KR101427412B1 - Method and device for detecting malicious code for preventing outflow data - Google Patents

Method and device for detecting malicious code for preventing outflow data Download PDF

Info

Publication number
KR101427412B1
KR101427412B1 KR1020140045820A KR20140045820A KR101427412B1 KR 101427412 B1 KR101427412 B1 KR 101427412B1 KR 1020140045820 A KR1020140045820 A KR 1020140045820A KR 20140045820 A KR20140045820 A KR 20140045820A KR 101427412 B1 KR101427412 B1 KR 101427412B1
Authority
KR
South Korea
Prior art keywords
data
malicious code
malicious
outflow
information
Prior art date
Application number
KR1020140045820A
Other languages
Korean (ko)
Inventor
차형건
Original Assignee
(주)지란지교소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)지란지교소프트 filed Critical (주)지란지교소프트
Priority to KR1020140045820A priority Critical patent/KR101427412B1/en
Application granted granted Critical
Publication of KR101427412B1 publication Critical patent/KR101427412B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Technology Law (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Disclosed are a method and an apparatus for detecting a malicious code to prevent leakage of data. A method of detecting a malicious code in a server apparatus connected to a user terminal through a communications network, according to an aspect of the present invention, includes the steps of receiving report information including leakage destinations from a plurality of user terminals that have recognized a monitoring target process attempting to leak data to the outside, other than a process by an instruction of a user; determining whether the data leakage destinations are the same or similar based on the report information to determine whether the monitoring target process is performed by a malicious code; and providing the determination result to the user terminals to allow the user terminals to determine whether leakage of data is to be continued or interrupted.

Description

데이터 유출 방지를 위한 악성 코드 탐색 방법 및 장치{Method and device for detecting malicious code for preventing outflow data}BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a malicious code search method and apparatus for preventing data leakage,

본 발명은 악성 코드 탐색에 관한 것으로서, 좀 더 상세하게는 데이터가 외부로 유출되는 것을 방지하기 위한 악성 코드 탐색 방법 및 장치에 관한 것이다.
The present invention relates to a malicious code search, and more particularly, to a malicious code search method and apparatus for preventing data from being leaked to the outside.

최근에는 컴퓨팅 장치의 일부 소프트웨어 또는 하드웨어를 제대로 작동하지 못하게 하는 악성코드뿐 아니라, 중요한 내부 데이터를 외부로 유출시키는 악성코드가 문제가 되고 있다. 이에 따라 개인정보의 유출뿐 아니라, 보안상 중요한 파일 등이 외부로 유출됨으로써, 그 피해가 커지고 있다.In recent years, there has been a problem of not only malicious code that prevents some software or hardware of a computing device from functioning properly, but also malicious code that leak important internal data to the outside. As a result, not only leakage of personal information but also security-important files are leaked to the outside, thereby increasing the damage.

외부로 데이터를 유출시키는 악성 코드의 경우, 사용자의 명령과는 상관없이 자체적으로 프로세스를 구동시켜 내부 데이터를 특정 목적지로 유출시킨다. 이로 인해 개인정보뿐 아니라 업무상 중요한 데이터까지도 외부로 유출될 수 있어, 보안적으로 위험한 상황을 초래할 수 있다.In case of malicious code that leaks data to the outside, the process is driven by itself regardless of the user's command, and the internal data is leaked to a specific destination. As a result, not only personal information but also business-critical data can be leaked out, resulting in a security dangerous situation.

백신 프로그램에 의해 악성 코드를 치료할 수도 있으나, 백신이 존재하지 않거나 신종 악성 코드의 경우에는 해당 악성 코드를 발견 또는 치료할 수 없게 되는 문제점이 있다.Although the malicious code can be treated by the vaccine program, there is a problem that the malicious code can not be found or cured if the vaccine does not exist or the new malicious code is found.

대한민국 등록특허 제10-1018848 (공고일자 2011년03월04일) 모바일 기기의 악성 코드가 생성하는 네트워크 데이터를 제어하는 네트워크 데이터 제어 장치 및 네트워크 데이터 제어 방법A network data control device and a network data control method for controlling network data generated by a malicious code of a mobile device (Korean Patent Registration No. 10-1018848, published on Mar. 04, 2011)

따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 사용자의 의도와 상관없이 외부로 데이터를 유출시키는 행위를 하는 악성 코드를 탐지하는 방법 및 장치를 제공하기 위한 것이다.SUMMARY OF THE INVENTION Accordingly, the present invention has been made keeping in mind the above problems occurring in the prior art, and an object of the present invention is to provide a method and apparatus for detecting a malicious code that causes data to be leaked to the outside regardless of a user's intention.

또한, 본 발명은 여러 사용자들에 의한 빅데이터를 활용함으로써, 신종 악성 코드에 의한 데이터 유출도 방지할 수 있는 악성 코드를 탐지하는 방법 및 장치를 제공하기 위한 것이다.It is another object of the present invention to provide a method and apparatus for detecting a malicious code that can prevent data leakage due to new malicious codes by utilizing big data by various users.

또한, 본 발명은 컴퓨팅 장치의 소프트웨어적인 변경 없이도, 그 앞단에서 데이터를 통신망을 통해 외부로 유출하는 악성 코드를 탐색하여 처리하는 악성 코드 탐색 방법 및 장치를 제공하기 위한 것이다.It is another object of the present invention to provide a malicious code search method and apparatus for searching malicious codes that leak data to the outside through a communication network from the front end without changing the software of the computing device.

본 발명의 다른 목적들은 이하에 서술되는 바람직한 실시예를 통하여 보다 명확해질 것이다.
Other objects of the present invention will become more apparent through the following preferred embodiments.

본 발명의 일 측면에 따르면, 사용자 단말과 통신망을 통해 연결된 서버 장치에서의 악성 코드 탐색 방법에 있어서, 사용자의 명령에 의한 프로세스를 제외한 외부로 데이터 유출을 시도하는 감시대상 프로세스를 인식한 복수개의 사용자 단말들로부터 유출목적지를 포함하는 리포트 정보들을 수신하는 단계; 상기 리포트 정보들을 기반으로 데이터 유출목적지가 동일 또는 유사한 곳인지 여부를 판단함으로써, 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정하는 단계; 및 결정 결과를 상기 사용자 단말들로 제공함으로써, 상기 사용자 단말들이 상기 데이터 유출을 진행하거나 차단하는 결정을 수행하도록 하는 단계를 포함하는 악성 코드 탐색 방법 및 그 방법을 실행하는 프로그램이 기록된 기록매체가 제공된다.According to an aspect of the present invention, there is provided a malicious code search method in a server apparatus connected to a user terminal through a communication network, the malicious code searching method comprising: a plurality of users who recognize a monitoring target process, Receiving report information including an outgoing destination from terminals; Determining whether the monitored process is caused by a malicious code by determining whether a data outflow destination is the same or similar based on the report information; And providing the determination result to the user terminals to cause the user terminals to perform a decision to proceed or block the data leakage, and a recording medium on which the program for executing the method is recorded / RTI >

여기서, 아이피주소, 지역 또는 국가에 대한 정보를 갖는 상기 유출목적지 및 상기 감시대상 프로세스에 따른 프로세서에 대한 정보를 악성코드정보로서 데이터베이스화하는 단계를 더 포함하되, 회원단말들에게 상기 악성코드정보가 제공될 수 있다.The method further includes the step of converting the information about the processor and the output destination having the information about the IP address, the region or the country and the processor according to the monitored process into a database as malicious code information, Can be provided.

또한, 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정함에 있어 동일한 유출목적지를 갖는 리포트 정보의 개수는 유출목적지가 해외인지 국내인지 여부 또는 유출데이터의 유형 또는 데이터량에 따라 달라질 수 있다.
In determining whether the monitored process is caused by a malicious code, the number of report information having the same outflow destination may vary depending on whether the outflow destination is overseas or domestic, or the type or data amount of outflow data.

그리고, 통신망과 연결된 컴퓨팅 장치에서의 악성 프로세스 탐색 방법에 있어서, 사용자의 명령에 의한 프로세스를 제외한 외부로 데이터 유출을 시도하는 감시대상 프로세스를 인식하는 단계; 상기 데이터 유출을 지연시키는 단계; 상기 감시대상 프로세스에 따른 유출목적지에 대한 정보를 포함하는 리포트 정보를 악성코드 탐색장치로 전송하는 단계; 및 상기 악성코드 탐색장치로부터 수신된 악성 판단 결과에 따라 상기 데이터 유출의 지연을 종료하거나 상기 감시대상 프로세스를 악성으로 처리하는 단계를 포함하되, 상기 악성코드 탐색장치는 상기 리포트 정보를 복수개의 회원단말로부터 수신하여 분석함으로써 상기 감시대상 프로세스가 악성 프로세스인지 여부를 판단하는 것을 특징으로 하는 악성 코드 탐색 방법 및 그 방법을 실행하는 프로그램이 기록된 기록매체가 제공된다.In the malicious process searching method in a computing device connected to a communication network, the malicious process searching method includes: recognizing a monitoring target process that attempts to leak data to the outside except for a process by a user's command; Delaying the data outflow; Transmitting report information including information on an outflow destination according to the monitored process to a malicious code search device; And terminating the delay of the data leakage or processing the monitoring target process as malicious according to a malicious determination result received from the malicious code searching device, wherein the malicious code searching device is configured to detect the malicious code, And determining whether or not the monitored process is a malicious process, and a recording medium on which a program for executing the method is recorded.

여기서, 상기 감시대상 프로세스를 인식하는 단계는, 상기 감시대상 프로세스에 따른 데이터의 유출목적지가 상기 악성코드 탐색장치로부터 미리 수신되어 저장된 악성코드정보에 의한 악성목적지 중 하나인지 여부를 판단하는 단계를 더 포함하되, 상기 유출목적지가 악성목적지인 경우 상기 감시대상 프로세스를 차단할 수 있다.The step of recognizing the monitoring target process may further include determining whether a destination of data leakage according to the monitored process is one of malicious destinations based on malicious code information received and stored in advance from the malicious code searching device And may block the monitoring target process if the outflow destination is a malicious destination.

또한, 유출이 시도되는 데이터를 분석하여 미리 지정된 중요 데이터인지 여부를 판단하는 단계를 더 포함하되, 판단 결과 중요 데이터인 경우에만 상기 데이터 유출을 지연시킬 수 있다.In addition, the method may further include analyzing data to be leaked and determining whether the data is preliminarily designated important data. As a result of the determination, the data leakage may be delayed only when the data is important data.

또한, 상기 데이터 유출의 지연은 상기 악성코드 탐색장치로부터 일정 시간 내에 악성 여부에 대한 결과가 수신되지 않는 경우 종료될 수 있다.
In addition, the data leak delay may be terminated when the malicious code search device does not receive a malicious result within a predetermined period of time.

그리고, 로컬 네트워크를 통해 사용자 단말들과 연결된 감시 장치가 수행하는 악성 프로세스 탐색 방법에 있어서, 임의의 사용자 단말로부터 외부로 유출시키는 데이터가 수신되면, 상기 데이터에 대한 유출을 지연시키는 단계; 상기 데이터에 따른 유출 목적지에 대한 정보를 포함하는 리포트 정보를 통신망을 통해 연결된 악성코드 탐색장치로 전송하는 단계; 및 상기 악성코드 탐색장치로부터 수신된 악성 판단 결과에 따라 상기 데이터 유출을 허용하거나 차단하는 단계를 포함하되, 상기 악성코드 탐색장치는 상기 리포트 정보를 복수개의 회원단말로부터 수신하여 분석함으로써 상기 감시대상 프로세스가 악성 프로세스인지 여부를 판단하는 것을 특징으로 하는 악성 코드 탐색 방법 및 그 방법을 실행하는 프로그램이 기록된 기록매체가 제공된다.A malicious process searching method performed by a monitoring device connected to user terminals through a local network, the malicious process searching method comprising the steps of: delaying an outflow to the data when data to be flowed out from an arbitrary user terminal is received; Transmitting report information including information on an outflow destination according to the data to a malicious code searching apparatus connected through a communication network; And allowing or blocking the data leakage according to a malicious determination result received from the malicious code search apparatus, wherein the malicious code search apparatus receives and analyzes the report information from a plurality of member terminals, Is a malicious process, and a recording medium on which a program for executing the method is recorded.

여기서, 상기 악성 판단 결과가 악성으로 판단된 경우, 상기 임의의 사용자 단말로 상기 데이터를 외부로 유출시키는 프로세서를 치료하는 백신을 제공하는 단계를 더 포함할 수 있다.
The method may further include the step of providing a vaccine for treating a processor that causes the arbitrary user terminal to leak the data to the outside when the malicious result is determined to be malicious.

본 발명의 다른 측면에 따르면, 사용자의 명령에 의한 프로세스를 제외한 외부로의 데이터 유출을 시도하는 감시대상 프로세스를 인식한 복수개의 사용자 단말들로부터 유출목적지 정보를 포함하는 리포트 정보들을 수신하기 위한 통신부; 상기 리포트 정보들을 기반으로 데이터 유출목적지가 동일 또는 유사한 곳인지 여부를 판단함으로써 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정하고, 결정된 결과를 상기 사용자 단말들로 제공함으로써 상기 사용자 단말들이 상기 데이터 유출을 진행하거나 차단하는 결정을 수행하도록 하는 제어부; 및 상기 유출목적지 및 상기 감시대상 프로세스에 따른 프로세서에 대한 정보를 악성코드정보로서 저장하기 위한 저장부를 포함하는 악성 코드 탐색 장치가 제공된다.According to another aspect of the present invention, there is provided a communication system including: a communication unit for receiving report information including outgoing destination information from a plurality of user terminals that recognize a monitoring target process that attempts to leak data to the outside except for a process by a user command; Determining whether the monitored process is caused by a malicious code by determining whether a data outflow destination is the same or similar based on the report information, and providing the determined result to the user terminals, To perform a decision to proceed or to block the operation; And a storage unit for storing information on the processor according to the flow destination and the monitored process as malicious code information.

여기서, 상기 제어부는 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정함에 있어, 동일한 유출목적지를 갖는 리포트 정보의 개수를 유출목적지가 해외인지 국내인지 여부 또는 유출데이터의 유형 또는 데이터량에 따라 달리할 수 있다.
In determining whether the monitored process is caused by a malicious code, the control unit may determine whether the number of report information having the same outflow destination is different depending on whether the outflow destination is overseas or domestic, can do.

본 발명에 따르면, 사용자 단말들에서 외부로 데이터를 유출시키는 경우에 대한 정보를 중앙에서 수집 및 빅데이터 분석함으로써, 해당 프로세서가 악성 코드인지 여부를 확인할 수 있으며, 더욱이 신종 악성 코드도 빠른 시간 내에 탐색할 수 있다.According to the present invention, it is possible to confirm whether a corresponding processor is a malicious code by collecting information on a case where data is leaked from user terminals to the outside and performing a big data analysis at the center, can do.

또한, 본 발명에 따르면 악성코드일 확률이 있는 프로세서의 경우 악성 여부를 판단할 때까지 해당 데이터의 유출을 지연시킴으로써, 악성 코드에 의한 데이터 유출을 방지할 수 있다.According to the present invention, in the case of a processor having a probability of malicious code, data leakage due to malicious code can be prevented by delaying the leakage of the data until it is determined that the malicious code is malicious.

또한, 본 발명은 컴퓨팅 장치 앞단에서 데이터를 외부로 유출하는 악성 코드를 탐색하여 처리함으로써, 다수 컴퓨터를 관리하는 경우 각 컴퓨팅 장치의 소프트웨어적인 변화를 수행할 필요가 없어 구현 비용을 절감할 수 있다.
In addition, the present invention searches for and processes malicious code that leaks data from the front end of a computing device, thereby reducing the implementation cost because it is not necessary to perform a software change of each computing device when managing a plurality of computers.

도 1은 본 발명의 일 실시예에 따른 데이터 유출 시도를 하는 악성 코드 탐색을 위한 전체 시스템을 개략적으로 도시한 구성도.
도 2는 본 발명의 일 실시예에 따른 악성코드 탐색장치의 구성을 도시한 블록도.
도 3은 본 발명의 일 실시예에 따른 악성 코드 탐색 과정을 도시한 흐름도.
도 4는 본 발명의 일 실시예에 따른 악성 코드 판단을 위한 기준정보를 도시한 테이블.
도 5는 본 발명의 일 실시예에 따른 사용자 단말에서 수행되는 악성코드 탐색 과정을 도시한 흐름도.
도 6은 본 발명의 다른 실시예에 따른 데이터 유출 시도를 하는 악성 코드 탐색을 위한 전체 시스템을 개략적으로 도시한 구성도.
도 7은 본 발명의 일 실시예에 따른 감시 장치에서의 악성코드 탐색 과정을 도시한 흐름도.BRIEF DESCRIPTION OF THE DRAWINGS FIG. 1 is a block diagram schematically illustrating an entire system for malicious code search for data leakage attempts according to an embodiment of the present invention; FIG.
2 is a block diagram showing a configuration of a malicious code searching apparatus according to an embodiment of the present invention;
3 is a flowchart illustrating a malicious code search process according to an embodiment of the present invention.
FIG. 4 is a table showing reference information for malicious code determination according to an embodiment of the present invention; FIG.
5 is a flowchart illustrating a malicious code search process performed in a user terminal according to an exemplary embodiment of the present invention.
FIG. 6 is a block diagram schematically illustrating an entire system for malicious code search for data leakage attempts according to another embodiment of the present invention; FIG.
FIG. 7 is a flowchart illustrating a malicious code search process in a monitoring apparatus according to an embodiment of the present invention; FIG.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

이하, 첨부한 도면들을 참조하여 본 발명에 따른 실시예들을 상세히 설명하기로 하며, 첨부 도면을 참조하여 설명함에 있어 도면 부호에 상관없이 동일하거나 대응하는 구성 요소는 동일한 참조번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to the like elements throughout the specification and claims. The description will be omitted.

도 1은 본 발명의 일 실시예에 따른 데이터 유출 시도를 하는 악성 코드 탐색을 위한 전체 시스템을 개략적으로 도시한 구성도이다.FIG. 1 is a block diagram schematically illustrating an entire system for malicious code search for data leakage attempts according to an embodiment of the present invention. Referring to FIG.

도 1을 참조하면, 본 실시예에 따른 전체 시스템은 악성코드를 탐지하는 악성코드 탐색장치(30)와 사용자 단말들(10-1, 10-2, ..., 10-n, 이하 10으로 통칭)을 포함한다. 1, the entire system according to the present embodiment includes a malicious code searching apparatus 30 for detecting a malicious code and user terminals 10-1, 10-2, ..., 10-n, Collectively).

사용자 단말(10)은 통신망을 통한 통신이 가능한 단말장치로서, 도면에 도시된 바와 같은 데스크탑 컴퓨터(10-n), 노트북(10-2)뿐 아니라 스마트폰(10-1), 태블릿PC(도시되지 않음) 등의 모바일 기기일 수 있다.The user terminal 10 is a terminal device capable of communication through a communication network and includes not only a desktop computer 10-n and a notebook 10-2 as shown in the figure but also a smart phone 10-1, And the like).

사용자 단말(10)은 키보드, 터치스크린, 마우스 등의 입력 수단을 구비하며, 사용자로부터 입력 수단을 통해 갖가지 명령을 입력 받아 처리한다. 사용자 단말(10)은 이러한 사용자의 명령에 의한 프로세스를 제외하고, 나머지 프로세스에 의해 통신망을 통해 외부로 데이터의 유출이 시도되는지 여부를 감지한다. 사용자의 명령에 의한 프로세스가 데이터를 외부로 유출시키려고 하는 경우, 해당 프로세스를 이하에서는 감시대상 프로세스라 칭하기로 한다. 감시대상 프로세스가 존재한다는 것은, 해당 프로세스가 악성 코드에 의해 구동되어 중요 데이터가 외부로 유출될 수도 있다는 것을 의미하기 때문이다.The user terminal 10 includes input means such as a keyboard, a touch screen, and a mouse, and receives various commands from a user through input means. The user terminal 10 detects whether or not data is leaked to the outside through the communication network by the remaining processes, except for the process by the user's command. In the case where a process by a user's instruction tries to leak data to the outside, the process will be referred to as a monitoring target process hereinafter. The existence of the monitored process means that the process is driven by malicious code and important data may be leaked to the outside.

이처럼, 사용자 단말(10)은 감시대상 프로세스가 구동되어 외부로 데이터 유출이 시도되는 경우 이를 감지하여 그 데이터 유출을 임시적으로 차단 또는 지연시키고, 그에 대한 정보를 악성코드 탐색장치(30)로 보고한다.In this way, when the monitoring target process is activated and the data leakage is attempted to the outside, the user terminal 10 detects it, temporarily intercepts or delays the data leakage, and reports the information to the malicious code searching device 30 .

악성코드 탐색장치(30)는 이처럼 복수개의 사용자 단말(10)들로부터 보고된 정보(이하 리포트 정보라 칭함)를 기반으로, 해당 사용자 단말(10)들에서의 데이터 유출 시도가 악성 코드에 의해 수행되는지 여부를 판단하는 것이다.The malicious code searching apparatus 30 searches for malicious codes in the data leakage attempts of the corresponding user terminals 10 based on the information reported from the plurality of user terminals 10 (hereinafter referred to as report information) Or not.

이하, 악성코드 탐색장치(30)의 구성과 그 처리 방식에 대해 설명하기로 한다.
Hereinafter, the configuration of the malicious code search device 30 and its processing method will be described.

도 2는 본 발명의 일 실시예에 따른 악성코드 탐색장치(30)의 구성을 도시한 블록도이다.2 is a block diagram showing a configuration of a malicious code searching apparatus 30 according to an embodiment of the present invention.

도 2를 참조하면, 악성코드 탐색장치(30)는 통신부(210), 저장부(220) 및 제어부(230)를 포함하되, 제어부(230)는 악성 판단부(231), 악성코드 관리부(233)를 포함할 수 있다.2, the malicious code search device 30 includes a communication unit 210, a storage unit 220 and a control unit 230. The control unit 230 includes a malicious code determining unit 231, a malicious code managing unit 233 ).

통신부(210)는 사용자 단말(10)들과 통신하기 위한 수단으로, 사용자 단말(10)들로부터 리포트 정보를 수신한다. The communication unit 210 is a means for communicating with the user terminals 10 and receives report information from the user terminals 10. [

상술한 바와 같이, 사용자 단말(10)들은 사용자의 명령에 의한 프로세스를 제외한 외부로 데이터 유출을 시도하는 감시대상 프로세스를 인식하고, 그 감시대상 프로세스에 의해 데이터 유출이 시도되는 목적지인 유출목적지에 대한 정보를 포함하는 리포트 정보를 생성한다. 예를 들어, 통신망을 통한 데이터 전송 시에는 패킷의 헤더정보로서 소스주소(데이터를 전송하는 주체의 주소(아이피 주소 등)와 목적지 주소(해당 데이터를 수신할 수신자의 주소)가 포함된다. 따라서, 이를 확인함으로써 유출목적지를 확인할 수 있다.As described above, the user terminals 10 recognize a monitoring target process that attempts to leak data to the outside except for a process based on a command of the user, and notify the user of the outflow destination And generates report information including information. For example, when data is transmitted through a communication network, a source address (an address of a subject that transmits data (IP address, etc.) and a destination address (an address of a receiver to receive the data) are included as header information of a packet. By confirming this, the destination of the outflow can be confirmed.

제어부(230)의 악성 판단부(231)는 복수개 수신된 리포트 정보들을 기반으로 데이터의 유출목적지가 동일 또는 유사한 곳인지 여부를 판단함으로써, 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정한다. 즉, 일정 개수 이상의 사용자 단말(10)들에서 동일한 유출목적지로 데이터 유출을 시도한 경우, 해당 감시대상 프로세스들은 악성코드에 의한 것으로 판단되는 것이다. The maliciousness determining unit 231 of the control unit 230 determines whether the monitoring target process is caused by a malicious code by determining whether the destinations of the data are the same or similar based on the plurality of received report information. That is, when a certain number of user terminals 10 try to leak data to the same outgoing destination, the monitored processes are determined to be caused by a malicious code.

여기서, 사용자 단말(10)들의 연관성이 더 판단될 수 있다. 만일 각 사용자 단말(10)들이 동일 아이피를 이용한다거나, 동일한 로컬 네트워크를 이용하는 단말들인 경우 연관성이 있는 것으로 판단될 수 있다. 연관성이 존재하는 단말들은 정상적인 프로세스에 의해 동일한 유출목적지로의 데이터 유출을 시도할 수도 있기 때문에, 연관성이 없는 사용자 단말(10)들로부터의 리포트 정보만이 이용되어 동일한 유출 목적지인지 여부가 판단될 수 있다.Here, the association of the user terminals 10 can be further judged. If each user terminal 10 uses the same IP or is a terminal using the same local network, it can be judged to be related. Since the associative terminals may try to leak data to the same outgoing destination by a normal process, only report information from unassociated user terminals 10 may be used to determine whether the same outgoing destination is the same have.

유출 목적지는 그 아이피주소 정보가 이용될 수 있으며, 더욱이 맥주소(MAC Address)도 함께 이용될 수 있다. The IP address information of the outgoing destination may be used, and a MAC address may also be used.

유출 목적지의 동일성 여부에 의해 악성 여부가 결정되면 해당 결과 정보는 사용자 단말(10)들에게 제공되어, 사용자 단말(10)은 그에 따라 해당 프로세스를 처리한다. 쉬운 예로 악성 코드로 판단되는 경우 해당 프로세스를 제거하여 데이터 유출을 방지하고, 악성 코드가 아닌 것으로 판단되는 경우 차단 또는 지연시킨 해당 프로세스를 재개하여 데이터 유출을 허용한다. If the malicious result is determined based on the identity of the outflow destination, the corresponding result information is provided to the user terminals 10, and the user terminal 10 processes the corresponding process accordingly. As an easy example, if it is determined as malicious code, the process is removed to prevent data leakage, and if it is determined that it is not malicious code, the corresponding process is blocked or delayed to allow data leakage.

그리고, 악성 코드로 판단되는 경우엔, 해당 프로세스에 따른 프로세서를 처리하는데, 쉬운 예를 들어 삭제 처리될 수 있다.If the malicious code is determined, the processor corresponding to the corresponding process is processed, and can be easily deleted, for example.

그리고 제어부(230)의 악성코드 관리부(233)는 유출목적지 및 해당 감시대상 프로세스에 따른 프로세서에 대한 정보를 악성코드정보로서 저장부(220)에 저장한다.The malicious code management unit 233 of the control unit 230 stores information about the outgoing destination and the processor corresponding to the monitored process in the storage unit 220 as malicious code information.

악성코드정보는 리포트 정보를 송신한 사용자 단말(10)들뿐 아니라 모든 회원단말들로 제공되어, 동일한 악성코드에 의한 데이터 유출을 예방하도록 한다.The malicious code information is provided not only to the user terminals 10 that have transmitted the report information but also to all member terminals, thereby preventing data leakage due to the same malicious code.

일례에 따르면, 저장부(220)에는 블랙리스트와 화이트리스트에 따른 코드정보들이 DB화되어 저장될 수 있다. 쉬운 예로, 악성 코드로 판단된 유출 목적지(이하 악성 목적지) 및 프로세스 정보들은 블랙리스트로서 관리되고, 이와 반대로 악성이 아닌 정상 코드로 판단된 유출 목적지 및 프로세스 정보들은 화이트리스트로서 관리되는 것이다. 이러한 블랙리스트 및 화이트리스트에 대한 정보는 회원 단말들로 제공되어, 회원 단말들은 이를 활용할 수 있다. 이에 대한 상세한 설명은 관련 도면(도 ?)를 참조하여 후술하기로 한다.According to an example, the code information according to the black list and the whitelist can be stored in the DB in the storage unit 220. [ As an easy example, an outflow destination (hereinafter referred to as malicious destination) and process information determined as a malicious code are managed as a black list, and on the contrary, outflow destination and process information determined as a normal code other than malicious is managed as a whitelist. Information on such blacklist and whitelist is provided to the member terminals so that the member terminals can utilize it. A detailed description thereof will be given later with reference to the related drawings (Fig.?).

이하, 악성코드 탐색장치(30)에서의 악성 코드 탐색 과정에 대해 설명하기로 한다.
Hereinafter, a malicious code search process in the malicious code search device 30 will be described.

도 3은 본 발명의 일 실시예에 따른 악성 코드 탐색 과정을 도시한 흐름도이고, 도 4는 본 발명의 일 실시예에 따른 악성 코드 판단을 위한 기준정보를 도시한 테이블이다.FIG. 3 is a flowchart illustrating a malicious code search process according to an embodiment of the present invention. FIG. 4 is a table showing reference information for malicious code determination according to an embodiment of the present invention.

도 3을 참조하면, 악성코드 탐색장치(30)는 외부로의 데이터 유출 시도를 인식한 사용자 단말(10)들로부터 리포트 정보를 취득한다(S310). 리포트 정보로는 유출 목적지에 대한 아이피주소, 지역(또는 국가) 정보, 해당 프로세스를 구동하는 프로세서에 대한 정보 등이 포함될 수 있다.Referring to FIG. 3, the malicious code searching device 30 obtains report information from the user terminals 10 that have recognized the data leakage attempt to the outside (S310). The report information may include an IP address, an area (or country) information for an outflow destination, information on a processor that drives the process, and the like.

이렇게 취득된 리포트 정보들은 빅데이터로서 관리되어, 빅데이터 분석이 수행된다. 즉, 악성코드 탐색장치(30)는 일정기간 동안 또는 일정개수 이상 수신된 리포트 정보를 기반으로 유출목적지가 동일한 리포트 정보의 개수를 분석하여 악성여부를 결정한다(S320). 예를 들어, 리포트 정보가 100개 수신된 경우, 그 중 유출목적지가 동일한 것이 80개인 경우 그 80개는 악성코드에 의한 것으로 결정되는 것이다. The report information thus acquired is managed as big data, and big data analysis is performed. That is, the malicious code searching device 30 determines whether the malicious code is malicious by analyzing the number of report information having the same outflow destination based on the report information received for a predetermined period or more (S320). For example, when 100 report information is received, 80 out of the 80 report destinations are determined to be due to malicious code.

악성코드 탐색장치(30)는 결정된 결과를 각 사용자 단말(10)들로 통보한다(S330). 따라서, 사용자 단말(10)은 해당 프로세스의 구동을 재개하거나 삭제하는 등 그 결과에 따라 조치할 수 있게 된다.The malicious code search device 30 notifies each user terminal 10 of the determined result (S330). Accordingly, the user terminal 10 can take measures such as restarting or deleting the process of the corresponding process.

여기서, 악성코드 탐색장치(30)가 유출목적지의 동일성이 얼마나 되어야 악성인지 여부를 판단하기 위한 기준으로서, 그 기준을 미리 설정할 수 있는데, 일례에 따르면 유출목적지 또는 유출 데이터의 유형(또는 사이즈(size) 등)에 따라 달라질 수 있다.Here, as a criterion for determining whether the malicious code search apparatus 30 is malicious due to the identity of the malicious code, it is possible to set the criterion in advance. According to an example, the type ), Etc.).

이에 대한 일례를 도시한 도 4를 참조하면, 유출 목적지가 해외인지 또는 국내인지에 따라 그 유출 목적지가 동일한 리포트 정보의 개수가 달라질 수 있다.Referring to FIG. 4 showing an example of this, the number of report information having the same outflow destination may be changed depending on whether the outflow destination is overseas or domestic.

또한, 유출데이터가 개인정보인지, 보안파일인지 등에 따라서도 달라질 수 있다.Also, it may be different depending on whether the outflow data is personal information, a security file or the like.

지금까지는 유출 목적지의 동일성만을 이용하여 악성 여부를 판단하는 것을 위주로 설명하였으나, 다른 일례에 따르면 유출 목적지가 모두 또는 일부 상이하더라도 유출데이터의 유형이 동일 또는 유사하다면 해당 리포트 정보에 따른 프로세서들은 악성 코드로 판단될 수도 있다. 쉬운 예를 들어, 악성 코드가 복수개로 제작되고 또한 서로 다른 유출 목적지로 유출되도록 제작된 경우가 있을 수 있으므로, 일정기간(예를 들어, 1시간 등) 동안에 수집되는 리포트 정보에 따른 유출데이터들의 유형이 유사하다면 해당 프로세서는 악성 코드로서 판단될 수 있다. 이 경우, 그 각각의 유출목적지는 그룹으로 설정되어 블랙리스트로서 관리될 수 있다.However, according to another example, if the outflow destinations are all or partly different, if the types of the outflow data are the same or similar, the processors according to the corresponding report information may be classified into malicious codes It may be judged. For example, malicious codes may be made to be a plurality of malicious codes and may be designed to leak out to different outflow destinations. Therefore, the type of outflow data according to report information collected during a predetermined period (for example, one hour, etc.) The processor can be judged as a malicious code. In this case, each of the outflow destinations may be set as a group and managed as a black list.

이하에서는 사용자 단말(10)에서 처리되는 악성코드 탐색 과정에 대해 설명하기로 한다.
Hereinafter, a malicious code search process performed by the user terminal 10 will be described.

도 5는 본 발명의 일 실시예에 따른 사용자 단말(10)에서 수행되는 악성코드 탐색 과정을 도시한 흐름도이다.FIG. 5 is a flowchart illustrating a malicious code search process performed in the user terminal 10 according to an embodiment of the present invention.

도 5를 참조하면, 사용자 단말(10)은 감시대상 프로세스의 구동이 인식되면 해당 프로세스에 의한 데이터 유출을 지연시킨다(S510). 여기서, 일례에 따르면 사용자 단말(10)은 모든 데이터에 대해 데이터 유출을 지연시킬 수도 있으나, 다른 일례에 따르면 데이터 자체를 분석하여, 개인정보가 포함된 데이터, 은행용 인증서, 미리 지정된 중요파일목록으로 등록된 데이터 등 중요한 데이터에 대해서만 데이터 유출을 지연시키고, 나머지는 그대로 유출시킬 수도 있다. 중요 데이터가 아닌 경우 해당 프로세서가 악성 코드가 아닐 확률이 높을 수 있으므로 해당 데이터는 신속하게 유출목적지로 전달될 수 있도록 데이터 유출을 지연시키지 않는 것이다.Referring to FIG. 5, when the user terminal 10 recognizes the operation of the monitoring target process, it delays data leakage by the process (S510). According to an example, the user terminal 10 may delay data leakage for all data, but according to another example, the data itself may be analyzed to provide data including personal information, a bank certificate, Data leakage can be delayed only for important data such as registered data, and the rest can be leaked as it is. If the data is not critical, it is likely that the processor is not malware, so the data will not be delayed so that it can be delivered to the outflow destination quickly.

그리고, 데이터 유출의 지연은 특정 시간(예를 들어, 1분 또는 10분 등)을 초과하지 못하도록 설정될 수도 있다. 그 이유는 정당한 유출 목적지의 입장에서는 빨리 데이터를 수신해야 하는 경우가 있을 수 있는데, 악성코드 탐색장치(30)에서 악성 여부를 판단하는데 소요되는 시간이 오래 걸릴 수도 있기 때문에, 일정 시간이 경과되면 지연을 종료하여 데이터가 유출 목적지로 전달될 수 있도록 하기 위함이다.And, the delay of data leakage may be set not to exceed a certain time (for example, 1 minute or 10 minutes, etc.). The reason may be that in case of a legitimate outflow destination, it may be necessary to receive data as soon as possible. Since it may take a long time to determine whether the malicious code is in the malicious code search device 30, So that the data can be transferred to the outflow destination.

이후, 사용자 단말(10)은 해당 프로세서가 관리되는 코드정보로서 미리 등록되어 있는지 여부를 판단한다(S520). 즉, 상술한 바와 같이 해당 프로세서가 블랙리스트 또는 화이트리스트로 등록되어 있는지를 판단하는 것이다.Then, the user terminal 10 determines whether the corresponding processor is registered as managed code information (S520). That is, it is determined whether the processor is registered as a black list or a white list as described above.

사용자 단말(10)은 만일 코드정보로서 등록되어 있다면 해당 코드정보에 따라 처리하는데(S530), 쉽게 말해 화이트리스트인 경우엔 데이터 유출의 지연을 종료처리하고, 블랙리스트라면 프로세스 실행 자체를 종료 및 차단 또는 삭제할 수 있을 것이다.If it is registered as code information, the user terminal 10 processes it according to the code information (S530). In other words, the user terminal 10 terminates the data leak delay in the case of the whitelist, Or delete it.

이와 달리 등록되어 있지 않은 경우, 사용자 단말(10)은 리포트 정보를 생성하여 악성코드 탐색장치(30)로 전송하고(540), 그에 따른 응답으로 수신되는 결과에 따라 처리한다(S550). 리포트 정보 등은 상술하였으므로 중복되는 설명은 생략한다.Otherwise, the user terminal 10 generates report information, transmits it to the malicious code search device 30 (540), and processes it according to the result received in response thereto (S550). The report information and the like have been described above, so duplicate descriptions will be omitted.

본 실시예에 의하면, 사용자 단말(10)은 미리 저장된 정보를 이용하거나 악성코드 탐색장치(30)로 문의하여 현재 인식된 감시대상 프로세스의 악성 여부를 판단하고, 미리 등록되지 않은 새로운 프로세스인 경우에만 리포트 정보를 생성하여 보고한다. 따라서, 악성코드 탐색장치(30)에서 관리되는 악성 코드(즉 미리 파악된 악성 코드)에 의한 데이터 유출은 예방될 수 있으며, 신종 악성 코드의 경우에도 그 외부 유출을 일시 지연시키고, 악성코드 탐색장치(30)에서 다른 사용자 단말(10)로부터의 리포트 정보에 의해 그 악성 여부가 판단될 수 있으므로, 해당 정보를 기반으로 악성 코드에 의한 데이터 유출을 방지할 수 있다.
According to the present embodiment, the user terminal 10 judges whether or not the currently recognized monitoring target process is malicious by using the previously stored information or the malicious code searching device 30, and only when it is a new process that has not been registered in advance Report information is generated and reported. Therefore, data leakage due to a malicious code managed by the malicious code searching device 30 (that is, malicious code detected in advance) can be prevented, and also in the case of a new malicious code, the external leak is temporarily delayed, Maliciousness can be determined by the report information from the other user terminal 10 in the malicious code database 30, and data leakage due to the malicious code can be prevented based on the information.

도 6은 본 발명의 다른 실시예에 따른 데이터 유출 시도를 하는 악성 코드 탐색을 위한 전체 시스템을 개략적으로 도시한 구성도이다.FIG. 6 is a block diagram schematically illustrating an entire system for malicious code search for data leakage attempts according to another embodiment of the present invention. Referring to FIG.

도 6을 참조하면, 본 실시예에 따른 전체 시스템은 사용자 단말들의 앞단에 감시 장치(50)가 포함된다. Referring to FIG. 6, the overall system according to the present embodiment includes a monitoring device 50 at the front end of user terminals.

감시 장치(50)는 사용자 단말(10)들로부터 외부로 전송되는 데이터들을 감시하는데, 해당 데이터들의 목적지(즉 유출 목적지)가 어디인지를 감지하고, 인증되지 않은 목적지인 경우 상술한 바와 같은 리포트 정보를 생성하여 악성코드 탐색장치로 전송한다.The surveillance device 50 monitors the data transmitted from the user terminals 10 to the outside, detects the destination (i.e., the outflow destination) of the corresponding data, and, if the destination is an unauthenticated destination, And transmits it to the malicious code search device.

쉽게 말해, 도 1 내지 도 5를 참조하여 설명한 악성 코드 탐색 방식에 있어, 사용자 단말(10)의 기능을 감시 장치(50)가 수행하는 것이다. 본 실시예에 따르면, 사용자 단말(10)들은 악성 코드 탐색을 위한 소프트웨어적인 프로그램이 필요 없게 된다. 즉, 감시 장치(50)가 외부로 유출되는 데이터들에 대해 악성 코드에 의한 것인지 여부를 판단하기 때문이다. In other words, in the malicious code search method described with reference to FIGS. 1 to 5, the monitoring device 50 performs the function of the user terminal 10. According to the present embodiment, the user terminals 10 do not need a software program for malicious code search. That is, the surveillance apparatus 50 determines whether or not it is caused by a malicious code with respect to data that are leaked to the outside.

감시 장치(50)는 사용자 단말(10)로부터 외부로 전송되는 데이터가 존재하면 그 유출을 지연시키고, 해당 데이터를 분석한 결과 유출 목적지가 미리 저장된 코드정보에 따른 화이트리스트인지 블랙리스트인지를 인식하고, 화이트리스트인 경우 외부 유출을 허용하고 블랙리스트인 경우 외부 유출을 차단한다. 특히 감시 장치(50)는 유출 목적지가 블랙리스트로 관리되고 있는 경우에는 해당 사용자 단말(10)이 외부 유출을 시도한 프로세스에 따른 악성 코드를 치료할 수 있도록 하는 백신정보를 해당 사용자 단말(10)로 제공한다.The surveillance device 50 delays the outflow of data transmitted from the user terminal 10 to the outside, and analyzes the data to recognize whether the outflow destination is a whitelist or a blacklist according to pre-stored code information , Whitelist allows outflow, and blacklist blocks outflow. In particular, when the outflow destination is managed as a black list, the monitoring device 50 provides vaccine information to the user terminal 10 so that the user terminal 10 can treat the malicious code according to the process of attempting the outflow of the user terminal 10 do.

만일, 유출 목적지가 코드정보로서 관리되지 않은 새로운 목적지인 경우, 감시 장치(50)는 마찬가지로 악성코드 탐색장치(30)로 해당 유출 목적지를 포함하는 리포트 정보를 생성하여 전송한다. 따라서, 감시장치는 악성코드 탐색장치(30)로부터 악성 코드에 의한 것인지 여부에 대한 응답이 수신되면, 그에 따라 처리하는 것이다.If the outflow destination is a new destination that is not managed as code information, the monitoring device 50 similarly generates report information including the outflow destination to the malicious code search device 30 and transmits the report information. Therefore, when a response to the malicious code is received from the malicious code searching device 30, the monitoring device performs processing accordingly.

일례에 따르면, 감시 장치(50)는 공유기와 같은 액세스포인트(Access Point) 또는 게이트웨이(gateway) 등과 같은 네트워크 장비의 기능을 함께 갖도록 구현될 수도 있다. 쉽게 말해, 감시 장치(50)가 공유기로서 구현된 경우, 상술한 바와 같은 악성코드 탐색 기능뿐 아니라 각 사용자 단말들에게 아이피주소( IP address)를 부여하여 통신망을 통한 통신을 수행하도록 하는 기능을 제공하는 것이다.According to an example, the monitoring device 50 may be implemented to have the functions of a network device such as an access point or a gateway, such as a router. In other words, when the monitoring device 50 is implemented as a router, it provides a malicious code search function as well as a function of providing an IP address to each user terminal to perform communication via a communication network .

도 7은 본 발명의 일 실시예에 따른 감시 장치(50)에서의 악성코드 탐색 과정을 도시한 흐름도이다.7 is a flowchart illustrating a malicious code search process in the monitoring device 50 according to an embodiment of the present invention.

도 7을 참조하면, 감시 장치(50)는 임의의 사용자 단말로부터 외부로 유출하는 데이터가 수신되면(S710), 그 데이터의 유출을 지연시키고 해당 데이터를 분석하여 데이터를 송신한 소스(해당 사용자 단말)와 그 데이터를 수신할 유출목적지를 인식한다(S720). 여기서, 상술한 바와 같이, 일례에 따르면 감시 장치(50)는 모든 데이터에 대해 데이터 유출을 지연시킬 수도 있으나, 다른 일례에 따르면 데이터 자체를 분석하여, 개인정보가 포함된 데이터, 은행용 인증서, 미리 지정된 중요파일목록으로 등록된 데이터 등 중요한 데이터에 대해서만 데이터 유출을 지연시키고, 나머지는 그대로 유출 시킬 수도 있다. 중요 데이터가 아닌 경우 해당 프로세서가 악성 코드가 아닐 확률이 높을 수 있으므로 해당 데이터는 신속하게 유출목적지로 전달될 수 있도록 데이터 유출을 지연시키지 않는 것이다. 그리고 마찬가지로 데이터 유출의 지연도 악성 여부가 판단되기 이전일지라도 미리 설정된 일정 시간을 초과하지 못하도록 설정될 수도 있다.Referring to FIG. 7, when monitoring data is received from an arbitrary user terminal (S710), the monitoring device 50 delays the outflow of the data, analyzes the data, And an outflow destination to receive the data (S720). As described above, according to an exemplary embodiment, the monitoring device 50 may delay data leakage for all data, but according to another example, the data itself may be analyzed and data including personal information, a bank certificate, It is possible to delay data leakage only for important data such as data registered in the designated important file list, and to allow the rest to be leaked as it is. If the data is not critical, it is likely that the processor is not malware, so the data will not be delayed so that it can be delivered to the outflow destination quickly. Likewise, the delay of the data leakage may be set so as not to exceed a predetermined time even before it is judged whether or not the data is malicious.

감시 장치(50)유출 목적지가 미리 등록된 화이트 리스트 또는 블랙 리스트로 구분되는 코드정보로서 미리 등록되어 있는지 여부를 판단하고(S730), 코드정보로서 등록되어 있는 경우엔 그에 따라 데이터 유출을 허용하거나 차단한다(S740).It is judged whether or not the outflow destination of the monitoring device 50 is registered in advance as code information classified into a whitelist or a blacklist registered in advance (S730). If the outbound destination is registered as code information, (S740).

이와 달리, 감시 장치는 미리 등록되지 않은 경우에는 유출 목적지에 대한 정보를 포함하는 리포트 정보를 생성하여 악성코드 탐색장치(30)로 전송하고 그에 따른 결과를 수신한다(S740). Otherwise, the monitoring apparatus generates report information including information on an outflow destination when it is not registered in advance, and transmits the report information to the malicious code search apparatus 30 (S740).

감시 장치(50)는 악성코드 탐색장치(30)로부터 수신된 결과 정보가 악성으로 인식되면, 해당 소스(즉, 유출 데이터를 전송한 사용자 단말)로 해당 악성 코드를 치료할 수 있는 백신(악성코드 탐색장치(30)로부터 취득될 수 있음)을 제공한다(S760). 이와 달리 악성이 아닌 경우엔 데이터 유출의 지연을 종료하여 데이터가 정상적으로 유출 목적지로 전달되도록 한다(S765).
When the result information received from the malicious code searching device 30 is recognized as malicious, the monitoring device 50 transmits a vaccine capable of treating the malicious code to the source (i.e., the user terminal that has transmitted the leak data) (Which may be obtained from the device 30) (S760). Otherwise, if the data is not malicious, the delay of the data leak is terminated and the data is normally transmitted to the outflow destination (S765).

상술한 본 발명에 따른 악성 코드 탐색 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. The above-described malicious code searching method according to the present invention can be implemented as computer-readable codes on a computer-readable recording medium. The computer-readable recording medium includes all kinds of recording media storing data that can be decoded by a computer system. For example, it may be a ROM (Read Only Memory), a RAM (Random Access Memory), a magnetic tape, a magnetic disk, a flash memory, an optical data storage device, or the like. In addition, the computer-readable recording medium may be distributed and executed in a computer system connected to a computer network, and may be stored and executed as a code readable in a distributed manner.

또한, 상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention as defined in the appended claims. It will be understood that various modifications and changes may be made.

10-1, 10-2, ..., 10-n : 사용자 단말
30 : 악성코드 탐색장치
50 : 감시 장치10-1, 10-2, ..., 10-n:
30: Malicious code search device
50: Monitoring device

Claims (12)

사용자 단말과 통신망을 통해 연결된 서버 장치에서의 악성 코드 탐색 방법에 있어서,
사용자의 명령에 의한 프로세스를 제외한 외부로 데이터 유출을 시도하는 감시대상 프로세스를 인식한 복수개의 사용자 단말들로부터 유출목적지를 포함하는 리포트 정보들을 수신하는 단계;
상기 리포트 정보들을 기반으로 데이터 유출목적지가 동일 또는 유사한 곳인지 여부를 판단함으로써, 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정하는 단계; 및
결정 결과를 상기 사용자 단말들로 제공함으로써, 상기 사용자 단말들이 상기 데이터 유출을 진행하거나 차단하는 결정을 수행하도록 하는 단계를 포함하되,
상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정함에 있어 동일한 유출목적지를 갖는 리포트 정보의 개수는 유출목적지가 해외인지 국내인지 여부 또는 유출데이터의 유형 또는 데이터량에 따라 달라지는 것을 특징으로 하는 악성 코드 탐색 방법.
A malicious code search method in a server device connected to a user terminal through a communication network,
Receiving report information including an outflow destination from a plurality of user terminals that recognize a monitoring target process that attempts to leak data to the outside except a process by a user's command;
Determining whether the monitored process is caused by a malicious code by determining whether a data outflow destination is the same or similar based on the report information; And
And providing a determination result to the user terminals to cause the user terminals to perform a decision to proceed or block the data outflow,
Wherein the number of report information having the same outflow destination in determining whether the monitored process is caused by a malicious code varies depending on whether the outflow destination is overseas or domestic or the type or data amount of the outflow data. Search method.
청구항 1에 있어서,
아이피주소, 지역 또는 국가에 대한 정보를 갖는 상기 유출목적지 및 상기 감시대상 프로세스에 따른 프로세서에 대한 정보를 악성코드정보로서 데이터베이스화하는 단계를 더 포함하되,
회원단말들에게 상기 악성코드정보가 제공되는 것을 특징으로 하는 악성 코드 탐색 방법.The method according to claim 1,
Further comprising the step of, as malicious code information, converting the information about the processor and the flow destination having the information about the IP address, the region or the country, and the processor as the malicious code information,
And the malicious code information is provided to the member terminals. 삭제delete 통신망과 연결된 컴퓨팅 장치에서의 악성 프로세스 탐색 방법에 있어서,
사용자의 명령에 의한 프로세스를 제외한 외부로 데이터 유출을 시도하는 감시대상 프로세스를 인식하는 단계;
상기 데이터 유출을 지연시키는 단계;
상기 감시대상 프로세스에 따른 유출목적지에 대한 정보를 포함하는 리포트 정보를 악성코드 탐색장치로 전송하는 단계; 및
상기 악성코드 탐색장치로부터 수신된 악성 판단 결과에 따라 상기 데이터 유출의지연을 종료하거나 상기 감시대상 프로세스를 악성으로 처리하는 단계를 포함하되,
상기 악성코드 탐색장치는 상기 리포트 정보를 복수개의 회원단말로부터 수신하여 분석함으로써 상기 감시대상 프로세스가 악성 프로세스인지 여부를 판단하는 것을 특징으로 하는 악성 코드 탐색 방법.

A malicious process search method in a computing device connected to a communication network,
Recognizing a monitoring target process that attempts to leak data to the outside except a process based on a command of a user;
Delaying the data outflow;
Transmitting report information including information on an outflow destination according to the monitored process to a malicious code search device; And
Terminating the delay of the data leakage according to a malicious determination result received from the malicious code search apparatus or processing the monitoring target process as malicious,
Wherein the malicious code search device determines whether the monitored process is a malicious process by receiving and analyzing the report information from a plurality of member terminals.

청구항 4에 있어서,
상기 감시대상 프로세스를 인식하는 단계는,
상기 감시대상 프로세스에 따른 데이터의 유출목적지가 상기 악성코드 탐색장치로부터 미리 수신되어 저장된 악성코드정보에 의한 악성목적지 중 하나인지 여부를 판단하는 단계를 더 포함하되,
상기 유출목적지가 악성목적지인 경우 상기 감시대상 프로세스를 차단하는 것을 특징으로 하는 악성 코드 탐색 방법.
The method of claim 4,
Wherein the step of recognizing the monitoring target process comprises:
Further comprising the step of determining whether a destination of data leakage according to the monitored process is one of malicious destinations based on malicious code information received and stored in advance from the malicious code search device,
And stopping the monitoring target process when the outflow destination is a malicious destination.
청구항 4에 있어서,
유출이 시도되는 데이터를 분석하여 미리 지정된 중요 데이터인지 여부를 판단하는 단계를 더 포함하되,
판단 결과 중요 데이터인 경우에만 상기 데이터 유출을 지연시키는 것을 특징으로 하는 악성 코드 탐색 방법.
The method of claim 4,
Further comprising the step of analyzing the data to be leaked and judging whether or not it is the predetermined important data,
And the data leakage is delayed only when it is determined that the data is important data.
청구항 4에 있어서,
상기 데이터 유출의 지연은 상기 악성코드 탐색장치로부터 일정 시간 내에 악성 여부에 대한 결과가 수신되지 않는 경우 종료되는 것을 특징으로 하는 악성 코드 탐색 방법.
The method of claim 4,
Wherein the data leak is terminated when a result of the malicious code is not received from the malicious code search device within a predetermined period of time.
로컬 네트워크를 통해 사용자 단말들과 연결된 감시 장치가 수행하는 악성 프로세스 탐색 방법에 있어서,
임의의 사용자 단말로부터 외부로 유출시키는 데이터가 수신되면, 상기 데이터에 대한 유출을 지연시키는 단계;
상기 데이터에 따른 유출 목적지에 대한 정보를 포함하는 리포트 정보를 통신망을 통해 연결된 악성코드 탐색장치로 전송하는 단계; 및
상기 악성코드 탐색장치로부터 수신된 악성 판단 결과에 따라 상기 데이터 유출을 허용하거나 차단하는 단계를 포함하되,
상기 악성코드 탐색장치는 상기 리포트 정보를 복수개의 회원단말로부터 수신하여 분석함으로써 감시대상 프로세스가 악성 프로세스인지 여부를 판단하는 것을 특징으로 하는 악성 코드 탐색 방법.
A malicious process searching method performed by a monitoring apparatus connected to user terminals through a local network,
Delaying an outflow to the data when data to be transmitted to the outside is received from an arbitrary user terminal;
Transmitting report information including information on an outflow destination according to the data to a malicious code searching apparatus connected through a communication network; And
And allowing or blocking the data leakage according to a malicious determination result received from the malicious code searching apparatus,
Wherein the malicious code search device receives and analyzes the report information from a plurality of member terminals to determine whether the monitored process is a malicious process.
청구항 8에 있어서,
상기 악성 판단 결과가 악성으로 판단된 경우, 상기 임의의 사용자 단말로 상기 데이터를 외부로 유출시키는 프로세서를 치료하는 백신을 제공하는 단계를 더 포함하는 악성 코드 탐색 방법.
The method of claim 8,
Further comprising the step of providing a vaccine for treating the processor to cause the arbitrary user terminal to leak the data to the outside when the malicious result is determined to be malicious.
제 1항 내지 제 2항, 제 4항 내지 제 9항 중 어느 한 항의 방법을 수행하기 위한 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록 매체.
10. A recording medium in which a program for performing the method according to any one of claims 1 to 9 is recorded on a computer-readable medium.
사용자의 명령에 의한 프로세스를 제외한 외부로의 데이터 유출을 시도하는 감시대상 프로세스를 인식한 복수개의 사용자 단말들로부터 유출목적지 정보를 포함하는 리포트 정보들을 수신하기 위한 통신부;
상기 리포트 정보들을 기반으로 데이터 유출목적지가 동일 또는 유사한 곳인지 여부를 판단함으로써 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정하고, 결정된 결과를 상기 사용자 단말들로 제공함으로써 상기 사용자 단말들이 상기 데이터 유출을 진행하거나 차단하는 결정을 수행하도록 하는 제어부; 및
상기 유출목적지 및 상기 감시대상 프로세스에 따른 프로세서에 대한 정보를 악성코드정보로서 저장하기 위한 저장부를 포함하되,
상기 제어부는 상기 감시대상 프로세스가 악성 코드에 의한 것인지 여부를 결정함에 있어, 동일한 유출목적지를 갖는 리포트 정보의 개수를 유출목적지가 해외인지 국내인지 여부 또는 유출데이터의 유형 또는 데이터량에 따라 달리하는 것을 특징으로 하는 악성 코드 탐색 장치.A communication unit for receiving report information including outgoing destination information from a plurality of user terminals that recognize a monitoring target process that attempts to leak data to the outside except a process by a command of a user;
Determining whether the monitored process is caused by a malicious code by determining whether a data outflow destination is the same or similar based on the report information, and providing the determined result to the user terminals, To perform a decision to proceed or to block the operation; And
And a storage unit for storing information on the processor according to the outflow destination and the monitored process as malicious code information,
In determining whether the monitored process is caused by a malicious code, the control unit may change the number of report information having the same outflow destination depending on whether the outflow destination is in the foreign country or the domestic, or the type or data amount of the outflow data A malicious code search device characterized by. 삭제delete
KR1020140045820A 2014-04-17 2014-04-17 Method and device for detecting malicious code for preventing outflow data KR101427412B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140045820A KR101427412B1 (en) 2014-04-17 2014-04-17 Method and device for detecting malicious code for preventing outflow data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140045820A KR101427412B1 (en) 2014-04-17 2014-04-17 Method and device for detecting malicious code for preventing outflow data

Publications (1)

Publication Number Publication Date
KR101427412B1 true KR101427412B1 (en) 2014-08-08

Family

ID=51749790

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140045820A KR101427412B1 (en) 2014-04-17 2014-04-17 Method and device for detecting malicious code for preventing outflow data

Country Status (1)

Country Link
KR (1) KR101427412B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016108415A1 (en) * 2014-12-31 2016-07-07 주식회사 시큐아이 Network security equipment and method for detecting ddos attack by same
CN110851367A (en) * 2019-11-18 2020-02-28 浙江军盾信息科技有限公司 AST-based method and device for evaluating source code leakage risk and electronic equipment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100048105A (en) * 2008-10-30 2010-05-11 주식회사 케이티 Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
KR20110027547A (en) * 2009-09-08 2011-03-16 (주)이스트소프트 The automated defense system for the malicious code and the method thereof
KR20110131627A (en) * 2010-05-31 2011-12-07 한국전자통신연구원 Apparatus for detecting malicious code using structure and characteristic of file, and terminal thereof
KR20130009130A (en) * 2011-07-14 2013-01-23 루멘소프트 (주) Apparatus and method for dealing with zombie pc and ddos

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100048105A (en) * 2008-10-30 2010-05-11 주식회사 케이티 Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
KR20110027547A (en) * 2009-09-08 2011-03-16 (주)이스트소프트 The automated defense system for the malicious code and the method thereof
KR20110131627A (en) * 2010-05-31 2011-12-07 한국전자통신연구원 Apparatus for detecting malicious code using structure and characteristic of file, and terminal thereof
KR20130009130A (en) * 2011-07-14 2013-01-23 루멘소프트 (주) Apparatus and method for dealing with zombie pc and ddos

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016108415A1 (en) * 2014-12-31 2016-07-07 주식회사 시큐아이 Network security equipment and method for detecting ddos attack by same
CN110851367A (en) * 2019-11-18 2020-02-28 浙江军盾信息科技有限公司 AST-based method and device for evaluating source code leakage risk and electronic equipment
CN110851367B (en) * 2019-11-18 2023-09-01 杭州安恒信息安全技术有限公司 AST-based method and device for evaluating source code leakage risk and electronic equipment

Similar Documents

Publication Publication Date Title
US10902117B1 (en) Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10893068B1 (en) Ransomware file modification prevention technique
US10430586B1 (en) Methods of identifying heap spray attacks using memory anomaly detection
US10491627B1 (en) Advanced malware detection using similarity analysis
KR101574652B1 (en) Sytem and method for mobile incident analysis
US11086983B2 (en) System and method for authenticating safe software
CN110290148B (en) Defense method, device, server and storage medium for WEB firewall
US20140181530A1 (en) System and Method for Protecting Cloud Services from Unauthorized Access and Malware Attacks
US20210352105A1 (en) Deception using screen capture
US9183392B2 (en) Anti-malware tool for mobile apparatus
US20140259168A1 (en) Malware identification using a hybrid host and network based approach
US10867049B2 (en) Dynamic security module terminal device and method of operating same
US11489832B2 (en) Communication control apparatus, communication control method, and communication control program
KR101964148B1 (en) Wire and wireless access point for analyzing abnormal action based on machine learning and method thereof
US10671730B2 (en) Controlling configuration data storage
US10339307B2 (en) Intrusion detection system in a device comprising a first operating system and a second operating system
CN109547427B (en) Blacklist user identification method and device, computer equipment and storage medium
US11677765B1 (en) Distributed denial of service attack mitigation
KR101427412B1 (en) Method and device for detecting malicious code for preventing outflow data
CN111241546A (en) Malicious software behavior detection method and device
KR101499470B1 (en) Advanced Persistent Threat attack defense system and method using transfer detection of malignant code
CN105791221B (en) Rule issuing method and device
CN114189865B (en) Network attack protection method in communication network, computer device and storage medium
KR101467228B1 (en) Method for preventing outflow file and device thereof
KR101428004B1 (en) Method and device for detecting malicious processes outflow data

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170818

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190211

Year of fee payment: 5

R401 Registration of restoration