KR101047382B1 - Method and system for preventing file takeover using malicious code and recording medium - Google Patents

Method and system for preventing file takeover using malicious code and recording medium Download PDF

Info

Publication number
KR101047382B1
KR101047382B1 KR1020090120970A KR20090120970A KR101047382B1 KR 101047382 B1 KR101047382 B1 KR 101047382B1 KR 1020090120970 A KR1020090120970 A KR 1020090120970A KR 20090120970 A KR20090120970 A KR 20090120970A KR 101047382 B1 KR101047382 B1 KR 101047382B1
Authority
KR
South Korea
Prior art keywords
code
files
file
restriction
signature
Prior art date
Application number
KR1020090120970A
Other languages
Korean (ko)
Other versions
KR20110064387A (en
Inventor
김준모
조성제
이진영
최천원
Original Assignee
단국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 단국대학교 산학협력단 filed Critical 단국대학교 산학협력단
Priority to KR1020090120970A priority Critical patent/KR101047382B1/en
Publication of KR20110064387A publication Critical patent/KR20110064387A/en
Application granted granted Critical
Publication of KR101047382B1 publication Critical patent/KR101047382B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 따른 파일 탈취 방법은 시스템 내에 존재하며 보호될 필요가 있는 제한파일들에 대하여 제1코드가 상기 제한파일들로 삽입되는 단계; 시스템 내에 존재하는 파일들이 상기 시스템 외부로 전송되는 경우에, 제2코드가 상기 파일들로 삽입되는 단계; 및 상기 시스템 외부로 전송되는 상기 제1코드 및 상기 제2코드가 모두 삽입되어 악성코드로 인식되는 파일들을 필터링하는 단계를 포함한다.The file deodorization method according to the present invention comprises the steps of: inserting a first code into the restriction files for restriction files that exist in the system and need to be protected; Inserting a second code into the files if files existing in the system are to be transferred out of the system; And filtering files recognized as malicious code by inserting both of the first code and the second code transmitted to the outside of the system.

악성코드, 파일 탈취, 보안 Malware, File Capture, Security

Description

악성코드를 역이용한 파일 탈취 방지 방법 및 시스템, 및 기록 매체{Method and System reverse-using Malicious Code for Preventing File-Seizure, and Recording Medium}Method and System reverse-using Malicious Code for Preventing File-Seizure, and Recording Medium}

본 발명은 파일 탈취 방지 방법, 파일 탈취 방지 시스템 및 상기 파일 탈취 방지 방법을 기록한 기록매체에 관한 것으로, 보다 구체적으로는 악성코드를 역이용하여 파일 탈취를 방지하기 위한 파일 탈취 방지 방법, 파일 탈취 방지 시스템 및 상기 파일 탈취 방지 방법을 기록한 기록매체에 관한 것이다.The present invention relates to a file deodorization prevention method, a file deodorization prevention system and a recording medium recording the file deodorization prevention method, and more particularly, to a file deodorization prevention method and a file deodorization prevention system for preventing file deodorization by using malicious code in reverse. And a recording medium recording the file deodorization prevention method.

컴퓨터 시스템의 보안은 데이터의 무결성과 기밀성을 요소로 한다. 데이터 무결성이란 허가받지 않은 사용자 또는 애플리케이션(application) 등의 작업에 의해 데이터가 변경(추가,삭제,수정 등)이 발생하지 않도록 하는 것을 말하며, 데이터 기밀성이란 권한이 없는 사용자의 데이터접근을 차단하는 것을 말한다.The security of a computer system is based on the integrity and confidentiality of the data. Data integrity refers to preventing data from being changed (added, deleted, modified, etc.) by an unauthorized user or application, etc. Data confidentiality means blocking data access by unauthorized users. Say.

대부분의 컴퓨터 사용자에 있어서 보안은 매우 중요한 이슈이다. 컴퓨터상의 하드 디스크 드라이브와 같은 메모리 잠금 시스템(memory lock system)은 가치있는 정보를 포함하고 있는데, 이러한 정보는 데이터 절도(data theft)에 매우 취약하다. 개인, 기업 및 정부의 기밀 정보를 보호하기 위하여 엄청난 돈과 노력이 쓰여 지고 있다.Security is a very important issue for most computer users. Memory lock systems, such as hard disk drives on computers, contain valuable information that is very vulnerable to data theft. Huge amounts of money and effort are spent to protect the confidential information of individuals, businesses and governments.

이제, 보안은 컴퓨터 사용자들의 보편적인 관심사가 되었다. 바이러스, 웜, 트로이 목마, 식별자 도용, 소프트웨어 및 미디어 콘텐츠 도용, 및 데이터 파괴 협박을 이용한 갈취가 만연하고 있다. OS 시스템은 이러한 공격을 막기 위한 다양한 보안 기능을 제공한다. 예컨대, 근래의 OS 시스템 및 각종 애플리케이션은 데이터를 암호화하여 메모리에 저장 보관하는 등의 보안 기능을 강화하고 있다.Now, security has become a universal concern for computer users. The use of viruses, worms, Trojan horses, identity theft, software and media content theft, and data destruction threats are rampant. The OS system provides a variety of security features to prevent such attacks. For example, recent OS systems and various applications have enhanced security functions such as encrypting and storing data in memory.

특히, 컴퓨터 기술의 발전으로 인해, 네트워크의 보안을 유지하는 것이 높은 우선 순위에 있다. 이들 네트워크에 대한 의존도가 계속 증가하기 때문에, 이들 네트워크 내의 디지털 자산을 보호하는 것이 보다 중요해질 것이다. 예를 들어, 악의적인 해커가 네트워크에의 억세스를 획득하고, 네트워크 내의 중요한 자료 혹은 기밀 데이터를 파괴하고/변경하는 경우에, 상당한 손해가 발생할 것이다. In particular, due to the development of computer technology, maintaining the security of the network is a high priority. As dependence on these networks continues to grow, it will become more important to protect digital assets within these networks. For example, significant damage will occur if a malicious hacker gains access to the network and destroys / modifies sensitive or confidential data within the network.

또한, 기존의 보안 시스템은 해커가 시스템 외부로 고의로 자료를 전송하는 경우, 이에 대한 간편하고 효과적인 대비책이 없었다.In addition, the existing security system did not provide a simple and effective countermeasure when a hacker intentionally transmits data to the outside of the system.

따라서, 본 발명의 목적은 사용자가 시스템 외부로 전송되길 원하지 않는 제한파일/제한자료를 보호하기 위한 파일 탈취 방지 방법 및 그 시스템, 및 기록 매체를 제공함에 있다.Accordingly, it is an object of the present invention to provide a file deodorization prevention method and system and a recording medium for protecting restricted files / restricted materials that a user does not want to be transmitted outside the system.

또한, 본 발명의 목적은 해킹에 의한 시스템 노출 시에도 전송이 제한되어야할 제한파일/제한자료를 보호하여 보안의 완벽성에 기여하도록 하기 위한 파일 탈취 방지 방법 및 그 시스템, 및 기록 매체를 제공함에 있다.It is also an object of the present invention to provide a file deodorization prevention method and a system and a recording medium for protecting the restricted files / restricted data that should be restricted when the system is exposed by hacking to contribute to the completeness of security. .

본 발명에 따른 파일 탈취 방지 방법은 시스템 내에 존재하며 보호될 필요가 있는 제한파일들에 대하여 제1코드가 상기 제한파일들로 삽입되는 단계; 시스템 내에 존재하는 파일들이 상기 시스템 외부로 전송되는 경우에, 제2코드가 상기 파일들로 삽입되는 단계; 및 상기 시스템 외부로 전송되는 상기 제1코드 및 상기 제2코드가 모두 삽입되어 악성코드로 인식되는 파일들을 필터링하는 단계를 포함할 수 있다.The method for preventing file takeover according to the present invention comprises the steps of: inserting a first code into the restriction files for restriction files existing in the system and that need to be protected; Inserting a second code into the files if files existing in the system are to be transferred out of the system; And filtering the files recognized as malicious code by inserting both the first code and the second code transmitted to the outside of the system.

또한, 상기 악성코드는 상기 제1코드 및 상기 제2코드로 구성될 수 있다.In addition, the malicious code may be composed of the first code and the second code.

또한, 상기 제1코드 및 상기 제2코드는 악성코드 탐지 시그니처에 해당할 수 있다.In addition, the first code and the second code may correspond to a malicious code detection signature.

또한, 상기 제2코드가 상기 파일들로 삽입되는 단계는 상기 시스템에 침입한 해커에 의하여 상기 파일들이 상기 시스템 외부로 전송되는 경우에, 상기 제2코드 가 상기 파일들로 삽입되는 단계를 더 포함할 수 있다.The step of inserting the second code into the files may further include inserting the second code into the files when the files are transmitted outside the system by a hacker who invades the system. can do.

또한, 상기 파일 탈취 방지 방법은 상기 제1코드 및 상기 제2코드가 모두 삽입된 파일들이 필터링되는 경우에, 상기 시스템을 침입한 해커를 추적/감지하기 위한 단계를 더 포함할 수 있다.The method may further include detecting / detecting a hacker who invades the system when files in which both the first code and the second code are inserted are filtered.

또한, 상기 제1코드 및 상기 제2코드는 상기 악성코드를 구성하는 코드들에 해당할 수 있다.In addition, the first code and the second code may correspond to codes constituting the malicious code.

또한, 본 발명에 따른 파일 탈취 방지 시스템은 상기 시스템 내에 존재하는 보호될 필요가 있는 제한파일들에 대하여 제1코드를 상기 제한파일들로 삽입시키기 위한 제1 시그니처 삽입부; 및 상기 시스템 내에 존재하는 파일들이 상기 시스템 외부로 전송되는 경우에, 제2코드를 상기 파일들로 삽입시키기 위한 제2 시그니처 삽입부를 포함할 수 있다.In addition, the file takeover prevention system according to the present invention includes a first signature insertion unit for inserting a first code into the restriction files for the restriction files that need to be protected in the system; And a second signature insertion unit for inserting a second code into the files when files existing in the system are transmitted to the outside of the system.

또한, 상기 파일들을 다른 통신망으로 전송하도록 하는 적어도 하나의 구성요소를 통하여 상기 시스템 외부로 전송되는 상기 제1코드 및 상기 제2코드가 모두 삽입되어 악성코드로 인식되는 파일들을 필터링할 수 있다.In addition, both the first code and the second code transmitted to the outside of the system are inserted through at least one component for transmitting the files to another communication network to filter files recognized as malicious codes.

또한, 상기 제1 시그니처 삽입부는 상기 제한파일들의 상기 제1코드를 제거하려는 명령이 있을 경우, 상기 명령을 차단하고, 상기 제한파일들로부터 상기 제1코드를 보호하도록 할 수 있다.In addition, when there is a command to remove the first code of the restriction files, the first signature inserter may block the command and protect the first code from the restriction files.

또한, 상기 제2 시그니처 삽입부는 상기 시스템에 침입한 해커에 의하여 상기 파일들이 상기 시스템 외부로 전송되는 경우에, 상기 제2코드를 상기 파일들로 삽입시킬 수 있다.The second signature inserter may insert the second code into the files when the files are transmitted to the outside of the system by a hacker who invades the system.

또한, 상기 파일 탈취 방지 시스템은 상기 필터가 상기 제1코드 및 상기 제2코드가 모두 삽입된 파일들이 필터링하는 경우에, 상기 시스템을 침입한 해커를 추적/감지하기 위한 감지부를 더 포함할 수 있다.The file deodorization prevention system may further include a detector configured to track / detect a hacker who invades the system when the filter filters files in which both the first code and the second code are inserted. .

일반파일은 제2코드만을 삽입하여 전송하기 때문에 일반적인 전송이 가능한 효과가 있다.Since the general file is transmitted by inserting only the second code, general transmission is possible.

또한, 제2코드만 삽입되어 전송되기 때문에 네트워크상의 보안 시스템이나 송신측의 보안 시스템에 의하여 일반적인 파일/데이터 정보는 삭제되거나 훼손되지 않는 효과가 있다.In addition, since only the second code is inserted and transmitted, general file / data information is not deleted or corrupted by the security system on the network or the security system on the sender side.

또한, 본 발명에 따라서 전송이 제한되어야 하는 제한파일은 제1코드가 이미 삽입되어있고, 외부로부터 전송요청이 발생하였을 경우 제2 시그니처 삽입부는 제2코드를 삽입하여, 상기 제1코드 및 상기 제2코드가 삽입된 제한파일은 필터에 의해 악의적인 파일/프로그램으로 인식되어 삭제되는 효과가 있다.In addition, according to the present invention, in the restriction file to which transmission is to be restricted, a first code is already inserted, and when a transmission request is generated from the outside, the second signature insertion unit inserts a second code, so that the first code and the first code are inserted. The restriction file inserted with the 2 code is recognized as a malicious file / program by the filter and deleted.

상기와 같이, 간단한 데이터 삽입을 통하여 네트워크로 전송되는 파일들을 보호할 수 있고, 해킹에 의한 시스템 노출 시에도 전송이 제한되어야할 제한파일들을 보호할 수 있어, 보안의 완벽성에 기여할 수 있다.As described above, the files transmitted to the network can be protected by simple data insertion, and the restricted files to be restricted should be protected even when the system is exposed by hacking, thereby contributing to the perfection of security.

본 명세서 또는 출원에 개시되어 있는 본 발명의 실시 예들에 대해서 특정한 구조적 내지 기능적 설명들은 단지 본 발명에 따른 실시 예를 설명하기 위한 목적으로 예시된 것으로, 본 발명에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 명세서 또는 출원에 설명된 실시 예들에 한정되는 것으로 해석되어서는 아니 된다. Specific structural to functional descriptions of the embodiments of the present invention disclosed in the specification or the application are only illustrated for the purpose of describing the embodiments according to the present invention, and the embodiments according to the present invention may be embodied in various forms. It should not be construed as limited to the embodiments described in this specification or the application.

본 발명에 따른 실시 예는 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있으므로 특정 실시 예들을 도면에 예시하고 본 명세서 또는 출원에 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예를 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. Since the embodiments according to the present invention can be variously modified and have various forms, specific embodiments will be illustrated in the drawings and described in detail in the present specification or application. However, this is not intended to limit the embodiments in accordance with the concept of the present invention to a particular disclosed form, it should be understood to include all changes, equivalents, and substitutes included in the spirit and scope of the present invention.

제1 및/또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.Terms such as first and / or second may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another, for example, without departing from the scope of rights in accordance with the inventive concept, and the first component may be called a second component and similarly The second component may also be referred to as the first component.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다. When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that there is no other component in between. Other expressions describing the relationship between components, such as "between" and "immediately between," or "neighboring to," and "directly neighboring to" should be interpreted as well.

본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. As used herein, the terms "comprise" or "having" are intended to indicate that there is a feature, number, step, action, component, part, or combination thereof that is described, and that one or more other features or numbers are present. It should be understood that it does not exclude in advance the possibility of the presence or addition of steps, actions, components, parts or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다. Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art, and are not construed in ideal or excessively formal meanings unless expressly defined herein. Do not.

이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. Like reference numerals in the drawings denote like elements.

도 1은 본 발명의 일 실시예에 따른 파일 탈취 방지 시스템(100)을 나타내기 위한 도면이다. 도 1을 참고하면, 상기 파일 탈취 방지 시스템(100)은 제1 시그니처 삽입부(110), 제2 시그니처 삽입부(120) 및 필터(130)를 포함한다.1 is a view showing a file deodorization system 100 according to an embodiment of the present invention. Referring to FIG. 1, the file deodorization prevention system 100 includes a first signature insertion unit 110, a second signature insertion unit 120, and a filter 130.

상기 제1 시그니처 삽입부(110)는 제한파일들에 대하여 제1코드를 삽입시킬 수 있다. 이때, 상기 제한파일들은 시스템 내에 존재하면서, 일반적으로 시스템 외부로 전송되지 않고 보호될 필요가 있는 파일에 해당할 수 있거나, 사용자가 시스템 외부로 전송되지 않도록 설정한 파일에 해당할 수 있다. 예컨대, 상기 제한파일들은 시스템 내부의 사용자 작성 파일들 또는 사용자의 개인 정보가 기록된 파일들에 해당할 수 있다. The first signature insertion unit 110 may insert a first code in the restriction files. In this case, the restriction files may exist in the system, and generally correspond to files that need to be protected without being transmitted outside the system, or may correspond to files that are set so that the user does not transmit the system. For example, the restriction files may correspond to user-created files in the system or files in which user's personal information is recorded.

또한, 상기 제1 시그니처 삽입부(110)는 상기 제한파일들로부터 상기 제1코드를 제거하려는 내부 또는 외부의 명령이 있는 경우, 상기 내부 또는 외부의 명령을 차단하고, 상기 제한파일들로부터 상기 제1코드가 제거되는 것을 방지할 수 있다.In addition, when there is an internal or external command to remove the first code from the restriction files, the first signature insertion unit 110 blocks the internal or external command and blocks the first from the restriction files. 1 Code can be prevented from being removed.

상기 제1코드는 악성코드(예컨대, 바이러스나 웜)를 탐지하는 시그니처에 해당할 수 있고, 상기 제1 시그니처 삽입부(110)는 컴퓨터 내부에서 소프트웨어 또는 하드웨어로 구현될 수 있다. The first code may correspond to a signature for detecting malicious code (eg, a virus or a worm), and the first signature insertion unit 110 may be implemented in software or hardware in a computer.

또한, 상기 제1코드는 시스템 내부의 악성코드가 수집된 악성코드 데이터 베이스(미도시)에 저장된 하나의 코드에 해당할 수 있으나 이에 한정되는 것은 아니다. 예컨대, 상기 제1코드는 사용자가 미리 지정한 별도의 코드에 해당할 수도 있다.In addition, the first code may correspond to one code stored in a malicious code database (not shown) in which the malicious code inside the system is collected, but is not limited thereto. For example, the first code may correspond to a separate code predefined by a user.

또한, 상기 제1코드는 상기 파일 탈취 방지 시스템에서 아무런 문제를 발생시키지 않는다.Further, the first code does not cause any problem in the file deodorization system.

상기 제2 시그니처 삽입부(120)는 시스템 외부로 전송되는 모든 파일에 대하 여 제2코드를 삽입시킬 수 있다. 예컨대, 상기 제2 시그니처 삽입부(120)는 상기 제한파일들뿐만 아니라 보호될 필요가 없는 일반파일들의 경우에도 상기 제2코드를 삽입시킬 수 있다. The second signature insertion unit 120 may insert a second code for all files transmitted to the outside of the system. For example, the second signature insertion unit 120 may insert the second code not only for the restriction files but also for general files that do not need to be protected.

더 구체적으로, 상기 제2 시그니처 삽입부(120)는 시스템 내부의 상기 제한파일들 및 상기 일반파일들이 포트(port)를 통하여 나가는 시점에 상기 제한파일들 및 상기 일반파일들에게 상기 제2코드를 삽입시킬 수 있다.More specifically, the second signature inserting unit 120 transmits the second code to the restriction files and the general files when the restriction files and the general files in the system exit through a port. Can be inserted.

예컨대, 상기 제2 시그니처 삽입부(120)는 메일, 메신저 또는 기타 경로를 통하여 상기 제한파일들 및 상기 일반파일들이 시스템 외부로 전송되는 경우 상기 제한파일들 및 상기 일반파일들에게 상기 제2코드를 삽입시킬 수 있다.For example, when the restriction files and the general files are transmitted to the outside of the system through the mail, messenger, or other path, the second signature insertion unit 120 sends the second code to the restriction files and the general files. Can be inserted.

한편으로는, 상기 제2 시그니처 삽입부(120)는 제한파일들에 해당하더라도 상기 시스템의 관리자(또는 사용자)가 상기 제한파일들을 시스템 외부로 전송하기를 원할 경우에는 상기 제2코드를 삽입하지 아니할 수도 있다.On the other hand, the second signature inserter 120 does not insert the second code when the administrator (or user) of the system wants to transfer the restricted files to the outside of the system even if the restriction files correspond to the restricted files. It may be.

예컨대, 상기 시스템의 관리자(또는 사용자)의 상기 제2 시그니처 삽입부(120)의 환경 설정을 통하여 시스템 외부로 전송하기를 원하는 제한파일들의 경우에는 상기 제2코드를 삽입하지 아니하도록 설정할 수 있다.For example, in case of restricted files which are to be transmitted to the outside of the system through the configuration of the second signature inserting unit 120 of the administrator (or user) of the system, the second code may not be inserted.

상기 제2코드는 악성코드를 탐지하는 시그니처에 해당할 수 있고, 상기 제1코드와 함께 구성될 경우 악성코드로서 나타날 수 있다. The second code may correspond to a signature for detecting malicious code, and may appear as malicious code when configured with the first code.

또한, 상기 제1코드와 다른 별도의 코드에 해당할 수 있으며, 상기 제2 시그니처 삽입부(120)는 컴퓨터 내부에서 소프트웨어 또는 하드웨어로 구현될 수 있다. The second signature inserting unit 120 may correspond to a separate code from the first code. The second signature inserting unit 120 may be implemented in software or hardware in a computer.

또한, 상기 제2코드는 시스템 내부의 악성코드가 수집된 악성코드 데이터 베 이스(미도시)에 저장된 하나의 코드에 해당할 수 있으나 이에 한정되는 것은 아니다. 예컨대, 상기 제2코드는 사용자가 미리 지정한 별도의 코드에 해당할 수도 있다.In addition, the second code may correspond to one code stored in a malicious code data base (not shown) in which the malicious code in the system is collected, but is not limited thereto. For example, the second code may correspond to a separate code predefined by a user.

상기 필터(130)는 상기 파일들을 다른 통신망으로 전송하도록 하는 적어도 하나의 구성요소에 해당할 수 있고, 시스템 외부로 전송되는 파일들 중 일부를 필터링할 수 있다. 예컨대, 상기 필터(130)는 상기 제한파일들이 해커 컴퓨터(150)에 의하여 시스템 외부로 전송되려고 할 때, 상기 제한파일들이 통신망(140)을 통해 시스템 외부(예컨대, 상기 해커 컴퓨터(150))로 전송되지 못하도록 상기 제한파일들을 필터링할 수 있다.The filter 130 may correspond to at least one component for transmitting the files to another communication network, and may filter some of the files transmitted to the outside of the system. For example, the filter 130 may be configured to transmit the restriction files to the outside of the system (eg, the hacker computer 150) through the communication network 140 when the restriction files are to be transmitted to the outside of the system by the hacker computer 150. The restriction files can be filtered out of the way.

더 구체적으로, 상기 필터(130)는 시스템 외부로 전송되는 파일들 중 악성코드 탐지 시그니처에 해당하는 제1코드 및 제2코드가 모두 삽입되어 있는 파일들만을 선별하여 필터링할 수 있다. 예컨대, 외부에서 시스템 내의 상기 제한파일들에 접근하여 상기 제한파일들을 시스템 외부로 전송시키려고 할 때, 상기 필터(130)는 상기 제1코드 및 상기 제2코드가 모두 삽입된 상기 제한파일들을 필터링할 수 있다. More specifically, the filter 130 may select and filter only files in which both the first code and the second code corresponding to the malware detection signature are inserted among the files transmitted to the outside of the system. For example, when attempting to access the restriction files in the system from the outside and transmit the restriction files to the system, the filter 130 may filter the restriction files in which both the first code and the second code are inserted. Can be.

한편으로는, 상기 필터(130)는 상기 시스템의 관리자(또는 사용자)가 상기 제한파일들을 시스템 외부로 전송하기를 원할 경우(예컨대, 상기 제2 시그니처 삽입부의 환경 설정에 의하여 제2코드가 삽입되어 있지 않은 경우)에는 상기 제한파일들은 상기 제2코드가 삽입되어 있지 않고 제1코드만 삽입되어 있으므로, 상기 제한파일들을 필터링하지 아니할 수도 있다.On the other hand, the filter 130 is the administrator (or user) of the system wants to send the restriction files to the outside of the system (for example, the second code is inserted by the environment setting of the second signature insertion unit is inserted) If not, the restriction files may not be filtered because the second code is not inserted with only the first code.

상기 필터는 라우터를 포함할 수 있고, 방화벽 필터링을 통하여 상기 제1코드 및 상기 제2코드가 모두 삽입된 상기 제한파일들을 필터링할 수 있다.The filter may include a router and may filter the restriction files in which both the first code and the second code are inserted through firewall filtering.

또한, 상기 파일 탈취 방지 시스템(100)은 감지부(미도시)를 더 포함할 수 있다. 상기 감지부(미도시)는 상기 필터가 상기 제1코드 및 상기 제2코드가 모두 삽입된 파일들을 필터링하는 경우에, 상기 시스템을 침입한 해커를 추적/감지할 수 있다.In addition, the file deodorization system 100 may further include a detector (not shown). When the filter filters files in which both the first code and the second code are inserted, the detector may track / detect a hacker who invades the system.

상기 감지부(미도시)는 상기 제한파일들이 필터링되는 경우에, 해커를 추적하기 위하여 인터넷 주소(IP Address), MAC 주소(MAC Address:Media Access Control Address), 네트워크 주소(Network Address), 서브넷 마스크(subnet mask), 게이트웨이(Gateway), 운영체제(OS:Operating System)의 종류 및 버전 등의 정보를 수집할 수 있다.When the restriction files are filtered, the detection unit (IP), an Internet address (IP address), a MAC address (MAC Address: Media Access Control Address), a network address (Network Address), and a subnet mask to track hackers. It may collect information (subnet mask), gateway (Gateway), the type and version of the operating system (OS).

상기 감지부(미도시)는 상기 정보를 수집하여 해커를 추적/감지하면, 시스템의 관리자(또는 사용자)에게 모니터 화면상으로 디스플레이하거나, 메일 및/또는 SMS(또는 MMS) 서비스를 통하여 시스템의 관리자(또는 사용자)에게 이를 통보할 수 있다.When the detection unit (not shown) collects the information and tracks / detects the hacker, it is displayed on the monitor screen to the administrator (or user) of the system, or the administrator of the system through a mail and / or SMS (or MMS) service. (Or user) can be notified.

또한, 상기 감지부(미도시)는 상기 해커의 정보는 침입 및 역추적의 증거로 사용하는 등의 컴퓨터 포렌식스(Computer Forensics)에 사용하기 위하여 로그파일로 저장할 수 있다.In addition, the detection unit (not shown) may store the information of the hacker as a log file for use in Computer Forensics, such as using as evidence of intrusion and backtracking.

도 2는 악성코드의 일 예를 나타내기 위한 도면이다. 도 2를 참고하면, 상기 악성코드(200)는 제1코드(210) 및 제2코드(220)를 포함한다. 2 is a diagram illustrating an example of malicious code. Referring to FIG. 2, the malicious code 200 includes a first code 210 and a second code 220.

상기 제1코드(210) 및 제2코드(220)는 상기 악성코드(200) 탐지 시그니처로서, 상기 악성코드(200)의 일부에 해당할 수 있다. 예컨대, 상기 제1코드(210)는 상기 악성코드(200)의 짝수번째 코드에 해당할 수 있고, 상기 제2코드(220)는 상기 악성코드(200)의 홀수번째 코드에 해당할 수 있어, 악성코드를 검출하기 위한 별도 소프트웨어 또는 하드웨어에, 상기 제1코드(210) 및 상기 제2코드(220) 모두를 포함한 파일(예컨대, 상기 제한파일들)만이 악성코드로 인식될 수 있다.The first code 210 and the second code 220 may correspond to a part of the malicious code 200 as the detection signature of the malicious code 200. For example, the first code 210 may correspond to an even code of the malicious code 200, and the second code 220 may correspond to an odd code of the malicious code 200. In a separate software or hardware for detecting malicious code, only files (eg, the restriction files) including both the first code 210 and the second code 220 may be recognized as malicious code.

도 3a는 제1 시그니처 삽입부를 통하여 제1코드를 삽입시키기 위한 제한파일 및 일반파일을 나타내기 위한 도면이다. 도 3을 참고하면, 상기 제1 시그니처 삽입부(110)는 제1코드(210)를 제한파일(300)에만 삽입한다. 3A is a diagram for illustrating a restriction file and a general file for inserting a first code through a first signature insertion unit. Referring to FIG. 3, the first signature insertion unit 110 inserts the first code 210 only into the restriction file 300.

네트워크상 이동이 제한되어야 하는 파일인 상기 제한파일(300)에만 상기 제1코드(210)를 삽입하여 상기 제한파일(300)을 상기 일반파일(400)과 구분할 수 있다.The restriction file 300 may be distinguished from the general file 400 by inserting the first code 210 only into the restriction file 300, which is a file to which movement on the network should be restricted.

도 3b는 제2 시그니처 삽입부를 통하여 제2코드를 삽입시키키기 위한 제한파일 및 일반파일을 나타내기 위한 도면이다. 도 3b를 참고하면, 상기 제2 시그니처 삽입부(120)는 제2코드(220)를 제1코드(210)를 포함하는 상기 제한파일(300') 및 일반파일(400') 모두에 상기 제2코드(220)를 삽입한다. 달리 말하면, 상기 제2 시그니처 삽입부(120)는 포트를 통하여 나가는 모든 파일에 상기 제2코드(220)를 삽입할 수 있다.3B is a view for showing a restriction file and a general file for inserting the second code through the second signature insertion unit. Referring to FIG. 3B, the second signature insertion unit 120 includes the second code 220 in both the restriction file 300 'and the general file 400' including the first code 210. 2 cord 220 is inserted. In other words, the second signature insertion unit 120 may insert the second code 220 in all the files going out through the port.

도 4는 본 발명의 일 실시예에 따른 파일 탈취 방법을 나타내기 위한 흐름도이다. 상기 파일 탈취 방법은 도 1의 파일 탈취 시스템에 의해 수행되거나, 상기 파일 탈취 방법을 포함하는 소프트웨어에 의해 수행될 수 있다.4 is a flowchart illustrating a file takeover method according to an embodiment of the present invention. The file takeover method may be performed by the file takeover system of FIG. 1 or may be performed by software including the file takeover method.

도 4를 참고하면, 먼저, 시스템 내에 존재하며 보호될 필요가 있는 제한파일인지를 판단하여(S41), 상기 제한파일에 해당하는 경우에만 악성코드 탐지 시그니처에 해당하는 제1코드를 삽입한다(S42).Referring to FIG. 4, first, it is determined whether a restriction file exists in the system and needs to be protected (S41), and a first code corresponding to the malware detection signature is inserted only when the restriction file corresponds (S42). ).

다음으로, 시스템 내에 존재하는 파일들이 상기 시스템 외부로 전송되는 경우에, 악성코드 탐지 시그니처에 해당하는 제2코드를 상기 파일들로 삽입한다(S43). 이때, 상기 파일들은 상기 제한파일 및 상기 일반파일을 모두 포함할 수 있다.Next, when files existing in the system are transmitted to the outside of the system, a second code corresponding to a malware detection signature is inserted into the files (S43). In this case, the files may include both the restriction file and the general file.

다음으로, 상기 시스템 외부로 전송되는 상기 제1코드 및 상기 제2코드가 모두 삽입된 파일들(예컨대, 제한파일들)을 필터링한다(S44). 만일, 이때, 상기 제1코드만 포함된 파일들(예컨대, 시스템 관리자(또는 사용자)가 전송하기를 원하는 제한파일들) 또는 제2코드만 포함된 파일들(예컨대, 일반파일들)은 필터링하지 않을 수 있다.Next, files (eg, restriction files) in which both the first code and the second code transmitted to the outside of the system are inserted are filtered (S44). In this case, the files containing only the first code (eg, restricted files that the system administrator (or user) wants to transmit) or the files containing only the second code (eg, general files) are not filtered. You may not.

다음으로, 상기 제1코드 및 상기 제2코드가 모두 삽입된 파일들이 필터링하는 경우에, 상기 시스템을 침입한 해커를 추적/감지한다(S45). 이때, 해커를 추적하기 위하여 인터넷 주소, MAC 주소, 네트워크 주소, 서브넷 마스크, 게이트웨이, 운영체제의 종류 및 버전 등의 정보를 수집할 수 있고, 이와 같은 상기 정보를 수집하여 해커를 추적/감지하면, 시스템의 관리자(또는 사용자)에게 모니터 화면상으로 디스플레이하거나, 메일 및/또는 SMS(또는 MMS) 서비스를 통하여 시스템의 관리자(또는 사용자)에게 이를 통보하며, 상기 해커의 정보는 침입 및 역추적의 증거로 사용하는 등의 컴퓨터 포렌식스에 사용하기 위하여 로그파일로 저장한다.Next, when files in which both the first code and the second code are inserted are filtered, the hacker who invades the system is tracked / detected (S45). In this case, in order to track the hacker, information such as an internet address, a MAC address, a network address, a subnet mask, a gateway, a type and a version of an operating system, and the like can be collected. Display on the monitor screen to the administrator (or user) of the system, or notify the administrator (or user) of the system via mail and / or SMS (or MMS) service, and the hacker's information is used as evidence of intrusion and traceback. Save it as a log file for use in computer forensics.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.The present invention can also be embodied as computer-readable codes on a computer-readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored.

컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 본 발명에 따른 객체 정보 추정 방법을 수행하기 위한 프로그램 코드는 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 전송될 수도 있다. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage device, and the like. The program code for performing the object information estimation method according to the present invention may be a carrier wave. It may also be transmitted in the form of (for example, transmission via the Internet).

또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion. And functional programs, codes and code segments for implementing the present invention can be easily inferred by programmers in the art to which the present invention belongs.

본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.Although the present invention has been described with reference to one embodiment shown in the drawings, this is merely exemplary, and those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

도 1은 본 발명의 일 실시예에 따른 파일 탈취 방지 시스템을 나타내기 위한 도면이다.1 is a view showing a file deodorization prevention system according to an embodiment of the present invention.

도 2는 악성코드의 일 예를 나타내기 위한 도면이다.2 is a diagram illustrating an example of malicious code.

도 3a는 제1 시그니처 삽입부를 통하여 제1코드를 삽입시키기 위한 제한파일 및 일반파일을 나타내기 위한 도면이다.3A is a diagram for illustrating a restriction file and a general file for inserting a first code through a first signature insertion unit.

도 3b는 제2 시그니처 삽입부를 통하여 제2코드를 삽입시키키기 위한 제한파일 및 일반파일을 나타내기 위한 도면이다.3B is a view for showing a restriction file and a general file for inserting the second code through the second signature insertion unit.

도 4는 본 발명의 일 실시예에 따른 파일 탈취 방법을 나타내기 위한 흐름도이다.4 is a flowchart illustrating a file takeover method according to an embodiment of the present invention.

Claims (9)

파일 탈취 방지 시스템에 있어서,In the file deodorization system, 상기 시스템 내에 존재하며 보호될 필요가 있는 제한파일들에 대하여 상기 제한파일들로 제1코드가 삽입되는 단계;Inserting a first code into the restriction files for the restriction files that exist in the system and need to be protected; 상기 시스템 내에 존재하는 파일들이 상기 시스템 외부로 전송되는 경우에, 상기 파일들로 제2코드가 삽입되는 단계; Inserting a second code into the files when the files existing in the system are transferred out of the system; 상기 시스템 외부로 전송되는 상기 제1코드 및 상기 제2코드가 모두 삽입되어 악성코드로 인식되는 파일들을 필터링하는 단계; 및Filtering files recognized as malicious code by inserting both of the first code and the second code transmitted to the outside of the system; And 상기 악성코드로 인식되는 파일들을 필터링하는 경우 상기 시스템을 침입한 해커를 추적하거나 감지하기 위한 단계를 포함하고,And filtering or detecting hackers who invade the system when filtering files recognized as the malicious code. 상기 제2코드가 삽입되는 단계는Inserting the second code is 상기 시스템 내에 존재하는 파일들 중 관리자 또는 사용자가 상기 시스템 외부로 전송하기 위해 설정한 일부 제한파일을 제외한 나머지 파일들에 상기 제2코드를 삽입하며,The second code is inserted into the remaining files except for some restricted files set by the administrator or the user to transfer out of the system among the files existing in the system, 상기 제1코드 및 상기 제2코드는 각각 악성코드 탐지 시그니처에 해당하는 파일로서 상기 악성코드가 수집된 데이터베이스에 저장된 어느 하나의 코드 또는 상기 사용자가 기지정한 별도의 코드인 파일 탈취 방지 방법.The first code and the second code is a file corresponding to a malware detection signature, respectively, any one of the codes stored in a database in which the malicious code is collected or a separate code predetermined by the user. 제1항에 있어서, 상기 제2코드가 상기 파일들로 삽입되는 단계는The method of claim 1, wherein the step of inserting the second code into the files 상기 시스템에 침입한 해커에 의하여 상기 파일들이 상기 시스템 외부로 전송되는 경우에, 상기 제2코드가 상기 파일들로 삽입되는 단계를 더 포함하는 파일 탈취 방지 방법.And the second code is inserted into the files when the files are transferred out of the system by a hacker who invades the system. 제1항에 있어서, 상기 해커를 추적하거나 감지하기 위한 단계는The method of claim 1, wherein the step of tracking or detecting the hacker is 상기 해커의 인터넷 주소, MAC 주소, 네트워크 주소, 서브넷 마스크, 게이트웨이 또는 운영체제의 종류 및 버전 중 적어도 어느 하나를 포함하는 정보를 수집하는 단계; Collecting information including at least one of an internet address, a MAC address, a network address, a subnet mask, a gateway, and a type and a version of an operating system of the hacker; 상기 수집된 정보를 로그파일로 저장하는 단계; 및Storing the collected information in a log file; And 상기 수집된 정보를 상기 사용자에게 통보하는 단계를 포함하는 파일 탈취 방지 방법.And notifying the user of the collected information. 제3항에 있어서,The method of claim 3, 상기 제1코드는 상기 시스템에서 문제를 발생시키지 않도록 하는 파일 탈취 방지 방법.And the first code prevents problems with the system. 제1항 내지 제4항 중 어느 한 항의 방법에 기재된 방법을 실행하기 위한 컴퓨터 프로그램을 기록한 기록매체.A recording medium having recorded thereon a computer program for executing the method according to any one of claims 1 to 4. 파일 탈취 방지 시스템에 있어서,In the file deodorization system, 상기 시스템 내에 존재하는 보호될 필요가 있는 제한파일들에 대하여 제1코드를 상기 제한파일들로 삽입시키는 제1 시그니처 삽입부; A first signature inserter that inserts a first code into the restriction files for the restriction files that need to be protected in the system; 상기 시스템 내에 존재하는 파일들이 상기 시스템 외부로 전송되는 경우에, 제2코드를 상기 파일들로 삽입시키는 제2 시그니처 삽입부; A second signature inserter that inserts a second code into the files when files existing in the system are transmitted outside the system; 상기 파일들을 다른 통신망으로 전송하도록 하는 적어도 하나의 구성요소를 이용하여 상기 시스템 외부로 전송되는 상기 제1코드 및 상기 제2코드가 모두 삽입되어 악성코드로 인식되는 파일들을 필터링하는 필터; 및A filter for filtering files recognized as malicious code by inserting both of the first code and the second code transmitted to the outside of the system by using at least one component for transmitting the files to another communication network; And 상기 악성코드로 인식되는 파일들이 필터링되는 경우에, 상기 시스템을 침입한 해커를 추적하거나 감지하기 위한 감지부를 포함하고,In the case that the files recognized as the malicious code is filtered, the detection unit for tracking or detecting the hacker who invaded the system, 상기 제2 시그니처 삽입부는The second signature insertion unit 상기 시스템 내에 존재하는 파일들 중 관리자 또는 사용자가 상기 시스템 외부로 전송하기 위해 설정한 일부 제한파일을 제외한 나머지 파일들에 상기 제2코드를 삽입하며,The second code is inserted into the remaining files except for some restricted files set by the administrator or the user to transfer out of the system among the files existing in the system, 상기 제1코드 및 상기 제2코드는 각각 악성코드 탐지 시그니처에 해당하는 파일로서 상기 악성코드가 수집된 데이터베이스에 저장된 어느 하나의 코드 또는 상기 사용자가 기지정한 별도의 코드인 파일 탈취 방지 시스템.The first code and the second code is a file corresponding to a malware detection signature, respectively, any one of the codes stored in the database in which the malicious code is collected or a separate code predetermined by the user. 제6항에 있어서, 상기 제1 시그니처 삽입부는The method of claim 6, wherein the first signature insertion portion 상기 제한파일들의 상기 제1코드를 제거하려는 명령이 있을 경우, 상기 명령을 차단하고, 상기 제한파일들로부터 상기 제1코드를 보호하도록 하는 파일 탈취 방지 시스템.And if there is a command to remove the first code of the restriction files, blocking the command and protecting the first code from the restriction files. 제6항에 있어서, 상기 제2 시그니처 삽입부는The method of claim 6, wherein the second signature insertion portion 상기 시스템에 침입한 해커에 의하여 상기 파일들이 상기 시스템 외부로 전송되는 경우에, 상기 제2코드를 상기 파일들로 삽입시키는 파일 탈취 방지 시스템.And inserting the second code into the files when the files are transferred out of the system by a hacker invading the system. 제6항에 있어서, 상기 감지부는The method of claim 6, wherein the detection unit 상기 해커의 정보를 수집하여 로그파일로 저장하는 파일 탈취 방지 시스템.File deodorization prevention system that collects the information of the hacker and stores as a log file.
KR1020090120970A 2009-12-08 2009-12-08 Method and system for preventing file takeover using malicious code and recording medium KR101047382B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090120970A KR101047382B1 (en) 2009-12-08 2009-12-08 Method and system for preventing file takeover using malicious code and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090120970A KR101047382B1 (en) 2009-12-08 2009-12-08 Method and system for preventing file takeover using malicious code and recording medium

Publications (2)

Publication Number Publication Date
KR20110064387A KR20110064387A (en) 2011-06-15
KR101047382B1 true KR101047382B1 (en) 2011-07-08

Family

ID=44397836

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090120970A KR101047382B1 (en) 2009-12-08 2009-12-08 Method and system for preventing file takeover using malicious code and recording medium

Country Status (1)

Country Link
KR (1) KR101047382B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101303249B1 (en) 2012-02-16 2013-09-16 숭실대학교산학협력단 Apparatus and method for preventing illegal copy of application software using virus vaccine program

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101283440B1 (en) * 2011-09-26 2013-08-23 (주)이월리서치 System for block off a data spill using booby trap signature and method thereof
KR101986638B1 (en) * 2018-03-06 2019-06-07 주식회사 안랩 Malware preventing system and method for object file to protect
KR102207554B1 (en) * 2019-01-14 2021-01-26 (주) 이드라 Apparatus and Method for Protecting Files

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990085371A (en) * 1998-05-16 1999-12-06 제양규 Computer Data Security System Using Effective Computer Virus
KR20040080845A (en) * 2003-03-14 2004-09-20 주식회사 안철수연구소 Method to detect malicious scripts using code insertion technique

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19990085371A (en) * 1998-05-16 1999-12-06 제양규 Computer Data Security System Using Effective Computer Virus
KR20040080845A (en) * 2003-03-14 2004-09-20 주식회사 안철수연구소 Method to detect malicious scripts using code insertion technique

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101303249B1 (en) 2012-02-16 2013-09-16 숭실대학교산학협력단 Apparatus and method for preventing illegal copy of application software using virus vaccine program

Also Published As

Publication number Publication date
KR20110064387A (en) 2011-06-15

Similar Documents

Publication Publication Date Title
US20060026683A1 (en) Intrusion protection system and method
JP4961153B2 (en) Aggregating knowledge bases from computer systems and proactively protecting computers from malware
US20090220088A1 (en) Autonomic defense for protecting data when data tampering is detected
WO2011027496A1 (en) Unauthorized process detection method and unauthorized process detection system
JP4995170B2 (en) Fraud detection method, fraud detection device, fraud detection program, and information processing system
Patyal et al. Multi-layered defense architecture against ransomware
US20100095365A1 (en) Self-setting security system and method for guarding against unauthorized access to data and preventing malicious attacks
JP5102659B2 (en) Malignant website determining device, malignant website determining system, method and program thereof
KR101047382B1 (en) Method and system for preventing file takeover using malicious code and recording medium
JP2007323428A (en) Bot detection apparatus, bot detection method and program
US20060015939A1 (en) Method and system to protect a file system from viral infections
KR101416618B1 (en) An Intrusion Prevention System Using Enhanced Security Linux kernel
US20070136139A1 (en) Apparatus and method of protecting user's privacy information and intellectual property against denial of information attack
EP1378813B1 (en) Security policy enforcement systems
Luo et al. Towards hierarchical security framework for smartphones
Kiru et al. Ransomware Evolution: Solving Ransomware Attack Challenges
JP5036712B2 (en) Securing network services using network behavior control lists
Ibor et al. System hardening architecture for safer access to critical business data
CN112651023A (en) Method for detecting and preventing malicious Lego software attacks
Wolf Ransomware detection
Teymourlouei Preventative Measures in Cyber & Ransomware Attacks for Home & Small Businesses' Data
Lakshmi et al. Machine Learning based Cybersecurity Technique for Detection of Upcoming Cyber Attacks
US8806211B2 (en) Method and systems for computer security
Sullivan Cisco Security Agent
Derhab et al. Leveraging adjusted user behavior in the detection and prevention of outgoing malicious SMSs in Android devices

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140701

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150619

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee