KR101252811B1 - 아이알씨 계열 웜 차단 장치 및 방법 - Google Patents
아이알씨 계열 웜 차단 장치 및 방법 Download PDFInfo
- Publication number
- KR101252811B1 KR101252811B1 KR1020060117831A KR20060117831A KR101252811B1 KR 101252811 B1 KR101252811 B1 KR 101252811B1 KR 1020060117831 A KR1020060117831 A KR 1020060117831A KR 20060117831 A KR20060117831 A KR 20060117831A KR 101252811 B1 KR101252811 B1 KR 101252811B1
- Authority
- KR
- South Korea
- Prior art keywords
- irc
- worm
- session
- traffic
- blocking
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크상에서 웜을 차단하는 장치 및 방법에 관한 것이다. 본 발명의 바람직한 일 실시예에 적용되는 IRC 계열 웜 차단장치가 구비된 네트워크 디바이스(100)에서 차단모듈(101)은, 네트워크 A와 네트워크 B 사이에 흐르는 트래픽을 IRC 선처리기(102)로 전송하고, 외부로부터 입력되는 명령에 의해 IRC 웜이 존재하는 트래픽을 차단한다. IRC 선처리기(102)는, 차단모듈(101)로부터 전송된 트래픽을 감시하고, 선처리 DB(103)에 저장된, IRC에서 사용하는 명령어 패턴에 기초하여 IRC 세션을 판별한다. 세션 수집부(104)는, 상기 IRC 선처리기(102)에 의해 판별된 IRC 세션의 통신정보를 세션 DB(105)에 저장한다. 세션 모니터링부(106)는, IRC 패턴 DB(107)에 저장된, IRC 웜이 사용하는 명령어 패턴에 기초하여 상기 세션 DB(105)에 저장된 IRC 세션의 통신정보에 따르는 트래픽 가운데 IRC 웜 세션의 존재여부를 판별하고, IRC 웜 세션이 존재하면 IRC 웜 세션의 통신정보를 세션 차단 정책 적용부(108)로 전송하여 IRC 웜 세션을 차단한다. 이에 따라, 본 발명은 네트워크의 서비스 장애 및 오탐지의 확률을 현저히 낮출 수 있는 매우 유용한 발명인 것이다.
실시간 대화(IRC), 웜, 트래픽, 세션, 패킷
Description
도 1은 네트워크상에서 IRC 계열 웜에 대한 종래의 탐지 및 차단 범위를 도시한 것이다.
도 2는 본 발명의 바람직한 일 실시예에 적용되는 IRC 계열 웜 차단장치가 구비된 네트워크 디바이스의 구성 블럭도이다.
도 3은 도 2의 선처리 DB(103)와 IRC 패턴 DB(107)에 저장된 데이터를 각각 예시한 것이다.
도 4는 네트워크상에서 IRC 계열 웜에 대한 본 발명에 따른 탐지 및 차단 범위를 도시한 것이다.
도 5는 본 발명의 바람직한 일 실시예에 따른 IRC 계열 웜 차단방법의 흐름도이다.
<도면의 주요부분에 대한 부호의 설명>
100 : 네트워크 디바이스 101 : 차단모듈
102 : IRC 선처리기 103 : 선처리 DB
104 : 세션 수집부 105 : 세션 DB
106 : 세션 모니터링부 107 : IRC 패턴 DB
108 : 세션 차단 정책 적용부
본 발명은 네트워크상에서 웜을 차단하는 장치 및 방법에 관한 것으로서, 보다 상세하게는, 네트워크상에서 IRC 계열 웜을 차단하는 동작에 선처리 과정을 추가하여 오탐지로 인한 네트워크 장애를 제거한 IRC 계열 웜 차단 장치 및 방법에 관한 것이다.
실시간 대화(Internet Relay Chat, 이하 'IRC'라 칭함) 웜(worm) 또는 Bot류 웜이라고 불리는 웜은, 호스트(host)가 웜에 감염되면 일차적으로 무조건 웜 제작자가 지정한 IRC 서버에 접속하도록 한다. 웜에 감염된 호스트는 IRC 서버에 접속하여 특정 채널에 입장하게 되며 이어 2차 행동 (공격, 확산, 정보유출 등)을 수행하게 된다.
이러한 특성을 갖는 IRC 웜을 제작한 제작자들이 IRC 웜의 소스 코드(source code)를 인터넷상에서 판매하고 있어, IRC 웜을 이용하여 악의적인 행위를 하고자 하는 사람들은 저렴한 가격으로 IRC 웜의 소스 코드를 구입한 후 IRC 서버 및 채널명과 같이 간단한 것들만 수정하여 확산시킴으로써, IRC 웜의 확산속도는 점점 증가하고 있는 추세이다.
그러나, 전술한 바와 같이 IRC 웜의 소스 코드가 일부 수정된 후 사용되기 때문에, 같은 부류의 웜들은 명령어가 동일하다는 특성이 있다.
따라서 종래에는, 도 1에 예시된 바와 같이 네트워크를 통해 입력되는 전체 트래픽(traffic)을 대상으로 탐지하고 IRC 웜이 사용하는 명령어를 갖는 세션(session)을 차단하는 방법을 사용하였지만, 이 명령어가 다른 서비스(FTP, TELNET 등)들이 사용하는 명령어와 유사한 것들이 있어 전체 네트워크를 탐지 및 차단할 경우, 오탐지를 유발하여 네트워크에 서비스 장애가 발생하였다.
이밖에도, IRC에 사용하기 위해 지정된 포트(port)(TCP 6667)가 존재하지만 서버별로 다른 포트로 셋팅하여 사용할 수 있고 특히나 IRC 웜의 경우는 거의 6667번 포트를 사용하지 않으므로 웜 제작자가 보내는 명령어에 대해 IRC만 찾아 모니터링하는 것은 쉽지 않은 일이었다.
아울러, IRC 웜이 IRC 서버에 아예 접속하지 못하도록 샘플을 수집하여 각 샘플별로 대응하는 방법이 제안되기도 했지만, 샘플 수집이 늦어질 경우 내부에 확산이 이루어진 뒤의 사후대처이므로 이또한 적절한 방법이 아니었다.
따라서, 본 발명은 상기와 같은 문제점을 해결하기 위해 창작된 것으로서, 네트워크상에서 IRC 계열 세션(session)을 추출하는 선처리 과정을 수행하고 상기 선처리 과정을 거쳐 추출된 세션에 대해 IRC 웜 차단 동작을 수행하는 IRC 계열 웜 차단 장치 및 방법을 제공하는데 그 목적이 있다.
상술한 목적을 달성하기 위한 본 발명의 일 실시예에 따른 IRC 계열 웜 차단장치는, 두 개 이상의 네트워크 사이에 흐르는 트래픽을 감시하고, IRC에서 사용하는 명령어 패턴과 동일한 트래픽의 IRC 세션을 판별하는 IRC 선처리수단; 상기 IRC 선처리수단에서 판별된 IRC 세션의 통신정보를 저장하는 세션 저장수단; 상기 세션 저장수단에 저장된 통신정보에 따르는 트래픽을 모니터링하고, IRC 웜에서 사용하는 명령어 패턴과 동일한 트래픽의 IRC 웜 세션을 판별하는 IRC 웜 판별수단; 그리고 상기 IRC 웜 판별수단에서 판별된 IRC 웜 세션을 차단하는 차단수단을 포함한다.
또한, 상기 IRC 웜 판별수단은, 상기 세션 저장수단에 저장된 IRC 세션의 통신정보를 독출한 후, 상기 독출된 IRC 세션의 통신정보를 갖는 트래픽 가운데 IRC 패턴 저장수단에 저장된 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽에 IRC 웜 세션의 존재여부를 판별할 수 있다.
상기 통신정보는 IRC 서버의 주소(IP : Internet Protocol)와 포트(port)일 수 있다.
또한, 상기 IRC 선처리수단은, 두 개 이상의 네트워크 사이에 흐르는 트래픽 가운데, 선처리 저장수단에 저장된 IRC에서 사용하는 명령어 패턴과 동일한 트래픽이 존재하는 세션을 IRC 세션으로 판별할 수 있다.
상기 IRC에서 사용하는 명령어 패턴은, 'IRC', 'PING', 'PONG', 'JOIN', 'NOTICE', 'AUTH', 'USER', 'Relay', 'server', 'services', 'unknown connection', 'NICK' 가운데 적어도 하나 이상을 포함할 수 있다.
또한, 상기 IRC 웜 판별수단은, 상기 IRC 선처리수단에서 판별된 IRC 세션의 통신정보를 갖는 트래픽 가운데, IRC 패턴 저장수단에 저장된 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽이 존재하면, 해당 트래픽에 IRC 웜이 존재하는 것으로 판별하고, IRC 웜이 존재하는 IRC 웜 세션을 상기 차단수단에 전송할 수 있다.
상기 IRC 웜이 사용하는 명령어 패턴은, 'scan.startall', 'http.update', 'scanall', 'ftp.update', 'http.download', '!execute', 'system.reboot', 'scan', 'ipIRC' 가운데 하나 이상을 포함할 수 있다.
또한, 본 발명의 일 실시예에 따른 IRC 계열 웜 차단방법은, IRC에서 사용하는 명령어 패턴을 저장하는 선처리 저장단계; 두 개 이상의 네트워크 사이에 흐르는 트래픽을 감시하여, IRC에서 사용하는 명령어 패턴과 동일한 트래픽의 IRC 세션을 판별하는 IRC 선처리단계; 상기 IRC 선처리 판별된 IRC 세션의 통신정보를 저장하는 세션 저장단계; 상기 세션 저장된 통신정보에 따르는 트래픽을 모니터링하여, IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽의 IRC 웜 세션을 판별하는 IRC 웜 판별단계; 그리고 상기 IRC 웜 판별된 IRC 웜 세션을 차단하는 IRC 웜 차단단계를 포함한다.
삭제
상기 IRC 웜 판별단계는, 상기 세션 저장된 IRC 세션의 통신정보를 독출한 후, 상기 독출된 IRC 세션의 통신정보를 갖는 트래픽 가운데 IRC 패턴 저장된 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽에 IRC 웜 세션의 존재여부를 판별할 수 있다.
상기 통신정보는 IRC 서버의 주소(IP : Internet Protocol)와 포트(port)일 수 있다.
상기 IRC 선처리단계는, 두개 이상의 네트워크 사이에 흐르는 트래픽 가운데, 선처리 저장된 IRC에서 사용하는 명령어 패턴과 동일한 트래픽이 존재하는 세션을 IRC 세션으로 판별할 수 있다.
상기 IRC 선처리단계는, 두개 이상의 네트워크 사이에 흐르는 트래픽 가운데, 선처리 저장된 IRC에서 사용하는 명령어 패턴과 동일한 트래픽이 존재하는 세션을 IRC 세션으로 판별할 수 있다.
삭제
상기 IRC에서 사용하는 명령어 패턴은, 'IRC', 'PING', 'PONG', 'JOIN', 'NOTICE', 'AUTH', 'USER', 'Relay', 'server', 'services', 'unknown connection', 'NICK' 가운데 적어도 하나 이상을 포함할 수 있다.
상기 IRC 웜 판별단계는, 상기 IRC 선처리 판별된 IRC 세션의 통신정보를 갖는 트래픽 가운데, IRC 패턴 저장된 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽이 존재하면, 해당 트래픽에 IRC 웜이 존재하는 것으로 판별하고, IRC 웜이 존재하는 IRC 웜 세션을 전송할 수 있다.
상기 IRC 웜이 사용하는 명령어 패턴은, 'scan.startall', 'http.update', 'scanall', 'ftp.update', 'http.download', '!execute', 'system.reboot', 'scan', 'ipIRC' 가운데 적어도 하나 이상을 포함할 수 있다.
이상과 같은 구성과 흐름에 의해, 본 발명에 따른 IRC 계열 웜 차단 장치 및 방법은, 네트워크상에서 IRC 계열 세션(session)을 추출하는 선처리 과정을 수행하고 상기 선처리 과정을 거쳐 추출된 세션에 대해 IRC 웜 차단 동작을 수행한다.
이하에서는, 도면을 참조하여 IRC 계열 웜 차단 장치 및 방법에 대하여 보다 상세히 설명하기로 한다. 다만, 본 발명을 설명함에 있어서 종래에 공지가 되어 알려진 부분에 대해서는 자세한 설명을 생략하기로 한다.
도 2는 본 발명의 바람직한 일 실시예에 적용되는 IRC 계열 웜 차단장치가 구비된 네트워크 디바이스의 구성 블럭도이다.
도 2를 참조하면, 네트워크 디바이스(100)는, 네트워크 A와 네트워크 B를 연결해주며, 네트워크 A와 네트워크 B 사이에 흐르는 트래픽을 탐지 및 차단하는 디바이스이다.
상기 네트워크 디바이스(100)는, 차단모듈(101), IRC 선처리기(102), 선처리 DB(103), 세션 수집부(104), 세션 DB(105), 세션 모니터링부(106), IRC 패턴 DB(107), 그리고 세션 차단 정책 적용부(108)를 포함한다.
차단모듈(101)은, 네트워크 A와 네트워크 B 사이에 흐르는 트래픽을 IRC 선처리기(102)로 전송하고, 외부로부터 입력되는 명령에 의해, IRC 웜이 존재하는 트래픽을 차단한다.
IRC 선처리기(102)는, 차단모듈(101)로부터 전송된 트래픽을 감시하고, 선처리 DB(103)에 저장된, IRC에서 사용하는 명령어 패턴에 기초하여 IRC 세션을 판별한다.
세션 수집부(104)는, 상기 IRC 선처리기(102)에 의해 판별된 IRC 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}를 세션 DB(105)에 저장한다.
세션 모니터링부(106)는, IRC 패턴 DB(107)에 저장된, IRC 웜이 사용하는 명령어 패턴에 기초하여 상기 세션 DB(105)에 저장된 IRC 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}에 따르는 트래픽 가운데 IRC 웜 세션(IRC 웜이 존재하는 IRC 세션)의 존재여부를 판별하고, IRC 웜 세션이 존재하면 IRC 웜 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}를 세션 차단 정책 적용부(108)로 전송한다.
그리고, 세션 차단 정책 적용부(108)는 상기 전송된 IRC 웜 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}에 해당하는 IRC 웜 세션을 차단하도록 상기 차단모듈(101)에 명령한다.
참고로, 도 3은 도 2의 선처리 DB(103)와 IRC 패턴 DB(107)에 저장된 데이터를 각각 예시한 것으로서, 선처리 DB(103)는 IRC에서 사용하는 명령어 패턴을 저장하고, IRC 패턴 DB(107)는 IRC 웜이 사용하는 명령어 패턴을 저장한다.
도 4는 네트워크상에서 IRC 계열 웜에 대한 본 발명에 따른 탐지 및 차단 범위를 도시한 것이고, 도 5는 본 발명의 바람직한 일 실시예에 따른 IRC 계열 웜 차단방법의 흐름도로서, 상기와 같이 구성되는 본 발명에 따른 IRC 계열 웜 차단장치의 동작에 대해, 본 발명에 따른 IRC 계열 웜 차단방법의 흐름과 병행하여 상세히 설명하기로 한다.
먼저, 네트워크 디바이스(100)의 차단모듈(101)이 네트워크 A와 네트워크 B 사이에 흐르는 트래픽을 패킷 단위로 IRC 선처리기(102)에 전송하면, IRC 선처리기(102)는, 상기 전송된 트래픽을, 선처리 DB(103)에 저장된 IRC에서 사용하는 명령어 패턴과 비교한다.
참고로, IRC에서 사용하는 명령어 패턴은, 도 3과 같이, 'IRC', 'PING', 'PONG', 'JOIN', 'NOTICE', 'AUTH', 'USER', 'Relay', 'server', 'services', 'unknown connection', 'NICK' 등이 예시될 수 있다.
상기 비교결과, 차단모듈(101)로부터 전송된 트래픽 가운데 IRC에서 사용하는 명령어 패턴과 동일한 트래픽이 존재하면, IRC 선처리기(102)는 해당 트래픽이 존재하는 세션을 IRC 세션으로 판별하고(S501), 세션 수집부(104)는 상기 판별된 IRC 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}를 세션 DB(105)에 저장한다(S502).
이어, 세션 모니터링부(106)는, 상기 세션 DB(105)에 저장된 IRC 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}에 따르는 트래픽을, IRC 패턴 DB(107)에 저장된 IRC 웜이 사용하는 명령어 패턴과 비교한다.
참고로, IRC 웜이 사용하는 명령어 패턴은, 도 3과 같이, 'scan.startall', 'http.update', 'scanall', 'ftp.update', 'http.download', '!execute', 'system.reboot', 'scan', 'ipIRC' 등이 예시될 수 있다.
상기 비교결과, 상기 세션 DB(105)에 저장된 IRC 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}에 따르는 트래픽 가운데 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽이 존재하면, 세션 모니터링부(106)는 해당 트래픽에 IRC 웜이 존재하는 것으로 판별하고(S503), IRC 웜이 존재하는 IRC 세션 즉, IRC 웜 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}를 세션 차단 정책 적용부(108)로 전송한다.
그리고 나면, 세션 차단 정책 적용부(108)는 상기 전송된 IRC 웜 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}를 상기 차단모듈(101)에 다시 전송함으로써, IRC 웜 세션을 차단하도록 명령하게 된다(S504).
상술한 바와 같이, 본 발명이 도면에 도시된 실시예를 참고하여 설명되었으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 본 발명의 요지 및 범위를 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
상술한 바와 같이, 본 발명에 따른 IRC 계열 웜 차단 장치 및 방법은, 네트워크상에서 IRC 계열 세션(session)을 추출하는 선처리 과정을 수행하고 상기 선처리 과정을 거쳐 추출된 세션에 대해 IRC 웜 차단 동작을 수행함으로써, 네트워크의 서비스 장애 및 오탐지의 확률을 현저히 낮출 수 있는 매우 유용한 발명인 것이다.
Claims (15)
- 두 개 이상의 네트워크 사이에 흐르는 트래픽을 감시하고, IRC에서 사용하는 명령어 패턴과 동일한 트래픽의 IRC 세션을 판별하는 IRC 선처리수단;상기 IRC 선처리수단에서 판별된 IRC 세션의 통신정보를 저장하는 세션 저장수단;상기 세션 저장수단에 저장된 통신정보에 따르는 트래픽을 모니터링하고, IRC 웜에서 사용하는 명령어 패턴과 동일한 트래픽의 IRC 웜 세션을 판별하는 IRC 웜 판별수단; 그리고상기 IRC 웜 판별수단에서 판별된 IRC 웜 세션을 차단하는 차단수단을 포함하는 IRC 계열 웜 차단장치.
- 제 1항에 있어서,상기 IRC 웜 판별수단은,상기 세션 저장수단에 저장된 IRC 세션의 통신정보를 독출한 후, 상기 독출된 IRC 세션의 통신정보를 갖는 트래픽 가운데 IRC 패턴 저장수단에 저장된 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽에 IRC 웜 세션의 존재여부를 판별하는 것을 특징으로 하는 IRC 계열 웜 차단장치.
- 제 1항 또는 제 2항에 있어서,상기 통신정보는 IRC 서버의 주소(IP : Internet Protocol)와 포트(port)인 것을 특징으로 하는 IRC 계열 웜 차단장치.
- 제 1항 또는 제 2항에 있어서,상기 IRC 선처리수단은,두 개 이상의 네트워크 사이에 흐르는 트래픽 가운데, 선처리 저장수단에 저장된 IRC에서 사용하는 명령어 패턴과 동일한 트래픽이 존재하는 세션을 IRC 세션으로 판별하는 것을 특징으로 하는 IRC 계열 웜 차단장치.
- 제 4항에 있어서,상기 IRC에서 사용하는 명령어 패턴은, 'IRC', 'PING', 'PONG', 'JOIN', 'NOTICE', 'AUTH', 'USER', 'Relay', 'server', 'services', 'unknown connection', 'NICK' 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 IRC 계열 웜 차단장치.
- 제 1항 또는 제 2항에 있어서,상기 IRC 웜 판별수단은,상기 IRC 선처리수단에서 판별된 IRC 세션의 통신정보를 갖는 트래픽 가운데, IRC 패턴 저장수단에 저장된 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽이 존재하면, 해당 트래픽에 IRC 웜이 존재하는 것으로 판별하고, IRC 웜이 존재하는 IRC 웜 세션을 상기 차단수단에 전송하는 것을 특징으로 하는 IRC 계열 웜 차단장치.
- 제 6항에 있어서,상기 IRC 웜이 사용하는 명령어 패턴은, 'scan.startall', 'http.update', 'scanall', 'ftp.update', 'http.download', '!execute', 'system.reboot', 'scan', 'ipIRC' 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 IRC 계열 웜 차단장치.
- IRC에서 사용하는 명령어 패턴을 저장하는 선처리 저장단계;두 개 이상의 네트워크 사이에 흐르는 트래픽을 감시하여, IRC에서 사용하는 명령어 패턴과 동일한 트래픽의 IRC 세션을 판별하는 IRC 선처리단계;상기 IRC 선처리 판별된 IRC 세션의 통신정보를 저장하는 세션 저장단계;상기 세션 저장된 통신정보에 따르는 트래픽을 모니터링하여, IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽의 IRC 웜 세션을 판별하는 IRC 웜 판별단계; 그리고상기 IRC 웜 판별된 IRC 웜 세션을 차단하는 IRC 웜 차단단계를 포함하는 IRC 계열 웜 차단방법.
- 삭제
- 제 8항에 있어서,상기 IRC 웜 판별단계는,상기 세션 저장된 IRC 세션의 통신정보를 독출한 후, 상기 독출된 IRC 세션의 통신정보를 갖는 트래픽 가운데 IRC 패턴 저장된 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽에 IRC 웜 세션의 존재여부를 판별하는 것을 특징으로 하는 IRC 계열 웜 차단방법.
- 제 10항에 있어서,상기 통신정보는 IRC 서버의 주소(IP : Internet Protocol)와 포트(port)인 것을 특징으로 하는 IRC 계열 웜 차단방법.
- 제 10항에 있어서, 상기 IRC 선처리단계는,두개 이상의 네트워크 사이에 흐르는 트래픽 가운데, 선처리 저장된 IRC에서 사용하는 명령어 패턴과 동일한 트래픽이 존재하는 세션을 IRC 세션으로 판별하는 것을 특징으로 하는 IRC 계열 웜 차단방법.
- 제 12항에 있어서,상기 IRC에서 사용하는 명령어 패턴은, 'IRC', 'PING', 'PONG', 'JOIN', 'NOTICE', 'AUTH', 'USER', 'Relay', 'server', 'services', 'unknown connection', 'NICK' 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 IRC 계열 웜 차단방법.
- 제 10항에 있어서, 상기 IRC 웜 판별단계는,상기 IRC 선처리 판별된 IRC 세션의 통신정보를 갖는 트래픽 가운데, IRC 패턴 저장된 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽이 존재하면, 해당 트래픽에 IRC 웜이 존재하는 것으로 판별하고, IRC 웜이 존재하는 IRC 웜 세션을 전송하는 것을 특징으로 하는 IRC 계열 웜 차단방법.
- 제 14항에 있어서,상기 IRC 웜이 사용하는 명령어 패턴은, 'scan.startall', 'http.update', 'scanall', 'ftp.update', 'http.download', '!execute', 'system.reboot', 'scan', 'ipIRC' 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 IRC 계열 웜 차단방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060117831A KR101252811B1 (ko) | 2006-11-27 | 2006-11-27 | 아이알씨 계열 웜 차단 장치 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060117831A KR101252811B1 (ko) | 2006-11-27 | 2006-11-27 | 아이알씨 계열 웜 차단 장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080047861A KR20080047861A (ko) | 2008-05-30 |
KR101252811B1 true KR101252811B1 (ko) | 2013-04-09 |
Family
ID=39664173
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060117831A KR101252811B1 (ko) | 2006-11-27 | 2006-11-27 | 아이알씨 계열 웜 차단 장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101252811B1 (ko) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010085057A (ko) * | 2001-07-27 | 2001-09-07 | 김상욱 | 네트워크 흐름 분석에 의한 침입 탐지 장치 |
WO2002006928A2 (en) | 2000-07-14 | 2002-01-24 | Vcis, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
KR20030039149A (ko) * | 2001-11-12 | 2003-05-17 | 주식회사 안철수연구소 | 바이러스 탐지 엔진을 갖는 침입 탐지 시스템 |
-
2006
- 2006-11-27 KR KR1020060117831A patent/KR101252811B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002006928A2 (en) | 2000-07-14 | 2002-01-24 | Vcis, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
KR20010085057A (ko) * | 2001-07-27 | 2001-09-07 | 김상욱 | 네트워크 흐름 분석에 의한 침입 탐지 장치 |
KR20030039149A (ko) * | 2001-11-12 | 2003-05-17 | 주식회사 안철수연구소 | 바이러스 탐지 엔진을 갖는 침입 탐지 시스템 |
Also Published As
Publication number | Publication date |
---|---|
KR20080047861A (ko) | 2008-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101424490B1 (ko) | 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법 | |
Izhikevich et al. | {LZR}: Identifying unexpected internet services | |
US8149705B2 (en) | Packet communications unit | |
US20190075049A1 (en) | Determining Direction of Network Sessions | |
US7474655B2 (en) | Restricting communication service | |
CN110166480B (zh) | 一种数据包的分析方法及装置 | |
US20140189867A1 (en) | DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH | |
WO2010031288A1 (zh) | 一种僵尸网络的检测方法和系统 | |
US8250645B2 (en) | Malware detection methods and systems for multiple users sharing common access switch | |
CN105681353A (zh) | 防御端口扫描入侵的方法及装置 | |
US20130294449A1 (en) | Efficient application recognition in network traffic | |
KR20110089179A (ko) | 네트워크 침입 방지 | |
CN111212096B (zh) | 一种降低idc防御成本的方法、装置、存储介质和计算机 | |
AU2009200102A1 (en) | Method and apparatus for inspecting inter-layer address binding protocols | |
CN110391988B (zh) | 网络流量控制方法、系统及安全防护装置 | |
KR100624483B1 (ko) | 네트워크에서의 차등 침입탐지 장치 및 방법 | |
KR20140122044A (ko) | 슬로우 리드 도스 공격 탐지 장치 및 방법 | |
US8161555B2 (en) | Progressive wiretap | |
KR101281160B1 (ko) | 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법 | |
US7599365B1 (en) | System and method for detecting a network packet handling device | |
KR100717635B1 (ko) | 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템 | |
CN113765846A (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
KR100728277B1 (ko) | 동적 네트워크 보안 시스템 및 방법 | |
FR2888695A1 (fr) | Detection d'une intrusion par detournement de paquets de donnees dans un reseau de telecommunication | |
CN114745142A (zh) | 一种异常流量处理方法、装置、计算机设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
N231 | Notification of change of applicant | ||
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160308 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20170403 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20180403 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20190401 Year of fee payment: 7 |