KR101256439B1 - Information update apparatus and method, client terminal device and malicious code treatment method - Google Patents

Information update apparatus and method, client terminal device and malicious code treatment method Download PDF

Info

Publication number
KR101256439B1
KR101256439B1 KR1020100120698A KR20100120698A KR101256439B1 KR 101256439 B1 KR101256439 B1 KR 101256439B1 KR 1020100120698 A KR1020100120698 A KR 1020100120698A KR 20100120698 A KR20100120698 A KR 20100120698A KR 101256439 B1 KR101256439 B1 KR 101256439B1
Authority
KR
South Korea
Prior art keywords
malicious code
information
client terminal
active
diagnosis
Prior art date
Application number
KR1020100120698A
Other languages
Korean (ko)
Other versions
KR20120059082A (en
Inventor
김경희
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020100120698A priority Critical patent/KR101256439B1/en
Publication of KR20120059082A publication Critical patent/KR20120059082A/en
Application granted granted Critical
Publication of KR101256439B1 publication Critical patent/KR101256439B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

대응정보 업데이트 장치 및 방법, 클라이언트 단말 장치 및 악성코드 치료 방법이 개시된다. 본 발명의 실시예들은 업데이트 서버가 악성코드에 대한 대응정보를 기본 대응정보와 적극 대응정보로 구분하여 클라이언트 단말로 제공하면, 상기 클라이언트 단말이 상기 기본 대응정보를 기초로 악성코드에 대한 소극적 대응을 수행하고, 소정의 시간이 경과한 이후 상기 클라이언트 단말이 상기 적극 대응정보를 기초로 상기 악성코드에 대한 적극적 대응을 수행하도록 함으로써, 악성코드를 진단 및 치료하는 과정에서 발생할 수 있는 오진 및 오진 피해 가능성을 최소화할 수 있다.An apparatus and method for updating corresponding information, a client terminal device, and a method for treating malware are disclosed. According to the embodiments of the present invention, when the update server classifies the corresponding information on the malicious code into the basic response information and the active response information to the client terminal, the client terminal may passively respond to the malicious code based on the basic response information. After the predetermined time has elapsed, the client terminal performs an active response to the malicious code on the basis of the positive response information, so that there is a possibility of damage and misunderstanding that may occur in the process of diagnosing and treating the malicious code. Can be minimized.

Description

대응정보 업데이트 장치 및 방법, 클라이언트 단말 장치 및 악성코드 치료 방법{INFORMATION UPDATE APPARATUS AND METHOD, CLIENT TERMINAL DEVICE AND MALICIOUS CODE TREATMENT METHOD}Responding information update device and method, client terminal device and malicious code treatment method {INFORMATION UPDATE APPARATUS AND METHOD, CLIENT TERMINAL DEVICE AND MALICIOUS CODE TREATMENT METHOD}

대응정보 업데이트 장치 및 방법, 클라이언트 단말 장치 및 악성코드 치료 방법이 개시된다. 특히, 본 발명의 실시예들은 신종 또는 변종 악성코드에 대한 진단 및 치료 행위 시에 발생할 수 있는 오진 및 오진 피해 가능성을 감소시킬 수 있는 기술에 관한 것이다.An apparatus and method for updating corresponding information, a client terminal device, and a method for treating malware are disclosed. In particular, embodiments of the present invention are directed to a technology that can reduce the possibility of misunderstanding and misunderstanding that may occur in the diagnosis and treatment of new or variant malware.

최근, 초고속 인터넷 환경이 구축되면서, 프로그램이나 이-메일(e-mail) 등을 통해 유포되는 악성코드로 인한 피해가 급증하고 있다.Recently, as the high-speed Internet environment has been established, the damage caused by malicious codes distributed through programs and e-mails has increased rapidly.

보통, 악성코드는 컴퓨터의 속도를 저하시킬 수 있고, 웹 브라우저의 초기 페이지를 불건전 사이트로 고정할 수 있으며, 사용자의 컴퓨터를 스팸 메일 발송 서버로 사용하거나 DDoS(Distributed Denial of Service Attack) 공격의 거점 PC로 사용할 수 있고, 사용자의 개인 정보를 유출시킬 수 있다.Usually, malware can slow down your computer, pin a web browser's initial page to an unhealthy site, use your computer as a spam server, or be a base for distributed denial of service attacks (DDoS) attacks. It can be used as a PC and can leak user's personal information.

악성코드가 사용자의 컴퓨터에 설치되고 해를 입히는 방식은 ActiveX, Java Applet, Java WebStart, .NETClickOnce, Flash, UCC 등 다양하게 존재하나, 대부분 HTTP 프로토콜을 이용하여 웹 서버로부터 원본 파일을 받는다는 공통점이 있다.There are various ways that malicious code is installed and harmed on user's computer, such as ActiveX, Java Applet, Java WebStart, .NETClickOnce, Flash, UCC, etc., but most of them have common point that they receive original file from web server using HTTP protocol. .

최근에는 이러한 악성코드의 유포를 방지하기 위해 다양한 방어기재에 대한 연구가 진행되고 있다.Recently, researches on various defense devices have been conducted to prevent the spread of such malicious codes.

보통, 악성코드 방지를 위한 설치형 보안 프로그램은 클라이언트 단말에 설치되는 프로그램으로 악성코드나 바이러스 및 원치않는 파일의 실행을 감지하고, 이미 감염된 클라이언트 단말을 치료하는 형태로 작동되며, 일반적인 백신 프로그램이 이러한 방식에 해당한다.In general, an installed security program for preventing malware is a program installed on a client terminal and detects the execution of malicious codes, viruses, and unwanted files, and works to cure an already infected client terminal. Corresponds to

이러한, 보안 프로그램은 신종 또는 변종 악성코드가 발생할 경우, 이에 대한 빠른 대응을 위해 업데이트 서버가 지속적으로 신종 또는 변종 악성코드에 대한 대응정보를 각 클라이언트 단말에 제공한다.When a new or variant malicious code occurs, the security program continuously provides the corresponding information to each client terminal about the new or variant malicious code in order to quickly respond to it.

하지만, 상기 업데이트 서버가 클라이언트 단말로 신속하게 상기 대응정보를 제공하는 과정에서 정상파일을 신종 또는 변종 악성코드로 판단하는 경우가 종종 발생할 수 있다.However, in the process of promptly providing the corresponding information to the client terminal, the update server may often determine that the normal file is a new or modified malicious code.

따라서, 신종 또는 변종 악성코드에 대한 신속한 대응이 가능하면서도 정상파일을 악성코드로 판단하는 오진 가능성 및 피해를 최소화할 수 있는 방안에 대한 연구가 필요하다.Therefore, it is necessary to study a method for minimizing the possibility of misdiagnosis and damage that judges a normal file as malicious code while being able to respond quickly to new or modified malicious code.

본 발명의 실시예들은 업데이트 서버가 악성코드에 대한 대응정보를 기본 대응정보와 적극 대응정보로 구분하여 클라이언트 단말로 제공하면, 상기 클라이언트 단말이 상기 기본 대응정보를 기초로 악성코드에 대한 소극적 대응을 수행하고, 소정의 시간이 경과한 이후 상기 클라이언트 단말이 상기 적극 대응정보를 기초로 상기 악성코드에 대한 적극적 대응을 수행하도록 함으로써, 악성코드를 진단 및 치료하는 과정에서 발생할 수 있는 오진 피해 가능성을 최소화하고자 한다.According to the embodiments of the present invention, when the update server classifies the corresponding information on the malicious code into the basic response information and the active response information to the client terminal, the client terminal may passively respond to the malicious code based on the basic response information. After the predetermined time has elapsed, the client terminal performs an active response to the malicious code based on the positive response information, thereby minimizing the possibility of the misunderstanding that may occur in the process of diagnosing and treating the malicious code. I would like to.

본 발명의 일실시예에 따른 대응정보 업데이트 장치는 악성코드의 진단과 연관된 기본 대응정보를 생성하는 기본 대응정보 생성부, 상기 악성코드의 치료와 연관된 적극 대응정보를 생성하는 적극 대응정보 생성부 및 적어도 하나의 클라이언트 단말로 상기 기본 대응정보 및 상기 적극 대응정보를 전송하는 대응정보 전송부를 포함하고, 상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 선정된(predetermined) 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행한다.Corresponding information updating apparatus according to an embodiment of the present invention includes a basic response information generation unit for generating basic response information associated with the diagnosis of malicious code, an active response information generation unit for generating active response information associated with the treatment of the malicious code; And a correspondence information transmitter configured to transmit the basic correspondence information and the active correspondence information to at least one client terminal, wherein the at least one client terminal performs diagnosis and selects the malicious code based on the basic correspondence information. When a predetermined time elapses, the malicious code is treated based on the positive response information.

또한, 본 발명의 일실시예에 따른 클라이언트 단말 장치는 업데이트 서버로부터 악성코드의 진단과 연관된 기본 대응정보 및 상기 악성코드의 치료와 연관된 적극 대응정보를 수신하는 대응정보 수신부, 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하는 진단 수행부 및 상기 악성코드에 대한 진단이 수행된 이후 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행하는 치료 수행부를 포함한다.In addition, the client terminal device according to an embodiment of the present invention is a response information receiver for receiving basic response information associated with the diagnosis of malicious code and positive response information associated with the treatment of the malicious code from the update server, based on the basic response information A diagnosis performing unit for performing a diagnosis on the malicious code and a treatment performing unit for performing treatment on the malicious code based on the corresponding response information when a predetermined time elapses after the diagnosis on the malicious code is performed. Include.

또한, 본 발명의 일실시예에 따른 대응정보 업데이트 방법은 악성코드의 진단과 연관된 기본 대응정보를 생성하는 단계, 상기 악성코드의 치료와 연관된 적극 대응정보를 생성하는 단계 및 적어도 하나의 클라이언트 단말로 상기 기본 대응정보 및 상기 적극 대응정보를 전송하는 단계를 포함하고, 상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행한다.In addition, the method for updating a corresponding information according to an embodiment of the present invention includes generating basic response information associated with a diagnosis of malicious code, generating active response information associated with the treatment of the malicious code, and at least one client terminal. And transmitting the basic correspondence information and the active correspondence information, wherein the at least one client terminal performs diagnosis on the malicious code based on the basic correspondence information, and when a predetermined time elapses, the active The malicious code is treated based on the corresponding information.

또한, 본 발명의 일실시예에 따른 악성코드 치료 방법은 업데이트 서버로부터 악성코드의 진단과 연관된 기본 대응정보 및 상기 악성코드의 치료와 연관된 적극 대응정보를 수신하는 단계, 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하는 단계 및 상기 악성코드에 대한 진단이 수행된 이후 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행하는 단계를 포함한다.In addition, the malicious code treatment method according to an embodiment of the present invention receiving the basic response information associated with the diagnosis of malicious code and the active response information associated with the treatment of the malicious code from the update server, based on the basic response information And performing a diagnosis on the malicious code, and performing a treatment on the malicious code based on the active response information when a predetermined time elapses after the diagnosis on the malicious code is performed.

본 발명의 실시예들은 업데이트 서버가 악성코드에 대한 대응정보를 기본 대응정보와 적극 대응정보로 구분하여 클라이언트 단말로 제공하면, 상기 클라이언트 단말이 상기 기본 대응정보를 기초로 악성코드에 대한 소극적 대응을 수행하고, 소정의 시간이 경과한 이후 상기 클라이언트 단말이 상기 적극 대응정보를 기초로 상기 악성코드에 대한 적극적 대응을 수행하도록 함으로써, 악성코드를 진단 및 치료하는 과정에서 발생할 수 있는 오진 및 오진 피해 가능성을 최소화할 수 있다.According to the embodiments of the present invention, when the update server classifies the corresponding information on the malicious code into the basic response information and the active response information to the client terminal, the client terminal may passively respond to the malicious code based on the basic response information. After the predetermined time has elapsed, the client terminal performs an active response to the malicious code on the basis of the positive response information, so that there is a possibility of damage and misunderstanding that may occur in the process of diagnosing and treating the malicious code. Can be minimized.

도 1은 본 발명의 일실시예에 따른 대응정보 업데이트 장치의 구조를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 클라이언트 단말 장치의 구조를 도시한 도면이다.
도 3은 본 발명의 일실시예에 따른 대응정보 업데이트 방법을 도시한 순서도이다.
도 4는 본 발명의 일실시예에 따른 악성코드 치료 방법을 도시한 순서도이다.1 is a diagram illustrating the structure of an apparatus for updating correspondence information according to an embodiment of the present invention.
2 is a diagram illustrating a structure of a client terminal device according to an embodiment of the present invention.
3 is a flowchart illustrating a method of updating correspondence information according to an embodiment of the present invention.
4 is a flowchart illustrating a method for treating malware according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.

이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

전술한 바와 같이, 최근 새로운 악성코드가 빠르게 유포됨으로 인해 보안 업체에서는 신종 또는 변종 악성코드를 신속하게 분석하여 이에 대한 대응정보를 업데이트 서버를 통해 클라이언트 단말로 제공하고 있다.As described above, due to the recent spread of new malicious codes, security companies quickly analyze new or modified malicious codes and provide corresponding information to client terminals through an update server.

하지만, 신종 또는 변종 악성코드에 대해 신속하게 대응하는 과정에서 보안 업체에서는 정상파일을 신종 또는 변종 악성코드로 파악하고, 정상파일마저도 클라이언트 단말에서 진단 및 치료가 되도록 하는 대응정보를 생성하는 경우가 종종 발생하곤 한다.However, in the process of quickly responding to new or modified malicious codes, security companies often identify normal files as new or modified malicious codes, and generate response information that allows even normal files to be diagnosed and repaired on the client terminal. It happens.

이때, 클라이언트 단말은 상기 업데이트 서버로부터 잘못된 대응정보를 수신하면, 정상 파일도 악성코드로 진단하여 치료를 수행할 수 있으므로, 이로 인한 피해가 발생할 수 있다.In this case, when the client terminal receives wrong correspondence information from the update server, the normal file may also be diagnosed as a malicious code to perform treatment, thereby causing damage.

따라서, 본 발명의 실시예들은 업데이트 서버가 악성코드에 대한 대응정보를 기본 대응정보와 적극 대응정보로 구분하여 클라이언트 단말로 제공하면, 상기 클라이언트 단말이 상기 기본 대응정보를 기초로 악성코드에 대한 소극적 대응을 수행하고, 소정의 시간이 경과한 이후 상기 클라이언트 단말이 상기 적극 대응정보를 기초로 상기 악성코드에 대한 적극적 대응을 수행하도록 함으로써, 악성코드를 진단 및 치료하는 과정에서 발생할 수 있는 오진 가능성을 최소화하고자 한다.Therefore, in the embodiments of the present invention, when the update server classifies the corresponding information on the malicious code into the basic response information and the active response information to the client terminal, the client terminal is passive on the malicious code based on the basic response information. After the predetermined time elapses, the client terminal performs an active response to the malicious code based on the positive response information, thereby identifying a possibility of misdiagnosis that may occur in the process of diagnosing and treating the malicious code. Minimize.

도 1은 본 발명의 일실시예에 따른 대응정보 업데이트 장치의 구조를 도시한 도면이다.1 is a diagram illustrating the structure of an apparatus for updating correspondence information according to an embodiment of the present invention.

도 1을 참조하면, 대응정보 업데이트 장치(110) 및 적어도 하나의 클라이언트 단말(121, 122, 123)이 도시되어 있다.Referring to FIG. 1, a corresponding information update apparatus 110 and at least one client terminal 121, 122, and 123 are illustrated.

대응정보 업데이트 장치(110)는 기본 대응정보 생성부(111), 적극 대응정보 생성부(112) 및 대응정보 전송부(113)를 포함한다.The correspondence information updating apparatus 110 includes a basic correspondence information generator 111, an active correspondence information generator 112, and a correspondence information transmitter 113.

기본 대응정보 생성부(111)는 악성코드의 진단과 연관된 기본 대응정보를 생성한다.The basic response information generation unit 111 generates basic response information associated with the diagnosis of malicious code.

적극 대응정보 생성부(112)는 상기 악성코드의 치료와 연관된 적극 대응정보를 생성한다.The active response information generation unit 112 generates active response information associated with the treatment of the malicious code.

대응정보 전송부(113)는 적어도 하나의 클라이언트 단말(121, 122, 123)로 상기 기본 대응정보 및 상기 적극 대응정보를 전송한다.The correspondence information transmitter 113 transmits the basic correspondence information and the active correspondence information to at least one client terminal 121, 122, and 123.

이때, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 선정된(predetermined) 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행한다.In this case, the at least one client terminal 121, 122, 123 performs a diagnosis on the malicious code based on the basic correspondence information, and when a predetermined time elapses, based on the aggressive response information Perform treatment for malware.

여기서, 상기 기본 대응정보는 상기 악성코드의 진단과 연관된 정보로, 적어도 하나의 클라이언트 단말(121, 122, 123)이 상기 기본 대응정보를 기초로 악성코드를 진단한 경우, 적어도 하나의 클라이언트 단말(121, 122, 123)은 이를 경고하거나 악성코드로 진단된 파일의 실행을 차단 또는 대응정보 업데이트 서버(110)로 악성코드 여부를 통보하는 수준의 소극적 행위를 수행할 수 있다.Here, the basic correspondence information is information associated with the diagnosis of the malicious code, and when at least one client terminal 121, 122, 123 diagnoses the malicious code based on the basic correspondence information, the at least one client terminal ( 121, 122, and 123 may perform a passive level of warning of this or blocking execution of a file diagnosed as malicious code or notifying the corresponding information update server 110 of whether malicious code is present.

그리고, 상기 적극 대응정보는 상기 악성코드의 치료와 연관된 정보로, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 선정된 시간이 경과한 이후 상기 적극 대응정보를 기초로 악성코드로 진단된 파일을 수정하거나 삭제하는 등의 적극적 행위를 수행할 수 있다.The active response information is information associated with the treatment of the malicious code, and at least one client terminal 121, 122, 123 is diagnosed as a malicious code based on the active response information after the predetermined time elapses. Active actions such as modifying or deleting files can be performed.

결국, 본 발명의 실시예들은 적어도 하나의 클라이언트 단말(121, 122, 123)이 대응정보 업데이트 장치(110)로부터 수신한 상기 기본 대응정보를 기초로 소극적 대응을 먼저 수행하고, 상기 선정된 시간이 경과한 이후 정상파일과 악성코드가 명확하게 구분되면, 상기 적극 대응정보를 기초로 악성코드에 대한 적극적 대응을 수행함으로써, 정상파일에 대한 오진 및 오진 피해 가능성을 최소화할 수 있다.As a result, embodiments of the present invention first perform passive correspondence based on the basic correspondence information received by the at least one client terminal 121, 122, and 123 from the correspondence information update apparatus 110, and the predetermined time is determined. After the elapsed time, if the normal file and the malicious code are clearly distinguished, the active response to the malicious code based on the active response information can be minimized, thereby minimizing the possibility of damage to the normal file and the misdiagnose.

본 발명의 일실시예에 따르면, 대응정보 업데이트 장치(110)는 데이터베이스(114)를 더 포함할 수 있다.According to an embodiment of the present invention, the correspondence information updating apparatus 110 may further include a database 114.

데이터베이스(114)에는 적어도 하나의 클라이언트 단말(121, 122, 123) 각각에 대해 서로 다르게 설정된 상태 변경 시간 정보가 저장되어 있다.The database 114 stores state change time information differently set for each of the at least one client terminal 121, 122, 123.

이때, 대응정보 전송부(113)는 적어도 하나의 클라이언트 단말(121, 122, 123)로 상기 상태 변경 시간 정보를 전송할 수 있다.In this case, the correspondence information transmitter 113 may transmit the state change time information to at least one client terminal 121, 122, 123.

이때, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 이후 상기 상태 변경 시간 정보를 기초로 적어도 하나의 클라이언트 단말(121, 122, 123) 각각에 대해 서로 다르게 설정된 상태 변경 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.In this case, the at least one client terminal (121, 122, 123) is based on the state change time information after the diagnosis of the malicious code based on the basic correspondence information at least one client terminal (121, 122, 123) When the state change time set differently for each elapses, the malicious code may be treated based on the positive response information.

다시 말해서, 본 발명의 실시예들은 적어도 하나의 클라이언트 단말(121, 122, 123)의 종류나 특성 등을 고려하여 적어도 하나의 클라이언트 단말(121, 122, 123) 각각에 대해 적극 대응정보를 기초로 악성코드에 대한 치료를 수행하는 적극적 행위의 수행 시간을 다르게 설정할 수 있다.In other words, embodiments of the present invention are based on the corresponding information for each of the at least one client terminal (121, 122, 123) in consideration of the type or characteristic of the at least one client terminal (121, 122, 123). The execution time of the active action of performing the treatment for malware can be set differently.

예컨대, 클라이언트 단말 1(121)을 비교적 파일의 중요도가 떨어지고 새로운 파일 유입이 빈번한 개인용 컴퓨터, 클라이언트 단말 2(122)를 파일의 중요도가 높은 기업용 서버라고 가정하자.For example, suppose that client terminal 1 121 is a personal computer having a relatively low importance of a file and frequently introduces new files, and client terminal 2 122 is an enterprise server having a high importance of a file.

이때, 데이터베이스(114)에는 클라이언트 단말 1(121)에 대해 상기 상태 변경 시간 정보가 5시간으로 규정되어 있을 수 있고, 클라이언트 단말 2(122)에 대해 상기 상태 변경 시간 정보가 3일로 규정되어 있을 수 있다.In this case, the state change time information may be defined as 5 hours for the client terminal 1 121 in the database 114, and the state change time information may be defined as 3 days for the client terminal 2 122. have.

기본 대응정보 생성부(111)가 기본 대응정보를 생성하고, 적극 대응정보 생성부(112)가 적극 대응정보를 생성한 후 대응정보 전송부(113)가 클라이언트 단말 1(121)과 클라이언트 단말 2(122)로 상기 기본 대응정보, 상기 적극 대응정보 및 상기 상태 변경 시간 정보를 전송하면, 클라이언트 단말 1(121)과 클라이언트 단말 2(122)는 먼저 상기 기본 대응정보를 기초로 악성코드에 대한 진단을 수행한다.After the basic correspondence information generation unit 111 generates basic correspondence information, the active correspondence information generation unit 112 generates active correspondence information, and then the correspondence information transmission unit 113 performs the client terminal 1 121 and the client terminal 2. When the basic correspondence information, the active correspondence information, and the state change time information are transmitted to the 122, the client terminal 1 121 and the client terminal 2 122 first diagnose a malicious code based on the basic correspondence information. Do this.

이때, 클라이언트 단말 1(121)은 상기 기본 대응정보를 기초로 악성코드에 대한 진단을 수행한 후 5시간이 경과되면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.In this case, the client terminal 1 121 may perform treatment for the malicious code based on the positive response information when 5 hours have elapsed after the diagnosis of the malicious code is performed based on the basic response information.

그리고, 클라이언트 단말 2(122)는 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 후 3일이 경과되면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.In addition, when 3 days have passed since the diagnosis of the malicious code is performed based on the basic correspondence information, the client terminal 2 122 may perform treatment on the malicious code based on the aggressive response information. .

여기서, 클라이언트 단말 1(121)은 비교적 파일의 중요도가 떨어지지만 새로운 파일의 유입이 잦은 개인용 컴퓨터이기 때문에 악성코드 진단 오진에 따른 피해의 정도보다 악성코드의 치료가 늦어짐으로 인한 피해가 더 클 수 있기 때문에 대응정보 업데이트 장치(110)는 상기 상태 변경 시간 정보를 짧게 설정할 수 있다.Here, since the client terminal 1 (121) is relatively insignificant in file importance, but is a personal computer that frequently introduces new files, the damage caused by delayed treatment of the malicious code may be greater than the degree of damage caused by the malicious code diagnosis error. Therefore, the corresponding information update apparatus 110 may shorten the state change time information.

그리고, 클라이언트 단말 2(122)는 비교적 파일의 중요도가 높은 기업용 서버라는 측면에서 악성코드 진단 오진에 따른 피해가 매우 커질 수 있기 때문에 대응정보 업데이트 장치(110)는 상기 상태 변경 시간 정보를 길게 설정함으로써, 정상파일에 대한 오진 가능성을 최소화하면서 악성코드 진단기능은 제공할 수 있다.In addition, since the client terminal 2 122 may have a large damage due to a malicious code diagnosis error in terms of an enterprise server having a relatively high importance of a file, the corresponding information update apparatus 110 sets the state change time information to be long. For example, the malware diagnosis function can be provided while minimizing the possibility of error on the normal file.

결국, 본 발명의 실시예들은 적어도 하나의 클라이언트 단말(121, 122, 123)의 종류나 특성 등을 기초로 적어도 하나의 클라이언트 단말(121, 122, 123) 각각에 대해 서로 다른 상태 변경 시간 정보를 설정함으로써, 클라이언트 단말의 특성에 따라 적절한 대응이 가능하도록 할 수 있다.As a result, embodiments of the present invention provide different state change time information for each of the at least one client terminal 121, 122, 123 based on the type or characteristic of the at least one client terminal 121, 122, 123, or the like. By setting, appropriate correspondence can be made according to the characteristic of a client terminal.

또한, 본 발명의 일실시예에 따르면, 적어도 하나의 클라이언트 단말(121, 122, 123)의 사용자는 적어도 하나의 클라이언트 단말(121, 122, 123)이 상기 적극 대응정보를 기초로 악성코드의 치료를 수행하기 위한 상기 상태 변경 시간 정보를 임의로 설정할 수 있다.In addition, according to an embodiment of the present invention, the user of the at least one client terminal (121, 122, 123) is the at least one client terminal (121, 122, 123) the treatment of malicious code based on the active response information The state change time information for performing can be arbitrarily set.

즉, 적어도 하나의 클라이언트 단말(121, 122, 123)의 사용자는 자신이 임의로 상기 상태 변경 시간 정보를 설정함으로써, 상황에 따라 악성코드의 치료를 우선시할 것인지 아니면, 오진 피해 가능성을 최소화할 것인지 여부를 선택할 수 있다.That is, the user of the at least one client terminal (121, 122, 123) by setting the state change time information arbitrarily by himself, whether to prioritize the treatment of malicious code or minimize the possibility of misunderstanding damage according to the situation Can be selected.

본 발명의 일실시예에 따르면, 데이터베이스(114)에는 상기 악성코드의 진단법 별로 서로 다르게 설정된 활성 시간 정보가 저장되어 있을 수 있다.According to an embodiment of the present invention, the database 114 may store active time information set differently for each diagnosis method of the malicious code.

이때, 대응정보 전송부(113)는 적어도 하나의 클라이언트 단말(121, 122, 123)로 상기 활성 시간 정보를 전송할 수 있다.In this case, the correspondence information transmitter 113 may transmit the active time information to at least one client terminal 121, 122, 123.

이때, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 이후 상기 활성 시간 정보를 기초로 상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간이 경과하면, 상기 적극 대응정보에 포함된 진단법을 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.At this time, the at least one client terminal (121, 122, 123) after the diagnosis of the malicious code on the basis of the basic correspondence information, the activity set differently for each diagnostic method for the malicious code based on the active time information If time elapses, the malicious code may be treated based on a diagnosis method included in the corresponding response information.

예컨대, 데이터베이스(114)에 진단법 1에 대해서는 상기 활성 시간 정보가 3시간으로 규정되어 있고, 진단법 2에 대해서는 상기 활성 시간 정보가 1일로 규정되어 있는 것으로 가정하자.For example, it is assumed in the database 114 that the active time information is defined as 3 hours for the diagnostic method 1 and the active time information is defined as 1 day for the diagnostic method 2.

대응정보 전송부(113)가 적어도 하나의 클라이언트 단말(121, 122, 123)로 상기 기본 대응정보, 상기 적극 대응정보 및 상기 활성 시간 정보를 전송하면, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 후 각 진단법에 대해 설정된 활성 시간이 경과하면, 상기 적극 대응정보에 포함된 각 진단법을 이용하여 상기 악성코드에 대한 치료를 수행할 수 있다.When the correspondence information transmitter 113 transmits the basic correspondence information, the active correspondence information, and the active time information to at least one client terminal 121, 122, 123, at least one client terminal 121, 122, 123. ), After the diagnosis of the malicious code is performed based on the basic correspondence information, when the active time set for each diagnosis method has elapsed, the treatment of the malicious code is performed using each diagnosis method included in the active response information. can do.

다시 말해서, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 3시간이 경과하면, 상기 적극 대응정보에 포함된 상기 진단법 1을 이용하여 상기 악성코드에 대한 치료를 수행할 수 있고, 1일이 경과하면, 상기 적극 대응정보에 포함된 상기 진단법 2를 이용하여 상기 악성코드에 대한 치료를 수행할 수 있다.In other words, the at least one client terminal 121, 122, 123 performs the diagnosis on the malicious code based on the basic correspondence information, and after 3 hours, the diagnosis method 1 included in the active response information is included. The malware may be treated by using the treatment, and after one day, the treatment of the malware may be performed using the diagnosis method 2 included in the corresponding information.

결국, 본 발명의 실시예들은 상기 악성코드에 대한 각 진단법 별로 상기 활성 시간 정보를 다르게 설정함으로써, 악성코드의 위험도 등에 따라 대응 강도를 조절할 수 있다.As a result, embodiments of the present invention can adjust the response strength according to the risk of malicious code by setting the active time information differently for each diagnostic method for the malicious code.

본 발명의 일실시예에 따르면, 데이터베이스(114)에는 정상파일의 특징 정보가 포함된 화이트리스트가 저장되어 있을 수 있다.According to an embodiment of the present invention, the database 114 may store a white list including the feature information of the normal file.

이때, 대응정보 전송부(113)는 적어도 하나의 클라이언트 단말(121, 122, 123)로 상기 화이트리스트를 전송할 수 있다.In this case, the corresponding information transmitter 113 may transmit the white list to at least one client terminal 121, 122, 123.

이때, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 화이트리스트를 참조하여 정상파일에 대해 상기 적극 대응정보를 이용한 치료를 수행하지 않을 수 있다.In this case, the at least one client terminal 121, 122, 123 may not perform the treatment using the positive correspondence information on the normal file with reference to the white list.

이와 관련하여 좀 더 상세히 설명하면, 대응정보 업데이트 장치(110)는 적어도 하나의 클라이언트 단말(121, 122, 123)로부터 정상파일에 대한 특징 정보를 수집하여 공통 화이트리스트를 생성한 후 데이터베이스(114)에 저장할 수 있다.In more detail in this regard, the correspondence information updating apparatus 110 collects feature information on a normal file from at least one client terminal 121, 122, 123, generates a common white list, and then generates a database 114. Can be stored in

이때, 대응정보 업데이트 장치(110)는 상기 공통 화이트리스트를 적어도 하나의 클라이언트 단말(121, 122, 123)로 전송하고, 적어도 하나의 클라이언트 단말(121, 122, 123)은 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 이후, 상기 공통 화이트리스트를 참고하여 정상파일 이외의 비정상 파일에 대해서만 상기 적극 대응정보를 기초로 치료를 수행할 수 있다.In this case, the correspondence information updating apparatus 110 transmits the common white list to at least one client terminal 121, 122, 123, and the at least one client terminal 121, 122, 123 is based on basic correspondence information. After the diagnosis of the malicious code is performed, treatment may be performed based on the positive response information only for abnormal files other than normal files with reference to the common white list.

또한, 대응정보 업데이트 장치(110)는 적어도 하나의 클라이언트 단말(121, 122, 123) 각각에 대한 악성코드 진단 이력을 기초로 적어도 하나의 클라이언트 단말(121, 122, 123) 각각에 대한 개별 화이트리스트를 관리할 수 있다.In addition, the correspondence information updating apparatus 110 may individually whitelist each of the at least one client terminal 121, 122, 123 based on a history of malicious code diagnosis of each of the at least one client terminal 121, 122, 123. Can manage.

이때, 적어도 하나의 클라이언트 단말(121, 122, 123)은 대응정보 업데이트 장치(110)로부터 상기 개별 화이트리스트를 각각 수신하여 상기 개별 화이트리스트를 기초로 정상파일이 아닌 비정상 파일에 대해서만 상기 적극 대응정보를 기초로 치료를 수행할 수 있다.
At this time, the at least one client terminal (121, 122, 123) receives the respective white list from the corresponding information update device 110, respectively, based on the individual white list, the active corresponding information only for abnormal files, not normal files Treatment can be performed on the basis of

도 2는 본 발명의 일실시예에 따른 클라이언트 단말 장치의 구조를 도시한 도면이다.2 is a diagram illustrating a structure of a client terminal device according to an embodiment of the present invention.

도 2를 참조하면, 업데이트 서버(210) 및 클라이언트 단말 장치(220)가 도시되어 있다.Referring to FIG. 2, an update server 210 and a client terminal device 220 are shown.

클라이언트 단말 장치(220)는 대응정보 수신부(221), 진단 수행부(222) 및 치료 수행부(223)를 포함한다.The client terminal device 220 includes a corresponding information receiving unit 221, a diagnosis performing unit 222, and a treatment performing unit 223.

대응정보 수신부(221)는 업데이트 서버(210)로부터 악성코드의 진단과 연관된 기본 대응정보 및 상기 악성코드의 치료와 연관된 적극 대응정보를 수신한다.The response information receiving unit 221 receives basic response information associated with the diagnosis of malicious code and positive response information associated with the treatment of the malicious code from the update server 210.

진단 수행부(222)는 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한다.The diagnosis performing unit 222 performs a diagnosis on the malicious code based on the basic correspondence information.

치료 수행부(223)는 상기 악성코드에 대한 진단이 수행된 이후 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행한다.The treatment execution unit 223 performs a treatment for the malicious code based on the positive response information when a predetermined time elapses after the diagnosis of the malicious code is performed.

결국, 본 발명의 일실시예에 따른 클라이언트 단말 장치(220)는 업데이트 서버(210)로부터 기본 대응정보 및 적극 대응정보를 수신하면, 상기 기본 대응정보를 기초로 악성코드를 진단하는 등의 소극적 대응을 수행한 후 상기 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료 행위를 하는 등의 적극적 대응을 수행함으로써, 정상파일에 대한 오진 가능성을 최소화할 수 있다.As a result, when the client terminal device 220 according to an embodiment of the present invention receives basic response information and aggressive response information from the update server 210, the client terminal device 220 passively responds to diagnosis of malicious code based on the basic response information. After the selected time has elapsed, by performing a proactive response such as treating the malicious code based on the aggressive response information, the possibility of a misdiagnosis of the normal file can be minimized.

본 발명의 일실시예에 따르면, 클라이언트 단말 장치(220)는 시간 정보 수신부(224)를 더 포함할 수 있다.According to an embodiment of the present invention, the client terminal device 220 may further include a time information receiver 224.

시간 정보 수신부(224)는 업데이트 서버(210)로부터 상기 선정된 시간과 연관된 상태 변경 시간 정보를 수신한다.The time information receiver 224 receives state change time information associated with the predetermined time from the update server 210.

이때, 치료 수행부(223)는 상기 악성코드에 대한 진단이 수행된 이후 상기 상태 변경 시간 정보를 기초로 상기 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.At this time, the treatment performing unit 223 performs the treatment for the malicious code based on the active response information when the predetermined time elapses based on the state change time information after the diagnosis of the malicious code is performed. can do.

또한, 본 발명의 일실시예에 따르면, 클라이언트 단말 장치(220)의 사용자는 상기 선정된 시간을 임의로 설정할 수 있다.In addition, according to an embodiment of the present invention, the user of the client terminal device 220 may arbitrarily set the selected time.

따라서, 클라이언트 단말 장치(220)의 사용자는 상기 선정된 시간을 임의로 설정함으로써, 상황에 따라 오진 발생 가능성을 최소화할 것인지 악성코드의 치료를 우선시 할 것인지 여부를 결정할 수 있다.Accordingly, the user of the client terminal device 220 may arbitrarily set the predetermined time, and determine whether to minimize the possibility of the occurrence of a misdiagnosis or to prioritize the treatment of the malicious code according to the situation.

본 발명의 일실시예에 따르면, 시간 정보 수신부(224)는 업데이트 서버(210)로부터 상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간 정보를 수신할 수 있다.According to an embodiment of the present invention, the time information receiver 224 may receive active time information set differently for each diagnosis method for the malicious code from the update server 210.

이때, 치료 수행부(223)는 상기 악성코드에 대한 진단이 수행된 이후 상기 활성 시간 정보를 기초로 상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간이 경과하면, 상기 적극 대응정보에 포함된 진단법을 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.At this time, the treatment performing unit 223 is a diagnostic method included in the corresponding response information when the active time set differently for each diagnosis method for the malicious code elapses after the diagnosis of the malicious code is performed based on the active time information Based on the treatment can be performed for the malicious code.

또한, 본 발명의 일실시예에 따르면, 클라이언트 단말 장치(220)는 화이트리스트 수신부(225)를 더 포함할 수 있다.In addition, according to an embodiment of the present invention, the client terminal device 220 may further include a white list receiving unit 225.

화이트리스트 수신부(225)는 업데이트 서버(210)로부터 정상파일의 특징 정보가 포함된 화이트리스트를 수신한다.The white list receiver 225 receives a white list including feature information of a normal file from the update server 210.

이때, 치료 수행부(223)는 상기 화이트리스트를 참조하여 상기 정상파일에 대해 상기 적극 대응정보를 이용한 치료를 수행하지 않을 수 있다.
In this case, the treatment performing unit 223 may not perform the treatment using the positive correspondence information on the normal file with reference to the white list.

도 3은 본 발명의 일실시예에 따른 대응정보 업데이트 방법을 도시한 순서도이다.3 is a flowchart illustrating a method of updating correspondence information according to an embodiment of the present invention.

단계(S310)에서는 악성코드의 진단과 연관된 기본 대응정보를 생성한다.In step S310, basic response information associated with the diagnosis of malicious code is generated.

단계(S320)에서는 상기 악성코드의 치료와 연관된 적극 대응정보를 생성한다.In step S320, positive response information associated with the treatment of the malicious code is generated.

단계(S330)에서는 적어도 하나의 클라이언트 단말로 상기 기본 대응정보 및 상기 적극 대응정보를 전송한다.In step S330, the basic correspondence information and the active correspondence information are transmitted to at least one client terminal.

이때, 상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행한다.In this case, the at least one client terminal performs diagnosis on the malicious code based on the basic correspondence information, and when a predetermined time elapses, the at least one client terminal performs treatment on the malicious code based on the aggressive response information.

이때, 본 발명의 일실시예에 따르면, 상기 대응정보 업데이트 방법은 상기 적어도 하나의 클라이언트 단말 각각에 대해 서로 다르게 설정된 상태 변경 시간 정보가 저장된 데이터베이스를 관리하는 단계 및 상기 적어도 하나의 클라이언트 단말로 상기 상태 변경 시간 정보를 전송하는 단계를 더 포함할 수 있다.In this case, according to an embodiment of the present invention, the corresponding information updating method may include: managing a database in which state change time information, which is differently set for each of the at least one client terminal, is stored; The method may further include transmitting the change time information.

이때, 상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 이후 상기 상태 변경 시간 정보를 기초로 상기 적어도 하나의 클라이언트 단말 각각에 대해 서로 다르게 설정된 상태 변경 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.In this case, after the at least one client terminal diagnoses the malicious code based on the basic correspondence information, a state change time set differently for each of the at least one client terminal is based on the state change time information. When the elapsed time, the malicious code may be treated based on the positive response information.

이상, 도 3를 참조하여 본 발명의 일실시예에 따른 대응정보 업데이트 방법에 대해 설명하였다. 여기서, 본 발명의 일실시예에 따른 대응정보 업데이트 방법은 도 1을 이용하여 설명한 대응정보 업데이트 장치(110)의 구성과 대응될 수 있으므로, 이에 대한 보다 상세한 설명은 생략하기로 한다.
The corresponding information updating method according to an embodiment of the present invention has been described above with reference to FIG. 3. Here, since the corresponding information update method according to an embodiment of the present invention may correspond to the configuration of the corresponding information update apparatus 110 described with reference to FIG. 1, a detailed description thereof will be omitted.

도 4는 본 발명의 일실시예에 따른 악성코드 치료 방법을 도시한 순서도이다.4 is a flowchart illustrating a method for treating malware according to an embodiment of the present invention.

단계(S410)에서는 업데이트 서버로부터 악성코드의 진단과 연관된 기본 대응정보 및 상기 악성코드의 치료와 연관된 적극 대응정보를 수신한다.In step S410, basic response information associated with the diagnosis of malicious code and positive response information associated with the treatment of the malicious code are received from the update server.

단계(S420)에서는 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한다.In step S420, the malicious code is diagnosed based on the basic correspondence information.

단계(S430)에서는 상기 악성코드에 대한 진단이 수행된 이후 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행한다.In step S430, if a predetermined time elapses after the diagnosis of the malicious code is performed, the malicious code is treated based on the positive response information.

이때, 본 발명의 일실시예에 따르면, 상기 악성코드 치료 방법은 상기 업데이트 서버로부터 상기 선정된 시간과 연관된 상태 변경 시간 정보를 수신하는 단계를 더 포함할 수 있다.At this time, according to an embodiment of the present invention, the malicious code treatment method may further include receiving state change time information associated with the predetermined time from the update server.

이때, 단계(S430)에서는 상기 악성코드에 대한 진단이 수행된 이후 상기 상태 변경 시간 정보를 기초로 상기 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.In this case, in step S430, when the predetermined time elapses based on the state change time information after the diagnosis of the malicious code is performed, the malicious code may be treated based on the positive response information. have.

이상, 도 4를 참조하여 본 발명의 일실시예에 따른 악성코드 치료 방법에 대해 설명하였다. 여기서, 본 발명의 일실시예에 따른 악성코드 치료 방법은 도 2를 이용하여 설명한 클라이언트 단말 장치(220)의 구성과 대응될 수 있으므로, 이에 대한 보다 상세한 설명은 생략하기로 한다.
In the above, the malicious code treatment method according to an embodiment of the present invention has been described with reference to FIG. Here, since the malicious code treatment method according to an embodiment of the present invention may correspond to the configuration of the client terminal device 220 described with reference to FIG. 2, a detailed description thereof will be omitted.

본 발명의 일실시예에 따른 대응정보 업데이트 방법 및 악성코드 치료 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Corresponding information updating method and malicious code treatment method according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. In the present invention as described above has been described by the specific embodiments, such as specific components and limited embodiments and drawings, but this is provided to help a more general understanding of the present invention, the present invention is not limited to the above embodiments. For those skilled in the art, various modifications and variations are possible from these descriptions.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .

110: 대응정보 업데이트 장치
111: 기본 대응정보 생성부 112: 적극 대응정보 생성부
113: 대응정보 전송부
121, 122, 123: 적어도 하나의 클라이언트 단말
210: 업데이트 서버
220: 클라이언트 단말 장치
221: 대응정보 수신부 222: 진단 수행부
223: 치료 수행부 224: 시간 정보 수신부
225: 화이트리스트 수신부110: response information update device
111: basic correspondence information generator 112: active correspondence information generator
113: correspondence information transmission unit
121, 122, 123: at least one client terminal
210: update server
220: client terminal device
221: corresponding information receiving unit 222: diagnostic performing unit
223: treatment performing unit 224: time information receiving unit
225: whitelist receiver

Claims (13)

삭제delete 악성코드의 진단과 연관된 기본 대응정보를 생성하는 기본 대응정보 생성부;
상기 악성코드의 치료와 연관된 적극 대응정보를 생성하는 적극 대응정보 생성부;
적어도 하나의 클라이언트 단말 각각에 대해 서로 다르게 설정된 상태 변경 시간 정보가 저장된 데이터베이스; 및
상기 적어도 하나의 클라이언트 단말로 상기 기본 대응정보 및 상기 적극 대응정보와 상기 상태 변경 시간 정보를 전송하는 대응정보 전송부;를 포함하고,
상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 상기 상태 변경 시간 정보를 기초로 상기 적어도 하나의 클라이언트 단말 각각에 대해 서로 다르게 설정된 상태 변경 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행하는, 대응정보 업데이트 장치.A basic response information generator for generating basic response information associated with the diagnosis of malicious code;
An active response information generation unit for generating active response information associated with the treatment of the malicious code;
A database storing state change time information differently set for each of the at least one client terminal; And
And a correspondence information transmitter configured to transmit the basic correspondence information, the active correspondence information, and the state change time information to the at least one client terminal.
The at least one client terminal diagnoses the malicious code based on the basic correspondence information, and when the state change time set differently for each of the at least one client terminal elapses based on the state change time information, And responding to the malicious code based on the active response information. 제2항에 있어서,
상기 데이터베이스에는
상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간 정보가 저장되어 있고,
상기 대응정보 전송부는 상기 적어도 하나의 클라이언트 단말로 상기 활성 시간 정보를 전송하며,
상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 이후 상기 활성 시간 정보를 기초로 상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간이 경과하면, 상기 적극 대응정보에 포함된 진단법을 기초로 상기 악성코드에 대한 치료를 수행하는 대응정보 업데이트 장치.The method of claim 2,
The database has
Active time information set differently for each diagnosis method for the malicious code is stored,
The correspondence information transmitter transmits the active time information to the at least one client terminal.
If the at least one client terminal diagnoses the malicious code based on the basic correspondence information and then the active time set differently for each diagnosis method for the malicious code based on the active time information, the active response is performed. Corresponding information update device for performing the treatment for the malicious code based on the diagnostic method included in the information. 제2항에 있어서,
상기 데이터베이스에는
정상파일의 특징 정보가 포함된 화이트리스트가 저장되어 있고,
상기 대응정보 전송부는
상기 적어도 하나의 클라이언트 단말로 상기 화이트리스트를 전송하며,
상기 적어도 하나의 클라이언트 단말은 상기 화이트리스트를 참조하여 상기 정상파일에 대해 상기 적극 대응정보를 이용한 치료를 수행하지 않는 대응정보 업데이트 장치.The method of claim 2,
The database has
A white list containing the characteristic information of the normal file is stored.
The correspondence information transmission unit
Transmit the whitelist to the at least one client terminal,
And the at least one client terminal does not perform treatment using the active correspondence information on the normal file with reference to the white list. 삭제delete 업데이트 서버로부터 악성코드의 진단과 연관된 기본 대응정보 및 상기 악성코드의 치료와 연관된 적극 대응정보를 수신하는 대응정보 수신부;
상기 업데이트 서버로부터, 선정된 시간과 연관된 상태 변경 시간 정보를 수신하는 시간 정보 수신부;
상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하는 진단 수행부; 및
상기 악성코드에 대한 진단이 수행된 이후 상기 상태 변경 시간 정보를 기초로 상기 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행하는 치료 수행부를 포함하는 것을 특징으로 하는 클라이언트 단말 장치.A corresponding information receiver configured to receive basic response information associated with the diagnosis of malicious code and positive response information associated with the treatment of the malicious code from an update server;
A time information receiver configured to receive state change time information associated with a predetermined time from the update server;
A diagnosis performing unit configured to diagnose the malicious code based on the basic correspondence information; And
And a treatment execution unit configured to perform treatment for the malicious code based on the active response information when the predetermined time elapses based on the state change time information after the diagnosis of the malicious code is performed. Client terminal device. 제6항에 있어서,
상기 시간 정보 수신부는
상기 업데이트 서버로부터 상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간 정보를 수신하고,
상기 치료 수행부는 상기 악성코드에 대한 진단이 수행된 이후 상기 활성 시간 정보를 기초로 상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간이 경과하면, 상기 적극 대응정보에 포함된 진단법을 기초로 상기 악성코드에 대한 치료를 수행하는 클라이언트 단말 장치.The method according to claim 6,
The time information receiving unit
Receive active time information differently set for each diagnosis method for the malicious code from the update server,
The treatment performing unit, based on the diagnosis method included in the active response information when the activation time set differently for each diagnosis method on the basis of the active time information elapses after the diagnosis on the malicious code is performed, Client terminal device that performs the treatment for the code. 제6항에 있어서,
상기 업데이트 서버로부터 정상파일의 특징 정보가 포함된 화이트리스트를 수신하는 화이트리스트 수신부
를 더 포함하고,
상기 치료 수행부는 상기 화이트리스트를 참조하여 상기 정상파일에 대해 상기 적극 대응정보를 이용한 치료를 수행하지 않는 클라이언트 단말 장치.
The method according to claim 6,
White list receiving unit for receiving a white list containing the characteristic information of the normal file from the update server
Further comprising:
The treatment execution unit does not perform the treatment using the active corresponding information for the normal file with reference to the white list.
삭제delete 악성코드의 진단과 연관된 기본 대응정보를 생성하는 단계;
상기 악성코드의 치료와 연관된 적극 대응정보를 생성하는 단계; 및
적어도 하나의 클라이언트 단말 각각에 대해 서로 다르게 설정된 상태 변경 시간 정보가 저장된 데이터베이스를 관리하는 단계;
상기 적어도 하나의 클라이언트 단말로 상기 기본 대응정보 및 상기 적극 대응정보와 상기 상태 변경 시간 정보를 전송하는 단계;를 포함하고,
상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 상기 상태 변경 시간 정보를 기초로 상기 적어도 하나의 클라이언트 단말 각각에 대해 서로 다르게 설정된 상태 변경 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행하는, 대응정보 업데이트 방법.
Generating basic response information associated with diagnosis of malicious code;
Generating active response information associated with the treatment of the malicious code; And
Managing a database in which state change time information is differently set for each of the at least one client terminal;
And transmitting the basic correspondence information, the active correspondence information, and the state change time information to the at least one client terminal.
The at least one client terminal diagnoses the malicious code based on the basic correspondence information, and when the state change time set differently for each of the at least one client terminal elapses based on the state change time information, And responding to the malicious code based on the active response information.
삭제delete 업데이트 서버로부터 악성코드의 진단과 연관된 기본 대응정보 및 상기 악성코드의 치료와 연관된 적극 대응정보를 수신하는 단계;
상기 업데이트 서버로부터, 선정된 시간과 연관된 상태 변경 시간 정보를 수신하는 단계;
상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하는 단계; 및
상기 악성코드에 대한 진단이 수행된 이후 상기 상태 변경 시간 정보를 기초로 상기 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행하는 단계를 포함하는 것을 특징으로 하는 악성코드 치료 방법.
Receiving basic response information associated with the diagnosis of malicious code and positive response information associated with the treatment of the malicious code from an update server;
Receiving state change time information associated with a predetermined time from the update server;
Diagnosing the malicious code based on the basic correspondence information; And
And performing a treatment for the malicious code based on the active response information when the predetermined time elapses based on the state change time information after the diagnosis of the malicious code is performed. How to clean malware.
제10항 또는 제12항 중 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.A computer-readable recording medium having recorded thereon a program for performing the method of claim 10.
KR1020100120698A 2010-11-30 2010-11-30 Information update apparatus and method, client terminal device and malicious code treatment method KR101256439B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100120698A KR101256439B1 (en) 2010-11-30 2010-11-30 Information update apparatus and method, client terminal device and malicious code treatment method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100120698A KR101256439B1 (en) 2010-11-30 2010-11-30 Information update apparatus and method, client terminal device and malicious code treatment method

Publications (2)

Publication Number Publication Date
KR20120059082A KR20120059082A (en) 2012-06-08
KR101256439B1 true KR101256439B1 (en) 2013-04-19

Family

ID=46610440

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100120698A KR101256439B1 (en) 2010-11-30 2010-11-30 Information update apparatus and method, client terminal device and malicious code treatment method

Country Status (1)

Country Link
KR (1) KR101256439B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100680559B1 (en) * 2002-11-11 2007-02-08 한국전자통신연구원 Method and system for diagnosing and curing network virus
KR20090010852A (en) * 2007-07-23 2009-01-30 삼성전자주식회사 Apparatus and method for curing computer system infected by malware

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100680559B1 (en) * 2002-11-11 2007-02-08 한국전자통신연구원 Method and system for diagnosing and curing network virus
KR20090010852A (en) * 2007-07-23 2009-01-30 삼성전자주식회사 Apparatus and method for curing computer system infected by malware

Also Published As

Publication number Publication date
KR20120059082A (en) 2012-06-08

Similar Documents

Publication Publication Date Title
Reeder et al. An experience sampling study of user reactions to browser warnings in the field
US10904283B2 (en) System and method of countering an attack on computing devices of users
US10523701B2 (en) Automated configuration of application firewalls
US8375120B2 (en) Domain name system security network
EP2566130B1 (en) Automatic analysis of security related incidents in computer networks
KR101899589B1 (en) System and method for authentication about safety software
US8312537B1 (en) Reputation based identification of false positive malware detections
US20180020024A1 (en) Methods and Systems for Using Self-learning Techniques to Protect a Web Application
US20140201843A1 (en) Systems and methods for identifying and reporting application and file vulnerabilities
Lippmann et al. Continuous security metrics for prevalent network threats: introduction and first four metrics
JP2013503377A (en) Apparatus, method, and computer program for threat detection in data processing system (threat detection in data processing system)
US11856011B1 (en) Multi-vector malware detection data sharing system for improved detection
US11145221B2 (en) Method and apparatus for neutralizing real cyber threats to training materials
CN110602135B (en) Network attack processing method and device and electronic equipment
CN107634967A (en) A kind of the CSRFToken systems of defense and method of CSRF attacks
EP3270317A1 (en) Dynamic security module server device and operating method thereof
US20170155683A1 (en) Remedial action for release of threat data
Kondakci Analysis of information security reliability: A tutorial
Anderson et al. Parameterizing moving target defenses
KR20150133370A (en) System and method for web service access control
Heartfield et al. Protection against semantic social engineering attacks
US8266704B1 (en) Method and apparatus for securing sensitive data from misappropriation by malicious software
KR101256439B1 (en) Information update apparatus and method, client terminal device and malicious code treatment method
KR101230585B1 (en) Malicious code treatment apparatus and method
Yu et al. A threat monitoring system for smart mobiles in enterprise networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170417

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180416

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190415

Year of fee payment: 7