KR101247943B1

KR101247943B1 - 화이트리스트를 이용한 바이러스 검사 장치 및 방법

Info

Publication number: KR101247943B1
Application number: KR1020120105259A
Authority: KR
Inventors: 정락문; 현태원
Original assignee: 주식회사 윈스테크넷
Priority date: 2012-09-21
Filing date: 2012-09-21
Publication date: 2013-04-02

Abstract

화이트리스트를 이용한 바이러스 검사 장치 및 방법이 개시된다. 기 검사된 파일의 파일 정보 및 패턴 정보를 저장하는 파일/패턴 정보 저장 모듈; 검사할 파일 중 소정 용량 이하의 파일을 선택하는 검사 파일 선택 모듈; 상기 선택된 파일의 파일 정보를 추출하고, 상기 파일/패턴 정보 저장 모듈에 저장된 파일 정보와 일치하는 지 대비하는 파일 정보 추출/대비 모듈; 상기 파일 정보 추출/대비 모듈에서 파일 정보가 상호 일치하는 경우, 상기 상호 일치하는 파일의 파일/패턴 정보를 상기 파일/패턴 정보 저장 모듈에서 독출하여 탐지 정보와 일치하는 지 대비하고, 상기 파일 정보 추출/대비 모듈에서 파일 정보가 상호 일치하지 않는 경우, 상기 검사 파일 선택 모듈에서 선택된 파일의 패턴 정보를 추출하여 상기 탐지 정보와 일치하는 지 대비하는 검사 파일 패턴 추출 모듈; 상기 검사 파일 패턴 추출 모듈에서 상기 탐지 정보와 일치하는 패턴 정보를 갖는 파일을 선택하여 치료/삭제하고, 상기 파일/패턴 정보 저장 모듈에 저장된 해당 파일 정보 및 패턴 정보를 삭제하는 파일 처리 모듈을 구성한다.

Description

화이트리스트를 이용한 바이러스 검사 장치 및 방법{APPARATUS AND METHOD FOR CHECKING VIRUS USING WHITELIST}

본 발명은 바이러스 검사 장치 및 방법에 관한 것으로서, 좀 더 구체적으로는 화이트리스트를 이용한 바이러스 검사 장치 및 방법에 관한 것이다.

종래에는 바이러스 검사를 위해 파일의 패턴 정보와 비정상적인 파일을 검색하기 위한 탐지 정보의 일치 여부를 판단한다. 즉, 블랙리스트(blacklist)를 활용한 바이러스 탐지 방식이 이용되고 있다.

대개 파일의 패턴 정보는 파일 전체 또는 일부를 해쉬(hash)하여 생성한다. 그런데, PC 등에 저장된 모든 파일을 해쉬하는 데에는 상당한 시간이 소요된다는 문제점이 있다.

이는 블랙리스트만을 탐지 정보로 활용하기 때문에, 정상적인 파일로 검사되었던 모든 파일을 매번 재검사해야 하기 때문이다.

이러한 방식은 검사 시간의 장시간 소요라는 문제점과 함께 리소스를 적절하게 분배하거나 활용할 수 없다는 문제점도 발생한다.

본 발명의 목적은 화이트리스트를 이용한 바이러스 검사 장치를 제공하는 데 있다.

본 발명의 다른 목적은 화이트리스트를 이용한 바이러스 검사 방법을 제공하는 데 있다.

상술한 본 발명의 목적에 따른 화이트리스트를 이용한 바이러스 검사 장치는, 기 검사된 파일의 파일 정보 및 패턴 정보를 저장하는 파일/패턴 정보 저장 모듈; 검사할 파일 중 소정 용량 이하의 파일을 선택하는 검사 파일 선택 모듈; 상기 선택된 파일의 파일 정보를 추출하고, 상기 파일/패턴 정보 저장 모듈에 저장된 파일 정보와 일치하는 지 대비하는 파일 정보 추출/대비 모듈; 상기 파일 정보 추출/대비 모듈에서 파일 정보가 상호 일치하는 경우, 상기 상호 일치하는 파일의 파일/패턴 정보를 상기 파일/패턴 정보 저장 모듈에서 독출하여 탐지 정보와 일치하는 지 대비하고, 상기 파일 정보 추출/대비 모듈에서 파일 정보가 상호 일치하지 않는 경우, 상기 검사 파일 선택 모듈에서 선택된 파일의 패턴 정보를 추출하여 상기 탐지 정보와 일치하는 지 대비하는 검사 파일 패턴 추출 모듈; 상기 검사 파일 패턴 추출 모듈에서 상기 탐지 정보와 일치하는 패턴 정보를 갖는 파일을 선택하여 치료/삭제하고, 상기 파일/패턴 정보 저장 모듈에 저장된 해당 파일 정보 및 패턴 정보를 삭제하는 파일 처리 모듈을 포함하도록 구성될 수 있다.

이때, 상기 파일 정보는, 파일의 생성 일시 및 수정 일시를 포함하도록 구성될 수 있다.

상술한 본 발명의 다른 목적에 따른 화이트리스트를 이용한 바이러스 검사 방법은, 검사 파일 선택 모듈이 검사를 위해 소정 용량 이하의 파일을 선택하는 단계; 파일 정보 추출/대비 모듈이 상기 선택된 파일의 파일 정보를 추출하고, 상기 파일/패턴 정보 저장 모듈에 저장된 파일 정보와 일치하는 지 대비하는 단계; 상기 파일 정보 추출/대비 모듈에서 파일 정보가 상호 일치하는 경우, 검사 파일 패턴 추출 모듈이 상기 상호 일치하는 파일의 파일/패턴 정보를 상기 파일/패턴 정보 저장 모듈에 기 저장된 파일/패턴 정보를 독출하여 탐지 정보와 일치하는 지 대비하고, 상기 파일 정보 추출/대비 모듈에서 파일 정보가 상호 일치하지 않는 경우, 상기 검사 파일 패턴 추출 모듈이 상기 검사 파일 선택 모듈에서 선택된 파일의 패턴 정보를 추출하여 상기 탐지 정보와 일치하는 지 대비하는 단계; 상기 독출된 파일/패턴 정보와 상기 탐지 정보의 대비 결과 상호 일치하는 경우에는 파일 처리 모듈이 상기 일치하는 패턴 정보를 갖는 파일을 선택하여 치료/삭제하고 상호 일치하지 않는 경우에는 상기 파일/패턴 정보 저장 모듈에 저장된 해당 파일 정보 및 패턴 정보를 삭제하는 단계를 포함하도록 구성될 수 있다.

상기와 같은 화이트리스트를 이용한 바이러스 검사 장치 및 방법에 의하면, 파일 정보를 이용하여 기존에 검사한 정상적인 파일은 패턴 정보 생성 과정을 생략함으로써, 바이러스 검사에 소요되는 시간과 리소스를 줄이는 효과가 있다.

도 1은 본 발명의 일 실시예에 따른 화이트리스트를 이용한 바이러스 검사 장치의 블록 구성도이다.
도 2는 본 발명의 일 실시예에 따른 화이트리스트를 이용한 바이러스 검사 장치의 흐름도이다.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 설명한다.

도 1은 본 발명의 일 실시예에 따른 화이트리스트를 이용한 바이러스 검사 장치의 블록 구성도이다.

도 1을 참조하면, 본 발명의 일 실시예에 따른 화이트리스트를 이용한 바이러스 검사 장치(100)(이하, '바이러스 검사 장치'라 함)은 파일/패턴 정보 저장 모듈(110), 검사 파일 선택 모듈(120), 파일 정보 추출/대비 모듈(130), 검사 파일 패턴 추출 모듈(140) 및 파일 처리 모듈(150)을 포함하도록 구성될 수 있다.

바이러스 검사 장치(100)는 기존과 달리 블랙리스트 및 화이트리스트를 병용하여 검사 시간을 줄이도록 구성된다. 화이트리스트는 기존에 검사했던 파일의 파일 정보를 이용하여 검사 여부를 판단할 수 있도록 하기 위한 구성이다. 화이트리스트에 포함된 파일은 패턴 정보 생성 과정을 생략하게 된다. 바이러스 검사 장치(100)는 탐지 정보의 갱신에 따라 화이트리스트도 갱신/저장하도록 구성된다.

이하, 세부적인 구성에 대하여 설명한다.

파일/패턴 정보 저장 모듈(110)은 기 검사된 파일의 파일 정보 및 패턴 정보를 저장하도록 구성된다. 여기서 파일 정보는 파일의 생성 일시 및 수정 일시를 포함한다. 그리고 패턴 정보는 검사 파일의 전체 또는 일부를 해쉬(hash)한 데이터이다. 파일/패턴 정보 저장 모듈(110)에는 기존에 검사했던 검사 파일 중 정상적인 파일의 리스트인 화이트리스트가 저장된다.

검사 파일 선택 모듈(120)은 검사할 파일 중 소정 용량 이하의 파일을 선택하도록 구성된다. 예를 들면, 8 MB 이하의 파일만 검사 대상을 선택하도록 구성될 수 있다.

파일 정보 추출/대비 모듈(130)은 검사 파일 선택 모듈(120)에서 선택된 파일의 파일 정보를 추출하고, 파일/패턴 정보 저장 모듈(110)에 저장된 파일 정보와 일치하는 지 대비하도록 구성된다. 즉, 파일 정보 추출/대비 모듈(130)은 검사 파일과 화이트리스트의 파일의 생성 일시 및 수정 일시가 상호 일치하는 지 대비하도록 구성된다. 이는 정상적인 파일의 경우 패턴 정보 생성 과정을 생략하기 위함이다.

검사 파일 패턴 추출 모듈(140)은 파일 정보 추출/대비 모듈(130)에서 대비한 결과 파일 정보가 상호 일치하는 경우, 상호 일치하는 파일의 파일/패턴 정보를 파일/패턴 정보 저장 모듈(110)에서 독출하여 탐지 정보와 일치하는 지 대비하도록 구성된다. 즉, 검사 파일이 정상적인 파일인 경우에는 탐지 정보와 기 저장된 패턴 정보를 대비한다. 이때, 탐지 정보는 갱신되거나 추가될 수 있다.

그리고 검사 파일 패턴 추출 모듈(140)은 파일 정보 추출/대비 모듈(130)에서 파일 정보가 상호 일치하지 않는 경우, 검사 파일 선택 모듈(120)에서 선택된 파일의 패턴 정보를 추출하여 탐지 정보와 일치하는 지 대비하도록 구성된다. 즉, 검사 파일이 화이트리스트에 속하지 않는 경우에는 패턴 정보 생성의 과정을 진행하고 패턴 정보를 상호 대비한다.

파일 처리 모듈(150)은 검사 파일 패턴 추출 모듈(140)에서 탐지 정보와 일치하는 패턴 정보를 갖는 파일을 선택하여 치료/삭제하도록 구성된다. 그리고 갱신된 탐지 정보에 의해 비정상적인 파일로 판단된 경우에는 파일/패턴 정보 저장 모듈(110)에 저장된 해당 파일 정보 및 패턴 정보를 삭제하도록 구성된다.

도 2는 본 발명의 일 실시예에 따른 화이트리스트를 이용한 바이러스 검사 장치의 흐름도이다.

도 2를 참조하면, 검사 파일 선택 모듈(120)이 검사를 위해 소정 용량 이하의 파일을 선택한다(S101).

이때, 소정 용량의 이하로서 검사 파일인 경우(S102), 파일 정보 추출/대비 모듈(130)이 앞서 선택된 파일의 파일 정보를 추출한다(S103). 파일 정보는 파일의 생성 일시 및 수정 일시를 포함한다.

그리고 파일 정보 추출/대비 모듈(130)이 추출된 파일 정보가 파일/패턴 정보 저장 모듈(110)에 저장된 파일 정보와 일치하는 지 대비한다(S104).

이때, 일치하는 경우에는 검사 파일 패턴 추출 모듈(140)이 상호 일치하는 파일의 파일/패턴 정보를 파일/패턴 정보 저장 모듈(110)에 기 저장된 파일/패턴 정보를 독출하여 탐지 정보와 일치하는 지 대비한다(S105a). 이때, 일치하는 경우에는 파일/패턴 정보 저장 모듈(110)에 저장된 패턴 정보를 삭제하고(S106a), 파일을 치료/삭제한다(S107a).

그러나, S104에서 파일 정보가 상호 일치하지 않는 경우에는, 검사 파일 패턴 추출 모듈(140)이 패턴 정보를 추출한다(S105b). 그리고 검사 파일 패턴 추출 모듈(140)은 추출된 패턴 정보와 탐지 정보를 대비하여 일치하는지 판단한다(S106b). 이때, 일치하는 경우에는 파일 처리 모듈(150)이 파일을 치료/삭제하고(S107a), 일치하지 않는 경우에는 패턴 정보를 파일/패턴 정보 저장 모듈(110)에 저장한다(S108a).

이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변환시킬 수 있음을 이해할 수 있을 것이다.

Claims

기 검사된 파일의 생성 일시 및 수정 일시를 포함하는 파일 정보 및 상기 파일에 대한 패턴 정보를 저장하는 파일/패턴 정보 저장 모듈;
검사할 파일 중 소정 용량 이하의 파일을 선택하는 검사 파일 선택 모듈;
상기 선택된 파일의 파일 정보를 추출하고, 상기 파일/패턴 정보 저장 모듈에 저장된 파일 정보와 상기 생성 일시 및 수정 일시가 상호 일치하는지 대비하는 파일 정보 추출/대비 모듈;
상기 파일 정보 추출/대비 모듈에서 상기 파일 정보가 상호 일치하는 경우, 상기 상호 일치하는 파일의 파일/패턴 정보를 상기 파일/패턴 정보 저장 모듈에서 독출하여 탐지 정보와 일치하는 지 대비하고, 상기 파일 정보 추출/대비 모듈에서 파일 정보가 상호 일치하지 않는 경우, 상기 검사 파일 선택 모듈에서 선택된 파일의 패턴 정보를 추출하여 상기 탐지 정보와 일치하는 지 대비하는 검사 파일 패턴 추출 모듈;
상기 검사 파일 패턴 추출 모듈에서 상기 탐지 정보와 일치하는 패턴 정보를 갖는 파일을 선택하여 치료/삭제하고, 상기 파일/패턴 정보 저장 모듈에 저장된 해당 파일 정보 및 패턴 정보를 삭제하는 파일 처리 모듈을 포함하는 화이트리스트를 이용한 바이러스 검사 장치.
삭제
검사 파일 선택 모듈이 검사를 위해 소정 용량 이하의 파일을 선택하는 단계;
파일 정보 추출/대비 모듈이 상기 선택된 파일의 생성 일시 및 수정 일시를 포함하는 파일 정보를 추출하고, 파일/패턴 정보 저장 모듈에 저장된 파일 정보와 상기 생성 일시 및 수정 일시가 상호 일치하는지 대비하는 단계;
상기 파일 정보 추출/대비 모듈에서 파일 정보가 상호 일치하는 경우, 검사 파일 패턴 추출 모듈이 상기 상호 일치하는 파일의 파일/패턴 정보를 상기 파일/패턴 정보 저장 모듈에 기 저장된 파일/패턴 정보를 독출하여 탐지 정보와 일치하는지 대비하고, 상기 파일 정보 추출/대비 모듈에서 파일 정보가 상호 일치하지 않는 경우, 상기 검사 파일 패턴 추출 모듈이 상기 검사 파일 선택 모듈에서 선택된 파일의 패턴 정보를 추출하여 상기 탐지 정보와 일치하는지 대비하는 단계;
상기 독출된 파일/패턴 정보와 상기 탐지 정보의 대비 결과 상호 일치하는 경우에는 파일 처리 모듈이 상기 일치하는 패턴 정보를 갖는 파일을 선택하여 치료/삭제하고 상호 일치하지 않는 경우에는 상기 파일/패턴 정보 저장 모듈에 저장된 해당 파일 정보 및 패턴 정보를 삭제하는 단계를 포함하는 화이트리스트를 이용한 바이러스 검사 방법.
삭제