KR100627852B1 - 네트워크에서의 웜바이러스 탐지/차단방법 및 시스템 - Google Patents

네트워크에서의 웜바이러스 탐지/차단방법 및 시스템 Download PDF

Info

Publication number
KR100627852B1
KR100627852B1 KR1020040056082A KR20040056082A KR100627852B1 KR 100627852 B1 KR100627852 B1 KR 100627852B1 KR 1020040056082 A KR1020040056082 A KR 1020040056082A KR 20040056082 A KR20040056082 A KR 20040056082A KR 100627852 B1 KR100627852 B1 KR 100627852B1
Authority
KR
South Korea
Prior art keywords
worm
network
blocking
detection
pps
Prior art date
Application number
KR1020040056082A
Other languages
English (en)
Other versions
KR20060007292A (ko
Inventor
서승호
Original Assignee
(주)넷맨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)넷맨 filed Critical (주)넷맨
Priority to KR1020040056082A priority Critical patent/KR100627852B1/ko
Publication of KR20060007292A publication Critical patent/KR20060007292A/ko
Application granted granted Critical
Publication of KR100627852B1 publication Critical patent/KR100627852B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크에서의 웜바이러스 탐지/차단방법 및 시스템에 관한 것으로서, 네트워크를 모니터링하여 통과하는 웜바이러스를 탐지 및 차단하는 웜바이러스 탐지 및 차단방법에 있어서, 네트워크 상의 웜바이러스를 탐지하는 웜검출/차단매니저(WDIM)에 네트워크자원을 데이터베이스에 추가/제거/변경하는 과정, 웜검출/차단매니저에 등록된 네트워크 자원에 대한 네트워크 인터페이스 상태를 모니터링하여 PPS를 체크하는 과정, PPS가 설정된 임계치를 넘을 경우 웜바이러스를 발생시키는 근원지 정보를 검출하는 과정, 검출된 근원지 네트워크 인터페이스를 비사용 상태로 전환하는 과정을 포함하여 이루어진 것을 특징으로 한다.
네트워크, 웜바이러스, 발견, 탐지, 차단, PPS, SNMP, WDIM, WDIA, 백본스위치, 임계치

Description

네트워크에서의 웜바이러스 탐지/차단방법 및 시스템 {Method and System for Detection/Isolation of Warm Virus on Network}
도 1은 종래기술에 따른 웜바이러스 탐지/차단시스템의 구성도이고,
도 2는 본 발명의 실시예에 따른 네트워크에서의 웜바이러스 탐지/차단 시스템의 구성도이고,
도 3은 본 발명의 실시예에 따른 웜바이러스 탐지 및 차단시스템의 구성도이고,
도 4는 본 발명의 실시예에 따른 WDIA의 상세 구성을 설명하기 위한 도이고,
도 5는 본 발명의 실시예에 따른 WDIM으로부터 관리 정보를 수신하는 과정의 흐름도이고,
도 6은 본 발명의 실시예에 따른 데이터베이스에 등록된 네트워크 자원의 네트워크 인터페이스에 대해 PPS 증가치를 지속적으로 모니터링하는 과정의 흐름도이고,
도 7은 본 발명의 실시예에 따른 네트워크 자원의 네트워크 인터페이스의 상태를 변경하는 과정의 흐름도이다.
< 도면의 주요부분에 대한 부호의 설명 >
101 : 데이터베이스 102 : 큐
110 : 백본스위치 112 : 웜탐지/차단서버
120 : 웜탐지/차단매니저 121, 131 : SNMP
130 : 웜탐지/차단에이전트 140 : 하부 네트워크 자원
본 발명은 웜바이러스(Worm Virus) 방지방법에 관한 것으로서, 보다 상세하게는 웜바이러스 발생의 근원지를 탐지하고 차단하도록 하는 웜바이러스 검출/차단방법에 관한 것이다.
종래의 웜 방지 기술은 도 1과 같은 환경에서 침입탐지시스템/침입예방시스템(Intrusion Detection System/ Intrusion Prevention System : 이하 IDS/IPS라 약칭함) 장비를 통해 웜을 차단하고 있다. 도 1에서 종래의 IDS/IPS장비(12)는 백본 스위치(11)와 외부로 연결되는 라우터(13) 사이에 설치되고, IDS/IPS장비(12)를 거쳐서 입력되는 트래픽이나 외부로 출력되는 웜 트래픽을 확인하고, 해당 트래픽의 근원지 혹은 목적지 주소 정보를 기반으로 웜 트래픽을 차단한다. 이러한 구성은 도 1의 'B'와 같이 IDS/IPS 장비(12)를 거치지 않고, 내부망(LAN1~LANn)에서 내부망으로 전달되는 웜 트래픽에 대해서는 제어가 불가능하다. 또한 IDS/IPS 장비(12)는 입력되는 트래픽을 모두 확인하여 트래픽의 차단 여부를 결정하게 되므로, 웜 트래픽이 네트워크 대역폭에 부하를 주며 입력되면 해당 트래픽들을 모두 확인하기 위해 IDS/IPS 장비(12) 자체에도 부하가 가중 되고 백본에 물려 있는 IDS/IPS 장비(12)인 경우 장비 및 네트워크 부하때문에 실제적으로 네트워크를 이용하지 못하는 경우가 많은 문제점이 있었고, 웜바이이러스 방지시스템의 한계인 IDS/IPS 장비를 지나가는 웜에 대해서만 차단할 뿐 IDS/IPS장비를 통과하지 않는 부서PC 간에 전송되는 웜바이러스는 탐지하지 못하는 문제점이 있었다.
본 발명은 상기한 종래기술의 제반 문제점을 해결하기 위한 것으로, 그 목적은 웜바이러스를 탐지하고 웜바이러스가 발생한 근원지를 찾아내어 웜바이러스 근원지 장비의 네트워크 연결 지점을 차단하므로 다른 네트워크에 영향을 최소한으로 줄이고, 네트워크 트래픽 부하나 네트워크 자원의 부하가 큰 경우에도 원활하게 차단하도록 하는 네트워크에서의 웜바이러스 탐지/차단방법을 제공함에 있다.
본 발명의 목적을 달성하기 위한 본 발명에 따른 네트워크에서의 웜바이러스 탐지/차단시스템은 다수의 단말기를 네트워킹하는 다수의 랜과, 상기 다수의 랜간의 데이터 전송을 관리함과 아울러 외부 인터넷 데이터를 인터페이스하는 백본스위치로 구성된 네트워크 시스템에 있어서, 상기 백본스위치는 패킷특성 기반의 네트워크에서 발생된 웜바이러스를 탐지하고, 웜바이러스가 발생한 근원지 랜 포트를 차단하고, 상기 백본스위치로부터 데이터를 제공받아 웜바이러스를 모니터링하고, 웜바이러스 발생 근원지 랜 포트를 탐지함과 아울러 상기 웜바이러스 발생 근원지 랜포트를 상기 백본스위치를 통해 차단하는 웜탐지/차단서버를 포함하여 이루어진 것을 특징으로 한다.
또한, 본 발명의 목적을 달성하기 위한 네트워크에서의 웜바이러스 탐지/차단과정은 네트워크를 통과하는 웜바이러스를 탐지 및 차단하는 웜바이러스 탐지 및 차단방법에 있어서, 상기 네트워크 상의 웜바이러스를 탐지하는 웜검출/차단매니저(WDIM)에 네트워크자원을 데이터베이스에 추가/제거/변경하는 제 1 과정과, 상기 웜검출/차단매니저에 등록된 네트워크 자원에 대한 네트워크 인터페이스 상태를 모니터링하여 PPS(Packet Per Second)를 체크하는 제 2 과정과, 상기 PPS가 설정된 임계치를 넘을 경우 웜바이러스를 발생시키는 근원지 정보를 검출하는 제 3 과정과, 상기 검출된 근원지 네트워크 인터페이스를 비사용 상태로 전환하는 제 4 과정을 포함하여 이루어진 것을 특징으로 한다.
이와 같이 이루어진 본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다.
도 2는 본 발명의 실시예에 따른 네트워크에서의 웜바이러스 탐지/차단 시스템의 구성도로서, 인터넷 통신을 위한 라우터(13)와, 상기 라우터(13)를 통해 외부 인터넷과 통신함과 아울러 랜(LAN)환경에서 네트워크 내부 데이터 전송을 관리하는 백본 스위치(Backbone Switch)(110)와, 상기 백본스위치(110)로부터 상기 네트워크의 PPS를 모니터링하여 임계치가 넘을 경우 해당 항목의 입력포트와 출력포트를 탐지하여 웜 트래픽 발생경로를 탐지하여 해당 네트워크를 차단하는 웜탐지/차단서버(112)로 구성된다.
이와 같이 구성된 본 발명 실시예에 따른 작용을 첨부된 도 2 내지 도 7을 참조하여 보다 상세히 설명하면 다음과 같다.
먼저, 본 발명은 웜 트래픽이 발생하는 근원지를 차단하는 방식으로 실제 웜을 발생시키는 근원지가 연결된 네트워크 장비의 인터페이스만을 차단하여 다른 네트워크 자원을 무리 없이 이용할 수 있게 되고, 실제 WDI(Worm Detection Isolation) 시스템이 설치된 네트워크 자원의 부담이 줄어듦으로 웜 차단을 성공적으로 수행할 수 있도록 한 것이다.
도 2는 본 발명을 구현하기 위한 네트워크에서의 웜바이러스 탐지/차단시스템의 구성도로서, 상기 웜탐지/차단서버(112)는 내부 망에 종단(End-node)에 설치된다. 즉, 제 1 내지 제 n 랜(LAN1~LANn) 간의 데이터 전송을 관리하는 백본스위치(110)에 설치하게 된다.
따라서, 외부 네트워크로부터 웜바이러스가 들어올 경우 부하를 서버에서 직접 영향을 받지않기 때문에 상기 웜탐지/차단서버(112) 자체의 부하가 줄어든다.
웜 트래픽 발생 근원지 발견은 웜 트래픽의 특성을 살펴보면 TCP 연결 요청 패킷인 TCP SYN 패킷이 지속적으로 내부망으로 입력되는 경우와 같이 PPS (Packet per Second)값이 현저하게 증가하게 되므로, 인터페이스별 PPS 임계치를 설정해두고, 설정된 PPS 값을 넘은 경우 아래의 순서대로 웜 발생 근원지를 찾는다.
예를 들어, [제 1 랜(LAN1) 스위치의 PPS 임계치가 넘은 입력 인터페이스]->[제 1 랜(LAN1) 스위치의 PPS 임계치가 넘은 출력 인터페이스]->[PPS 임계치가 넘은 백본스위치(110)의 입력 인터페이스] -> [PPS 임계치가 넘은 백본스위치(110)의 출력 인터페이스] -> [PPS 임계치가 넘은 제 2 랜(LAN2) 스위치의 입력 인터페이 스]-> [PPS 임계치가 넘은 제 2(LAN2) 스위치의 출력 인터페이스] 와 같은 경로를 통해 PPS 임계치를 넘기 시작한 근원지 장비는 제 1 랜(LAN1) 스위치의 PPS 임계치가 넘은 입력 인터페이스임을 확인할 수 있고, 제 1 랜(LAN1) 스위치의 임계치가 넘은 입력 인터페이스에 연결된 End-Node 로부터 발생한 트래픽이 PPS 임계치를 초과하는 근원지 시스템이고, 제 2 랜(LAN2) 스위치의 출력 인터페이스 하단의 End-Node가 웜 트래픽 전달 목적지음일 확인할 수 있으므로 도 2의 경로 B에서 웜 발생 근원지를 찾아 근원지 End-Node가 연결되어 제 1랜(LAN1) 스위치의 해당 네트워크 인터페이스를 차단하여 웜 발생 장비를 고립시킬 수 있다. 차단 명령은 도 2의 A 경로와 같이 웜 탐지/차단 서버에서 웜 발생 근원지 장비가 연결된 스위치 인터페이스로 차단 명령을 전달한다.
근원지 인터페이스 차단은 SNMP(Simple Network Management Protocol)를 이용하여 웜 발생 근원지 인터페이스의 관리 상태를 비사용(Down)상태로 변경하여 웜바이러스 발생을 차단하게 된다.
도 3은 본 발명의 실시예에 따른 웜바이러스 탐지 및 차단시스템의 구성도로서, 네트워크 구성 장비를 초기화하고, 네트워크 구성 정보의 변경 (추가/삭제/변경) 및 변경 내용을 전달하고, 네트워크 구성 정보를 데이터베이스에 저장하고, 혹은 네트워크 장비의 인터페이스 상태 변경 명령을 전달하고, 모니터링한 결과를 확인하는 WDIM(Worm virus Detection and Isolation Manager)(120)과, 관리 시스템의 인터페이스 정보와 해당 인터페이스에 설정된 PPS 임계치 정보를 데이터베이스로부터 획득하여 모니터링 항목을 설정, 등록된 모니터링 항목에 대해 PPS 정보를 SNMP를 통하여 획득하고 획득한 PPS 정보가 임계치를 넘는지 확인하여 임계치가 넘는 경우 포트 상태를 비사용(down)상태로 변경하거나 WDIM(120)으로 임계치 넘음 정보를 알리고, 포트의 상태 정보를 데이터베이스로 관리하는 WDIA(Worm virus Detection and Isolation Agent)(130)와 SNMP를 지원하는 하부 네트워크 자원 (Network Element)(140)으로 구성된다.
여기서, WDIM(120)은 다음과 같이, 3가지 기능으로 구성된다. 첫째, WDIM의 네트워크 구성 장비의 초기화 기능은 SNMP(121)를 지원하는 네트워크 자원으로 접속하여 SNMP Get 및 GetNext 기능을 이용하여 해당 네트워크 자원의 구성 정보 및 인터페이스 구성 정보를 획득하여 네트워크 토폴로지를 구성하고, 획득한 장비 정보 및 인터페이스 정보는 데이터베이스에 저장한다.
두번째로 관리하고자 하는 네트워크 자원의 추가, 변경 제거가 가능하고, 추가/변경/제거된 관리 자원 정보는 IPC나 TCP/IP 통신을 통해 WDIA로 전달한다. 세번째로 WDIM(120)은 네트워크 장비의 포트 상태를 확인 및 변경하는 기능을 수행한다.
네트워크 포트 상태의 변경 정보는 먼저 WDIA(130)로 전달되고, WDIA(130)는 해당 정보를 수신하여 SNMP(131)로 해당 네트워크 시스템의 인터페이스의 관리 상태를 변경하고, 성공적으로 변경된 경우 데이터베이스의 인터페이스 상태 정보를 변경한다.
또는, PPS 임계치가 넘는 항목이 검출된 경우 WDIA(130)로부터 알림 정보를 수신하여 사용자에게 결과를 통보하는 기능을 수행한다.
WDIA(130)는 WDIM(120)과 통신하는 인터페이스부와 하부의 네트워크 자원과 통신하는 인터페이스부, WDIM(120)과의 통신을 통해 획득한 토폴로지 변경 정보를 획득 및 구성하는 내부 모듈과 등록된 네트워크 자원의 인터페이스에 대해 주기적인 모니터링을 통해 PPS 정보를 검출하고 입력된 임계치 정보를 넘는지 아닌지를 체크하는 모듈, 그리고, 임계치를 넘은 자원에 대해 인터페이스를 비사용 상태로 변경하고 정보를 전달하는 모듈로 구성된다.
도 4는 본 발명의 실시예에 따른 WDIA의 상세 구성을 설명하기 위한 도로서, 상기 WDIA(130)는 WDIM(120)으로부터 사용자 요청을 수신 할 수 있도록 IPC나 TCP/IP 통신을 이용하므로 해당 조건에 맞추어 통신 환경을 초기화한다.(S101)
네트워크 구성 자원의 추가/삭제/변경 정보가 수신된 경우에는 구성 정보 업데이트 모듈을 통해 데이터베이스(101)로부터 변경된 모니터링 정보를 획득하여 모니터링 정보를 갱신한다.(S110)
상기 데이터베이스(101)로부터 획득한 모니터링 정보는 WDIA 내부 메모리 자원에 갱신되고, 해당 정보를 기반으로 SNMP 모니터링 모듈은 등록된 모니터링 자원들의 PPS 정보를 지속적으로 체크하고, SNMP 모니터링 모듈에서 획득한 PPS 정보 중 임계치를 넘는 항목이 있으면 해당 정보를 큐(Queue)(102)에 입력한다.(S112)
포트 상태 변경 모듈은 큐에 정보가 있는지 없는지 체크하고 있다가 인터페이스 상태를 변경할 항목이 입력되면 SNMP 인터페이스부를 이용하여 관리 정책을 전달한다.(S116)
도 5는 본 발명의 실시예에 따른 WDIM으로부터 관리 정보를 수신하는 과정 의 흐름도로서, 상기 WDIM(120)과 통신하기 위한 통신포트 환경을 초기화 한다.(S120)
그리고 상기 WDIM(120)의 요청 수신을 대기(S122)하고 있다가 관리 정보가 입력되면(S124) 인터페이스의 상태 변경을 위한 명령인지 항목 추가/제거/변경을 위한 명령인지 구분하고,(S126) 인터페이스 상태 변경 명령이면 변경하기 원하는 네트워크 자원의 정보와 함께 Queue에 입력한다.(S128) 만약, 항목 추가/제거/변경 명령을 수신하면 데이터베이스(101)와 메모리의 관리 정보를 변경한다.(S130~S134)
도 6은 데이터베이스에 등록된 네트워크 자원의 네트워크 인터페이스에 대해 PPS 증가치를 지속적으로 모니터링하는 과정의 흐름도로서, 먼저, 등록된 자원들을 확인하고 자원들을 초기화 한다.(S140) 5초에 한번씩 모니터링을 수행하고,(S142) 5초가 경과되면 관리시스템 정보를 확인한 후 PPS 정보를 획득하고,(S146)(S148) 사용자가 설정한 임계치가 넘었다면 큐(Queue)(102)에 임계치가 넘은 항목에 대한 정보를 추가한다.(S150)(S152) 다음 모니터링 항목이 존재하면 다음 항목에 대한 PPS 및 임계치 넘음 여부를 체크하고 모든 항목에 대한 체크가 종료되면 다시 5초 대기 상태로 전환된다.(S154)(S156)
도 7은 본 발명의 실시예에 따른 네트워크 자원의 네트워크 인터페이스의 상태를 변경하는 과정의 흐름도로서, 먼저, 인터페이스 상태 변경기능을 초기화한다.(S160) 상기 큐(102)에 정보가 존재하는지 여부를 확인하고(S162) 상기 큐(102)에 정보가 존재하면 네트워크 인터페이스를 차단할 네트워크 자원으로 SNMP 세션을 오픈한다.(S164) 오픈에 성공하면 상태 변경을 위한 네트워크 인터페이스로 변경 명령을 전달한다.(S168) 상태 변경 명령이 성공하면 데이터베이스(101)에 인터페이스의 상태 정보를 변경하여 저장하고,(S168) WDIM(120)으로 현재 임계치를 넘은 항목에 대한 정보를 전달하고,(S172) 다시 대기상태에서 큐(102)에 정보가 존재하는지 확인하는 단계로 리턴한다.(S170)
이상에서 본 발명에 따른 바람직한 실시예에 대해 설명하였으나, 다양한 형상으로 변형이 가능하며, 본 기술분야에서 통상의 지식을 가진자라면 본 발명의 특허청구범위를 벗어남이 없이 다양한 변형예 및 수정예를 실시할 수 있을 것으로 이해된다.
이상에서 설명한 바와 같이, 본 발명에 따른 네트워크에서의 웜바이러스 탐지/차단방법은 웜바이러스 탐지 및 차단 기능으로부터 웜바이러스 발생을 통해 네트워크 시스템 부하 및 네트워크 트래픽 부하로인한 피해를 막을 수 있는 효과가 있다.
또한, 기존의 웜 차단 시스템들이 네트워크 부하나 시스템의 부하로 웜 차단에 한계가 많고, 웜을 발생하는 근원지에 대한 정보를 획득하기 어려운 반면 WDIM/WDIA를 이용하여 웜의 발생 근원지를 찾아내어 근원지를 단독으로 차단할 수 있어 다른 시스템들에 피해를 최소화할 수 있는 효과가 있다.
또한, 기존에 웜 발생시에 웜을 차단하는 시스템 또한 웜의 피해와 시스템 부하 등의 이유로 차단 기능을 제대로 수행할 수 없었던 단점을 극복하여 스위치 자체에서 웜 발생 근원지를 차단하여 네트워크 자원의 부하도 최소화하며 웜을 차 단할 수 있다는 효과가 있다.

Claims (10)

  1. 네트워크를 통과하는 웜바이러스를 탐지 및 차단하는 웜바이러스 탐지 및 차단방법에 있어서,
    상기 네트워크 상의 웜바이러스를 탐지하는 웜검출/차단매니저(WDIM)에 네트워크자원을 데이터베이스에 추가/제거/변경하는 제 1 과정;
    입력 PPS(Packet Per Second) 값과 출력 PPS 값의 임계치를 각각 설정하고, 상기 웜검출/차단매니저에 추가 등록된 네트워크 자원에 대한 네트워크 인터페이스 상태를 모니터링하여 입력 PPS 결과값과 출력 PPS 결과값을 구별하여 PPS를 체크하하여 상기 설정된 입/출력 임계치가 넘을 경우 웜바이러스 탐지를 탐지하는 제 2 과정;
    상기 PPS가 설정된 임계치를 넘을 경우 해당 정보를 큐에 입력한 후, 상기 큐에 입력된 PPS 임계치가 넘는 항목에 대해 포트 상태를 변경한 다음, 상기 임계치가 넘는 항목에 대하여 상기 데이터베이스에 로그정보를 저장한 후, 상기 임계치가 넘는 항목에 대하여 상기 해당 정보를 웜검출/차단매니저로 전송하여 웜바이러스를 발생시키는 근원지 정보를 검출하는 제 3 과정; 및
    상기 검출된 근원지 네트워크 인터페이스를 비사용 상태로 전환하는 제 4 과정;을 포함하여 이루어진 것을 특징으로 하는 네트워크에서의 웜바이러스 탐지/차단방법.
  2. 제 1 항에 있어서,
    상기 제 1 과정은 웜검출/차단매니저에서 웜검출/차단에이전트(WDIA)로 네트워크 관리자원에 대한 추가/삭제/변경 정보를 전송하는 제 1 단계; 및
    상기 웜검출/차단에이전트에서 변경된 네트워크 구성정보를 상기 데이터베이스에 업데이트하는 제 2 단계를 포함하여 이루어진 것을 특징으로 하는 네트워크에서의 웜바이러스 탐지/차단방법.
  3. 제 2 항에 있어서,
    상기 웜검출/차단매니저와 상기 웜검출/차단에이전트(WDIA)의 통신은 IPC 또는 TCP/IP통신 프로토콜을 이용하는 것을 특징으로 하는 네트워크에서의 웜바이러스 탐지/차단방법.
  4. 제 1 항에 있어서,
    상기 제 1 과정은 웜검출/차단매니저에서 SNMP(Simple Network Management Protocol)를 통해 네트워크 자원의 인터페이스 정보를 획득하는 것을 특징으로 하는 네트워크에서의 웜바이러스 탐지/차단방법.
  5. 삭제
  6. 삭제
  7. 제 1 항에 있어서,
    상기 제 3 과정에서 웜바이러스를 발생시키는 근원지는 상기 PPS 임계치가 넘는 항목의 입력포트와 출력포트를 찾아 웜 트래픽 발생경로를 탐지하는 것을 특징으로 하는 네트워크에서의 웜바이러스 탐지/차단방법.
  8. 다수의 단말기를 네트워킹하는 다수의 랜과, 상기 다수의 랜간의 데이터 전송을 관리함과 아울러 외부 인터넷 데이터를 인터페이스하는 백본스위치로 구성된 네트워크 시스템에 있어서,
    상기 백본스위치는 패킷특성 기반의 네트워크에서 발생된 웜바이러스를 탐지하고, 웜바이러스가 발생한 근원지 랜 포트를 차단하고,
    상기 백본스위치로부터 데이터를 제공받아 웜바이러스를 모니터링하고, 웜바이러스 발생 근원지 랜 포트를 탐지함과 아울러 상기 웜바이러스 발생 근원지 랜포트를 상기 백본스위치를 통해 차단하는 웜탐지/차단서버를 포함하여 이루어고,
    상기 웜탐지/차단서버는 네트워크 구성 장비를 초기화하고, 네트워크 구성정보의 추가/삭제/변경 및 변경 내용을 전달하고, 네트워크 구성정보를 데이터베이스에 저장하고, 네트워크 장비의 인터페이스 상태 변경명령을 전달하고, 상기 네트워크를 모니터링한 결과를 확인하는 웜탐지/차단매니저와; 상기 웜탐지/차단매니저의 인터페이스정보와 해당 인터페이스에 설정된 PPS 임계치 정보를 획득하여 모니터링 항목을 설정하고, 등록된 모니터링 항목에 대하여 네트워크로부터 PPS정보를 획득하여 상기 PPS 임계치와 비교하여 그 결과에 따라 포트의 상태를 변경하는 웜탐지/차단에이전트; 및 상기 웜탐지/차단매니저와 웜탐지/차단에이전트에 SNMP를 지원하는 하부 네트워크자원;을 포함하여 구성되는 것을 특징으로 하는 네트워크에서의 웜바이러스 탐지/차단시스템.
  9. 삭제
  10. 제 8 항에 있어서,
    상기 웜탐지/탐지서버는 IDS/IPS 장비를 이용하지 않고 웜의 특성을 파악하여 사용자가 설정한 PPS 정보를 기반으로 웜 근원지를 찾아내고 웜을 발생하는 근원지 장비가 연결된 네트워크 장비의 네트워크 인터페이스를 비사용 상태로 변경하 는 것을 특징으로 하는 네트워크에서의 웜바이러스 탐지/차단시스템.
KR1020040056082A 2004-07-19 2004-07-19 네트워크에서의 웜바이러스 탐지/차단방법 및 시스템 KR100627852B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040056082A KR100627852B1 (ko) 2004-07-19 2004-07-19 네트워크에서의 웜바이러스 탐지/차단방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040056082A KR100627852B1 (ko) 2004-07-19 2004-07-19 네트워크에서의 웜바이러스 탐지/차단방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20060007292A KR20060007292A (ko) 2006-01-24
KR100627852B1 true KR100627852B1 (ko) 2006-09-26

Family

ID=37118632

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040056082A KR100627852B1 (ko) 2004-07-19 2004-07-19 네트워크에서의 웜바이러스 탐지/차단방법 및 시스템

Country Status (1)

Country Link
KR (1) KR100627852B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447677B1 (ko) * 2012-05-09 2014-10-07 주식회사 윈스 감염 이동단말의 탐지 및 제어 장치
KR101447685B1 (ko) * 2012-05-09 2014-10-07 주식회사 윈스 전송패킷 내용정보 기반 감염 이동단말의 탐지 및 제어 장치

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2688329B1 (en) 2011-03-17 2019-05-01 Nec Corporation Communication system, base station, and method for coping with cyber attacks

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030063949A (ko) * 2002-01-24 2003-07-31 박정현 컴퓨터 바이러스 방역 방법 및 시스템
KR20030091888A (ko) * 2003-11-12 2003-12-03 이동범 네트워크 인프라 장애 방지 시스템 및 방법
JP2003348113A (ja) * 2002-05-22 2003-12-05 Takeshi Hosohara スイッチおよびlan
US20040098482A1 (en) * 2002-11-19 2004-05-20 Fujitsu Limited Hub unit for preventing the spread of viruses, method and program therefor

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030063949A (ko) * 2002-01-24 2003-07-31 박정현 컴퓨터 바이러스 방역 방법 및 시스템
JP2003348113A (ja) * 2002-05-22 2003-12-05 Takeshi Hosohara スイッチおよびlan
US20040098482A1 (en) * 2002-11-19 2004-05-20 Fujitsu Limited Hub unit for preventing the spread of viruses, method and program therefor
KR20030091888A (ko) * 2003-11-12 2003-12-03 이동범 네트워크 인프라 장애 방지 시스템 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
15348113 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101447677B1 (ko) * 2012-05-09 2014-10-07 주식회사 윈스 감염 이동단말의 탐지 및 제어 장치
KR101447685B1 (ko) * 2012-05-09 2014-10-07 주식회사 윈스 전송패킷 내용정보 기반 감염 이동단말의 탐지 및 제어 장치

Also Published As

Publication number Publication date
KR20060007292A (ko) 2006-01-24

Similar Documents

Publication Publication Date Title
US10404555B2 (en) System and method for dynamic management of network device data
US6538990B1 (en) Method and system for congestion flow control in a high speed network
US7757285B2 (en) Intrusion detection and prevention system
US7499395B2 (en) BFD rate-limiting and automatic session activation
US7233991B2 (en) Self-healing tree network
US7417953B2 (en) Port re-enabling by monitoring link status
US7496055B2 (en) Layer 2 loop detection system
US20060230456A1 (en) Methods and apparatus to maintain telecommunication system integrity
US20090031423A1 (en) Proactive worm containment (pwc) for enterprise networks
JP5305045B2 (ja) スイッチングハブ及び検疫ネットワークシステム
JP2006339933A (ja) ネットワークアクセス制御方法、およびシステム
JP2009519663A (ja) 仮想ネットワーク、データ・ネットワーク・システム、コンピュータ・プログラム、およびコンピュータ・プログラムを運用する方法
WO2005109366A2 (en) Method and apparatus for controlling traffic in a computer network
JP2007006054A (ja) パケット中継装置及びパケット中継システム
WO2008080314A1 (fr) Procédé, moteur de retransmission et dispositif de communication pour la commande d&#39;accès aux messages
US10462134B2 (en) Network device removal for access control and information security
US10484380B2 (en) Untrusted network device identification and removal for access control and information security
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
US20020089936A1 (en) System, method and computer program product for processing network accounting information
US10805295B2 (en) Network switch port access control and information security
US10972470B2 (en) Network device isolation for access control and information security
Nagarathna et al. SLAMHHA: A supervised learning approach to mitigate host location hijacking attack on SDN controllers
US8203941B2 (en) Virus/worm throttle threshold settings
KR100627852B1 (ko) 네트워크에서의 웜바이러스 탐지/차단방법 및 시스템
US7536452B1 (en) System and method for implementing traffic management based on network resources

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130723

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140715

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150616

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160706

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170821

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20180724

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20190828

Year of fee payment: 14