KR101587161B1 - 실시간 네트워크 안티바이러스 수행 장치 및 방법 - Google Patents
실시간 네트워크 안티바이러스 수행 장치 및 방법 Download PDFInfo
- Publication number
- KR101587161B1 KR101587161B1 KR1020140116875A KR20140116875A KR101587161B1 KR 101587161 B1 KR101587161 B1 KR 101587161B1 KR 1020140116875 A KR1020140116875 A KR 1020140116875A KR 20140116875 A KR20140116875 A KR 20140116875A KR 101587161 B1 KR101587161 B1 KR 101587161B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- checksum
- signature
- data
- unit
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
Abstract
보호대상 네트워크에서 전송파일에 대한 실시간 안티바이러스 검사 및 악성파일 전송 트래픽 차단을 네트워크상에서 고속으로 수행하는 실시간 네트워크 안티바이러스 수행 장치 및 방법을 제시한다. 제시된 장치는 입력된 패킷을 파싱하여 전송 데이터 스트림을 출력하는 패킷 처리부, 전송 데이터 스트림의 체크섬을 매 패킷마다 계산하되 전송 데이터 스트림의 마지막 패킷이 입력되면 전송 데이터 스트림이 포함하는 시그니처를 출력하는 패킷별 체크섬 계산부, 시그니처를 기반으로 바이러스 스캐닝을 수행하는 고속 바이러스 스캐닝부, 고속 바이러스 스캐닝부의 결과를 근거로 입력된 패킷을 차단하거나 목적지로 전송하는 탐지 및 차단부, 및 탐지 및 차단부의 결과를 근거로 차단 리스트를 업데이트하는 캐싱부를 포함한다.
Description
본 발명은 실시간 네트워크 안티바이러스 수행 장치 및 방법에 관한 것으로, 보다 상세하게는 보호대상 네트워크에서 전송파일에 대한 실시간 안티바이러스 검사 및 악성파일 전송 트래픽 차단을 네트워크상에서 고속으로 수행하는 장치 및 방법에 관한 것이다.
일반적으로, 안티바이러스(Anti-Virus)는 악성파일을 찾아내서 제거하는 기능을 갖춘 컴퓨터 프로그램을 의미한다. 안티바이러스는 바이러스 데이터베이스에 기록된 시그니처에 검사대상 파일의 시그니처가 존재하는지 확인하는 작업을 수행한다.
네트워크상에서 안티바이러스 검사를 수행하는 기존 방법으로, 프록시 서버를 활용한 안티바이러스 수행방법이 있다. 프록시 서버(Proxy server)는 클라이언트와 서버 간 연결 요청 및 통신을 중계하는 컴퓨터 머신이다. 프록시 서버가 요청한 내용들을 캐시에 저장할 수 있으며 클라이언트가 원격 서버에 직접 접속하지 않음으로써 전송시간을 절약하는 효과가 있다. 이때, 프록시 서버의 캐시에 저장된 파일을 안티바이러스 프로그램을 이용하여 검사할 수 있다. 또한, 클라이언트로부터의 요청에 대한 응답을 안티바이러스 수행 완료 전까지 제한하고 악성으로 판단된 경우 접속을 차단하며 블랙리스트 캐시에 등록한다. 이에 따라, 다른 클라이언트들이 악성파일에 의해 감염되는 것을 사전에 차단할 수 있다.
하지만, 프록시 서버를 이용하는 것은 보안 및 성능상의 이슈가 따른다. 프록시 서버를 이용하면 사용자가 요청 또는 제출한 데이터가 캐시에 일정시간 저장되므로 개인정보보호(Privacy) 문제를 야기한다. 그리고, 프록시 서버가 악성코드 등에 감염될 경우 저장된 데이터가 유출될 우려가 있다. 또한, 클라이언트가 원격서버에 직접 연결되지 않고 클라이언트-프록시 연결, 프록시-원격서버 연결의 이중 연결구조를 가지므로 네트워크 전송 지연 등의 문제가 발생할 수 있다.
이와 같은 문제점을 개선하기 위하여, IDPS와 같은 네트워크 패킷 모니터링 시스템을 활용하여 네트워크상에서 실시간으로 안티바이러스를 수행하는 방법을 시도할 수 있다. IDPS 장비는 네트워크 패킷에 대한 DPI(Deep Packet Inspection)를 수행하여 탐지규칙에 해당하는 패킷에 대한 로그를 남기거나 해당 패킷을 차단하는 역할을 한다.
이러한 IDPS 장비를 이용하여 네트워크상에서 안티바이러스를 수행하기 위해서는 먼저, 전송 데이터 스트림을 파싱하여 파일을 복원하고 이를 메모리 또는 디스크에 저장해야 한다. 그 후, 저장된 파일을 대상으로 시그니처를 생성하여 안티바이러스를 수행할 수 있다.
하지만, 복원한 파일을 저장하는데 성능부하가 발생하며, 원본 파일크기에 따라 시그니처 생성 작업 부하가 가변적이다. 따라서, 전송 데이터 스트림이 완료되기 전에 파일에 대한 안티바이러스 검사를 완료하여 패킷 차단까지 실시간으로 수행하는 것은 어렵다.
관련 선행기술로는, 네트워크상에서 안티바이러스를 수행하기 위한 방법인 프록시 게이트웨이 안티바이러스 시스템에서, Pre-Classifier를 이용하여 프록시 게이트웨이의 전송 효율을 개선하는 내용이, 미국공개특허 제2013-0097666호에 게시되었다.
다른 관련 선행기술로는, 게이트웨이에서 메일 컨텐츠를 검사할 수 있도록 프록시를 구성하고 스팸방지 기능 및 안티바이러스 기능을 추가하여 악성메일 또는 악성파일이 수신자에게 전송되는 것을 방지하는 내용이, IEEE Computer Volume 39, Issue 11, Page 66-72, 2006년 11월에 "Designing an Integrated Architecture for Network Content Security Gateways"(저자 : Ying-Dar Lin 외 3인)라는 제목의 논문에 게시되었다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 네트워크 상에서 인라인(In-Line)으로 전송 데이터 스트림의 전송 파일 악성여부를 실시간으로 검사하여 차단하고 탐지 결과를 캐싱하여 보호대상 네트워크에 악성파일이 유입되는 것을 방지하거나 보호대상 네트워크에서 악성파일이 유출되는 것을 방지하는 실시간 네트워크 안티바이러스 수행 장치 및 방법을 제공함에 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시양태에 따른 실시간 네트워크 안티바이러스 수행 장치는, 입력된 패킷을 파싱하여 전송 데이터 스트림을 출력하는 패킷 처리부; 상기 전송 데이터 스트림의 체크섬을 매 패킷마다 계산하되, 상기 전송 데이터 스트림의 마지막 패킷이 입력되면 상기 전송 데이터 스트림이 포함하는 시그니처를 출력하는 패킷별 체크섬 계산부; 상기 시그니처를 기반으로 바이러스 스캐닝을 수행하는 고속 바이러스 스캐닝부; 상기 고속 바이러스 스캐닝부의 결과를 근거로 상기 입력된 패킷을 차단하거나 목적지로 전송하는 탐지 및 차단부; 및 상기 탐지 및 차단부의 결과를 근거로 차단 리스트를 업데이트하는 캐싱부;를 포함한다.
상기 패킷별 체크섬 계산부는 상기 전송 데이터 스트림을 N개의 데이터 블록으로 나누어 해시 다이제스트 연산을 연속적으로 수행하여 상기 시그니처를 생성할 수 있다.
상기 고속 바이러스 스캐닝부는 인메모리 기반 또는 GPU 기반으로 바이러스 데이터베이스와 상기 시그니처를 대조할 수 있다.
상기 고속 바이러스 스캐닝부는 상기 바이러스 스캐닝을 수행할 때 검색 시간 및 데이터베이스 저장 공간을 고려한 자료구조 및 알고리즘을 활용할 수 있다.
상기 자료구조는 자가균형 이진 탐색 트리(Self-Balancing Binary Search Tree), 해시테이블, 일차원 배열, 및 블룸필터 중에서 하나일 수 있다.
상기 탐지 및 차단부는 상기 고속 바이러스 스캐닝부(40)의 결과가 악성을 의미하면 상기 입력된 패킷을 차단할 수 있고, 정상을 의미하면 현재 패킷을 포워딩할 수 있다.
상기 캐싱부는 상기 탐지 및 차단부의 탐지 결과를 바탕으로 악성파일의 전송 데이터 스트림을 제공하는 IP 또는 URL에 대한 탐지 규칙을 자동 생성하여 상기 차단 리스트에 입력할 수 있다.
그리고, 본 발명의 바람직한 실시양태에 따른 실시간 네트워크 안티바이러스 수행 방법은, 입력된 패킷을 파싱하여 전송 데이터 스트림을 출력하는 단계; 상기 전송 데이터 스트림의 체크섬을 매 패킷마다 계산하되, 상기 전송 데이터 스트림의 마지막 패킷이 입력되면 상기 전송 데이터 스트림이 포함하는 시그니처를 출력하는 단계; 상기 시그니처를 기반으로 바이러스 스캐닝을 수행하는 단계; 상기 바이러스 스캐닝의 결과를 근거로 상기 입력된 패킷을 차단하거나 목적지로 전송하는 단계; 및 상기 입력된 패킷을 차단하거나 목적지로 전송하는 단계의 결과를 근거로 차단 리스트를 업데이트하는 단계;를 포함한다.
이러한 구성의 본 발명에 따르면, 네트워크상에서 안티바이러스를 수행하여 악성파일을 실시간으로 차단하는 효과가 있다.
전체 파일 복원 후 시그니처를 생성하는 방식과 비교할 때, 본 발명에서의 패킷별 체크섬 계산 방식은 체크섬 계산 오버헤드가 각 패킷 처리 과정에 분산되므로 네트워크 패킷 처리 시 순간적인 오버헤드 증가로 인한 패킷 손실 등의 현상을 방지할 수 있다.
한편, 본 발명에서의 고속 바이러스 스캐닝은 시그니처 매칭 작업을 인메모리 기반 또는 GPU 기반으로 고속 수행하므로 전송 데이터 스트림의 마지막 패킷을 처리할 때의 오버헤드를 최소화한다.
또한, 탐지 결과를 바탕으로 탐지 규칙을 자동 생성하는 캐싱 방식을 통해, 불필요한 바이러스 스캐닝 작업이 일어나지 않도록 한다. 그에 따라, 컴퓨팅 자원을 절약하고 다른 클라이언트가 동일한 IP 또는 URL에 접근하여 악성파일을 다운로드 하는 것을 방지할 수 있다.
마지막으로, 본 발명의 실시간 네트워크 안티바이러스 수행 방법은 전송 데이터 스트림이 포함하는 전체 파일을 저장하지 않으므로 개인정보 침해의 소지가 적다.
도 1은 본 발명의 실시예에 따른 실시간 네트워크 안티바이러스 수행 장치의 구성도이다.
도 2는 도 1에 도시된 패킷별 체크섬 계산부의 동작 설명에 채용되는 도면이다.
도 3은 본 발명의 실시예에 따른 실시간 네트워크 안티바이러스 수행 방법을 개략적으로 설명하기 위한 흐름도이다.
도 4는 본 발명의 실시예에 따른 실시간 네트워크 안티바이러스 수행 방법을 보다 상세히 설명하기 위한 흐름도이다.
도 5는 본 발명의 실시예가 구현된 컴퓨터 시스템의 일 예를 나타낸 도면이다.
도 2는 도 1에 도시된 패킷별 체크섬 계산부의 동작 설명에 채용되는 도면이다.
도 3은 본 발명의 실시예에 따른 실시간 네트워크 안티바이러스 수행 방법을 개략적으로 설명하기 위한 흐름도이다.
도 4는 본 발명의 실시예에 따른 실시간 네트워크 안티바이러스 수행 방법을 보다 상세히 설명하기 위한 흐름도이다.
도 5는 본 발명의 실시예가 구현된 컴퓨터 시스템의 일 예를 나타낸 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 실시예에 따른 실시간 네트워크 안티바이러스 수행 장치의 구성도이다.
본 발명의 실시예에 따른 실시간 네트워크 안티바이러스 수행 장치(100)는, 패킷 처리부(10), 캐싱부(20), 패킷별 체크섬 계산부(30), 고속 바이러스 스캐닝부(40), 및 탐지 및 차단부(50)를 포함한다.
패킷 처리부(10)는 네트워크상에서 인라인(In-Line)으로 패킷 수집, 디코드, 재조합 및 프로토콜 파싱을 수행한다. 즉, 패킷 처리부(10)는 네트워크 패킷 수집, 디코드, 및 재조합을 포함하는 패킷 처리 작업 후에 전송해야 할 데이터 스트림(즉, 전송 데이터 스트림)을 추출한다. 그리고, 패킷 처리부(10)는 전송 데이터 스트림을 패킷별 체크섬 계산부(30)에게 전달한다.
다시 말해서, 패킷 처리부(10)는 네트워크상의 전송 패킷을 캡쳐/디코드/재조합하여 파일 형태의 전송 데이터 스트림을 추출할 수 있다. 이때, 전송 데이터 스트림이 이용하는 프로토콜은 HTTP, SMTP, FTP와 같은 TCP/IP 수준 또는 어플리케이션(L7) 수준의 프로토콜일 수 있다.
캐싱부(20)는 탐지 및 차단부(50)에서의 탐지 결과를 바탕으로 해당 전송 데이터 스트림을 제공하는 IP 또는 URL에 대한 탐지 규칙(rule)을 자동 생성하여 차단 리스트에 등록하거나 별도의 IDPS(Intrusion Detection Prevention System) 시스템에 제공한다.
다시 말해서, 캐싱부(20)는 탐지 및 차단부(50)의 탐지 결과를 바탕으로 악성파일을 제공하는 IP 또는 URL에 대한 탐지 규칙을 자동 생성하여 차단 리스트에 등록하거나 별도의 IDPS 장비에게 전달한다.
패킷별 체크섬 계산부(30)는 패킷 처리부(10)에서 재조합한 전송 데이터 스트림을 입력으로 하여 매 패킷마다 체크섬을 계산해 나간다. 즉, 패킷별 체크섬 계산부(30)는 패킷 처리부(10)로부터 전달받은 전송 데이터 스트림을, 이용하고자 하는 해시 알고리즘이 다루는 블록 사이즈에 맞게 분할하여 해시 다이제스트 연산을 매 패킷마다 수행해 나간다. 그리고, 패킷별 체크섬 계산부(30)는 전송 데이터 스트림의 마지막 패킷을 수신하였을 때 전송 데이터 스트림이 포함하는 파일의 시그니처를 최종적으로 산출한다. 일반적으로, 체크섬(Checksum)은 데이터의 정확성을 검사하기 위한 용도로 사용되는 합계를 가리키는 것이다. 대개는 데이터의 입력이나 전송시에 제대로 되었는지를 확인하기 위해 입력 데이터나 전송 데이터의 맨 마지막에 앞서 보낸 모든 데이터를 다 합한 합계를 따로 보낸다. 그러면, 데이터를 받아들이는 측에서는 하나씩 받아들여 합산한 다음 이를 최종적으로 들어온 검사 합계와 비교하여 착오가 있었는지를 점검한다.
다시 말해서, 패킷별 체크섬 계산부(30)는 패킷 처리부(10)가 재조합한 파일 형태의 전송 데이터 스트림을 입력받는다. 패킷별 체크섬 계산부(30)는 전송 패킷의 시작지점부터 마지막 전송 패킷까지의 페이로드를, 이용하고자 하는 해시함수의 입력 크기에 맞추어 N개의 블록으로 분할한 후 해시 연산을 수행해 나간다. 이때, 이용할 수 있는 해시 알고리즘군으로는 파일 시그니처 추출에 널리 이용되는 MD5 알고리즘 또는 SHA 알고리즘군 등을 예시할 수 있다. 패킷별 체크섬 계산부(30)는 전송 데이터 스트림의 마지막 패킷이 입력되면 전송 파일의 최종 시그니처(signature)를 산출한다.
고속 바이러스 스캐닝부(40)는 패킷별 체크섬 계산부(30)에서 최종 생성된 파일 시그니처를 기반으로 바이러스 스캐닝 작업을 인메모리 또는 GPU 상에서 고속으로 수행한다. 즉, 고속 바이러스 스캐닝부(40)는 패킷별 체크섬 계산부(30)가 산출한 파일 시그니처가 바이러스 데이터베이스에 미리 기록된 시그니처에 존재하는지를 파악하는 고속 바이러스 스캐닝을 수행하여 탐지 및 차단부(50)에게 탐지 결과를 전달해 준다. 고속 바이러스 스캐닝 수행시, 고속 바이러스 스캐닝부(40)는 인메모리 기반 또는 GPU 기반으로 바이러스 데이터베이스와 파일 시그니처를 고속으로 대조한다. 이때, 고속 바이러스 스캐닝부(40)는 검색 시간 및 데이터베이스 저장 공간을 고려한 자료구조 및 알고리즘을 활용한다.
다시 말해서, 고속 바이러스 스캐닝부(40)는 산출된 시그니처를 입력으로 바이러스 스캐닝 작업을 수행한다. 이때, 바이러스 스캐닝 작업은 인메모리 기반 또는 GPU 기반으로 고속 시그니처 매칭을 수행한다. 그리고, 바이러스 스캐닝 작업은 검색속도와 저장공간을 고려하여 자가균형 이진 탐색 트리(Self-Balancing Binary Search Tree), 해시테이블, 일차원 배열 또는 블룸필터 등과 같은 다양한 자료구조 및 검색 알고리즘을 활용할 수 있다.
탐지 및 차단부(50)는 고속 바이러스 스캐닝부(40)의 탐지 결과를 바탕으로 세션 또는 패킷을 차단한다. 즉, 탐지 및 차단부(50)는 고속 바이러스 스캐닝부(40)의 탐지 결과를 로깅한다. 또한, 탐지 및 차단부(50)는 고속 바이러스 스캐닝부(40)의 탐지 결과가 악성을 의미하면 현재 패킷 또는 전체 세션을 차단하고, 고속 바이러스 스캐닝부(40)의 탐지 결과가 정상을 의미하면 현재 패킷을 포워딩한다.
다시 말해서, 탐지 및 차단부(50)는 고속 바이러스 스캐닝부(40)의 탐지 결과가 악성인 것으로 판명되면 현재 패킷을 차단하거나 현재 세션 전체를 차단할 수 있다. 반대로, 정상으로 판명되면, 탐지 및 차단부(50)는 현재 패킷을 목적지로 그대로 전송한다. 또한, 탐지 및 차단부(50)는 로그를 남긴다.
도 2는 도 1에 도시된 패킷별 체크섬 계산부(30)의 동작 설명에 채용되는 도면이다.
파일의 시그니처(signature) 생성은 전송 데이터 스트림을 N개의 블록으로 나누어 해시 다이제스트 연산을 연속적으로 수행함으로써 이루어진다.
하나의 데이터 블록 크기는 이용하고자 하는 해시 함수의 종류에 따라 다르다. 하나의 패킷 페이로드가 포함하는 데이터 블록의 개수 역시 이용하고자 하는 해시 함수의 종류에 따라 다를 수 있다.
시드(Seed) 값과 첫 번째 데이터 블록을 입력으로 마지막 데이터 블록까지 해시 체인 연산을 수행하여 파일의 시그니처를 계산해 나간다.
그리하여, 마지막 패킷 페이로드가 패킷별 체크섬 계산부(30)에게 전달되면 패킷별 체크섬 계산부(30)는 전송 파일의 시그니처를 생성하게 된다.
도 3은 본 발명의 실시예에 따른 실시간 네트워크 안티바이러스 수행 방법을 개략적으로 설명하기 위한 흐름도이다. 실시간 네트워크 안티바이러스 수행 장치는 네트워크상에 인라인 형태로 설치된다.
먼저, 패킷이 실시간 네트워크 안티바이러스 수행 장치에게로 유입되면 패킷 처리부(10)는 전송 패킷을 파싱한다(S10). 패킷 처리부(10)는 파싱한 전송 패킷을 캐싱부(20)에게로 전달한다.
그에 따라, 캐싱부(20)는 차단 리스트에 등록된 목적지로 향하는 패킷인지 확인한다(S12).
만약, 등록되지 않은 경우라면 캐싱부(20)는 패킷 처리부(10)에서 재조합된 전송 데이터 스트림을 패킷별 체크섬 계산부(30)에게 전달한다. 그에 따라, 패킷별 체크섬 계산부(30)는 입력받은 전송 데이터 스트림을 근거로 시그니처 생성 작업을 패킷 단위로 수행해 나간다(S14).
전송 데이터 스트림의 마지막 패킷이 입력될 경우, 패킷별 체크섬 계산부(30)는 최종 시그니처를 생성하고, 이를 고속 바이러스 스캐닝 모듈부(40)에게로 전달한다. 그에 따라, 고속 바이러스 스캐닝 모듈부(40)는 패킷별 체크섬 계산부(30)의 최종 시그니처를 입력으로 고속 바이러스 스캐닝 작업을 수행한다(S16).
고속 바이러스 스캐닝 모듈부(40)는 고속 바이러스 스캐닝 작업 결과(즉, 탐지 결과)를 탐지 및 차단부(50)에게로 보낸다.
탐지 및 차단부(50)는 고속 바이러스 스캐닝 모듈부(40)의 탐지 결과를 로깅하고 그 탐지 결과가 악성을 의미하면 해당 패킷 또는 전체 세션을 차단한다(S18). 만약, 그 탐지 결과가 정상을 의미하면 현재 패킷을 포워딩한다.
이어, 탐지 및 차단부(50)는 캐싱부(20)의 차단 리스트에 해당 전송 데이터 스트림(즉, 악성파일의 전송 데이터 스트림)을 제공하는 IP 또는 URL을 등록하여 추가적인 접속을 차단한다(S20).
한편, 상술한 단계 S12에서, 파싱된 패킷이 차단 리스트에 등록된 경우라면 캐싱부(20)는 해당 패킷을 차단할 것이다(S22).
상술한 바와 같이 본 발명의 실시간 네트워크 안티바이러스 수행 방법에서는 DPI를 수행하면서 파일 전송 완료 시점에 전송 파일의 시그니처를 생성하되, 시그니처 생성 작업 시점을 파일 전송 완료 시점으로 한정하지 않는다. 대신, 본 발명의 실시예에서는 매 패킷마다 전송 데이터 스트림의 체크섬을 계산해 나가서 마지막 패킷이 도착하는 순간 전송 파일의 시그니처를 출력한다. 다시 말해서, 본 발명의 실시예에서는 시그니처 생성 작업 부하를 매 패킷마다(per-Packet) 분산시킨다. 이 방법을 이용하면 원본 파일의 크기에 관계없이 패킷 별 일정한 작업부하로 파일 시그니처를 생성하는 것을 보장할 수 있다. 또한, 바이러스 스캐닝 작업을 인메모리 기반 또는 GPU 기반으로 고속 수행한다.
결과적으로, 본 발명에서 제안하는 시스템이 마지막 전송 데이터 패킷을 받은 시점에, 악성파일의 전송 데이터 스트림을 탐지하고 목적지로 데이터가 완전히 전송되기 전에 트래픽을 차단하는 것이 가능하다. 또한 메모리, 하드디스크와 같은 저장소에 전송 데이터의 원본을 저장하지 않으므로 개인정보 침해의 소지가 없다.
도 4는 본 발명의 실시예에 따른 실시간 네트워크 안티바이러스 수행 방법을 보다 상세히 설명하기 위한 흐름도이다.
일단, 패킷 처리부(10)는 패킷이 유입됨에 따라 해당 패킷을 파싱 처리하게 된다(S40). 이때, 패킷 처리부(10)는 입력된 패킷을 캡쳐, 디코드, 및 재조합하여 전송 데이터 스트림을 추출한다.
한편, 캐싱부(20)는 차단 리스트(black list)에 등록된 목적지로 향하는 패킷인지를 확인한다(S42).
확인 결과, 현재 입력된 패킷의 목적지 IP 또는 URL이 차단 리스트에 등록된 경우에는 캐싱부(20)는 현재 입력된 패킷을 차단시킴과 더불어 차단 리스트를 업데이트한다(S44).
반대로, 현재 입력된 패킷의 목적지 IP 또는 URL이 차단 리스트에 등록되지 않았다면 캐싱부(20)는 재조합한 전송 데이터 스트림을 패킷별 체크섬 계산부(30)에게로 전달한다.
그에 따라, 패킷별 체크섬 계산부(30)는 전송 데이터 스트림의 첫번째 데이터 패킷이 입력되는지를 판단한다(S46).
판단 결과, 첫번째 데이터 패킷이 입력되면 패킷별 체크섬 계산부(30)는 체크섬 저장 버퍼(도시 생략)를 생성한 후에 해시 알고리즘의 입력 크기에 맞게 현재 페이로드를 분할한다(S48, S50). 그리고 나서, 패킷별 체크섬 계산부(30)는 시드(seed)값과 각 데이터 블록을 입력으로 해시 체인 연산을 수행하여 파일의 시그니처를 계산해 나간다(S52).
이와 반대로, 상술한 단계 S46에서의 판단 결과 첫번째 데이터 패킷이 아니면 패킷별 체크섬 계산부(30)는 현재의 전송 데이터 스트림에 해당하는 체크섬 저장 버퍼(도시 생략)를 검색한 후에 해시 알고리즘의 입력 크기에 맞게 현재 페이로드를 분할한다(S54, S56). 그리고 나서, 패킷별 체크섬 계산부(30)는 저장된 버퍼의 값과 각 데이터 블록을 입력으로 해시 체인 연산을 수행하여 파일의 시그니처를 계산해 나간다(S58).
이후, 패킷별 체크섬 계산부(30)는 전송 데이터 스트림의 마지막 데이터 패킷이 입력되는지를 판단한다(S60).
전송 데이터 스트림의 마지막 데이터 패킷이 입력되지 않으면 현재 패킷을 포워딩시킨다(S62). 그리고 나서, 상술한 단계 S40으로 복귀하여 후속하여 입력되는 패킷을 처리한다.
한편, 전송 데이터 스트림의 마지막 데이터 패킷이 입력되면 고속 바이러스 스캐닝부(40)가 고속 바이러스 스캐닝 작업을 수행하여 시그니처가 바이러스 데이터베이스에 존재하는지를 파악한다(S64). 여기서, 바이러스 데이터베이스는 도면에 도시하지 않았지만, 고속 바이러스 스캐닝부(40)에 포함되어 있거나 별도로 구성되어 있다고 볼 수 있다.
만약, 시그니처가 바이러스 데이터베이스에 존재하지 않으면 상술한 단계 S62로 복귀한다.
반대로, 시그니처가 바이러스 데이터베이스에 존재하면 탐지 및 차단부(50)가 현재 패킷 또는 전체 세션을 차단함과 더불어 캐싱부(20)의 차단 리스트에 해당 전송 데이터 스트림을 제공하는 IP 또는 URL을 등록하여 추가적인 접속을 차단시킨다.
상술한 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템에서 구현될 수 있다. 도 5에 도시된 바와 같이, 컴퓨터 시스템(120-1)은 버스(122)를 통하여 서로 통신하는 하나 이상의 프로세서(121), 메모리(123), 사용자 입력 장치(126), 사용자 출력 장치(127) 및 스토리지(128)를 포함할 수 있다. 또한, 컴퓨터 시스템(120-1)은 네트워크(130)에 연결되는 네트워크 인터페이스(129)를 더 포함할 수 있다. 프로세서(121)는 중앙 처리 장치 또는 메모리(123)나 스토리지(128)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 여기서, 메모리(123) 및 스토리지(128)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리(123)는 ROM(124)이나 RAM(125)을 포함할 수 있다.
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
10 : 패킷 처리부 20 : 캐싱부
30 : 패킷별 체크섬 계산부 40 : 고속 바이어스 스캐닝부
50 : 탐지 및 차단부
100 : 실시간 네트워크 안티바이러스 수행 장치
30 : 패킷별 체크섬 계산부 40 : 고속 바이어스 스캐닝부
50 : 탐지 및 차단부
100 : 실시간 네트워크 안티바이러스 수행 장치
Claims (14)
- 입력된 패킷을 파싱하여 전송 데이터 스트림을 출력하는 패킷 처리부;
상기 전송 데이터 스트림의 시그니처를 계산하고, 상기 시그니처를 출력하는 패킷별 체크섬 계산부;
상기 시그니처를 기반으로 바이러스 스캐닝을 수행하는 고속 바이러스 스캐닝부;
상기 바이러스 스캐닝의 결과를 근거로 상기 입력된 패킷을 차단하거나 목적지로 전송하는 탐지 및 차단부; 및
상기 탐지 및 차단부의 결과를 근거로 차단 리스트를 업데이트하는 캐싱부;를 포함하며,
상기 패킷별 체크섬 계산부는,
상기 전송 데이터 스트림의 데이터 패킷들의 각 데이터 패킷마다, 상기 각 데이터 패킷의 N개의 데이터 블록 및 체크섬 저장 버퍼의 값을 입력으로 하는 해시 체인 연산을 수행함으로써 상기 각 데이터 패킷의 체크섬을 계산하되,
상기 복수의 데이터 패킷들 중 첫 번째 데이터 패킷의 상기 체크섬 저장 버퍼의 값은 시드 값이고,
상기 복수의 데이터 패킷들 중 상기 첫 번째 데이터 패킷을 제외한 나머지 데이터 패킷의 상기 체크섬 저장 버퍼의 값은 상기 나머지 데이터 패킷의 이전의 데이터 패킷의 체크섬이고,
상기 시그니처는 상기 복수의 데이터 패킷들 중 마지막 데이터 패킷의 체크섬이고,
상기 패킷별 체크섬 계산부는 상기 전송 데이터 스트림의 상기 데이터 패킷들의 상기 각 데이터 패킷마다 상기 각 데이터 패킷의 체크섬을 계산함으로써 상기 데이터 패킷들의 체크섬들을 계산하기 위한 체크섬 계산 오버헤드를 상기 각 데이터 패킷에 대한 처리 과정으로 분산시키고, 상기 체크섬 계산 오버헤드를 상기 각 데이터 패킷에 대한 처리 과정으로 분산시킴으로써 상기 시그니처 계산에 있어서의 순간적인 오버헤드 증가를 방지하는 것을 특징으로 하는 실시간 네트워크 안티바이러스 수행 장치. - 삭제
- 청구항 1에 있어서,
상기 고속 바이러스 스캐닝부는 인메모리 기반 또는 GPU 기반으로 바이러스 데이터베이스와 상기 시그니처를 대조하는 것을 특징으로 하는 실시간 네트워크 안티바이러스 수행 장치. - 청구항 3에 있어서,
상기 고속 바이러스 스캐닝부는 상기 바이러스 스캐닝을 수행할 때 검색 시간 및 데이터베이스 저장 공간을 고려한 자료구조 및 알고리즘을 활용하는 것을 특징으로 하는 실시간 네트워크 안티바이러스 수행 장치. - 청구항 4에 있어서,
상기 자료구조는 자가균형 이진 탐색 트리(Self-Balancing Binary Search Tree), 해시테이블, 일차원 배열, 및 블룸필터 중에서 하나인 것을 특징으로 하는 실시간 네트워크 안티바이러스 수행 장치. - 청구항 1에 있어서,
상기 탐지 및 차단부는 상기 고속 바이러스 스캐닝부(40)의 결과가 악성을 의미하면 상기 입력된 패킷을 차단하고, 정상을 의미하면 현재 패킷을 포워딩하는 것을 특징으로 하는 실시간 네트워크 안티바이러스 수행 장치. - 청구항 1에 있어서,
상기 캐싱부는 상기 탐지 및 차단부의 탐지 결과를 바탕으로 악성파일의 전송 데이터 스트림을 제공하는 IP 또는 URL에 대한 탐지 규칙을 자동 생성하여 상기 차단 리스트에 입력하는 것을 특징으로 하는 실시간 네트워크 안티바이러스 수행 장치. - 패킷 처리부가, 입력된 패킷을 파싱하여 전송 데이터 스트림을 출력하는 단계;
패킷별 체크섬 계산부가, 상기 전송 데이터 스트림의 시그니처를 계산하고, 상기 시그니처를 출력하는 단계;
고속 바이러스 스캐닝부가, 상기 시그니처를 기반으로 바이러스 스캐닝을 수행하는 단계;
탐지 및 차단부가, 상기 바이러스 스캐닝의 결과를 근거로 상기 입력된 패킷을 차단하거나 목적지로 전송하는 단계; 및
캐싱부가, 상기 입력된 패킷을 차단하거나 목적지로 전송하는 단계의 결과를 근거로 차단 리스트를 업데이트하는 단계;를 포함하며,
상기 전송 데이터 스트림의 시그니처를 계산하고, 상기 시그니처를 출력하는 단계는,
상기 전송 데이터 스트림의 데이터 패킷들의 각 데이터 패킷마다, 상기 각 데이터 패킷의 N개의 데이터 블록 및 체크섬 저장 버퍼의 값을 입력으로 하는 해시 체인 연산을 수행함으로써 상기 각 데이터 패킷의 체크섬을 계산하되,
상기 복수의 데이터 패킷들 중 첫 번째 데이터 패킷의 상기 체크섬 저장 버퍼의 값은 시드 값이고,
상기 복수의 데이터 패킷들 중 상기 첫 번째 데이터 패킷을 제외한 나머지 데이터 패킷의 상기 체크섬 저장 버퍼의 값은 상기 나머지 데이터 패킷의 이전의 데이터 패킷의 체크섬이고,
상기 시그니처는 상기 복수의 데이터 패킷들 중 마지막 데이터 패킷의 체크섬이고,
상기 전송 데이터 스트림의 시그니처를 계산하고, 상기 시그니처를 출력하는 단계는, 상기 전송 데이터 스트림의 상기 데이터 패킷들의 상기 각 데이터 패킷마다 상기 각 데이터 패킷의 체크섬을 계산함으로써 상기 데이터 패킷들의 체크섬들을 계산하기 위한 체크섬 계산 오버헤드를 상기 각 데이터 패킷에 대한 처리 과정으로 분산시키고, 상기 체크섬 계산 오버헤드를 상기 각 데이터 패킷에 대한 처리 과정으로 분산시킴으로써 상기 시그니처 계산에 있어서의 순간적인 오버헤드 증가를 방지하는 것을 특징으로 하는 실시간 네트워크 안티바이러스 수행 방법. - 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140116875A KR101587161B1 (ko) | 2014-09-03 | 2014-09-03 | 실시간 네트워크 안티바이러스 수행 장치 및 방법 |
US14/791,929 US10027691B2 (en) | 2014-09-03 | 2015-07-06 | Apparatus and method for performing real-time network antivirus function |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140116875A KR101587161B1 (ko) | 2014-09-03 | 2014-09-03 | 실시간 네트워크 안티바이러스 수행 장치 및 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101587161B1 true KR101587161B1 (ko) | 2016-01-20 |
Family
ID=55308229
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140116875A KR101587161B1 (ko) | 2014-09-03 | 2014-09-03 | 실시간 네트워크 안티바이러스 수행 장치 및 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US10027691B2 (ko) |
KR (1) | KR101587161B1 (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180086917A (ko) | 2017-01-24 | 2018-08-01 | 한국전자통신연구원 | 네트워크 기반의 악성 파일 탐지 장치 및 방법 |
US20210014244A1 (en) * | 2016-08-12 | 2021-01-14 | Level 3 Communications, Llc | Malware detection and prevention system |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10530831B2 (en) * | 2015-05-15 | 2020-01-07 | Oracle International Corporation | Threat protection for real-time communications gateways |
RU2634211C1 (ru) | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
RU2649793C2 (ru) | 2016-08-03 | 2018-04-04 | ООО "Группа АйБи" | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
RU2634209C1 (ru) * | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
RU2637477C1 (ru) | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | Система и способ обнаружения фишинговых веб-страниц |
RU2671991C2 (ru) | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | Система и способ сбора информации для обнаружения фишинга |
RU2689816C2 (ru) | 2017-11-21 | 2019-05-29 | ООО "Группа АйБи" | Способ для классифицирования последовательности действий пользователя (варианты) |
RU2680736C1 (ru) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
RU2676247C1 (ru) | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и компьютерное устройство для кластеризации веб-ресурсов |
RU2677361C1 (ru) | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Способ и система децентрализованной идентификации вредоносных программ |
RU2668710C1 (ru) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
RU2677368C1 (ru) | 2018-01-17 | 2019-01-16 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система для автоматического определения нечетких дубликатов видеоконтента |
RU2681699C1 (ru) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US11108798B2 (en) | 2018-06-06 | 2021-08-31 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US11204939B2 (en) * | 2018-07-18 | 2021-12-21 | Bank Of America Corporation | Data manifest as a blockchain service |
RU2708508C1 (ru) | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями |
RU2701040C1 (ru) | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
US11385766B2 (en) | 2019-01-07 | 2022-07-12 | AppEsteem Corporation | Technologies for indicating deceptive and trustworthy resources |
WO2020176005A1 (ru) | 2019-02-27 | 2020-09-03 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система идентификации пользователя по клавиатурному почерку |
US11093612B2 (en) * | 2019-10-17 | 2021-08-17 | International Business Machines Corporation | Maintaining system security |
RU2728498C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его исходному коду |
RU2728497C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
RU2743974C1 (ru) | 2019-12-19 | 2021-03-01 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ сканирования защищенности элементов сетевой архитектуры |
SG10202001963TA (en) | 2020-03-04 | 2021-10-28 | Group Ib Global Private Ltd | System and method for brand protection based on the search results |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
RU2743619C1 (ru) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
NL2030861B1 (en) | 2021-06-01 | 2023-03-14 | Trust Ltd | System and method for external monitoring a cyberattack surface |
RU2769075C1 (ru) | 2021-06-10 | 2022-03-28 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ активного обнаружения вредоносных сетевых ресурсов |
US20230353539A1 (en) * | 2022-05-02 | 2023-11-02 | Omni InfoSec LLC | Methods for automatically modifying firewall rules based on Internet Protocol (IP) addresses |
CN117014211B (zh) * | 2023-08-16 | 2024-10-01 | 华能信息技术有限公司 | 一种基于大数据的电厂网络安全动态防御方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100124441A (ko) * | 2009-05-19 | 2010-11-29 | 주식회사 안철수연구소 | 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법 |
US20110051614A1 (en) * | 2009-08-28 | 2011-03-03 | International Business Machines Corporation | Method and device of identifying the payload of a data packet in a tcp stream |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7870161B2 (en) * | 2003-11-07 | 2011-01-11 | Qiang Wang | Fast signature scan |
US8316446B1 (en) * | 2005-04-22 | 2012-11-20 | Blue Coat Systems, Inc. | Methods and apparatus for blocking unwanted software downloads |
US7853689B2 (en) * | 2007-06-15 | 2010-12-14 | Broadcom Corporation | Multi-stage deep packet inspection for lightweight devices |
US8024473B1 (en) * | 2007-07-19 | 2011-09-20 | Mcafee, Inc. | System, method, and computer program product to automate the flagging of obscure network flows as at least potentially unwanted |
US8353037B2 (en) * | 2009-12-03 | 2013-01-08 | International Business Machines Corporation | Mitigating malicious file propagation with progressive identifiers |
CN101877710B (zh) | 2010-07-13 | 2012-10-17 | 成都市华为赛门铁克科技有限公司 | 代理网关防病毒实现方法、预分类器和代理网关 |
US8997227B1 (en) * | 2012-02-27 | 2015-03-31 | Amazon Technologies, Inc. | Attack traffic signature generation using statistical pattern recognition |
-
2014
- 2014-09-03 KR KR1020140116875A patent/KR101587161B1/ko active IP Right Grant
-
2015
- 2015-07-06 US US14/791,929 patent/US10027691B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100124441A (ko) * | 2009-05-19 | 2010-11-29 | 주식회사 안철수연구소 | 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법 |
US20110051614A1 (en) * | 2009-08-28 | 2011-03-03 | International Business Machines Corporation | Method and device of identifying the payload of a data packet in a tcp stream |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210014244A1 (en) * | 2016-08-12 | 2021-01-14 | Level 3 Communications, Llc | Malware detection and prevention system |
US11552988B2 (en) * | 2016-08-12 | 2023-01-10 | Level 3 Communications, Llc | Creating malware prevention rules using malware detection and prevention system |
KR20180086917A (ko) | 2017-01-24 | 2018-08-01 | 한국전자통신연구원 | 네트워크 기반의 악성 파일 탐지 장치 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
US20160065595A1 (en) | 2016-03-03 |
US10027691B2 (en) | 2018-07-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101587161B1 (ko) | 실시간 네트워크 안티바이러스 수행 장치 및 방법 | |
US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
US7802303B1 (en) | Real-time in-line detection of malicious code in data streams | |
US9413776B2 (en) | System for finding code in a data flow | |
US8732304B2 (en) | Method and system for ensuring authenticity of IP data served by a service provider | |
US7706378B2 (en) | Method and apparatus for processing network packets | |
US10270792B1 (en) | Methods for detecting malicious smart bots to improve network security and devices thereof | |
US20090307776A1 (en) | Method and apparatus for providing network security by scanning for viruses | |
US11632389B2 (en) | Content-based optimization and pre-fetching mechanism for security analysis on a network device | |
US9294487B2 (en) | Method and apparatus for providing network security | |
JP2013232716A (ja) | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム | |
WO2007104988A1 (en) | A method and apparatus for providing network security | |
CN102708325A (zh) | 虚拟桌面环境文件杀毒的方法和系统 | |
CN108604273B (zh) | 防止恶意软件下载 | |
US10992702B2 (en) | Detecting malware on SPDY connections | |
Lin et al. | Unveiling the Bandwidth Nightmare: CDN Compression Format Conversion Attacks | |
CN112035840A (zh) | 一种数据处理方法、装置、电子设备和计算机存储介质 | |
Xuan et al. | A Web Security Data Detection Based on Group Scanning | |
Wang et al. | New directions in covert malware modeling which exploit white-listing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20181226 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20200106 Year of fee payment: 5 |