KR101256439B1 - Information update apparatus and method, client terminal device and malicious code treatment method - Google Patents
Information update apparatus and method, client terminal device and malicious code treatment method Download PDFInfo
- Publication number
- KR101256439B1 KR101256439B1 KR1020100120698A KR20100120698A KR101256439B1 KR 101256439 B1 KR101256439 B1 KR 101256439B1 KR 1020100120698 A KR1020100120698 A KR 1020100120698A KR 20100120698 A KR20100120698 A KR 20100120698A KR 101256439 B1 KR101256439 B1 KR 101256439B1
- Authority
- KR
- South Korea
- Prior art keywords
- malicious code
- information
- client terminal
- active
- diagnosis
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
Abstract
대응정보 업데이트 장치 및 방법, 클라이언트 단말 장치 및 악성코드 치료 방법이 개시된다. 본 발명의 실시예들은 업데이트 서버가 악성코드에 대한 대응정보를 기본 대응정보와 적극 대응정보로 구분하여 클라이언트 단말로 제공하면, 상기 클라이언트 단말이 상기 기본 대응정보를 기초로 악성코드에 대한 소극적 대응을 수행하고, 소정의 시간이 경과한 이후 상기 클라이언트 단말이 상기 적극 대응정보를 기초로 상기 악성코드에 대한 적극적 대응을 수행하도록 함으로써, 악성코드를 진단 및 치료하는 과정에서 발생할 수 있는 오진 및 오진 피해 가능성을 최소화할 수 있다.An apparatus and method for updating corresponding information, a client terminal device, and a method for treating malware are disclosed. According to the embodiments of the present invention, when the update server classifies the corresponding information on the malicious code into the basic response information and the active response information to the client terminal, the client terminal may passively respond to the malicious code based on the basic response information. After the predetermined time has elapsed, the client terminal performs an active response to the malicious code on the basis of the positive response information, so that there is a possibility of damage and misunderstanding that may occur in the process of diagnosing and treating the malicious code. Can be minimized.
Description
대응정보 업데이트 장치 및 방법, 클라이언트 단말 장치 및 악성코드 치료 방법이 개시된다. 특히, 본 발명의 실시예들은 신종 또는 변종 악성코드에 대한 진단 및 치료 행위 시에 발생할 수 있는 오진 및 오진 피해 가능성을 감소시킬 수 있는 기술에 관한 것이다.An apparatus and method for updating corresponding information, a client terminal device, and a method for treating malware are disclosed. In particular, embodiments of the present invention are directed to a technology that can reduce the possibility of misunderstanding and misunderstanding that may occur in the diagnosis and treatment of new or variant malware.
최근, 초고속 인터넷 환경이 구축되면서, 프로그램이나 이-메일(e-mail) 등을 통해 유포되는 악성코드로 인한 피해가 급증하고 있다.Recently, as the high-speed Internet environment has been established, the damage caused by malicious codes distributed through programs and e-mails has increased rapidly.
보통, 악성코드는 컴퓨터의 속도를 저하시킬 수 있고, 웹 브라우저의 초기 페이지를 불건전 사이트로 고정할 수 있으며, 사용자의 컴퓨터를 스팸 메일 발송 서버로 사용하거나 DDoS(Distributed Denial of Service Attack) 공격의 거점 PC로 사용할 수 있고, 사용자의 개인 정보를 유출시킬 수 있다.Usually, malware can slow down your computer, pin a web browser's initial page to an unhealthy site, use your computer as a spam server, or be a base for distributed denial of service attacks (DDoS) attacks. It can be used as a PC and can leak user's personal information.
악성코드가 사용자의 컴퓨터에 설치되고 해를 입히는 방식은 ActiveX, Java Applet, Java WebStart, .NETClickOnce, Flash, UCC 등 다양하게 존재하나, 대부분 HTTP 프로토콜을 이용하여 웹 서버로부터 원본 파일을 받는다는 공통점이 있다.There are various ways that malicious code is installed and harmed on user's computer, such as ActiveX, Java Applet, Java WebStart, .NETClickOnce, Flash, UCC, etc., but most of them have common point that they receive original file from web server using HTTP protocol. .
최근에는 이러한 악성코드의 유포를 방지하기 위해 다양한 방어기재에 대한 연구가 진행되고 있다.Recently, researches on various defense devices have been conducted to prevent the spread of such malicious codes.
보통, 악성코드 방지를 위한 설치형 보안 프로그램은 클라이언트 단말에 설치되는 프로그램으로 악성코드나 바이러스 및 원치않는 파일의 실행을 감지하고, 이미 감염된 클라이언트 단말을 치료하는 형태로 작동되며, 일반적인 백신 프로그램이 이러한 방식에 해당한다.In general, an installed security program for preventing malware is a program installed on a client terminal and detects the execution of malicious codes, viruses, and unwanted files, and works to cure an already infected client terminal. Corresponds to
이러한, 보안 프로그램은 신종 또는 변종 악성코드가 발생할 경우, 이에 대한 빠른 대응을 위해 업데이트 서버가 지속적으로 신종 또는 변종 악성코드에 대한 대응정보를 각 클라이언트 단말에 제공한다.When a new or variant malicious code occurs, the security program continuously provides the corresponding information to each client terminal about the new or variant malicious code in order to quickly respond to it.
하지만, 상기 업데이트 서버가 클라이언트 단말로 신속하게 상기 대응정보를 제공하는 과정에서 정상파일을 신종 또는 변종 악성코드로 판단하는 경우가 종종 발생할 수 있다.However, in the process of promptly providing the corresponding information to the client terminal, the update server may often determine that the normal file is a new or modified malicious code.
따라서, 신종 또는 변종 악성코드에 대한 신속한 대응이 가능하면서도 정상파일을 악성코드로 판단하는 오진 가능성 및 피해를 최소화할 수 있는 방안에 대한 연구가 필요하다.Therefore, it is necessary to study a method for minimizing the possibility of misdiagnosis and damage that judges a normal file as malicious code while being able to respond quickly to new or modified malicious code.
본 발명의 실시예들은 업데이트 서버가 악성코드에 대한 대응정보를 기본 대응정보와 적극 대응정보로 구분하여 클라이언트 단말로 제공하면, 상기 클라이언트 단말이 상기 기본 대응정보를 기초로 악성코드에 대한 소극적 대응을 수행하고, 소정의 시간이 경과한 이후 상기 클라이언트 단말이 상기 적극 대응정보를 기초로 상기 악성코드에 대한 적극적 대응을 수행하도록 함으로써, 악성코드를 진단 및 치료하는 과정에서 발생할 수 있는 오진 피해 가능성을 최소화하고자 한다.According to the embodiments of the present invention, when the update server classifies the corresponding information on the malicious code into the basic response information and the active response information to the client terminal, the client terminal may passively respond to the malicious code based on the basic response information. After the predetermined time has elapsed, the client terminal performs an active response to the malicious code based on the positive response information, thereby minimizing the possibility of the misunderstanding that may occur in the process of diagnosing and treating the malicious code. I would like to.
본 발명의 일실시예에 따른 대응정보 업데이트 장치는 악성코드의 진단과 연관된 기본 대응정보를 생성하는 기본 대응정보 생성부, 상기 악성코드의 치료와 연관된 적극 대응정보를 생성하는 적극 대응정보 생성부 및 적어도 하나의 클라이언트 단말로 상기 기본 대응정보 및 상기 적극 대응정보를 전송하는 대응정보 전송부를 포함하고, 상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 선정된(predetermined) 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행한다.Corresponding information updating apparatus according to an embodiment of the present invention includes a basic response information generation unit for generating basic response information associated with the diagnosis of malicious code, an active response information generation unit for generating active response information associated with the treatment of the malicious code; And a correspondence information transmitter configured to transmit the basic correspondence information and the active correspondence information to at least one client terminal, wherein the at least one client terminal performs diagnosis and selects the malicious code based on the basic correspondence information. When a predetermined time elapses, the malicious code is treated based on the positive response information.
또한, 본 발명의 일실시예에 따른 클라이언트 단말 장치는 업데이트 서버로부터 악성코드의 진단과 연관된 기본 대응정보 및 상기 악성코드의 치료와 연관된 적극 대응정보를 수신하는 대응정보 수신부, 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하는 진단 수행부 및 상기 악성코드에 대한 진단이 수행된 이후 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행하는 치료 수행부를 포함한다.In addition, the client terminal device according to an embodiment of the present invention is a response information receiver for receiving basic response information associated with the diagnosis of malicious code and positive response information associated with the treatment of the malicious code from the update server, based on the basic response information A diagnosis performing unit for performing a diagnosis on the malicious code and a treatment performing unit for performing treatment on the malicious code based on the corresponding response information when a predetermined time elapses after the diagnosis on the malicious code is performed. Include.
또한, 본 발명의 일실시예에 따른 대응정보 업데이트 방법은 악성코드의 진단과 연관된 기본 대응정보를 생성하는 단계, 상기 악성코드의 치료와 연관된 적극 대응정보를 생성하는 단계 및 적어도 하나의 클라이언트 단말로 상기 기본 대응정보 및 상기 적극 대응정보를 전송하는 단계를 포함하고, 상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행한다.In addition, the method for updating a corresponding information according to an embodiment of the present invention includes generating basic response information associated with a diagnosis of malicious code, generating active response information associated with the treatment of the malicious code, and at least one client terminal. And transmitting the basic correspondence information and the active correspondence information, wherein the at least one client terminal performs diagnosis on the malicious code based on the basic correspondence information, and when a predetermined time elapses, the active The malicious code is treated based on the corresponding information.
또한, 본 발명의 일실시예에 따른 악성코드 치료 방법은 업데이트 서버로부터 악성코드의 진단과 연관된 기본 대응정보 및 상기 악성코드의 치료와 연관된 적극 대응정보를 수신하는 단계, 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하는 단계 및 상기 악성코드에 대한 진단이 수행된 이후 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행하는 단계를 포함한다.In addition, the malicious code treatment method according to an embodiment of the present invention receiving the basic response information associated with the diagnosis of malicious code and the active response information associated with the treatment of the malicious code from the update server, based on the basic response information And performing a diagnosis on the malicious code, and performing a treatment on the malicious code based on the active response information when a predetermined time elapses after the diagnosis on the malicious code is performed.
본 발명의 실시예들은 업데이트 서버가 악성코드에 대한 대응정보를 기본 대응정보와 적극 대응정보로 구분하여 클라이언트 단말로 제공하면, 상기 클라이언트 단말이 상기 기본 대응정보를 기초로 악성코드에 대한 소극적 대응을 수행하고, 소정의 시간이 경과한 이후 상기 클라이언트 단말이 상기 적극 대응정보를 기초로 상기 악성코드에 대한 적극적 대응을 수행하도록 함으로써, 악성코드를 진단 및 치료하는 과정에서 발생할 수 있는 오진 및 오진 피해 가능성을 최소화할 수 있다.According to the embodiments of the present invention, when the update server classifies the corresponding information on the malicious code into the basic response information and the active response information to the client terminal, the client terminal may passively respond to the malicious code based on the basic response information. After the predetermined time has elapsed, the client terminal performs an active response to the malicious code on the basis of the positive response information, so that there is a possibility of damage and misunderstanding that may occur in the process of diagnosing and treating the malicious code. Can be minimized.
도 1은 본 발명의 일실시예에 따른 대응정보 업데이트 장치의 구조를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 클라이언트 단말 장치의 구조를 도시한 도면이다.
도 3은 본 발명의 일실시예에 따른 대응정보 업데이트 방법을 도시한 순서도이다.
도 4는 본 발명의 일실시예에 따른 악성코드 치료 방법을 도시한 순서도이다.1 is a diagram illustrating the structure of an apparatus for updating correspondence information according to an embodiment of the present invention.
2 is a diagram illustrating a structure of a client terminal device according to an embodiment of the present invention.
3 is a flowchart illustrating a method of updating correspondence information according to an embodiment of the present invention.
4 is a flowchart illustrating a method for treating malware according to an embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.
이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, embodiments according to the present invention will be described in detail with reference to the accompanying drawings.
전술한 바와 같이, 최근 새로운 악성코드가 빠르게 유포됨으로 인해 보안 업체에서는 신종 또는 변종 악성코드를 신속하게 분석하여 이에 대한 대응정보를 업데이트 서버를 통해 클라이언트 단말로 제공하고 있다.As described above, due to the recent spread of new malicious codes, security companies quickly analyze new or modified malicious codes and provide corresponding information to client terminals through an update server.
하지만, 신종 또는 변종 악성코드에 대해 신속하게 대응하는 과정에서 보안 업체에서는 정상파일을 신종 또는 변종 악성코드로 파악하고, 정상파일마저도 클라이언트 단말에서 진단 및 치료가 되도록 하는 대응정보를 생성하는 경우가 종종 발생하곤 한다.However, in the process of quickly responding to new or modified malicious codes, security companies often identify normal files as new or modified malicious codes, and generate response information that allows even normal files to be diagnosed and repaired on the client terminal. It happens.
이때, 클라이언트 단말은 상기 업데이트 서버로부터 잘못된 대응정보를 수신하면, 정상 파일도 악성코드로 진단하여 치료를 수행할 수 있으므로, 이로 인한 피해가 발생할 수 있다.In this case, when the client terminal receives wrong correspondence information from the update server, the normal file may also be diagnosed as a malicious code to perform treatment, thereby causing damage.
따라서, 본 발명의 실시예들은 업데이트 서버가 악성코드에 대한 대응정보를 기본 대응정보와 적극 대응정보로 구분하여 클라이언트 단말로 제공하면, 상기 클라이언트 단말이 상기 기본 대응정보를 기초로 악성코드에 대한 소극적 대응을 수행하고, 소정의 시간이 경과한 이후 상기 클라이언트 단말이 상기 적극 대응정보를 기초로 상기 악성코드에 대한 적극적 대응을 수행하도록 함으로써, 악성코드를 진단 및 치료하는 과정에서 발생할 수 있는 오진 가능성을 최소화하고자 한다.Therefore, in the embodiments of the present invention, when the update server classifies the corresponding information on the malicious code into the basic response information and the active response information to the client terminal, the client terminal is passive on the malicious code based on the basic response information. After the predetermined time elapses, the client terminal performs an active response to the malicious code based on the positive response information, thereby identifying a possibility of misdiagnosis that may occur in the process of diagnosing and treating the malicious code. Minimize.
도 1은 본 발명의 일실시예에 따른 대응정보 업데이트 장치의 구조를 도시한 도면이다.1 is a diagram illustrating the structure of an apparatus for updating correspondence information according to an embodiment of the present invention.
도 1을 참조하면, 대응정보 업데이트 장치(110) 및 적어도 하나의 클라이언트 단말(121, 122, 123)이 도시되어 있다.Referring to FIG. 1, a corresponding
대응정보 업데이트 장치(110)는 기본 대응정보 생성부(111), 적극 대응정보 생성부(112) 및 대응정보 전송부(113)를 포함한다.The correspondence
기본 대응정보 생성부(111)는 악성코드의 진단과 연관된 기본 대응정보를 생성한다.The basic response
적극 대응정보 생성부(112)는 상기 악성코드의 치료와 연관된 적극 대응정보를 생성한다.The active response
대응정보 전송부(113)는 적어도 하나의 클라이언트 단말(121, 122, 123)로 상기 기본 대응정보 및 상기 적극 대응정보를 전송한다.The
이때, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 선정된(predetermined) 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행한다.In this case, the at least one
여기서, 상기 기본 대응정보는 상기 악성코드의 진단과 연관된 정보로, 적어도 하나의 클라이언트 단말(121, 122, 123)이 상기 기본 대응정보를 기초로 악성코드를 진단한 경우, 적어도 하나의 클라이언트 단말(121, 122, 123)은 이를 경고하거나 악성코드로 진단된 파일의 실행을 차단 또는 대응정보 업데이트 서버(110)로 악성코드 여부를 통보하는 수준의 소극적 행위를 수행할 수 있다.Here, the basic correspondence information is information associated with the diagnosis of the malicious code, and when at least one
그리고, 상기 적극 대응정보는 상기 악성코드의 치료와 연관된 정보로, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 선정된 시간이 경과한 이후 상기 적극 대응정보를 기초로 악성코드로 진단된 파일을 수정하거나 삭제하는 등의 적극적 행위를 수행할 수 있다.The active response information is information associated with the treatment of the malicious code, and at least one
결국, 본 발명의 실시예들은 적어도 하나의 클라이언트 단말(121, 122, 123)이 대응정보 업데이트 장치(110)로부터 수신한 상기 기본 대응정보를 기초로 소극적 대응을 먼저 수행하고, 상기 선정된 시간이 경과한 이후 정상파일과 악성코드가 명확하게 구분되면, 상기 적극 대응정보를 기초로 악성코드에 대한 적극적 대응을 수행함으로써, 정상파일에 대한 오진 및 오진 피해 가능성을 최소화할 수 있다.As a result, embodiments of the present invention first perform passive correspondence based on the basic correspondence information received by the at least one
본 발명의 일실시예에 따르면, 대응정보 업데이트 장치(110)는 데이터베이스(114)를 더 포함할 수 있다.According to an embodiment of the present invention, the correspondence
데이터베이스(114)에는 적어도 하나의 클라이언트 단말(121, 122, 123) 각각에 대해 서로 다르게 설정된 상태 변경 시간 정보가 저장되어 있다.The
이때, 대응정보 전송부(113)는 적어도 하나의 클라이언트 단말(121, 122, 123)로 상기 상태 변경 시간 정보를 전송할 수 있다.In this case, the
이때, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 이후 상기 상태 변경 시간 정보를 기초로 적어도 하나의 클라이언트 단말(121, 122, 123) 각각에 대해 서로 다르게 설정된 상태 변경 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.In this case, the at least one client terminal (121, 122, 123) is based on the state change time information after the diagnosis of the malicious code based on the basic correspondence information at least one client terminal (121, 122, 123) When the state change time set differently for each elapses, the malicious code may be treated based on the positive response information.
다시 말해서, 본 발명의 실시예들은 적어도 하나의 클라이언트 단말(121, 122, 123)의 종류나 특성 등을 고려하여 적어도 하나의 클라이언트 단말(121, 122, 123) 각각에 대해 적극 대응정보를 기초로 악성코드에 대한 치료를 수행하는 적극적 행위의 수행 시간을 다르게 설정할 수 있다.In other words, embodiments of the present invention are based on the corresponding information for each of the at least one client terminal (121, 122, 123) in consideration of the type or characteristic of the at least one client terminal (121, 122, 123). The execution time of the active action of performing the treatment for malware can be set differently.
예컨대, 클라이언트 단말 1(121)을 비교적 파일의 중요도가 떨어지고 새로운 파일 유입이 빈번한 개인용 컴퓨터, 클라이언트 단말 2(122)를 파일의 중요도가 높은 기업용 서버라고 가정하자.For example, suppose that client terminal 1 121 is a personal computer having a relatively low importance of a file and frequently introduces new files, and client terminal 2 122 is an enterprise server having a high importance of a file.
이때, 데이터베이스(114)에는 클라이언트 단말 1(121)에 대해 상기 상태 변경 시간 정보가 5시간으로 규정되어 있을 수 있고, 클라이언트 단말 2(122)에 대해 상기 상태 변경 시간 정보가 3일로 규정되어 있을 수 있다.In this case, the state change time information may be defined as 5 hours for the client terminal 1 121 in the
기본 대응정보 생성부(111)가 기본 대응정보를 생성하고, 적극 대응정보 생성부(112)가 적극 대응정보를 생성한 후 대응정보 전송부(113)가 클라이언트 단말 1(121)과 클라이언트 단말 2(122)로 상기 기본 대응정보, 상기 적극 대응정보 및 상기 상태 변경 시간 정보를 전송하면, 클라이언트 단말 1(121)과 클라이언트 단말 2(122)는 먼저 상기 기본 대응정보를 기초로 악성코드에 대한 진단을 수행한다.After the basic correspondence
이때, 클라이언트 단말 1(121)은 상기 기본 대응정보를 기초로 악성코드에 대한 진단을 수행한 후 5시간이 경과되면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.In this case, the client terminal 1 121 may perform treatment for the malicious code based on the positive response information when 5 hours have elapsed after the diagnosis of the malicious code is performed based on the basic response information.
그리고, 클라이언트 단말 2(122)는 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 후 3일이 경과되면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.In addition, when 3 days have passed since the diagnosis of the malicious code is performed based on the basic correspondence information, the client terminal 2 122 may perform treatment on the malicious code based on the aggressive response information. .
여기서, 클라이언트 단말 1(121)은 비교적 파일의 중요도가 떨어지지만 새로운 파일의 유입이 잦은 개인용 컴퓨터이기 때문에 악성코드 진단 오진에 따른 피해의 정도보다 악성코드의 치료가 늦어짐으로 인한 피해가 더 클 수 있기 때문에 대응정보 업데이트 장치(110)는 상기 상태 변경 시간 정보를 짧게 설정할 수 있다.Here, since the client terminal 1 (121) is relatively insignificant in file importance, but is a personal computer that frequently introduces new files, the damage caused by delayed treatment of the malicious code may be greater than the degree of damage caused by the malicious code diagnosis error. Therefore, the corresponding
그리고, 클라이언트 단말 2(122)는 비교적 파일의 중요도가 높은 기업용 서버라는 측면에서 악성코드 진단 오진에 따른 피해가 매우 커질 수 있기 때문에 대응정보 업데이트 장치(110)는 상기 상태 변경 시간 정보를 길게 설정함으로써, 정상파일에 대한 오진 가능성을 최소화하면서 악성코드 진단기능은 제공할 수 있다.In addition, since the client terminal 2 122 may have a large damage due to a malicious code diagnosis error in terms of an enterprise server having a relatively high importance of a file, the corresponding
결국, 본 발명의 실시예들은 적어도 하나의 클라이언트 단말(121, 122, 123)의 종류나 특성 등을 기초로 적어도 하나의 클라이언트 단말(121, 122, 123) 각각에 대해 서로 다른 상태 변경 시간 정보를 설정함으로써, 클라이언트 단말의 특성에 따라 적절한 대응이 가능하도록 할 수 있다.As a result, embodiments of the present invention provide different state change time information for each of the at least one
또한, 본 발명의 일실시예에 따르면, 적어도 하나의 클라이언트 단말(121, 122, 123)의 사용자는 적어도 하나의 클라이언트 단말(121, 122, 123)이 상기 적극 대응정보를 기초로 악성코드의 치료를 수행하기 위한 상기 상태 변경 시간 정보를 임의로 설정할 수 있다.In addition, according to an embodiment of the present invention, the user of the at least one client terminal (121, 122, 123) is the at least one client terminal (121, 122, 123) the treatment of malicious code based on the active response information The state change time information for performing can be arbitrarily set.
즉, 적어도 하나의 클라이언트 단말(121, 122, 123)의 사용자는 자신이 임의로 상기 상태 변경 시간 정보를 설정함으로써, 상황에 따라 악성코드의 치료를 우선시할 것인지 아니면, 오진 피해 가능성을 최소화할 것인지 여부를 선택할 수 있다.That is, the user of the at least one client terminal (121, 122, 123) by setting the state change time information arbitrarily by himself, whether to prioritize the treatment of malicious code or minimize the possibility of misunderstanding damage according to the situation Can be selected.
본 발명의 일실시예에 따르면, 데이터베이스(114)에는 상기 악성코드의 진단법 별로 서로 다르게 설정된 활성 시간 정보가 저장되어 있을 수 있다.According to an embodiment of the present invention, the
이때, 대응정보 전송부(113)는 적어도 하나의 클라이언트 단말(121, 122, 123)로 상기 활성 시간 정보를 전송할 수 있다.In this case, the
이때, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 이후 상기 활성 시간 정보를 기초로 상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간이 경과하면, 상기 적극 대응정보에 포함된 진단법을 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.At this time, the at least one client terminal (121, 122, 123) after the diagnosis of the malicious code on the basis of the basic correspondence information, the activity set differently for each diagnostic method for the malicious code based on the active time information If time elapses, the malicious code may be treated based on a diagnosis method included in the corresponding response information.
예컨대, 데이터베이스(114)에 진단법 1에 대해서는 상기 활성 시간 정보가 3시간으로 규정되어 있고, 진단법 2에 대해서는 상기 활성 시간 정보가 1일로 규정되어 있는 것으로 가정하자.For example, it is assumed in the
대응정보 전송부(113)가 적어도 하나의 클라이언트 단말(121, 122, 123)로 상기 기본 대응정보, 상기 적극 대응정보 및 상기 활성 시간 정보를 전송하면, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 후 각 진단법에 대해 설정된 활성 시간이 경과하면, 상기 적극 대응정보에 포함된 각 진단법을 이용하여 상기 악성코드에 대한 치료를 수행할 수 있다.When the
다시 말해서, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 3시간이 경과하면, 상기 적극 대응정보에 포함된 상기 진단법 1을 이용하여 상기 악성코드에 대한 치료를 수행할 수 있고, 1일이 경과하면, 상기 적극 대응정보에 포함된 상기 진단법 2를 이용하여 상기 악성코드에 대한 치료를 수행할 수 있다.In other words, the at least one
결국, 본 발명의 실시예들은 상기 악성코드에 대한 각 진단법 별로 상기 활성 시간 정보를 다르게 설정함으로써, 악성코드의 위험도 등에 따라 대응 강도를 조절할 수 있다.As a result, embodiments of the present invention can adjust the response strength according to the risk of malicious code by setting the active time information differently for each diagnostic method for the malicious code.
본 발명의 일실시예에 따르면, 데이터베이스(114)에는 정상파일의 특징 정보가 포함된 화이트리스트가 저장되어 있을 수 있다.According to an embodiment of the present invention, the
이때, 대응정보 전송부(113)는 적어도 하나의 클라이언트 단말(121, 122, 123)로 상기 화이트리스트를 전송할 수 있다.In this case, the corresponding
이때, 적어도 하나의 클라이언트 단말(121, 122, 123)은 상기 화이트리스트를 참조하여 정상파일에 대해 상기 적극 대응정보를 이용한 치료를 수행하지 않을 수 있다.In this case, the at least one
이와 관련하여 좀 더 상세히 설명하면, 대응정보 업데이트 장치(110)는 적어도 하나의 클라이언트 단말(121, 122, 123)로부터 정상파일에 대한 특징 정보를 수집하여 공통 화이트리스트를 생성한 후 데이터베이스(114)에 저장할 수 있다.In more detail in this regard, the correspondence
이때, 대응정보 업데이트 장치(110)는 상기 공통 화이트리스트를 적어도 하나의 클라이언트 단말(121, 122, 123)로 전송하고, 적어도 하나의 클라이언트 단말(121, 122, 123)은 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 이후, 상기 공통 화이트리스트를 참고하여 정상파일 이외의 비정상 파일에 대해서만 상기 적극 대응정보를 기초로 치료를 수행할 수 있다.In this case, the correspondence
또한, 대응정보 업데이트 장치(110)는 적어도 하나의 클라이언트 단말(121, 122, 123) 각각에 대한 악성코드 진단 이력을 기초로 적어도 하나의 클라이언트 단말(121, 122, 123) 각각에 대한 개별 화이트리스트를 관리할 수 있다.In addition, the correspondence
이때, 적어도 하나의 클라이언트 단말(121, 122, 123)은 대응정보 업데이트 장치(110)로부터 상기 개별 화이트리스트를 각각 수신하여 상기 개별 화이트리스트를 기초로 정상파일이 아닌 비정상 파일에 대해서만 상기 적극 대응정보를 기초로 치료를 수행할 수 있다.
At this time, the at least one client terminal (121, 122, 123) receives the respective white list from the corresponding
도 2는 본 발명의 일실시예에 따른 클라이언트 단말 장치의 구조를 도시한 도면이다.2 is a diagram illustrating a structure of a client terminal device according to an embodiment of the present invention.
도 2를 참조하면, 업데이트 서버(210) 및 클라이언트 단말 장치(220)가 도시되어 있다.Referring to FIG. 2, an
클라이언트 단말 장치(220)는 대응정보 수신부(221), 진단 수행부(222) 및 치료 수행부(223)를 포함한다.The
대응정보 수신부(221)는 업데이트 서버(210)로부터 악성코드의 진단과 연관된 기본 대응정보 및 상기 악성코드의 치료와 연관된 적극 대응정보를 수신한다.The response
진단 수행부(222)는 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한다.The
치료 수행부(223)는 상기 악성코드에 대한 진단이 수행된 이후 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행한다.The
결국, 본 발명의 일실시예에 따른 클라이언트 단말 장치(220)는 업데이트 서버(210)로부터 기본 대응정보 및 적극 대응정보를 수신하면, 상기 기본 대응정보를 기초로 악성코드를 진단하는 등의 소극적 대응을 수행한 후 상기 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료 행위를 하는 등의 적극적 대응을 수행함으로써, 정상파일에 대한 오진 가능성을 최소화할 수 있다.As a result, when the
본 발명의 일실시예에 따르면, 클라이언트 단말 장치(220)는 시간 정보 수신부(224)를 더 포함할 수 있다.According to an embodiment of the present invention, the
시간 정보 수신부(224)는 업데이트 서버(210)로부터 상기 선정된 시간과 연관된 상태 변경 시간 정보를 수신한다.The
이때, 치료 수행부(223)는 상기 악성코드에 대한 진단이 수행된 이후 상기 상태 변경 시간 정보를 기초로 상기 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.At this time, the
또한, 본 발명의 일실시예에 따르면, 클라이언트 단말 장치(220)의 사용자는 상기 선정된 시간을 임의로 설정할 수 있다.In addition, according to an embodiment of the present invention, the user of the
따라서, 클라이언트 단말 장치(220)의 사용자는 상기 선정된 시간을 임의로 설정함으로써, 상황에 따라 오진 발생 가능성을 최소화할 것인지 악성코드의 치료를 우선시 할 것인지 여부를 결정할 수 있다.Accordingly, the user of the
본 발명의 일실시예에 따르면, 시간 정보 수신부(224)는 업데이트 서버(210)로부터 상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간 정보를 수신할 수 있다.According to an embodiment of the present invention, the
이때, 치료 수행부(223)는 상기 악성코드에 대한 진단이 수행된 이후 상기 활성 시간 정보를 기초로 상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간이 경과하면, 상기 적극 대응정보에 포함된 진단법을 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.At this time, the
또한, 본 발명의 일실시예에 따르면, 클라이언트 단말 장치(220)는 화이트리스트 수신부(225)를 더 포함할 수 있다.In addition, according to an embodiment of the present invention, the
화이트리스트 수신부(225)는 업데이트 서버(210)로부터 정상파일의 특징 정보가 포함된 화이트리스트를 수신한다.The
이때, 치료 수행부(223)는 상기 화이트리스트를 참조하여 상기 정상파일에 대해 상기 적극 대응정보를 이용한 치료를 수행하지 않을 수 있다.
In this case, the
도 3은 본 발명의 일실시예에 따른 대응정보 업데이트 방법을 도시한 순서도이다.3 is a flowchart illustrating a method of updating correspondence information according to an embodiment of the present invention.
단계(S310)에서는 악성코드의 진단과 연관된 기본 대응정보를 생성한다.In step S310, basic response information associated with the diagnosis of malicious code is generated.
단계(S320)에서는 상기 악성코드의 치료와 연관된 적극 대응정보를 생성한다.In step S320, positive response information associated with the treatment of the malicious code is generated.
단계(S330)에서는 적어도 하나의 클라이언트 단말로 상기 기본 대응정보 및 상기 적극 대응정보를 전송한다.In step S330, the basic correspondence information and the active correspondence information are transmitted to at least one client terminal.
이때, 상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행한다.In this case, the at least one client terminal performs diagnosis on the malicious code based on the basic correspondence information, and when a predetermined time elapses, the at least one client terminal performs treatment on the malicious code based on the aggressive response information.
이때, 본 발명의 일실시예에 따르면, 상기 대응정보 업데이트 방법은 상기 적어도 하나의 클라이언트 단말 각각에 대해 서로 다르게 설정된 상태 변경 시간 정보가 저장된 데이터베이스를 관리하는 단계 및 상기 적어도 하나의 클라이언트 단말로 상기 상태 변경 시간 정보를 전송하는 단계를 더 포함할 수 있다.In this case, according to an embodiment of the present invention, the corresponding information updating method may include: managing a database in which state change time information, which is differently set for each of the at least one client terminal, is stored; The method may further include transmitting the change time information.
이때, 상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 이후 상기 상태 변경 시간 정보를 기초로 상기 적어도 하나의 클라이언트 단말 각각에 대해 서로 다르게 설정된 상태 변경 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.In this case, after the at least one client terminal diagnoses the malicious code based on the basic correspondence information, a state change time set differently for each of the at least one client terminal is based on the state change time information. When the elapsed time, the malicious code may be treated based on the positive response information.
이상, 도 3를 참조하여 본 발명의 일실시예에 따른 대응정보 업데이트 방법에 대해 설명하였다. 여기서, 본 발명의 일실시예에 따른 대응정보 업데이트 방법은 도 1을 이용하여 설명한 대응정보 업데이트 장치(110)의 구성과 대응될 수 있으므로, 이에 대한 보다 상세한 설명은 생략하기로 한다.
The corresponding information updating method according to an embodiment of the present invention has been described above with reference to FIG. 3. Here, since the corresponding information update method according to an embodiment of the present invention may correspond to the configuration of the corresponding
도 4는 본 발명의 일실시예에 따른 악성코드 치료 방법을 도시한 순서도이다.4 is a flowchart illustrating a method for treating malware according to an embodiment of the present invention.
단계(S410)에서는 업데이트 서버로부터 악성코드의 진단과 연관된 기본 대응정보 및 상기 악성코드의 치료와 연관된 적극 대응정보를 수신한다.In step S410, basic response information associated with the diagnosis of malicious code and positive response information associated with the treatment of the malicious code are received from the update server.
단계(S420)에서는 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한다.In step S420, the malicious code is diagnosed based on the basic correspondence information.
단계(S430)에서는 상기 악성코드에 대한 진단이 수행된 이후 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행한다.In step S430, if a predetermined time elapses after the diagnosis of the malicious code is performed, the malicious code is treated based on the positive response information.
이때, 본 발명의 일실시예에 따르면, 상기 악성코드 치료 방법은 상기 업데이트 서버로부터 상기 선정된 시간과 연관된 상태 변경 시간 정보를 수신하는 단계를 더 포함할 수 있다.At this time, according to an embodiment of the present invention, the malicious code treatment method may further include receiving state change time information associated with the predetermined time from the update server.
이때, 단계(S430)에서는 상기 악성코드에 대한 진단이 수행된 이후 상기 상태 변경 시간 정보를 기초로 상기 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행할 수 있다.In this case, in step S430, when the predetermined time elapses based on the state change time information after the diagnosis of the malicious code is performed, the malicious code may be treated based on the positive response information. have.
이상, 도 4를 참조하여 본 발명의 일실시예에 따른 악성코드 치료 방법에 대해 설명하였다. 여기서, 본 발명의 일실시예에 따른 악성코드 치료 방법은 도 2를 이용하여 설명한 클라이언트 단말 장치(220)의 구성과 대응될 수 있으므로, 이에 대한 보다 상세한 설명은 생략하기로 한다.
In the above, the malicious code treatment method according to an embodiment of the present invention has been described with reference to FIG. Here, since the malicious code treatment method according to an embodiment of the present invention may correspond to the configuration of the
본 발명의 일실시예에 따른 대응정보 업데이트 방법 및 악성코드 치료 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Corresponding information updating method and malicious code treatment method according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. In the present invention as described above has been described by the specific embodiments, such as specific components and limited embodiments and drawings, but this is provided to help a more general understanding of the present invention, the present invention is not limited to the above embodiments. For those skilled in the art, various modifications and variations are possible from these descriptions.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .
110: 대응정보 업데이트 장치
111: 기본 대응정보 생성부 112: 적극 대응정보 생성부
113: 대응정보 전송부
121, 122, 123: 적어도 하나의 클라이언트 단말
210: 업데이트 서버
220: 클라이언트 단말 장치
221: 대응정보 수신부 222: 진단 수행부
223: 치료 수행부 224: 시간 정보 수신부
225: 화이트리스트 수신부110: response information update device
111: basic correspondence information generator 112: active correspondence information generator
113: correspondence information transmission unit
121, 122, 123: at least one client terminal
210: update server
220: client terminal device
221: corresponding information receiving unit 222: diagnostic performing unit
223: treatment performing unit 224: time information receiving unit
225: whitelist receiver
Claims (13)
상기 악성코드의 치료와 연관된 적극 대응정보를 생성하는 적극 대응정보 생성부;
적어도 하나의 클라이언트 단말 각각에 대해 서로 다르게 설정된 상태 변경 시간 정보가 저장된 데이터베이스; 및
상기 적어도 하나의 클라이언트 단말로 상기 기본 대응정보 및 상기 적극 대응정보와 상기 상태 변경 시간 정보를 전송하는 대응정보 전송부;를 포함하고,
상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 상기 상태 변경 시간 정보를 기초로 상기 적어도 하나의 클라이언트 단말 각각에 대해 서로 다르게 설정된 상태 변경 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행하는, 대응정보 업데이트 장치.A basic response information generator for generating basic response information associated with the diagnosis of malicious code;
An active response information generation unit for generating active response information associated with the treatment of the malicious code;
A database storing state change time information differently set for each of the at least one client terminal; And
And a correspondence information transmitter configured to transmit the basic correspondence information, the active correspondence information, and the state change time information to the at least one client terminal.
The at least one client terminal diagnoses the malicious code based on the basic correspondence information, and when the state change time set differently for each of the at least one client terminal elapses based on the state change time information, And responding to the malicious code based on the active response information.
상기 데이터베이스에는
상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간 정보가 저장되어 있고,
상기 대응정보 전송부는 상기 적어도 하나의 클라이언트 단말로 상기 활성 시간 정보를 전송하며,
상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행한 이후 상기 활성 시간 정보를 기초로 상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간이 경과하면, 상기 적극 대응정보에 포함된 진단법을 기초로 상기 악성코드에 대한 치료를 수행하는 대응정보 업데이트 장치.The method of claim 2,
The database has
Active time information set differently for each diagnosis method for the malicious code is stored,
The correspondence information transmitter transmits the active time information to the at least one client terminal.
If the at least one client terminal diagnoses the malicious code based on the basic correspondence information and then the active time set differently for each diagnosis method for the malicious code based on the active time information, the active response is performed. Corresponding information update device for performing the treatment for the malicious code based on the diagnostic method included in the information.
상기 데이터베이스에는
정상파일의 특징 정보가 포함된 화이트리스트가 저장되어 있고,
상기 대응정보 전송부는
상기 적어도 하나의 클라이언트 단말로 상기 화이트리스트를 전송하며,
상기 적어도 하나의 클라이언트 단말은 상기 화이트리스트를 참조하여 상기 정상파일에 대해 상기 적극 대응정보를 이용한 치료를 수행하지 않는 대응정보 업데이트 장치.The method of claim 2,
The database has
A white list containing the characteristic information of the normal file is stored.
The correspondence information transmission unit
Transmit the whitelist to the at least one client terminal,
And the at least one client terminal does not perform treatment using the active correspondence information on the normal file with reference to the white list.
상기 업데이트 서버로부터, 선정된 시간과 연관된 상태 변경 시간 정보를 수신하는 시간 정보 수신부;
상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하는 진단 수행부; 및
상기 악성코드에 대한 진단이 수행된 이후 상기 상태 변경 시간 정보를 기초로 상기 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행하는 치료 수행부를 포함하는 것을 특징으로 하는 클라이언트 단말 장치.A corresponding information receiver configured to receive basic response information associated with the diagnosis of malicious code and positive response information associated with the treatment of the malicious code from an update server;
A time information receiver configured to receive state change time information associated with a predetermined time from the update server;
A diagnosis performing unit configured to diagnose the malicious code based on the basic correspondence information; And
And a treatment execution unit configured to perform treatment for the malicious code based on the active response information when the predetermined time elapses based on the state change time information after the diagnosis of the malicious code is performed. Client terminal device.
상기 시간 정보 수신부는
상기 업데이트 서버로부터 상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간 정보를 수신하고,
상기 치료 수행부는 상기 악성코드에 대한 진단이 수행된 이후 상기 활성 시간 정보를 기초로 상기 악성코드에 대한 진단법 별로 서로 다르게 설정된 활성 시간이 경과하면, 상기 적극 대응정보에 포함된 진단법을 기초로 상기 악성코드에 대한 치료를 수행하는 클라이언트 단말 장치.The method according to claim 6,
The time information receiving unit
Receive active time information differently set for each diagnosis method for the malicious code from the update server,
The treatment performing unit, based on the diagnosis method included in the active response information when the activation time set differently for each diagnosis method on the basis of the active time information elapses after the diagnosis on the malicious code is performed, Client terminal device that performs the treatment for the code.
상기 업데이트 서버로부터 정상파일의 특징 정보가 포함된 화이트리스트를 수신하는 화이트리스트 수신부
를 더 포함하고,
상기 치료 수행부는 상기 화이트리스트를 참조하여 상기 정상파일에 대해 상기 적극 대응정보를 이용한 치료를 수행하지 않는 클라이언트 단말 장치.
The method according to claim 6,
White list receiving unit for receiving a white list containing the characteristic information of the normal file from the update server
Further comprising:
The treatment execution unit does not perform the treatment using the active corresponding information for the normal file with reference to the white list.
상기 악성코드의 치료와 연관된 적극 대응정보를 생성하는 단계; 및
적어도 하나의 클라이언트 단말 각각에 대해 서로 다르게 설정된 상태 변경 시간 정보가 저장된 데이터베이스를 관리하는 단계;
상기 적어도 하나의 클라이언트 단말로 상기 기본 대응정보 및 상기 적극 대응정보와 상기 상태 변경 시간 정보를 전송하는 단계;를 포함하고,
상기 적어도 하나의 클라이언트 단말은 상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하고, 상기 상태 변경 시간 정보를 기초로 상기 적어도 하나의 클라이언트 단말 각각에 대해 서로 다르게 설정된 상태 변경 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행하는, 대응정보 업데이트 방법.
Generating basic response information associated with diagnosis of malicious code;
Generating active response information associated with the treatment of the malicious code; And
Managing a database in which state change time information is differently set for each of the at least one client terminal;
And transmitting the basic correspondence information, the active correspondence information, and the state change time information to the at least one client terminal.
The at least one client terminal diagnoses the malicious code based on the basic correspondence information, and when the state change time set differently for each of the at least one client terminal elapses based on the state change time information, And responding to the malicious code based on the active response information.
상기 업데이트 서버로부터, 선정된 시간과 연관된 상태 변경 시간 정보를 수신하는 단계;
상기 기본 대응정보를 기초로 상기 악성코드에 대한 진단을 수행하는 단계; 및
상기 악성코드에 대한 진단이 수행된 이후 상기 상태 변경 시간 정보를 기초로 상기 선정된 시간이 경과하면, 상기 적극 대응정보를 기초로 상기 악성코드에 대한 치료를 수행하는 단계를 포함하는 것을 특징으로 하는 악성코드 치료 방법.
Receiving basic response information associated with the diagnosis of malicious code and positive response information associated with the treatment of the malicious code from an update server;
Receiving state change time information associated with a predetermined time from the update server;
Diagnosing the malicious code based on the basic correspondence information; And
And performing a treatment for the malicious code based on the active response information when the predetermined time elapses based on the state change time information after the diagnosis of the malicious code is performed. How to clean malware.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100120698A KR101256439B1 (en) | 2010-11-30 | 2010-11-30 | Information update apparatus and method, client terminal device and malicious code treatment method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100120698A KR101256439B1 (en) | 2010-11-30 | 2010-11-30 | Information update apparatus and method, client terminal device and malicious code treatment method |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20120059082A KR20120059082A (en) | 2012-06-08 |
KR101256439B1 true KR101256439B1 (en) | 2013-04-19 |
Family
ID=46610440
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100120698A KR101256439B1 (en) | 2010-11-30 | 2010-11-30 | Information update apparatus and method, client terminal device and malicious code treatment method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101256439B1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100680559B1 (en) * | 2002-11-11 | 2007-02-08 | 한국전자통신연구원 | Method and system for diagnosing and curing network virus |
KR20090010852A (en) * | 2007-07-23 | 2009-01-30 | 삼성전자주식회사 | Apparatus and method for curing computer system infected by malware |
-
2010
- 2010-11-30 KR KR1020100120698A patent/KR101256439B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100680559B1 (en) * | 2002-11-11 | 2007-02-08 | 한국전자통신연구원 | Method and system for diagnosing and curing network virus |
KR20090010852A (en) * | 2007-07-23 | 2009-01-30 | 삼성전자주식회사 | Apparatus and method for curing computer system infected by malware |
Also Published As
Publication number | Publication date |
---|---|
KR20120059082A (en) | 2012-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Reeder et al. | An experience sampling study of user reactions to browser warnings in the field | |
US10904283B2 (en) | System and method of countering an attack on computing devices of users | |
US10523701B2 (en) | Automated configuration of application firewalls | |
US8375120B2 (en) | Domain name system security network | |
EP2566130B1 (en) | Automatic analysis of security related incidents in computer networks | |
KR101899589B1 (en) | System and method for authentication about safety software | |
US8312537B1 (en) | Reputation based identification of false positive malware detections | |
US20180020024A1 (en) | Methods and Systems for Using Self-learning Techniques to Protect a Web Application | |
US20140201843A1 (en) | Systems and methods for identifying and reporting application and file vulnerabilities | |
Lippmann et al. | Continuous security metrics for prevalent network threats: introduction and first four metrics | |
JP2013503377A (en) | Apparatus, method, and computer program for threat detection in data processing system (threat detection in data processing system) | |
US11856011B1 (en) | Multi-vector malware detection data sharing system for improved detection | |
US11145221B2 (en) | Method and apparatus for neutralizing real cyber threats to training materials | |
CN110602135B (en) | Network attack processing method and device and electronic equipment | |
CN107634967A (en) | A kind of the CSRFToken systems of defense and method of CSRF attacks | |
EP3270317A1 (en) | Dynamic security module server device and operating method thereof | |
US20170155683A1 (en) | Remedial action for release of threat data | |
Kondakci | Analysis of information security reliability: A tutorial | |
Anderson et al. | Parameterizing moving target defenses | |
KR20150133370A (en) | System and method for web service access control | |
Heartfield et al. | Protection against semantic social engineering attacks | |
US8266704B1 (en) | Method and apparatus for securing sensitive data from misappropriation by malicious software | |
KR101256439B1 (en) | Information update apparatus and method, client terminal device and malicious code treatment method | |
KR101230585B1 (en) | Malicious code treatment apparatus and method | |
Yu et al. | A threat monitoring system for smart mobiles in enterprise networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E90F | Notification of reason for final refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20170417 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20180416 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20190415 Year of fee payment: 7 |