KR100862282B1 - 웜 바이러스의 전파 경로 추출 장치와 이를 위한 프로그램 기록매체 - Google Patents
웜 바이러스의 전파 경로 추출 장치와 이를 위한 프로그램 기록매체 Download PDFInfo
- Publication number
- KR100862282B1 KR100862282B1 KR1020060108108A KR20060108108A KR100862282B1 KR 100862282 B1 KR100862282 B1 KR 100862282B1 KR 1020060108108 A KR1020060108108 A KR 1020060108108A KR 20060108108 A KR20060108108 A KR 20060108108A KR 100862282 B1 KR100862282 B1 KR 100862282B1
- Authority
- KR
- South Korea
- Prior art keywords
- worm
- virus
- vaccine
- computer
- propagation
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
본 발명은 컴퓨터로 송·수신되는 모든 종류의 전자 메일에 대한 목록을 암호화하여 저장하고, 백신 프로그램을 통해 백신 사용자(End User)가 컴퓨터에 감염되어 있는 바이러스에 대한 검색을 시작하면, 컴퓨터에 감염되어 있는 모든 종류의 바이러스 리스트를 생성함과 동시에, 해당 컴퓨터에서 발견된 웜 바이러스에 대한 전파 경로를 자동 생성하여 리스트로 출력하는 방법을 제공하는 것이며, 본 발명에서 웜 바이러스 전파 경로라 함은 외부에서 백신 사용자의 컴퓨터로 유입된 웜 바이러스 유입 경로와 백신 사용자 컴퓨터에서 외부로 발송된 웜 바이러스의 발송 경로를 모두 포함한다.
웜 바이러스, 백신, 전파, 경로
Description
도1은 컴퓨터에 설치되어 있는 백신 프로그램이 웜 바이러스 전파 경로를 추출하기 위한 간단한 블록도이다.
도2는 예외 통신 포트 구성에 대한 간단한 브라우저 예시도이다.
도3은 백신 프로그램이 해당 컴퓨터의 네트워크 통신 포트를 감시하고, 네트워크 송수신 데이터 정보를 추출하는 과정에 대한 간단한 흐름도이다.
도4는 백신 프로그램이 바이러스를 진단한 후, 백신 제공자의 백신 갱신부에서 최신 웜 전파 패턴을 전송 받는 과정에 대한 간단한 흐름도이다.
도5는 웜 전파 예측 경로와 웜 전파 확인 경로를 추출한 후, 실제 웜 바이러스가 전파된 경로를 백신 프로그램에 출력하는 과정에 대한 간단한 흐름도이다.
도6은 웜 바이러스 전파 경로 추출에 대한 검사 브라우저 예시도이다.
도7은 새로운 웜 전파 패턴을 갱신하고, 그것을 모든 백신 프로그램이 공유하는 과정에 대한 간단한 흐름도이다.
<도면의 주요부분에 대한 설명>
100 : 백신 프로그램 105 : 바이러스 진단 치료부
110 : 웜 전파 경로 추출부 115 : 웜 전파 패턴 갱신부
120 : 네트워크 감시부 125 : 웜 전파 경로 출력부
130 : 백신 패턴 D/B 135 : 웜 전파 패턴 D/B
140 : 웜 전파 경로 145 : 송수신 목록 D/B
150 : 백신 제공자 155 : 백신 갱신부
160 : 백신 패턴 D/B 165 : 웜 전파 패턴 D/B
본 발명은 웜 바이러스(Worm Virus)를 치료하는 백신 프로그램에 대한 것으로서, 백신 사용자의 컴퓨터에 설치되어 있는 백신 프로그램이 부팅과 동시에 자동 실행되면, 해당 컴퓨터로 송수신되는 모든 종류의 전자 메일에 대한 목록을 암호화하여 저장하고, 상기 백신 프로그램을 통해 백신 사용자(End User)가 컴퓨터에 감염되어 있는 바이러스에 대한 검색을 시작하면, 컴퓨터에 감염되어 있는 모든 종류의 바이러스 리스트를 생성함과 동시에, 해당 컴퓨터에서 발견된 웜 바이러스에 대한 전파 경로를 자동 생성하여 리스트로 출력하는 방법을 제공하는 것이며, 본 발명에서 웜 바이러스 전파 경로라 함은 외부에서 백신 사용자의 컴퓨터로 유입된 웜 바이러스 유입 경로와 백신 사용자 컴퓨터에서 외부로 발송된 웜 바이러스의 발송 경로를 모두 포함한다.
웜은 단일 컴퓨팅 시스템 내에서 프로그램 사이를 이동하거나, 네트워크를 통해 서로 다른 컴퓨터로 자동 전파되는 프로그램 조각으로서, 웜 자체가 바이러스와 같이 컴퓨터 시스템을 직접 파괴하거나 오작동을 유발하지는 않지만, 전파되는 과정에서 컴퓨터 시스템 내부와 네트워크에 엄청남 부하를 걸어, 해당 시스템 또는 네트워크가 다운되는 원인을 제공하기도 한다.
웜 바이러스는 상기 설명한 웜에 대하여, 컴퓨터를 동작시키는 운영체제나 소프트웨어에 몰래 잠입하여 자신을 프로그램에 복제하고 시스템과 파일들을 파괴하는 악성 프로그램인 바이러스, 또는 해당 시스템에 자유롭게 접근할 수 있도록 보안이 제거된 비밀 통로인 백도어 등이 적절하게 결합된 형태의 악성 코드 또는 프로그램으로서, 웜을 통해 네트워크에 연결된 컴퓨터에 자동 전파되고, 바이러스를 통해 전파된 컴퓨터를 감염시켜 시스템을 파괴하거나 비정상적으로 운용되도록 한 후, 백도어를 통해 바이러스 개발자에게 목표 시스템의 시스템 정보를 전송하거나 악의적 접근을 허락하며, 주로 전자 우편을 통해 다른 컴퓨터로 전파되기 때문에 이메일 바이러스라고도 한다.
오늘날, 상기와 같은 웜 바이러스가 급속도로 확산된 이유는, 인프라 구조의 단일성, 웜 개발의 편리성, 단일 커뮤니케이션 메커니즘에 의한 네트워크 접속률 증가, 그리고 기업과 개인 사이의 동일 기술 사용 등이며, 각각에 대하여 설명하면 다음과 같다.
인프라 구조의 단일성은 컴퓨터의 하드웨어와 소프트웨어를 공급하는 기업이 점차적으로 독점화 되면서, 전세계 거의 모든 컴퓨터가 동일한 구조로 이루어져 있다는 것이다. 예를 들어, 전세계 대부분의 데스크탑 컴퓨터가 마이크로소프트(Microsoft)가 공급하는 윈도즈 계열의 운영 체제와 인텔 호환 CPU(Central Processing Unit)를 사용하고 있으며, 워크스테이션의 대부분은 썬시스템즈(Sun Microsystems)가 공급하는 솔라리스(Solaris) 계열의 운영체제를 사용하고 있다. 따라서 데스크탑 컴퓨터를 대상으로 하는 웜 바이러스 개발자는 마이크로소프트사에서 공급하는 윈도즈 계열의 운영체제에서 작동하는 웜 바이러스를 개발하는 것만으로, 최고 전세계 데스크탑 컴퓨터의 90%를 감염시킬 수 있다.
웜 개발의 편리성은 마이크로소프트가 윈도즈 계열(Win95 OSR 버전 이후)의 운영체제에 COM(Common Object Model)이라고 불리는 기술을 탑재하면서, COM 기술을 이용하여 고급 개발자가 아니어도 쉽게 웜 바이러스를 개발할 수 있게 되었다는 것이다. COM은 프로그램의 컴포넌트 객체들을 개발하고 지원하기 위한 하부 기반 구조로서, CORBA(Common Object Request Broker Architecture)에서 정의된 수준의 기능 제공을 목표로 하며, 컴포넌트 오브젝트간의 인터페이스 교섭, 생명 주기 관리(오브젝트 제거 여부 판단), 라이선스, 이벤트 서비스 등을 제공한다. 즉, 웜 바 이러스 개발자는 윈도즈 운영체제에서 사용되는 COM을 통해 하부 구조의 시스템 프로그래밍 없이, 시스템을 조작할 수 있는 프로그램을 쉽게 개발할 수 있게 되었다. 예를 들어, 웜 바이러스 개발자는 COM을 통해 마이크로소프트사의 아웃룩이나 이메일 구조에 대한 전문적인 지식 없이도, 아웃룩을 통해 이메일을 자동으로 발송할 수 있는 매크로를 쉽게 생성할 수 있다.
단일 커뮤니케이션 메커니즘에 의한 네트워크 접속률 증가는 대부분의 인터넷 사용자들이 동일한 메커니즘을 통해 인터넷이나 전자 우편에 접근하기 때문에, 웜 바이러스가 제작된 지 수초에서 수분이면 전세계 수백만명의 인터넷 사용자에게 웜 바이러스를 전파시킬 수 있다는 것이다. 인터넷이나 전자 우편에 접근하는 대부분의 인터넷 사용자들은 COM 기반의 커뮤니케이션 메커니즘을 이용하며, COM은 웜 바이러스 개발자에게 편의성도 제공하지만, COM이라는 동일한 구조를 통해 웜 바이러스를 급속도로 전파시킬 수 있는 방법을 제공한다. 경우에 따라 웜 바이러스에 감염된 클라이언트의 메일 서버는, 메일 클라이언트에서 웜에 의해 자동 발생되는 이메일 전송 요청으로 시스템이 폭주하거나 다운될 수도 있다.
기업과 개인 사이의 동일 기술 사용은, 웜 바이러스가 기업이나 개인을 가리지 않고 전파되는 것을 의미하며, 특히 기업에 보관되어 있는 고객 주소록을 통해 웜 바이러스가 전파되는 경우를 가정하면, 웜 바이러스의 파괴력과 전파 속도가 상상을 초월한다.
그러나, 상기와 같은 웜 바이러스에 의한 피해를 줄이는 실질적인 방법은 아직 존재하지 않는다. 즉, 기존 컴퓨터 바이러스 치료와 같이 웜 바이러스에 감염된 특정 시스템에 대하여, 해당 웜 바이러스를 진단하고 치료하는 기능은 기존 백신 프로그램에 이미 존재하지만, 이것은 웜 바이러스에 감염된 특정 컴퓨터 시스템을 치료하는 역할만 할 뿐, 웜 바이러스 확산을 방지하거나, 피해를 줄일 수 있는 방법은 아직까지 존재하지 않는다. 물론, 웜 바이러스 예보 시스템이나 인터넷 상의 서버를 통한 확산 방지 시스템이 일부 존재하기는 하지만, 웜 바이러스에 일단 감염된 컴퓨터에 대한 효과는 전무하다고 봐도 무방하다.
결국, 웜 바이러스에 감염된 컴퓨터 시스템에 대한 가장 효과적인 처리 방법은, 해당 컴퓨터에서 바이러스 감염 여부를 진단하고 치료한 후, 해당 컴퓨터에 대한 웜 바이러스 전파 경로를 추출하여, 웜 바이러스 치료 목표 시스템을 자동으로 선택하도록 하는 것이다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 웜 바이러스에 감염된 컴퓨터에서 바이러스 감염 여부를 진단하고 치료한 후, 해당 컴퓨터에 대한 웜 바이러스 전파 경로를 추출하여, 웜 바이러스 치료 목표 시스템을 자동으로 선택하도록 하는 방법 및 시스템을 제공하기 위한 것으로, 컴퓨터내 바이러스의 진단과 치료를 담당하며, 백신제공서버로부터 웜 전파 패턴 데이터를 수신 및 저장시키는 수단과, 상기 컴퓨터의 통신 포트를 감시하여 외부로 송신하거나 내부로 수신되는 네트워크 송·수신 데이터 정보를 추출 및 저장하는 수단과, 백신 프로그램이 상기 클라이언트 컴퓨터의 바이러스 감염 여부를 진단한 후, 감염이 확인된 웜 바이러스의 전파 패턴을 추출하며, 상기 추출된 웜 전파 패턴 데이터와 상기 네트워크 송·수신 데이터를 매칭하여 웜 전파 경로를 추출하는 수단과 상기 추출된 상기 웜 전파 경로에 대한 리스트 작성 및 출력시키는 수단을 구비하는 시스템을 제공함에 있다.
본 발명은 컴퓨터에 설치되어 있는 백신 프로그램이 웜 바이러스의 전파 경로를 추출하는 방법에 대한 것으로서, CD(Compact Disk)나 ESD(Electronic Software Delivery)의 형태로 공급되는 백신 프로그램과 ASP(Application Service Provider)로부터 전송되는 백신 프로그램이 컴퓨터에 탑재된 후, 컴퓨터 부팅과 동시에 백신 프로그램이 실행되어 해당 컴퓨터에서 외부로 송신하거나 내부로 수신되는 네트워크 송수신 데이터 정보를 암호화하여 저장하는 단계, 백신 프로그램이 백신 사용자 컴퓨터의 바이러스 감염 여부를 진단한 후, 감염이 확인된 웜 바이러스의 전파 패턴을 백신 제공자로부터 백신 프로그램으로 전송하는 단계, 백신 프로그램이 웜 전파 패턴을 참조하여(일례로, 상기 웜 전파 패턴과 상기 네트워크 송·수신 데이터를 매칭하여 웜 전파 경로를 추출함) 웜 전파 예측 경로와 웜 전파 확인 경로를 추출한 후, 웜 전파 경로가 존재하는 경우에 해당 경로를 백신 프로그램에 출력하는 단계, 그리고 상기 과정에서 웜 바이러스에 대한 알려지지 않은 새로운 전파 패턴이 존재하는 경우, 웜 전파 패턴을 갱신하는 단계로 구성되며, 갱신된 웜 전파 패턴은 백신 제공자의 백신 갱신부를 통해 모든 백신 프로그램이 공유한다.
또한, 본 발명은 컴퓨터내 바이러스의 진단과 치료를 담당하며, 백신제공서버로부터 웜 전파 패턴 데이터를 수신 및 저장시키는 수단과, 상기 컴퓨터의 통신 포트를 감시하여 외부로 송신하거나 내부로 수신되는 네트워크 송·수신 데이터 정보를 추출 및 저장하는 수단과, 백신 프로그램이 상기 클라이언트 컴퓨터의 바이러스 감염 여부를 진단한 후, 감염이 확인된 웜 바이러스의 전파 패턴을 추출하며, 상기 추출된 웜 전파 패턴 데이터와 상기 네트워크 송·수신 데이터를 매칭하여 웜 전파 경로를 추출하는 수단과 상기 추출된 상기 웜 전파 경로에 대한 리스트 작성 및 출력시키는 수단 및 신종 웜 바이러스 전파시, 상기 신종 웜 바이러스에 대한 전파 패턴 정보 데이터를 자동 업데이트 시키는 수단을 구비하는 시스템에 관한 것이다.
이하 첨부된 도면과 설명을 통해 본 발명의 특징을 상세히 설명한다. 단, 다음의 도면과 설명을 본 발명을 적절하게 설명하기 위한 대표적인 방법에 대한 것이며, 본 발명이 다음의 도면과 설명만으로 한정되는 것은 아니다.
도면1은 컴퓨터에 설치되어 있는 백신 프로그램(100)이 웜 바이러스 전파 경 로를 추출하기 위한 간단한 블록도이다.
백신 사용자의 컴퓨터에 설치되어 있는 백신 프로그램(100)은 바이러스 진단 치료부(105), 웜 전파 경로 추출부(110), 네트워크 감시부(120), 웜 전파 패턴 갱신 부(115), 그리고 웜 전파 경로 출력부(125) 등으로 구성되어 있으며, 인터넷을 통해 백신 제공자(150)와 연결되어 있다. 백신 제공자(150)는 백신 프로그램(100)이 최신 바이러스를 진단하고 치료할 수 있도록, 인터넷을 통해 최신 백신 패턴과 웜 전파 패턴을 백신 프로그램(100)으로 전송하여, 백신 프로그램(100)의 백신 패턴과 웜 전파 패턴을 가장 최신 바이러스까지 치료할 수 있는 것으로 갱신시킨다.
백신 제공자(150)는 백신 갱신부(155)를 포함하고 있으며, 백신 갱신부(155)에는 백신 프로그램(100)이 치료할 수 있는 모든 종류의 바이러스와, 가장 최근에 알려진 바이러스에 대한 정보를 저장하고 있는 백신 패턴 D/B(160)와, 마찬가지로 모든 종류의 웜 바이러스와, 가장 최근에 발견된 웜 바이러스의 알려진 전파 패턴에 대한 정보를 저장하고 있는 웜 전파 패턴 D/B(165) 등이 포함되어 있다. 백신 갱신부(155)는 상기 열거한 백신 패턴과 웜 전파 패턴을 백신 프로그램(100)으로 전송하여 갱신하는 역할을 수행하고, 각각의 백신 프로그램(100)에서 검증된 새로운 패턴 정보를 각각의 바이러스에 대하여 자동으로 업데이트하는 역할을 수행한다.
백신 프로그램(100)의 바이러스 진단 치료부(105)는 기존 백신 프로그 램(100)이 수행하던 바이러스의 진단과 치료를 담당하는 역할을 수행하며, 바이러스 진단과 치료에 필요한 백신 패턴과 웜 전파 패턴은 백신 제공자(150)의 백신 갱신부(155)로부터 전송 받아 갱신한다. 바이러스 진단 치료부(105)로 전송된 백신 패턴은 컴퓨터에 감염되어 있는 바이러스의 진단과 치료에 사용되며, 웜 전파 패턴은 백신 사용자의 컴퓨터에서 웜 바이러스의 전파 경로를 추출하는데 사용된다. 바이러스 진단 치료부(105)에 의한 웜 바이러스의 전파 경로 추출은 바이러스 진단 및 치료 과정과 동시에 수행되며, 이렇게 추출된 웜 바이러스 전파 경로를 웜 전파 예측 경로라고 한다.
백신 프로그램(100)의 네트워크 감시부(120)는 백신 프로그램(100)이 설치되어 있는 컴퓨터의 통신 포트를 감시하는 역할을 수행하여, 통신 포트는 0번에서 65536번까지 사용할 수 있다. 일반적으로 잘 알려져 있는 포트는 0번에서 1024번까지이며, 상기 포트에 대한 정의는 인터넷 할당 번호 관리 기관인 IANA(Internet Assigned Numbers Authority)에 의해 지정되어 있다. 예를 들어, 대표적인 웹 프로토콜인 HTTP(HyperText Transfer Protocol)는 80번과 8080번을 사용하며, 파일 전송 프로토콜인 FTP(File Transfer Protocol)는 20번과 21번을 사용하고, 메일 전송 프로토콜인 SMTP(Simple Mail Transfer Protocol)는 25번 포트를 사용한다. 반면, 대부분의 P2P 응용프로그램과 써드 파티(Third Party) 네트워크 응용프로그램들은 IANA가 지정한 포트와 겹쳐지지 않는 영역의 포트 번호를 사용하며, 코드레드(Code Red)와 같은 웜 바이러스 역시 나름대로의 고유 통신 포트 번호를 사용하고 있다.
상기와 같은 통신 포트들은 컴퓨터가 부팅됨과 동시에 항상 열려 있는 것이 아니라, 응용프로그램이나 프로세스들이 접속할 때 동적으로 통신 포트 번호가 부여된다. 이 때, 통신의 송신측과 수신측이 같은 통신 포트 번호로 바인드 되어 있지 않으면, 통신은 이루어지지 않는다.
따라서, 네트워크 감시부(120)는 백신 프로그램(100)이 설치되어 있는 컴퓨터에서 사용 가능한 65536개의 모든 통신 포트를 동시에 감시하는 것이 아니라, 시스템에 동적으로 할당되는 포트만을 선별적으로 감시하도록 함으로서, 컴퓨터에서 발생하는 네트워크 통신을 효율적으로 모니터링할 수 있다. 예를 들어, 네트워크 감시부(120)가 25번 통신 포트를 감시한다고 하는 것은 백신 프로그램(100)이 설치되어 있는 컴퓨터에서 외부로 발송하는 전자 우편을 모니터링 한다는 것을 의미하며, 20번이나 21번 포트를 감시한다고 하는 것은 FTP를 통해 전송되는 파일들을 모니터링하는 것을 의미한다. 이렇게 모니터링된 네트워크 송수신 데이터 정보는 송수신 목록 D/B(145)에 암호화되어 저장되며, 네트워크 송수신 데이터 정보는 각각의 통신 포트 번호의 특징에 의존한다. 그러나, 모든 종류의 네트워크 송수신 데이터 정보에는 해당 네트워크 송수신 데이터에 대한 송신자와 수신자에 대한 정보가 반드시 포함되어 있다.
한편, 네트워크 감시부(120)는 특정 통신 포트 번호에 대한 네트워크 감시를 제외시킬 수 있다. 즉, 네트워크 감시부(120)에 의한 모니터링 작업이, 백신 프로그램(100)이 설치되어 있는 컴퓨터의 통신 부하를 걸 수 있다고 판단되면, 네트워크 감시부(120)는 효율적인 네트워킹을 위해 특정 포트에 대한 감시를 도면2와 같이 배제시킬 수 있다.
도면2는 IANA가 지정한 포트 번호 중에서 인터넷 서핑에 주로 이용되는 HTTP가 사용하는 80/8080번 포트와, 백신 사용자가 사용하는 일부 P2P 응용프로그램의 통신 포트에 대한 네트워크 감시를 제외시키고 있다. 따라서, 도면2와 같이 설정된 백신 사용자의 컴퓨터는, 웹 브라우징 기본 프로토콜인 HTTP와 백신 사용자가 지정한 특정 포트에서 발생하는 데이터 통신 작업을 예외적으로 처리함으로서, 네트워크 활용의 효율성을 증대 시키고있다.
상기와 같은 과정을 통해 획득된 네트워크 송수신 데이터 정보는, 웜 전파 경로 추출부(110)에서 웜 전파 패턴을 통해 웜 바이러스가 실제 전파된 경로를 추출하는데 사용되며, 이렇게 추출된 웜 바이러스 전파 경로를 원 전파 추출 경로라고 한다.
웜 전파 경로 추출부(110)는 바이러스 진단 치료부(105)에서 획득된 웜 전파 예측 경로와 네트워크 감시부(120)와, 송수신 목록 D/B(145)를 통해 획득된 웜 전파 확인 경로를 통해 웜 전파 경로(140)를 생성하며, 이 과정에서 웜 전파 경로 추 출부(110)는 새로운 웜 전파 패턴이 있는지 확인한다.
일반적으로, 웜 바이러스의 전파 패턴은 모든 경우에 대하여 동일하지 않다. 즉, 어떤 컴퓨터에서 전파된 웜 바이러스의 전파 패턴이, 동일한 웜 바이러스에 대하여, 다른 컴퓨터에서 그대로 적용되지 않을 수도 있다.
웜 전파 경로 추출부(110)는 상기와 같이 랜덤한 웜 바이러스 전파 패턴에 대한 특징을 웜 전파 경로 추출 단계에서 실시간으로 확인한다. 만약 이 과정에서 알려져 있지 않은 새로운 웜 전파 패턴이 확인되면, 웜 전파 경로 추출부(110)는 웜 전파 패턴 갱신부(115)를 통해 새로운 웜 전파 패턴 정보를 백신 제공자(150)로 전송한다.
웜 전파 패턴 갱신부(115)는 웜 전파 경로 추출부(110)에서 새로운 원 전파 패턴이 확인된 경우에 대하여, 새로운 웜 전파 패턴을 백신 제공자(150)의 웜 전파 패턴으로 갱신하는 역할을 수행한다. 즉, 알려지지 않은 새로운 웜 전파 패턴이 발견되면, 웜 전파 패턴 갱신부(115)는 그 정보를 백신 제공자(150)의 백신 갱신부(115)를 통해 웜 전파 패턴을 갱신하고, 이렇게 갱신된 웜 전파 패턴은 다른 컴퓨터에서 웜 전파 경로를 추출하는데 재사용된다.
웜 전파 경로 출력부(125)는 웜 전파 경로 추출부(110)에서 획득된 웜 바이 러스의 전파 경로를 백신 프로그램(100)에 출력시키는 역할을 수행하며, 이렇게 출력된 웜 전파 경로는 해당 웜 바이러스가 전파된 다른 컴퓨터의 바이러스를 진단하고 치료하는 참조 정보로 사용된다.
도면3은 백신 사용자의 컴퓨터에 탑재되어 있는 백신 프로그램(100)이, 컴퓨터 부팅과 동시에 실행되어 해당 컴퓨터의 네트워크 통신 포트를 감시하고, 네트워크 송수신 데이터 정보를 추출하는 과정에 대한 간단한 흐름도이다.
백신 프로그램(100)이 탑재되어 있는 컴퓨터가 부팅되면(300), 백신 프로그램(100)은 주어진 방법에 따라 자동 실행 된 후(305), 네트워크 감시 모드로 작동한다(310). 네트워크 감시 모드는 백신 프로그램(100)의 네트워크 감시부(120)에 의해 수행되며, 네트워크 감시의 첫번째 단계는 컴퓨터에 네트워크 통신 포트 번호가 할당되는지를 감시하는 것이다.
네트워크 통신 포트는 전술한 바와 같이 동적으로 할당되며, 백신 프로그램(100)의 네트워크 감시부(120)는 운영 체제에서 발생하는 이벤트 메시지 등을 참조하여 현재 할당되는 네트워크 통신 포트 번호를 확인할 수 있다(315). 만약 컴퓨터에 통신 포트 번호가 동적으로 할당되었다면(320), 네트워크 감시부(120)는 현재 할당된 통신 포트 번호가 도면2와 같은 방법을 통해 예외 처리된 통신 포트 번호인지를 확인한다(325). 만약 현재 할당된 통신 포트 번호가 예외 처리된 통신 포트라 면(330), 네트워크 감시부(120)는 해당 통신 포트에서 네트워크 송수신 데이터 정보 추출과정을 생략한다. 그러나, 반대로 현재 할당된 통신 포트 번호가 예외 처리가 안된 통신 포트라면(335), 네트워크 감시부(120)는 해당 통신 포트 번호에 대한 네트워크 송수신 데이터 정보를 추출한다(340).
상기와 같은 과정을 통해 추출된 네트워크 송수신 정보는 암호화하여 송수신 목록 D/B(145)에 저장된다(345). 그러나, 이 정보를 무한정 백신 사용자 컴퓨터에 저장할 수는 없다. 따라서, 백신 프로그램(100)은 주어진 백업 정책에 따라 암호화하여 저장한 네트워크 송수신 데이터 정보를 주기적으로 백업한다(350).
암호화되어 저장된 네트워크 송수신 데이터 정보에 대한 백업 방법은, 슬레이브 하드디스크에 백업하는 방법, 이동식 저장 장치에 백업하는 방법, LAN(Local Area Network)상의 지정된 저장 공간에 백업하는 방법, 백신 사용자가 지정한 인터넷 상의 웹하드에 백업하는 방법, 그리고, 백신 제공자(150)의 사용자 공간에 백업하는 방법 등이 있다.
따라서, 컴퓨터에 저장되어 있는 네트워크 송수신 데이터 정보가 주어진 백업 정책에 따라 백업해야만 하는 경우라면(355), 네트워크 감시부(120)는 상기 정책에 의거, 암호화되어 저장되어 있는 네트워크 송수신 데이터 정보를 백업한다(360). 이렇게 백업된 정보는 바이러스에 의해 백신 사용자 컴퓨터의 하드디스크 가 포맷된 경우에도 완벽하게 웜 바이러스 전파 경로를 추출할 수 있는 방법을 제공한다.
상기와 같은 방법을 통해 네트워크 송수신 데이터 정보에 대한 백업 작업이 수행되면, 네트워크 감시부(120)는 사용자에 의해 네트워크 감시 모드가 강제로 해제되었는지 확인한다(365). 백신 프로그램(100)의 네트워크 감시 모드가 해제되는 경우는 사용자가 백신 프로그램(100)을 임의로 종료한 경우와, 컴퓨터의 전원을 차단한 경우 등이며(370), 이 경우에도 백신 프로그램(100)은 암호화하여 저장되어 있는 네트워크 송수신 데이터 정보를 주어진 백업 정책에 따라 백업함으로서(375), 부팅과 동시에 활동하는 바이러스에 대해서 네트워크 송수신 데이터 정보를 안전하게 관리한다. 그리고, 상기와 같은 네트워크 감시 작업은, 백신 프로그램(100)의 네트워크 감시 모드가 강제 해제되지 않는 한, 중단 없이 지속적으로 수행한다.
도면4는 백신 프로그램(100)이 바이러스를 진단한 후, 백신 제공자(100)의 백신 갱신부(155)에서 최신 웜 전파 패턴을 전송 받는 과정에 대한 간단한 흐름도이다.
백신 프로그램(100)이 백신 제공자(150)로부터 전송 받은 백신 패턴을 통해 백신 사용자 컴퓨터에 대한 바이러스 감염 여부를 진단하면(400), 백신 프로그램(100)에는 해당 컴퓨터에 감염되어 있는 바이러스 목록이 출력된다.
상기와 같은 과정을 통해 백신 사용자 컴퓨터에 감염되어 있는 바이러스 목록이 출력되면, 바이러스 진단 치료부(105)는 출력된 바이러스 목록에서 웜 바이러스가 존재하는지 확인한다(405).
만약 상기 과정에서 백신 사용자의 컴퓨터에 웜 바이러스가 감염되어 있음을 확인할 수 없다면(410), 백신 프로그램(100)은 도면3과 같은 과정을 통해 암호화하여 송수신 목록 D/B(145)에 저장한 네트워크 송수신 데이터 정보와, 백업 정책에 따라 지정된 백업 공간에 저장되어 있는 백업 데이터를 삭제한다(415). 즉, 바이러스 진단 과정에서 알려진 웜 바이러스가 발견되지 않았다면, 해당 컴퓨터에 대한 웜 전파 경로 추출은 더 이상 의미가 없으며, 백신 프로그램(100)은 백신 사용자 컴퓨터 시스템 운용의 효율성을 극대화하기 위해, 현 바이러스 진단 전까지 저장된 모든 네트워크 송수신 데이터 정보를 삭제한다.
그러나, 백신 사용자의 컴퓨터에 웜 바이러스가 감염되어 있음을 확인하면(420), 백신 프로그램(100)은 백신 제공자(150)의 백신 갱신부(155)로 하여금 백신 사용자 컴퓨터에 감염되어 있는 웜 바이러스에 대한 웜 전파 패턴 전송을 요구한다(425). 그러면, 백신 제공자(150)의 백신 갱신부(155)는 백신 사용자의 컴퓨터에 감염되어 있는 웜 바이러스에 대한 웜 전파 패턴을 선택한 후, 이 웜 전파 패턴을 백신 프로그램(100)으로 전송한다(430).
도면5는 백신 제공자(150)의 백신 갱신부(155)로부터 백신 프로그램(100)으로 전송된 웜 전파 패턴을 참조하여, 웜 전파 예측 경로와 웜 전파 확인 경로를 추출한 후, 실제 웜 바이러스가 전파된 경로를 백신 프로그램(100)에 출력하는 과정에 대한 간단한 흐름도이다.
도면4와 같은 과정을 통해 백신 사용자의 컴퓨터에 대한 바이러스 감염여부를 진단한 후, 백신 제공자(150)의 백신 갱신부(155)를 통해 웜 전파 패턴이 백신 프로그램(100)으로 전송되면(500), 백신 프로그램(100)의 바이러스 진단 치료부(105)는 수신된 웜 전파 패턴을 참조하여 백신 사용자 컴퓨터의 시스템 정보로부터 웜 바이러스가 전파된 웜 전파 예측 경로를 추출한다(505). 예를 들어, 백신 사용자 컴퓨터에 감염된 웜 바이러스가 주소록에 있는 메일주소와 받은 편지함에 있는 메일 주소를 통해 전파되는 특징을 가지고 있다면, 백신 프로그램(100)은 백신 사용자 컴퓨터에 설치되어 있는 메일 관련 응용프로그램으로부터 주소록과 받은 편지함을 통해 해당 웜 바이러스가 전파되었을 것이라고 예측되는 경로를 추출하며, 이것을 웜 전파 예측 경로라고 한다.
웜 전파 예측 경로 추출이 완료되면, 웜 전파 경로 추출부(110)는 상기 웜 전파 패턴을 다시 참조하여 도면3과 같은 과정을 통해 저장되어 있는 네트워크 송수신 데이터 정보로부터 웜 바이러스가 전파된 웜 전파 확인 경로를 추출한 다(510). 예를 들어, 백신 사용자 컴퓨터에 감염된 웜 바이러스가 How are you라는 제목과 virus.vbs라는 첨부 파일을 통해 전파되는 경우, 웜 전파 경로 추출부(110)는 도면3의 과정을 통해 저장되어 있는 네트워크 송수신 데이터 정보로부터 상기 조건을 만족하는 모든 정보를 추출함으로서, 웜이 전파되었다고 확인된 경로를 추출하며, 이것을 웜 전파 확인 경로라고 한다.
상기와 같은 과정을 통해 웜 전파 예측 경로와 웜 전파 확인 경로가 추출되면, 웜 전파 경로 추출부(110)는 웜 전파 예측 경로와 웜 전파 확인 경로를 통해 실제 웜 바이러스가 전파된 웜 전파 경로를 추출하며(515), 이 과정에서 웜 바이러스가 백신 사용자 컴퓨터로 유입된 경로와, 외부로 발송된 경로를 포함하는 실제 웜 전파 경로가 확인된다면(520), 웜 전파 경로 추출부(110)는 웜 전파 경로 출력부(125)를 통해 도면6과 같이 해당 웜 바이러스가 전파된 경로를 백신 프로그램(100)에 출력한다(525).
도면6과 같이 백신 프로그램(100)에 출력된 웜 전파 경로는 해당 백신 프로그램(100)의 웜 전파 경로 처리 정책에 따라, 백신 사용자의 확인을 거친 후, 웜 전파 경로로 경고 메시지를 보내거나, 해당 웜 바이러스를 치료할 수 있는 백신을 전송하는 등, 다양한 서비스 방법을 통해 해당 웜 바이러스가 감염된 모든 컴퓨터를 치료하고, 웜 바이러스의 확산을 방지하는 목적으로 사용된다.
그러나, 반대로 웜 바이러스가 유입된 경로, 또는 외부로 발송된 경로 등과 같은 실제 웜 전파 경로를 확인할 수 없다면(530), 웜 전파 출력부(125)는 사용자 메시지를 출력한 후(535), 도면3과 같은 과정을 통해 저장되어 있는 네트워크 송수신 데이터 정보를 삭제한다(540).
도면7은 백신 사용자의 컴퓨터에 웜 전파 경로를 출력하는 과정에서, 해당 웜 바이러스에 대한 알려지지 않은 새로운 전파 패턴이 존재하는 경우, 새로운 웜 전파 패턴을 갱신하고, 그것을 모든 백신 프로그램(100)이 공유하는 과정에 대한 간단한 흐름도이다.
도면5와 같은 과정을 통해 백신 사용자 컴퓨터에 감염된 웜 바이러스에 대한 웜 전파 경로가 백신 프로그램(100)에 출력되면(700), 웜 전파 패턴 갱신부(115)는 도면5의 실제 웜 전파 경로 추출 과정에서 알려지지 않은 새로운 웜 전파 패턴이 존재하는지 확인한다(705).
상기 과정은 웜의 전파 패턴이 복잡한 경우와, 웜 바이러스에 잠복해 있기 때문에 아직 알려지지 않은 숨겨진 웜 코드가 존재하는 경우에도, 해당 웜 바이러스를 진단, 치료, 그리고 경로 추적하는 과정에서 전파 패턴을 실시간 갱신하기 위한 것이다. 따라서, 도면5와 같이 웜 바이러스의 실제 전파 경로를 추출하는 과정에서, 알려지지 않은 새로운 웜 전파 패턴이 존재하지 않는다면, 웜 전파 패턴 갱신 과정은 수행되지 않지만, 만약 상기 과정에서 알려지지 않은 새로운 웜 전파 패 턴이 존재한다면(710), 웜 전파 패턴 갱신부(115)는 해당 웜 전파 패턴에 대한 정보를 생성한 후(715), 백신 제공자(150)에게 전송한다(720).
백신 제공자(150)에 알려지지 않은 새로운 웜 바이러스 전파 패턴이 수신되면, 백신 갱신부(155)는 수신된 새로운 웜 전파 패턴이 정말로 존재하는지 확인한다. 만약 알려지지 않은 새로운 웜 전파 패턴이 실제로 존재한다면(725), 백신 갱신부(155)는 새로운 웜 전파 패턴 정보를 해당 웜 바이러스의 웜 전파 패턴에 업데이트하지만(730), 반대로 수신된 웜 전파 패턴 정보가 실제로 존재하지 않는 경우이거나, 기존 웜 전파 패턴의 조합으로 만들어질 수 있는 경우에는 웜 전파 패턴 정보를 업데이트하지 않는다(735).
본 발명에 따르면, 웜 바이러스에 감염된 컴퓨터에서 바이러스 감염 여부를 진단하고 치료한 후, 해당 컴퓨터에 대한 웜 바이러스 전파 경로를 추출하여, 웜 바이러스 치료 목표 시스템을 자동으로 선택하도록 함으로써, 웜 바이러스 확산을 방지하거나, 피해를 최소화시키는 장점이 있다.
Claims (2)
- 클라이언트 컴퓨터의 통신 포트를 감시하여 외부로 송신하거나 내부로 수신되는 네트워크 송수신 데이터 정보를 추출 및 저장하는 네트워크 감시부;백신 프로그램이 클라이언트 컴퓨터의 바이러스 감염 여부를 진단한 후, 감염이 확인된 데이터가 상기 네트워크 감시부를 통해 추출 및 저장된 클라이언트 컴퓨터의 통신 포트를 통해 외부로 송신하거나 내부로 수신된 네트워크 송수신 데이터 정보에 포함되면, 상기 네트워크 송수신 데이터 정보를 통해 상기 감염이 확인된 데이터의 외부 송신 및 내부 수신 정보를 추출하는 추출부; 및상기 추출부로부터 추출된 상기 감염이 확인된 데이터의 외부 송신 및 내부 수신 정보를 출력시키는 출력부;를 구비하여 이루어지는 것을 특징으로 하는 웜 바이러스의 전파 경로 추출 장치.
- 클라이언트 컴퓨터의 통신 포트를 감시하여 외부로 송신하거나 내부로 수신되는 네트워크 송수신 데이터 정보를 추출 및 저장하는 기능; 및클라이언트 컴퓨터의 바이러스 감염 여부를 진단한 후, 감염이 확인된 데이터가 상기 클라이언트 컴퓨터의 통신 포트를 통해 외부로 송신하거나 내부로 수신된 네트워크 송수신 데이터 정보에 포함되면, 상기 네트워크 송수신 데이터 정보를 통해 상기 감염이 확인된 데이터의 외부 송신 및 내부 수신 정보를 추출하고, 상기 감염이 확인된 데이터의 외부 송신 및 내부 수신 정보를 출력시키는 기능;을 실행하기 위한 프로그램을 기록한 것을 특징으로 하는 기록매체.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060108108A KR100862282B1 (ko) | 2006-11-03 | 2006-11-03 | 웜 바이러스의 전파 경로 추출 장치와 이를 위한 프로그램 기록매체 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060108108A KR100862282B1 (ko) | 2006-11-03 | 2006-11-03 | 웜 바이러스의 전파 경로 추출 장치와 이를 위한 프로그램 기록매체 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020010068344A Division KR100829258B1 (ko) | 2001-11-03 | 2001-11-03 | 웜 바이러스의 전파 경로 추출 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060130530A KR20060130530A (ko) | 2006-12-19 |
KR100862282B1 true KR100862282B1 (ko) | 2008-10-13 |
Family
ID=37810914
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060108108A KR100862282B1 (ko) | 2006-11-03 | 2006-11-03 | 웜 바이러스의 전파 경로 추출 장치와 이를 위한 프로그램 기록매체 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100862282B1 (ko) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101710086B1 (ko) * | 2015-10-16 | 2017-02-24 | 국방과학연구소 | 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법 및 장치 |
CN117240623B (zh) * | 2023-11-13 | 2024-02-02 | 杭州海康威视数字技术股份有限公司 | 一种保证业务连续性的蠕虫病毒阻断系统、方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000063357A (ko) * | 2000-06-29 | 2000-11-06 | 오경수 | 무선 바이러스 방역 시스템 및 방역 방법 |
KR20000063484A (ko) * | 2000-07-15 | 2000-11-06 | 이상진 | 네트워크 기반 바이러스 검사 겸용 광고 방법 및 시스템 |
KR20010029480A (ko) * | 1996-09-05 | 2001-04-06 | 워긴 스티븐 엠 | 데이터베이스 서버 및 메일 서버에 사용되는 앤티바이러스 에이 |
-
2006
- 2006-11-03 KR KR1020060108108A patent/KR100862282B1/ko not_active IP Right Cessation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010029480A (ko) * | 1996-09-05 | 2001-04-06 | 워긴 스티븐 엠 | 데이터베이스 서버 및 메일 서버에 사용되는 앤티바이러스 에이 |
KR20000063357A (ko) * | 2000-06-29 | 2000-11-06 | 오경수 | 무선 바이러스 방역 시스템 및 방역 방법 |
KR20000063484A (ko) * | 2000-07-15 | 2000-11-06 | 이상진 | 네트워크 기반 바이러스 검사 겸용 광고 방법 및 시스템 |
Non-Patent Citations (3)
Title |
---|
공개특허공보 특2000-0063357호, 2000.11.06. 공개 |
공개특허공보 특2000-0063484호, 2000.11.06. 공개 |
공개특허공보 특2001-0029480호, 2001.04.06. 공개 |
Also Published As
Publication number | Publication date |
---|---|
KR20060130530A (ko) | 2006-12-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Datta et al. | Valve: Securing function workflows on serverless computing platforms | |
US7769731B2 (en) | Using file backup software to generate an alert when a file modification policy is violated | |
US9998471B2 (en) | Highly accurate security and filtering software | |
US8667581B2 (en) | Resource indicator trap doors for detecting and stopping malware propagation | |
US20170230421A1 (en) | System and method for providing network security to mobile devices | |
US11943238B1 (en) | Process tree and tags | |
US20030037138A1 (en) | Method, apparatus, and program for identifying, restricting, and monitoring data sent from client computers | |
JP2017508220A (ja) | ランタイム中のインテグリティの保証およびリブートレスな更新 | |
CN108027856B (zh) | 使用可信平台模块来建立攻击信息的实时指示器 | |
KR100862282B1 (ko) | 웜 바이러스의 전파 경로 추출 장치와 이를 위한 프로그램 기록매체 | |
Najjar et al. | A distributed multi-approach intrusion detection system for web services | |
KR100829258B1 (ko) | 웜 바이러스의 전파 경로 추출 방법 | |
Kaur et al. | An empirical analysis of crypto-ransomware behavior | |
Gupta et al. | A secure and lightweight approach for critical data security in cloud | |
Ko et al. | Trends in Mobile Ransomware and Incident Response from a Digital Forensics Perspective | |
Komninos et al. | A worm propagation model based on scale free network structures and people's email acquaintance profiles | |
Michaud | Malicious use of omg data distribution service (dds) in real-time mission critical distributed systems | |
KR102547869B1 (ko) | 디코이 샌드박스를 이용한 멀웨어 탐지 방법 및 장치 | |
JP5554766B2 (ja) | P2pネットワーク・ソフトウェア・アプリケーションの存在を識別するシステム | |
KR20030003640A (ko) | 웜 바이러스 경고 메일 및 웜 백신 자동 발송 방법 및시스템 | |
Cox et al. | Redflag: Reducing inadvertent leaks by personal machines | |
Link | Server-based Virus-protection On Unix/Linux | |
Barwinski | Taxonomy of spyware and empirical study of network drive-by-downloads | |
ÇELİKTAŞ | ISTANBUL TECHNICAL UNIVERSITY★ INFORMATICS INSTITUTE | |
KR20030021859A (ko) | 무선 웜 바이러스 경고 메시지 자동 발송 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A107 | Divisional application of patent | ||
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20121004 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20131002 Year of fee payment: 6 |
|
LAPS | Lapse due to unpaid annual fee |