KR101218419B1 - 클라우드 보안 아키텍처를 사용한 스마트폰 바이러스 검출 방법 및 장치 - Google Patents

클라우드 보안 아키텍처를 사용한 스마트폰 바이러스 검출 방법 및 장치 Download PDF

Info

Publication number
KR101218419B1
KR101218419B1 KR1020100110892A KR20100110892A KR101218419B1 KR 101218419 B1 KR101218419 B1 KR 101218419B1 KR 1020100110892 A KR1020100110892 A KR 1020100110892A KR 20100110892 A KR20100110892 A KR 20100110892A KR 101218419 B1 KR101218419 B1 KR 101218419B1
Authority
KR
South Korea
Prior art keywords
file
virus
security server
security
mobile terminal
Prior art date
Application number
KR1020100110892A
Other languages
English (en)
Other versions
KR20120049570A (ko
Inventor
이파
임을규
Original Assignee
한양대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한양대학교 산학협력단 filed Critical 한양대학교 산학협력단
Priority to KR1020100110892A priority Critical patent/KR101218419B1/ko
Publication of KR20120049570A publication Critical patent/KR20120049570A/ko
Application granted granted Critical
Publication of KR101218419B1 publication Critical patent/KR101218419B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Computing Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

클라우드 보안 아키텍처를 사용하여 스마트폰의 바이러스를 검출하기 위한 방법 및 장치가 제공된다. 스마트폰에 의해 감염의 의심되는 파일의 시그너처가 생성된다. 생성된 파일의 시그너처는 보안 서버로 전송되며, 보안 서버는 전송된 파일의 시그너처를 알려진 바이러스들의 시그너처들과 각각 비교함으로써 상기 파일의 감염 여부를 판단한다. 보안 서버는 클라우드 보안 아키텍처 내의 복수 개의 분산 보안 서버들 중 하나이며, 분산 보안 서버는 기지국에 포함된다. 스마트폰이 이동 통신 망 또는 와이파이 망을 통해 접속한 기지국에 포함되는 분산 보안 서버가, 스마트폰의 바이러스를 검출하기 위한 보안 서버로서 선택된다.

Description

클라우드 보안 아키텍처를 사용한 스마트폰 바이러스 검출 방법 및 장치{METHOD AND APPARATUS FOR DETECTING SMARTPHONE VIRUS USING CLOUD SECURITY ARCHITECTURE}
아래의 실시예들은 스마트폰의 바이러스를 검출하기 위한 방법 및 장치에 관한 것이다.
클라우드 보안 아키텍처를 사용한 스마트폰 바이러스 검출 방법 및 장치가 개시된다.
스마트폰(smartphone)의 처리 능력(processing capacity)은 급속하게 증가하며, 스마트폰을 위한 표준화된 운영 체제(operation system; OS)가 점점 널리 사용된다. 따라서, 더 많은 스마트폰 바이러스들이 나타나고 있다.
스마트폰 플랫폼(platform)을 위한 안티(anti)-바이러스 프로그램은 상대적으로 적은 편이다. 또한, 스마트폰 안티-바이러스 프로그램들의 주류(mainstream)는 전통적인 PC에서 동작하는 안티-바이러스 프로그램과 유사하다.
PC에서 동작하는 안티-바이러스 프로그램들은 대체적으로 스케닝(scanning) 엔진(engine) 및 바이러스 시그너처(signature) 라이브러리(library)를 구비한다.
스마트폰 안티-바이러스 프로그램을 위한 요구사항들(requirements)은 컴퓨터를 위한 요구사항들에 비해 여러 측면(aspect)들(예컨대, 하드웨어(hardware), 운영 체제, 전력 소모(power consumption), 연산(computational) 자원, 이동성(mobility) 및 네트워크 대역폭(bandwidth))에서 상당히 상이하다.
스마트폰의 프로세서(processor) 및 메모리(memory)는 컴퓨터와 비교하였을 때 매우 제한된 것이다. 따라서, 만약 종래의 안티-바이러스 프로그램이 스마트폰에서 동작하는 것만으로 변경된다면, 전술된 제약들은 너무 많은 오버헤드를 야기할 것이다.
또한, 다른 측면으로서, 전력 소모가 고려되어야 한다. 스마트폰의 전력은 일반적으로 배터리(battery)에 의해 공급된다. 따라서, 적은 전력만으로 바이러스를 감지하기 위해, 스마트폰에서 동작하는 바이러스 감지 프로세스는 고 효율성을 제공해야 한다.
따라서, 모바일(mobile) 네트워크를 통해 연결되었다는 스마트폰의 이점(advantage)를 취하기 위해, 스마트폰 플랫폼의 특성을 고려한 특유의 바이러스 검출 방법 및 검출 장치가 제공될 필요가 있다.
본 발명의 일 실시에는 클라우드 보안 아키텍처에 기반한 스마트폰 바이러스 검출 방법 및 장치를 제공할 수 있다.
본 발명의 일측에 따르면, 파일을 복수 개의 서브스트링들로 분할하는 단계, 상기 복수 개의 서브스트링에 기반하여 상기 파일의 시그너처를 계산하는 단계, 상기 시그너처를 보안 서버로 전송하는 단계 및 상기 보안 서버로부터 상기 시그너처에 대응하는 제1 피드백을 수신하는 단계를 포함하고, 상기 제1 피드백은 상기 파일의 바이러스 감염 여부를 나타내는 정보를 포함하는, 단말의 바이러스 검색 방법이 제공된다.
상기 시그너처는 상기 복수 개의 서브스트링들 각각의 해쉬 값들일 수 있다.
상기 해쉬 값은 MD5 방법에 의해 생성된 해쉬 값일 수 있다.
상기 단말의 바이러스 검색 방법은, 상기 피드백에 기반하여 상기 파일이 상기 바이러스에 감염된 파일인지 여부를 판단하는 단계, 상기 파일을 상기 보안 서버로 전송하는 단계 및 상기 보안 서버로부터 상기 파일의 복구 파일을 수신하는 단계를 더 포함할 수 있다.
상기 보안 서버는 상기 단말이 이동 통신 망을 통해 접속한 기지국에 포함된 분산 보안 서버일 수 있다.
본 발명의 다른 일측에 따르면, 단말로부터 파일의 시그너처를 수신하는 단계, 상기 시그너처 및 알려진 바이러스의 시그너처를 비교함으로써 상기 파일의 바이러스 감염 여부를 검사하는 단계 및 상기 파일의 바이러스 감염 여부를 나타내는 정보를 포함하는 피드백 메시지를 단말로 전송하는 단계를 포함하는, 보안 서비스 제공 방법이 제공된다.
상기 보안 서비스 제공 방법은, 상기 단말로부터 상기 단말의 운영 체제에 대한 정보 및 상기 파일을 수신하는 단계, 상기 파일이 상기 바이러스에 감염되었을 경우 상기 파일의 복구 파일을 생성함으로써 상기 바이러스를 제거하는 단계 및 상기 복구 파일을 상기 단말로 전송하는 단계를 더 포함할 수 있다.
상기 파일이 상기 바이러스에 감염되었을 경우 상기 파일의 복구 파일을 생성함으로써 상기 바이러스를 제거하는 단계는, 상기 단말의 운영 체제에 대한 정보에 기반하여 상기 단말을 가상으로 구동하는 단계 및 상기 가상으로 구동된 단말에서 상기 파일을 실행함으로써 상기 파일이 감염되었는지 여부를 판단하는 단계를 포함할 수 있다.
본 발명의 다른 일측에 따르면, 파일을 제공하는 저장부, 상기 파일을 복수 개의 서브스트링들로 분할하고, 상기 복수 개의 서브스트링들에 기반하여 상기 파일의 시그너처를 계산하는 제어부 및 상기 시그너처를 보안 서버로 전송하고, 상기 보안 서버로부터 상기 시그너처에 대응하는 제1 피드백을 수신하는 송수신부를 포함하고, 상기 제1 피드백은 상기 파일의 바이러스 감염 여부를 나타내는 정보를 포함하는, 단말이 제공된다.
상기 제어부는 상기 피드백에 기반하여 상기 파일이 상기 바이러스에 감염된 파일인지 여부를 판단할 수 있고, 상기 송수신부는 상기 파일을 상기 보안 서버로 전송할 수 있고, 상기 보안 서버로부터 상기 파일의 복구 파일을 수신할 수 있다.
본 발명의 다른 일측에 따르면, 단말로부터 파일의 시그너처를 수신하고, 상기 파일의 바이러스 감염 여부를 나타내는 정보를 포함하는 피드백 메시지를 단말로 전송하는 송수신부 및 상기 시그너처 및 알려진 바이러스의 시그너처를 비교함으로써 상기 파일의 바이러스 감염 여부를 검사하는 제어부를 포함하는, 보안 서버가 제공된다.
상기 송수신부는 상기 단말로부터 상기 단말의 운영 체제에 대한 정보 및 상기 파일을 수신할 수 있고, 복구 파일을 상기 단말로 전송할 수 있다.
상기 제어부는 상기 파일이 상기 바이러스에 감염되었을 경우 상기 파일의 상기 복구 파일을 생성함으로써 상기 파일로부터 상기 바이러스를 제거할 수 있다.
상기 제어부는 상기 단말의 운영 체제에 대한 정보에 기반하여 상기 단말을 가상으로 구동할 수 있고, 상기 가상으로 구동된 단말에서 상기 파일을 실행함으로써 상기 파일이 감염되었는지 여부를 판단할 수 있다.
상기 보안 서버는 바이러스에 대한 정보를 제공하는 보안 데이터베이스를 더 포함할 수 있다.
상기 제어부는 상기 바이러스에 대한 정보를 포함하도록 상기 보안 데이터베이스를 갱신할 수 있다.
상기 송수신부는 상기 보안 데이터베이스의 상기 갱신에 대한 정보를 상기 보안 서버와 P2P로 연결된 다른 분산 보안 서버로 전송할 수 있다.
클라우드 보안 아키텍처에 기반한 스마트폰 바이러스 검출 방법 및 장치가 제공된다.
도 1은 본 발명의 일 실시예에 따른 스마트폰 바이러스 감지를 위한 클라우드 보안 아키텍처를 도시한다.
도 2는 본 발명의 일 예에 따른 시그너처를 사용한 바이러스 검출의 개념을 설명한다.
도 3은 본 발명의 일 예에 따른 가상 머신을 사용한 바이러스 검출의 개념을 설명한다.
도 4는 본 발명의 일 실시예에 따른 바이러스 검색 방법의 절차 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 단말의 구조도이다.
도 6은 본 발명의 일 실시예에 따른 보안 서버의 구조도이다.
이하에서, 본 발명의 일 실시예를, 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 일 실시예에 따른 스마트폰 바이러스 감지를 위한 클라우드 보안 아키텍처를 도시한다.
클라우드 보안 아키텍처(100)는 복수 개의 기지국(base station)(110)들을 포함한다.
복수 개의 기지국(110)들은 각각 분산(distributed) 보안 서버(120)를 포함한다. 즉, 도시된 것처럼, 중앙 집중화된(centralized) 서버 대신, 복수 개의 분산 보안 서버가 넓은 범위에 걸쳐 기지국(110)과 함께 분산될 수 있다. 이러한 분산 보안 서버(120)들은 빠른 응답을 보장할 수 있고, 각 분산 보안 서버(120) 당 낮은 연산 부하(load)를 보장할 수 있다.
단, 클라우드 보안 아키텍처(100)는 기지국에 포함되지 않은, 독자적으로 동작하는 분산 보안 서버(120)를 포함할 수 있다.
도 1에서, 기지국(110) 및 기지국(110)에 포함된 분산 보안 서버(120)는 서로 인접한 것으로 도시되었다.
복수 개의 기지국(110) (또는, 복수 개의 분산 보안 서버(120))들은 이동 통신 망(telecom network) 또는 인터넷(internet)으로 상호 간에 연결되었다.
클라우드 보안 아키텍처(100)는 단말(130)을 포함한다.
단말(130)은 일반적으로 스마트폰이다. 그러나, 바이러스가 감염될 위험이 있는 피처 폰(feature phone) 또한 단말(130)에 포함될 수 있다.
단말(130)은 이동 통신망, 와이파이(wifi) 또는 다른 네트워크 매체(media)를 통해 기지국(110)에 연결될 수 있다. 따라서, 단말(130)은 기지국(110)을 통해 분산 보안 서버(120)와 무선으로 통신할 수 있다.
단말(130)은 이러한 와이파이 연결 및 이동 통신 망 등을 통하여 일반적인 PC보다 더 낳은 네트워크 접속 환경을 얻는다. 따라서, 단말(130)의 바이러스 검출에 있어서, 이러한 네트워크 조합에 따른 이점이 고려되어야 한다. 즉, 클라우드 보안 아키텍처(100)는 네트워크의 데이터 전송(transmitting) 능력(capacity) 및 단말(130)의 연산 능력을 고려하여 제안된 것이다.
통상적으로, 바이러스 검출을 위한 PC 애플리케이션은 보안 데이터베이스(database) 및 바이러스 탐색(scanning) 엔진(engine)를 구비한다. 즉, 바이러스 검출 애플리케이션은 PC 내에서 수행되며, 애플리케이션의 수행에 필요한 데이터 또한 PC 내에 저장된다.
본 실시예에서, 연산 오버헤드를 낮추기 위해, 보안 데이터베이스 및 바이러스 탐색 엔진은 단말(130)로부터 기지국(110) 내의 분산 보안 서버(120)로 이동한다. 단말(130)은 경량(light-weight) 시그너처(signature) 추상화(abstraction) 프로그램을 구동한다.
또한, 기지국(110) 또는 분산 보안 서버(120)는 방화벽(firewall)과 유사한 경량 메시지 필터(filter)를 구비할 수 있다. 경량 메시지 필터는 이미-알려진(already-known) 바이러스가 전파(propagation) 되는 것을 봉쇄(block)한다. 즉, 경량 메시지 필터는 바이러스에 감염된 파일 등이 기지국(110)을 통해 단말(130)로 이동하는 것 또는 단말(130)로부터 이동하는 것을 봉쇄할 수 있다.
이러한 클라우드 보안 아키텍처(100)의 프레임워크(framework)는 단말(130)의 메모리(memory)가 한정됨으로 인해 야기되는 보안 데이터베이스의 확장성(scalability) 문제를 해결할 수 있다.
단말(130)은 클라우드 보안 아키텍처(100) 내의 복수 개의 분산 보안 서버(120)들 중 특정한 분산 보안 서버(120)를 바이러스 감지를 위한 서버로서 선택할 수 있다. 이후, 분산 보안 서버(120)들 중, 단말(130)의 바이러스 감지를 위해 선택된 분산 보안 서버(120)를 보안 서버(140)으로 명명한다.
단말(130)은 복수 개의 분산 보안 서버(120) 중 단말(130)이 연결된 기지국(110)에 포함된 분산 보안 서버(120)를 보안 서버(140)로서 선택할 수 있다. 따라서, 일반적으로, 단말(130) 및 보안 서버(140)는 지역 영역(local area) 내에 위치한다.
또한, 단말(130)은 통신 속도, 통신 요금, 통신 대역폭 및 분산 보안 서버(120)의 처리 속도 중 하나 이상을 고려해서 복수 개의 분산 보안 서버(120) 중에서 보안 서버(140)를 선택할 수 있다.
단말(130) 및 보안 서버(140) 간의 최소화된 데이터 처리(transaction) 시간에 의해, 클라우드 보안 아키텍처(100)는 단말(130) 사용자에게 마치 바이러스 탐색이 실시간(real-time)으로 수행되는 것과 같은 느낌을 부여한다.
복수 개의 분산 보안 서버(120)들은 P2P(peer-to-peer) 아키텍처(architecture)에 기반하여 상호 연결될 수 있다. 따라서, 하나의 분산 보안 서버(120)에서 새로운 바이러스를 감지하였을 때, 복수 개의 분산 보안 서버(120)들의 보안 데이터베이스는 (거의) 동시에 갱신(update)될 수 있다.
그러므로, 새로운 위협(threat)이 대두되었을 때(emerge), 본 실시예에 따른 클라우드 보안 아키텍처(100)는 대규모(large scale)의 전파 및 미래의 손상(damage)를 용이하게 방지할 수 있다.
도 2는 본 발명의 일 예에 따른 시그너처를 사용한 바이러스 검출의 개념을 설명한다.
단말(130)(또는, 단말(130) 내의 에이전트 프로그램)은 단말(130)에 저장된 파일들 중 의심 파일(suspicious)(210)들을 선택한다. 예컨대, 의심 파일(210)은 실행가능한(excutable) 어플리케이션들일 수 있다. 또한, 의심 파일(210)은 메시지(message) 또는 이메일(email) 첨부(attachments)들 내의 링크(link)들일 수 있다.
단말(130)(또는, 단말(130) 내의 에이전트 프로그램)은 의심 파일(210)들을 분리함으로써 복수 개의 서브스트링(substring)(212)들을 생성할 수 있다.
서브스트링(212)은 일정한 길이를 가질 수 있다. 예컨대, 의심 파일(210)의 길이가 Lf이면, 의심 파일(210)은 Ls의 길이를 갖는 복수 개의 서브스트링(212)들로 분리될 수 있다. 의심 파일(210) 중 서브스트링(212)으로 분리되고 남은 부분(214)은 버려질 수 있다(thrown away). 또는, 남은 부분(214)은 마지막 서브스트링이 될 수도 있다.
단말(130)(또는, 단말(130) 내의 에이전트 프로그램)은 생성된 서브스트링(212)에 메시지-다이제스트 알고리즘 5(Message-Digest algorithm 5; MD5) 해쉬 함수를 적용함으로써 복수 개의 서브스트링(212)들 각각의 MD5 값을 생성한다. 하나의 서브스트링은 하나의 MD5 값을 생성할 수 있다. MD5 값은 128-비트일 수 있다.
의심 파일(210)의 시그너처(220)는 생성된 MD5 값들일 수 있다. 즉, 의심 파일(210)의 시그너처(220)는 상기의 의심 파일(210)을 구성하는 하나 이상의 서브스트링(212)의 MD5 값들일 수 있다.
여기서, 예컨대 실행가능한 객체(object)와 같은, 의심 파일(210)은 그것의 MD5 값들을 생성하는 스트림으로 간주(treat)될 수 있다.
전술된 MD5는 시그너처를 생성하기 위한 일 예에 불과하다. 시그너처를 생성할 수 있는 임의의 스트링 처리 함수가 전술된 MD5를 대체할 수 있다.
단말(130)(또는, 단말(130) 내의 에이전트 프로그램)은 복수 개의 의심 파일(210)들에 대응하는 시그너처들을 보안 서버(140)로 전송한다. 따라서, 단말(또는, 단말(130) 내의 에이전트 프로그램)이 수행하는 작업은 단지 MD5 해쉬 값들을 생성하는 것이다.
보안 서버(140)는 모든 알려진 바이러스들의 MD5 해쉬 값들을 저장하는 보안 데이터베이스를 구비한다.
보안 서버(140)에서의 바이러스 스케닝 프로세스(process)는 PC의 바이러스 스케닝 프로세스와 유사하다.
보안 서버(140)의 바이러스 스케닝 프로세스에서, 단말(130)로부터 수신한 의심 파일(210)의 시그너처(220)들은 보안 데이터베이스 내에 저장된 아이템(item)들과 매치(match)된다. 아이템은 특정 바이러스의 시그너처, 즉, 특정 바이러스의 MD5 해쉬 값들이다.
의심 파일(210)의 시그너처(220)가 특정 아이템과 매치된 경우, 의심 파일(210)은 상기 아이템에 대응하는 바이러스에 감염된 파일일 수 있다.
따라서, 보안 서버(140)는 검출된 바이러스에 대한 이후의 처리를 위해, 매치된 아이템에 대한 정보를 포함하는 피드백(230)을 단말로 전송한다.
단말(130)은 의심 파일(210)의 이름, 디렉토리(directory) 및 생성된 해쉬 값들(즉, 시그너처(220))을 임시 저장 장소(storage)에 저장할 수 있다.
이러한 데이터는 보안 서버(140)로부터 피드백(feedback)(230)이 올 때까지 임시적으로 저장된다. 따라서, 단말(130) (또는, 단말(130) 내의 에이전트 프로그램)은 이러한 임시 데이터를 보안 서버(140)에서 매치된 바이러스를 트레이스(trace)하기 위해 사용할 수 있으며, 바이러스들을 봉쇄하기 위해 사용될 수 있다.
또한, 바이러스 분석(analysis) 및 감염된(infected) 파일의 복원에 있어서, 이러한 임시 데이터가 바이러스 파일들을 트레이스하기 위해 사용될 수 있다. 또한, 이러한 임시 데이터는 보안 서버(140)로부터의 피드백(230) 메시지에 따라, 바이러스가 감지된 의심 파일(210)을 보안 서버(140)로 전송하기 위해 사용될 수 있다.
전술된 것처럼, 복수 개의 분산 보안 서버(120)들은 P2P 아키텍처에 기반하여 상호 연결될 수 있다. 따라서, 보안 서버(140)에서 발생하는 임의의 시그너처 라이브러리 또는 스케닝 엔진의 갱신(update)은 다른 네트워크 피어(peer)들(즉, 보안 서버(140)를 제외한 다른 분산 보안 서버(120)들에게 일정 시간 내에(in time) 통지될 수 있다.
도 3은 본 발명의 일 예에 따른 가상 머신을 사용한 바이러스 검출의 개념을 설명한다.
본 실시예에서, 주 스케닝 프로세스는 지역적으로 위치한 분산 보안 서버(120)에서 수행된다. 따라서, 자원 소모가 큰 몇몇 바이러스 감지 메커니즘(mechanism)들이 분산 보안 서버(120)들 내에 구현될 수 있다.
사용자가 바이러스가 감지된(또는, 검색된) 의심 파일(310)(예컨대, 의심스러운 실행 객체)들을 발견했을 때, 이러한 파일(310)들은 더 정교한(complex) 분석을 위해 보안 서버(140)로 직접 전송될 수 있다.
또는, 의심 파일(210)의 시그너처(220)에서 바이러스가 감지되었을 때, 보안 서버(140)는 단말(130)에게 바이러스가 감지된 의심 파일(310) 전체를 전송해줄 것을 요청할 수 있다.
의심 파일(310)이 전송될 때 사용되는 메시지는 단말의 운영 체제 및 의심 파일(310)들에 대한 정보를 포함할 수 있다.
보안 서버(140)는 상기의 정보에 기반하여 가상(virtual) 단말(320)을 생성할 수 있고, 전송된 의심 파일(310)은 보안 서버(140)에서 실행되는 가상 단말(320)에서 테스트(test)될 수 있다.
가상 단말(320)을 사용하는 감지 방법은 소수의 파일들을 동시에 스케닝하는 것에 적합하다. 즉, 가상 단말(320)을 사용하는 감지 방법은 일반적인 파일 스케닝에는 적합하지 않을 수 있다. 따라서, 보안 서버(140)는 도 2를 참조하여 전술된 바이러스 감지 절차에 의해 바이러스가 감지된 후보(candidate) 파일(310)에 대해서만 단말(130)에게 원본 파일을 전송해 줄 것을 요청할 수 있다.
가상 단말(320)에서 바이러스가 감지된 경우, 보안 서버(140)는 테스트된 의심 파일에 대한 피드백(330)을 단말(130)에게 전송할 수 있다. 또한, 바이러스가 감지됨에 의하여 보안 데이터베이스가 갱신될 수 있다.
도 4는 본 발명의 일 실시예에 따른 바이러스 검색 방법의 절차 흐름도이다.
단계(S410)에서, 단말(130)은 보안 서버(140)를 선택한다. 선택된 보안 서버(140)는 단말(130)이 이동 통신 망을 통해 접속한 기지국(110)에 포함된 분산 보안 서버(130)일 수 있다.
단계(S420)에서, 단말(130)은 단말의 파일 시스템 내의 파일들 중 하나 이상의 의심 파일(210)을 선택한다.
단계(S422)에서, 단말(130)은 선택된 하나 이상의 의심 파일(210) 각각에 대해 시그너처(220)를 계산한다.
상기의 시그너처(220)를 계산하는 단계(S422)는 의심 파일(210)을 복수 개의 서브스트링(212)들로 분할하는 단계 및 분할된 복수 개의 서브 스트링(212)에 기반하여 파일의 시그너처(220)를 계산하는 단계를 포함할 수 있다.
전술될 것처럼, 시그너처(220)는 복수 개의 서브스트링(212)들 각각의 해쉬 값들일 수 있으며, 해쉬 값은 서브스트링에 MD5 방법(즉, 함수)을 적용함으로써 생성될 수 있다.
단계(S424)에서, 단말(130)은 생성된 시그너처(220)들을 포함하는 시그너처 메시지를 보안 서버(140)로 전송한다. 보안 서버(140)는 시그너처 메시지를 통해 의심 파일(210)의 시그너처(220)를 수신한다.
단계(S430)에서, 보안 서버(140)는 의심 파일(210)의 감염 여부를 검사한다.
보안 서버(140)는 수신된 의심 파일(210)의 시그너처(220) 및 알려진 바이러스의 시그너처를 상호 매칭(즉, 비교)함으로써 의심 파일(210)의 바이러스 감염 여부를 검사할 수 있다.
단계(S440)에서, 보안 서버(140)는 제1 피드백 메시지를 단말(130)로 전송한다. 단말(130)은 보안 서버(140)로부터 의심 파일(210)의 시그너처(220)에 대응하는 제1 피드백 메시지를 수신한다.
제1 피드백 메시지는 의심 파일(210)의 바이러스 감염 여부를 나타내는 정보를 포함한다.
단계(S442)에서, 단말(130)은 제1 피드백 메시지에 대응하는 처리를 수행한다.
예컨대, 피드백 메시지가 의심 파일(210)이 바이러스에 감염되었음을 나타내는 정보를 포함하면, 단말(130)은 의심 파일(210)을 삭제 또는 격리할 수 있다.
예컨대, 단말(130)은 제1 피드백 메시지에 기반하여 의심 파일(210)이 바이러스에 감염된 파일인지 여부를 판단할 수 있다.
예컨대, 피드백 메시지가 의심 파일(210)이 바이러스에 감염되지 않았음을 나타내는 정보를 포함하면, 단말(130)은 절차를 종료할 수 있다.
하기의 단계들(S450 내지 S480)은, 제1 피드백 메시지가 의심 파일(210)이 바이러스에 감염되었음을 나타내는 정보를 포함할 때, 단말(130) 및 보안 서버(140)가 수행하는 절차를 설명한다.
단계(S450)에서, 단말(130)은 감염 의심 파일 메시지를 보안 서버(140)로 전송한다.
감염 의심 파일 메시지는 의심 파일(210)을 포함할 수 있다.
감염 의심 파일 메시지는 단말(130)의 운영 체제에 대한 정보를 포함할 수 있다.
단계(S460)에서, 보안 서버(140)는 의심 파일(210) 전체에 대한 바이러스 검색을 수행한다. 또한, 단계(S460)에서 의심 파일(210)이 바이러스에 감염된 것일 경우, 보안 서버(140)는 의심 파일(210)의 복구 파일을 생성함으로써 의심 파일(210)로부터 바이러스를 제거할 수 있다.
전술된 바이러스를 제거하는 단계는 1) 보안 서버(140)가 수신한 단말(130)의 운영 체제에 대한 정보에 기반하여 단말(130)을 가상으로 구동하는 단계 및 2) 보안 서버(140)가 가상으로 구동된 단말(130)에서 의심 파일(210)을 실행함으로써 의심 파일(210)이 감염되었는지 여부를 판단하는 단계를 포함할 수 있다.
단계(S462)에서, 보안 서버(140)는 제2 피드백 메시지를 단말(130)로 전송한다. 단말(130)은 보안 서버(140)로부터 제2 피드백 메시지를 수신한다.
제2 피드백 메시지는 의심 파일(210)이 바이러스에 감염되었는지 여부를 나타내는 정보를 포함할 수 있다.
제2 피드백 메시지는 의심 파일(210)의 복구 파일을 포함할 수 있다.
단계(S470)에서, 단말(130)은 제2 피드백 메시지에 대응하는 처리를 수행한다.
예컨대, 제2 피드백 메시지가 의심 파일(210)이 바이러스에 감염되었음을 나타내는 정보를 포함하면, 단말(130)은 단말 내의 의심 파일(210)을 제거하고, 수신된 복구 파일로 제거된 의심 파일(210)을 대체할 수 있다.
단계(S480)에서, 보안 서버(140)는 보안 데이터베이스를 갱신한다. 예컨대, 이전 단계(S460)에서 새로운 바이러스가 발견된 경우, 보안 서버(140)는 새로운 바이러스에 대한 정보를 포함하도록 보안 데이터베이스를 갱신할 수 있다.
단계(S490)에서, 전술된 단계(S480)에서의 보안 데이터베이스의 갱신에 따라 복수 개의 분산 보안 서버(130)들이 동기화된다.
즉, 하나의 보안 서버(140)에서 발생한 보안 데이터베이스의 갱신에 대한 정보가 P2P 연결 등을 통해 다른 분산 보안 서버(130)들로 전송되고, 다른 분산 보안 서버(130)들도 보안 서버(140)의 갱신에 상응하도록, 자신들의 보안 데이터베이스를 갱신한다.
앞서 도 1 내지 도 3을 참조하여 설명된 본 발명의 일 실시예에 따른 기술 적 내용들이 본 실시예에도 그대로 적용될 수 있다. 따라서 보다 상세한 설명은 이하 생략하기로 한다.
도 5는 본 발명의 일 실시예에 따른 단말(130)의 구조도이다.
단말(130)은 송수신부(510), 제어부(520) 및 저장부(530)를 포함한다.
저장부(530)는 파일을 저장하고, 파일을 제어부(520)에게 제공한다.
제어부(520)는 저장부의 파일 중 의심 파일(210)을 선택한다.
제어부(520)는 의심 파일(210)을 복수 개의 서브스트링(212)들로 분할할 수 있고, 분할된 복수 개의 서브스트링들(212)에 기반하여 의심 파일(210)의 시그너처(220)를 생성할 수 있다.
송수신부(510)는 생성된 시그너처(220)를 보안 서버(140)로 전송하고, 보안 서버(140)로부터 시그너처(220)에 대응하는 제1 피드백(230)을 수신한다.
제1 피드백(230)은 의심 파일(210)의 바이러스 감염 여부를 나타내는 정보를 포함할 수 있다.
제어부(520)는 제1 피드백(230)에 기반하여 의심 파일(210)이 바이러스에 감염된 파일인지 여부를 판단할 수 있다.
의심 파일(210)이 바이러스에 감염된 파일인 경우, 송수신부(510)는 의심 파일(210)을 보안 서버(140)로 전송할 수 있고, 보안 서버(140)로부터 의심 파일(210)의 복구 파일을 수신할 수 있다.
제어부(520)는 MD5 생성부(522)와 같은 부 구성 요소를 포함할 수 있다.
MD5 생성부(522)는 MD5 함수를 사용하여 서브스트링(212)의 MD5 해쉬 값을 생성할 수 있다.
앞서 도 1 내지 도 4를 참조하여 설명된 본 발명의 일 실시예에 따른 기술 적 내용들이 본 실시예에도 그대로 적용될 수 있다. 따라서 보다 상세한 설명은 이하 생략하기로 한다.
도 6은 본 발명의 일 실시예에 따른 보안 서버(140)의 구조도이다.
보안 서버(140)는 송수신부(610), 제어부(620) 및 보안 데이터베이스(630)를 포함한다.
송수신부(610)는 단말(130)로부터 의심 파일(210)의 시그너처(220)를 수신하고, 의심 파일(210)의 바이러스 감염 여부를 나타내는 정보를 포함하는 피드백 메시지를 단말(130)로 전송한다.
제어부(620)는 시그너처(220) 및 알려진 바이러스의 시그너처를 비교함으로써 의심 파일(210)의 바이러스 감염 여부를 검사한다.
보안 데이터베이스(630)는 알려진 바이러스의 시그너처와 같은 바이러스에 대한 정보를 제공한다.
송수신부(610)는 단말(130)로부터 단말(130)의 운영 체제에 대한 정보 및 의심 파일(210)을 수신할 수 있고, 복구 파일을 단말로 전송할 수 있다.
제어부(620)는 의심 파일(210)이 바이러스에 감염되었을 경우 의심 파일(210)의 복구 파일을 생성함으로써 의심 파일(210)로부터 바이러스를 제거할 수 있다.
제어부(620)는 단말(130)의 운영 체제에 대한 정보에 기반하여 단말을 가상으로 구동할 수 있고, 가상으로 구동된 단말에서 의심 파일(210)을 실행함으로써 의심 파일(210)이 감염되었는지 여부를 판단할 수 있다.
제어부(620)는 의심 파일(210)이 감염된 바이러스에 대한 정보를 포함하도록 보안 데이터베이스(630)를 갱신할 수 있다. 송수신부(610)는 보안 데이터베이스(630)의 갱신에 대한 정보를 보안 서버(140)와 P2P로 연결된 다른 분산 보안 서버(130)로 전송할 수 있다.
제어부(620)는 가상 단말 제공부(622) 및 동기화부(624)와 같은 부 구성 요소를 포함할 수 있다.
가상 단말 제공부(622)는 단말(130)의 운영 체제에 대한 정보에 기반하여 단말을 가상으로 구동함으로써 가상 단말을 제공할 수 있다.
동기화부(624)는 다른 분산 보안 서버(130)로 전송할 보안 데이터베이스(630)의 갱신에 대한 정보를 생성할 수 있고, 다른 분산 보안 서버(130)로부터 동기화 정보가 수신되었을 때, 상응하는 동기화 작업을 수행할 수 있다.
앞서 도 1 내지 도 5를 참조하여 설명된 본 발명의 일 실시예에 따른 기술 적 내용들이 본 실시예에도 그대로 적용될 수 있다. 따라서 보다 상세한 설명은 이하 생략하기로 한다.
본 발명의 일 실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
110: 기지국
120: 분산 보안 서버
130: 단말
140: 보안 서버

Claims (17)

  1. 이동 단말의 바이러스 검색 방법에 있어서,
    이동 통신 망의 복수 개의 기지국들이 각각 포함하는 상호 연결된 분산 보안 서버들 중 상기 이동 단말이 상기 이동 통신 망을 통해 접속한 기지국에 포함된 분산 보안 서버를 바이러스 검색을 위한 보안 서버로서 선택하는 단계;
    파일을 복수 개의 서브스트링들로 분할하는 단계;
    상기 복수 개의 서브스트링들에 기반하여 상기 파일의 시그너처를 계산하는 단계;
    상기 시그너처를 상기 보안 서버로 전송하는 단계; 및
    상기 보안 서버로부터 상기 시그너처에 대응하는 피드백을 수신하는 단계
    를 포함하고,
    상기 피드백은 상기 파일의 바이러스 감염 여부를 나타내는 정보를 포함하는, 이동 단말의 바이러스 검색 방법.
  2. 제1항에 있어서,
    상기 시그너처는 상기 복수 개의 서브스트링들 각각의 해쉬 값들인, 이동 단말의 바이러스 검색 방법.
  3. 제2항에 있어서,
    상기 해쉬 값은 MD5 방법에 의해 생성된 해쉬 값인, 이동 단말의 바이러스 검색 방법.
  4. 제1항에 있어서,
    상기 피드백에 기반하여 상기 파일이 상기 바이러스에 감염된 파일인지 여부를 판단하는 단계;
    상기 파일을 상기 보안 서버로 전송하는 단계; 및
    상기 보안 서버로부터 상기 파일의 복구 파일을 수신하는 단계
    를 더 포함하는, 이동 단말의 바이러스 검색 방법.
  5. 제1항에 있어서,
    상기 상호 연결된 분산 보안 서버들은 P2P(peer-to-peer) 아키텍처(architecture)에 기반하여 상호 연결되고, 상기 상호 연결된 분산 보안 서버들 중 하나의 분산 보안 서버에서 새로운 바이러스를 감지하였을 때 상기 상호 연결된 분산 보안 서버들 각각의 보안 데이터베이스가 갱신되는, 이동 단말의 바이러스 검색 방법.
  6. 보안 서버가 이동 단말에게 보안 서비스를 제공하는 방법에 있어서,
    상기 이동 단말로부터 파일의 시그너처를 수신하는 단계;
    상기 시그너처 및 알려진 바이러스의 시그너처를 비교함으로써 상기 파일의 바이러스 감염 여부를 검사하는 단계; 및
    상기 파일의 바이러스 감염 여부를 나타내는 정보를 포함하는 피드백 메시지를 상기 이동 단말로 전송하는 단계
    를 포함하고,
    상기 보안 서버는 이동 통신 망의 복수 개의 기지국들이 각각 포함하는 상호 연결된 분산 보안 서버들 중 바이러스 검색을 위해 상기 이동 단말에 의해 선택된 분산 보안 서버이며, 상기 이동 단말이 상기 이동 통신 망을 통해 접속한 기지국에 포함된 분산 보안 서버인, 보안 서비스 제공 방법.
  7. 제6항에 있어서,
    상기 시그너처는 상기 파일을 구성하는 복수 개의 서브스트링들 각각의 해쉬 값들인, 보안 서비스 제공 방법.
  8. 제7항에 있어서,
    상기 해쉬 값들은 각각 MD5 방법에 의해 생성된 해쉬 값인, 보안 서비스 제공 방법.
  9. 제6항에 있어서,
    상기 이동 단말로부터 상기 이동 단말의 운영 체제에 대한 정보 및 상기 파일을 수신하는 단계;
    상기 파일이 상기 바이러스에 감염되었을 경우 상기 파일의 복구 파일을 생성함으로써 상기 바이러스를 제거하는 단계; 및
    상기 복구 파일을 상기 이동 단말로 전송하는 단계
    를 더 포함하는, 보안 서비스 제공 방법.
  10. 제9항에 있어서,
    상기 파일이 상기 바이러스에 감염되었을 경우 상기 파일의 복구 파일을 생성함으로써 상기 바이러스를 제거하는 단계는,
    상기 이동 단말의 운영 체제에 대한 정보에 기반하여 가상 단말을 구동하는 단계; 및
    상기 가상 단말에서 상기 파일을 실행함으로써 상기 파일이 상기 바이러스에 감염되었는지 여부를 판단하는 단계
    를 포함하는, 보안 서비스 제공 방법.
  11. 이동 단말에 있어서,
    파일을 제공하는 저장부;
    이동 통신 망의 복수 개의 기지국들이 각각 포함하는 상호 연결된 분산 보안 서버들 중 상기 이동 단말이 상기 이동 통신 망을 통해 접속한 기지국에 포함된 분산 보안 서버를 바이러스 검색을 위한 보안 서버로서 선택하고, 상기 파일을 복수 개의 서브스트링들로 분할하고, 상기 복수 개의 서브스트링들에 기반하여 상기 파일의 시그너처를 계산하는 제어부; 및
    상기 시그너처를 상기 보안 서버로 전송하고, 상기 보안 서버로부터 상기 시그너처에 대응하는 제1 피드백을 수신하는 송수신부
    를 포함하고,
    상기 제1 피드백은 상기 파일의 바이러스 감염 여부를 나타내는 정보를 포함하는, 이동 단말.
  12. 삭제
  13. 이동 단말에게 보안 서비스를 제공하는 보안 서버에 있어서,
    상기 이동 단말로부터 파일의 시그너처를 수신하고, 상기 파일의 바이러스 감염 여부를 나타내는 정보를 포함하는 피드백 메시지를 상기 이동 단말로 전송하는 송수신부; 및
    상기 시그너처 및 알려진 바이러스의 시그너처를 비교함으로써 상기 파일의 바이러스 감염 여부를 검사하는 제어부
    를 포함하고,
    상기 보안 서버는 이동 통신 망의 복수 개의 기지국들이 각각 포함하는 상호 연결된 분산 보안 서버들 중 바이러스 검색을 위해 상기 이동 단말에 의해 선택된 분산 보안 서버이며, 상기 이동 단말이 상기 이동 통신 망을 통해 접속한 기지국에 포함된 분산 보안 서버인, 보안 서버.
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
KR1020100110892A 2010-11-09 2010-11-09 클라우드 보안 아키텍처를 사용한 스마트폰 바이러스 검출 방법 및 장치 KR101218419B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100110892A KR101218419B1 (ko) 2010-11-09 2010-11-09 클라우드 보안 아키텍처를 사용한 스마트폰 바이러스 검출 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100110892A KR101218419B1 (ko) 2010-11-09 2010-11-09 클라우드 보안 아키텍처를 사용한 스마트폰 바이러스 검출 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20120049570A KR20120049570A (ko) 2012-05-17
KR101218419B1 true KR101218419B1 (ko) 2013-01-21

Family

ID=46267331

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100110892A KR101218419B1 (ko) 2010-11-09 2010-11-09 클라우드 보안 아키텍처를 사용한 스마트폰 바이러스 검출 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101218419B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101600302B1 (ko) 2013-04-24 2016-03-21 이상호 클라우드 멀티백신을 이용한 보안방법 및 그 장치

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101303249B1 (ko) * 2012-02-16 2013-09-16 숭실대학교산학협력단 바이러스 백신 프로그램을 이용한 응용 소프트웨어의 불법 복제 방지 장치 및 방법
KR101498658B1 (ko) * 2013-06-27 2015-03-05 주식회사 와이오즈 토렌트 프로토콜 기반의 원본 파일 확인 방법 및 그 방법을 이용한 원본 파일 확인 장치
KR101464736B1 (ko) * 2013-07-10 2014-11-27 (주) 에스씨에이시스템 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818306B1 (ko) * 2006-11-22 2008-04-01 한국전자통신연구원 공격 패킷 시그너처 후보 추출 장치 및 방법
KR20100116393A (ko) * 2009-04-22 2010-11-01 주식회사 안철수연구소 네트워크 기반 악성 코드 진단 방법 및 진단 서버

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818306B1 (ko) * 2006-11-22 2008-04-01 한국전자통신연구원 공격 패킷 시그너처 후보 추출 장치 및 방법
KR20100116393A (ko) * 2009-04-22 2010-11-01 주식회사 안철수연구소 네트워크 기반 악성 코드 진단 방법 및 진단 서버

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101600302B1 (ko) 2013-04-24 2016-03-21 이상호 클라우드 멀티백신을 이용한 보안방법 및 그 장치

Also Published As

Publication number Publication date
KR20120049570A (ko) 2012-05-17

Similar Documents

Publication Publication Date Title
US10474817B2 (en) Dynamically optimizing performance of a security appliance
US10958519B2 (en) Dynamic, load-based, auto-scaling network security microservices architecture
US10637750B1 (en) Dynamically modifying a service chain based on network traffic information
US9203853B2 (en) Cloud-based gateway security scanning
US9864630B2 (en) Starting a process using file descriptors
US20140283079A1 (en) Stem cell grid
US20140181966A1 (en) Cloud-based distributed denial of service mitigation
EP3668007B1 (en) System for identifying and assisting in the creation and implementation of a network service configuration using hidden markov models (hmms)
US20120272320A1 (en) Method and system for providing mobile device scanning
US9491190B2 (en) Dynamic selection of network traffic for file extraction shellcode detection
RU2701842C1 (ru) Способ формирования запроса информации о файле для осуществления антивирусной проверки и система для реализации способа (варианты)
KR101218419B1 (ko) 클라우드 보안 아키텍처를 사용한 스마트폰 바이러스 검출 방법 및 장치
EP4221089A1 (en) Enforcing threat policy actions based on network addresses of host threats
US20120167222A1 (en) Method and apparatus for diagnosing malicous file, and method and apparatus for monitoring malicous file
WO2017107804A1 (zh) 发现DDoS攻击的方法及装置
KR101896824B1 (ko) Isp를 사용한 바이러스 사전 탐지 장치 및 방법
US20190278580A1 (en) Distribution of a software upgrade via a network
EP3848834B1 (en) Search device, search method, and search program
RU2602372C2 (ru) Система и способ распределенного обнаружения вредоносных объектов
US11792211B2 (en) System for detecting and remediating computing system breaches using computing network traffic monitoring
US20240069909A1 (en) Software bill of materials handshake for cloud-based code execution
WO2012027923A1 (zh) 一种统一威胁管理系统及其数据处理方法
CN117857209A (zh) 一种邮件安全检测方法、装置和系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151012

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161004

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee