KR20210043904A - Detour program auto-detection method and system therefore - Google Patents

Detour program auto-detection method and system therefore Download PDF

Info

Publication number
KR20210043904A
KR20210043904A KR1020190126808A KR20190126808A KR20210043904A KR 20210043904 A KR20210043904 A KR 20210043904A KR 1020190126808 A KR1020190126808 A KR 1020190126808A KR 20190126808 A KR20190126808 A KR 20190126808A KR 20210043904 A KR20210043904 A KR 20210043904A
Authority
KR
South Korea
Prior art keywords
session
client
client terminal
bypass program
bypass
Prior art date
Application number
KR1020190126808A
Other languages
Korean (ko)
Other versions
KR102288604B1 (en
Inventor
김정우
양철웅
양우석
Original Assignee
주식회사 수산아이앤티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 수산아이앤티 filed Critical 주식회사 수산아이앤티
Priority to KR1020190126808A priority Critical patent/KR102288604B1/en
Priority to PCT/KR2020/005526 priority patent/WO2021075652A1/en
Publication of KR20210043904A publication Critical patent/KR20210043904A/en
Application granted granted Critical
Publication of KR102288604B1 publication Critical patent/KR102288604B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Computer And Data Communications (AREA)

Abstract

Disclosed are a method for automatically detecting a bypass program, and a system thereof. According to one embodiment of the present invention, the method for automatically detecting the bypass program includes the steps of: receiving a first client session from a first client terminal; and detecting the first client terminal as a client terminal using a bypass program when requesting, by the received first client session, access to a server included in a preset IP list or requesting a plurality of secure shell (SSH) accesses for a preset time, and further includes a step of registering the first client terminal in a hash together with a timer when the first client terminal is detected as a client terminal using a bypass program.

Description

우회 프로그램 자동 검출 방법 및 그 시스템 {DETOUR PROGRAM AUTO-DETECTION METHOD AND SYSTEM THEREFORE}Bypass program automatic detection method and its system {DETOUR PROGRAM AUTO-DETECTION METHOD AND SYSTEM THEREFORE}

본 발명은 우회 프로그램 자동 검출 기술에 관한 것으로, 보다 구체적으로는 우회 프로그램을 사용한적 있는 클라이언트 단말기를 해시(hash)에 등록하고, 등록된 클라이언트 단말기를 대상으로 우회 프로그램을 자동 검출할 수 있는 우회 프로그램 자동 검출 방법 및 그 시스템에 관한 것이다.The present invention relates to a bypass program automatic detection technology, and more specifically, a bypass program capable of registering a client terminal that has used a bypass program in a hash, and automatically detecting a bypass program targeting the registered client terminal. It relates to an automatic detection method and system thereof.

인터넷 우회 프로그램들은 온라인에서 익명성을 원하는 사람들과 온라인 검열 및 감시 시스템을 회피하기 위해 인터넷 검열 국가의 국민들도 사용한다. 하지만, 이러한 프로그램들은 단순한 보안 시스템 회피 목적으로만 사용되지 않고 기업, 기관의 기밀 유출 및 온라인 범죄에도 많이 사용된다.Internet bypass programs are also used by people who want anonymity online and citizens of Internet censoring countries to evade online censorship and surveillance systems. However, these programs are not used only for the purpose of evading security systems, but are also widely used for the leakage of corporate and institutional confidentiality and online crime.

클라이언트가 서버에 직접 접속하지 않고 프로그램 네트워크에 있는 중개 노드를 경유하여 서버에 접속하는데 클라이언트와 중개 노드 사이의 통신을 보안 시스템이 검출할 수 없는 프로토콜을 사용하여 회피하는 방식이다.The client does not directly connect to the server, but connects to the server via an intermediary node in the program network. This is a method that avoids communication between the client and the intermediary node by using a protocol that cannot be detected by the security system.

대표적인 우회 프로그램으로는 Tor, Ultrasurf, Psiphon 등이 있는데 이들은 보안 시스템의 검출을 피하기 위해 계속 발전해 왔으며 현재는 전용 프로토콜만 사용하는 것이 아니라 일반적으로 많이 사용되는 VPN, SSL(TLS)나 SSH 등의 암호화 프로토콜을 사용하여 데이터를 전송하기 때문에 보안 시스템에서 검출하기 어려운 현실이다.Representative bypass programs include Tor, Ultrasurf, and Psiphon. These have been continuously developed to avoid detection of security systems. Currently, not only dedicated protocols are used, but encryption protocols such as VPN, SSL (TLS) or SSH, which are commonly used. It is a reality that is difficult to detect in a security system because data is transmitted by using.

보안 시스템들은 우회 프로그램들을 검출, 차단하기 위해 지나가는 트래픽에 대해 IP 기반 차단(주기적인 IP 리스트 업데이트), SSL 복호화 후 차단(self-signed 인증서에 대한 차단) 및 SSH, HTTP-PROXY, VPN 차단과 같은 프로세스들을 수행한다.Security systems detect and block bypass programs, such as IP-based blocking (periodic IP list update), blocking after SSL decryption (blocking for self-signed certificates) and SSH, HTTP-PROXY, and VPN blocking. Perform the processes.

하지만 위와 같은 차단 방식은 업데이트 전 새로 추가된 IP 리스트에 대해서는 차단할 수 없으며, self-signed 인증서를 가진 정상적인 웹 사이트의 접속도 차단되며, 전체 SSH 나 VPN 이 차단되는 단점이 있어 우회 프로그램이 아닌 정상적인 서비스에 대한 오차단의 위험이 크다.However, the above blocking method cannot block the newly added IP list before the update, and access to normal websites with self-signed certificates is also blocked, and there is a disadvantage that the entire SSH or VPN is blocked, so it is a normal service that is not a bypass program. There is a high risk of an error step for.

일단 오차단이 발생하면 사용자들의 불편을 초래하고 이를 해결하기 위해 관리자는 오차단 발생마다 새로운 정책을 추가하는 등의 작업을 감수해야 한다.Once an error level occurs, it causes inconvenience to users, and in order to solve it, the administrator has to take tasks such as adding a new policy each time an error level occurs.

본 발명의 실시예들은, 우회 프로그램을 사용한적 있는 클라이언트 단말기를 해시(hash)에 등록하고, 등록된 클라이언트 단말기를 대상으로 우회 프로그램을 자동 검출할 수 있는 우회 프로그램 자동 검출 방법 및 그 시스템을 제공한다.Embodiments of the present invention provide a method and system for automatically detecting a bypass program by registering a client terminal that has used a bypass program in a hash, and automatically detecting a bypass program for the registered client terminal. .

본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 방법은 제1 클라이언트 단말기로부터 제1 클라이언트 세션을 수신하는 단계; 및 상기 수신된 제1 클라이언트 세션이 미리 설정된 IP 리스트에 포함된 서버로의 접속을 요청하거나 미리 설정된 시간 동안 복수의 시큐어 셸(Secure Shell, SSH) 접속을 요청하는 경우 상기 제1 클라이언트 단말기를 우회 프로그램을 사용하는 클라이언트 단말기로 검출하는 단계를 포함한다.A method for automatically detecting a bypass program according to an embodiment of the present invention includes: receiving a first client session from a first client terminal; And a program that bypasses the first client terminal when the received first client session requests access to a server included in a preset IP list or requests multiple secure shell (SSH) access for a preset time. And detecting with a client terminal using.

나아가, 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 방법은 상기 제1 클라이언트 단말기가 우회 프로그램을 사용하는 클라이언트 단말기로 검출되는 경우 상기 제1 클라이언트 단말기를 타이머와 함께 해시(hash)에 등록하는 단계를 더 포함할 수 있다.Further, the method for automatically detecting a bypass program according to an embodiment of the present invention includes registering the first client terminal with a timer in a hash when the first client terminal is detected as a client terminal using the bypass program. It may further include.

더 나아가, 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 방법은 상기 해시에 등록된 제1 클라이언트 단말기로부터 상기 타이머가 소멸되기 전에 우회 프로그램 의심 세션으로 미리 분류된 세션이 수신되는 경우 해당 세션을 차단하는 단계를 더 포함하고, 상기 타이머는 상기 제1 클라이언트 단말기로부터 우회 프로그램 세션이 새로 검출되는 경우 갱신될 수 있다.Furthermore, the method for automatically detecting a bypass program according to an embodiment of the present invention blocks the session when a session previously classified as a suspected bypass program session is received from the first client terminal registered in the hash before the timer expires. The step of further comprising, wherein the timer may be updated when a bypass program session is newly detected from the first client terminal.

더 나아가, 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 방법은 상기 제1 클라이언트 단말기가 우회 프로그램을 사용하는 클라이언트 단말기로 검출되는 경우 상기 제1 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 상기 제1 클라이언트 세션을 차단하는 단계를 더 포함할 수 있다.Furthermore, in the method for automatically detecting a bypass program according to an embodiment of the present invention, when the first client terminal is detected as a client terminal using the bypass program, the first client session is classified as a bypass program suspicious session, and the first It may further include blocking the client session.

더 나아가, 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 방법은 상기 제1 클라이언트 단말기가 해시에 등록된 단말기이고, 상기 제1 클라이언트 세션이 언노운(unknown) 프로토콜이거나 웹 데이터베이스 카테고리에 미포함된 경우 상기 제1 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 상기 제1 클라이언트 세션을 차단하는 단계를 더 포함할 수 있다.Furthermore, in the method for automatically detecting bypass programs according to an embodiment of the present invention, when the first client terminal is a terminal registered in a hash, and the first client session is an unknown protocol or not included in a web database category, the The method may further include classifying the first client session as a suspicious bypass program session and blocking the first client session.

더 나아가, 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 방법은 상기 제1 클라이언트 단말기가 해시에 등록된 단말기이고, 상기 제1 클라이언트 세션이 하나의 시큐어 셸(SSH) 접속을 요청하면서 우회 프로그램 의심 세션으로 미리 분류된 세션인 경우 상기 제1 클라이언트 세션을 차단하는 단계를 더 포함할 수 있다.Furthermore, in the method for automatically detecting a bypass program according to an embodiment of the present invention, the first client terminal is a terminal registered in the hash, and the first client session requests a single secure shell (SSH) connection, and the bypass program is suspected. In the case of a session previously classified as a session, the step of blocking the first client session may be further included.

더 나아가, 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 방법은 상기 제1 클라이언트 단말기가 해시에 등록된 단말기이고, 상기 제1 클라이언트 세션이 서버인증서가 신뢰할 수 없는 SSL(Secure Socket Layer) 세션인 경우 상기 제1 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 상기 제1 클라이언트 세션을 차단하는 단계를 더 포함할 수 있다.]Furthermore, in the method for automatically detecting a bypass program according to an embodiment of the present invention, the first client terminal is a terminal registered in a hash, and the first client session is a secure socket layer (SSL) session in which the server certificate is not trusted. In this case, the method may further include classifying the first client session as a suspicious bypass program session and blocking the first client session.]

본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 시스템은 제1 클라이언트 단말기로부터 제1 클라이언트 세션을 수신하는 수신부; 및 상기 수신된 제1 클라이언트 세션이 미리 설정된 IP 리스트에 포함된 서버로의 접속을 요청하거나 미리 설정된 시간 동안 복수의 시큐어 셸(Secure Shell, SSH) 접속을 요청하는 경우 상기 제1 클라이언트 단말기를 우회 프로그램을 사용하는 클라이언트 단말기로 검출하는 검출부를 포함한다.A system for automatically detecting a bypass program according to an embodiment of the present invention includes: a receiver configured to receive a first client session from a first client terminal; And a program that bypasses the first client terminal when the received first client session requests access to a server included in a preset IP list or requests multiple secure shell (SSH) access for a preset time. It includes a detection unit that detects with a client terminal using.

나아가, 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 시스템은 상기 제1 클라이언트 단말기가 우회 프로그램을 사용하는 클라이언트 단말기로 검출되는 경우 상기 제1 클라이언트 단말기를 타이머와 함께 해시(hash)에 등록하는 등록부를 더 포함할 수 있다.Further, in the automatic detection system for bypass programs according to an embodiment of the present invention, when the first client terminal is detected as a client terminal using a bypass program, a registration unit for registering the first client terminal with a timer in a hash. It may further include.

더 나아가, 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 시스템은 상기 해시에 등록된 제1 클라이언트 단말기로부터 상기 타이머가 소멸되기 전에 우회 프로그램 의심 세션으로 미리 분류된 세션이 수신되는 경우 해당 세션을 차단하는 차단부를 더 포함하고, 상기 타이머는 상기 제1 클라이언트 단말기로부터 우회 프로그램 세션이 새로 검출되는 경우 갱신될 수 있다.Furthermore, the automatic bypass program detection system according to an embodiment of the present invention blocks the session when a session previously classified as a suspected bypass program session is received from the first client terminal registered in the hash before the timer expires. The blocking unit may further include a blocking unit, and the timer may be updated when a bypass program session is newly detected from the first client terminal.

더 나아가, 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 시스템은 상기 제1 클라이언트 단말기가 우회 프로그램을 사용하는 클라이언트 단말기로 검출되는 경우 상기 제1 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 상기 제1 클라이언트 세션을 차단하는 차단부를 더 포함할 수 있다.Furthermore, in the automatic detection system for bypass programs according to an embodiment of the present invention, when the first client terminal is detected as a client terminal using a bypass program, the first client session is classified as a bypass program suspicious session, and the first It may further include a blocking unit for blocking the client session.

더 나아가, 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 시스템은 상기 제1 클라이언트 단말기가 해시에 등록된 단말기이고, 상기 제1 클라이언트 세션이 언노운(unknown) 프로토콜이거나 웹 데이터베이스 카테고리에 미포함된 경우 상기 제1 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 상기 제1 클라이언트 세션을 차단하는 차단부를 더 포함할 수 있다.Furthermore, in the automatic detection system for bypass programs according to an embodiment of the present invention, when the first client terminal is a terminal registered in a hash, and the first client session is an unknown protocol or not included in a web database category, the The first client session may be classified as a bypass program suspicious session and a blocking unit configured to block the first client session may be further included.

더 나아가, 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 시스템은 상기 제1 클라이언트 단말기가 해시에 등록된 단말기이고, 상기 제1 클라이언트 세션이 하나의 시큐어 셸(SSH) 접속을 요청하면서 우회 프로그램 의심 세션으로 미리 분류된 세션인 경우 상기 제1 클라이언트 세션을 차단하는 차단부를 더 포함할 수 있다.Furthermore, in the automatic detection system for bypass programs according to an embodiment of the present invention, the first client terminal is a terminal registered in the hash, and the first client session requests a single secure shell (SSH) connection, and the bypass program is suspected. In the case of a session previously classified as a session, it may further include a blocking unit that blocks the first client session.

더 나아가, 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 시스템은 상기 제1 클라이언트 단말기가 해시에 등록된 단말기이고, 상기 제1 클라이언트 세션이 서버인증서가 신뢰할 수 없는 SSL(Secure Socket Layer) 세션인 경우 상기 제1 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 상기 제1 클라이언트 세션을 차단하는 차단부를 더 포함할 수 있다.Furthermore, in the system for automatically detecting bypass programs according to an embodiment of the present invention, the first client terminal is a terminal registered in a hash, and the first client session is a secure socket layer (SSL) session in which the server certificate is not trusted. In this case, it may further include a blocking unit for classifying the first client session as a bypass program suspicious session and blocking the first client session.

본 발명의 실시예들에 따르면, 우회 프로그램을 사용한적 있는 클라이언트 단말기를 해시에 등록하고, 등록된 클라이언트 단말기를 대상으로 우회 프로그램을 자동 검출할 수 있다.According to embodiments of the present invention, a client terminal that has used the bypass program may be registered in a hash, and the bypass program may be automatically detected for the registered client terminal.

본 발명의 실시예들에 따르면, 우회 프로그램을 사용한 적이 없는 클라이언트 단말기에 대해서는 SSH, SSL 등에 대한 오차단을 방지할 수 있다.According to embodiments of the present invention, error steps for SSH, SSL, etc. can be prevented for a client terminal that has never used a bypass program.

도 1은 본 발명의 시스템 환경에 대한 일 예시도를 나타낸 것이다.
도 2는 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 방법에 대한 동작 흐름도를 나타낸 것이다.
도 3은 본 발명의 방법을 설명하기 위한 구체적인 동작 흐름도를 나타낸 것이다.
도 4는 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 시스템에 대한 구성을 나타낸 것이다.1 shows an exemplary diagram for the system environment of the present invention.
2 is a flowchart illustrating an operation of a method for automatically detecting a bypass program according to an embodiment of the present invention.
3 shows a detailed operation flow chart for explaining the method of the present invention.
4 shows the configuration of a bypass program automatic detection system according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.Advantages and features of the present invention, and a method of achieving them will become apparent with reference to the embodiments described below in detail together with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but will be implemented in a variety of different forms, only the present embodiments are intended to complete the disclosure of the present invention, and common knowledge in the technical field to which the present invention pertains. It is provided to completely inform the scope of the invention to those who have, and the invention is only defined by the scope of the claims.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며, 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.The terms used in the present specification are for describing exemplary embodiments, and are not intended to limit the present invention. In this specification, the singular form also includes the plural form unless specifically stated in the phrase. As used herein, "comprises" and/or "comprising" refers to the presence of one or more other components, steps, actions and/or elements in which the recited component, step, operation and/or element is Or does not preclude additions.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless otherwise defined, all terms (including technical and scientific terms) used in the present specification may be used with meanings that can be commonly understood by those of ordinary skill in the art to which the present invention belongs. In addition, terms defined in a commonly used dictionary are not interpreted ideally or excessively unless explicitly defined specifically.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예들을 보다 상세하게 설명하고자 한다. 도면 상의 동일한 구성요소에 대해서는 동일한 참조 부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the accompanying drawings. The same reference numerals are used for the same elements in the drawings, and duplicate descriptions for the same elements are omitted.

본 발명의 실시예들은, 우회 프로그램을 사용한적 있는 클라이언트 단말기를 해시에 등록하고, 등록된 클라이언트 단말기를 대상으로 우회 프로그램을 자동 검출하는 것을 그 요지로 한다.Embodiments of the present invention make it a gist of registering a client terminal that has used a bypass program in a hash, and automatically detecting a bypass program for the registered client terminal.

여기서, 본 발명은 우회 프로그램 세션을 사용한 클라이언트 단말기를 주요 대상으로 우회 프로그램 의심 세션 또는 우회 프로그램 세션을 자동으로 검출하고, 이를 통해 다른 클라이언트 단말기로부터 발생되는 클라이언트 세션에 대한 오차단을 방지할 수 있다. 이러한 본 발명은 해시에 클라이언트 단말기와 함께 등록되는 타이머가 소멸되기 전에 수신되는 우회 프로그램 세션 또는 미리 분류된 우회 프로그램 의심 세션을 자동으로 검출하고 차단할 수 있으며, 새로운 우회 프로그램 세션이 검출되는 경우 타이머는 갱신되고, 타이머가 소멸되는 경우 해당 클라이언트 단말기는 해시에서 삭제될 수 있다.Here, the present invention automatically detects a suspected bypass program session or a bypass program session as a main target of a client terminal using the bypass program session, thereby preventing an error step for a client session generated from another client terminal. The present invention can automatically detect and block a bypass program session received before the timer registered with the client terminal in the hash expires or a previously classified bypass program suspicious session, and when a new bypass program session is detected, the timer is updated. When the timer expires, the corresponding client terminal may be deleted from the hash.

도 1은 본 발명의 시스템 환경에 대한 일 예시도를 나타낸 것이다.1 shows an exemplary diagram for the system environment of the present invention.

적어도 하나 이상의 클라이언트 단말기(110)는 컴퓨터 장치로 구현되는 고정형 단말이거나 이동형 단말일 수 있다. 클라이언트 단말기(110)의 예를 들면, 스마트폰(smart phone), 휴대폰, 내비게이션, 컴퓨터, 노트북, 디지털방송용 단말, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 태블릿 PC 등이 있다. 일례로 클라이언트 단말기(110)는 무선 또는 유선 통신 방식을 이용하여 네트워크(예를 들면, 인터넷(140))를 통해 다른 단말들 및/또는 서버와 통신할 수 있다. The at least one client terminal 110 may be a fixed terminal implemented as a computer device or a mobile terminal. Examples of the client terminal 110 include a smart phone, a mobile phone, a navigation system, a computer, a notebook computer, a digital broadcasting terminal, a personal digital assistant (PDA), a portable multimedia player (PMP), and a tablet PC. For example, the client terminal 110 may communicate with other terminals and/or servers through a network (eg, the Internet 140) using a wireless or wired communication method.

여기서, 고정형 단말 및 이동형 단말을 포함하는 클라이언트 단말기(110)들은 클라이언트 세션을 이용한 인터넷(140) 접속을 통해 서버로 접속을 수행할 수 있는 모든 기기를 의미할 수 있으며, 우회 프로그램을 사용하여 서버로 접속을 수행하는 클라이언트 단말은 우회 프로그램의 클라이언트 세션을 이용한 적어도 하나 이상의 중개 노드 접속을 통해 서버로의 접속을 수행할 수 있다.Here, the client terminals 110 including the fixed terminal and the mobile terminal may refer to any device capable of performing access to the server through the Internet 140 connection using a client session, and to the server using a bypass program. The client terminal performing the connection may access the server through at least one intermediate node connection using the client session of the bypass program.

통신 방식은 제한되지 않으며, 네트워크가 포함할 수 있는 통신망(일례로, 이동통신망, 유선 인터넷, 무선 인터넷, 방송망)을 활용하는 통신 방식뿐만 아니라 기기들간의 근거리 무선 통신 역시 포함될 수 있다. 예를 들어, 네트워크는, PAN(personal area network), LAN(local area network), CAN(campus area network), MAN(metropolitan area network), WAN(wide area network), BBN(broadband network), 인터넷 등의 네트워크 중 하나 이상의 임의의 네트워크를 포함할 수 있다. 또한, 네트워크는 버스 네트워크, 스타 네트워크, 링 네트워크, 메쉬 네트워크, 스타-버스 네트워크, 트리 또는 계층적(hierarchical) 네트워크 등을 포함하는 네트워크 토폴로지 중 임의의 하나 이상을 포함할 수 있으나, 이에 제한되지 않는다.The communication method is not limited, and not only a communication method using a communication network (for example, a mobile communication network, a wired Internet, a wireless Internet, a broadcasting network), but also a short-range wireless communication between devices may be included. For example, the network is a personal area network (PAN), a local area network (LAN), a campus area network (CAN), a metropolitan area network (MAN), a wide area network (WAN), a broadband network (BBN), and the Internet. May include any one or more of the networks of. In addition, the network may include any one or more of a network topology including a bus network, a star network, a ring network, a mesh network, a star-bus network, a tree, or a hierarchical network, but is not limited thereto. .

보안 시스템(120)은 본 발명의 우회 프로그램 자동 검출하는 시스템으로, 클라이언트 단말기로부터 생성되어 수신되는 클라이언트 세션의 분석과 해시에 미리 등록된 클라이언트 단말기 정보에 기초하여 수신되는 클라이언트 세션의 세션을 수행할 것인지 차단할 것인지 판단하는 시스템이다.The security system 120 is a system for automatically detecting the bypass program of the present invention, and whether to perform the session of the received client session based on the analysis of the client session generated and received from the client terminal and the client terminal information registered in advance in the hash. It is a system that determines whether to block.

여기서, 보안 시스템(120)은 수신되는 클라이언트 세션이 미리 설정된 IP 리스트에 포함된 서버로의 접속을 요청하는 세션이거나 미리 설정된 시간 동안 예를 들어, 미리 설정된 짧은 시간 동안 복수의 SSH(Secure Shell) 접속을 요청하는 세션인 경우 해당 클라이언트 세션을 전송한 클라이언트 단말기를 우회 프로그램을 사용하는 클라이언트 단말기로 검출하고, 검출된 클라이언트 단말기를 해시(hash)에 타이머와 함께 등록함으로써, 해시에 등록된 클라이언트 단말기로부터 수신되는 클라이언트 세션에 대해서 우회 프로그램 의심 세션을 자동으로 검출할 수 있다.Here, the security system 120 is a session in which the received client session is a session requesting access to a server included in a preset IP list, or a plurality of SSH (Secure Shell) connections are made for a preset time, for example, for a preset short time. In the case of a session requesting a request, the client terminal that transmitted the client session is detected as a client terminal using the bypass program, and the detected client terminal is registered with a timer in the hash, and received from the client terminal registered in the hash Suspicious sessions of bypass programs can be automatically detected for the client sessions that are being used.

이 때, 보안 시스템(120)은 해시에 클라이언트 단말기를 등록하게 만든 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고, 해당 클라이언트 세션을 차단할 수 있다.In this case, the security system 120 may classify a client session that causes the client terminal to be registered in the hash as a bypass program suspicious session, and block the corresponding client session.

나아가, 보안 시스템(120)은 해시에 등록된 클라이언트 단말기로부터 수신되는 클라이언트 세션에 대하여, 세션이 미리 설정된 IP 리스트에 포함된 서버로의 접속을 요청하는 세션이거나 미리 설정된 시간 동안 예를 들어, 미리 설정된 짧은 시간 동안 복수의 SSH 접속을 요청하는 세션이 아니더라도, 해당 클라이언트 세션이 언노운(unknown) 프로토콜이거나 웹 데이터베이스 카테고리에 미포함된 세션인 것으로 판단되는 경우 해당 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 해당 클라이언트 세션을 차단할 수도 있다.Further, the security system 120 is a session requesting connection to a server included in a preset IP list for a client session received from a client terminal registered in the hash, or for a preset time, for example, Even if it is not a session that requests multiple SSH connections for a short period of time, if it is determined that the client session is an unknown protocol or a session that is not included in the web database category, the client session is classified as a bypass program suspicious session and the client session Can also be blocked.

더 나아가, 보안 시스템(120)은 해시에 등록된 클라이언트 단말기로부터 수신되는 클라이언트 세션에 대하여, 세션이 미리 설정된 IP 리스트에 포함된 서버로의 접속을 요청하는 세션이거나 미리 설정된 시간 동안 예를 들어, 미리 설정된 짧은 시간 동안 복수의 SSH 접속을 요청하는 세션이 아니더라도, 해당 클라이언트 세션이 하나의 SSH 접속을 요청하지만 우회 프로그램 의심 세션으로 미리 분류된 세션인 것으로 판단되는 경우 해당 클라이언트 세션을 차단할 수도 있다.Furthermore, the security system 120 is a session requesting connection to a server included in a preset IP list for a client session received from a client terminal registered in the hash, or for a preset time, for example, in advance. Even if it is not a session that requests multiple SSH connections for a set short period of time, the client session may be blocked when it is determined that the client session requests one SSH connection, but is a session previously classified as a suspicious bypass program session.

더 나아가, 보안 시스템(120)은 해시에 등록된 클라이언트 단말기로부터 수신되는 클라이언트 세션에 대하여, 세션이 미리 설정된 IP 리스트에 포함된 서버로의 접속을 요청하는 세션이거나 미리 설정된 시간 동안 예를 들어, 미리 설정된 짧은 시간 동안 복수의 SSH 접속을 요청하는 세션이 아니더라도, 해당 클라이언트 세션이 서버인증서가 신뢰할 수 없는 SSL(Secure Socket Layer) 세션인 것으로 판단되는 경우 해당 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 해당 클라이언트 세션을 차단할 수도 있다.Furthermore, the security system 120 is a session requesting connection to a server included in a preset IP list for a client session received from a client terminal registered in the hash, or for a preset time, for example, in advance. Even if it is not a session that requests multiple SSH connections for a set short period of time, if the client session is determined to be an SSL (Secure Socket Layer) session whose server certificate is not trusted, the client session is classified as a bypass program suspicious session and the client You can also block the session.

물론, 보안 시스템(120)은 해시에 등록된 클라이언트 단말기 각각을 타이머와 함께 등록하기 때문에 해당 클라이언트 단말기에 대하여 새로운 우회 프로그램 세션이 검출되는 경우 해당 클라이언트 단말기의 타이머를 갱신할 수 있으며, 해당 클라이언트 단말기에 대하여 타이머가 소멸되는 경우 해당 클라이언트 단말기는 해시로부터 삭제될 수 있다. 즉, 본 발명의 실시예에 따른 보안 시스템은 해시에 등록된 클라이언트 단말기를 주요 대상으로 우회 프로그램 의심 세션 또는 우회 프로그램 세션을 자동으로 검출함으로써, 우회 프로그램을 사용한 적이 없는 클라이언트 단말기에 대해서 발생할 수 있는 SSH, SSL 등에 대한 오차단을 방지할 수 있다.Of course, since the security system 120 registers each of the client terminals registered in the hash together with a timer, when a new bypass program session is detected for the corresponding client terminal, the timer of the corresponding client terminal can be updated, and the corresponding client terminal On the other hand, when the timer expires, the corresponding client terminal can be deleted from the hash. That is, the security system according to the embodiment of the present invention automatically detects a suspicious bypass program session or a bypass program session for a client terminal registered in the hash, thereby generating SSH that can occur for a client terminal that has never used the bypass program. , SSL, etc. can be prevented.

도 2는 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 방법에 대한 동작 흐름도를 나타낸 것으로, 도 1에 도시된 보안 시스템(120)에서의 동작 흐름도를 나타낸 것이다.FIG. 2 is a flowchart illustrating an operation of a method for automatically detecting a bypass program according to an embodiment of the present invention, and is a flowchart illustrating an operation of the security system 120 shown in FIG. 1.

도 2를 참조하면, 본 발명의 실시예에 따른 방법은 적어도 하나 이상의 클라이언트 단말기로부터 클라이언트 세션을 수신하는 단계(S210), 수신된 클라이언트 세션의 분석을 통해 해당 클라이언트 세션이 미리 설정된 IP 리스트에 포함된 서버로의 접속을 요청하는 세션이거나 미리 설정된 일정 시간 동안 복수의 SSH로의 접속을 요청하는 세션인 것으로 판단되는 경우 해당 클라이언트 세션을 전송한 클라이언트 단말기를 우회 프로그램을 사용하는 클라이언트 단말기로 검출하는 단계(S220), 우회 프로그램을 사용하는 클라이언트 단말기로 검출되는 경우 해당 클라이언트 단말기를 타이머와 함께 해시(hash)에 등록하는 단계(S230), 및 수신된 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 클라이언트 세션을 차단하는 단계(S240)를 포함한다.2, the method according to an embodiment of the present invention includes the step of receiving a client session from at least one client terminal (S210), and the corresponding client session is included in a preset IP list through analysis of the received client session. If it is determined that the session requesting connection to the server or the session requesting access to a plurality of SSH for a predetermined period of time, detecting the client terminal that transmitted the corresponding client session as a client terminal using the bypass program (S220) ), when it is detected as a client terminal using a bypass program, registering the client terminal with a hash with a timer (S230), and classifying the received client session as a suspicious bypass program session and blocking the client session It includes step S240.

물론, 단계 S240은 수신된 클라이언트 세션이 우회 프로그램 세션인 경우이지만, 이후 해당 클라이언트 단말기로부터 수신되는 클라이언트 세션의 분석을 통해 차단 여부를 결정하기 위하여 해당 클라이언트 세션을 세션 마킹(session marking) 즉, 우회 프로그램 의심 세션으로 분류함으로써, 이후 해당 클라이언트 단말기로부터 수신되는 클라이언트 세션이 미리 분류된 우회 프로그램 의심 세션인 경우 해당 클라이언트 세션을 자동으로 차단할 수 있다. 여기서, 세션 마킹은 우회 프로그램 의심 세션을 등록하는 단계로 볼 수 있다. 즉, 본 발명의 방법은 우회 프로그램 의심 세션을 미리 분류함으로써, 해시에 등록된 클라이언트 단말기로부터 전송된 우회 프로그램 의심 세션 또는 우회 프로그램 세션을 자동으로 검출하고 차단할 수 있을 뿐만 아니라 해시에 등록되지 않은 클라이언트 단말기로부터 수신된 클라이언트 세션이 미리 분류된 우회 프로그램 의심 세션인 경우 해당 클라이언트 세션을 자동으로 차단할 수도 있다.Of course, step S240 is a case in which the received client session is a bypass program session, but in order to determine whether to block or not through analysis of the client session received from the corresponding client terminal afterwards, session marking, that is, bypass program By classifying as a suspicious session, if a client session received from a corresponding client terminal is a previously classified bypass program suspicious session, the corresponding client session can be automatically blocked. Here, the session marking may be viewed as a step of registering a suspicious bypass program session. That is, the method of the present invention can automatically detect and block a suspected bypass program session or a bypass program session transmitted from a client terminal registered in the hash by pre-classifying the sessions that are not registered in the hash. If the client session received from is a suspected bypass program session previously classified, the corresponding client session can be automatically blocked.

이 때, 본 발명의 방법은 해시에 등록된 클라이언트 단말기로부터 전송된 클라이언트 세션 중 언노운(unknown) 프로토콜이거나 웹 데이터베이스 카테고리에 미포함된 세션 또는 하나의 SSH 접속을 요청하지만 우회 프로그램 의심 세션으로 미리 분류된 세션 또는 서버인증서가 신뢰할 수 없는 SSL(Secure Socket Layer) 세션인 것으로 판단되는 경우 해당 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 해당 클라이언트 세션을 차단할 수도 있다.In this case, the method of the present invention is an unknown protocol among client sessions transmitted from a client terminal registered in the hash, a session not included in the web database category, or a single SSH connection request, but a session previously classified as a bypass program suspicious session. Alternatively, if it is determined that the server certificate is an untrusted SSL (Secure Socket Layer) session, the client session can be classified as a bypass program suspicious session and the client session can be blocked.

이러한 본 발명의 방법에 대해 도 3을 참조하여 조금 더 설명하면 다음과 같다.The method of the present invention will be described in more detail with reference to FIG. 3 as follows.

도 3은 본 발명의 방법을 설명하기 위한 구체적인 동작 흐름도를 나타낸 것이다.3 shows a detailed operation flow chart for explaining the method of the present invention.

도 3에 도시된 바와 같이, 본 발명의 실시예에 따른 방법은 적어도 하나 이상의 클라이언트 단말기로부터 클라이언트 세션이 수신되고, 수신된 클라이언트 세션이 미리 설정된 IP 리스트에 포함되어 있거나 미리 설정된 시간 예를 들어, 미리 설정된 짧은 시간 동안 복수의 SSH 접속을 요청하는 세션인 것으로 판단되면, 해당 클라이언트 세션을 우회 프로그램 의심 세션으로 분류(session marking)하고 해당 클라이언트 세션을 전송한 클라이언트 단말기 또는 단말기 정보를 타이머와 함께 해시에 등록한 후 해당 클라이언트 세션을 차단한다.As shown in FIG. 3, in the method according to the embodiment of the present invention, a client session is received from at least one client terminal, and the received client session is included in a preset IP list or a preset time, for example, in advance. If it is determined that it is a session requesting multiple SSH connections for a set short period of time, the corresponding client session is classified as a bypass program suspicious session (session marking), and the client terminal or terminal information that transmitted the client session is registered in the hash along with a timer. After that, the client session is blocked.

반면, 수신된 클라이언트 세션이 미리 설정된 IP 리스트에 포함되어 있지 않거나 미리 설정된 시간 예를 들어, 미리 설정된 짧은 시간 동안 복수의 SSH 접속을 요청하는 세션이 아니면서, 언노운(unknown) 프로토콜이거나 웹 데이터베이스 카테고리에 미포함된 세션인 것으로 판단되는 경우 해당 클라이언트 세션을 전송한 클라이언트 단말기가 해시에 등록된 클라이언트 단말기인지 판단하고, 해시에 등록된 클라이언트 단말기로 확인되면 해당 클라이언트 세션을 우회 프로그램 의심 세션으로 분류(session marking)한 후 해당 클라이언트 세션을 차단하며, 해시에 등록된 클라이언트 단말기가 아닌 경우에는 해당 클라이언트 세션을 허용한다.On the other hand, the received client session is not included in the preset IP list or is not a session requesting multiple SSH connections for a preset time, e.g., a preset short time, and is an unknown protocol or a web database category. If it is determined that the session is not included, it is determined whether the client terminal that transmitted the client session is a client terminal registered in the hash, and if it is identified as a client terminal registered in the hash, the client session is classified as a suspected bypass program session (session marking). After that, the client session is blocked, and if the client terminal is not registered in the hash, the client session is allowed.

또한, 수신된 클라이언트 세션이 미리 설정된 IP 리스트에 포함되어 있지 않거나 미리 설정된 시간 예를 들어, 미리 설정된 짧은 시간 동안 복수의 SSH 접속을 요청하는 세션이 아니면서, 하나의 SSH 접속을 요청하는 경우 해당 클라이언트 세션을 전송한 클라이언트 단말기가 해시에 등록된 클라이언트 단말기인지 판단하고, 해시에 등록된 클라이언트 단말기로 확인되면 해당 클라이언트 세션을 우회 프로그램 의심 세션으로 분류(session marking)한 후 해당 클라이언트 세션을 차단하며, 해시에 등록된 클라이언트 단말기가 아닌 경우에는 해당 클라이언트 세션을 허용한다.In addition, if the received client session is not included in the preset IP list or is not a session requesting multiple SSH connections for a preset time, e.g., a preset short period of time, and requesting a single SSH connection, the corresponding client It determines whether the client terminal that transmitted the session is a client terminal registered in the hash, and if it is identified as a client terminal registered in the hash, the client session is classified as a suspected bypass program session (session marking), and the corresponding client session is blocked. If it is not a client terminal registered in, the corresponding client session is allowed.

비록, 도 3에 도시하진 않았지만, 수신된 클라이언트 세션이 미리 설정된 IP 리스트에 포함되어 있지 않거나 미리 설정된 시간 예를 들어, 미리 설정된 짧은 시간 동안 복수의 SSH 접속을 요청하는 세션이 아니면서, 서버인증서가 신뢰할 수 없는 SSL(Secure Socket Layer) 세션인 것으로 판단되는 경우 해당 클라이언트 세션을 전송한 클라이언트 단말기가 해시에 등록된 클라이언트 단말기인지 판단하고, 해시에 등록된 클라이언트 단말기로 확인되면 해당 클라이언트 세션을 우회 프로그램 의심 세션으로 분류(session marking)한 후 해당 클라이언트 세션을 차단하며, 해시에 등록된 클라이언트 단말기가 아닌 경우에는 해당 클라이언트 세션을 허용한다.Although, although not shown in FIG. 3, the received client session is not included in the preset IP list or is not a session requesting multiple SSH connections for a preset time, for example, a preset short period of time, and the server certificate is If it is determined that it is an untrusted SSL (Secure Socket Layer) session, it is determined whether the client terminal that transmitted the client session is a client terminal registered in the hash. The client session is blocked after session marking, and if the client terminal is not registered in the hash, the client session is allowed.

그리고, 수신된 클라이언트 세션이 상술한 경우가 아닌 경우에는 수신된 클라이언트 세션이 우선 프로그램 의심 세션이 아니기 때문에 클라이언트 세션을 허용한다.In addition, if the received client session is not the case described above, since the received client session is not a first program suspicious session, the client session is allowed.

본 발명의 방법에서 해시에 등록된 클라이언트 단말기는 타이머와 함께 등록되기 때문에 해당 타이머가 소멸되기 전까지 해시에 남아 있는 클라이언트 단말기로부터 전송된 클라이언트 세션에 대하여 우회 프로그램 의심 세션을 자동으로 검출할 수 있다. 이 때, 해시에 등록된 타이머는 등록된 클라이언트 단말기에서 새로운 우회 프로그램 세션이 검출되는 경우 갱신 즉, 초기화될 수 있으며, 우회 프로그램 세션은 미리 등록되거나 미리 분류된 우회 프로그램 의심 세션을 통해 갱신될 수도 있다. 물론, 우회 프로그램 세션이 미리 등록된 경우에도 상황과 필요에 따라 갱신될 수도 있다.In the method of the present invention, since the client terminal registered in the hash is registered together with the timer, it is possible to automatically detect the suspected bypass program session with respect to the client session transmitted from the client terminal remaining in the hash until the timer expires. At this time, the timer registered in the hash may be updated, i.e., initialized, when a new bypass program session is detected in the registered client terminal, and the bypass program session may be previously registered or updated through a pre-categorized bypass program suspicious session. . Of course, even if the bypass program session is registered in advance, it may be updated according to the situation and needs.

이와 같이, 본 발명의 실시예에 따른 방법은 우회 프로그램을 사용한적 있는 클라이언트 단말기를 해시에 등록하고, 등록된 클라이언트 단말기를 대상으로 우회 프로그램을 자동 검출함으로써, 우회 프로그램을 사용한 적이 없는 클라이언트 단말기에 대해 발생될 수 있는 SSH, SSL 등에 대한 오차단을 방지할 수 있다.As described above, the method according to an embodiment of the present invention registers a client terminal that has used a bypass program in a hash, and automatically detects a bypass program targeting the registered client terminal. You can prevent errors in SSH, SSL, etc. that may occur.

나아가, 본 발명의 다른 실시예에 따른 방법은 해시에 등록된 클라이언트 단말기가 아닌 경우에도, 세션 마킹을 통해 미리 분류된 우회 프로그램 의심 세션과 해시에 등록되지 않은 클라이언트 단말기로부터 전송된 클라이언트 세션을 비교하여 해당 클라이언트 세션이 미리 분류된 우회 프로그램 의심 세션인 경우 해당 클라이언트 세션을 자동으로 차단할 수도 있다. 이 때, 본 발명의 방법은 상황 또는 필요에 따라 해시에 등록되지 않은 클라이언트 단말기로부터 전송된 클라이언트 세션이 미리 분류된 우회 프로그램 의심 세션인 경우 해당 클라이언트 단말기를 타이머와 함께 해시에 등록할 수도 있으며, 해당 클라이언트 단말기가 미리 분류된 우회 프로그램 의심 세션을 일정 회수 이상 전송하는 경우에 해당 클라이언트 단말기를 타이머와 함께 해시에 등록할 수도 있다.Further, the method according to another embodiment of the present invention compares the suspected bypass program session classified in advance through session marking and the client session transmitted from the client terminal not registered in the hash, even if the client terminal is not registered in the hash. If the client session is a pre-categorized bypass program suspicious session, the client session can be automatically blocked. In this case, according to the method of the present invention, if the client session transmitted from the client terminal not registered in the hash according to the situation or need is a pre-classified bypass program suspicious session, the corresponding client terminal may be registered in the hash together with a timer. When the client terminal transmits the previously classified bypass program suspicious session more than a certain number of times, the client terminal may be registered in the hash along with a timer.

도 4는 본 발명의 일 실시예에 따른 우회 프로그램 자동 검출 시스템에 대한 구성을 나타낸 것으로, 도 1에 도시된 보안 시스템에 대한 개념적인 구성을 나타낸 것이다.FIG. 4 is a diagram illustrating a configuration of a bypass program automatic detection system according to an embodiment of the present invention, and illustrates a conceptual configuration of the security system illustrated in FIG. 1.

도 4를 참조하면, 본 발명의 실시예에 따른 시스템(400)은 수신부(410), 검출부(420), 등록부(430) 및 차단부(440)를 포함한다. 비록, 도 4에 도시하진 않았지만, 본 발명의 시스템은 본 발명과 관련된 데이터 또는 프로그램을 저장하는 저장 수단을 포함할 수 있다.Referring to FIG. 4, a system 400 according to an embodiment of the present invention includes a receiving unit 410, a detection unit 420, a registration unit 430, and a blocking unit 440. Although not shown in Fig. 4, the system of the present invention may include storage means for storing data or programs related to the present invention.

수신부(410)는 적어도 하나 이상의 클라이언트 단말기로부터 클라이언트 세션을 수신한다.The receiving unit 410 receives a client session from at least one client terminal.

검출부(420)는 수신된 클라이언트 세션의 분석을 통해 해당 클라이언트 세션이 미리 설정된 IP 리스트에 포함된 서버로의 접속을 요청하는 세션이거나 미리 설정된 일정 시간 동안 복수의 SSH로의 접속을 요청하는 세션인 것으로 판단되는 경우 해당 클라이언트 세션을 전송한 클라이언트 단말기를 우회 프로그램을 사용하는 클라이언트 단말기로 검출한다.The detection unit 420 determines that the client session is a session requesting access to a server included in a preset IP list or a session requesting access to a plurality of SSH for a predetermined period of time through analysis of the received client session. If so, the client terminal that transmitted the client session is detected as the client terminal using the bypass program.

등록부(430)는 검출부(420)에 의해 우회 프로그램을 사용하는 클라이언트 단말기가 검출되는 경우 해당 클라이언트 단말기를 타이머와 함께 해시에 등록한다.When a client terminal using the bypass program is detected by the detection unit 420, the registration unit 430 registers the client terminal with a timer in a hash.

이 때, 등록부(430)에 등록된 타이머는 해당 클라이언트 단말기에 대해 새로운 우회 프로그램 세션이 검출되는 경우 갱신 또는 초기화될 수 있으며, 등록부는 해당 타이머가 소멸되는 경우 해당 타이머와 함께 등록된 클라이언트 단말기를 제거할 수 있다.At this time, the timer registered in the registration unit 430 may be updated or initialized when a new bypass program session is detected for the corresponding client terminal, and the registration unit removes the registered client terminal along with the corresponding timer when the corresponding timer expires. can do.

차단부(440)는 클라이언트 세션이 미리 설정된 IP 리스트에 포함되어 있거나 미리 설정된 시간 예를 들어, 미리 설정된 짧은 시간 동안 복수의 SSH 접속을 요청하는 세션인 것으로 판단되면, 해당 클라이언트 세션을 우회 프로그램 의심 세션으로 분류(session marking)하고 해당 클라이언트 세션을 차단한다.When it is determined that the client session is included in the preset IP list or is a session requesting a plurality of SSH connections for a preset time, for example, a preset short time, the client session bypasses the program suspicious session. Classify as (session marking) and block the corresponding client session.

나아가, 차단부(440)는 해시에 등록된 클라이언트 단말기로부터 수신된 클라이언트 세션이 미리 설정된 IP 리스트에 포함되어 있지 않거나 미리 설정된 시간 동안 복수의 SSH 접속을 요청하는 세션이 아니면서, 언노운(unknown) 프로토콜이거나 웹 데이터베이스 카테고리에 미포함된 세션인 것으로 판단되는 경우 해당 클라이언트 세션을 우회 프로그램 의심 세션으로 분류한 후 해당 클라이언트 세션을 차단한다.Further, the blocking unit 440 is not included in the client session received from the client terminal registered in the hash in the preset IP list, or is not a session requesting a plurality of SSH connections for a preset time, unknown (unknown) protocol Or, if it is determined that the session is not included in the web database category, the client session is classified as a bypass program suspicious session and the client session is blocked.

더 나아가, 차단부(440)는 해시에 등록된 클라이언트 단말기로부터 수신된 클라이언트 세션이 미리 설정된 IP 리스트에 포함되어 있지 않거나 미리 설정된 시간 동안 복수의 SSH 접속을 요청하는 세션이 아니면서, 하나의 SSH 접속을 요청하는 경우 해당 클라이언트 세션을 우회 프로그램 의심 세션으로 분류한 후 해당 클라이언트 세션을 차단한다.Furthermore, the blocking unit 440 connects to a single SSH connection, while the client session received from the client terminal registered in the hash is not included in the preset IP list or is not a session requesting a plurality of SSH connections for a preset period of time. If requested, the client session is classified as a suspicious bypass program and then the client session is blocked.

더 나아가, 차단부(440)는 해시에 등록된 클라이언트 단말기로부터 수신된 클라이언트 세션이 미리 설정된 IP 리스트에 포함되어 있지 않거나 미리 설정된 시간 동안 복수의 SSH 접속을 요청하는 세션이 아니면서, 서버인증서가 신뢰할 수 없는 SSL 세션인 것으로 판단되는 경우 해당 클라이언트 세션을 우회 프로그램 의심 세션으로 분류한 후 해당 클라이언트 세션을 차단한다.Further, the blocking unit 440 is not included in the client session received from the client terminal registered in the hash in the preset IP list or the session requesting a plurality of SSH connections for a preset time, and the server certificate is trusted. If it is determined that it is an SSL session that cannot be used, the client session is classified as a suspicious bypass program and then the client session is blocked.

물론, 차단부(440)는 상술한 경우들을 제외한 경우에 대해서는 클라이언트 세션을 허용할 수 있다.Of course, the blocking unit 440 may allow a client session except for the above-described cases.

비록, 도 4의 시스템에서 그 설명이 생략되었더라도, 도 4를 구성하는 각 구성 수단을 도 1 내지 도 3에서 설명한 모든 내용을 포함할 수 있으며, 이는 이 기술 분야에 종사하는 당업자에게 있어서 자명하다.Although the description thereof is omitted in the system of FIG. 4, each component constituting FIG. 4 may include all the contents described in FIGS. 1 to 3, which is obvious to those skilled in the art.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 컨트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다.  또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다.  이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다.  예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 컨트롤러를 포함할 수 있다.  또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The apparatus described above may be implemented as a hardware component, a software component, and/or a combination of a hardware component and a software component. For example, the devices and components described in the embodiments include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable array (FPA), It may be implemented using one or more general purpose or special purpose computers, such as a programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications executed on the operating system. Further, the processing device may access, store, manipulate, process, and generate data in response to the execution of software. For the convenience of understanding, although it is sometimes described that one processing device is used, one of ordinary skill in the art, the processing device is a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that it may include. For example, the processing device may include a plurality of processors or one processor and one controller. In addition, other processing configurations are possible, such as a parallel processor.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다.  소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다.  소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of these, configuring the processing unit to operate as desired or processed independently or collectively. You can command the device. Software and/or data may be interpreted by a processing device or, to provide instructions or data to a processing device, of any type of machine, component, physical device, virtual equipment, computer storage medium or device. Can be embodyed. The software may be distributed over networked computer systems and stored or executed in a distributed manner. Software and data may be stored on one or more computer-readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다.  상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.  상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.  컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.  프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.  The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the embodiment, or may be known and usable to those skilled in computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. -A hardware device specially configured to store and execute program instructions such as magneto-optical media, and ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those produced by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다.  예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described by the limited embodiments and drawings, various modifications and variations are possible from the above description to those of ordinary skill in the art. For example, the described techniques are performed in a different order from the described method, and/or components such as systems, structures, devices, circuits, etc. described are combined or combined in a form different from the described method, or other components Alternatively, even if substituted or substituted by an equivalent, an appropriate result can be achieved.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and those equivalent to the claims also fall within the scope of the claims to be described later.

Claims (14)

제1 클라이언트 단말기로부터 제1 클라이언트 세션을 수신하는 단계; 및
상기 수신된 제1 클라이언트 세션이 미리 설정된 IP 리스트에 포함된 서버로의 접속을 요청하거나 미리 설정된 시간 동안 복수의 시큐어 셸(Secure Shell, SSH) 접속을 요청하는 경우 상기 제1 클라이언트 단말기를 우회 프로그램을 사용하는 클라이언트 단말기로 검출하는 단계
를 포함하는 우회 프로그램 자동 검출 방법.
Receiving a first client session from a first client terminal; And
When the received first client session requests access to a server included in a preset IP list or requests multiple Secure Shell (SSH) access for a preset time, the program bypasses the first client terminal. Step of detecting with the client terminal being used
Bypass program automatic detection method comprising a.
 제1항에 있어서,
상기 제1 클라이언트 단말기가 우회 프로그램을 사용하는 클라이언트 단말기로 검출되는 경우 상기 제1 클라이언트 단말기를 타이머와 함께 해시(hash)에 등록하는 단계
를 더 포함하는 것을 특징으로 하는 우회 프로그램 자동 검출 방법.
The method of claim 1,
When the first client terminal is detected as a client terminal using a bypass program, registering the first client terminal with a timer in a hash
Bypass program automatic detection method further comprising a.
 제2항에 있어서,
상기 해시에 등록된 제1 클라이언트 단말기로부터 상기 타이머가 소멸되기 전에 우회 프로그램 의심 세션으로 미리 분류된 세션이 수신되는 경우 해당 세션을 차단하는 단계
를 더 포함하고,
상기 타이머는
상기 제1 클라이언트 단말기로부터 우회 프로그램 세션이 새로 검출되는 경우 갱신되는 것을 특징으로 하는 우회 프로그램 자동 검출 방법.
The method of claim 2,
Blocking the session when a session previously classified as a suspected bypass program session is received from the first client terminal registered in the hash before the timer expires.
Including more,
The timer is
When a bypass program session is newly detected from the first client terminal, the bypass program automatic detection method is updated.
 제1항에 있어서,
상기 제1 클라이언트 단말기가 우회 프로그램을 사용하는 클라이언트 단말기로 검출되는 경우 상기 제1 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 상기 제1 클라이언트 세션을 차단하는 단계
를 더 포함하는 것을 특징으로 하는 우회 프로그램 자동 검출 방법.
The method of claim 1,
When the first client terminal is detected as a client terminal using a bypass program, classifying the first client session as a suspected bypass program session and blocking the first client session
Bypass program automatic detection method further comprising a.
 제1항에 있어서,
상기 제1 클라이언트 단말기가 해시에 등록된 단말기이고, 상기 제1 클라이언트 세션이 언노운(unknown) 프로토콜이거나 웹 데이터베이스 카테고리에 미포함된 경우 상기 제1 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 상기 제1 클라이언트 세션을 차단하는 단계
를 더 포함하는 것을 특징으로 하는 우회 프로그램 자동 검출 방법.
The method of claim 1,
If the first client terminal is a terminal registered in the hash, and the first client session is an unknown protocol or is not included in the web database category, the first client session is classified as a bypass program suspicious session, and the first client session Steps to block
Bypass program automatic detection method further comprising a.
 제1항에 있어서,
상기 제1 클라이언트 단말기가 해시에 등록된 단말기이고, 상기 제1 클라이언트 세션이 하나의 시큐어 셸(SSH) 접속을 요청하면서 우회 프로그램 의심 세션으로 미리 분류된 세션인 경우 상기 제1 클라이언트 세션을 차단하는 단계
를 더 포함하는 것을 특징으로 하는 우회 프로그램 자동 검출 방법.
The method of claim 1,
Blocking the first client session when the first client terminal is a terminal registered in the hash, and the first client session is a session previously classified as a bypass program suspicious session while requesting a single secure shell (SSH) connection.
Bypass program automatic detection method further comprising a.
 제1항에 있어서,
상기 제1 클라이언트 단말기가 해시에 등록된 단말기이고, 상기 제1 클라이언트 세션이 서버인증서가 신뢰할 수 없는 SSL(Secure Socket Layer) 세션인 경우 상기 제1 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 상기 제1 클라이언트 세션을 차단하는 단계
를 더 포함하는 것을 특징으로 하는 우회 프로그램 자동 검출 방법.
The method of claim 1,
When the first client terminal is a terminal registered in the hash, and the first client session is an SSL (Secure Socket Layer) session for which the server certificate is not trusted, the first client session is classified as a bypass program suspicious session, and the first Steps to block client sessions
Bypass program automatic detection method further comprising a.
 제1 클라이언트 단말기로부터 제1 클라이언트 세션을 수신하는 수신부; 및
상기 수신된 제1 클라이언트 세션이 미리 설정된 IP 리스트에 포함된 서버로의 접속을 요청하거나 미리 설정된 시간 동안 복수의 시큐어 셸(Secure Shell, SSH) 접속을 요청하는 경우 상기 제1 클라이언트 단말기를 우회 프로그램을 사용하는 클라이언트 단말기로 검출하는 검출부
를 포함하는 우회 프로그램 자동 검출 방법.
A receiver for receiving a first client session from a first client terminal; And
When the received first client session requests access to a server included in a preset IP list or requests multiple Secure Shell (SSH) access for a preset time, the program bypasses the first client terminal. Detection unit that detects with the client terminal in use
Bypass program automatic detection method comprising a.
 제8항에 있어서,
상기 제1 클라이언트 단말기가 우회 프로그램을 사용하는 클라이언트 단말기로 검출되는 경우 상기 제1 클라이언트 단말기를 타이머와 함께 해시(hash)에 등록하는 등록부
를 더 포함하는 것을 특징으로 하는 우회 프로그램 자동 검출 시스템.
The method of claim 8,
When the first client terminal is detected as a client terminal using a bypass program, a registration unit that registers the first client terminal with a timer in a hash
Bypass program automatic detection system, characterized in that it further comprises.
 제9항에 있어서,
상기 해시에 등록된 제1 클라이언트 단말기로부터 상기 타이머가 소멸되기 전에 우회 프로그램 의심 세션으로 미리 분류된 세션이 수신되는 경우 해당 세션을 차단하는 차단부
를 더 포함하고,
상기 타이머는
상기 제1 클라이언트 단말기로부터 우회 프로그램 세션이 새로 검출되는 경우 갱신되는 것을 특징으로 하는 우회 프로그램 자동 검출 시스템.
The method of claim 9,
Blocking unit that blocks the session when a session previously classified as a suspected bypass program session is received from the first client terminal registered in the hash before the timer expires
Including more,
The timer is
When a bypass program session is newly detected from the first client terminal, the bypass program automatic detection system is updated.
 제8항에 있어서,
상기 제1 클라이언트 단말기가 우회 프로그램을 사용하는 클라이언트 단말기로 검출되는 경우 상기 제1 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 상기 제1 클라이언트 세션을 차단하는 차단부
를 더 포함하는 것을 특징으로 하는 우회 프로그램 자동 검출 시스템.
The method of claim 8,
Blocker for classifying the first client session as a suspected bypass program session and blocking the first client session when the first client terminal is detected as a client terminal using a bypass program
Bypass program automatic detection system, characterized in that it further comprises.
 제8항에 있어서,
상기 제1 클라이언트 단말기가 해시에 등록된 단말기이고, 상기 제1 클라이언트 세션이 언노운(unknown) 프로토콜이거나 웹 데이터베이스 카테고리에 미포함된 경우 상기 제1 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 상기 제1 클라이언트 세션을 차단하는 차단부
를 더 포함하는 것을 특징으로 하는 우회 프로그램 자동 검출 시스템.
The method of claim 8,
If the first client terminal is a terminal registered in the hash, and the first client session is an unknown protocol or is not included in the web database category, the first client session is classified as a bypass program suspicious session, and the first client session Blocking part to block
Bypass program automatic detection system, characterized in that it further comprises.
 제8항에 있어서,
상기 제1 클라이언트 단말기가 해시에 등록된 단말기이고, 상기 제1 클라이언트 세션이 하나의 시큐어 셸(SSH) 접속을 요청하면서 우회 프로그램 의심 세션으로 미리 분류된 세션인 경우 상기 제1 클라이언트 세션을 차단하는 차단부
를 더 포함하는 것을 특징으로 하는 우회 프로그램 자동 검출 시스템.
The method of claim 8,
Blocking of blocking the first client session when the first client terminal is a terminal registered in the hash, and the first client session is a session previously classified as a bypass program suspicious session while requesting a single secure shell (SSH) connection part
Bypass program automatic detection system, characterized in that it further comprises.
 제8항에 있어서,
상기 제1 클라이언트 단말기가 해시에 등록된 단말기이고, 상기 제1 클라이언트 세션이 서버인증서가 신뢰할 수 없는 SSL(Secure Socket Layer) 세션인 경우 상기 제1 클라이언트 세션을 우회 프로그램 의심 세션으로 분류하고 상기 제1 클라이언트 세션을 차단하는 차단부
를 더 포함하는 것을 특징으로 하는 우회 프로그램 자동 검출 시스템.The method of claim 8,
When the first client terminal is a terminal registered in the hash, and the first client session is an SSL (Secure Socket Layer) session for which the server certificate is not trusted, the first client session is classified as a bypass program suspicious session, and the first Blocker to block client session
Bypass program automatic detection system, characterized in that it further comprises.
KR1020190126808A 2019-10-14 2019-10-14 Detour program auto-detection method and system therefore KR102288604B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020190126808A KR102288604B1 (en) 2019-10-14 2019-10-14 Detour program auto-detection method and system therefore
PCT/KR2020/005526 WO2021075652A1 (en) 2019-10-14 2020-04-27 Method for automatically detecting bypass program, and system therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190126808A KR102288604B1 (en) 2019-10-14 2019-10-14 Detour program auto-detection method and system therefore

Publications (2)

Publication Number Publication Date
KR20210043904A true KR20210043904A (en) 2021-04-22
KR102288604B1 KR102288604B1 (en) 2021-08-11

Family

ID=75538763

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190126808A KR102288604B1 (en) 2019-10-14 2019-10-14 Detour program auto-detection method and system therefore

Country Status (2)

Country Link
KR (1) KR102288604B1 (en)
WO (1) WO2021075652A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20090132963A (en) * 2008-06-23 2009-12-31 엘지전자 주식회사 System and method for processing log-in request
KR20160043044A (en) * 2013-08-15 2016-04-20 모카나 코포레이션 Gateway device for terminating a large volume of vpn connections
KR102014807B1 (en) * 2019-02-25 2019-08-27 주식회사 넷앤드 An access control system of detecting and blocking roundabout access

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100898771B1 (en) * 2008-02-13 2009-05-20 (주)소만사 Method for blocking roundabout access to an internet pornographic web site by internet service provider, and computer readable recording medium therefor

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20090132963A (en) * 2008-06-23 2009-12-31 엘지전자 주식회사 System and method for processing log-in request
KR20160043044A (en) * 2013-08-15 2016-04-20 모카나 코포레이션 Gateway device for terminating a large volume of vpn connections
KR102014807B1 (en) * 2019-02-25 2019-08-27 주식회사 넷앤드 An access control system of detecting and blocking roundabout access

Also Published As

Publication number Publication date
WO2021075652A1 (en) 2021-04-22
KR102288604B1 (en) 2021-08-11

Similar Documents

Publication Publication Date Title
US20200143087A1 (en) Systems and methods for controlling data exposure using artificial- intelligence-based modeling
US11102220B2 (en) Detection of botnets in containerized environments
JP2021145335A (en) System for controlling network access of terminal based on tunnel and method thereof
US11902145B2 (en) Generating and deploying security policies for microsegmentation
EP2805473B1 (en) Security management for cloud services
US10447726B2 (en) Mitigating attacks on server computers by enforcing platform policies on client computers
US11695829B2 (en) Peer-to-peer (P2P) downloading
US9100432B2 (en) Cloud-based distributed denial of service mitigation
US11165805B2 (en) Guard system for automatic network flow controls for internet of things (IoT) devices
US10623446B1 (en) Multi-factor authentication for applications and virtual instance identities
US11792194B2 (en) Microsegmentation for serverless computing
US20220201041A1 (en) Administrative policy override in microsegmentation
US11381446B2 (en) Automatic segment naming in microsegmentation
US10965677B2 (en) Data leakage and information security using access control
KR102502367B1 (en) System for controlling network access based on controller and method of the same
US11588859B2 (en) Identity-based enforcement of network communication in serverless workloads
US11522832B2 (en) Secure internet gateway
KR102345261B1 (en) Network System and Integrated Security Method for User Terminals Connected to the Internal Network and External Network Performed by the Network System
KR102288604B1 (en) Detour program auto-detection method and system therefore
US10498536B2 (en) System for permitting access to scoped applications
CN107667518B (en) Automatic discovery and online of electronic devices
KR101535381B1 (en) Method for blocking internet access using uniform resource locator and ip address
KR102302331B1 (en) Method for providing user log without user access to security system and system therefore
US11683345B2 (en) Application identity-based enforcement of datagram protocols
KR102075003B1 (en) Security server and managing method thereof

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant