematic configuration of a security system according to an embodiment of the present invention.
  • FIG. 2 is a diagram illustrating a configuration of a security server of a security system according to an embodiment of the present invention.
  • FIG. 3 is a flowchart illustrating an example of a process of processing an access request to a blocked site in a security server according to an embodiment of the present invention.
  • FIG. 4 is a flowchart illustrating another example of a process of processing an access request to a blocked site in a security server according to an embodiment of the present invention.
  • FIG. 5 is a flowchart illustrating still another example of a process of processing an access request to a blocked site in a security server according to an embodiment of the present invention.
  • FIG. 6 is a diagram illustrating an example of a blocking message generated by a security server according to an embodiment of the present invention.
  • Embodiments according to the inventive concept may be variously modified and have various forms, so embodiments are illustrated in the drawings and described in detail herein. However, this is not intended to limit the embodiments in accordance with the concept of the present invention to specific embodiments, and includes modifications, equivalents, or substitutes included in the spirit and scope of the present invention.
  • first or second may be used to describe various components, but the components should not be limited by the terms. The terms are only for the purpose of distinguishing one component from another component, for example, without departing from the scope of the rights according to the inventive concept, the first component may be called a second component, Similarly, the second component may also be referred to as the first component.
  • FIGS. 1 to 6 a security system and a method for processing an access request to a blocked site according to an embodiment of the present invention will be described in detail with reference to FIGS. 1 to 6.
  • FIG. 1 is a view showing a schematic configuration of a security system according to an embodiment of the present invention.
  • the security server 130 may be connected to a network device to which the client terminal 110 is connected through a tap (TAP) 120 to mirror a DNS query packet through the network device.
  • the security server 130 may store a list of uniform resource locators (URLs) of sites to be blocked.
  • the client terminal 110 may have at least one client connected to the Internet 100.
  • the client may be a terminal such as a PC or a smart phone.
  • the security server 130 mirrors a packet through a network device to which the client terminal 110 is connected, extracts a destination address from the packet, checks whether the destination address is a blocked address, and if the destination address is a blocked address, A blocking message including a connection permission button may be generated and transmitted to the client terminal 110.
  • FIG. 2 is a diagram illustrating a configuration of a security server of a security system according to an embodiment of the present invention.
  • the security server 130 of the present invention includes a control unit 210, a mirroring unit 212, a blocking processing unit 214, a connection request processing unit 216, a communication unit 220, and a storage unit 230. Can be used to handle access requests to blocked sites.
  • the communication unit 220 is a communication interface device including a receiver and a transmitter to transmit and receive data by wire or wirelessly.
  • the communication unit 220 may receive a mirrored packet transmitted and received between the client terminal 110 and the Internet 100 through a tap (TAP) 120 and transmit the blocking message to the client terminal 110. You may.
  • TAP tap
  • the storage unit 230 stores an operating system, an application, and storage data for controlling the overall operation of the security server 130.
  • the storage unit 230 may manage the information of the blocked site according to the present invention.
  • the blocked site information may include an address (eg, a URL) of the blocked site, and may further include information such as a reason for blocking, a blocked time, and a time remaining until the blocking is released. .
  • the mirroring unit 212 may control the communication unit 220 to mirror the packet through the network equipment to which the client terminal 110 is connected and provide the packet to the blocking processing unit 214.
  • the blocking processing unit 214 extracts the destination address from the received packet by mirroring, checks whether the destination address is a blocked address, and if the destination address is a blocked address, a blocking including an access permission button as shown in the example of FIG. 6 below. A message can be generated and sent to the client terminal. In this case, the blocking processing unit 214 may determine that the blocked address when the destination address is blocked and does not pass the preset period.
  • FIG. 6 is a diagram illustrating an example of a blocking message generated by a security server according to an embodiment of the present invention.
  • the blocking message 600 may include an access permission button 610 in addition to a description of a reason for blocking and a problem that may occur when connecting.
  • the access permission button is a button for transmitting the URL information including the information to confirm that the request to ignore the blocking to the URL of the destination address and the information of the client terminal to the security server.
  • a new URL address may be generated to allow the security server 110 to confirm that the request is ignored by inserting a special symbol allowing access to the URL address of an existing malicious site.
  • malware code URL is the address of the malicious site containing the malicious code to be accessed by the client terminal 110, "http: // blocking equipment address / removemalwareurl?" Can be confirmed that the request to ignore the block Corresponds to information.
  • malware code URL is the address of the malicious site including the malicious code to be accessed by the client terminal 110, and "####" corresponds to information that can confirm that the request to ignore the blocking.
  • the blocking message 600 may further include blocked time information indicating when it was blocked or information about the time remaining until the blocking is released.
  • connection request processing unit 216 detects that the access permission button is input, the client terminal 110 does not block the packet transmitted to the destination address during the release period.
  • the access request processing unit 216 may recheck whether the malicious code exists in the destination address, and may release the block if the malicious code does not exist as a result of the rescan.
  • the access request processing unit 216 generates a secondary blocking message including a connection permission button and transmits it to the security server 130 if a malicious code exists as a result of re-inspection, and the access permission button included in the secondary blocking message is input. If it is detected that the client terminal 110 may not block the packet transmitted to the destination address during the release period, which is a predetermined period.
  • connection request processing unit 216 to re-examine the presence of malicious code to prevent the frequent occurrence by the request of the various client terminals to perform the re-examination of the malicious code only when a predetermined inspection period has passed. It may be.
  • the controller 210 may control the overall operation of the security server 130.
  • the controller 210 may perform the functions of the mirroring unit 212, the blocking processing unit 214, and the connection request processing unit 216.
  • the control unit 1210, the mirroring unit 212, the blocking processing unit 214, and the connection request processing unit 216 are illustrated separately to describe each function.
  • the controller 210 may include at least one processor configured to perform functions of the mirroring unit 212, the blocking processing unit 214, and the connection request processing unit 216.
  • the controller 210 may include at least one processor configured to perform some of the functions of the mirroring unit 212, the blocking processing unit 214, and the connection request processing unit 216.
  • the blocking processing unit 214 releases the blocking of the destination address when the blocking release time, which is a preset time after the destination address is set to the blocked address, elapses.
  • the unblocking time is a time expected to have cured the malicious code included in the site, and may be differentially set according to the recognition of the site.
  • a site of a high-recognition site bank can be set to an unblocking time of 1 hour
  • a site of a blog of a low-perception personal blog can be set to a week.
  • FIG. 3 is a flowchart illustrating an example of a process of processing an access request to a blocked site in a security server according to an embodiment of the present invention.
  • the security server 130 mirrors a packet through a network device to which the client terminal 110 is connected (310).
  • the security server 130 extracts a destination address from the mirrored packet (312).
  • the security server 130 checks whether the destination address is a blocked address (314).
  • a blocking message including a connection permission button is generated and the mirrored packet is transmitted to the transmitted client terminal 110 (316).
  • the access permission button may be a button for transmitting the URL information including the information to confirm that the request to ignore the blocking to the URL of the destination address and the information of the client terminal to the security server 130.
  • the client terminal 110 does not block the packet transmitted to the destination address for a predetermined period (320).
  • FIG. 4 is a flowchart illustrating another example of a process of processing an access request to a blocked site in a security server according to an embodiment of the present invention.
  • the security server 130 mirrors a packet through a network device to which the client terminal 110 is connected (410).
  • the security server 130 extracts a destination address from the mirrored packet (412).
  • the security server 130 checks whether the destination address is a blocked address (414).
  • a blocking message including an access permission button is generated and the mirrored packet is transmitted to the transmitted client terminal 110 (416).
  • the access permission button may be a button for transmitting the URL information including the information to confirm that the request to ignore the blocking to the URL of the destination address and the information of the client terminal to the security server 130.
  • the security server 130 detects that the access permission button is input (418), the security server 130 rechecks whether malicious code exists in the destination address (420), and checks whether malicious code exists in the destination address (422).
  • step 422 If the malicious code does not exist in step 422, the security server 130 releases the block to the destination address (424).
  • the security server 130 determines whether the malicious code is present as a result of step 422 or not. If the malicious code is present as a result of step 422, the security server 130 generates a secondary blocking message including a button to allow the connection and transmits to the security server (426).
  • the client terminal 110 does not block the packet transmitted to the destination address for a predetermined period (430). .
  • FIG. 5 is a flowchart illustrating still another example of a process of processing an access request to a blocked site in a security server according to an embodiment of the present invention.
  • the security server 130 mirrors a packet through a network device to which the client terminal 110 is connected (510).
  • the security server 130 extracts a destination address from the mirrored packet (512).
  • the security server 130 checks whether the destination address is a blocked address (514).
  • a blocking message including a connection permission button is generated and the mirrored packet is transmitted to the transmitted client terminal 110 (416).
  • the access permission button may be a button for transmitting the URL information including the information to confirm that the request to ignore the blocking to the URL of the destination address and the information of the client terminal to the security server 130.
  • the security server 130 checks whether a predetermined inspection period has elapsed after checking whether a malicious code exists for a destination address (520).
  • step 520 If the verification period in step 520 does not pass, the security server 130 does not block the packet transmitted by the client terminal 110 to the destination address for a predetermined period of time (522).
  • the security server 130 checks again whether or not the malicious code exists in the destination address (524), and checks whether or not the malicious code exists in the destination address (526).
  • step 526 If the malicious code is present as a result of step 526, the security server 130 returns to step 516 to perform the subsequent process.
  • step 526 the security server 130 releases the block to the destination address (424).
  • the apparatus described above may be implemented as a hardware component, a software component, and / or a combination of hardware components and software components.
  • the apparatus and components described in the embodiments are, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA), programmable logic (PLU), and the like.
  • unit, microprocessor, or any other device capable of executing and responding to instructions may be implemented using one or more general purpose or special purpose computers.
  • the processing device may execute an operating system (OS) and one or more software applications running on the operating system.
  • the processing device may also access, store, manipulate, process, and generate data in response to the execution of the software.
  • OS operating system
  • the processing device may also access, store, manipulate, process, and generate data in response to the execution of the software.
  • processing device includes a plurality of processing elements and / or a plurality of types of processing elements. It can be seen that it may include.
  • the processing device may include a plurality of processors or one processor and one controller.
  • other processing configurations are possible, such as parallel processors.
  • the software may include a computer program, code, instructions, or a combination of one or more of the above, and configure the processing device to operate as desired, or process it independently or collectively. You can command the device.
  • Software and / or data may be any type of machine, component, physical device, virtual equipment, computer storage medium or device in order to be interpreted by or to provide instructions or data to the processing device. Or may be permanently or temporarily embodied in a signal wave to be transmitted.
  • the software may be distributed over networked computer systems so that they may be stored or executed in a distributed manner.
  • Software and data may be stored on one or more computer readable recording media.
  • Method according to the embodiment is implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium.
  • the computer readable medium may include program instructions, data files, data structures, etc. alone or in combination.
  • Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present disclosure, or they may be of the kind well-known and available to those having skill in the computer software arts.
  • Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks.
  • Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.
  • the hardware device described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a security system and method which: mirrors a packet passing through network equipment to which a client terminal is connected; extracts a destination address from the packet; checks whether the destination address is a blocked address; and when the destination address is a blocked address, generates a block message including an access permission button and transmits the same to the client terminal, so as to notify a user of the client terminal that the destination is a currently-blocked site, and checks whether the user will, nevertheless, access the blocked site.

Description

차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법Security system and method for handling access requests to blocked sites
이하의 일 실시 예들은 악성 사이트를 차단하는 보안 시스템 및 방법에 관한 것으로, 악성코드를 포함한 사이트를 차단한 후에 차단된 사이트로의 접속 요청을 처리하는 기술에 관한 것이다.One embodiment of the present invention relates to a security system and a method for blocking a malicious site, and a technique for processing a request for access to a blocked site after blocking a site including malicious code.
최근 웹 사이트를 통해 악성코드를 유포하는 공격이 발생하고 있는데, 이러한 악성코드들은 사용자가 인식 할 수 없는 상태에서 다운로드 되고 실행되어 큰 위협이 되고 있다. 이렇게 감염된 사용자의 PC(personal computer)는 공인 인증서나 개인정보와 같은 중요 정보를 유출하거나 봇(Bot)이 되어 공격자의 명령에 따라 공격을 대신 수행함으로써 2차 피해를 발생시키게 된다.Recently, an attack that spreads malicious code through a web site has occurred, and these malicious codes are downloaded and executed without the user's recognition, which is a great threat. The infected user's PC (personal computer) leaks important information such as a public certificate or personal information, or becomes a bot (bot) to perform an attack according to the attacker's command, causing secondary damage.
따라서 이러한 위협으로부터 사용자의 PC(personal computer)를 보호하기 위해 네트워크 상의 웹사이트를 이용하여 전파되는 악성 프로그램의 공격을 탐지하고 차단하는 기술들이 개발되고 적용되고 있다.Therefore, in order to protect a user's personal computer (PC) from these threats, technologies for detecting and blocking attacks of malicious programs spreading by using websites on a network have been developed and applied.
하지만, 악성 사이트를 차단하는 기존의 대부분의 기술들은 악성 사이트를 검색하면 해당 악성 사이트를 일정기간 차단함으로써, 이를 이용하고자 하는 사용자가 해당 사이트에 포함된 악성코드가 치료되었음에도 차단이 계속되어 해당 사이트를 이용하지 못하고 차단 장치를 관리하는 관리자에게 차단을 해지하도록 요청하는 문제가 발생하였다.However, most existing technologies that block malicious sites block malicious sites for a certain period of time when they search for malicious sites, so that users who want to use them continue to block even if the malware contained in the site is cured. There was a problem of requesting the administrator who manages the blocking device not to use it to cancel the blocking.
또한, 악성코드를 포함하고 있는 사이트이지만, 중요업무로 인해 부득이하게 해당 사이트에 접속을 해야만 하는 경우에도 차단으로 인해서 접속을 하지 못하는 문제가 발생하기도 한다.In addition, the site contains malicious code, but even if you have to access the site inevitably due to important tasks, there is a problem that can not be accessed due to blocking.
따라서, 악성 사이트로 차단된 이후에도 사용자의 요청에 따라서는 해당 사이트로의 접속을 허용할 수 있는 방법이 요구된다.Therefore, even after being blocked as a malicious site, a method for allowing access to the corresponding site is required at the request of the user.
본 발명은 상기와 같은 종래 기술의 문제점을 해결하고자 도출된 것으로서, 악성코드를 포함한 사이트를 차단한 후에 차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법을 제공하는 것을 목적으로 한다.The present invention was derived to solve the problems of the prior art, and an object of the present invention is to provide a security system and method for processing a request for access to a blocked site after blocking a site containing malicious code.
구체적으로, 본 발명은 차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법에 관한 것으로, 클라이언트 단말이 차단된 사이트로 패킷을 전송함을 감지하면, 클라이언트 단말로 접속허용 버튼을 포함하는 차단 메시지를 생성해서 송신함으로써 사용자에게 차단된 사이트임을 고지시키고, 그럼에도 접속을 요청하는 경우 차단된 사이트로 접속할 수 있도록 함으로써, 사용자의 의도를 반영할 수 있는 방법을 제공하는 것을 목적으로 한다.Specifically, the present invention relates to a security system and a method for processing an access request to a blocked site, and upon detecting that the client terminal transmits a packet to the blocked site, a blocking message including an access permission button to the client terminal. The purpose of the present invention is to provide a method capable of reflecting the user's intention by informing the user that the blocked site is generated by transmitting and generating the message and allowing the user to connect to the blocked site when requesting the connection.
상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법은, 보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 단계; 상기 보안 서버에서 상기 패킷으로부터 목적지 주소를 추출하는 단계; 상기 보안 서버에서 상기 목적지 주소가 차단된 주소인지 확인하는 단계; 및 상기 보안 서버에서 상기 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 상기 클라이언트 단말로 송신하는 단계를 포함한다.In order to achieve the above object, a method for processing an access request from a security server to a blocked site according to an embodiment of the present invention, mirroring the packet through the network equipment connected to the client terminal in the security server Doing; Extracting a destination address from the packet at the security server; Confirming, by the security server, whether the destination address is a blocked address; And if the destination address is a blocked address at the security server, generating a blocking message including an access permission button and transmitting the generated blocking message to the client terminal.
이때, 상기 차단 메시지는, 차단이 된 이유, 차단된 시각 및 차단이 해제되기까지 남은 시간 중에서 적어도 하나를 더 포함할 수 있다.In this case, the blocking message may further include at least one of a reason for blocking, a blocked time, and a time remaining until the blocking is released.
이때, 상기 보안 서버에서 상기 목적지 주소가 차단된 주소인지 확인하는 단계는, 상기 목적지 주소가 차단되고 기설정된 기간을 경과하지 않은 경우 차단된 주소로 판단하는 단계를 포함할 수 있다.In this case, the determining whether the destination address is a blocked address in the security server may include determining that the destination address is a blocked address when the destination address is blocked and does not pass a predetermined period.
이때, 상기 접속허용 버튼은, 상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 상기 클라이언트 단말의 정보를 상기 보안 서버로 송신하는 버튼일 수 있다.In this case, the access permission button may be a button for transmitting the URL information including the information to confirm that the request to ignore the blocking to the URL of the destination address and the information of the client terminal to the security server.
이때, 차단된 사이트로의 접속 요청을 처리하는 방법은, 상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는 단계를 더 포함할 수 있다.In this case, the method for processing a request for access to a blocked site may further include the step of not blocking a packet transmitted by the client terminal to the destination address for a preset period when it detects that the access permission button is input. have.
이때, 차단된 사이트로의 접속 요청을 처리하는 방법은, 상기 접속허용 버튼이 입력됨을 감지하면, 상기 목적지 주소에 악성 코드가 존재하는지 재검사하는 단계; 및 재검사 결과 악성 코드가 존재하지 않으면 차단을 해제하는 단계를 더 포함할 수 있다.In this case, the method for processing a request for access to a blocked site may include: re-checking whether a malicious code exists in the destination address when detecting that the access permission button is input; And if the malicious code does not exist as a result of the re-scan may further comprise the step of releasing the block.
이때, 차단된 사이트로의 접속 요청을 처리하는 방법은, 재검사 결과 악성 코드가 존재하면 상기 접속허용 버튼을 포함하는 2차 차단 메시지를 생성해서 상기 보안 서버로 송신하는 단계; 및 상기 2차 차단 메시지에 포함된 상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는 단계를 더 포함할 수 있다.In this case, the method for processing a request for access to a blocked site includes: generating a second blocking message including the access permission button and transmitting the generated second blocking message to the security server if a malicious code exists as a result of re-examination; And detecting that the access permission button included in the secondary blocking message is input, the client terminal not blocking a packet transmitted to the destination address for a preset period of time.
이때, 차단된 사이트로의 접속 요청을 처리하는 방법은, 상기 목적지 주소가 차단된 주소로 설정된지 기설정된 시간이 경과되면, 상기 목적지 주소의 차단을 해제하는 단계를 더 포함할 수 있다.In this case, the method for processing a request for access to a blocked site may further include releasing the blocking of the destination address when a predetermined time elapses since the destination address is set to the blocked address.
본 발명의 일 실시 예에 따른 보안 서버는, 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 미러링부; 및 상기 패킷으로부터 목적지 주소를 추출하고, 상기 목적지 주소가 차단된 주소인지 확인하고, 상기 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 상기 클라이언트 단말로 송신하는 차단 처리부를 포함한다.Security server according to an embodiment of the present invention, the mirroring unit for mirroring the packet (packet) through the network equipment connected to the client terminal; And a blocking processing unit which extracts a destination address from the packet, checks whether the destination address is a blocked address, and if the destination address is a blocked address, generates a blocking message including an access permission button and transmits the blocking message to the client terminal. Include.
이때, 상기 접속허용 버튼은, 상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 상기 클라이언트 단말의 정보를 상기 보안 서버로 송신하는 버튼일 수 있다.In this case, the access permission button may be a button for transmitting the URL information including the information to confirm that the request to ignore the blocking to the URL of the destination address and the information of the client terminal to the security server.
이때, 보안 서버는, 상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는 접속요청 처리부를 더 포함할 수 있다.In this case, the security server may further include an access request processing unit that does not block the packet transmitted by the client terminal to the destination address for a preset period when it detects that the access permission button is input.
이때, 보안 서버는 상기 접속허용 버튼이 입력됨을 감지하면, 상기 목적지 주소에 악성 코드가 존재하는지 재검사하고, 재검사 결과 악성 코드가 존재하지 않으면 차단을 해제하는 접속요청 처리부를 더 포함할 수 있다.In this case, when detecting that the access permission button is input, the security server may further include an access request processing unit for re-checking whether or not a malicious code exists in the destination address, and releasing the block if no malicious code exists as a result of the re-scanning.
이때, 상기 접속요청 처리부는, 재검사 결과 악성 코드가 존재하면 상기 접속허용 버튼을 포함하는 2차 차단 메시지를 생성해서 상기 보안 서버로 송신하고, 상기 2차 차단 메시지에 포함된 상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않을 수 있다.At this time, the access request processing unit, if a malicious code exists as a result of re-examination, generates a secondary block message including the access permission button and transmits it to the security server, and the access permission button included in the secondary block message is inputted. If it is detected that the client terminal does not block the packet transmitted to the destination address for a predetermined period.
본 발명은 차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법에 관한 것으로 클라이언트 단말이 차단된 사이트로 패킷을 전송함을 감지하면, 클라이언트 단말로 접속허용 버튼을 포함하는 차단 메시지를 생성해서 송신함으로써 사용자에게 차단된 사이트임을 고지시키면서도 클라이언트 단말의 사용자가 계속해서 접속을 요청하는 경우에 접속할 수 있도록 할 수 있다.The present invention relates to a security system and a method for processing an access request to a blocked site. When the client terminal detects that a packet is transmitted to a blocked site, the present invention generates and transmits a blocking message including an access permission button to the client terminal. In this way, the user of the client terminal can be accessed when the user of the client terminal continues to request the connection while notifying the user that the site is blocked.
도 1은 본 발명의 일 실시 예에 따른 보안 시스템의 개략적인 구성을 도시한 도면이다.1 is a view showing a schematic configuration of a security system according to an embodiment of the present invention.
도 2는 본 발명의 일 실시 예에 따른 보안 시스템의 보안 서버의 구성을 도시한 도면이다.2 is a diagram illustrating a configuration of a security server of a security system according to an embodiment of the present invention.
도 3은 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 과정의 일 예를 도시한 흐름도이다.3 is a flowchart illustrating an example of a process of processing an access request to a blocked site in a security server according to an embodiment of the present invention.
도 4는 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 과정의 다른 예를 도시한 흐름도이다.4 is a flowchart illustrating another example of a process of processing an access request to a blocked site in a security server according to an embodiment of the present invention.
도 5는 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 과정의 또 다른 예를 도시한 흐름도이다.5 is a flowchart illustrating still another example of a process of processing an access request to a blocked site in a security server according to an embodiment of the present invention.
도 6은 본 발명의 일 실시 예에 따른 보안 서버에서 생성하는 차단 메시지의 예를 도시한 도면이다.6 is a diagram illustrating an example of a blocking message generated by a security server according to an embodiment of the present invention.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.Specific structural or functional descriptions of the embodiments according to the inventive concept disclosed herein are provided for the purpose of describing the embodiments according to the inventive concept only. It may be implemented in various forms and is not limited to the embodiments described herein.
본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 변경, 균등물, 또는 대체물을 포함한다.Embodiments according to the inventive concept may be variously modified and have various forms, so embodiments are illustrated in the drawings and described in detail herein. However, this is not intended to limit the embodiments in accordance with the concept of the present invention to specific embodiments, and includes modifications, equivalents, or substitutes included in the spirit and scope of the present invention.
제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만, 예를 들어 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.Terms such as first or second may be used to describe various components, but the components should not be limited by the terms. The terms are only for the purpose of distinguishing one component from another component, for example, without departing from the scope of the rights according to the inventive concept, the first component may be called a second component, Similarly, the second component may also be referred to as the first component.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 표현들, 예를 들어 "~사이에"와 "바로~사이에" 또는 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that there is no other component in between. Expressions describing relationships between components, such as "between" and "immediately between" or "directly neighboring", should be interpreted as well.
본 명세서에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this specification, terms such as "comprise" or "have" are intended to designate that the implemented feature, number, step, operation, component, part, or combination thereof is present, but one or more other features or numbers, It is to be understood that it does not exclude in advance the possibility of the presence or addition of steps, actions, components, parts or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art, and are not construed in ideal or excessively formal meanings unless expressly defined herein. Do not.
이하, 실시 예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 특허출원의 범위가 이러한 실시 예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, exemplary embodiments will be described in detail with reference to the accompanying drawings. However, the scope of the patent application is not limited or limited by these embodiments. Like reference numerals in the drawings denote like elements.
이하에서는, 본 발명의 일 실시 예에 따른 차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법을 첨부된 도 1 내지 도 6을 참조하여 상세히 설명한다.Hereinafter, a security system and a method for processing an access request to a blocked site according to an embodiment of the present invention will be described in detail with reference to FIGS. 1 to 6.
도 1은 본 발명의 일 실시 예에 따른 보안 시스템의 개략적인 구성을 도시한 도면이다.1 is a view showing a schematic configuration of a security system according to an embodiment of the present invention.
도 1을 참조하면, 보안 서버(130)는 탭(TAP)(120)을 통해서 클라이언트 단말(110)이 연결된 네트워크 장비에 연결되어 네트워크 장비를 통하는 DNS 쿼리 패킷(DNS query packet)을 미러링할 수 있다. 보안 서버(130)는 차단하는 사이트의 URL(uniform resource locator) 리스트를 저장할 수 있다. 이때, 클라이언트 단말(110)은 적어도 하나 이상의 클라이언트가 인터넷(100)에 접속될 수 있다. 예를 들면, 클라이언트는 PC, 스마트 폰과 같은 단말이 될 수 있다. Referring to FIG. 1, the security server 130 may be connected to a network device to which the client terminal 110 is connected through a tap (TAP) 120 to mirror a DNS query packet through the network device. . The security server 130 may store a list of uniform resource locators (URLs) of sites to be blocked. In this case, the client terminal 110 may have at least one client connected to the Internet 100. For example, the client may be a terminal such as a PC or a smart phone.
보안 서버(130)는 클라이언트 단말(110)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하고, 패킷으로부터 목적지 주소를 추출하고, 목적지 주소가 차단된 주소인지 확인하여 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 클라이언트 단말(110)로 송신할 수 있다.The security server 130 mirrors a packet through a network device to which the client terminal 110 is connected, extracts a destination address from the packet, checks whether the destination address is a blocked address, and if the destination address is a blocked address, A blocking message including a connection permission button may be generated and transmitted to the client terminal 110.
보안 서버(130)의 구체적인 구성과 그 동작은 이후 도 2에서 도 6을 참조해서 보다 상세히 후술한다.A detailed configuration and operation of the security server 130 will be described later in more detail with reference to FIGS. 2 to 6.
도 2는 본 발명의 일 실시 예에 따른 보안 시스템의 보안 서버의 구성을 도시한 도면이다.2 is a diagram illustrating a configuration of a security server of a security system according to an embodiment of the present invention.
도 2를 참조하면, 본 발명의 보안 서버(130)는 제어부(210), 미러링부(212), 차단 처리부(214), 접속요청 처리부(216), 통신부(220) 및 저장부(230)를 이용해서 차단된 사이트로의 접속 요청을 처리할 수 있다.2, the security server 130 of the present invention includes a control unit 210, a mirroring unit 212, a blocking processing unit 214, a connection request processing unit 216, a communication unit 220, and a storage unit 230. Can be used to handle access requests to blocked sites.
통신부(220)는 수신기(Receiver)와 송신기(transmitter)를 포함하는 통신 인터페이스 장치로서 유선 또는 무선으로 데이터를 송수신한다. 통신부(220)는 탭(TAP)(120)을 통해서 네트워크와 연결되어 클라이언트 단말(110)과 인터넷(100) 간에 송수신되는 패킷을 미러링하여 수신할 수 있고, 클라이언트 단말(110)로 차단 메시지를 송신할 수도 있다.The communication unit 220 is a communication interface device including a receiver and a transmitter to transmit and receive data by wire or wirelessly. The communication unit 220 may receive a mirrored packet transmitted and received between the client terminal 110 and the Internet 100 through a tap (TAP) 120 and transmit the blocking message to the client terminal 110. You may.
저장부(230)는 보안 서버(130)의 전반적인 동작을 제어하기 위한 운영체제, 응용 프로그램 및 저장용 데이터를 저장한다. 또한, 저장부(230)는 본 발명에 따라 차단된 사이트의 정보를 관리할 수 있다. 이때, 차단된 사이트의 정보는 차단된 사이트의 주소(예를 들어 URL)를 포함하고, 추가로 차단이 된 이유, 차단된 시각 및 차단이 해제되기까지 남은 시간 등의 정보를 더 포함할 수 있다.The storage unit 230 stores an operating system, an application, and storage data for controlling the overall operation of the security server 130. In addition, the storage unit 230 may manage the information of the blocked site according to the present invention. In this case, the blocked site information may include an address (eg, a URL) of the blocked site, and may further include information such as a reason for blocking, a blocked time, and a time remaining until the blocking is released. .
미러링부(212)는 통신부(220)를 제어해서 클라이언트 단말(110)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하여 차단 처리부(214)로 제공할 수 있다.The mirroring unit 212 may control the communication unit 220 to mirror the packet through the network equipment to which the client terminal 110 is connected and provide the packet to the blocking processing unit 214.
차단 처리부(214)는 미러링하여 수신된 패킷으로부터 목적지 주소를 추출하고, 목적지 주소가 차단된 주소인지 확인하고, 목적지 주소가 차단된 주소이면, 아래 도 6의 예와 같이 접속허용 버튼을 포함하는 차단 메시지를 생성해서 클라이언트 단말로 송신할 수 있다. 이때, 차단 처리부(214)는 목적지 주소가 차단되고 기설정된 기간을 경과하지 않은 경우에 차단된 주소로 판단할 수 있다.The blocking processing unit 214 extracts the destination address from the received packet by mirroring, checks whether the destination address is a blocked address, and if the destination address is a blocked address, a blocking including an access permission button as shown in the example of FIG. 6 below. A message can be generated and sent to the client terminal. In this case, the blocking processing unit 214 may determine that the blocked address when the destination address is blocked and does not pass the preset period.
도 6은 본 발명의 일 실시 예에 따른 보안 서버에서 생성하는 차단 메시지의 예를 도시한 도면이다.6 is a diagram illustrating an example of a blocking message generated by a security server according to an embodiment of the present invention.
도 6을 참조하면, 차단 메시지(600)는 차단이 된 이유 및 접속을 하는 경우 발생할 수 있는 문제에 관한 설명에 더해서 접속허용 버튼(610)을 포함할 수 있다. 접속허용 버튼은 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 클라이언트 단말의 정보를 보안 서버로 송신하는 버튼이다.Referring to FIG. 6, the blocking message 600 may include an access permission button 610 in addition to a description of a reason for blocking and a problem that may occur when connecting. The access permission button is a button for transmitting the URL information including the information to confirm that the request to ignore the blocking to the URL of the destination address and the information of the client terminal to the security server.
접속허용 버튼이 입력되면 기존의 악성 사이트의 URL 주소에 접속을 허용하는 특수기호를 삽입함으로써 차단을 무시하는 요청임을 보안 서버(110)에서 확인할 수 있도록 하는 새로운 URL 주소를 생성할 수 있다.When the access permission button is input, a new URL address may be generated to allow the security server 110 to confirm that the request is ignored by inserting a special symbol allowing access to the URL address of an existing malicious site.
예 1) http://차단장비주소/removemalwareurl?악성코드URLExample 1) http: // blocking device address / removemalwareurl? Malware URL
여기서, "악성코드URL"는 클라이언트 단말(110)이 접속하고자 하는 악성 코드를 포함하는 악성 사이트의 주소이고, "http://차단장비주소/removemalwareurl?"는 차단을 무시하는 요청임을 확인할 수 있는 정보에 해당한다.Here, the "malware code URL" is the address of the malicious site containing the malicious code to be accessed by the client terminal 110, "http: // blocking equipment address / removemalwareurl?" Can be confirmed that the request to ignore the block Corresponds to information.
예 2) 악성코드URL/####Example 2) Malware URL / ####
여기서, "악성코드URL"는 클라이언트 단말(110)이 접속하고자 하는 악성 코드를 포함하는 악성 사이트의 주소이고, "####"는 차단을 무시하는 요청임을 확인할 수 있는 정보에 해당한다.Here, the "malware code URL" is the address of the malicious site including the malicious code to be accessed by the client terminal 110, and "####" corresponds to information that can confirm that the request to ignore the blocking.
한편, 차단 메시지(600)는 도 6에는 도시되지 않았지만, 언제 차단되었는지를 알려주는 차단된 시각 정보 또는 차단이 해제되기까지 남은 시간에 관한 정보를 더 포함할 수도 있다.Meanwhile, although not shown in FIG. 6, the blocking message 600 may further include blocked time information indicating when it was blocked or information about the time remaining until the blocking is released.
다시 도 2의 설명으로 돌아와서, 접속요청 처리부(216)는 접속허용 버튼이 입력됨을 감지하면, 클라이언트 단말(110)이 목적지 주소로 송신하는 패킷을 기설정된 기간인 차단해제 기간 동안 차단하지 않는다.Returning to the description of FIG. 2 again, if the connection request processing unit 216 detects that the access permission button is input, the client terminal 110 does not block the packet transmitted to the destination address during the release period.
다른 방법으로 접속요청 처리부(216)는 접속허용 버튼이 입력됨을 감지하면, 목적지 주소에 악성 코드가 존재하는지 재검사하고, 재검사 결과 악성 코드가 존재하지 않으면 차단을 해제할 수도 있다.Alternatively, if the connection request processing unit 216 detects that the access permission button is input, the access request processing unit 216 may recheck whether the malicious code exists in the destination address, and may release the block if the malicious code does not exist as a result of the rescan.
이때, 접속요청 처리부(216)는 재검사 결과 악성 코드가 존재하면 접속허용 버튼을 포함하는 2차 차단 메시지를 생성해서 보안 서버(130)로 송신하고, 2차 차단 메시지에 포함된 접속허용 버튼이 입력됨을 감지하면, 클라이언트 단말(110)이 목적지 주소로 송신하는 패킷을 기설정된 기간인 차단해제 기간 동안 차단하지 않을 수 있다.At this time, the access request processing unit 216 generates a secondary blocking message including a connection permission button and transmits it to the security server 130 if a malicious code exists as a result of re-inspection, and the access permission button included in the secondary blocking message is input. If it is detected that the client terminal 110 may not block the packet transmitted to the destination address during the release period, which is a predetermined period.
한편, 접속요청 처리부(216)는 악성 코드의 유무를 재검사함을 여러 클라이언트 단말의 요청에 의해 빈번하게 발생하는 것을 방지하기 위해서 기설정한 검사 기간을 경과한 경우에만 악성코드의 재검사를 수행하도록 할 수도 있다.On the other hand, the connection request processing unit 216 to re-examine the presence of malicious code to prevent the frequent occurrence by the request of the various client terminals to perform the re-examination of the malicious code only when a predetermined inspection period has passed. It may be.
제어부(210)는 보안 서버(130)의 전반적인 동작을 제어할 수 있다. 그리고, 제어부(210)는 미러링부(212), 차단 처리부(214) 및 접속요청 처리부(216)의 기능을 수행할 수 있다. 제어부(1210), 미러링부(212), 차단 처리부(214) 및 접속요청 처리부(216)를 구분하여 도시한 것은 각 기능들을 구별하여 설명하기 위함이다. 따라서 제어부(210)는 미러링부(212), 차단 처리부(214) 및 접속요청 처리부(216) 각각의 기능을 수행하도록 구성된(configured) 적어도 하나의 프로세서를 포함할 수 있다. 또한, 제어부(210)는 미러링부(212), 차단 처리부(214) 및 접속요청 처리부(216) 각각의 기능 중 일부를 수행하도록 구성된(configured) 적어도 하나의 프로세서를 포함할 수 있다.The controller 210 may control the overall operation of the security server 130. The controller 210 may perform the functions of the mirroring unit 212, the blocking processing unit 214, and the connection request processing unit 216. The control unit 1210, the mirroring unit 212, the blocking processing unit 214, and the connection request processing unit 216 are illustrated separately to describe each function. Accordingly, the controller 210 may include at least one processor configured to perform functions of the mirroring unit 212, the blocking processing unit 214, and the connection request processing unit 216. In addition, the controller 210 may include at least one processor configured to perform some of the functions of the mirroring unit 212, the blocking processing unit 214, and the connection request processing unit 216.
한편, 차단 처리부(214)는 목적지 주소가 차단된 주소로 설정된 후에 기설정된 시간인 차단 해제 시간을 경과하면, 목적지 주소의 차단을 해제한다. 이때, 차단 해제 시간은 해당 사이트에 포함된 악성코드를 치료했을 것이라고 예상되는 시간으로, 해당 사이트의 인지도에 따라 차등적으로 설정될 수 있다. 즉, 인지도가 높은 사이트 은행 관련 사이트의 경우는 차단 해제 시간을 1시간으로 설정하고, 인지도가 낮은 개인 블로그에 관련된 사이트의 경우는 차단 해제시간을 1주일로 설정할 수 있다.Meanwhile, the blocking processing unit 214 releases the blocking of the destination address when the blocking release time, which is a preset time after the destination address is set to the blocked address, elapses. At this time, the unblocking time is a time expected to have cured the malicious code included in the site, and may be differentially set according to the recognition of the site. In other words, a site of a high-recognition site bank can be set to an unblocking time of 1 hour, and a site of a blog of a low-perception personal blog can be set to a week.
이하, 상기와 같이 구성된 본 발명에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법을 아래에서 도면을 참조하여 설명한다.Hereinafter, a method of processing an access request to a blocked site in a security server according to the present invention configured as described above will be described with reference to the accompanying drawings.
도 3은 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 과정의 일 예를 도시한 흐름도이다.3 is a flowchart illustrating an example of a process of processing an access request to a blocked site in a security server according to an embodiment of the present invention.
도 3을 참조하면, 보안 서버(130)는 클라이언트 단말(110)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링한다(310).Referring to FIG. 3, the security server 130 mirrors a packet through a network device to which the client terminal 110 is connected (310).
그리고, 보안 서버(130)는 미러링한 패킷으로부터 목적지 주소를 추출한다(312).The security server 130 extracts a destination address from the mirrored packet (312).
그리고, 보안 서버(130)는 목적지 주소가 차단된 주소인지 확인한다(314).The security server 130 checks whether the destination address is a blocked address (314).
314단계의 확인결과 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 미러링한 패킷을 송신한 클라이언트 단말(110)로 송신한다(316). 이때, 접속허용 버튼은 상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 클라이언트 단말의 정보를 보안 서버(130)로 송신하는 버튼일 수 있다.If it is determined in step 314 that the destination address is a blocked address, a blocking message including a connection permission button is generated and the mirrored packet is transmitted to the transmitted client terminal 110 (316). In this case, the access permission button may be a button for transmitting the URL information including the information to confirm that the request to ignore the blocking to the URL of the destination address and the information of the client terminal to the security server 130.
이후, 보안 서버(130)는 접속허용 버튼이 입력됨을 감지하면(318), 클라이언트 단말(110)이 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않다(320).Thereafter, if the security server 130 detects that the access permission button is input (318), the client terminal 110 does not block the packet transmitted to the destination address for a predetermined period (320).
도 4는 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 과정의 다른 예를 도시한 흐름도이다.4 is a flowchart illustrating another example of a process of processing an access request to a blocked site in a security server according to an embodiment of the present invention.
도 4를 참조하면, 보안 서버(130)는 클라이언트 단말(110)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링한다(410).Referring to FIG. 4, the security server 130 mirrors a packet through a network device to which the client terminal 110 is connected (410).
그리고, 보안 서버(130)는 미러링한 패킷으로부터 목적지 주소를 추출한다(412).The security server 130 extracts a destination address from the mirrored packet (412).
그리고, 보안 서버(130)는 목적지 주소가 차단된 주소인지 확인한다(414).The security server 130 checks whether the destination address is a blocked address (414).
414단계의 확인결과 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 미러링한 패킷을 송신한 클라이언트 단말(110)로 송신한다(416). 이때, 접속허용 버튼은 상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 클라이언트 단말의 정보를 보안 서버(130)로 송신하는 버튼일 수 있다.If it is determined in step 414 that the destination address is the blocked address, a blocking message including an access permission button is generated and the mirrored packet is transmitted to the transmitted client terminal 110 (416). In this case, the access permission button may be a button for transmitting the URL information including the information to confirm that the request to ignore the blocking to the URL of the destination address and the information of the client terminal to the security server 130.
이후, 보안 서버(130)는 접속허용 버튼이 입력됨을 감지하면(418), 목적지 주소에 악성 코드가 존재하는지 재검사하고(420), 목적지 주소에 악성 코드가 존재하는지 확인한다(422).Thereafter, when the security server 130 detects that the access permission button is input (418), the security server 130 rechecks whether malicious code exists in the destination address (420), and checks whether malicious code exists in the destination address (422).
422단계의 확인결과 악성 코드가 존재하지 않으면, 보안 서버(130)는 목적지 주소로의 차단을 해제한다(424).If the malicious code does not exist in step 422, the security server 130 releases the block to the destination address (424).
한편, 422단계의 확인결과 악성 코드가 존재하면, 보안 서버(130)는 접속허용 버튼을 포함하는 2차 차단 메시지를 생성해서 보안 서버로 송신한다(426).On the other hand, if the malicious code is present as a result of step 422, the security server 130 generates a secondary blocking message including a button to allow the connection and transmits to the security server (426).
그리고, 보안 서버(130)는 2차 차단 메시지에 포함된 접속허용 버튼이 입력됨을 감지되면(428), 클라이언트 단말(110)이 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는다(430).If the security server 130 detects that the access permission button included in the secondary blocking message is input (428), the client terminal 110 does not block the packet transmitted to the destination address for a predetermined period (430). .
도 5는 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 과정의 또 다른 예를 도시한 흐름도이다.5 is a flowchart illustrating still another example of a process of processing an access request to a blocked site in a security server according to an embodiment of the present invention.
도 5를 참조하면, 보안 서버(130)는 클라이언트 단말(110)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링한다(510).Referring to FIG. 5, the security server 130 mirrors a packet through a network device to which the client terminal 110 is connected (510).
그리고, 보안 서버(130)는 미러링한 패킷으로부터 목적지 주소를 추출한다(512).The security server 130 extracts a destination address from the mirrored packet (512).
그리고, 보안 서버(130)는 목적지 주소가 차단된 주소인지 확인한다(514).The security server 130 checks whether the destination address is a blocked address (514).
514단계의 확인결과 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 미러링한 패킷을 송신한 클라이언트 단말(110)로 송신한다(416). 이때, 접속허용 버튼은 상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 클라이언트 단말의 정보를 보안 서버(130)로 송신하는 버튼일 수 있다.If it is determined in step 514 that the destination address is the blocked address, a blocking message including a connection permission button is generated and the mirrored packet is transmitted to the transmitted client terminal 110 (416). In this case, the access permission button may be a button for transmitting the URL information including the information to confirm that the request to ignore the blocking to the URL of the destination address and the information of the client terminal to the security server 130.
이후, 보안 서버(130)는 접속허용 버튼이 입력됨을 감지하면(518), 목적지 주소에 대한 악성코드의 존재유무를 검사한지 기설정된 검사기간이 경과 되었는지 확인한다(520).Thereafter, when the security server 130 detects that an access permission button is input (518), the security server 130 checks whether a predetermined inspection period has elapsed after checking whether a malicious code exists for a destination address (520).
520단계의 확인결과 검사기간이 경과되지 않았으면, 보안 서버(130)는 클라이언트 단말(110)이 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는다(522).If the verification period in step 520 does not pass, the security server 130 does not block the packet transmitted by the client terminal 110 to the destination address for a predetermined period of time (522).
520단계의 확인결과 검사기간이 경과되었으면, 보안 서버(130)는 목적지 주소에 악성 코드가 존재하는지 재검사하고(524), 목적지 주소에 악성 코드가 존재하는지 확인한다(526).If the check result of the check in step 520 elapses, the security server 130 checks again whether or not the malicious code exists in the destination address (524), and checks whether or not the malicious code exists in the destination address (526).
526단계의 확인결과 악성 코드가 존재하면, 보안 서버(130)는 상술한 516단계로 돌아가서 이후의 과정을 수행한다.If the malicious code is present as a result of step 526, the security server 130 returns to step 516 to perform the subsequent process.
526단계의 확인결과 악성 코드가 존재하지 않으면, 보안 서버(130)는 목적지 주소로의 차단을 해제한다(424).If the malicious code does not exist in step 526, the security server 130 releases the block to the destination address (424).
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 실시 예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The apparatus described above may be implemented as a hardware component, a software component, and / or a combination of hardware components and software components. The apparatus and components described in the embodiments are, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA), programmable logic (PLU), and the like. unit, microprocessor, or any other device capable of executing and responding to instructions, may be implemented using one or more general purpose or special purpose computers. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to the execution of the software. For convenience of explanation, one processing device may be described as being used, but one of ordinary skill in the art will appreciate that the processing device includes a plurality of processing elements and / or a plurality of types of processing elements. It can be seen that it may include. For example, the processing device may include a plurality of processors or one processor and one controller. In addition, other processing configurations are possible, such as parallel processors.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the above, and configure the processing device to operate as desired, or process it independently or collectively. You can command the device. Software and / or data may be any type of machine, component, physical device, virtual equipment, computer storage medium or device in order to be interpreted by or to provide instructions or data to the processing device. Or may be permanently or temporarily embodied in a signal wave to be transmitted. The software may be distributed over networked computer systems so that they may be stored or executed in a distributed manner. Software and data may be stored on one or more computer readable recording media.
실시 예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시 예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Method according to the embodiment is implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present disclosure, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.
이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.Although the embodiments have been described with reference to the limited embodiments and the drawings as described above, various modifications and variations are possible to those skilled in the art from the above description. For example, the described techniques may be performed in a different order than the described method, and / or components of the described systems, structures, devices, circuits, etc. may be combined or combined in a different form than the described method, or other components. Or even if replaced or substituted by equivalents, an appropriate result can be achieved.
그러므로, 다른 구현들, 다른 실시 예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims also fall within the scope of the claims that follow.

Claims (14)

  1. 보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 단계;Mirroring a packet through a network device to which a client terminal is connected in a security server;
    상기 보안 서버에서 상기 패킷으로부터 목적지 주소를 추출하는 단계;Extracting a destination address from the packet at the security server;
    상기 보안 서버에서 상기 목적지 주소가 차단된 주소인지 확인하는 단계; 및Confirming, by the security server, whether the destination address is a blocked address; And
    상기 보안 서버에서 상기 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 상기 클라이언트 단말로 송신하는 단계If the destination address is the blocked address in the security server, generating a block message including an access permission button and transmitting it to the client terminal
    를 포함하는 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.How to handle access requests to a blocked site from a secure server comprising a.
  2. 제1항에 있어서,The method of claim 1,
    상기 차단 메시지는,The blocking message,
    차단이 된 이유, 차단된 시각 및 차단이 해제되기까지 남은 시간 중에서 적어도 하나를 더 포함하는At least one of a reason for blocking, time blocked, and time remaining until the block is released.
    보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.How to handle access requests from a secure server to a blocked site.
  3. 제1항에 있어서,The method of claim 1,
    상기 보안 서버에서 상기 목적지 주소가 차단된 주소인지 확인하는 단계는,The determining whether the destination address is a blocked address in the security server,
    상기 목적지 주소가 차단되고 기설정된 기간을 경과하지 않은 경우 차단된 주소로 판단하는 단계를 포함하는Determining that the destination address is blocked if the destination address has been blocked and has not elapsed.
    보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.How to handle access requests from a secure server to a blocked site.
  4. 제1항에 있어서,The method of claim 1,
    상기 접속허용 버튼은,The connection permission button,
    상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 상기 클라이언트 단말의 정보를 상기 보안 서버로 송신하는 버튼인A button for transmitting URL information including information for confirming that the URL of the destination address is a request to ignore blocking and information of the client terminal to the security server;
    보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.How to handle access requests from a secure server to a blocked site.
  5. 제4항에 있어서,The method of claim 4, wherein
    상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는 단계Not detecting a packet transmitted to the destination address by the client terminal for a preset period when detecting that the access permission button is input;
    를 더 포함하는 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.How to handle the access request to the blocked site from the security server further comprising.
  6. 제4항에 있어서,The method of claim 4, wherein
    상기 접속허용 버튼이 입력됨을 감지하면, 상기 목적지 주소에 악성 코드가 존재하는지 재검사하는 단계; 및Re-checking whether a malicious code exists in the destination address when detecting that the access permission button is input; And
    재검사 결과 악성 코드가 존재하지 않으면 차단을 해제하는 단계Steps to unblock if the malicious code does not exist after rescanning
    를 더 포함하는 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.How to handle the access request to the blocked site from the security server further comprising.
  7. 제6항에 있어서,The method of claim 6,
    재검사 결과 악성 코드가 존재하면 상기 접속허용 버튼을 포함하는 2차 차단 메시지를 생성해서 상기 보안 서버로 송신하는 단계; 및Generating a secondary blocking message including the access permission button and transmitting the generated second blocking message to the security server if a malicious code exists as a result of the re-test; And
    상기 2차 차단 메시지에 포함된 상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는 단계If the client terminal detects that the access permission button included in the secondary blocking message is input, not blocking the packet transmitted by the client terminal to the destination address for a predetermined period of time;
    를 더 포함하는 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.How to handle the access request to the blocked site from the security server further comprising.
  8. 제1항에 있어서,The method of claim 1,
    상기 목적지 주소가 차단된 주소로 설정된지 기설정된 시간이 경과되면, 상기 목적지 주소의 차단을 해제하는 단계를 더 포함하는If the predetermined time has elapsed since the destination address is set as the blocked address, further comprising: unblocking the destination address;
    보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.How to handle access requests from a secure server to a blocked site.
  9. 제1항 내지 제8항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.A computer-readable recording medium in which a program for executing the method of any one of claims 1 to 8 is recorded.
  10. 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 미러링부; 및A mirroring unit mirroring a packet through a network device to which a client terminal is connected; And
    상기 패킷으로부터 목적지 주소를 추출하고, 상기 목적지 주소가 차단된 주소인지 확인하고, 상기 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 상기 클라이언트 단말로 송신하는 차단 처리부A block processing unit which extracts a destination address from the packet, checks whether the destination address is a blocked address, and if the destination address is a blocked address, generates a block message including an access permission button and transmits the block message to the client terminal;
    를 포함하는 보안 서버.Security server comprising a.
  11. 제10항에 있어서,The method of claim 10,
    상기 접속허용 버튼은,The connection permission button,
    상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 상기 클라이언트 단말의 정보를 상기 보안 서버로 송신하는 버튼인A button for transmitting URL information including information for confirming that the URL of the destination address is a request to ignore blocking and information of the client terminal to the security server;
    보안 서버.Security server.
  12. 제11항에 있어서,The method of claim 11,
    상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는 접속요청 처리부When detecting that the access permission button is input, the access request processing unit does not block the packet transmitted by the client terminal to the destination address for a predetermined period of time.
    를 더 포함하는 보안 서버.Security server that includes more.
  13. 제11항에 있어서,The method of claim 11,
    상기 접속허용 버튼이 입력됨을 감지하면, 상기 목적지 주소에 악성 코드가 존재하는지 재검사하고, 재검사 결과 악성 코드가 존재하지 않으면 차단을 해제하는 접속요청 처리부Upon detecting that the access permission button is input, the access request processing unit re-examines whether there is malicious code in the destination address, and releases the block if no malicious code exists as a result of the re-examination.
    를 더 포함하는 보안 서버.Security server that includes more.
  14. 제13항에 있어서,The method of claim 13,
    상기 접속요청 처리부는,The connection request processing unit,
    재검사 결과 악성 코드가 존재하면 상기 접속허용 버튼을 포함하는 2차 차단 메시지를 생성해서 상기 보안 서버로 송신하고, 상기 2차 차단 메시지에 포함된 상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는If the malicious code is present, the client terminal generates a second blocking message including the access permission button and transmits it to the security server, and if the access permission button included in the second blocking message is input, Do not block packets sent to the destination address for a preset period of time
    보안 서버.Security server.
PCT/KR2017/008937 2016-11-09 2017-08-17 Security system and method for processing request for access to blocked site WO2018088680A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020160148534A KR101925314B1 (en) 2016-11-09 2016-11-09 Security system and method for handling access requests to blocked sites
KR10-2016-0148534 2016-11-09

Publications (1)

Publication Number Publication Date
WO2018088680A1 true WO2018088680A1 (en) 2018-05-17

Family

ID=62109812

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2017/008937 WO2018088680A1 (en) 2016-11-09 2017-08-17 Security system and method for processing request for access to blocked site

Country Status (2)

Country Link
KR (1) KR101925314B1 (en)
WO (1) WO2018088680A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935095A (en) * 2020-07-15 2020-11-13 广东电网有限责任公司 Source code leakage monitoring method and device and computer storage medium
WO2023036188A1 (en) * 2021-09-09 2023-03-16 海尔数字科技(青岛)有限公司 Access traffic limiting method and apparatus, device, storage medium, and computer program product

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130067473A1 (en) * 2011-09-10 2013-03-14 Jason R. Olson Modes for Applications
US20140181931A1 (en) * 2007-07-27 2014-06-26 White Sky, Inc. Multi-platform user device malicious website protection system
KR20150127511A (en) * 2014-05-07 2015-11-17 곽정곤 Method and System for detecting of internet request traffics sharing the public IP address using DNS query and HTTP protocol
US20150341379A1 (en) * 2014-05-22 2015-11-26 Accenture Global Services Limited Network anomaly detection
US9473505B1 (en) * 2014-11-14 2016-10-18 Trend Micro Inc. Management of third party access privileges to web services

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140181931A1 (en) * 2007-07-27 2014-06-26 White Sky, Inc. Multi-platform user device malicious website protection system
US20130067473A1 (en) * 2011-09-10 2013-03-14 Jason R. Olson Modes for Applications
KR20150127511A (en) * 2014-05-07 2015-11-17 곽정곤 Method and System for detecting of internet request traffics sharing the public IP address using DNS query and HTTP protocol
US20150341379A1 (en) * 2014-05-22 2015-11-26 Accenture Global Services Limited Network anomaly detection
US9473505B1 (en) * 2014-11-14 2016-10-18 Trend Micro Inc. Management of third party access privileges to web services

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935095A (en) * 2020-07-15 2020-11-13 广东电网有限责任公司 Source code leakage monitoring method and device and computer storage medium
WO2023036188A1 (en) * 2021-09-09 2023-03-16 海尔数字科技(青岛)有限公司 Access traffic limiting method and apparatus, device, storage medium, and computer program product

Also Published As

Publication number Publication date
KR20180051781A (en) 2018-05-17
KR101925314B1 (en) 2018-12-05

Similar Documents

Publication Publication Date Title
WO2021060853A1 (en) Network access control system and method therefor
WO2013002538A2 (en) Method and apparatus for preventing distributed denial of service attack
WO2018056601A1 (en) Device and method for blocking ransomware using contents file access control
JP6470597B2 (en) VPN communication terminal compatible with captive portal, communication control method thereof and program thereof
JP5980968B2 (en) Information processing apparatus, information processing method, and program
WO2017026840A1 (en) Internet connection device, central management server, and internet connection method
WO2018088680A1 (en) Security system and method for processing request for access to blocked site
WO2018016830A1 (en) File encryption prevention apparatus and method
WO2015182873A1 (en) Dns server selective block and dns address modification method using proxy
WO2019066099A1 (en) System for detecting abnormal behavior on basis of integrated analysis model, and method therefor
WO2015099287A1 (en) Method for authenticating user by using one-time password, and device therefor
WO2016200045A1 (en) Hardware-based kernel code insertion attack detecting device and method therefor
WO2018056582A1 (en) Method for inspecting packet using secure sockets layer communication
WO2013073780A1 (en) Method and server for providing automatic login function
WO2021225329A1 (en) Method and system for detecting forgery of mobile application by using user identifier and signature collection
WO2016195344A1 (en) Network security system and method for blocking drive-by download
WO2017115976A1 (en) Method and device for blocking harmful site by using accessibility event
WO2015190692A1 (en) Internet access blocking method using agent program
WO2021194082A1 (en) Method and device for providing web page using captive portal
WO2014107028A1 (en) System for preventing malware invasion, and method for operating said system for preventing malware invasion
WO2021060858A1 (en) System for controlling network access of node on basis of tunnel and data flow, and method therefor
WO2021075652A1 (en) Method for automatically detecting bypass program, and system therefor
WO2015088195A1 (en) Local environment protection method and protection system of terminal responding to malicious code in link information
WO2017217814A1 (en) Web mail securing device and method
WO2015046951A1 (en) Network security method and device using ip address

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17869998

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17869998

Country of ref document: EP

Kind code of ref document: A1