KR101036750B1 - 좀비행위 차단 시스템 및 방법 - Google Patents

좀비행위 차단 시스템 및 방법 Download PDF

Info

Publication number
KR101036750B1
KR101036750B1 KR1020110000572A KR20110000572A KR101036750B1 KR 101036750 B1 KR101036750 B1 KR 101036750B1 KR 1020110000572 A KR1020110000572 A KR 1020110000572A KR 20110000572 A KR20110000572 A KR 20110000572A KR 101036750 B1 KR101036750 B1 KR 101036750B1
Authority
KR
South Korea
Prior art keywords
zombie
behavior
traffic
abnormal
type
Prior art date
Application number
KR1020110000572A
Other languages
English (en)
Inventor
한승철
Original Assignee
주식회사 엔피코어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔피코어 filed Critical 주식회사 엔피코어
Priority to KR1020110000572A priority Critical patent/KR101036750B1/ko
Application granted granted Critical
Publication of KR101036750B1 publication Critical patent/KR101036750B1/ko
Priority to US13/136,725 priority patent/US9060016B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Abstract

본 발명에 따른 네트워크 서비스가 제공되는 컴퓨터에서 수행되는 좀비행위 차단 장치가 개시된다. 본 발명에 따른 좀비행위 차단장치는 좀비행위 유형별 트래픽 특성 및 보안정책이 저장되는 보안정책 저장부, 상기 컴퓨터상에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 트래픽 감시부, 상기 비정상 트래픽을 유발하는 비정상 프로세스를 파악하고, 상기 보안정책 저장부에 저장된 좀비행위 유형별 트래픽 특성을 기초로, 상기 비정상 트래픽을 분석하여 상기 비정상 프로세스와 연관된 좀비행위 유형을 탐지하는 프로세스 및 트래픽 분석부 및 상기 좀비행위 유형이 탐지된 프로세스에 대하여, 상기 탐지된 좀비행위 유형에 대하여 정의된 보안정책에 따라 처리하는 프로세스 처리부를 포함하여 구성된다. 또한 본 발명의 다른 측면에 따른 좀비행위 차단장치는 시스템 프로세스와 관련된 파일의 변형 여부를 탐지하여 차단하는 시스템 프로세스 감시부 및 처리부를 포함하여 구성된다.

Description

좀비행위 차단 시스템 및 방법{SYSTEM FOR BLOCKING ZOMBIE BEHAVIOR AND METHOD FOR THE SAME}
본 발명은 좀비행위 차단장치 및 방법에 관한 것으로, 더욱 상세하게는 컴퓨터에서 동작하면서 좀비에 감염된 프로세스를 탐지하여 프로세스 및 트래픽을 차단하는 장치 및 방법에 관한 것이다.
악성 소프트웨어인 봇에 감염된 다수의 컴퓨터들이 네트워크로 연결되어 있는 형태를 봇넷(Botnet)이라고 한다. 즉, 봇들을 자유자재로 통제하는 권한을 가진 봇 마스터에 의해 원격 조종되며 각종 악성행위를 수행할 수 있는 수천에서 수십만 대의 악성 프로그램 봇에 감염된 컴퓨터들이 네트워크로 연결되어 있는 형태를 봇넷이라고 한다.
봇넷은 1993년에 EggDrop으로 처음 나온 이후로 최근 10년간 Forbot, PBot, Toxt 등으로 진화한 봇이 출현하였으며, 최근에는 매일 같이 많은 변종이 출현하면서 대응을 어렵게 하고 있다. 전 세계적으로 봇 좀비들에게 명령을 내리고 제어하기 위한 C&C(Command & Control) 서버와 악성 봇은 광범위하게 분포하고 있다. 특히 초고속 인터넷이 잘 갖추어진 경우 강력한 DDoS(Distributed Denial Of Service)와 같은 공격이 가능하기 때문에 국내는 봇넷 감염에 취약하다.
세계적으로 봇에 감염된 좀비 컴퓨터가 지속적으로 증가하고 있으며 봇넷의 규모 또한 커지고 있다. 전 세계 컴퓨터의 약 11% 정도인 1억 ~ 1억 5천 컴퓨터가 봇 악성코드에 감염되어 공격 수행에 사용될 것으로 예상된다. 특히 봇넷으로 인한 공격은 기업의 서비스 장애 유발을 통한 협박과 같은 범죄화 양상을 띠고 있다는 점에서 더욱 심각하다.
초기의 봇넷은 구조가 유연하고 널리 사용되는 IRC(Internet Relay Chat) 특성을 이용한 IRC 봇넷이 주를 이루었지만, 탐지 및 대응을 어렵게 하는 웹 프로토콜인 HTTP기반의 봇넷이나, 모든 좀비들이 C&C 서버가 될 수 있는 P2P 봇넷으로 진화하고 있다. 이러한 봇넷에 대응하기 위한 기술은 적용 대상에 따라, 컴퓨터상에서 봇 행동을 기반으로 탐지하여 분석하는 호스트 기반과 봇 좀비 컴퓨터 및 C&C(Command & Control) 서버부터의 네트워크 트래픽을 기반으로 탐지하고 분석하는 네트워크 기반의 기술로 구분된다.
최근 들어, 봇넷의 심각성의 부각과 함께 봇넷을 차단하기 위한 연구가 활발해지고 있지만, 주로 IRC 봇넷을 중심으로 진행되어 왔으며, HTTP 및 P2P 봇넷에 대해서는 현황 및 특성 정도만 다루어 왔다. IRC 봇넷에 대한 기존 대부분의 연구들은 채널 암호화, 스텔스 스캐닝, 명령/제어 패턴 변경, DNS 스푸핑 등을 통해 회피가 가능하고 오탐발생의 소지가 있으며, 최근 등장하는 HTTP/P2P 신규 봇넷에 대한 대응이 미흡한 문제가 있다.
상기와 같은 문제점을 해결하기 위하여, 본 발명의 목적은 보다 정교하게 봇넷의 행위를 분석하여 오탐발생을 줄이고 신규 봇넷에 대응할 수 있는 좀비행위 차단장치를 제공하는 것이다.
상기와 같은 문제점을 해결하기 위하여, 본 발명의 다른 목적은 보다 정교하게 봇넷의 행위를 분석하여 오탐발생을 줄이고 신규 봇넷에 대응할 수 있는 좀비행위 차단 방법을 제공하는 것이다.
상기의 목적을 달성하기 위한 본 발명은, 네트워크에 연결된 컴퓨터에서 수행되는 좀비행위 차단장치로, 좀비행위 유형별 트래픽 특성 및 보안정책이 저장되는 보안정책 저장부, 상기 컴퓨터상에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 트래픽 감시부, 상기 비정상 트래픽을 유발하는 비정상 프로세스를 파악하고, 상기 보안정책 저장부에 저장된 좀비행위 유형별 트래픽 특성을 기초로, 상기 비정상 트래픽을 분석하여 상기 비정상 프로세스와 연관된 좀비행위 유형을 탐지하는 프로세스 및 트래픽 분석부 및 상기 좀비행위 유형이 탐지된 프로세스에 대하여, 상기 탐지된 좀비행위 유형에 대하여 정의된 보안정책에 따라 처리하는 프로세스 처리부를 포함하는 것을 특징으로 하는 좀비행위 차단장치를 제공한다.
여기서, 상기 좀비행위 차단장치는 호스트 컴퓨터의 네트워크 드라이버단에 위치하는 것을 특징으로 한다.
또한 여기서, 상기 좀비행위 유형은 DDoS(Distributed Denial of Service) 공격, IP 스캐닝, 포트 스캐닝 및 스푸핑 공격(Spoofing Attack) 중 적어도 하나를 포함하는 것을 특징으로 한다.
또한 여기서, 상기 좀비행위 유형은 기타유형이 포함되고, 상기 비정상 프로세스에 대한 좀비행위 유형이 탐지되지 않은 경우, 상기 비정상 프로세스에 대해서는 상기 기타유형에 대하여 정의된 보안정책을 적용하는 것을 특징으로 한다.
또한 여기서, 상기 보안정책 저장부에 저장되는 좀비행위 유형별 트래픽 특성은, 좀비행위 유형별 트래픽 임계치와 트래픽 임계치 초과 허용시간을 포함하는 것을 특징으로 한다.
또한 여기서, 상기 프로세스 및 트래픽 분석부는, 상기 보안정책 저장부에 저장된 좀비 행위 유형별 임계치를 기초로 상기 비정상 프로세스가 유발하는 비정상 트래픽 특성에 대응하는 좀비행위 유형을 검색하고, 상기 비정상 프로세스에 의해서 유발된 상기 비정상 트래픽이 상기 검색된 좀비행위 유형에 해당하는 트래픽 임계치 초과 허용시간을 초과하여 지속되는 경우, 상기 비정상 프로세스가 상기 검색된 유형의 좀비행위와 연관된 것으로 판단함으로써, 상기 비정상 프로세스와 연관된 좀비행위 유형을 탐지하는 것을 특징으로 한다.
또한 여기서, 상기 미리 정의된 기준치는 상기 보안정책 저장부에 정의되는 것을 특징으로 한다.
또한 여기서, 신규 좀비행위 유형 저장부를 더 포함하고, 상기 프로세스 및 트래픽 분석부는 상기 비정상 프로세스와 연관된 좀비행위 유형을 탐지하지 못한 경우, 상기 비정상 프로세스에 의해서 유발된 상기 비정상 트래픽 특성을 상기 신규 좀비행위 유형 저장부에 저장하는 것을 특징으로 한다.
또한 여기서, 상기 비정상 프로세스와 관련하여 발생된 이벤트를 저장하는 이벤트 로그 저장부를 더 포함하는 것을 특징으로 한다.
또한 여기서, 상기 좀비행위 유형별 트래픽 특성 및 보안정책은 ESM(Enterprise Security Management) 서버를 통하여 배포되고 업데이트되는 것을 특징으로 한다.
상기의 다른 목적을 달성하기 위한 본 발명은, 네트워크에 연결된 컴퓨터의 네트워크 드라이버단에서 수행되는 좀비행위 차단 방법으로, 상기 컴퓨터상에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 단계, 상기 비정상 트래픽을 유발하는 비정상 프로세스를 파악하고, 보안정책 저장부에 저장된 좀비행위 유형별 트래픽 특성을 기초로, 상기 비정상 트래픽을 분석하여 상기 비정상 프로세스와 연관된 좀비행위 유형을 파악하는 단계, 상기 비정상 프로세스에 대한 좀비행위 유형이 파악된 경우, 상기 보안정책 저장부에 정의된 해당 좀비유형에 대한 보안정책에 따라 상기 비정상 프로세스를 처리하는 단계, 상기 비정상 프로세스가 유발하는 비정상 트래픽 특성을 갖는 좀비행위 유형이 파악되지 않는 경우, 상기 보안정책 정의부에 정의된 기타유형에 대하여 정의된 보안정책에 따라 상기 비정상 프로세스를 처리하는 단계 및 상기 좀비행위 유형이 파악되지 않은 프로세스에 의해서 유발된 상기 트래픽 특성을 신규 좀비행위 유형 저장부에 저장하는 단계를 포함하는 것을 특징으로 하는 좀비행위 차단방법을 제공한다.
여기서, 상기 보안정책 저장부에 저장되는 좀비행위 유형별 트래픽 특성은, 좀비행위 유형별 트래픽 임계치와 트래픽 임계치 초과 허용시간을 포함하고, 상기 비정상 프로세스와 연관된 좀비행위 유형을 탐지하는 방법은, 상기 보안정책 저장부에 저장된 좀비 행위 유형별 임계치를 기초로 상기 비정상 프로세스에 의해서 유발된 상기 비정상 트래픽 특성에 대응하는 좀비행위 유형을 검색하고, 상기 비정상 프로세스가 유발하는 비정상 트래픽이 상기 검색된 좀비행위 유형에 해당하는 트래픽 임계치 초과 허용시간을 초과하여 지속되는 경우, 상기 프로세스는 상기 검색된 유형의 좀비행위와 연관된 것으로 판단하는 것을 특징으로 한다.
또한 여기서 상기 비정상 프로세스와 관련하여 발생된 이벤트 로그를 저장하는 단계를 더 포함하고, 상기 좀비행위 유형별 트래픽 특성 및 보안정책은 ESM(Enterprise Security Management) 서버를 통하여 배포되고 업데이트되고, 상기 이벤트 로그 및 신규 좀비 유형 저장부에 저장된 비정상 프로세스에 의해서 유발된 트래픽 특성은 상기 보안정책 ESM 서버로 전송되는 것을 특징으로 한다.
상기의 목적을 달성하기 위한 본 발명의 다른 측면은, 컴퓨터의 운영체제에서 사용하는 시스템 프로세스들에 대한 참조정보가 저장되는 시스템 프로세스 참조목록 저장부, 상기 시스템 프로세스에 대한 참조정보를 기초로, 컴퓨터에서 실행중인 시스템 프로세스 및 상기 프로세스와 관련된 하위 프로세스 및 파일들을 분석하여, 상기 참조정보의 내용과 차이가 있는 경우 상기 시스템 프로세스를 변형된 프로세스로 판단하는 시스템 프로세스 감시부, 상기 비정상 프로세스 감시부에서 변형된 프로세스가 탐지된 경우, 상기 변형된 프로세스, 관련된 하위 프로세스 및 관련 파일에 대하여 보안정책에 따라 처리하는 변형 프로세스 처리부를 포함하는 것을 특징으로 하는 좀비행위 차단장치를 제공한다.
여기서, 상기 시스템 프로세스와 연관된 파일들의 확장자는 DLL, SYS, 및 EXE 중 적어도 하나이며, 상기 변형의 유형에는 상기 시스템 프로세스와 연관된 파일의 변경 및 추가가 포함되는 것을 하는 것을 특징으로 한다.
상술한 바와 같은 본 발명에 따른 좀비행위 차단장치 및 방법을 이용하면, 비정상 트래픽을 탐지하고 관련 프로세스를 파악하여 분석함으로써, 좀비 행위를 하는 프로세스를 차단하고, 또한 좀비 행위 유형별 트래픽 특성을 분석하여 새로이 발생한 좀비에 대해서도 대응할 수 있는 효과가 있다.
도 1은 본 발명에 따른 좀비행위 차단장치의 전반적인 구성을 개략적으로 보여주는 개념도이다.
도 2는 본 발명의 일 실시예에 따른 좀비행위 차단장치의 구성 및 구성요소간의 연결을 보여주는 블록도이다.
도 3은 본 발명에 따른 좀비행위를 차단하기 위한 보안정책의 좀 더 상세한 구성의 예를 보여주는 개념도이다.
도 4는 본 발명의 실시예에 따른 트래픽 및 프로세스의 감시를 통하여 좀비행위를 차단하는 과정을 보여주는 시퀸스 차트이다.
도 5는 본 발명의 실시예에 따른 시스템 프로세스를 감시하여 좀비행위를 차단하기 위한 장치를 보여주는 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
본 발명은 컴퓨터상의 좀비행위 프로세스를 차단하기 위한 장치와 방법을 제공한다. 특히 본 발명에 따른 좀비행위를 차단하는 방법은 좀비행위의 유형별 트래픽 특성을 분류하여, 해당 좀비행위 유형과 유사한 트래픽을 발생시키는 프로세스에 대한 차단정책을 적용하는 것이다. 이와 같은, 좀비행위 유형에 따라 프로세스를 차단하는 방식은 패턴분석을 통한 좀비행위 차단방법에 비하여, 알려지지 않은 패턴을 갖는 새로운 좀비행위 프로세스도 차단할 수 있으므로 신규 또는 변종의 좀비행위에 대해서도 추가적인 패턴의 업데이트 없이 차단이 가능하다.
또한 본 발명에 따른 좀비행위 프로세스를 감시하고 차단하는 장치는 컴퓨터 호스트의 네트워크 드라이버단에서 수행 가능하므로, 네트워크 게이트웨이 단이나 스위치에서 패킷을 수집하여 과도한 트래픽을 유발하는 좀비 컴퓨터를 탐지하거나, 서버와의 통신 메시지를 분석하여 차단하는 방식에 대비하여 좀 더 즉각적이고 정교하게 좀비행위 프로세스를 탐지하고 관련된 트래픽을 차단할 수 있다.
이하 본 발명에 따른 좀비행위 차단장치의 전반적인 구성과 차단방법을 설명하고, 좀비행위를 차단하기 위한 차단정책에 대하여 좀 더 자세하게 설명하기로 한다. 또한 시스템프로세스를 감시하여 좀비행위를 차단하는 방법에 대해서도 살펴보기로 한다.
좀비 행위 차단장치의 구성
도 1은 본 발명에 따른 좀비행위 차단장치의 전반적인 구성을 개략적으로 보여주는 개념도이다.
도 1을 참조하면 본 발명에 따른 좀비행위 차단장치는 클라이언트의 호스트 컴퓨터에서 동작하는 좀비행위 차단엔진(100), ESM 서버(200) 및 이벤트 로그 데이터베이스(210)를 포함하여 구성되는 것을 알 수 있다.
이하, 도 1을 참조하여 본 발명에 따른 좀비행위 차단장치의 전반적인 구성에 대하여 좀 더 자세하게 살펴보기로 한다.
본 발명에 따른 좀비행위 차단엔진(100)은 클라이언트의 호스트 컴퓨터에서 작동한다. 좀비 차단 엔진은 ESM(Enterprise Security Management)서버(200)를 통하여 배포된 보안정책을 토대로 컴퓨터상에서 수행되는 비정상 트래픽 및 이와 연관된 프로세스를 감시하고 차단하는 역할을 한다. 또한 트래픽 및 프로세스 감시를 통하여 발생된 이벤트 로그를 ESM서버(200)로 전송한다.
본 발명에 따른 ESM 서버(200)는 좀비의 유형별 트래픽 특성을 정의하고, 좀비 유형별 보안정책을 결정하고, 이와 같이 정의된 보안정책은 각 클라이언트 컴퓨터로 배포된다. 또한 클라이언트 단에서 수행되는 좀비 차단엔진(100)이 수정되는 경우 업데이트 버전을 클라이언트로 배포하는 역할을 한다. 한편 ESM서버(200)는 클라이언트단에서 전송된 좀비행위와 관련된 보안로그를 분석하여 보안정책에 반영하게 된다.
또한 ESM 서버(200)에서 클라이언트를 그룹별로 분류하여 각각의 그룹별 이벤트 정책을 통합적으로 관리하고, 클라이언트에서 긴급 이벤트가 발생하는 경우 알람기능을 이용하여 지속적인 모니터링을 하지 않더라도 긴급상황에 빠르게 대처할 수 있도록 한다. 이는 보안정책의 설정에 따라 유연하게 반영할 수 있다.
이하 본 발명의 일 실시예에 따른 좀비 행위 차단장치의 좀 더 자세한 구성을 살펴보기로 한다.
도 2는 본 발명의 일 실시예에 따른 좀비행위 차단장치의 구성 및 구성요소간의 연결을 보여주는 블록도이다.
도 2를 참조하면 본 발명에 따른 좀비행위 차단장치는 트래픽 감시부(110), 프로세스 및 트래픽 분석부(120), 비정상 프로세스 처리부(130), 보안정책 저장부(140), 이벤트 로그 저장부(150), 신규 좀비행위 유형 저장부(160)를 포함하여 구성되는 것을 알 수 있다.
또한 도 2를 참조하면 본 발명에 따른 좀비행위 차단장치는 전사적인 보안관리 서버인 ESM(Enterprise Security Management) 서버(200)와 연동하여 구성되는 것을 알 수 있다.
이하, 도 2를 참조하여 본 발명의 일 실시예에 따른 좀비 행위 차단장치의 구성요소와 각 구성요소 간의 연결관계 대하여 좀 더 자세하게 설명하기로 한다.
트래픽 감시부(110)은 컴퓨터상에서 수행되는 트래픽들을 감시하여 미리 정의된 기준치를 벗어나는 트래픽과 관련된 프로세스를 탐지하기 위한 부분이다. 특히 기준치를 초과하는 트래픽이 발생하는 경우 이를 상기 프로세스 및 트래픽 분석부(120)로 전달하게 된다.
프로세스 및 트래픽 분석부(120)는 위 트래픽 감시부(110)에서 전달된 비정상 트래픽을 유발하는 비정상 프로세스를 파악하고 트래픽 특성을 분석하는 부분이다. 상기 비정상 프로세스가 유발하는 트래픽 특성을 분석하여 보안정책 저장부(140)에 저장된 좀비 행위 유형별 트래픽 특성과 비교하여, 상기 비정상 프로세스의 비정상 트래픽 특성과 일치하는 좀비행위 유형을 파악하여 비정상 프로세스 처리부(130)로 전달하게 된다. 또한 상기 비정상 프로세스와 관련되어 발생한 이벤트 로그를 수집하여 이벤트 로그 저장부(150)에 저장한다.
한편 상기 비정상 프로세스의 비정상 트래픽 특성과 일치하는 좀비행위 유형을 보안정책 저장부(140)에서 검색하지 못한 경우에는 해당 프로세스의 트래픽 특성을 신규 좀비행위 유형 저장부(160)에 저장하고, 상기 비정상 프로세스를 비정상 프로세스 처리부(130)로 전달하게 된다.
상기의 이벤트 로그 저장부(150)에 저장된 이벤트 로그와 신규 좀비행위 유형 저장부(160)에 저장된 신규 좀비행위 유형은 추후 ESM 서버(200)로 전송되어 분석을 통하여 보안정책에 반영된다.
비정상 프로세스 처리부(130)는 프로세스 및 트래픽 분석부(120)로부터 전달받은 비정상 프로세스를 보안정책 저장부(140)의 좀비행위 유형별 보안정책을 참조하여, 해당 보안정책에 따라서 처리한다. 이때 전달받은 비정상 프로세스가 신규 좀비행위에 해당하는 경우에는 기타유형의 좀비행위에 대한 보안정책을 참조하여 처리하게 된다.
보안정책 저장부(140)는 좀비행위 프로세스와 관련된 보안정책이 저장되는 부분으로 좀비행위 유형을 정의하고, 각 좀비행위 유형별 트래픽 특성과 보안정책이 정의되는 부분이다. 예를 들면 DDoS 공격이라는 좀비행위 유형에 대하여, 해당 좀비행위의 트래픽 특성이 정의되고, 해당 좀비행위가 발견된 프로세스에 대한 차단정책이 정의된다. 또한 보안정책 설정 당시 존재하지 않던 좀비행위 유형이 발생하는 경우에 대비하여 신규의 좀비행위 유형을 갖는 프로세스, 즉 기타유형의 좀비행위에 대한 처리방법이 정의될 수 있다.
이와 같은 보안정책은 ESM 서버(200)를 통하여 클라이언트로 일괄적으로 배포될 수도 있고, 각 클라이언트 컴퓨터에서 환경에 맞게 정의되거나 조정될 수도 있다. 또한 ESM 서버는 클라이언트에서 발생한 이벤트 로그 및 신규 좀비행위 유형을 수집하여 분석하여, 보안정책을 새로이 추가하거나 수정될 수 있다.
보안정책 저장부(140)에 저장되는 보안정책에 대한 좀 더 자세한 내용은 이후에 설명하기로 한다.
이벤트 로그 저장부(150)는 좀비행위 프로세스와 관련된 이벤트 로그가 저장되는 부분으로, 트래픽을 많이 발생시키는 프로세스에 대한 분석을 통한 보고서의 발행 또는 보안정책에의 반영을 목적으로 한다.
신규 좀비행위 유형 저장부(160)는 기준치에서 벗어난 트래픽을 발생시키는 비정상 프로세스가 발생하였으나, 새로운 것이어서 보안정책 저장부에 해당 좀비행위 유형이 정의되어 있지 않은 경우, 추후 보안정책에 반영할 수 있도록 새로운 좀비유형에 대한 트래픽 특성이 정의되는 부분이다. 이와 같이 저장된 신규 좀비행위 유형에 따른 트래픽 특성은 추후 ESM 서버로 전송되어 분석을 통하여 보안정책에 반영될 수 있다.
ESM(Enterprise Security Managemen) 서버(200)는 본 발명에 따른 좀비행위 차단장치와 연동하여 좀비행위 프로세스 관련 보안정책을 정의하고 각 클라이언트로 배포하는 역할을 한다. 또한 각 클라이언트에서 보내온 이벤트 로그와 신규 좀비행위에 대한 트래픽 유형을 분석하여 보안정책에 반영한다.
좀비행위 차단을 위한 보안정책의 구성
이하 본 발명의 실시예에 따른 본 발명의 좀비행위 차단장치의 보안정책 저장부(140)에 저장되는 보안정책의 구성에 대하여 좀 더 자세하게 설명하기로 한다.
도 3은 본 발명에 따른 좀비 행위를 차단하기 위한 보안정책의 좀 더 상세한 구성의 예를 보여주는 개념도이다.
도 3을 참조하면 본 발명에 따른 좀비 행위를 차단하기 위한 보안정책에는 좀비행위 유형(141), 좀비행위 유형별 트래픽 임계치(143), 트래픽 임계치 초과 허용시간(145) 및 차단정책(147)을 포함하여 구성된다.
이하, 도 3을 참조하여 본 발명에 따른 좀비행위를 차단하기 위한 보안정책및 좀비행위 유형을 탐지하는 방법에 대해서 좀 더 자세하게 설명하기로 한다.
본 발명에서는 기존의 좀비행위 패턴 분석을 통하여 좀비 프로세스를 탐지하던 방식과 달리 좀비행위 유형(141)을 분류하고 해당 유형에 따른 트래픽을 분석하여 정의한다.
좀비행위 유형(141)으로는 DDoS 공격(301), IP 스캐닝(302), 포트 스캐닝(303) 및 스푸핑 공격(304) 등이 포함되어, 해당 좀비행위 유형이 갖는 트래픽 특성이 정의될 수 있다. 또한 미리 정의되지 않은 유형의 좀비행위가 발생하는 경우에 대비하여 기타유형의 좀비행위를 위한 차단정책이 정의될 수 있다.
한편 좀비행위 유형별 트래픽 특성으로는 트래픽 임계치(143)와 트래픽 임계치를 초과허용 시간(145)이 포함될 수 있다. 즉 어떤 프로세스와 관련된 트래픽이 특정 좀비행위 유형의 트래픽 특성과 일치하고, 해당 트래픽이 임계치 초과 허용시간(143)을 초과하여 지속 되는 경우 해당 프로세스 및 트래픽에 대한 차단정책(147)이 적용되도록 작동할 것이다.
예를 들면, 트래픽 감시부에서 비정상 트래픽을 탐지한 경우, 해당 비정상 트래픽을 유발하는 비정상 프로세스와 관련된 좀비행위 유형을 파악하기 위해서, 상기 보안정책 저장부(140)에 저장된 좀비행위 유형별 임계치를 기초로 상기 비정상 프로세스기 유발하는 트래픽 특성에 대응하는 좀비행위 유형(141)을 검색한다. 또한 상기 비정상 프로세스의 트래픽이 상기 검색된 좀비행위 유형에 해당하는 트래픽 임계치 초과허용시간(145)을 초과하여 지속되는 경우, 상기 비정상 프로세스는 상기 검색된 유형의 좀비행위를 하는 것으로 판단하고 이에 따른 차단정책(147)을 적용할 수 있다.
좀비행위 차단 과정에 대한 설명
다음은 본 발명의 실시예에 따른 좀비행위를 차단하는 과정에 대하여 각 단계별로 좀 더 상세하게 살펴보기로 한다.
도 4는 본 발명의 실시예에 따른 트래픽 및 프로세스의 감시를 통하여 좀비행위를 차단하는 과정을 보여주는 시퀸스 차트이다.
도 4를 참조하면 본 발명에 따른 좀비행위를 차단하는 과정은 트래픽 감시 단계(S410), 관련 프로세스 및 트래픽 분석단계(S420), 좀비행위 유형 및 정책검색단계(S430), 프로세스 처리 단계(S450) 및 신규 좀비행위 유형등록 단계(S460)를 포함하여 구성된다.
이하, 도 4를 참조하여 좀비행위를 차단하는 각 단계에 대하여 좀 더 자세하게 설명하기로 한다.
트래픽 감시 단계(S410)는 컴퓨터의 네트워크 드라이버 단에서 컴퓨터상에서 발생하는 모든 트래픽을 감시하면서, 미리 정의된 기준치를 벗어나는 트래픽을 탐지하는 단계이다.
만일 비정상적인 트래픽이 발견되는 경우(S411)에는 즉각적으로 해당 트래픽을 유발하는 프로세스를 파악하고 트래픽을 상세하게 분석(S420)한다.
이때 보안정책을 참조하여(S430), 상기 비정상 프로세스가 유발하는 비정상 트래픽 특성과 일치하는 트래픽 특성을 갖는 좀비행위 유형을 찾아낸다. 또한 해당 트래픽이 허용한도 시간을 초과하여 지속되는 경우, 상기 검색된 유형의 좀비행위와 연관된 프로세스로 판단한다(S431).
좀비행위가 파악된 프로세스에 대하여 해당 유형의 좀비행위에 대하여 미리 정해진 차단 정책을 적용한다(S440).
그러나, 상기 비정상적인 프로세스가 유발하는 트래픽 특성에 해당하는 좀비행위 유형을 발견하지 못한 경우에는, 보안정책 저장부에 정의된 '기타유형'에 대한 차단정책을 적용한다. 또한 상기 신규로 발견된 좀비행위 유형의 트래픽 특성을 신규좀비행위 유형으로 등록한다(S450).
이와 같이 새로운 유형의 좀비행위에 대하여는 미리 정의된 차단 정책을 일률적으로 적용하고, 수집된 신규 좀비행위 유형에 대한 트래픽 자료를 토대로 차단정책을 수립하여 향후 보안정책 업데이트시 활용할 수 있다.
시스템 프로세스 감시를 통한 좀비행위 차단장치의 구성
다음은 본 발명의 실시예에 따른 시스템 프로세스의 감시를 통하여 좀비행위를 차단하는 장치에 대하여 살펴보기로 한다.
도 5는 본 발명의 실시예에 따른 시스템 프로세스를 감시하여 좀비행위를 차단하기 위한 장치를 보여주는 블록도이다.
도 5를 참조하면 본 발명의 따른 시스템 프로세스 감시를 통한 좀비행위 차단장치는 시스템 프로세스 참조목록 저장부(510), 시스템 프로세스 감시부(520), 변형 프로세스 처리부(530)를 포함하여 구성된다.
이하, 도 5를 참조하여 시스템 프로세스의 감시를 통한 좀비행위 차단장치에 좀 더 자세하게 설명하기로 한다.
시스템 프로세스 참조목록 저장부(510)는 컴퓨터의 운영체제에서 사용하는 시스템 프로세스들에 대한 참조정보가 저장되는 부분이다. 예를 들면 SVCHOST.EXE라는 시스템 프로세스에 대하여, 상기 프로세스와 관련된 서브파일 및 모든 파일명과 파일들에 대한 정보가 저장될 수 있다. 일반적으로 DLL, SYS 및 EXE를 확장자로 갖는 화일명들이 포함될 것이며, 상기 파일에 대하여 크기, 생성일, 사용일 등을 포함하는 속성정보가 포함될 수 있다.
시스템 프로세스 감시부(520)는 상기 시스템 프로세스에 대한 참조정보를 기초로, 컴퓨터에서 실행중인 시스템 프로세스 및 상기 프로세스와 관련된 하위 프로세스 및 파일들을 분석하여, 상기 참조정보의 내용과 차이가 있는 경우 상기 시스템 프로세스를 변형된 프로세스로 판단하는 부분이다.
즉, 예를 들면, 상기 참조목록 저장부(510)에서 실행중인 프로세스와 관련된 참조정보를 검색한 결과, 상기 실행중인 프로세스와 관련되지 않은 파일이 추가되어 있거나, 관련된 파일이지만 속성정보가 변형되어 있는 경우 상기 실행중인 프로세스가 변형된 것으로 판단한다.
변형 프로세스 처리부(530)는 상기 비정상 프로세스 감시부에서 변형된 프로세스가 탐지된 경우, 상기 변형된 프로세스, 관련된 하위 프로세스 및 관련 파일에 대하여 보안정책에 따라 처리하는 부분이다.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (15)

  1. 네트워크에 연결된 컴퓨터에서 수행되고 자신의 컴퓨터에서 발생하여 외부의 컴퓨터를 공격하는 좀비행위를 하는 좀비행위 프로세스를 차단하기 위한 장치로,
    좀비행위 유형별 트래픽 특성 및 보안정책이 저장되는 보안정책 저장부;
    상기 컴퓨터상에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 트래픽 감시부;
    상기 비정상 트래픽을 유발하는 비정상 프로세스를 파악하고, 상기 보안정책 저장부에 저장된 좀비행위 유형별 트래픽 특성을 기초로, 상기 비정상 트래픽을 분석하여 상기 비정상 프로세스와 연관된 좀비행위 유형을 탐지하는 프로세스 및 트래픽 분석부; 및
    상기 좀비행위 유형이 탐지된 프로세스에 대하여, 상기 탐지된 좀비행위 유형에 대하여 정의된 보안정책에 따라 처리하는 프로세스 처리부를 포함하는 것을 특징으로 하는 좀비행위 차단장치.
  2. 제 1항에 있어서,
    상기 좀비행위 차단장치는 호스트 컴퓨터의 네트워크 드라이버단에 위치하는 것을 특징으로 하는 좀비행위 차단장치.
  3. 제 1항에 있어서,
    상기 좀비행위 유형은 DDoS(Distributed Denial of Service) 공격, IP 스캐닝, 포트 스캐닝 및 스푸핑 공격(Spoofing Attack) 중 적어도 하나를 포함하는 것을 특징으로 하는 좀비행위 차단장치.
  4. 제 1항에 있어서,
    상기 좀비행위 유형은 기타유형이 포함되고,
    상기 비정상 프로세스에 대한 좀비행위 유형이 탐지되지 않은 경우, 상기 비정상 프로세스에 대해서는 상기 기타유형에 대하여 정의된 보안정책을 적용하는 것을 특징으로 하는 좀비행위 차단장치.
  5. 제 1항에 있어서,
    상기 보안정책 저장부에 저장되는 좀비행위 유형별 트래픽 특성은, 좀비행위 유형별 트래픽 임계치와 트래픽 임계치 초과 허용시간을 포함하는 것을 특징으로 하는 좀비행위 차단장치.
  6. 제 5항에 있어서,
    상기 프로세스 및 트래픽 분석부는, 상기 보안정책 저장부에 저장된 좀비 행위 유형별 임계치를 기초로 상기 비정상 프로세스가 유발하는 비정상 트래픽 특성에 대응하는 좀비행위 유형을 검색하고, 상기 비정상 프로세스에 의해서 유발된 상기 비정상 트래픽이 상기 검색된 좀비행위 유형에 해당하는 트래픽 임계치 초과 허용시간을 초과하여 지속되는 경우, 상기 비정상 프로세스가 상기 검색된 유형의 좀비행위와 연관된 것으로 판단함으로써, 상기 비정상 프로세스와 연관된 좀비행위 유형을 탐지하는 것을 특징으로 하는 좀비행위 차단장치.
  7. 제 1항에 있어서,
    상기 미리 정의된 기준치는 상기 보안정책 저장부에 정의되는 것을 특징으로 하는 좀비행위 차단장치.
  8. 제 1항에 있어서,
    신규 좀비행위 유형 저장부를 더 포함하고,
    상기 프로세스 및 트래픽 분석부는 상기 비정상 프로세스와 연관된 좀비행위 유형을 탐지하지 못한 경우, 상기 비정상 프로세스에 의해서 유발된 상기 비정상 트래픽 특성을 상기 신규 좀비행위 유형 저장부에 저장하는 것을 특징으로 하는 좀비행위 차단장치.
  9. 제 1항에 있어서,
    상기 비정상 프로세스와 관련하여 발생된 이벤트를 저장하는 이벤트 로그 저장부를 더 포함하는 것을 특징으로 하는 좀비행위 차단장치.
  10. 제 1항에 있어서,
    상기 좀비행위 유형별 트래픽 특성 및 보안정책은 ESM(Enterprise Security Management) 서버를 통하여 배포되고 업데이트되는 것을 특징으로 하는 좀비행위 차단장치.
  11. 네트워크에 연결된 컴퓨터의 네트워크 드라이버단에서 수행되고, 자신의 컴퓨터에서 발생하여 외부의 컴퓨터를 공격하는 좀비행위를 하는 프로세스를 차단하기 위한 좀비행위 차단 방법으로,
    상기 컴퓨터상에서 발생하는 트래픽을 감시하여 미리 정의된 기준치를 초과하는 비정상 트래픽을 탐지하는 단계;
    상기 비정상 트래픽을 유발하는 비정상 프로세스를 파악하고, 보안정책 저장부에 저장된 좀비행위 유형별 트래픽 특성을 기초로, 상기 비정상 트래픽을 분석하여 상기 비정상 프로세스와 연관된 좀비행위 유형을 파악하는 단계;
    상기 비정상 프로세스에 대한 좀비행위 유형이 파악된 경우, 상기 보안정책 저장부에 정의된 해당 좀비유형에 대한 보안정책에 따라 상기 비정상 프로세스를 처리하는 단계;
    상기 비정상 프로세스가 유발하는 비정상 트래픽 특성을 갖는 좀비행위 유형이 파악되지 않는 경우, 상기 보안정책 정의부에 정의된 기타유형에 대하여 정의된 보안정책에 따라 상기 비정상 프로세스를 처리하는 단계; 및
    상기 좀비행위 유형이 파악되지 않은 프로세스에 의해서 유발된 상기 트래픽 특성을 신규 좀비행위 유형 저장부에 저장하는 단계를 포함하는 것을 특징으로 하는 좀비행위 차단방법.
  12. 제 11항에 있어서,
    상기 보안정책 저장부에 저장되는 좀비행위 유형별 트래픽 특성은, 좀비행위 유형별 트래픽 임계치와 트래픽 임계치 초과 허용시간을 포함하고,
    상기 비정상 프로세스와 연관된 좀비행위 유형을 탐지하는 방법은, 상기 보안정책 저장부에 저장된 좀비 행위 유형별 임계치를 기초로 상기 비정상 프로세스에 의해서 유발된 상기 비정상 트래픽 특성에 대응하는 좀비행위 유형을 검색하고, 상기 비정상 프로세스가 유발하는 비정상 트래픽이 상기 검색된 좀비행위 유형에 해당하는 트래픽 임계치 초과 허용시간을 초과하여 지속되는 경우, 상기 프로세스는 상기 검색된 유형의 좀비행위와 연관된 것으로 판단하는 것을 특징으로 하는 좀비행위 차단방법.
  13. 제 11항에 있어서,
    상기 비정상 프로세스와 관련하여 발생된 이벤트 로그를 저장하는 단계를 더 포함하고,
    상기 좀비행위 유형별 트래픽 특성 및 보안정책은 ESM(Enterprise Security Management) 서버를 통하여 배포되고 업데이트되고, 상기 이벤트 로그 및 신규 좀비 유형 저장부에 저장된 비정상 프로세스에 의해서 유발된 트래픽 특성은 상기 보안정책 ESM 서버로 전송되는 것을 특징으로 하는 좀비행위 차단방법.
  14. 네트워크에 연결된 컴퓨터에서 수행되고 자신의 컴퓨터에서 발생하여 외부의 컴퓨터를 공격하는 좀비행위를 하는 좀비행위 프로세스를 차단하기 위한 장치로,
    컴퓨터의 운영체제에서 사용하는 시스템 프로세스들에 대한 참조정보가 저장되는 시스템 프로세스 참조목록 저장부;
    상기 시스템 프로세스에 대한 참조정보를 기초로, 컴퓨터에서 실행중인 시스템 프로세스 및 상기 프로세스와 관련된 하위 프로세스들 및 파일들을 분석하여, 상기 참조정보의 내용과 차이가 있는 경우 상기 시스템 프로세스를 변형된 프로세스로 판단하는 시스템 프로세스 감시부;
    상기 비정상 프로세스 감시부에서 변형된 프로세스가 탐지된 경우, 상기 변형된 프로세스, 관련된 하위 프로세스들 및 관련 파일들에 대하여 보안정책에 따라 처리하는 변형 프로세스 처리부를 포함하는 것을 특징으로 하는 좀비행위 차단장치.
  15. 제 14항에 있어서,
    상기 시스템 프로세스와 연관된 파일들의 확장자는 DLL, SYS, EXE 중 적어도 하나이며, 상기 변형의 유형에는 상기 시스템 프로세스와 연관된 파일의 변경 및 추가가 포함되는 것을 하는 것을 특징으로 하는 좀비행위 차단장치.
KR1020110000572A 2011-01-04 2011-01-04 좀비행위 차단 시스템 및 방법 KR101036750B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020110000572A KR101036750B1 (ko) 2011-01-04 2011-01-04 좀비행위 차단 시스템 및 방법
US13/136,725 US9060016B2 (en) 2011-01-04 2011-08-09 Apparatus and method for blocking zombie behavior process

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110000572A KR101036750B1 (ko) 2011-01-04 2011-01-04 좀비행위 차단 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101036750B1 true KR101036750B1 (ko) 2011-05-23

Family

ID=44543962

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110000572A KR101036750B1 (ko) 2011-01-04 2011-01-04 좀비행위 차단 시스템 및 방법

Country Status (2)

Country Link
US (1) US9060016B2 (ko)
KR (1) KR101036750B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101236129B1 (ko) 2011-07-19 2013-02-28 주식회사 엔피코어 비정상 트래픽 제어 장치 및 방법
KR101269988B1 (ko) 2012-03-07 2013-05-31 주식회사 시큐아이 거부 로그 축약 데이터를 생성하기 위한 방법 및 장치
KR101366771B1 (ko) * 2013-05-16 2014-02-27 한국전자통신연구원 네트워크 보안 장치 및 그 방법
KR101657180B1 (ko) * 2015-05-04 2016-09-19 최승환 프로세스 접근 제어 시스템 및 방법
CN111898158A (zh) * 2020-07-23 2020-11-06 百望股份有限公司 一种ofd文档的加密方法

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130074197A (ko) * 2011-12-26 2013-07-04 한국전자통신연구원 트래픽 관리 장치 및 그 방법
US9172721B2 (en) * 2013-07-16 2015-10-27 Fortinet, Inc. Scalable inline behavioral DDOS attack mitigation
WO2015138508A1 (en) * 2014-03-11 2015-09-17 Vectra Networks, Inc. Method and system for detecting bot behavior
CN103955645B (zh) * 2014-04-28 2017-03-08 百度在线网络技术(北京)有限公司 恶意进程行为的检测方法、装置及系统
CN108227639A (zh) * 2016-12-22 2018-06-29 中国航天系统工程有限公司 一种面向集散控制系统的上位机异常状态监测方法
CN110674479B (zh) * 2019-09-29 2021-09-03 武汉极意网络科技有限公司 异常行为数据实时处理方法、装置、设备及存储介质
CN113079151B (zh) * 2021-03-26 2023-05-16 深信服科技股份有限公司 一种异常处理方法、装置、电子设备及可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040036228A (ko) * 2002-10-24 2004-04-30 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
KR20040057257A (ko) * 2002-12-26 2004-07-02 한국과학기술정보연구원 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
KR20040102518A (ko) * 2003-05-28 2004-12-08 한국전자통신연구원 유해 트래픽 탐지/대응 시스템 및 방법
KR20100074504A (ko) * 2008-12-24 2010-07-02 한국인터넷진흥원 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060047807A1 (en) * 2004-08-25 2006-03-02 Fujitsu Limited Method and system for detecting a network anomaly in a network
US8234638B2 (en) * 2004-12-28 2012-07-31 Hercules Software, Llc Creating a relatively unique environment for computing platforms
US8006306B2 (en) * 2006-03-21 2011-08-23 Riverbed Technology, Inc. Exploit-based worm propagation mitigation
US7721091B2 (en) * 2006-05-12 2010-05-18 International Business Machines Corporation Method for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages
JP2008199138A (ja) * 2007-02-09 2008-08-28 Hitachi Industrial Equipment Systems Co Ltd 情報処理装置及び情報処理システム
GB2449852A (en) * 2007-06-04 2008-12-10 Agilent Technologies Inc Monitoring network attacks using pattern matching
WO2008151321A2 (en) * 2007-06-08 2008-12-11 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for enforcing a security policy in a network including a plurality of components
ATE511296T1 (de) * 2007-12-31 2011-06-15 Telecom Italia Spa Verfahren zum detektieren von anomalien in einem kommunikationssystem, das numerische paketmerkmale verwendet
CN101282340B (zh) * 2008-05-09 2010-09-22 成都市华为赛门铁克科技有限公司 网络攻击处理方法及处理装置
US8230498B2 (en) * 2008-05-19 2012-07-24 Cisco Technology, Inc. System and method for defending against denial of service attacks on virtual talk groups
JP5011234B2 (ja) * 2008-08-25 2012-08-29 株式会社日立情報システムズ 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
US8904530B2 (en) * 2008-12-22 2014-12-02 At&T Intellectual Property I, L.P. System and method for detecting remotely controlled E-mail spam hosts
KR101010302B1 (ko) * 2008-12-24 2011-01-25 한국인터넷진흥원 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
KR101045330B1 (ko) 2008-12-24 2011-06-30 한국인터넷진흥원 네트워크 기반의 http 봇넷 탐지 방법
US8762517B2 (en) * 2008-12-30 2014-06-24 Comcast Cable Communications, Llc System and method for managing a broadband network
KR101048159B1 (ko) 2009-02-27 2011-07-08 (주)다우기술 봇넷 탐지 및 차단 시스템 및 방법
KR101021697B1 (ko) 2009-04-30 2011-03-15 경희대학교 산학협력단 6LoWPAN에서 봇넷 공격을 탐지하는 방법
KR100959264B1 (ko) 2009-08-26 2010-05-26 에스지에이 주식회사 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법
US7890627B1 (en) * 2009-09-02 2011-02-15 Sophos Plc Hierarchical statistical model of internet reputation
US8789173B2 (en) * 2009-09-03 2014-07-22 Juniper Networks, Inc. Protecting against distributed network flood attacks
US20110072516A1 (en) * 2009-09-23 2011-03-24 Cohen Matthew L Prevention of distributed denial of service attacks
KR101061375B1 (ko) * 2009-11-02 2011-09-02 한국인터넷진흥원 Uri 타입 기반 디도스 공격 탐지 및 대응 장치
KR101070614B1 (ko) * 2009-12-18 2011-10-10 한국인터넷진흥원 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법
US8549642B2 (en) * 2010-01-20 2013-10-01 Symantec Corporation Method and system for using spam e-mail honeypots to identify potential malware containing e-mails
US20110219440A1 (en) * 2010-03-03 2011-09-08 Microsoft Corporation Application-level denial-of-service attack protection
US8984627B2 (en) * 2010-12-30 2015-03-17 Verizon Patent And Licensing Inc. Network security management
US9668137B2 (en) * 2012-03-07 2017-05-30 Rapid7, Inc. Controlling enterprise access by mobile devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040036228A (ko) * 2002-10-24 2004-04-30 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
KR20040057257A (ko) * 2002-12-26 2004-07-02 한국과학기술정보연구원 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
KR20040102518A (ko) * 2003-05-28 2004-12-08 한국전자통신연구원 유해 트래픽 탐지/대응 시스템 및 방법
KR20100074504A (ko) * 2008-12-24 2010-07-02 한국인터넷진흥원 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101236129B1 (ko) 2011-07-19 2013-02-28 주식회사 엔피코어 비정상 트래픽 제어 장치 및 방법
KR101269988B1 (ko) 2012-03-07 2013-05-31 주식회사 시큐아이 거부 로그 축약 데이터를 생성하기 위한 방법 및 장치
KR101366771B1 (ko) * 2013-05-16 2014-02-27 한국전자통신연구원 네트워크 보안 장치 및 그 방법
US9444845B2 (en) 2013-05-16 2016-09-13 Electronics And Telecommunications Research Institute Network security apparatus and method
KR101657180B1 (ko) * 2015-05-04 2016-09-19 최승환 프로세스 접근 제어 시스템 및 방법
CN111898158A (zh) * 2020-07-23 2020-11-06 百望股份有限公司 一种ofd文档的加密方法
CN111898158B (zh) * 2020-07-23 2023-09-26 百望股份有限公司 一种ofd文档的加密方法

Also Published As

Publication number Publication date
US20120174221A1 (en) 2012-07-05
US9060016B2 (en) 2015-06-16

Similar Documents

Publication Publication Date Title
KR101036750B1 (ko) 좀비행위 차단 시스템 및 방법
US11775622B2 (en) Account monitoring
US11924170B2 (en) Methods and systems for API deception environment and API traffic control and security
EP3117320B1 (en) Method and system for detecting external control of compromised hosts
US7444679B2 (en) Network, method and computer readable medium for distributing security updates to select nodes on a network
US11032301B2 (en) Forensic analysis
US10686814B2 (en) Network anomaly detection
WO2021077987A1 (zh) 一种安全漏洞的防御方法和设备
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US9124626B2 (en) Firewall based botnet detection
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
EP2845349B1 (en) Network access apparatus having a control module and a network access module
CN112073437A (zh) 多维度的安全威胁事件分析方法、装置、设备及存储介质
US20030084330A1 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
KR20100074480A (ko) 네트워크 기반의 http 봇넷 탐지 방법
JP5531064B2 (ja) 通信装置、通信システム、通信方法、および、通信プログラム
JP7060800B2 (ja) 感染拡大攻撃検知システム及び方法、並びに、プログラム
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
KR101224994B1 (ko) 봇넷 탐지 정보의 분석 시스템 및 방법
KR101236129B1 (ko) 비정상 트래픽 제어 장치 및 방법
KR20100074470A (ko) 네트워크 기반의 irc 봇넷 탐지 방법
Singh Intrusion detection system (IDS) and intrusion prevention system (IPS) for network security: a critical analysis
Dias Automated Identification of Attacking Tools in a Honeypot

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140401

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160401

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170403

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180517

Year of fee payment: 8