KR101283440B1 - System for block off a data spill using booby trap signature and method thereof - Google Patents

System for block off a data spill using booby trap signature and method thereof Download PDF

Info

Publication number
KR101283440B1
KR101283440B1 KR1020110096734A KR20110096734A KR101283440B1 KR 101283440 B1 KR101283440 B1 KR 101283440B1 KR 1020110096734 A KR1020110096734 A KR 1020110096734A KR 20110096734 A KR20110096734 A KR 20110096734A KR 101283440 B1 KR101283440 B1 KR 101283440B1
Authority
KR
South Korea
Prior art keywords
signature
booby
server
application
information
Prior art date
Application number
KR1020110096734A
Other languages
Korean (ko)
Other versions
KR20130032974A (en
Inventor
김종모
황건순
Original Assignee
(주)이월리서치
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이월리서치 filed Critical (주)이월리서치
Priority to KR1020110096734A priority Critical patent/KR101283440B1/en
Publication of KR20130032974A publication Critical patent/KR20130032974A/en
Application granted granted Critical
Publication of KR101283440B1 publication Critical patent/KR101283440B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 부비트랩 시그너처를 이용한 정보유출 차단시스템 및 그 방법에 관한 것으로서, 정상적인 사용자 요청에 대한 정보를 처리하기 위해서는 사용자단말기에서 요청하는 기능을 어플리케이션 서버 내에서 수행하는 해당 어플리케이션(Application)이 DBMS(DataBase Management System) 서버로 쿼리(Query)를 전송하고 피드백 받을 때 필요한 정상적인 정보만을 전달받으므로 문제가 발생하지 않는데 반해, 정보를 빼내가는 공격자들은 악성코드에 감염된 사용자들의 단말기(좀비PC)를 이용하여 어플리케이션 서버 내에서 어플리케이션(Application)의 취약점을 찾아내어 공격코드를 심어놓고 DBMS 서버로 모든 쿼리(Query)를 전송하고 피드백 받을 때 사전에 DB(DataBase)에 숨겨 놓은 부비트랩 시그너처까지도 모두 전송받게 되므로 DBMS 서버와 네트워크로 연결되어 있는 어플리케이션(Application) 서버 사이에 설치되어 있는 탐지장비에서 부비트랩 시그너처를 감지함으로써, 공격자에 의한 정보유출을 차단할 수 있고, 탐지장비에서 부비트랩 시그너처를 감지하는 경우에는 탐지장비에서 관리자 단말기와 스마트폰에 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 통보를 하며, DBMS 서버 내의 DB(DataBase)의 파일명, 레코더, 프로그램, 문서 등에 부비트랩 시그너처를 생성하고 설치하여 놓음으로써, 다양한 방식의 공격도구를 이용하는 공격자로부터의 정보 유출을 차단할 수 있는 효과가 있다. The present invention relates to an information leakage blocking system and a method using the boobytrap signature, in order to process the information on a normal user request, the corresponding application (Application) performing a function requested by the user terminal in the application server DBMS ( Since only normal information required when sending a query and receiving feedback to a DataBase Management System) server does not cause problems, attackers extracting the information can use a user's terminal (zombie PC) infected with malware. It finds the vulnerability of the application in the application server, embeds the attack code, sends all queries to the DBMS server, and receives all the booby-lab signatures hidden in the DB (DataBase) when receiving feedback. Networked to the server By detecting the booby-lab signature in the detection devices installed between application servers, it is possible to block the information leakage by the attacker, and when detecting the booby-lab signature in the detection device, the detection device is applied to the administrator terminal and the smartphone. When a certain booby trap signature is detected through SMS, MMS, e-mail, Facebook, Twitter, etc., it is notified that the information has been blocked, and the file name, recorder, program, document, etc. of the DB (DataBase) in the DBMS server By creating and installing the boobytrap signature, there is an effect that can prevent information leakage from the attacker using a variety of attack tools.

Description

부비트랩 시그너처를 이용한 정보유출 차단시스템 및 그 방법{System for block off a data spill using booby trap signature and method thereof}System for block off a data spill using booby trap signature and method

본 발명은 정상적인 사용자 요청에 대한 정보를 처리하기 위해서는 사용자단말기에서 요청하는 기능을 어플리케이션 서버 내에서 수행하는 해당 어플리케이션(Application)이 DBMS(DataBase Management System) 서버로 쿼리(Query)를 전송하고 피드백 받을 때 필요한 정상적인 정보만을 전달받으므로 문제가 발생하지 않는데 반해, 정보를 빼내가는 공격자들은 악성코드에 감염된 사용자들의 단말기(좀비PC)를 이용하여 어플리케이션 서버 내에서 어플리케이션(Application)의 취약점을 찾아내어 공격코드를 심어놓고 DBMS 서버로 모든 쿼리(Query)를 전송하고 피드백 받을 때 사전에 DB(DataBase)에 숨겨 놓은 부비트랩 시그너처까지도 모두 전송받게 되므로 DBMS 서버와 네트워크로 연결되어 있는 어플리케이션(Application) 서버 사이에 설치되어 있는 탐지장비에서 부비트랩 시그너처를 감지함으로써, 공격자에 의한 정보유출을 차단하여 보안성을 높일 수 있고, 탐지장비에서 부비트랩 시그너처를 감지하는 경우에는 탐지장비에서 관리자 단말기와 스마트폰에 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 통보를 하며, DBMS 서버내의 DB(DataBase)의 파일명, 레코더, 프로그램, 문서상에 부비트랩 시그너처를 생성하고 설치하여 놓음으로써, 다양한 방식의 공격도구를 이용하는 공격자로부터의 정보 유출을 차단할 수 있는 부비트랩 시그너처를 이용한 정보유출 차단시스템 및 그 방법에 관한 기술이다.In the present invention, when a corresponding application executing a function requested by a user terminal in an application server to process information on a normal user request transmits a query to a DBMS (Database Management System) server and receives feedback Since only the necessary information is delivered, no problem occurs, but the attackers who extract the information detect the vulnerability of the application in the application server by using the terminal (zombie PC) of the user infected with the malicious code. It is installed between the DBMS server and the application server connected to the network because all the queries are sent to the DBMS server, and when the feedback is received, even the booby trap signature hidden in the DB (DataBase) is transmitted. Booby trap sig By detecting the location, the security can be improved by blocking the information leakage by the attacker, and when detecting the booby trap signature on the detection device, SMS, MMS, e-mail, Facebook, When a specific booby-lab signature is detected through a path such as Twitter, it notifies that the information has been blocked, and creates and installs the booby-lab signature on the file name, recorder, program, and document of the DB (DataBase) in the DBMS server. The present invention relates to an information leakage prevention system and method using a booby trap signature that can block information leakage from an attacker using various types of attack tools.

인터넷의 대중화와 더불어 고속화가 보편화되면서 대중적인 인터넷 환경은 빠른 PC와 빠른 회선속도가 일반화되어 있는데, 이러한 고속 환경 속에서 정상적인 PC의 사용은 쾌적한 인터넷 사용 환경을 제공하지만, 바이러스 감염 등으로 비정상적으로 사용될 경우 개개의 PC는 그만큼 더 치명적인 공격에 사용될 수 있는 것이 현실이다.As the high speed and generalization of the Internet became popular, the popular Internet environment is generally used for a fast PC and a fast line speed. In such a high speed environment, normal PC use provides a comfortable Internet environment, but is abnormally used due to virus infection. The reality is that individual PCs can be used for more lethal attacks.

최근 들어, 이러한 성향은 스파이웨어(spyware)를 통한 좀비PC와 같은 비정상적인 형태로 현실화되어 나타나고 있고, 해커나 범죄자에 의해 감염된 정상적인 PC는 사용자의 의도와는 상관없이 때를 막론하고 나쁜 목적의 PC로 사용되어지고 있으며, 또한 해킹된 서버들 역시 나쁜 목적으로 사용되는 경우가 빈번하게 일어나고 있다.Recently, this tendency has been realized in an abnormal form such as a zombie PC through spyware, and a normal PC infected by a hacker or a criminal is a bad purpose PC regardless of the user's intention. Hacked servers are also frequently used for bad purposes.

현재 자체적으로 조사된 바에 의하면 전 세계의 약 50만대 정도의 좀비PC와 해킹된 서버가 활동하는 것으로 추산되고 있으며, 일일 동원되는 좀비PC는 약 20만대 정도로 추정되고 있다. 러시아, 미국뿐 만아니라 우리나라에 여러 가지 공격성 트래픽을 유발하는 중국 등에 다량의 좀비PC가 존재하고 있다.According to the current research, it is estimated that about 500,000 zombie PCs and hacked servers around the world are active, and about 200,000 zombie PCs are used every day. A large number of zombie PCs exist not only in Russia and the United States, but also in China, which causes various types of aggressive traffic in Korea.

그런데, 이러한 좀비PC는 사용자들의 정보를 해킹하여 악의적인 목적으로 사용되고 있고, 이와 같은 좀비PC는 특정하게 한 가지 기능을 수행하는 것이 아니고, 복합적으로 악의적 활동에 사용되고 기술적으로는 서로 동조되어 활동되고 있으며, 그 중에서도 스팸 메일 발송과 DDoS 공격에 주로 사용되고 있는 상태이다.However, these zombie PCs are used for malicious purposes by hacking the user's information, and such zombie PCs are not used to perform one function specifically, but are used for malicious activities in a complex manner and are synchronized with each other. Among them, it is mainly used for spam mailing and DDoS attacks.

또한 국내의 웹 방화벽은 공개 소프트웨어 기반으로 만든 제품이 대부분이기 때문에 상당히 취약함을 노출하고 있으며, 근래 들어 해커들의 공격 성향은 다이나믹(Dynamic)하게 공격 방법을 지속적으로 변형하여 공격을 시도하기 때문에 고정된 차단 방법으로는 효과가 미약하다는 문제를 안고 있다.In addition, domestic web firewalls are exposed to vulnerabilities because most of them are based on open software. Recently, hackers tend to attack by dynamically modifying attack methods. There is a problem that the blocking method is ineffective.

그러므로 DBMS 서버와 네트워크로 연결되어 있는 어플리케이션(Application) 서버 사이에 설치되어 있는 탐지장비에서 부비트랩 시그너처를 감지함으로써, 공격자에 의한 정보유출을 차단하여 보안성을 높일 수 있고, 탐지장비에서 부비트랩 시그너처를 감지하는 경우에는 탐지장비에서 관리자 단말기와 스마트폰에 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 통보를 하며, DBMS 서버내의 데이터베이스의 파일명, 데이터베이스의 레코더, 프로그램, 문서상에 부비트랩 시그너처를 생성하고 설치하여 놓음으로써, 다양한 방식의 공격도구를 이용하는 공격자로부터의 정보 유출을 차단할 수 있는 부비트랩 시그너처를 이용한 정보유출 차단시스템 및 그 방법의 개발이 절실히 요구되고 있는 실정이다.Therefore, by detecting the booby trap signature in the detection device installed between the DBMS server and the application server connected to the network, it is possible to increase the security by blocking information leakage by the attacker, and the booby trap signature on the detection device. If the detection device detects a specific booby trap signature through SMS, MMS, e-mail, Facebook, Twitter, etc. on the administrator's device and smartphone, the detection device notifies that the information is blocked. Information leakage blocking system using booby trap signature that can prevent information leakage from attacker using various methods of attack by creating and installing booby trap signature on file name of database, recorder, program, document of database and The development of that method is urgently A situation which is nine.

이에 본 발명은 상기 문제점들을 해결하기 위하여 착상된 것으로서, 정보를 빼내가는 공격자들은 악성코드에 감염된 사용자들의 단말기(좀비PC)를 이용하여 어플리케이션 서버 내에서 어플리케이션(Application)의 취약점을 찾아내어 공격코드를 심어놓고 DBMS 서버로 모든 쿼리(Query)를 전송하고 피드백 받을 때 사전에 DB(DataBase)에 숨겨 놓은 부비트랩 시그너처까지도 모두 전송받게 되므로 DBMS 서버와 네트워크로 연결되어 있는 어플리케이션(Application) 서버 사이에 설치되어 있는 탐지장비에서 부비트랩 시그너처를 감지함으로써, 공격자에 의한 정보유출을 차단하여 보안성을 높일 수 있는 부비트랩 시그너처를 이용한 정보유출 차단시스템 및 그 방법을 제공하는데 그 목적이 있다.Accordingly, the present invention has been conceived to solve the above problems, the attackers extracting information to find the vulnerability of the application (Application) in the application server using a terminal (zombie PC) of users infected with malware It is installed between the DBMS server and the application server connected to the network because all the queries are sent to the DBMS server, and when the feedback is received, even the booby trap signature hidden in the DB (DataBase) is transmitted. The object of the present invention is to provide an information leakage blocking system and a method using the booby trap signature that can increase the security by detecting the booby trap signature by detecting the booby trap signature.

본 발명의 다른 목적은 탐지장비에서 부비트랩 시그너처를 감지하는 경우에는 탐지장비에서 관리자 단말기와 스마트폰에 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 통보를 하는 부비트랩 시그너처를 이용한 정보유출 차단시스템 및 그 방법을 제공하는데 있다.Another object of the present invention is to detect the booby trap signature in the detection device when a specific booby trap signature is detected through the path such as SMS, MMS, e-mail, Facebook, Twitter to the administrator terminal and the smartphone in the detection device The present invention provides an information leakage prevention system and method using a boobytrap signature to notify notification that information leakage has been blocked.

본 발명의 다른 목적은 DBMS 서버내의 DB(DataBase)의 파일명, 레코더, 프로그램, 문서상에 부비트랩 시그너처를 생성하고 설치하여 놓음으로써, 다양한 방식의 공격도구를 이용하는 공격자로부터의 정보 유출을 차단할 수 있는 부비트랩 시그너처를 이용한 정보유출 차단시스템 및 그 방법을 제공하는데 있다. Another object of the present invention is to create and install a boobytrap signature on the file name, recorder, program, and document of the DB (DataBase) in the DBMS server, thereby preventing information leakage from attackers using various types of attack tools. An information leakage prevention system using a trap signature and a method thereof are provided.

상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 부비트랩 시그너처를 이용한 정보유출 차단시스템은 정상사용자 단말기에서 요청하는 기능을 호출 받아 어플리케이션 서버 내에서 수행하는 해당 어플리케이션(Application)을 검색하여 실행하면서 DBMS 서버로 쿼리(Query)를 전송하고 해당 데이터를 피드백 받아 정상사용자 단말기로 전송하는 어플리케이션(Application) 서버와; 상기 어플리케이션(Application) 서버 내의 어플리케이션(Application)으로부터 전달 받은 쿼리(Query)를 실행하여 해당 데이터를 보내주는 정상적인 동작 이외에, 악성코드에 감염된 사용자들의 단말기(좀비PC)를 이용하여 어플리케이션(Application)의 취약점을 찾아내어 심어놓은 공격코드를 통한 쿼리(Query)에 의해 데이터를 보내주는 비정상적인 동작, DB(DataBase)의 파일명, 레코더, 프로그램, 문서상에 표시하여 놓은 부비트랩 시그너처를 생성하고 설치하여 놓는 DBMS 서버와; 상기 DBMS 서버와 네트워크로 연결되어 있는 어플리케이션(Application) 서버 사이에 설치되어 부비트랩 시그너처를 감지하여 공격자에 의한 정보유출을 차단할 수 있고, 부비트랩 시그너처를 감지하는 경우에는 관리자 단말기와 스마트폰에 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 통보를 하며, 네트워크 회선에 탭(Tab) 방식으로 설치되어 회선상의 데이터 패킷을 수집하는 탐지장비와; 상기 어플리케이션(Application) 서버와 정상사용자 단말기를 무선으로 연결하는 네트워크망과; 상기 DBMS 서버에서 어플리케이션(Application) 서버로 전송되는 모든 데이터 중에서 탐지장비에서 부비트랩 시그너처를 감지하는 경우에는 탐지장비에서 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 정보를 전송받는 관리자 단말기와 관리자 스마트폰; 을 포함함을 특징으로 한다.In order to achieve the above object, an information leakage blocking system using a booby trap signature according to an exemplary embodiment of the present invention searches for and executes a corresponding application executed in an application server by calling a function requested by a normal user terminal. An application server for transmitting a query to a DBMS server and receiving the corresponding data and transmitting the feedback to a normal user terminal; In addition to the normal operation of executing a query transmitted from an application in the application server and sending the corresponding data, the vulnerability of the application using a terminal (zombie PC) of users infected with malicious code DBMS server that creates and installs booby-lab signatures displayed on the database, file name, recorder, program, document, and abnormal operation of sending data by query through attack code ; It is installed between the DBMS server and the application server connected to the network to detect the booby trap signature to block information leakage by the attacker, when detecting the booby trap signature in the administrator terminal and smartphone, SMS, When a specific booby trap signature is detected through a path such as MMS, e-mail, Facebook, or Twitter, it is notified that the information has been prevented from being leaked.It is installed on the network line in a tab manner to collect data packets on the line. Detection equipment; A network network for wirelessly connecting the application server and a normal user terminal; In the case where the detection device detects the booby trap signature among all data transmitted from the DBMS server to the application server, a specific booby trap signature is detected through the paths such as SMS, MMS, e-mail, Facebook, and Twitter on the detection device. A manager terminal and a manager smartphone receiving notification information indicating that information leakage has been blocked when detected; .

삭제delete

삭제delete

또한 상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 부비트랩 시그너처를 이용한 정보유출 차단방법은 보안 관리자, 프로그램 개발자, 데이터베이스 관리자가 정보가 유출되는 것을 방지하기 위해 파일명, 레코더, 프로그램, 문서상에 고정문자열, 연산에 의해 검증된 문자열, 이름, 통용되지 않는 주민등록번호와 같은 형태로 되어 있는 부비트랩 시그너처를 생성하는 단계와; 상기 생성된 후 DBMS 서버내의 DB(DataBase)에 고정문자열, 연산에 의해 검증된 문자열, 이름, 통용되지 않는 주민등록번호와 같은 형태로 되어 있는 부비트랩 시그너처를 설치하는 단계와; 상기 설치된 후 탐지장비에서 네트워크 패킷을 모니터링하는 단계와; 상기 모니터링한 후 탐지장비에서 패킷 상에 부비트랩 시그너처가 존재하는지를 확인하는 단계와; 상기 부비트랩 시그너처가 존재하지 않으면 다음 네트워크 패킷을 모니터링하고, 패킷 상에 부비트랩 시그너처가 존재하면 탐지장비에서 악성코드에 감염된 사용자들의 단말기(좀비PC)의 접근을 차단하고 관리자 단말기와 스마트폰에 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 정보 유출을 차단했다는 알림 통보를 하는 것으로 접근 차단 및 알림 통지하는 단계; 을 포함함을 특징으로 한다.In addition, the information leakage blocking method using the boobytrap signature according to a preferred embodiment of the present invention for achieving the above object is a security manager, program developer, database administrator to prevent information leakage of the file name, recorder, program, document Generating a booby trap signature in the form of a fixed string, a string verified by an operation, a name, a social security number that is not commonly used; Installing a boobytrap signature in the form of a fixed string, a string verified by an operation, a name, a social security number that is not commonly used, and a DB in a DBMS server after the generation; Monitoring the network packet in the detection device after the installation; After the monitoring, detecting whether a booby trap signature exists on the packet by the detection device; If the booby trap signature does not exist, the next network packet is monitored. If the booby trap signature exists on the packet, the detection device blocks access of the terminal (zombie PC) of users infected with malware and sends SMS to the manager terminal and the smartphone. Blocking access and notifying the user by notifying that the information has been blocked through a channel such as MMS, e-mail, Facebook, or Twitter; .

삭제delete

삭제delete

본 발명에 따른 부비트랩 시그너처를 이용한 정보유출 차단시스템 및 그 방법은 다음과 같은 효과를 가진다.An information leakage blocking system and method using the boobytrap signature according to the present invention have the following effects.

첫째, 본 발명은 정보를 빼내가는 공격자들은 악성코드에 감염된 사용자들의 단말기(좀비PC)를 이용하여 어플리케이션 서버 내에서 어플리케이션(Application)의 취약점을 찾아내어 공격코드를 심어놓고 DBMS 서버로 모든 쿼리(Query)를 전송하고 피드백 받을 때 사전에 DB(DataBase)에 숨겨 놓은 부비트랩 시그너처까지도 모두 전송받게 되므로 DBMS 서버와 네트워크로 연결되어 있는 어플리케이션(Application) 서버 사이에 설치되어 있는 탐지장비에서 부비트랩 시그너처를 감지함으로써, 공격자에 의한 정보유출을 차단하여 보안성을 높일 수 있다.First, in the present invention, attackers extracting information find a vulnerability of an application in an application server using a terminal (zombie PC) of a user infected with malicious code, plant an attack code, and query all queries to a DBMS server. When receiving the feedback and receiving the feedback, all the booby-lab signatures hidden in the DB (DataBase) are also transmitted. Therefore, the booby-lab signature is detected by the detection equipment installed between the DBMS server and the application server connected to the network. By doing so, it is possible to block the information leakage by the attacker to increase the security.

둘째, 본 발명은 탐지장비에서 부비트랩 시그너처를 감지하는 경우에는 탐지장비에서 관리자 단말기와 스마트폰에 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 통보를 한다.Second, the present invention, when the detection device detects the booby trap signature information when a specific booby trap signature is detected through the path such as SMS, MMS, e-mail, Facebook, Twitter to the administrator terminal and the smartphone in the detection device Notify you that you have blocked the leak.

셋째, 본 발명은 DBMS 서버내의 DB(DataBase)의 파일명, 레코더, 프로그램, 문서상에 부비트랩 시그너처를 생성하고 설치하여 놓음으로써, 다양한 방식의 공격도구를 이용하는 공격자로부터의 정보 유출을 차단할 수 있다.Third, the present invention creates and installs a boobytrap signature on a file name, recorder, program, and document of a DB (DataBase) in a DBMS server, thereby preventing information leakage from an attacker using various types of attack tools.

도 1은 본 발명의 일실시예에 따른 부비트랩 시그너처를 이용한 정보유출 차단시스템의 구성을 나타내는 도면.
도 2는 본 발명의 일실시예에 따른 부비트랩 시그너처를 이용한 정보유출을 차단하는 과정을 나타내는 흐름도.1 is a diagram illustrating a configuration of an information leakage blocking system using a booby trap signature according to an embodiment of the present invention.
2 is a flowchart illustrating a process of blocking information leakage using a booby trap signature according to an embodiment of the present invention.

이하 첨부된 도면과 함께 본 발명의 바람직한 실시 예를 살펴보면 다음과 같은데, 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이며, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있으므로, 그 정의는 본 발명인 부비트랩 시그너처를 이용한 정보유출 차단시스템 및 그 방법을 설명하는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Looking at the preferred embodiment of the present invention together with the accompanying drawings as follows, when it is determined that the detailed description of the known art or configuration related to the present invention may unnecessarily obscure the subject matter of the present invention The description will be omitted, and the terms to be described below are terms defined in consideration of functions in the present invention, which may vary according to intentions or customs of users or operators, and the definition thereof is defined by the present invention. And the contents throughout this specification describing the method.

이하, 본 발명의 바람직한 일실시예에 따른 부비트랩 시그너처를 이용한 정보유출 차단시스템을 첨부된 도면을 참조하여 상세히 설명한다.Hereinafter, an information leakage blocking system using a booby trap signature according to an exemplary embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 부비트랩 시그너처를 이용한 정보유출 차단시스템의 구성을 나타내는 도면이이다. 1 is a diagram showing the configuration of an information leakage blocking system using a booby trap signature according to an embodiment of the present invention.

도 1에 도시한 바와 같이, 부비트랩 시그너처를 이용한 정보유출 차단시스템은 정상사용자 단말기(100), 좀비PC(110), 공격자(120), 어플리케이션 서버(200), 어플리케이션(210), DBMS 서버(300), DB(DataBase)(310), 탐지장비(400), 관리자 단말기(500), 관리자 스마트폰(510), 네트워크망(600)을 포함한다. As shown in FIG. 1, the information leakage blocking system using the booby trap signature includes a normal user terminal 100, a zombie PC 110, an attacker 120, an application server 200, an application 210, and a DBMS server ( 300, DB (DataBase) 310, detection equipment 400, administrator terminal 500, manager smartphone 510, network 600 is included.

부비트랩(booby trap)은 건드리면 폭발하도록 임시로 만든 간단한 장치로서, 사람이나 어떤 물체가 건드리면 폭발하도록 만든 장치로 '위장 폭탄'이라고 할 수 있으며, 보통 사람이 건드리기 쉬운 기구나 장소에 수류탄이나 지뢰 등의 폭발물을 직접 장치하거나 철사와 같은 것으로 연결해놓고 건드리거나 들어 올리면 폭발하도록 만들어 놓은 것이다.A booby trap is a simple device made temporarily to explode when touched. A booby trap is a device made to explode when touched by a person or something. It is designed to explode when touched or lifted by direct explosives such as mines or mines or connected by wire or the like.

부비트랩은 살상 효과가 크지는 않지만 적이 이를 피하거나 제거하는 과정에서 시간이 소모되도록 하고 심리적 공포감을 줘 심리전에 이용되기도 하며, 부비트랩은 밟거나 누르면 터지는 방식, 밟았다가 떼면 떠지는 방식, 당기면 터지는 방식, 당겼다 놓으면 터지는 방식 등이 있다. The booby trap is not used for killing, but it takes time in the process of avoiding or eliminating the enemy, and it can be used for psychological warfare. It is used to step on or off, step on and off, and on or off. There are ways to pop and pop when you pull and release.

쿼리(Query)는 데이터베이스에서 특정한 테이블에 특정한 조건을 주어 검색하는 기능을 뜻하며, 상기 테이블을 데이터베이스 자체라고 한다면 쿼리(Query)는 상기 데이터베이스에서 필요한 것만을 뽑아내어 가공하는 형태이다. 만들어진 쿼리는 테이블과 동일하게 폼이나 보고서에서 레코드 원본으로 사용되는 것이다.Query refers to a function of searching a given table by giving a specific condition to a specific table. If the table is referred to as a database itself, a query is a form of extracting and processing only what is needed from the database. The generated query is used as the record source in a form or report, just like a table.

본 발명인 부비트랩 시그너처를 이용한 정보유출 차단시스템은 정상사용자 단말기(100)에서 요청하는 기능을 호출 받아 어플리케이션 서버(200)내에서 수행하는 해당 어플리케이션(Application)(210)을 검색하여 실행하면서 DBMS 서버(300)로 쿼리(Query)를 전송하고 해당 데이터를 피드백 받아 정상사용자 단말기(100)로 전송하는 어플리케이션(Application) 서버(200)와; 상기 어플리케이션(Application) 서버(200) 내의 어플리케이션(Application)(210)으로부터 전달 받은 쿼리(Query)를 실행하여 해당 데이터를 보내주는 정상적인 동작 이외에, 악성코드에 감염된 사용자들의 단말기(좀비PC)(110)를 이용하여 어플리케이션(Application)(210)의 취약점을 찾아내어 심어놓은 공격코드를 통한 쿼리(Query)에 의해 데이터를 보내주는 비정상적인 동작, DB(DataBase)(310)의 파일명, 레코더, 프로그램, 문서상에 부비트랩 시그너처를 생성하고 설치하여 놓는 DBMS 서버(300)와; 상기 DBMS 서버(300)와 네트워크로 연결되어 있는 어플리케이션(Application) 서버(200) 사이에 설치되어 부비트랩 시그너처를 감지하여 공격자 단말기(120)에 의한 정보유출을 차단할 수 있고, 부비트랩 시그너처를 감지하는 경우에는 관리자 단말기(500)와 스마트폰(510)에 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 통보를 하는 탐지장비(400)와; 상기 어플리케이션(Application) 서버(200)와 정상사용자 단말기(100)를 무선으로 연결하는 네트워크망(600)과; 상기 DBMS 서버(300)에서 어플리케이션(Application) 서버(200)로 전송되는 모든 데이터 중에서 탐지장비(400)에서 부비트랩 시그너처를 감지하는 경우에는 탐지장비(400)에서 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 정보를 전송받는 관리자 단말기(500)와 관리자 스마트폰(510); 으로 구성된다.The information leakage blocking system using the boobytrap signature of the present invention receives a function requested from the normal user terminal 100, searches for and executes the corresponding application 210 executed in the application server 200, and executes a DBMS server ( An application server 200 for transmitting a query to the user terminal 300 and receiving the feedback of the corresponding data and transmitting the feedback to the normal user terminal 100; In addition to the normal operation of sending a corresponding data by executing a query received from an application 210 in the application server 200, the terminal (zombie PC) 110 of a user infected with a malicious code is transmitted. Abnormal operation of sending data by query through attack code that finds vulnerability of application 210 by using, and file name of DB (DataBase) 310, recorder, program, document A DBMS server 300 for generating and installing a boobytrap signature; It is installed between the DBMS server 300 and the application server 200 connected to the network to detect the booby trap signature to block information leakage by the attacker terminal 120, to detect the booby trap signature In this case, the detection device for notifying the administrator terminal 500 and the smartphone 510 that the information leakage is blocked when a specific booby trap signature is detected through a path such as SMS, MMS, e-mail, Facebook, or Twitter ( 400); A network network 600 for wirelessly connecting the application server 200 and the normal user terminal 100; When detecting the booby trap signature in the detection device 400 among all data transmitted from the DBMS server 300 to the application server 200, the detection device 400 detects SMS, MMS, e-mail, and Facebook. A manager terminal 500 and a manager smartphone 510 receiving notification information indicating that information leakage has been blocked when a specific booby trap signature is detected through a path such as Twitter; .

상기 본 발명인 부비트랩 시그너처를 이용한 정보유출 차단시스템을 구성하는 기술적 수단들의 기능을 살펴보면 다음과 같다.Looking at the functions of the technical means constituting the information leakage blocking system using the present invention the booby trap signature as follows.

상기 정상사용자 단말기(100)는 정상적인 사용자 요청에 대한 정보를 처리하기 위해서는 정상사용자 단말기(100)에서 요청하는 기능을 어플리케이션 서버(200)내에서 수행하는 해당 어플리케이션(Application)(210)이 DBMS 서버(300)로 쿼리(Query)를 전송하고 피드백 받을 때 필요한 정상적인 정보만을 전달받으므로 문제가 발생하지 않는데 반해, 정보를 빼내가는 공격자(120)들은 악성코드에 감염된 사용자들의 단말기(좀비PC)(110)를 이용하여 어플리케이션 서버(200)내에서 어플리케이션(Application)(210)의 취약점을 찾아내어 공격코드를 심어놓고 DBMS 서버(300)로 모든 쿼리(Query)를 전송하고 피드백 받을 때 사전에 DB(310)에 숨겨 놓은 부비트랩 시그너처까지도 모두 전송받게 되게 하는 기능을 갖는 것이다. 예를 들어, 정보를 빼내가는 공격자(120)들이 좀비PC(110)를 이용하여 등록한 악성코드를 통한 결과물에는 디렉토리(directory) 파일에서 전체 디렉토리를 보게 되므로 사용하지 않는 파일명을 숨겨 놓았을 때, 부비트랩 파일명도 보게 되어 좀비PC(110)의 접근을 탐지장비(400)에서 감지하는 것이다. 또한 통용되지 않는 주민등록번호의 경우도 상술한 바와 마찬가지인 것이다.In order to process the information on the normal user request, the normal user terminal 100 has a corresponding application 210 that performs a function requested by the normal user terminal 100 in the application server 200. 300) does not cause a problem because only normal information required when sending a query and receiving feedback is received, attackers 120 extracting information are terminals (zombie PC) 110 of users infected with malware. Find the vulnerability of the application (210) in the application server 200 using the system to plant the attack code and send all the queries (Query) to the DBMS server 300 and when the DB (310) in advance Even the booby-trap signatures hidden in the system will be sent. For example, when the attackers 120 extracting information see the entire directory in the directory file in the output through the malicious code registered using the zombie PC 110, when the hidden file name is hidden, the booby is hidden. The trap file name is also seen to detect the approach of the zombie PC 110 in the detection device (400). In addition, the case of a social security number that is not accepted is the same as described above.

상기 어플리케이션(Application) 서버(200)는 정상사용자 단말기(100)에서 요청하는 기능을 호출 받아 어플리케이션 서버(200)내에서 수행하는 해당 어플리케이션(Application)(210)을 검색하여 실행하면서 DBMS 서버(300)로 쿼리(Query)를 전송하고 해당 데이타를 피드백 받아 정상사용자 단말기(100)로 전송하는 것이다.The application server 200 receives a function requested by the normal user terminal 100, searches for and executes the corresponding application 210 performed in the application server 200, and executes the DBMS server 300. The query is transmitted as and the feedback is transmitted to the normal user terminal 100.

상기 DBMS 서버(300)는 상기 어플리케이션(Application) 서버(200) 내의 어플리케이션(Application)(210)으로부터 전달 받은 쿼리(Query)를 실행하여 해당 데이터를 보내주는 정상적인 동작 이외에, 악성코드에 감염된 사용자들의 단말기(좀비PC)(110)를 이용하여 어플리케이션(Application)(210)의 취약점을 찾아내어 심어놓은 공격코드를 통한 쿼리(Query)에 의해 데이터를 보내주는 비정상적인 동작, DB(DataBase)(310)의 파일명, 레코더, 프로그램, 문서상에 부비트랩 시그너처를 생성하고 설치하여 놓는 것이다. The DBMS server 300 executes a query received from an application 210 in the application server 200 and sends a corresponding data, in addition to a normal operation, terminals of users infected with malware Abnormal operation of sending data by query through attack code that finds and exploits vulnerability of application 210 by using (Zombie PC) 110, file name of DB (DataBase) 310 To create and install booby-lab signatures on, recorders, programs, and documents.

상기 탐지장비(400)는 상기 DBMS 서버(300)와 네트워크로 연결되어 있는 어플리케이션(Application) 서버(200) 사이에 설치되어 부비트랩 시그너처를 감지하여 공격자에 의한 정보유출을 차단할 수 있고, 부비트랩 시그너처를 감지하는 경우에는 관리자 단말기(500)와 스마트폰(510)에 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 통보를 하는 기능을 갖는 것이다. 여기서, 상기 탐지장비(400)는 네트워크 회선에 탭(Tab) 방식으로 설치되어 회선상의 데이터 패킷을 수집하는 것이다. 상기 탐지장비(400)에서는 네트워크 회선 상을 지나가는 데이터 패킷을 수집하여 스트링 검출을 하고 연산 및 확인을 한 다음 데이터 패킷을 끊을 때에는 RST 패킷을 전송하고, 통지할 때에는 관리자 단말기(500) 또는 관리자 스마트폰(510)로 전송하여 통지하는 것이다.The detection device 400 may be installed between the DBMS server 300 and an application server 200 connected to a network to detect a booby trap signature and block information leakage by an attacker. In case of detecting the notification, the administrator terminal 500 and the smartphone 510 notify notification of blocking information leakage when a specific booby trap signature is detected through a path such as SMS, MMS, e-mail, Facebook, or Twitter. It has a function. In this case, the detection device 400 is installed on the network line in a tab manner to collect data packets on the line. The detection device 400 collects data packets passing over a network line, detects strings, performs calculations and checks, and then transmits RST packets when the data packets are dropped, and when notified, the manager terminal 500 or the manager smartphone. 510 is sent to notify.

상기 관리자 단말기(500)와 관리자 스마트폰(510)은 상기 DBMS 서버(300)에서 어플리케이션(Application) 서버(200)로 전송되는 모든 데이터 중에서 탐지장비(400)에서 부비트랩 시그너처를 감지하는 경우에는 탐지장비(400)에서 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 정보를 전송받는 것이다.The manager terminal 500 and the manager smartphone 510 detect when the booby-lab signature is detected by the detection device 400 among all data transmitted from the DBMS server 300 to the application server 200. When the device 400 detects a specific booby trap signature through a path such as SMS, MMS, e-mail, Facebook, or Twitter, it is notified that the information has been blocked.

상기 네트워크망(600)은 상기 어플리케이션(Application) 서버(200)와 정상사용자 단말기(100)를 무선으로 연결하는 것이다. The network 600 is a wireless connection between the application server 200 and the normal user terminal 100.

도 2는 본 발명의 일실시예에 따른 부비트랩 시그너처를 이용한 정보유출을 차단하는 과정을 나타내는 흐름도이다.2 is a flowchart illustrating a process of blocking information leakage using a booby trap signature according to an embodiment of the present invention.

도 2에 도시한 바와 같이, 부비트랩 시그너처를 이용한 정보유출을 차단하는 흐름을 살펴보면 다음과 같다.As shown in FIG. 2, the flow of blocking information leakage using the boobytrap signature is as follows.

첫째로는 부비트랩 시그너처를 생성하는 단계로서, 보안 관리자(500), 프로그램 개발자(500), 데이터베이스 관리자(500)는 정보가 유출되는 것을 방지하기 위해 DB(DataBase)(310)의 파일명, 레코더, 프로그램, 문서상에 부비트랩 시그너처를 생성하는 것이다. 여기서, 부비트랩 시그너처는 DBMS 서버(300)내의 DB(DataBase)(310)에 고정문자열, 연산에 의해 검증된 문자열, 이름, 통용되지 않는 주민등록번호와 같은 형태로 되어 있는 것이다.The first step is to create a booby trap signature, the security manager 500, program developer 500, database manager 500, the file name of the DB (DataBase) 310, recorder, Create a booby-lab signature on your program or document. Here, the booby trap signature is in the form of a fixed string, a string verified by a calculation, a name, a social security number which is not commonly used, in a DB (DataBase) 310 in the DBMS server 300.

둘째로는 부비트랩 시그너처를 설치하는 단계로서, 상기 생성된 후 관리자(500)는 DBMS 서버(300)내의 DB(DataBase)(310)에 부비트랩 시그너처를 설치하는 것이다. Secondly, as a step of installing the booby-lab signature, the manager 500 installs the booby-trap signature in the DB (DataBase) 310 in the DBMS server 300 after the generation.

셋째로는 네트워크 패킷을 모니터링하는 단계로서, 상기 설치된 후 탐지장비(400)에서 네트워크 패킷을 모니터링하는 것이다. 여기서, 모니터링은 탐지장비(400)에서 자동으로 수행되는 것이다. 상기 탐지장비(400)는 네트워크 회선에 탭(Tab) 방식으로 설치되어 회선상의 데이터 패킷을 수집하는 것이다.The third step is to monitor the network packet, and the network packet is monitored by the detection device 400 after the installation. Here, the monitoring is to be automatically performed in the detection device (400). The detection device 400 is installed in a tab (tab) method on the network line to collect data packets on the line.

넷째로는 패킷 상에 부비트랩 시그너처가 존재하는지를 확인하는 단계로서, 탐지장비(400)에서 상기 모니터링한 후 패킷 상에 부비트랩 시그너처가 존재하는지를 확인하는 것이다.Fourth, as a step of checking whether there is a booby trap signature on the packet, the detector 400 checks whether the booby trap signature exists on the packet after the monitoring.

다섯째로는 접근 차단 및 알림 통지하는 단계로서, 상기 부비트랩 시그너처가 존재하지 않으면 다음 네트워크 패킷을 모니터링하고, 부비트랩 시그너처가 존재하면 탐지장비(400)에서 악성코드에 감염된 사용자들의 단말기(좀비PC)(110)의 접근을 차단하고 관리자 단말기(500)와 관리자 스마트폰(510)에 정보 유출을 차단했다는 알림 통보를 하는 것이다. 여기서, 알림 통지하는 경로는 SMS, MMS, 전자메일, 페이스북, 트위터 중에서 단수 또는 복수개로 정보 유출을 차단했다는 알림 통보를 하는 것이다. Fifth, the access blocking and notification notification step, if the booby trap signature does not exist, and monitors the next network packet, if the booby trap signature exists, the terminal (zombie PC) of users infected with malware in the detection device 400 Blocking the access of the 110 and the notification notification that the administrator terminal 500 and the administrator smartphone 510 blocked the information leakage. Here, the notification notification path is a notification notification that the information leakage is blocked in singular or plural from SMS, MMS, e-mail, Facebook, and Twitter.

본 발명은 상기 실시예에 한정되지 않고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양하게 수정 및 변경 실시할 수 있음은 이 기술 분야에서 통상의 지식을 가진 자라면 누구나 이해할 수 있을 것이다. It will be appreciated by those skilled in the art that the present invention is not limited to the above embodiments, and that various modifications and changes can be made without departing from the spirit of the present invention.

100 : 정상사용자 단말기 110 : 좀비 PC
120 : 공격자 단말기 200 : 어플리케이션 서버
210 : 어플리케이션 300 : DBMS 서버
310 : DB(DataBase) 400 : 탐지장비
500 : 관리자 단말기 510 : 관리자 스마트폰
600 : 네트워크망100: normal user terminal 110: zombie PC
120: attacker terminal 200: application server
210: application 300: DBMS server
310: DB (DataBase) 400: detection equipment
500: manager terminal 510: manager smartphone
600: network

Claims (6)

부비트랩 시그너처를 이용한 정보유출 차단시스템에 있어서,
정상사용자 단말기에서 요청하는 기능을 호출 받아 어플리케이션 서버 내에서 수행하는 해당 어플리케이션(Application)을 검색하여 실행하면서 DBMS 서버로 쿼리(Query)를 전송하고 해당 데이터를 피드백 받아 정상사용자 단말기로 전송하는 어플리케이션(Application) 서버와;
상기 어플리케이션(Application) 서버 내의 어플리케이션(Application)으로부터 전달 받은 쿼리(Query)를 실행하여 해당 데이터를 보내주는 정상적인 동작 이외에, 악성코드에 감염된 사용자들의 단말기(좀비PC)를 이용하여 어플리케이션(Application)의 취약점을 찾아내어 심어놓은 공격코드를 통한 쿼리(Query)에 의해 데이터를 보내주는 비정상적인 동작, DB(DataBase)의 파일명, 레코더, 프로그램, 문서상에 표시하여 놓은 부비트랩 시그너처를 생성하고 설치하여 놓는 DBMS 서버와;
상기 DBMS 서버와 네트워크로 연결되어 있는 어플리케이션(Application) 서버 사이에 설치되어 부비트랩 시그너처를 감지하여 공격자에 의한 정보유출을 차단할 수 있고, 부비트랩 시그너처를 감지하는 경우에는 관리자 단말기와 스마트폰에 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 통보를 하며, 네트워크 회선에 탭(Tab) 방식으로 설치되어 회선상의 데이터 패킷을 수집하는 탐지장비와;
상기 어플리케이션(Application) 서버와 정상사용자 단말기를 무선으로 연결하는 네트워크망과;
상기 DBMS 서버에서 어플리케이션(Application) 서버로 전송되는 모든 데이터 중에서 탐지장비에서 부비트랩 시그너처를 감지하는 경우에는 탐지장비에서 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 특정한 부비트랩 시그너처가 감지될 때 정보 유출을 차단했다는 알림 정보를 전송받는 관리자 단말기와 관리자 스마트폰; 을 포함함을 특징으로 하는 부비트랩 시그너처를 이용한 정보유출 차단시스템.In the information leakage blocking system using the booby trap signature,
Application that calls the function requested from the end user terminal, searches for and executes the corresponding application executed in the application server, sends a query to the DBMS server, and receives the feedback and sends the data to the end user terminal. A) a server;
In addition to the normal operation of executing a query transmitted from an application in the application server and sending the corresponding data, the vulnerability of the application using a terminal (zombie PC) of users infected with malicious code DBMS server that creates and installs booby-lab signatures displayed on the database, file name, recorder, program, document, and abnormal operation of sending data by query through attack code ;
It is installed between the DBMS server and the application server connected to the network to detect the booby trap signature to block information leakage by the attacker, when detecting the booby trap signature in the administrator terminal and smartphone, SMS, When a specific booby trap signature is detected through a path such as MMS, e-mail, Facebook, or Twitter, it is notified that the information has been prevented from being leaked. Detection equipment;
A network network for wirelessly connecting the application server and a normal user terminal;
In the case where the detection device detects the booby trap signature among all data transmitted from the DBMS server to the application server, a specific booby trap signature is detected through the paths such as SMS, MMS, e-mail, Facebook, and Twitter on the detection device. A manager terminal and a manager smartphone receiving notification information indicating that information leakage has been blocked when detected; Information leakage blocking system using the booby trap signature, characterized in that it comprises a. 삭제delete 삭제delete 부비트랩 시그너처를 이용한 정보유출 차단방법에 있어서,
보안 관리자, 프로그램 개발자, 데이터베이스 관리자가 정보가 유출되는 것을 방지하기 위해 파일명, 레코더, 프로그램, 문서상에 고정문자열, 연산에 의해 검증된 문자열, 이름, 통용되지 않는 주민등록번호와 같은 형태로 되어 있는 부비트랩 시그너처를 생성하는 단계와;
상기 생성된 후 DBMS 서버내의 DB(DataBase)에 고정문자열, 연산에 의해 검증된 문자열, 이름, 통용되지 않는 주민등록번호와 같은 형태로 되어 있는 부비트랩 시그너처를 설치하는 단계와;
상기 설치된 후 탐지장비에서 네트워크 패킷을 모니터링하는 단계와;
상기 모니터링한 후 탐지장비에서 패킷 상에 부비트랩 시그너처가 존재하는지를 확인하는 단계와;
상기 부비트랩 시그너처가 존재하지 않으면 다음 네트워크 패킷을 모니터링하고, 패킷 상에 부비트랩 시그너처가 존재하면 탐지장비에서 악성코드에 감염된 사용자들의 단말기(좀비PC)의 접근을 차단하고 관리자 단말기와 스마트폰에 SMS, MMS, 전자메일, 페이스북, 트위터와 같은 경로를 통해 정보 유출을 차단했다는 알림 통보를 하는 것으로 접근 차단 및 알림 통지하는 단계; 을 포함함을 특징으로 하는 부비트랩 시그너처를 이용한 정보유출 차단방법.In the information leakage blocking method using the booby trap signature,
Booby-lab signatures in the form of file names, recorders, fixed strings on strings, strings validated by operations, names, and non-existent social security numbers, to prevent information leaks to security administrators, program developers, and database administrators. Generating a;
Installing a boobytrap signature in the form of a fixed string, a string verified by an operation, a name, a social security number that is not commonly used, and a DB in a DBMS server after the generation;
Monitoring the network packet in the detection device after the installation;
After the monitoring, detecting whether a booby trap signature exists on the packet by the detection device;
If the booby trap signature does not exist, the next network packet is monitored. If the booby trap signature exists on the packet, the detection device blocks access of the terminal (zombie PC) of users infected with malware and sends SMS to the manager terminal and the smartphone. Blocking access and notifying the user by notifying that the information has been blocked through a channel such as MMS, e-mail, Facebook, or Twitter; Information leakage blocking method using a booby trap signature, characterized in that it comprises a. 삭제delete 삭제delete
KR1020110096734A 2011-09-26 2011-09-26 System for block off a data spill using booby trap signature and method thereof KR101283440B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110096734A KR101283440B1 (en) 2011-09-26 2011-09-26 System for block off a data spill using booby trap signature and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110096734A KR101283440B1 (en) 2011-09-26 2011-09-26 System for block off a data spill using booby trap signature and method thereof

Publications (2)

Publication Number Publication Date
KR20130032974A KR20130032974A (en) 2013-04-03
KR101283440B1 true KR101283440B1 (en) 2013-08-23

Family

ID=48435575

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110096734A KR101283440B1 (en) 2011-09-26 2011-09-26 System for block off a data spill using booby trap signature and method thereof

Country Status (1)

Country Link
KR (1) KR101283440B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100133713A (en) * 2009-06-12 2010-12-22 (주)소만사 Database security system, server and method which can protect user's access to database through application
KR20110064387A (en) * 2009-12-08 2011-06-15 단국대학교 산학협력단 Method and system reverse-using malicious code for preventing file-seizure, and recording medium

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100133713A (en) * 2009-06-12 2010-12-22 (주)소만사 Database security system, server and method which can protect user's access to database through application
KR20110064387A (en) * 2009-12-08 2011-06-15 단국대학교 산학협력단 Method and system reverse-using malicious code for preventing file-seizure, and recording medium

Also Published As

Publication number Publication date
KR20130032974A (en) 2013-04-03

Similar Documents

Publication Publication Date Title
US10095866B2 (en) System and method for threat risk scoring of security threats
US20240154996A1 (en) Secure Notification on Networked Devices
US10354072B2 (en) System and method for detection of malicious hypertext transfer protocol chains
US9319382B2 (en) System, apparatus, and method for protecting a network using internet protocol reputation information
US10334083B2 (en) Systems and methods for malicious code detection
US7814543B2 (en) System and method for securing a computer system connected to a network from attacks
JP5816375B2 (en) Method, logic and device for real-time customized protection against threats
US8443446B2 (en) Method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor
US9015829B2 (en) Preventing and responding to disabling of malware protection software
US20120222117A1 (en) Method and system for preventing transmission of malicious contents
WO2014055354A1 (en) Protecting users from undesirable content
EP3374870B1 (en) Threat risk scoring of security threats
Chen et al. Simple and effective method for detecting abnormal internet behaviors of mobile devices
US20170070518A1 (en) Advanced persistent threat identification
US20190109824A1 (en) Rule enforcement in a network
Seo et al. Analysis on maliciousness for mobile applications
KR101283440B1 (en) System for block off a data spill using booby trap signature and method thereof
Prathyusha et al. A study on cloud security issues
CN106561024B (en) Enterprise-level-based remote APT detection method and high-performance server
Deep et al. Security In Smartphone: A Comparison of Viruses and Security Breaches in Phones and Computers
KR20110021078A (en) Zombie pc ip extraction system using a pattern for contents interception and method thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161101

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee