KR100441409B1 - 바이러스 탐지 엔진을 갖는 침입 탐지 시스템 - Google Patents

바이러스 탐지 엔진을 갖는 침입 탐지 시스템 Download PDF

Info

Publication number
KR100441409B1
KR100441409B1 KR10-2001-0070099A KR20010070099A KR100441409B1 KR 100441409 B1 KR100441409 B1 KR 100441409B1 KR 20010070099 A KR20010070099 A KR 20010070099A KR 100441409 B1 KR100441409 B1 KR 100441409B1
Authority
KR
South Korea
Prior art keywords
virus
packet
data packet
file
protocol
Prior art date
Application number
KR10-2001-0070099A
Other languages
English (en)
Other versions
KR20030039149A (ko
Inventor
안철수
이희조
조시행
박주희
이종일
황규범
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR10-2001-0070099A priority Critical patent/KR100441409B1/ko
Publication of KR20030039149A publication Critical patent/KR20030039149A/ko
Application granted granted Critical
Publication of KR100441409B1 publication Critical patent/KR100441409B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야
네트워크를 통해 개인 단말로 유입되는 모든 패킷 데이터를 캡쳐하여 패킷 스캔 및 파일 스캔을 통한 바이러스 및 웜(이하, 통칭하여 "바이러스"라 함)의 분석 및 검출이 실시간으로 이루어지도록 하는 바이러스 탐지 엔진을 갖는 침입 탐지 시스템에 관한 것임.
2. 발명이 해결하고자 하는 기술적 과제
네트워크를 통해 개인 단말로 유입되는 모든 패킷 데이터를 캡쳐하여 패킷 스캔 및 파일 스캔을 통한 바이러스의 분석 및 검출이 실시간으로 이루어지도록 하는 침입 탐지 시스템을 제공함.
3. 발명의 해결 방법의 요지
네트워크를 통해 외부로부터 개인 단말로 유입되는 데이터 패킷에 포함되어 있는 세션 정보를 추출하는 패킷 분리기; 상기 데이터 패킷에 포함되어 있는 프로토콜 정보를 추출하는 프로토콜 결정기; 상기 세션 정보에 기초하여 상기 데이터 패킷이 바이러스를 구성하는 패킷인지 여부를 확인하여 상기 데이터 패킷이 바이러스를 구성하는 패킷인 경우에는 상기 데이터 패킷의 세션을 차단하는 패킷 스캐닝 모듈; 및 네트워크를 통해 외부로부터 개인 단말로 유입되는 데이터 패킷을 별도로 저장하고, 상기 프로토콜 정보에 기초하여 데이터 패킷을 원래의 파일로 구성하며, 상기 구성된 파일에 바이러스가 존재하는지 여부를 확인하여 상기 파일에 바이러스가 존재하는 경우에는 바이러스가 유입되었음을 경고하는 파일 스캐닝 모듈을 포함함.
4. 발명의 중요한 용도
침입 탐지 시스템에 이용됨.

Description

바이러스 탐지 엔진을 갖는 침입 탐지 시스템{INTRUSION DETECTION SYSTEM WITH VIRUS DETECTION ENGINE}
본 발명은 바이러스 탐지에 관한 것으로, 보다 상세히는 네트워크를 통해 개인 단말로 유입되는 모든 패킷 데이터를 캡쳐하여 패킷 스캔 및 파일 스캔을 통한 바이러스 및 웜(이하, 통칭하여 "바이러스"라 함)의 분석 및 검출이 실시간으로 이루어지도록 하는 바이러스 탐지 엔진을 갖는 침입 탐지 시스템에 관한 것이다.
종래의 침입 탐지 시스템(Intrusion Detection System, IDS)은중요 시스템으로부터 침입자를 분리시키고 침입자의 행위를 차단하는 침입 대응/복구 분야,전자서명인증, 공증 및 전자상거래를 안정적으로 이용하기 위한 전자상거래 서비스 보안 분야,중요 데이터의 불법 노출 방지, 신분확인, 전자문서의 위변조 방지, 전자적 행위에 대한 부인방지 등에 대처하는 암호화 분야,해킹 등 사이버 위협으로부터 시스템/네트워크의 기밀성, 무결성 및 가용성을 보장하기 위한 시스템/네트워크 보안 분야,운영체제, 데이터 베이스, 프로그램 등에 대한 기밀성, 무결성 및 가용성을 보장하기 위한 Secure OS, Secure DBMS, 바이러스 백신 등 시스템 보안 분야에서 응용되고 있다. 즉, 종래의 IDS는 네트워크를 통해 개인 단말로 유입되는 불법적인 침입에 대처할 수 있다. 그러나, 종래의 IDS는 바이러스를 탐지하지는 못하는 문제점이 있다.이에, 바이러스 탐지를 위해 프록시 방식의 바이러스 탐지 기술이 개시되어 있다. 프록시 방식의 바이러스 감지는 프록시 서버로 유입되는 모든 세션 정보에 대해 바이러스 검사를 실시하는 방법으로서, 프록시 서버에 바이러스 스캔 모듈이 탑재되어, 네트워크를 통해 개인 단말로 유입되는 패킷이 파일로 구성될 때까지 프록시 서버에 저장하고 있다가 파일로 구성된 이후에 바이러스 검사를 수행하고, 그 이후에 파일을 패킷 형태로 목적지에 전송하게 된다.그러나, 프록시 방식의 바이러스 탐지 기술은 프록시 서버에서 패킷을 파일로 구성한 이후에 바이러스 검사를 수행한 이후에야 파일을 목적지에 전송하기 때문에 네트워크의 속도를 저하시키는 문제점이 있다.
그리고, 프록시 방식의 바이러스 탐지 기술에 따르면, 프록시 서버는 프록시로 설정된 트래픽에 대해서만 바이러스 탐지가 가능하기 때문에 로컬 네트워크로 개인 단말로 유입되는 모든 트래픽에 대해서는 바이러스 탐지가 불가능하다는 문제점이 있다.또한, 프록시 방식의 바이러스 탐지 기술에 따르면, 프록시 서버는 프로토콜마다 서로 다르게 동작하기 때문에 새로운 프로토콜에 대해서는 새로운 프록시 서버를 개발해서 바이러스 탐지를 수행해야 하기 때문에 새로운 형태의 바이러스에 대응하기가 어렵다는 문제점이 있다.
따라서, 본 발명은 상기와 같은 문제를 해결하기 위해 안출된 것으로서, 네트워크를 통해 개인 단말로 유입되는 모든 패킷 데이터를 캡쳐하여 패킷 스캔 및 파일 스캔을 통한 바이러스의 분석 및 검출이 실시간으로 이루어지도록 하는 침입 탐지 시스템을 제공함에 그 목적이 있다.본 발명이 속한 기술 분야에서 통상의 지식을 가진 자는 본 명세서의 도면, 발명의 상세한 설명 및 특허청구범위로부터 본 발명의 다른 목적 및 장점을 쉽게 인식할 수 있다.
도1은 본 발명이 적용되는 네트워크 구성도,
도2는 본 발명에 따른 바이러스 탐지 엔진을 갖는 침입 탐지 시스템 구성도,
도3은 본 발명에 따른 바이러스 탐지 엔진을 갖는 침입 탐지 시스템의 동작을 설명하기 위한 흐름도이다.
<도면의 주요 부분에 대한 부호의 설명>
201 : 네트워크 드라이버 207 : 패킷 분리기
209 : 프로토콜 결정기 211 : 패킷 스캐닝 모듈
213 : 파일 스캐닝 모듈 217 : 세션 관리기
221 : 바이러스 탐지 모듈 223 : 통합 탐지 모듈
229 : 큐(Queue)
상기와 같은 목적을 달성하기 위해 본 발명은, 바이러스 탐지 엔진을 갖는 침입 탐지 시스템에 있어서, 네트워크를 통해 외부로부터 개인 단말로 유입되는 데이터 패킷에 포함되어 있는 세션 정보를 추출하는 패킷 분리기; 상기 데이터 패킷에 포함되어 있는 프로토콜 정보를 추출하는 프로토콜 결정기; 상기 세션 정보에 기초하여 상기 데이터 패킷이 바이러스를 구성하는 패킷인지 여부를 확인하여 상기 데이터 패킷이 바이러스를 구성하는 패킷인 경우에는 상기 데이터 패킷의 세션을 차단하는 패킷 스캐닝 모듈; 및 네트워크를 통해 외부로부터 개인 단말로 유입되는 데이터 패킷을 별도로 저장하고, 상기 프로토콜 정보에 기초하여 데이터 패킷을 원래의 파일로 구성하며, 상기 구성된 파일에 바이러스가 존재하는지 여부를 확인하여 상기 파일에 바이러스가 존재하는 경우에는 바이러스가 유입되었음을 경고하는 파일 스캐닝 모듈을 포함하는 바이러스 탐지 엔진을 갖는 침입 탐지 시스템을 제공한다.여기서, 상기 패킷 스캐닝 모듈은 바이러스 탐지가 불필요한 데이터 패킷을 분리하는 스페셜 패킷 처리기; 상기 스페셜 패킷 처리기로부터 바이러스 탐지가 필요한 것으로 분리된 데이터 패킷의 세션에 대한 추가, 변경, 종료 등 세션정보를 관리하는 세션 관리기; 및 바이러스 탐지가 필요한 것으로 분리된 데이터 패킷이 바이러스를 구성하는 패킷인지 여부를 확인하여 상기 데이터 패킷이 바이러스를 구성하는 패킷인 경우에는 상기 데이터 패킷의 세션을 차단하는 바이러스 탐지 모듈로 구성되는 것이 바람직하다.또한, 상기 파일 스캐닝 모듈은 프로토콜과 관련없는 데이터 패킷을 분리하는 통합 탐지 모듈; 상기 통합 탐지 모듈로부터 프로토콜과 관련있는 것으로 분리된 데이터 패킷을 별도로 저장하고, 상기 프로토콜 정보에 기초하여 데이터 패킷을 원래의 파일로 구성하는 큐; 및 상기 구성된 파일에 바이러스가 존재하는지 여부를 확인하여 상기 파일에 바이러스가 존재하는 경우에는 바이러스가 유입되었음을 경고하는 프로토콜별 탐지 모듈로 구성되는 것이 바람직하다.이하의 내용은 단지 본 발명의 원리를 예시한다. 그러므로 당업자는 비록 본 명세서에 명확히 설명되거나 도시되지 않았지만 본 발명의 원리를 구현하고 본 발명의 개념과 범위에 포함된 다양한 장치를 발명할 수 있는 것이다. 또한, 본 명세서에 열거된 모든 조건부 용어 및 실시예들은 원칙적으로, 본 발명의 개념이 이해되도록 하기 위한 목적으로만 명백히 의도되고, 이와같이 특별히 열거된 실시예들 및 상태들에 제한적이지 않는 것으로 이해되어야 한다. 또한, 본 발명의 원리, 관점 및 실시예들 뿐만 아니라 특정 실시예를 열거하는 모든 상세한 설명은 이러한 사항의 구조적 및 기능적 균등물을 포함하도록 의도되는 것으로 이해되어야 한다. 또한 이러한 균등물들은 현재 공지된 균등물뿐만 아니라 장래에 개발될 균등물 즉 구조와 무관하게 동일한 기능을 수행하도록 발명된 모든 소자를 포함하는 것으로 이해되어야 한다. 따라서, 예를 들어, 본 명세서의 블럭도는 본 발명의 원리를 구체화하는 예시적인 회로의 개념적인 관점을 나타내는 것으로 이해되어야 한다. 이와 유사하게, 모든 흐름도, 상태 변환도, 의사 코드 등은 컴퓨터가 판독 가능한 매체에 실질적으로 나타낼 수 있고 컴퓨터 또는 프로세서가 명백히 도시되었는지 여부를 불문하고 컴퓨터 또는 프로세서에 의해 수행되는 다양한 프로세스를 나타내는 것으로 이해되어야 한다.프로세서 또는 이와 유사한 개념으로 표시된 기능 블럭을 포함하는 도면에 도시된 다양한 소자의 기능은 전용 하드웨어뿐만 아니라 적절한 소프트웨어와 관련하여 소프트웨어를 실행할 능력을 가진 하드웨어의 사용으로 제공될 수 있다. 프로세서에 의해 제공될 때, 상기 기능은 단일 전용 프로세서, 단일 공유 프로세서 또는 복수의 개별적 프로세서에 의해 제공될 수 있고, 이들 중 일부는 공유될 수 있다. 또한 프로세서, 제어가 또는 이와 유사한 개념으로 제시되는 용어의 명확한 사용은 소프트웨어를 실행할 능력을 가진 하드웨어를 배타적으로 인용하여 해석되어서는 아니되고, 제한 없이 디지털 신호 프로세서(DSP) 하드웨어, 소프트웨어를 저장하기 위한 롬(ROM), 램(RAM) 및 비 휘발성 메모리를 암시적으로 포함하는 것으로 이해되어야 한다. 주지관용의 다른 하드웨어도 포함될 수 있다. 유사하게, 도면에 도시된 스위치는 개념적으로만 제시된 것일 수 있다. 이러한 스위치의 작용은 프로그램 로직 또는 전용 로직을 통해 프로그램 제어 및 전용 로직의 상호 작용을 통하거나 수동으로 수행될 수 있는 것으로 이해되어야 한다. 특정의 기술은 본 명세서의 보다 상세한 이해로서 설계자에 의해 선택될 수 있다.본 명세서의 청구범위에서, 상세한 설명에 기재된 기능을 수행하기 위한 수단으로 표현된 구성요소는 예를 들어 상기 기능을 수행하는 회로 소자의 조합 또는 펌웨어/마이크로 코드 등을 포함하는 모든 형식의 소프트웨어를 포함하는 기능을 수행하는 모든 방법을 포함하는 것으로 의도되었으며, 상기 기능을 수행하도록 상기 소프트웨어를 실행하기 위한 적절한 회로와 결합된다. 이러한 청구범위에 의해 정의되는 본 발명은 다양하게 열거된 수단에 의해 제공되는 기능들이 결합되고 청구항이 요구하는 방식과 결합되기 때문에 상기 기능을 제공할 수 있는 어떠한 수단도 본 명세서로부터 파악되는 것과 균등한 것으로 이해되어야 한다.상술한 목적, 특징 및 장점들은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 우선 각 도면의 구성요소들에 참조 번호를 부가함에 있어서, 동일한 구성 요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 번호를 가지도록 하고 있음에 유의하여야 한다. 또한, 본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명한다.도1은 본 발명이 적용되는 네트워크 구성도로서, 도면에 도시된 바와 같이, 본 발명이 적용되는 네트워크는 인터넷 망(101), 라우터(103), 방화벽(105), 침입 탐지 시스템(107), 안티 바이러스 클라이언트(109), 개인 방화벽(111), 보안 관리 시스템(113)으로 구성된다. 인터넷 망(101)을 통해 개인 단말로 유입되는 데이터는 라우터(103)를 통해 방화벽(105)으로 제공된다. 방화벽(105)은 개인 네트워크로의 침입을 방지하기 위한 것이나, 방화벽(105)이 설치되어 있다 하여도 바이러스가 침투할 가능성은 여전히 존재하기 때문에 본 발명은 방화벽(105)가 설치되어 있는 네트워크 시스템에서도 유효하다.
침입 탐지 시스템(107)은 패킷별로 개인 단말로 유입되는 바이러스를 검출하며, 검출된 바이러스에 대해서는 세션을 차단하여 네트워크로의 유입을 방지한다. 즉, 패킷 스캐닝 모듈(211, 도2 참조)에 의해 패킷별로 개인 단말로 유입되는 바이러스를 검출하여, 검출된 바이러스에 대해서는 세션을 차단하여 네트워크로의 바이러스 유입을 방지한다.한편, 패킷 스캐닝 모듈(211)에서 검출되지 않는 파일 형태의 바이러스에 대해서는 파일 스캐닝 모듈(213, 도2 참조)이 검출하여 바이러스의 유입을 경고함으로써 안티 바이러스 클라이언트(109)에 탑재되어 있는 안티 바이러스 시스템이 바이러스 치료를 수행할 수 있도록 한다.즉, 본 발명의 침입 탐지 시스템에 따르면, 패킷 스캐닝 모듈(211)에 의해서는 패킷 형태로 개인 단말로 유입되는 바이러스를 검출하여 차단하고, 파일 스캐닝 모듈(213)에 의해서는, 패킷 단위로는 당해 패킷이 구성하는 파일이 바이러스인지 판단되지 않고 파일이 완성되어야만 당해 파일이 바이러스인지 확인되는 파일 형태의 바이러스에 대해 네트워크로 바이러스 유입을 경고함으로써 바이러스 치료를 수행할 수 있다.패킷 스캐닝 모듈(213)은 방화벽(105)을 통해 개인 단말로 유입되는 데이터 패킷에 대해 기 저장된 바이러스 정보와 비교하여 바이러스가 유입되고 있는지 여부를 판단한다. 즉, 기 저장된 바이러스 정보는 데이터 패킷이 바이러스를 구성하는 패킷인지 여부를 확인할 수 있는 정보를 포함하며, 패킷 스캐닝 모듈(213)은 기 저장된 바이러스 정보에 기초하여 개인 단말로 유입되는 데이터 패킷이 바이러스를 구성하는 패킷인지 여부를 판단한다.
한편, 개인 단말로 유입되는 데이터 패킷은 개인 방화벽(111) 또는 개인 단말기로 전송됨과 동시에, 침입 탐지 시스템(107)에 별도로 저장된다. 이와 같이 저장된 데이터 패킷에 의해 하나의 파일이 완성되면, 파일 스캐닝 모듈(213)은 파일 단위로 바이러스 검색을 수행한다. 이 때, 바이러스가 검출되면 실시간 경고 메시지를 상기 개인 방화벽(111) 또는 개인 단말기 등으로 제공한다. 물론, 상기 안티바이러스 소프트웨어와 연동하여 바이러스 치료도 가능하다.도2는 본 발명에 따른 바이러스 탐지 엔진을 갖는 침입 탐지 시스템 구성도이고, 도3은 본 발명에 따른 바이러스 탐지 엔진을 갖는 침입 탐지 시스템의 동작을 설명하기 위한 흐름도이다.도2 및 도3에 도시된 바와 같이, 침입 탐지 시스템(107)은 네트워크 드라이버(201)를 통해 외부로부터 개인 단말로 유입되는 데이터 패킷을 수신한다(S301).
네트워크 모니터링 플러그인(205)은 프로토콜별, 호스트별 트래픽 통계를 위한 플러그인 프로그램으로 사용된다. 따라서 관리자는 네트워크 모니터링 플러그인(205)을 통해 정보의 유출입 현황을 관리하게 된다.패킷 분리기(207)는 상기 수신된 데이터 패킷에 포함되어 있는 세션 정보를 추출한다(S303).
프로토콜 결정기(209)는 상기 수신된 데이터 패킷에 포함되어 있는 프로토콜 정보를 추출한다(S305). 수신된 데이터 패킷은 회선 접속 및 절단 방식, 통신 방식, 전송 속도, 데이터 형식, 오류 검출 방식, 코드 변환 방식 등에 따라 메일 전송용 프로토콜(SMTP), 웹 전송용 프로토콜(HTTP) 및 파일 전송용 프로토콜(FTP)별로 구분된다. 상기 수신된 데이터 패킷으로부터 추출된 세션 정보 및 프로토콜 정보는 내부 저장수단(미도시)에 저장(S307)되어 패킷 스캐닝 모듈(211) 및 파일 스캐닝 모듈(213)에서 이용된다.
패킷 스캐닝 모듈(211)은 내부 저장수단에 바이러스를 검출하기 위한 바이러스 정보, 즉 당해 데이터 패킷이 바이러스를 구성하는 패킷인지 여부를 확인할 수 있는 정보를 갖고 있다. 패킷 스캐닝 모듈(211)은 스페셜 패킷 처리기(215)를 통해 침입 탐지가 불필요한 데이터 부분을 분리한다. 즉, 패킷 스캐닝 모듈(211)에서 검사할 필요가 없는 데이터 패킷(예를 들어, 데이터를 포함하지 않는 패킷)을 분리한다.세션 관리기(217)는 스페셜 패킷 처리기(215)를 통해 검사가 필요한 것으로 분리된 데이터 패킷의 세션에 대한 추가, 변경, 종료 등 세션 정보를 관리한다.세션별 침입 탐지 모듈(219)은 세션 관리기(217)가 관리하는 세션 정보를 이용하여 외부로부터의 침입 상태를 탐지한다(S311).바이러스 탐지 모듈(221)은 스페셜 패킷 처리기(215)를 통해 검사가 필요한 것으로 분리된 데이터 패킷을 내부 저장수단에 기 저장된 바이러스 정보 즉 당해 데이터 패킷이 바이러스를 구성하는 패킷인지 여부를 확인할 수 있는 정보와 비교하여 바이러스 유무를 판단한다(S313).
단계S313의 판단 결과 바이러스가 존재하면, 당해 데이터 패킷의 세션을 차단하여(S317) 바이러스의 유입을 방지한다.단계S313의 판단 결과 바이러스가 존재하지 않으면, 단계S305에서 추출되어 단계S307에서 저장된 데이터 패킷의 프로토콜 정보가 파일 스캐닝 모듈(213)로 제공된다(S315).파일 스캐닝 모듈(213)은 통합 탐지 모듈(223), 플러그인 처리기(225), 프로토콜별 패킷(227), 큐(229) 및 프로토콜별 탐지 모듈(231)로 구성되어, 각각의 프로토콜별로 파일 형태의 바이러스 탐지를 수행한다.
통합 탐지 모듈(223)은 단계S315에서 제공된 정보를 기초로, 프로토콜과 관련 없는 데이터 패킷을 탐지하여 분리한다.프로토콜과 관련된 정보는 플러그인 처리기(225)를 통해 상기 프로토콜과 관련된 정보의 유출입을 관리자로부터 감시 가능하도록 한다.통합 탐지 모듈(223)을 통해 선별된 각 프로토콜별 데이터 패킷은 큐(229)에 저장되어, 단계S315에서 제공된 정보를 기초로 데이터 패킷을 파일로 구성한다(S319). 즉 네트워크를 통해 개인 단말로 유입되는 데이터 패킷을 취합하여 원래의 완성된 파일로 구성한다.
프로토콜에 따라 바이러스를 탐지하는 방식이 다를수도 있고 디코딩하는 방법이 다를 수도 있으므로, 프로토콜별 탐지 모듈(231)은 SMTP, HTTP, FTP 등의 탐지 모듈을 구비하고 있으며, 상기 큐(229)에 저장된 파일의 프로토콜에 따라 해당 탐지 모듈을 선택한다. 선택된 해당 탐지 모듈은 당해 파일 정보에 바이러스가 존재하는지 여부를 판별하기 위해 프로토콜에 따른 파일별로 기 저장된 파일 바이러스 정보와 비교(S321)하여 바이러스가 존재하는지 여부를 판단한다(S323).단계S323의 판단 결과 바이러스가 존재할 경우, 보안 관리 시스템(113)으로 바이러스의 유입을 경고함으로써 안티 바이러스 클라이언트(109)에 탑재되어 있는 안티 바이러스 시스템이 바이러스 치료를 수행할 수 있도록 한다(S325).이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어서 명백하다 할 것이다.
본 발명의 침입 탐지 시스템에 따르면, 패킷 형태로 개인 단말로 유입되는 바이러스를 검출하여 차단하는 한편, 파일 형태의 바이러스에 대해 네트워크로 바이러스 유입을 경고함으로써 바이러스 치료를 수행할 수 있기 때문에 침입 탐지 시스템의 안정성을 확보하는 효과가 있다.

Claims (3)

  1. 바이러스 탐지 엔진을 갖는 침입 탐지 시스템에 있어서,
    네트워크를 통해 외부로부터 개인 단말로 유입되는 데이터 패킷에 포함되어 있는 세션 정보를 추출하는 패킷 분리기;
    상기 데이터 패킷에 포함되어 있는 프로토콜 정보를 추출하는 프로토콜 결정기;
    상기 세션 정보에 기초하여 상기 데이터 패킷이 바이러스를 구성하는 패킷인지 여부를 확인하여 상기 데이터 패킷이 바이러스를 구성하는 패킷인 경우에는 상기 데이터 패킷의 세션을 차단하는 패킷 스캐닝 모듈; 및
    네트워크를 통해 외부로부터 개인 단말로 유입되는 데이터 패킷을 별도로 저장하고, 상기 프로토콜 정보에 기초하여 데이터 패킷을 원래의 파일로 구성하며, 상기 구성된 파일에 바이러스가 존재하는지 여부를 확인하여 상기 파일에 바이러스가 존재하는 경우에는 바이러스가 유입되었음을 경고하는 파일 스캐닝 모듈
    을 포함하는 바이러스 탐지 엔진을 갖는 침입 탐지 시스템.
  2. 제1항에 있어서,
    상기 패킷 스캐닝 모듈은
    바이러스 탐지가 불필요한 데이터 패킷을 분리하는 스페셜 패킷 처리기;
    상기 스페셜 패킷 처리기로부터 바이러스 탐지가 필요한 것으로 분리된 데이터 패킷의 세션에 대한 추가, 변경, 종료 등 세션정보를 관리하는 세션 관리기; 및
    바이러스 탐지가 필요한 것으로 분리된 데이터 패킷이 바이러스를 구성하는 패킷인지 여부를 확인하여 상기 데이터 패킷이 바이러스를 구성하는 패킷인 경우에는 상기 데이터 패킷의 세션을 차단하는 바이러스 탐지 모듈
    을 포함하는 바이러스 탐지 엔진을 갖는 침입 탐지 시스템.
  3. 제1항에 있어서,
    상기 파일 스캐닝 모듈은
    프로토콜과 관련없는 데이터 패킷을 분리하는 통합 탐지 모듈;
    상기 통합 탐지 모듈로부터 프로토콜과 관련있는 것으로 분리된 데이터 패킷을 별도로 저장하고, 상기 프로토콜 정보에 기초하여 데이터 패킷을 원래의 파일로 구성하는 큐; 및
    상기 구성된 파일에 바이러스가 존재하는지 여부를 확인하여 상기 파일에 바이러스가 존재하는 경우에는 바이러스가 유입되었음을 경고하는 프로토콜별 탐지 모듈
    을 포함하는 바이러스 탐지 엔진을 갖는 침입 탐지 시스템.
KR10-2001-0070099A 2001-11-12 2001-11-12 바이러스 탐지 엔진을 갖는 침입 탐지 시스템 KR100441409B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0070099A KR100441409B1 (ko) 2001-11-12 2001-11-12 바이러스 탐지 엔진을 갖는 침입 탐지 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0070099A KR100441409B1 (ko) 2001-11-12 2001-11-12 바이러스 탐지 엔진을 갖는 침입 탐지 시스템

Publications (2)

Publication Number Publication Date
KR20030039149A KR20030039149A (ko) 2003-05-17
KR100441409B1 true KR100441409B1 (ko) 2004-07-23

Family

ID=29568952

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0070099A KR100441409B1 (ko) 2001-11-12 2001-11-12 바이러스 탐지 엔진을 갖는 침입 탐지 시스템

Country Status (1)

Country Link
KR (1) KR100441409B1 (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100444748B1 (ko) * 2002-02-06 2004-08-16 (주) 세이프아이 실시간 안티 바이러스 시스템
KR100457968B1 (ko) * 2002-05-01 2004-11-26 정보통신연구진흥원 비인가신호의 침입 탐지 장치 및 방법
KR100969466B1 (ko) * 2003-11-13 2010-07-14 주식회사 케이티 바이러스 감염 단말에 대한 인터넷 접속 서비스 제공장치및 방법
US7451486B2 (en) * 2004-09-30 2008-11-11 Avaya Inc. Stateful and cross-protocol intrusion detection for voice over IP
KR101252811B1 (ko) * 2006-11-27 2013-04-09 주식회사 엘지씨엔에스 아이알씨 계열 웜 차단 장치 및 방법
US8413247B2 (en) 2007-03-14 2013-04-02 Microsoft Corporation Adaptive data collection for root-cause analysis and intrusion detection
US8959568B2 (en) 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
US8955105B2 (en) 2007-03-14 2015-02-10 Microsoft Corporation Endpoint enabled for enterprise security assessment sharing
US7882542B2 (en) 2007-04-02 2011-02-01 Microsoft Corporation Detecting compromised computers by correlating reputation data with web access logs
KR101290042B1 (ko) * 2007-09-03 2013-07-30 주식회사 엘지씨엔에스 웜 스캔 탐지 장치 및 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11308272A (ja) * 1998-04-23 1999-11-05 Toshiba Corp パケット通信制御システム及びパケット通信制御装置
KR20000030563A (ko) * 1999-12-31 2000-06-05 정연섭 온라인 유해 정보 차단 시스템 및 방법
KR200201184Y1 (ko) * 2000-05-29 2000-11-01 주식회사퓨쳐시스템 네트워크 모니터링을 위한 네트워크 시스템
KR20010112633A (ko) * 2000-06-12 2001-12-20 김광택 통합형 보안 장치 및 그 동작 방법
KR20020063314A (ko) * 2001-01-27 2002-08-03 이요섭 데이터통신망의 보안시스템 및 그 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11308272A (ja) * 1998-04-23 1999-11-05 Toshiba Corp パケット通信制御システム及びパケット通信制御装置
KR20000030563A (ko) * 1999-12-31 2000-06-05 정연섭 온라인 유해 정보 차단 시스템 및 방법
KR200201184Y1 (ko) * 2000-05-29 2000-11-01 주식회사퓨쳐시스템 네트워크 모니터링을 위한 네트워크 시스템
KR20010112633A (ko) * 2000-06-12 2001-12-20 김광택 통합형 보안 장치 및 그 동작 방법
KR20020063314A (ko) * 2001-01-27 2002-08-03 이요섭 데이터통신망의 보안시스템 및 그 방법

Also Published As

Publication number Publication date
KR20030039149A (ko) 2003-05-17

Similar Documents

Publication Publication Date Title
Chica et al. Security in SDN: A comprehensive survey
US9001661B2 (en) Packet classification in a network security device
US10855700B1 (en) Post-intrusion detection of cyber-attacks during lateral movement within networks
EP1330095B1 (en) Monitoring of data flow for enhancing network security
Kumar Survey of current network intrusion detection techniques
US7493659B1 (en) Network intrusion detection and analysis system and method
CN111526121B (zh) 入侵防御方法、装置、电子设备及计算机可读介质
CN104115463A (zh) 用于处理网络元数据的流式传输方法和系统
CN113315771B (zh) 一种基于工业控制系统的安全事件告警装置和方法
KR100441409B1 (ko) 바이러스 탐지 엔진을 갖는 침입 탐지 시스템
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
CN101453363A (zh) 网络入侵检测系统
JP2002342276A (ja) ネットワーク侵入検知システムおよびその方法
KR102131496B1 (ko) 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법
Naik et al. Building a cognizant honeypot for detecting active fingerprinting attacks using dynamic fuzzy rule interpolation
CN113328976B (zh) 一种安全威胁事件识别方法、装置及设备
CN114553513A (zh) 一种通信检测方法、装置及设备
KR20050095147A (ko) 침해유형별 시나리오를 고려한 침입방어장치 및 그 방법
Kaskar et al. A system for detection of distributed denial of service (DDoS) attacks using KDD cup data set
La Security monitoring for network protocols and applications
Selvaraj et al. Enhancing intrusion detection system performance using firecol protection services based honeypot system
Gheorghe et al. Attack evaluation and mitigation framework
Patil et al. Snort, BRO, NetSTAT, Emerald and SAX2: A Comparison.
Rodas et al. A novel classification-based hybrid ids
KR101177704B1 (ko) 유해 url 차단 방법, 장치, 및 컴퓨터 판독 가능한 기록 매체

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130713

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140714

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20150713

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20160713

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20170713

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20190715

Year of fee payment: 16