KR101749074B1 - 방화벽 시스템 및 그의 구동방법 - Google Patents

방화벽 시스템 및 그의 구동방법 Download PDF

Info

Publication number
KR101749074B1
KR101749074B1 KR1020150184648A KR20150184648A KR101749074B1 KR 101749074 B1 KR101749074 B1 KR 101749074B1 KR 1020150184648 A KR1020150184648 A KR 1020150184648A KR 20150184648 A KR20150184648 A KR 20150184648A KR 101749074 B1 KR101749074 B1 KR 101749074B1
Authority
KR
South Korea
Prior art keywords
file
firewall
module
packets
malicious
Prior art date
Application number
KR1020150184648A
Other languages
English (en)
Inventor
이종현
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020150184648A priority Critical patent/KR101749074B1/ko
Application granted granted Critical
Publication of KR101749074B1 publication Critical patent/KR101749074B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 보안의 신뢰성을 향상시킬 수 있도록 한 방화벽 시스템에 관한 것이다.
본 발명의 실시예에 의한 방화벽 시스템은 어플리케이션을 분석하기 위한 제 1시그니처들, 악성 파일들에 대응하여 설정되는 제 2시그니처들을 이용하여 패킷들을 허용하거나 차단하기 위한 방화벽 장치와; 상기 방화벽 장치로부터 파일을 공급받고, 상기 파일이 악성 파일로 판단되는 경우 제 2시그니처를 생성하여 상기 방화벽 장치에 등록하기 위한 분석 장치를 구비한다.

Description

방화벽 시스템 및 그의 구동방법{Firewall System and Driving Method Thereof}
본 발명의 실시예는 방화벽 시스템 및 그의 구동방법에 관한 것으로, 특히 보안의 신뢰성을 향상시킬 수 있도록 한 방화벽 시스템 및 그의 구동방법에 관한 것이다.
방화벽은 내부 네트워크의 앞 단에 설치되어 인터넷상의 악성코드 등이 내부 네트워크로 전파되는 것을 방지한다. 즉, 방화벽은 인터넷망을 포함한 외부 네트워크로부터 내부 네트워크를 보호하기 위한 것이다. 이를 위하여, 방화벽에는 패킷을 통제하기 위한 정책들이 설정되며, 방화벽 운영시 기설정된 정책에 따라 허용된 패킷만을 내부 네트워크로 제공한다.
이와 같은 방화벽은 일반적으로 5 튜플(tuple)(IP주소 및 포트번호 등)을 이용하여 패킷을 차단하거나 허용한다. 하지만, 5 튜플을 이용하여 패킷을 관리하는 경우 방화벽의 활용성이 제한되며, 보안의 신뢰도도 높지 않다.
따라서, 본 발명은 어플리케이션을 추가로 감지하여 활용성 및 보안의 신뢰도를 향상시킬 수 있도록 한 방화벽 시스템 및 그의 구동방법을 제공하는 것이다.
또한, 본 발명은 파일을 분석하여 위협을 탐지함으로써 보안의 신뢰도를 향상시킬 수 있도록 한 방화벽 시스템 및 그의 구동방법을 제공하는 것이다.
본 발명의 실시예에 의한 방화벽 시스템은 어플리케이션을 분석하기 위한 제 1시그니처들, 악성 파일들에 대응하여 설정되는 제 2시그니처들을 이용하여 패킷들을 허용하거나 차단하기 위한 방화벽 장치와; 상기 방화벽 장치로부터 파일을 공급받고, 상기 파일이 악성 파일로 판단되는 경우 제 2시그니처를 생성하여 상기 방화벽 장치에 등록하기 위한 분석 장치를 구비한다.
실시 예에 의한, 상기 방화벽 장치는 상기 패킷들의 시그니처가 상기 제 2시그니처들 중 어느 하나로 판단되는 경우 상기 패킷들을 차단한다.
실시 예에 의한, 상기 방화벽 장치는 미리 설정된 정책에 대응하여 상기 패킷들을 허용하거나 차단하기 위한 방화벽 모듈과; 상기 제 1시그니처들 및 제 2시그니처들이 저장되는 제 1규칙 저장부와; 상기 제 1규칙 저장부를 참조하여 상기 패킷들의 어플리케이션 식별정보를 상기 방화벽 모듈로 공급하며, 상기 패킷들이 파일로 판단되는 경우 파일 식별정보를 생성하기 위한 식별 엔진과; 상기 분석 장치로 공급될 파일 포맷들이 저장되는 제 2규칙 저장부와; 상기 파일 식별정보가 공급되는 경우 상기 패킷들에 대응하여 상기 파일을 생성하기 위한 파일 모듈을 구비한다.
실시 예에 의한, 상기 방화벽 장치는 상기 파일 모듈과 상기 제 2규칙 저장부 사이에 위치되며, 상기 파일 모듈에서 생성된 상기 파일의 확장자가 상기 파일 포맷들에 포함되는지를 판단하기 위한 파일 매칭부를 더 구비한다.
실시 예에 의한, 상기 파일 모듈은 상기 파일의 확장자가 상기 파일 포맷에 포함되는 경우, 상기 파일을 상기 분석 장치로 공급한다.
실시 예에 의한, 상기 방화벽 장치는 상기 파일 모듈과 접속되며, 상기 분석장치와 정보를 송수신하기 위한 제 1송수신 모듈을 더 구비한다.
실시 예에 의한, 상기 방화벽 장치는 상기 패킷이 암호화된 경우, 복호화하여 상기 식별엔진으로 공급하기 위한 SSL 프록시를 더 구비한다.
실시 예에 의한, 상기 분석 장치는 서로 다른 운영체제(OS)를 가지는 복수의 가상 서버들과; 상기 파일의 운영체제를 분석하고, 분석된 상기 운영체제에 대응하여 상기 파일을 상기 가상 서버들 중 어느 하나로 공급하기 위한 분석 모듈을 구비한다.
실시 예에 의한, 상기 분석 모듈은 상기 파일이 상기 가상 서버들 중 어느 하나에 설치될 때, 상기 운영체제의 설정을 변경하는 경우 상기 파일을 상기 악성 파일로 판단한다.
실시 예에 의한, 상기 분석 모듈은 상기 파일이 상기 악성 파일로 판단되는 경우 상기 파일에 대응한 상기 제 2시그니처를 생성하여 상기 방화벽 장치로 전송한다.
실시 예에 의한, 상기 운영체제의 설정을 변경하는 경우는 상기 파일 실행 시 시스템 폴더에 실행 파일을 생성하는 경우, API 함수의 수행 내역을 검사하는 경우, 레지스터 정보를 변경하는 경우 중 적어도 하나를 포함한다.
실시 예에 의한, 상기 파일이 상기 가상 서버들 중 어느 하나에 설치될 때 상기 분석 장치에서 생성되는 패킷을 감지하고, 비정상 행위가 발생되는 경우 상기 파일을 상기 악성 파일로 판단하기 위한 위협 탐지부를 더 구비한다.
실시 예에 의한, 상기 비정상 행위는 외부에서 악성 코드가 전송되는 경우, 상기 파일에 악성 코드가 포함되는 경우 중 적어도 하나를 포함한다.
실시 예에 의한, 상기 분석 장치는 상기 분석 모듈과 접속되며, 상기 방화벽 장치와 정보를 송수신하기 위한 제 2송수신 모듈을 더 구비한다.
본 발명의 실시예에 의한 방화벽 시스템의 구동방법은 방화벽 모듈로 공급되는 패킷들을 이용하여 파일을 생성하는 단계와, 상기 파일을 가상 서버에 설치하는 단계와, 상기 파일 설치 시 상기 가상 서버의 운영체제의 설정을 변경하는 경우 상기 파일을 악성 파일로 판단하고, 상기 패킷들을 차단하는 단계를 포함한다.
실시 예에 의한, 상기 운영체제의 설정을 변경하는 경우는 상기 파일 실행 시 시스템 폴더에 실행 파일을 생성하는 경우, API 함수의 수행 내역을 검사하는 경우, 레지스터 정보를 변경하는 경우 중 적어도 하나를 포함한다.
실시 예에 의한, 상기 파일 설치 시 발생되는 패킷들을 감지하고, 비정상 행위가 발생되는 경우 상기 파일을 상기 악성 파일로 판단하는 단계를 더 포함한다.
실시 예에 의한, 상기 비정상 행위는 외부에서 악성 코드가 전송되는 경우, 상기 파일에 악성 코드가 포함되는 경우 중 적어도 하나를 포함한다.
본 발명의 실시예에 의한 방화벽 시스템 및 그의 구동방법에 의하면 방화벽 장치에서 어플리케이션을 식별하고, 식별된 어플리케이션에 대응하여 패킷을 차단 또는 허용할 수 있다.
또한, 본 발명의 실시예에서는 패킷들을 이용하여 파일을 생성하고, 생성된 파일을 분석 장치로 전송한다. 분석 장치는 가상 서버를 이용하여 파일을 실행하고, 실행 결과에 대응하여 파일에 대응하는 패킷들이 악성코드 및/또는 바이러스 등을 포함하는지 판단한다. 이후, 방화벽 장치는 분석 장치의 분석 결과에 대응하여 파일에 대응하는 패킷들을 차단 또는 허용하고, 이에 따라 보안의 신뢰도를 향상시킬 수 있다. 특히, 본원 발명에서는 악성 파일에 대응하여 별도의 시그니처를 저장하고, 해당 시그니처에 해당하는 패킷들을 차단함으로써 보안의 신뢰도를 더욱 향상시킬 수 있다.
도 1은 본 발명의 실시예에 의한 방화벽 장치를 나타내는 도면이다.
도 2는 본 발명의 실시예에 의한 방화벽 시스템을 나타내는 도면이다.
도 3은 본 발명의 실시예에 의한 방화벽 장치의 구성도를 나타내는 도면이다.
도 4는 일반적 패킷의 실시예를 나타내는 도면이다.
도 5는 본 발명의 실시예에 의한 분석 장치를 나타내는 도면이다.
이하 첨부한 도면을 참고하여 본 발명의 실시예 및 그 밖에 통상의 기술자가 본 발명의 내용을 쉽게 이해하기 위하여 필요한 사항에 대하여 상세히 기재한다. 다만, 본 발명은 청구범위에 기재된 범위 안에서 여러 가지 상이한 형태로 구현될 수 있으므로 하기에 설명하는 실시예는 표현 여부에 불구하고 예시적인 것에 불과하다.
즉, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있다. 또한, 도면에서 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 참조번호 및 부호로 나타내고 있음에 유의해야 한다.
도 1은 본 발명의 실시예에 의한 방화벽 장치를 나타내는 도면이다.
도 1을 참조하면, 본 발명의 실시예에 의한 방화벽 장치(100)는 내부 네트워크와 외부 네트워크 사이에 위치된다. 여기서, 내부 네트워크는 사설 IP(Internet Protocol) 및/또는 공인 IP를 할당받은 다양한 형태의 장치들을 포함할 수 있다. 일례로, 내부 네트워크에는 일반적인 컴퓨터, 운영체제에서 지원하는 가상 머신들을 포함하는 서버, NAT(Network Address Translator) 장치에 의하여 접속되는 서버 등이 포함될 수 있다. 실제로, 본 발명에서 내부 네트워크는 현재 공지된 다양한 형태로 구현될 수 있다.
방화벽 장치(100)는 외부 네트워크와 내부 네트워크 사이의 패킷들을 감시하고, 미리 설정된 정책에 대응하여 패킷들을 차단하거나 허용한다. 또한, 방화벽 장치(100)는 패킷들로부터 어플리케이션을 추가로 감지한다. 이 경우, 방화벽 장치(100)는 정책에 대응하여 어플리케이션의 패킷을 차단하거나 허용할 수 있다.
일례로, 방화벽 장치(100)는 현재 공급된 패킷이 "네이트 온" 어플리케이션으로 판단되는 경우, 해당 패킷을 차단할 수 있다. 또한, 방화벽 장치(100)는 현재 공급된 패킷이 "네이버" 어플리케이션으로 판단되는 경우, 해당 패킷을 허용할 수 있다. 즉, 본 발명의 실시예에 의한 방화벽 장치(100)는 어플리케이션에 대응하여 패킷을 허용 및 차단할 수 있고, 이에 따라 보안의 신뢰성이 향상됨과 동시에 활용될 수 있는 영역이 확장된다.
추가적으로, 방화벽 장치(100)는 파일에 해당하는 패킷들을 감지하고, 해당 파일이 악성 파일로 판단되는 경우 패킷들을 차단할 수 있다. 이와 관련하여 상세한 설명은 후술하기로 한다.
도 2는 본 발명의 실시예에 의한 방화벽 시스템을 나타내는 도면이다.
도 2를 참조하면, 본 발명의 실시예에 의한 방화벽 시스템(10)은 상술한 방화벽 장치(100) 및 분석 장치(200)를 구비한다.
방화벽 장치(100)는 패킷들로부터 어플리케이션을 분석하기 위한 제 1시그니처들, 악성 파일들에 대응한 제 2시그니처들을 구비한다.
제 1시그니처들은 다양한 어플리케이션을 분석하기 위하여 설정되며, 방화벽 장치(100)는 패킷들로부터 추출된 시그니처와 상기 제 1시그니처들을 비교하면서 어플리케이션을 식별할 수 있다. 어플리케이션이 식별된 패킷들은 해당 어플리케이션의 정책에 대응하여 방화벽 장치(100)에서 허용되거나 차단된다.
제 2시그니처들은 악성 파일들에 대응하여 설정된다. 방화벽 장치(100)는 패킷들로부터 추출된 시그니처가 제 2시그니처로 판단되는 경우, 해당 패킷을 차단한다. 한편, 악성 파일은 바이러스 코드, 해킹 코드 등을 포함한 파일을 의미한다.
분석 장치(200)는 방화벽 장치로부터 파일을 공급받고, 공급받은 파일이 악성 파일인지를 판단한다. 파일이 악성 파일로 판단되는 경우 분석 장치(200)는 해당 파일의 시그니처를 이용하여 제 2시그니처를 생성하고, 생성된 제 2시그니처를 방화벽 장치(100)로 공급한다. 여기서, 제 2시그니처에는 악성 파일의 패킷들에 포함된 시그니처는 물론, 악성 파일이 공급된 IP 주소, 악성 파일의 어플리케이션 정보들이 포함될 수 있다.
분석 장치(200)로부터 제 2시그니처를 공급받은 방화벽 장치(100)는 제 2시그니처를 저장하고, 해당 패킷들을 차단한다. 이후, 방화벽 장치(100)는 자신에게 저장된 제 2시그니처들에 대응하여 악성 파일의 패킷들을 차단한다.
상술한 바와 같이 본 발명의 실시예에 의한 방화벽 시스템은 외부 네트워크로부터 공급되는 파일들을 감시하고, 감시 결과에 대응하여 악성 파일의 패킷들을 차단한다. 이 경우, 악성 파일들에 의한 위협을 최소화할 수 있고, 이에 따라 보안의 신뢰성이 향상된다.
도 3은 본 발명의 실시예에 의한 방화벽 장치의 구성도를 나타내는 도면이다. 도 4는 일반적 패킷의 실시예를 나타내는 도면이다. 도 3 및 도 4는 본 발명의 설명에 필요한 부분만을 도시한 것으로, 방화벽 장치의 구성이 이에 한정되지는 않는다.
도 3 및 도 4를 참조하면, 본 발명의 실시예에 의한 방화벽 장치(100)는 방화벽 모듈(110), 식별엔진(120), 제 1규칙 저장부(130), SSL(Secure Sockets Layer) 프록시(140)를 구비한다.
방화벽 모듈(110)은 미리 설정된 정책에 대응하여 패킷들을 차단하거나 허용한다. 일례로, 방화벽 모듈(110)은 제 1어플리케이션의 패킷들을 차단하고, 제 2어플리케이션의 패킷들을 허용할 수 있다. 또한, 방화벽 모듈(110)은 악성 파일에 대응하는 패킷들을 차단한다. 즉, 방화벽 모듈(110)은 미리 설정된 정책에 대응하여 트래픽을 제어하는 역할을 수행한다.
식별엔진(120)은 방화벽 모듈(110) 및/또는 SSL 프록시(140)로부터 패킷들을 공급받고, 공급받은 패킷들로부터 데이터를 추출한다. 그리고, 식별엔진(120)은 데이터로부터 시그니처를 추출하고, 추출된 시그니처를 제 1규칙 저장부(130)에 저장된 제 1시그니처들 및 제 2시그니처들과 비교함으로써 어플리케이션을 식별한다.
상세히 설명하면, 일반적으로 패킷은 소정의 크기, 예를 들면 1460byte의 크기로 설정된다. 이와 같은 패킷은 도 4에 도시된 바와 같이 헤더와 데이터로 구분된다. 패킷의 헤더에는 5 튜플(tuple) 정보가 저장된다. 다시 말하여, 헤더에는 소스 IP, 목적지 IP, 소스 포트, 목적지 포트 및 프로토콜 정보가 저장된다. 여기서, 소스 IP는 해당 패킷을 전송한 컴퓨터의 주소, 목적지 IP는 해당 패킷을 전송받는 컴퓨터의 주소, 소스 포트는 해당 패킷이 전송된 포트, 목적지 포트는 해당 패킷이 전송될 포트, 프로토콜은 TCP/IP를 포함한 통신 규약을 의미한다.
패킷의 데이터에는 시그니처를 포함한 전송하고자 하는 정보가 포함된다. 여기서, 시그니처는 어플리케이션을 구분하기 위한 정보로 이용된다. 일례로, 어플리케이션이 "네이트 온"으로 설정되는 경우 패킷의 데이터에는 "REQS"와 같은 시그니처 정보가 포함된다. 또한, 어플리케이션이 웹 사이트, 일례로 "네이버"로 설정되는 경우 패킷의 데이터에는 "Host: www.naver.com"과 같은 시그니처 정보가 포함된다.
시그니처 정보는 연속되는 패킷들 중 초반에 공급되는 패킷들에 포함된다. 실제로, 시그니처 정보는 연속되어 공급되는 패킷들 중 첫 번째 또는 두 번째 패킷에 포함된다.
식별엔진(120)은 패킷으로부터 추출된 시그니처를 제 1규칙 저장부(130)에 저장된 제 1시그니처들 및 제 2시그니처들과 비교한다. 식별엔진(120)은 시그니처 비교결과에 대응하여 어플리케이션을 식별하고, 식별결과를 방화벽 모듈(110)로 공급한다. 어플리케이션 식별결과를 전송받은 방화벽 모듈(110)은 정책에 대응하여 해당 패킷들을 차단하거나 허용한다.
어플리케이션이 식별되지 않는 경우, 식별엔진(120)은 미식별 정보를 방화벽 모듈(110)로 공급한다. 그러면, 방화벽 모듈(110)은 미식별 어플리케이션 정책에 대응하여 해당 패킷을 차단하거나 허용한다.
추가적으로, 미식별 정보에는 미인식(Unknown) 및 불충분 데이터(insufficient-data)가 포함된다. 여기서, 미인식(Unknown)은 해당 패킷에 대응하는 시그니처 정보가 제 1규칙 저장부(130)에 저장되지 않았음을 의미한다. 또한, 불충분 데이터(insufficient-data)는 미인식(Unknwon)으로 판별하기에는 너무 작은 크기의 패킷을 의미한다. 일례로, 특정 세션으로 100byte의 패킷이 전송되는 경우, 해당 패킷은 불충분 데이터로 판단될 수 있다.
한편, 식별엔진(120)은 방화벽 모듈(110)로부터 공급되는 패킷들이 파일의 패킷들로 판단되는 경우, 파일 식별정보를 파일 모듈(150)로 공급한다. 이와 관련하여 상세한 설명은 후술하기로 한다.
제 1규칙 저장부(130)는 어플리케이션들에 대응하는 제 1시그니처들, 악성 파일에 대응하는 제 2시그니처들이 저장된다. 제 1시그니처들은 어플리케이션들 각각에 대응하여 설정되는 것으로, 식별엔진(120)은 제 1시그니처들을 이용하여 어플리케이션을 식별한다.
제 2시그니처들은 악성 파일에 대응하여 설정된다. 이와 같은 제 2시그니처들은 분석 장치(200)에서 생성된 후 제 1규칙 저장부(130)에 저장된다.
식별엔진(120)은 현재 공급된 패킷의 시그니처가 제 2시그니처들 중 어느 하나에 해당하는 경우, 해당 식별결과를 방화벽 모듈(110)로 공급한다. 식별엔진(120)으로부터 악성 파일에 대응하는 식별결과를 전송받은 방화벽 모듈(110)은 해당 패킷을 차단한다. 또한, 방화벽 모듈(110)은 악성 파일의 패킷을 송신하는 IP 주소로부터 공급되는 모든 패킷들을 추가로 차단할 수 있다. 즉, 본 발명에서는 악성 파일에 해당하는 패킷들을 차단하고, 이에 따라 보안의 신뢰성을 높일 수 있다.
SSL 프록시(140)는 SSL로 암호화되어 전송되는 패킷을 복호화하고, 복호화된 패킷을 식별엔진(120)으로 공급한다. 그러면, 식별엔진(120)은 복호화된 패킷으로부터 시그니처를 추출하고, 추출된 시그니처에 대응하여 어플리케이션을 식별한다.
추가적으로, 본 발명의 실시예에 의한 방화벽 장치(100)는 파일 전송을 위하여 파일 모듈(150), 파일 매칭부(160), 제 2규칙 저장부(170) 및 제 1송수신 모듈(180)을 더 구비한다.
파일 모듈(150)은 식별엔진(120)으로부터 파일 식별정보를 전송받는다. 파일 식별정보를 전송받은 파일 모듈(150)은 방화벽 모듈(110)로부터 파일의 패킷들을 공급받고, 공급받은 패킷들을 이용하여 파일을 생성한다. 파일 모듈(150)에서는 다양한 포맷의 파일들, 일례로 JPG, ZIP, EXE 등의 확장자를 가지는 파일들이 생성될 수 있다.
제 2규칙 저장부(170)에는 분석 장치(200)로 공급될 파일 포맷들이 저장된다. 즉, 제 2규칙 저장부(170)에는 설치 시 네트워크에 영향을 줄 수 있는 파일 포맷들, 일례로, EXE, ZIP 등의 파일 포맷들이 저장될 수 있다.
파일 매칭부(160)는 파일 모듈(150)부터 생성된 파일의 확장자가 제 2규칙 저장부(170)에 저장된 포맷인지를 확인하고, 확인 결과를 파일 모듈(150)로 전송한다. 확인 결과를 전송받은 파일 모듈(150)은 생성된 파일이 제 2규칙 저장부(170)에 저장된 포맷인 경우 파일을 제 1송수신 모듈(180)로 전송하고, 그 외의 경우에는 파일을 제 1송수신 모듈(180)로 전송하지 않는다.
상세히 설명하면, 파일 모듈(150)에서 생성된 파일이 "rose.jpg", 즉 제 2규칙 저장부(170)에 저장되지 않은 포맷인 경우 파일 모듈(150)은 "rose.jpg" 파일을 제 1송수신 모듈(180)로 전송하지 않는다. 이 경우, 방화벽 모듈(110)은 "rose.jpg"에 해당하는 패킷들을 허용상태로 설정한다.
반면에, 파일 모듈(150)에서 생성된 파일이 "Nateon.exe", 즉 제 2규칙 저장부(170)에 저장된 포맷인 경우 파일 모듈(150)은 "Nateon.exe" 파일을 제 1송수신 모듈(180)로 전송한다.
제 1송수신 모듈(180)은 파일 모듈(150)로부터 공급되는 파일을 분석 장치(200)로 공급한다. 그러면, 분석 장치(200)는 전송받은 파일이 악성 파일인지 판단하고, 판단결과를 제 1송수신 모듈(180)로 전송한다.
분석 장치(200)의 분석결과 악성 파일이 아닌 경우 방화벽 모듈(110)은 해당 패킷들을 허용한다. 분석 장치(200)의 분석결과 악성 파일인 경우 방화벽 모듈(110)은 해당 패킷들을 차단한다. 그리고, 악성 파일에 대응한 제 2시그니처가 제 1규칙 저장부(130)에 추가로 저장된다.
도 5는 본 발명의 실시예에 의한 분석 장치를 나타내는 도면이다.
도 5를 참조하면, 본 발명의 실시예에 의한 분석 장치(200)는 제 2송수신 모듈(210), 분석 모듈(220), 복수의 가상 서버들(2301 내지 230i : i는 자연수) 및 위협 탐지부(240)를 구비한다.
제 2송수신 모듈(210)은 방화벽 장치(100), 즉 제 1송수신 모듈(180)로부터 파일을 공급받는다. 이후, 설명의 편의성을 위하여 제 2송수신 모듈(210)은 "Nateon.exe" 파일을 공급받는다고 가정하기로 한다. "Nateon.exe" 파일을 공급받은 제 2송수신 모듈(210)은 "Nateon.exe" 파일을 분석 모듈(220)로 공급한다.
가상 서버들(2301 내지 230i)은 서로 다른 운영체제(OS)를 갖는다. 일례로, 제 1가상 서버(2301)는 윈도우즈(Windows), 제 2가상 서버(2302)는 리눅스(Linux), 제 i가상 서버(230i)는 OS X(맥 OS)로 설정될 수 있다. 가상 서버들(2301 내지 230i)에 포함되는 운영체제별 가상 머신의 수는 개발자에 의하여 자유롭게 설정될 수 있다.
"Nateon.exe" 파일을 공급받은 분석 모듈(220)은 파일의 운영체제에 대응하여 "Nateon.exe" 파일을 가상 서버들 중 어느 하나(2301 내지 230i 중 어느 하나)로 공급한다. 이후, 설명의 편의성을 위하여 "Nateon.exe" 파일은 윈도우즈 운영체제에 대응하는 제 1가상 서버(2301)로 공급되는 것으로 가정하기로 한다.
"Nateon.exe" 파일을 공급받은 제 1가상 서버(2301)는 "Nateon.exe" 파일을 실행한다. 이때, 분석 모듈(220)은 "Nateon.exe" 파일이 운영체제의 설정을 변경하는지를 감시한다. 일례로, 분석 모듈(220)은 "Nateon.exe" 파일 실행 시, 시스템 폴더에 파일을 생성하는지, API 함수의 수행 내역을 검사하는지, 운영체제의 레지스터 정보를 변경하는지를 판단할 수 있다. 이 외에도, 분석 모듈(220)은 "Nateon.exe" 파일이 현재 알려진 해킹 방법에 대응하여 비정상 행위(파일 생성 등)를 하는지 감시할 수 있다.
"Nateon.exe" 파일이 운영체제의 설정을 변경한다고 판단되는 경우, 분석 모듈(220)은 "Nateon.exe" 파일에 대응한 제 2시그니처를 생성하여 제 2송수신 모듈(210)로 공급한다. 그러면, 제 2시그니처 정보는 제 1송수신 모듈(180)를 경유하여 제 1규칙 저장부(130)에 저장되고, 이에 따라 "Nateon.exe" 파일에 대응하는 패킷들은 방화벽 모듈(110)에서 차단된다.
위협 탐지부(240)는 분석 장치(200)의 네트워크를 감시한다. 일례로, 위협 탐지부(240)는 "Nateon.exe" 파일 설치 시 발생하는 비정상 행위를 감시하고, 이에 따라 악성 파일 유무를 판단한다. 일례로, 위협 탐지부(240)는 "Nateon.exe" 파일 설치 시 인터넷을 경유하여 외부 서버로부터 특정 프로토콜(HTTP, HTTPS, PSP, 어플리케이션 자체 프로토콜 등)을 통해 악성 코드가 전송되는지를 감시할 수 있다. "Nateon.exe" 파일 설치 시 악성 코드가 전송되는 경우, 위협 탐지부(240)는 "Nateon.exe" 파일을 악성 파일로 판단할 수 있다.
또한, 위협 탐지부(240)는 "Nateon.exe" 파일 설치 시 발생하는 패킷을 분석(프로토콜 정보, 어플리케이션 식별 등)하여 악성 파일 여부를 판단할 수 있다. 이를 위하여, 위협 탐지부(240)는 방화벽으로 설정될 수 있다. 일례로, 위협 탐지부(240)는 식별엔진(120), 제 1규칙 저장부(130) 및 SSL 프록시(140)를 포함한 방화벽으로 설정될 수 있다.
위협 탐지부(240)에서 악성 파일로 판단되는 경우, 해당 식별결과를 분석 모듈(220)로 전송한다. 그러면, 분석 모듈(220)은 "Nateon.exe" 파일에 대응한 제 2시그니처를 생성하여 제 2송수신 모듈(210)로 공급한다. 이 경우, 제 2시그니처 정보는 제 1송수신 모듈(180)를 경유하여 제 1규칙 저장부(130)에 저장되고, 이에 따라 "Nateon.exe" 파일에 대응한 패킷들은 방화벽 모듈(110)에서 차단된다.
상술한 바와 같이 본 발명에서는 외부 네트워크로부터 공급되는 파일들을 가상 서버(2301 내지 230i)에서 실행하고, 실행 결과에 대응하여 악성 파일을 판별할 수 있다. 이와 같이 파일을 직접 실행하여 악성 파일을 판단하는 경우 악성 파일에 의한 해킹, 바이러스 피해 등을 안정적으로 방지할 수 있다.
본 발명의 기술 사상은 상기 바람직한 실시예에 따라 구체적으로 기술되었으나, 상기한 실시예는 그 설명을 위한 것이며 그 제한을 위한 것이 아님을 주의하여야 한다. 또한, 본 발명의 기술 분야의 통상의 지식을 가진 자라면 본 발명의 기술 사상의 범위 내에서 다양한 변형예가 가능함을 이해할 수 있을 것이다.
전술한 발명에 대한 권리범위는 이하의 특허청구범위에서 정해지는 것으로써, 명세서 본문의 기재에 구속되지 않으며, 청구범위의 균등 범위에 속하는 변형과 변경은 모두 본 발명의 범위에 속할 것이다.
10 : 방화벽 시스템 100 : 방화벽 장치
110 : 방화벽 모듈 120 : 식별 엔진
130,170 : 규칙 저장부 140 : SSL 프록시
150 : 파일 모듈 160 : 파일 매칭부
180,210 : 송수신 모듈 200 : 분석 장치
220 : 분석 모듈 2301,2302,230i : 가상 서버
240 : 위협 탐지부

Claims (18)

  1. 어플리케이션을 분석하기 위한 제 1시그니처들, 악성 파일들에 대응하여 설정되는 제 2시그니처들을 이용하여 패킷들을 허용하거나 차단하기 위한 방화벽 장치와;
    상기 방화벽 장치로부터 파일을 공급받고, 상기 파일이 악성 파일로 판단되는 경우 상기 파일을 기초로 제 2시그니처를 생성하여 상기 방화벽 장치에 등록하기 위한 분석 장치를 구비하는 것을 특징으로 하는 방화벽 시스템.
  2. 제 1항에 있어서,
    상기 방화벽 장치는 상기 패킷들의 시그니처가 상기 제 2시그니처들 중 어느 하나로 판단되는 경우 상기 패킷들을 차단하는 것을 특징으로 하는 방화벽 시스템.
  3. 제 1항에 있어서,
    상기 방화벽 장치는
    미리 설정된 정책에 대응하여 상기 패킷들을 허용하거나 차단하기 위한 방화벽 모듈과;
    상기 제 1시그니처들 및 제 2시그니처들이 저장되는 제 1규칙 저장부와;
    상기 제 1규칙 저장부를 참조하여 상기 패킷들의 어플리케이션 식별정보를 상기 방화벽 모듈로 공급하며, 상기 패킷들이 파일로 판단되는 경우 파일 식별정보를 생성하기 위한 식별 엔진과;
    상기 분석 장치로 공급될 파일 포맷들이 저장되는 제 2규칙 저장부와;
    상기 파일 식별정보가 공급되는 경우 상기 패킷들에 대응하여 상기 파일을 생성하기 위한 파일 모듈을 구비하는 것을 특징으로 하는 방화벽 시스템.
  4. 제 3항에 있어서,
    상기 방화벽 장치는
    상기 파일 모듈과 상기 제 2규칙 저장부 사이에 위치되며, 상기 파일 모듈에서 생성된 상기 파일의 확장자가 상기 파일 포맷들에 포함되는지를 판단하기 위한 파일 매칭부를 더 구비하는 것을 특징으로 하는 방화벽 시스템.
  5. 제 4항에 있어서,
    상기 파일 모듈은 상기 파일의 확장자가 상기 파일 포맷에 포함되는 경우, 상기 파일을 상기 분석 장치로 공급하는 것을 특징으로 하는 방화벽 시스템.
  6. 제 3항에 있어서,
    상기 방화벽 장치는
    상기 파일 모듈과 접속되며, 상기 분석장치와 정보를 송수신하기 위한 제 1송수신 모듈을 더 구비하는 것을 특징으로 하는 방화벽 시스템.
  7. 제 3항에 있어서,
    상기 방화벽 장치는
    상기 패킷이 암호화된 경우, 복호화하여 상기 식별엔진으로 공급하기 위한 SSL 프록시를 더 구비하는 것을 특징으로 하는 방화벽 시스템.
  8. 제 3항에 있어서,
    상기 분석 장치는
    서로 다른 운영체제(OS)를 가지는 복수의 가상 서버들과;
    상기 파일의 운영체제를 분석하고, 분석된 상기 운영체제에 대응하여 상기 파일을 상기 가상 서버들 중 어느 하나로 공급하기 위한 분석 모듈을 구비하는 것을 특징으로 하는 방화벽 시스템.
  9. 제 8항에 있어서,
    상기 분석 모듈은 상기 파일이 상기 가상 서버들 중 어느 하나에 설치될 때, 상기 운영체제의 설정을 변경하는 경우 상기 파일을 상기 악성 파일로 판단하는 것을 특징으로 하는 방화벽 시스템.
  10. 제 9항에 있어서,
    상기 분석 모듈은 상기 파일이 상기 악성 파일로 판단되는 경우 상기 파일에 대응한 상기 제 2시그니처를 생성하여 상기 방화벽 장치로 전송하는 것을 특징으로 하는 방화벽 시스템.
  11. 제 9항에 있어서,
    상기 운영체제의 설정을 변경하는 경우는
    상기 파일 실행 시 시스템 폴더에 실행 파일을 생성하는 경우, API 함수의 수행 내역을 검사하는 경우, 레지스터 정보를 변경하는 경우 중 적어도 하나를 포함하는 것을 특징으로 하는 방화벽 시스템.
  12. 제 9항에 있어서,
    상기 파일이 상기 가상 서버들 중 어느 하나에 설치될 때 상기 분석 장치에서 생성되는 패킷을 감지하고, 비정상 행위가 발생되는 경우 상기 파일을 상기 악성 파일로 판단하기 위한 위협 탐지부를 더 구비하는 것을 특징으로 하는 방화벽 시스템.
  13. 제 12항에 있어서,
    상기 비정상 행위는 외부에서 악성 코드가 전송되는 경우, 상기 파일에 악성 코드가 포함되는 경우 중 적어도 하나를 포함하는 것을 특징으로 하는 방화벽 시스템.
  14. 제 8항에 있어서,
    상기 분석 장치는
    상기 분석 모듈과 접속되며, 상기 방화벽 장치와 정보를 송수신하기 위한 제 2송수신 모듈을 더 구비하는 것을 특징으로 하는 방화벽 시스템.
  15. 방화벽 모듈로 공급되는 패킷들을 이용하여 파일을 생성하는 단계와,
    상기 파일을 서로 다른 운영체제를 가지는 복수의 가상 서버들 중 상응하는 가상 서버에 설치하는 단계와,
    상기 파일 설치 시 상기 상응하는 가상 서버의 운영체제의 설정을 변경하는 경우 상기 파일을 악성 파일로 판단하고, 상기 패킷들을 차단하는 단계를 포함하는 것을 특징으로 하는 방화벽 시스템의 구동방법.
  16. 제 15항에 있어서,
    상기 운영체제의 설정을 변경하는 경우는
    상기 파일 실행 시 시스템 폴더에 실행 파일을 생성하는 경우, API 함수의 수행 내역을 검사하는 경우, 레지스터 정보를 변경하는 경우 중 적어도 하나를 포함하는 것을 특징으로 하는 방화벽 시스템의 구동방법.
  17. 제 15항에 있어서,
    상기 파일 설치 시 발생되는 패킷들을 감지하고, 비정상 행위가 발생되는 경우 상기 파일을 상기 악성 파일로 판단하는 단계를 더 포함하는 것을 특징으로 하는 방화벽 시스템의 구동방법.
  18. 제 17항에 있어서,
    상기 비정상 행위는 외부에서 악성 코드가 전송되는 경우, 상기 파일에 악성 코드가 포함되는 경우 중 적어도 하나를 포함하는 것을 특징으로 하는 방화벽 시스템의 구동방법.
KR1020150184648A 2015-12-23 2015-12-23 방화벽 시스템 및 그의 구동방법 KR101749074B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150184648A KR101749074B1 (ko) 2015-12-23 2015-12-23 방화벽 시스템 및 그의 구동방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150184648A KR101749074B1 (ko) 2015-12-23 2015-12-23 방화벽 시스템 및 그의 구동방법

Publications (1)

Publication Number Publication Date
KR101749074B1 true KR101749074B1 (ko) 2017-06-21

Family

ID=59281889

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150184648A KR101749074B1 (ko) 2015-12-23 2015-12-23 방화벽 시스템 및 그의 구동방법

Country Status (1)

Country Link
KR (1) KR101749074B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101089023B1 (ko) * 2010-08-06 2011-12-01 삼성에스디에스 주식회사 스마트 카드, 및 이를 이용한 안티-바이러스 시스템 및 스캐닝 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101089023B1 (ko) * 2010-08-06 2011-12-01 삼성에스디에스 주식회사 스마트 카드, 및 이를 이용한 안티-바이러스 시스템 및 스캐닝 방법

Similar Documents

Publication Publication Date Title
US11632396B2 (en) Policy enforcement using host information profile
US7703138B2 (en) Use of application signature to identify trusted traffic
JP6106780B2 (ja) マルウェア解析システム
US8863288B1 (en) Detecting malicious software
US9621544B2 (en) Computer implemented method of analyzing X.509 certificates in SSL/TLS communications and the data-processing system
US10129286B2 (en) Zero day threat detection using host application/program to user agent mapping
US10757135B2 (en) Bot characteristic detection method and apparatus
AU2012259113A1 (en) Malware analysis system
KR101772681B1 (ko) 방화벽 장치 및 그의 구동방법
KR20120137326A (ko) 악성도메인을 검출하기 위한 방법 및 장치
US20050259657A1 (en) Using address ranges to detect malicious activity
WO2017217247A1 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
US9705898B2 (en) Applying group policies
KR101749074B1 (ko) 방화벽 시스템 및 그의 구동방법
KR101772683B1 (ko) 방화벽 장치 및 그의 구동방법
KR20110060859A (ko) 통합 보안 게이트웨이 장치

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant