KR101925314B1 - Security system and method for handling access requests to blocked sites - Google Patents

Security system and method for handling access requests to blocked sites Download PDF

Info

Publication number
KR101925314B1
KR101925314B1 KR1020160148534A KR20160148534A KR101925314B1 KR 101925314 B1 KR101925314 B1 KR 101925314B1 KR 1020160148534 A KR1020160148534 A KR 1020160148534A KR 20160148534 A KR20160148534 A KR 20160148534A KR 101925314 B1 KR101925314 B1 KR 101925314B1
Authority
KR
South Korea
Prior art keywords
blocked
destination address
security server
client terminal
address
Prior art date
Application number
KR1020160148534A
Other languages
Korean (ko)
Other versions
KR20180051781A (en
Inventor
박형배
강경태
Original Assignee
주식회사 수산아이앤티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 수산아이앤티 filed Critical 주식회사 수산아이앤티
Priority to KR1020160148534A priority Critical patent/KR101925314B1/en
Priority to PCT/KR2017/008937 priority patent/WO2018088680A1/en
Publication of KR20180051781A publication Critical patent/KR20180051781A/en
Application granted granted Critical
Publication of KR101925314B1 publication Critical patent/KR101925314B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하고, 패킷으로부터 목적지 주소를 추출하고, 목적지 주소가 차단된 주소인지 확인하여 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 클라이언트 단말로 송신함으로써, 클라이언트 단말의 사용자에게 현재 차단된 사이트임을 고지시키고 그럼에도 접속할 것인지를 확인하는 보안 시스템 및 방법에 관한 것이다.The present invention can be applied to a case where a client terminal is mirrored with a packet passing through a network equipment connected thereto, extracts a destination address from the packet, confirms whether the destination address is blocked, Generating a blocking message and transmitting the blocking message to the client terminal, thereby notifying the user of the client terminal that the site is currently blocked and confirming whether or not to connect to the client terminal.

Description

차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법{Security system and method for handling access requests to blocked sites}Technical Field [0001] The present invention relates to a security system and a method for handling access requests to a blocked site,

이하의 일 실시 예들은 악성 사이트를 차단하는 보안 시스템 및 방법에 관한 것으로, 악성코드를 포함한 사이트를 차단한 후에 차단된 사이트로의 접속 요청을 처리하는 기술에 관한 것이다.One embodiment of the present invention relates to a security system and method for blocking a malicious site, and more particularly, to a technique for processing a request for access to a blocked site after blocking a site containing malicious code.

최근 웹 사이트를 통해 악성코드를 유포하는 공격이 발생하고 있는데, 이러한 악성코드들은 사용자가 인식 할 수 없는 상태에서 다운로드 되고 실행되어 큰 위협이 되고 있다. 이렇게 감염된 사용자의 PC(personal computer)는 공인 인증서나 개인정보와 같은 중요 정보를 유출하거나 봇(Bot)이 되어 공격자의 명령에 따라 공격을 대신 수행함으로써 2차 피해를 발생시키게 된다.Recently, malicious codes are spreading through websites, and these malicious codes are being downloaded and executed in a state that the user can not recognize, which is a big threat. The infected user's personal computer (PC) leaks important information such as an official certificate or personal information, or becomes a bot, causing secondary damage by performing an attack instead of an attacker's command.

따라서 이러한 위협으로부터 사용자의 PC(personal computer)를 보호하기 위해 네트워크 상의 웹사이트를 이용하여 전파되는 악성 프로그램의 공격을 탐지하고 차단하는 기술들이 개발되고 적용되고 있다.Therefore, technologies to detect and block attacks of malicious programs using web sites on the network have been developed and applied to protect the user's personal computer from such threats.

하지만, 악성 사이트를 차단하는 기존의 대부분의 기술들은 악성 사이트를 검색하면 해당 악성 사이트를 일정기간 차단함으로써, 이를 이용하고자 하는 사용자가 해당 사이트에 포함된 악성코드가 치료되었음에도 차단이 계속되어 해당 사이트를 이용하지 못하고 차단 장치를 관리하는 관리자에게 차단을 해지하도록 요청하는 문제가 발생하였다.However, most existing technologies that block malicious sites are designed to block malicious sites for a certain period of time if a malicious site is searched, and the users who want to use them will continue to block the malicious code included in the site A problem has arisen that the administrator who manages the blocking device can not use it and requests the administrator to cancel the blocking.

또한, 악성코드를 포함하고 있는 사이트이지만, 중요업무로 인해 부득이하게 해당 사이트에 접속을 해야만 하는 경우에도 차단으로 인해서 접속을 하지 못하는 문제가 발생하기도 한다.In addition, although the site contains malicious code, even if it is necessary to access the site due to important business, there is a problem that the user can not access due to blocking.

따라서, 악성 사이트로 차단된 이후에도 사용자의 요청에 따라서는 해당 사이트로의 접속을 허용할 수 있는 방법이 요구된다.Therefore, even after being blocked by a malicious site, a method is required to allow access to the site according to a user's request.

본 발명은 상기와 같은 종래 기술의 문제점을 해결하고자 도출된 것으로서, 악성코드를 포함한 사이트를 차단한 후에 차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법을 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION It is an object of the present invention to provide a security system and method for processing a connection request to a blocked site after blocking a site including a malicious code.

구체적으로, 본 발명은 차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법에 관한 것으로, 클라이언트 단말이 차단된 사이트로 패킷을 전송함을 감지하면, 클라이언트 단말로 접속허용 버튼을 포함하는 차단 메시지를 생성해서 송신함으로써 사용자에게 차단된 사이트임을 고지시키고, 그럼에도 접속을 요청하는 경우 차단된 사이트로 접속할 수 있도록 함으로써, 사용자의 의도를 반영할 수 있는 방법을 제공하는 것을 목적으로 한다.More particularly, the present invention relates to a security system and a method for processing a connection request to a blocked site. When a client terminal detects that a packet is transmitted to a blocked site, a blocking message The user is notified of the blocked site, and when the user requests the connection, the user can access the blocked site, thereby providing a method of reflecting the intention of the user.

상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법은, 보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 단계; 상기 보안 서버에서 상기 패킷으로부터 목적지 주소를 추출하는 단계; 상기 보안 서버에서 상기 목적지 주소가 차단된 주소인지 확인하는 단계; 및 상기 보안 서버에서 상기 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 상기 클라이언트 단말로 송신하는 단계를 포함한다.According to an aspect of the present invention, there is provided a method of processing a connection request to a blocked site in a security server, the method comprising: mirroring a packet through a network device to which a client terminal is connected in a security server; ; Extracting a destination address from the packet at the security server; Checking whether the destination address is blocked in the security server; And generating a blocking message including a connection permission button and transmitting the blocking message to the client terminal if the destination address is the blocked address in the security server.

이때, 상기 차단 메시지는, 차단이 된 이유, 차단된 시각 및 차단이 해제되기까지 남은 시간 중에서 적어도 하나를 더 포함할 수 있다.At this time, the blocking message may further include at least one of a reason for the blocking, a blocked time, and a remaining time until the blocking is canceled.

이때, 상기 보안 서버에서 상기 목적지 주소가 차단된 주소인지 확인하는 단계는, 상기 목적지 주소가 차단되고 기설정된 기간을 경과하지 않은 경우 차단된 주소로 판단하는 단계를 포함할 수 있다.The checking whether the destination address is the blocked address in the security server may include determining that the destination address is a blocked address when the destination address is blocked and the predetermined period has not elapsed.

이때, 상기 접속허용 버튼은, 상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 상기 클라이언트 단말의 정보를 상기 보안 서버로 송신하는 버튼일 수 있다.In this case, the connection permission button may be a button for transmitting URL information including information for confirming that the request is a request to ignore blocking to the URL of the destination address, and information of the client terminal to the security server.

이때, 차단된 사이트로의 접속 요청을 처리하는 방법은, 상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는 단계를 더 포함할 수 있다.The method of processing a connection request to a blocked site may further include a step of not blocking the packet transmitted to the destination address by the client terminal for a predetermined period upon detecting that the connection permission button is input have.

이때, 차단된 사이트로의 접속 요청을 처리하는 방법은, 상기 접속허용 버튼이 입력됨을 감지하면, 상기 목적지 주소에 악성 코드가 존재하는지 재검사하는 단계; 및 재검사 결과 악성 코드가 존재하지 않으면 차단을 해제하는 단계를 더 포함할 수 있다.The method of processing a connection request to a blocked site may include: re-inspecting whether a malicious code exists in the destination address when the connection permission button is input; And releasing the blocking if the malicious code does not exist as a result of the re-examination.

이때, 차단된 사이트로의 접속 요청을 처리하는 방법은, 재검사 결과 악성 코드가 존재하면 상기 접속허용 버튼을 포함하는 2차 차단 메시지를 생성해서 상기 보안 서버로 송신하는 단계; 및 상기 2차 차단 메시지에 포함된 상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는 단계를 더 포함할 수 있다.The method for processing a connection request to a blocked site may include generating a second blocking message including the connection permission button if the malicious code exists as a result of the re-examination, and transmitting the second blocking message to the security server; And blocking the packet transmitted from the client terminal to the destination address for a predetermined period when the connection permission button included in the secondary blocking message is input.

이때, 차단된 사이트로의 접속 요청을 처리하는 방법은, 상기 목적지 주소가 차단된 주소로 설정된지 기설정된 시간이 경과되면, 상기 목적지 주소의 차단을 해제하는 단계를 더 포함할 수 있다.In this case, the method for processing the access request to the blocked site may further include a step of unblocking the destination address when the predetermined time has elapsed after the destination address is set as the blocked address.

본 발명의 일 실시 예에 따른 보안 서버는, 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 미러링부; 및 상기 패킷으로부터 목적지 주소를 추출하고, 상기 목적지 주소가 차단된 주소인지 확인하고, 상기 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 상기 클라이언트 단말로 송신하는 차단 처리부를 포함한다.A security server according to an embodiment of the present invention includes a mirroring unit for mirroring a packet through a network equipment to which a client terminal is connected; And a blocking processing unit for generating a blocking message including a connection permission button and transmitting the blocking message to the client terminal if the destination address is a blocked address, if the destination address is blocked, extracting a destination address from the packet, .

이때, 상기 접속허용 버튼은, 상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 상기 클라이언트 단말의 정보를 상기 보안 서버로 송신하는 버튼일 수 있다.In this case, the connection permission button may be a button for transmitting URL information including information for confirming that the request is a request to ignore blocking to the URL of the destination address, and information of the client terminal to the security server.

이때, 보안 서버는, 상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는 접속요청 처리부를 더 포함할 수 있다.In this case, the security server may further include a connection request processing unit that does not block the packet transmitted to the destination address by the client terminal for a predetermined period, when the security terminal detects that the connection permission button is input.

이때, 보안 서버는 상기 접속허용 버튼이 입력됨을 감지하면, 상기 목적지 주소에 악성 코드가 존재하는지 재검사하고, 재검사 결과 악성 코드가 존재하지 않으면 차단을 해제하는 접속요청 처리부를 더 포함할 수 있다.In this case, the security server may further include a connection request processor for re-examining whether the malicious code exists in the destination address when the connection permission button is input, and canceling the blocking if the malicious code does not exist as a result of the re-examination.

이때, 상기 접속요청 처리부는, 재검사 결과 악성 코드가 존재하면 상기 접속허용 버튼을 포함하는 2차 차단 메시지를 생성해서 상기 보안 서버로 송신하고, 상기 2차 차단 메시지에 포함된 상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않을 수 있다.At this time, if the malicious code is found as a result of the re-examination, the connection request processing unit generates a secondary blocking message including the connection permission button and transmits the secondary blocking message to the security server, and if the connection allowing button included in the secondary blocking message is input The client terminal may not block the packet transmitted to the destination address for a preset period of time.

본 발명은 차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법에 관한 것으로 클라이언트 단말이 차단된 사이트로 패킷을 전송함을 감지하면, 클라이언트 단말로 접속허용 버튼을 포함하는 차단 메시지를 생성해서 송신함으로써 사용자에게 차단된 사이트임을 고지시키면서도 클라이언트 단말의 사용자가 계속해서 접속을 요청하는 경우에 접속할 수 있도록 할 수 있다.The present invention relates to a security system and a method for processing a connection request to a blocked site. When a client terminal detects that a packet is transmitted to a blocked site, it generates a blocking message including a connection permission button to the client terminal, Thereby allowing the user of the client terminal to access the server when the client terminal continuously requests the connection while notifying the user that the site is blocked.

도 1은 본 발명의 일 실시 예에 따른 보안 시스템의 개략적인 구성을 도시한 도면이다.
도 2는 본 발명의 일 실시 예에 따른 보안 시스템의 보안 서버의 구성을 도시한 도면이다.
도 3은 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 과정의 일 예를 도시한 흐름도이다.
도 4는 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 과정의 다른 예를 도시한 흐름도이다.
도 5는 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 과정의 또 다른 예를 도시한 흐름도이다.
도 6은 본 발명의 일 실시 예에 따른 보안 서버에서 생성하는 차단 메시지의 예를 도시한 도면이다.FIG. 1 is a diagram showing a schematic configuration of a security system according to an embodiment of the present invention.
2 is a block diagram illustrating a security server of a security system according to an exemplary embodiment of the present invention.
3 is a flowchart illustrating an example of a process of processing a connection request to a blocked site in a security server according to an embodiment of the present invention.
4 is a flowchart illustrating another example of a process of processing a connection request to a blocked site in a security server according to an embodiment of the present invention.
5 is a flowchart illustrating another example of a process of processing a connection request to a blocked site in a security server according to an embodiment of the present invention.
6 is a diagram illustrating an example of a blocking message generated in the security server according to an embodiment of the present invention.

본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.It is to be understood that the specific structural or functional descriptions of embodiments of the present invention disclosed herein are only for the purpose of illustrating embodiments of the inventive concept, But may be embodied in many different forms and should not be construed as limited to the embodiments set forth herein.

본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 변경, 균등물, 또는 대체물을 포함한다.Embodiments in accordance with the concepts of the present invention are capable of various modifications and may take various forms, so that the embodiments are illustrated in the drawings and described in detail herein. However, it is not intended to limit the embodiments according to the concepts of the present invention to the specific disclosure forms, but includes changes, equivalents, or alternatives falling within the spirit and scope of the present invention.

제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만, 예를 들어 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.The terms first, second, or the like may be used to describe various elements, but the elements should not be limited by the terms. The terms may be named for the purpose of distinguishing one element from another, for example without departing from the scope of the right according to the concept of the present invention, the first element being referred to as the second element, Similarly, the second component may also be referred to as the first component.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 표현들, 예를 들어 "~사이에"와 "바로~사이에" 또는 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between. Expressions that describe the relationship between components, for example, "between" and "immediately" or "directly adjacent to" should be interpreted as well.

본 명세서에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In this specification, the terms " comprises ", or " having ", and the like, are used to specify one or more other features, numbers, steps, operations, elements, But do not preclude the presence or addition of steps, operations, elements, parts, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the meaning of the context in the relevant art and, unless explicitly defined herein, are to be interpreted as ideal or overly formal Do not.

이하, 실시 예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 특허출원의 범위가 이러한 실시 예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the scope of the patent application is not limited or limited by these embodiments. Like reference symbols in the drawings denote like elements.

이하에서는, 본 발명의 일 실시 예에 따른 차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법을 첨부된 도 1 내지 도 6을 참조하여 상세히 설명한다.Hereinafter, a security system and method for processing a connection request to a blocked site according to an exemplary embodiment of the present invention will be described in detail with reference to FIGS. 1 to 6. FIG.

도 1은 본 발명의 일 실시 예에 따른 보안 시스템의 개략적인 구성을 도시한 도면이다.FIG. 1 is a diagram showing a schematic configuration of a security system according to an embodiment of the present invention.

도 1을 참조하면, 보안 서버(130)는 탭(TAP)(120)을 통해서 클라이언트 단말(110)이 연결된 네트워크 장비에 연결되어 네트워크 장비를 통하는 DNS 쿼리 패킷(DNS query packet)을 미러링할 수 있다. 보안 서버(130)는 차단하는 사이트의 URL(uniform resource locator) 리스트를 저장할 수 있다. 이때, 클라이언트 단말(110)은 적어도 하나 이상의 클라이언트가 인터넷(100)에 접속될 수 있다. 예를 들면, 클라이언트는 PC, 스마트 폰과 같은 단말이 될 수 있다. Referring to FIG. 1, the security server 130 may be connected to a network device to which the client terminal 110 is connected through a tap (TAP) 120 to mirror a DNS query packet through the network equipment . The security server 130 may store a URL (uniform resource locator) list of sites to be blocked. At this time, the client terminal 110 may be connected to the Internet 100 by at least one client. For example, the client may be a terminal such as a PC or a smart phone.

보안 서버(130)는 클라이언트 단말(110)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하고, 패킷으로부터 목적지 주소를 추출하고, 목적지 주소가 차단된 주소인지 확인하여 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 클라이언트 단말(110)로 송신할 수 있다.The security server 130 mirrors a packet passing through the network equipment to which the client terminal 110 is connected and extracts a destination address from the packet. If the destination address is blocked, A blocking message including a connection permission button can be generated and transmitted to the client terminal 110. [

보안 서버(130)의 구체적인 구성과 그 동작은 이후 도 2에서 도 6을 참조해서 보다 상세히 후술한다.The specific configuration of the security server 130 and its operation will be described later in more detail with reference to FIG. 2 to FIG.

도 2는 본 발명의 일 실시 예에 따른 보안 시스템의 보안 서버의 구성을 도시한 도면이다.2 is a block diagram illustrating a security server of a security system according to an exemplary embodiment of the present invention.

도 2를 참조하면, 본 발명의 보안 서버(130)는 제어부(210), 미러링부(212), 차단 처리부(214), 접속요청 처리부(216), 통신부(220) 및 저장부(230)를 이용해서 차단된 사이트로의 접속 요청을 처리할 수 있다.2, the security server 130 of the present invention includes a control unit 210, a mirroring unit 212, a blocking processing unit 214, a connection request processing unit 216, a communication unit 220, and a storage unit 230 A request for access to a blocked site can be processed.

통신부(220)는 수신기(Receiver)와 송신기(transmitter)를 포함하는 통신 인터페이스 장치로서 유선 또는 무선으로 데이터를 송수신한다. 통신부(220)는 탭(TAP)(120)을 통해서 네트워크와 연결되어 클라이언트 단말(110)과 인터넷(100) 간에 송수신되는 패킷을 미러링하여 수신할 수 있고, 클라이언트 단말(110)로 차단 메시지를 송신할 수도 있다.The communication unit 220 is a communication interface device including a receiver and a transmitter, and transmits and receives data by wire or wireless. The communication unit 220 may be connected to the network through a tap (TAP) 120 to mirror and receive packets transmitted and received between the client terminal 110 and the Internet 100, and transmit a blocking message to the client terminal 110 You may.

저장부(230)는 보안 서버(130)의 전반적인 동작을 제어하기 위한 운영체제, 응용 프로그램 및 저장용 데이터를 저장한다. 또한, 저장부(230)는 본 발명에 따라 차단된 사이트의 정보를 관리할 수 있다. 이때, 차단된 사이트의 정보는 차단된 사이트의 주소(예를 들어 URL)를 포함하고, 추가로 차단이 된 이유, 차단된 시각 및 차단이 해제되기까지 남은 시간 등의 정보를 더 포함할 수 있다.The storage unit 230 stores an operating system, an application program, and storage data for controlling the overall operation of the security server 130. [ Also, the storage unit 230 can manage the information of the blocked sites according to the present invention. At this time, the information of the blocked site includes the address (for example, URL) of the blocked site, and may further include information such as the reason for the blocking, the blocked time, and the time remaining until the blocking is released .

미러링부(212)는 통신부(220)를 제어해서 클라이언트 단말(110)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하여 차단 처리부(214)로 제공할 수 있다.The mirroring unit 212 may control the communication unit 220 to mirror a packet through the network equipment to which the client terminal 110 is connected and provide the packet to the blocking processing unit 214.

차단 처리부(214)는 미러링하여 수신된 패킷으로부터 목적지 주소를 추출하고, 목적지 주소가 차단된 주소인지 확인하고, 목적지 주소가 차단된 주소이면, 아래 도 6의 예와 같이 접속허용 버튼을 포함하는 차단 메시지를 생성해서 클라이언트 단말로 송신할 수 있다. 이때, 차단 처리부(214)는 목적지 주소가 차단되고 기설정된 기간을 경과하지 않은 경우에 차단된 주소로 판단할 수 있다.The blocking processing unit 214 extracts the destination address from the received packet by mirroring, verifies whether the destination address is the blocked address, and if the destination address is the blocked address, Message can be generated and transmitted to the client terminal. At this time, the blocking processing unit 214 can determine that the address is blocked if the destination address is blocked and the predetermined period has not elapsed.

도 6은 본 발명의 일 실시 예에 따른 보안 서버에서 생성하는 차단 메시지의 예를 도시한 도면이다.6 is a diagram illustrating an example of a blocking message generated in the security server according to an embodiment of the present invention.

도 6을 참조하면, 차단 메시지(600)는 차단이 된 이유 및 접속을 하는 경우 발생할 수 있는 문제에 관한 설명에 더해서 접속허용 버튼(610)을 포함할 수 있다. 접속허용 버튼은 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 클라이언트 단말의 정보를 보안 서버로 송신하는 버튼이다.Referring to FIG. 6, the blocking message 600 may include a connection allowance button 610 in addition to a reason for the blocking and a description of a problem that may occur when making a connection. The connection permission button is a button for transmitting URL information including information for confirming that the request is a request to ignore blocking to the URL of the destination address and information of the client terminal to the security server.

접속허용 버튼이 입력되면 기존의 악성 사이트의 URL 주소에 접속을 허용하는 특수기호를 삽입함으로써 차단을 무시하는 요청임을 보안 서버(110)에서 확인할 수 있도록 하는 새로운 URL 주소를 생성할 수 있다.If a connection permission button is input, a special symbol allowing a connection to a URL address of an existing malicious site is inserted, thereby generating a new URL address allowing the security server 110 to confirm that the request is ignoring the blocking.

예 1) http://차단장비주소/removemalwareurl?악성코드URLExample 1) http: // block device address / removemalwareurl? Malware URL

여기서, "악성코드URL"는 클라이언트 단말(110)이 접속하고자 하는 악성 코드를 포함하는 악성 사이트의 주소이고, "http://차단장비주소/removemalwareurl?"는 차단을 무시하는 요청임을 확인할 수 있는 정보에 해당한다.Here, the " malware URL " is an address of a malicious site including a malicious code to be accessed by the client terminal 110, and " http: // blocker address / removemalwareurl? Information.

예 2) 악성코드URL/####Example 2) Malware URL / ####

여기서, "악성코드URL"는 클라이언트 단말(110)이 접속하고자 하는 악성 코드를 포함하는 악성 사이트의 주소이고, "####"는 차단을 무시하는 요청임을 확인할 수 있는 정보에 해당한다.Here, the " malicious code URL " corresponds to the address of the malicious site including the malicious code to be accessed by the client terminal 110, and "#### "

한편, 차단 메시지(600)는 도 6에는 도시되지 않았지만, 언제 차단되었는지를 알려주는 차단된 시각 정보 또는 차단이 해제되기까지 남은 시간에 관한 정보를 더 포함할 수도 있다.6, the blocking message 600 may further include blocked time information indicating when the blocking message 600 is blocked, or information on a time remaining until the blocking is released.

다시 도 2의 설명으로 돌아와서, 접속요청 처리부(216)는 접속허용 버튼이 입력됨을 감지하면, 클라이언트 단말(110)이 목적지 주소로 송신하는 패킷을 기설정된 기간인 차단해제 기간 동안 차단하지 않는다.Returning to the description of FIG. 2, when the connection request processing unit 216 detects that the connection permission button is input, the client terminal 110 does not block the packet transmitted to the destination address during the unblocking period of a predetermined period.

다른 방법으로 접속요청 처리부(216)는 접속허용 버튼이 입력됨을 감지하면, 목적지 주소에 악성 코드가 존재하는지 재검사하고, 재검사 결과 악성 코드가 존재하지 않으면 차단을 해제할 수도 있다.Alternatively, if the connection request processing unit 216 detects that a connection permission button is input, the connection request processing unit 216 may re-check whether a malicious code exists in the destination address, and may cancel the blocking if the malicious code does not exist as a result of the re-examination.

이때, 접속요청 처리부(216)는 재검사 결과 악성 코드가 존재하면 접속허용 버튼을 포함하는 2차 차단 메시지를 생성해서 보안 서버(130)로 송신하고, 2차 차단 메시지에 포함된 접속허용 버튼이 입력됨을 감지하면, 클라이언트 단말(110)이 목적지 주소로 송신하는 패킷을 기설정된 기간인 차단해제 기간 동안 차단하지 않을 수 있다.At this time, the connection request processing unit 216 generates a secondary blocking message including a connection permission button if the malicious code exists as a result of the retest, and transmits the secondary blocking message to the security server 130. If the connection allowing button included in the secondary blocking message is input The client terminal 110 may not block the packet transmitted to the destination address during the unblocking period of a predetermined period.

한편, 접속요청 처리부(216)는 악성 코드의 유무를 재검사함을 여러 클라이언트 단말의 요청에 의해 빈번하게 발생하는 것을 방지하기 위해서 기설정한 검사 기간을 경과한 경우에만 악성코드의 재검사를 수행하도록 할 수도 있다.On the other hand, the connection request processing unit 216 performs rescanning of the malicious code only after a predetermined inspection period has elapsed in order to prevent the frequent occurrence of the malicious code in response to requests from the various client terminals It is possible.

제어부(210)는 보안 서버(130)의 전반적인 동작을 제어할 수 있다. 그리고, 제어부(210)는 미러링부(212), 차단 처리부(214) 및 접속요청 처리부(216)의 기능을 수행할 수 있다. 제어부(1210), 미러링부(212), 차단 처리부(214) 및 접속요청 처리부(216)를 구분하여 도시한 것은 각 기능들을 구별하여 설명하기 위함이다. 따라서 제어부(210)는 미러링부(212), 차단 처리부(214) 및 접속요청 처리부(216) 각각의 기능을 수행하도록 구성된(configured) 적어도 하나의 프로세서를 포함할 수 있다. 또한, 제어부(210)는 미러링부(212), 차단 처리부(214) 및 접속요청 처리부(216) 각각의 기능 중 일부를 수행하도록 구성된(configured) 적어도 하나의 프로세서를 포함할 수 있다.The control unit 210 may control the overall operation of the security server 130. The control unit 210 may perform the functions of the mirroring unit 212, the blocking processing unit 214, and the connection request processing unit 216. The control unit 1210, the mirroring unit 212, the blocking processing unit 214, and the connection request processing unit 216 are separately shown to distinguish the respective functions. The control unit 210 may include at least one processor configured to perform the functions of the mirroring unit 212, the blocking processing unit 214 and the connection request processing unit 216, respectively. The control unit 210 may include at least one processor configured to perform some of the functions of the mirroring unit 212, the blocking processing unit 214 and the connection request processing unit 216, respectively.

한편, 차단 처리부(214)는 목적지 주소가 차단된 주소로 설정된 후에 기설정된 시간인 차단 해제 시간을 경과하면, 목적지 주소의 차단을 해제한다. 이때, 차단 해제 시간은 해당 사이트에 포함된 악성코드를 치료했을 것이라고 예상되는 시간으로, 해당 사이트의 인지도에 따라 차등적으로 설정될 수 있다. 즉, 인지도가 높은 사이트 은행 관련 사이트의 경우는 차단 해제 시간을 1시간으로 설정하고, 인지도가 낮은 개인 블로그에 관련된 사이트의 경우는 차단 해제시간을 1주일로 설정할 수 있다.On the other hand, the blocking processing unit 214 cancels the blocking of the destination address when the blocking canceling time, which is a preset time, has elapsed after the destination address is set to the blocked address. At this time, the unblocking time is a time that is supposed to have treated the malicious code included in the site, and can be set differentially according to the recognition of the site. That is, the unblocking time can be set to one hour in the case of a site bank related site having high recognition, and the unblocking time can be set to one week in the case of a site related to a low-recognition personal blog.

이하, 상기와 같이 구성된 본 발명에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법을 아래에서 도면을 참조하여 설명한다.Hereinafter, a method of processing a connection request to a blocked site in the security server according to the present invention will be described with reference to the drawings.

도 3은 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 과정의 일 예를 도시한 흐름도이다.3 is a flowchart illustrating an example of a process of processing a connection request to a blocked site in a security server according to an embodiment of the present invention.

도 3을 참조하면, 보안 서버(130)는 클라이언트 단말(110)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링한다(310).Referring to FIG. 3, the security server 130 mirrors a packet through a network device to which the client terminal 110 is connected (310).

그리고, 보안 서버(130)는 미러링한 패킷으로부터 목적지 주소를 추출한다(312).Then, the security server 130 extracts the destination address from the mirrored packet (312).

그리고, 보안 서버(130)는 목적지 주소가 차단된 주소인지 확인한다(314).Then, the security server 130 confirms whether the destination address is the blocked address (314).

314단계의 확인결과 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 미러링한 패킷을 송신한 클라이언트 단말(110)로 송신한다(316). 이때, 접속허용 버튼은 상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 클라이언트 단말의 정보를 보안 서버(130)로 송신하는 버튼일 수 있다.If it is determined in step 314 that the destination address is the blocked address, a blocking message including a connection permission button is generated and the mirrored packet is transmitted to the transmitting client terminal 110 (316). At this time, the connection permission button may be a button for transmitting the URL information including the information for confirming that the request for ignoring the blocking to the URL of the destination address and the information of the client terminal to the security server 130.

이후, 보안 서버(130)는 접속허용 버튼이 입력됨을 감지하면(318), 클라이언트 단말(110)이 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않다(320).Thereafter, when the security server 130 detects that the connection permission button is input (318), the client terminal 110 does not block the packet transmitted to the destination address for a predetermined period of time (320).

도 4는 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 과정의 다른 예를 도시한 흐름도이다.4 is a flowchart illustrating another example of a process of processing a connection request to a blocked site in a security server according to an embodiment of the present invention.

도 4를 참조하면, 보안 서버(130)는 클라이언트 단말(110)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링한다(410).Referring to FIG. 4, the security server 130 mirrors a packet through a network device to which the client terminal 110 is connected (410).

그리고, 보안 서버(130)는 미러링한 패킷으로부터 목적지 주소를 추출한다(412).Then, the security server 130 extracts the destination address from the mirrored packet (412).

그리고, 보안 서버(130)는 목적지 주소가 차단된 주소인지 확인한다(414).Then, the security server 130 confirms whether the destination address is the blocked address (414).

414단계의 확인결과 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 미러링한 패킷을 송신한 클라이언트 단말(110)로 송신한다(416). 이때, 접속허용 버튼은 상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 클라이언트 단말의 정보를 보안 서버(130)로 송신하는 버튼일 수 있다.If it is determined in step 414 that the destination address is the blocked address, a blocking message including a connection permission button is generated, and the mirrored packet is transmitted to the transmitting client terminal 110 (step 416). At this time, the connection permission button may be a button for transmitting the URL information including the information for confirming that the request for ignoring the blocking to the URL of the destination address and the information of the client terminal to the security server 130.

이후, 보안 서버(130)는 접속허용 버튼이 입력됨을 감지하면(418), 목적지 주소에 악성 코드가 존재하는지 재검사하고(420), 목적지 주소에 악성 코드가 존재하는지 확인한다(422).Thereafter, when the security server 130 detects that the access permission button is input 418, the security server 130 checks whether a malicious code exists in the destination address 420 and checks whether a malicious code exists in the destination address 422.

422단계의 확인결과 악성 코드가 존재하지 않으면, 보안 서버(130)는 목적지 주소로의 차단을 해제한다(424).If it is determined in step 422 that the malicious code does not exist, the security server 130 cancels the blocking to the destination address (step 424).

한편, 422단계의 확인결과 악성 코드가 존재하면, 보안 서버(130)는 접속허용 버튼을 포함하는 2차 차단 메시지를 생성해서 보안 서버로 송신한다(426).On the other hand, if it is determined in step 422 that a malicious code exists, the security server 130 generates a secondary blocking message including a connection permission button and transmits the secondary blocking message to the security server (426).

그리고, 보안 서버(130)는 2차 차단 메시지에 포함된 접속허용 버튼이 입력됨을 감지되면(428), 클라이언트 단말(110)이 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는다(430).If it is detected in step 428 that the connection permission button included in the secondary blocking message is input, the security server 130 does not block 430 the packet transmitted to the destination address for a preset period of time .

도 5는 본 발명의 일 실시 예에 따른 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 과정의 또 다른 예를 도시한 흐름도이다.5 is a flowchart illustrating another example of a process of processing a connection request to a blocked site in a security server according to an embodiment of the present invention.

도 5를 참조하면, 보안 서버(130)는 클라이언트 단말(110)이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링한다(510).Referring to FIG. 5, the security server 130 mirrors a packet through a network device to which the client terminal 110 is connected (510).

그리고, 보안 서버(130)는 미러링한 패킷으로부터 목적지 주소를 추출한다(512).Then, the security server 130 extracts the destination address from the mirrored packet (512).

그리고, 보안 서버(130)는 목적지 주소가 차단된 주소인지 확인한다(514).Then, the security server 130 confirms whether the destination address is the blocked address (514).

514단계의 확인결과 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 미러링한 패킷을 송신한 클라이언트 단말(110)로 송신한다(416). 이때, 접속허용 버튼은 상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 클라이언트 단말의 정보를 보안 서버(130)로 송신하는 버튼일 수 있다.If it is determined in step 514 that the destination address is the blocked address, a blocking message including a connection permission button is generated and the mirrored packet is transmitted to the transmitting client terminal 110 (416). At this time, the connection permission button may be a button for transmitting the URL information including the information for confirming that the request for ignoring the blocking to the URL of the destination address and the information of the client terminal to the security server 130.

이후, 보안 서버(130)는 접속허용 버튼이 입력됨을 감지하면(518), 목적지 주소에 대한 악성코드의 존재유무를 검사한지 기설정된 검사기간이 경과 되었는지 확인한다(520).Thereafter, when the security server 130 detects that the connection permission button is input (518), the security server 130 checks whether a preset inspection period for checking whether a malicious code exists for the destination address has elapsed (520).

520단계의 확인결과 검사기간이 경과되지 않았으면, 보안 서버(130)는 클라이언트 단말(110)이 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는다(522).If it is determined in operation 520 that the inspection period has not elapsed, the security server 130 does not block 522 the packet transmitted to the destination address by the client terminal 110 for a preset period of time.

520단계의 확인결과 검사기간이 경과되었으면, 보안 서버(130)는 목적지 주소에 악성 코드가 존재하는지 재검사하고(524), 목적지 주소에 악성 코드가 존재하는지 확인한다(526).If it is determined in operation 520 that the scan period has elapsed, the security server 130 re-examines whether a malicious code exists in the destination address (524), and determines whether a malicious code exists in the destination address (526).

526단계의 확인결과 악성 코드가 존재하면, 보안 서버(130)는 상술한 516단계로 돌아가서 이후의 과정을 수행한다.If it is determined in step 526 that the malicious code exists, the security server 130 returns to step 516 and performs the following process.

526단계의 확인결과 악성 코드가 존재하지 않으면, 보안 서버(130)는 목적지 주소로의 차단을 해제한다(424).If it is determined in step 526 that the malicious code does not exist, the security server 130 cancels the blocking to the destination address (step 424).

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 실시 예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The apparatus described above may be implemented as a hardware component, a software component, and / or a combination of hardware components and software components. The apparatus and components described in the embodiments may be implemented, for example, as a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA) unit, a microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For ease of understanding, the processing apparatus may be described as being used singly, but those skilled in the art will recognize that the processing apparatus may have a plurality of processing elements and / As shown in FIG. For example, the processing unit may comprise a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as a parallel processor.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the foregoing, and may be configured to configure the processing device to operate as desired or to process it collectively or collectively Device can be commanded. The software and / or data may be in the form of any type of machine, component, physical device, virtual equipment, computer storage media, or device , Or may be permanently or temporarily embodied in a transmitted signal wave. The software may be distributed over a networked computer system and stored or executed in a distributed manner. The software and data may be stored on one or more computer readable recording media.

실시 예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시 예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced.

그러므로, 다른 구현들, 다른 실시 예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments and equivalents to the claims are within the scope of the following claims.

130; 보안 서버
210; 제어부
212; 미러링부
214; 차단 처리부
216; 접속요청 처리부
220; 통신부
230; 저장부130; Security server
210; The control unit
212; Mirroring part
214; Blocking processor
216; The connection request processing section
220; Communication section
230; The storage unit

Claims (14)

보안 서버에서 클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 단계;
상기 보안 서버에서 상기 패킷으로부터 목적지 주소를 추출하는 단계;
상기 보안 서버에서 상기 목적지 주소가 차단된 주소인지 확인하는 단계;
상기 보안 서버에서 상기 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 상기 클라이언트 단말로 송신하는 단계;
상기 접속허용 버튼이 입력됨을 감지하면, 상기 목적지 주소에 악성 코드가 존재하는지 재검사하는 단계; 및
재검사 결과 악성 코드가 존재하지 않으면 차단을 해제하는 단계
를 포함하는 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.
Mirroring a packet through a network device to which a client terminal is connected in the security server;
Extracting a destination address from the packet at the security server;
Checking whether the destination address is blocked in the security server;
Generating a blocking message including a connection permission button and transmitting the blocking message to the client terminal if the destination address is the blocked address in the security server;
Checking whether a malicious code exists in the destination address when detecting that the connection permission button is input; And
If the malicious code does not exist as a result of the re-examination, the step to unblock
The method comprising: receiving a request for access to a blocked site from a security server;
제1항에 있어서,
상기 차단 메시지는,
차단이 된 이유, 차단된 시각 및 차단이 해제되기까지 남은 시간 중에서 적어도 하나를 더 포함하는
보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.
The method according to claim 1,
The blocking message includes:
Further includes at least one of a reason for being blocked, a blocked time, and a time remaining until the blocking is released
How the security server handles requests to connect to blocked sites.
제1항에 있어서,
상기 보안 서버에서 상기 목적지 주소가 차단된 주소인지 확인하는 단계는,
상기 목적지 주소가 차단되고 기설정된 기간을 경과하지 않은 경우 차단된 주소로 판단하는 단계를 포함하는
보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.
The method according to claim 1,
Wherein the step of verifying whether the destination address is the blocked address in the security server comprises:
Determining that the address is a blocked address when the destination address is blocked and the predetermined period has not elapsed
How the security server handles requests to connect to blocked sites.
제1항에 있어서,
상기 접속허용 버튼은,
상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 상기 클라이언트 단말의 정보를 상기 보안 서버로 송신하는 버튼인
보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.
The method according to claim 1,
The connection allowing button
The URL information including the information for confirming that the request for ignoring the blocking is included in the URL of the destination address and the button for transmitting the information of the client terminal to the security server
How the security server handles requests to connect to blocked sites.
제4항에 있어서,
상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는 단계
를 더 포함하는 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.
5. The method of claim 4,
When the client terminal detects that the connection permission button is input, does not block the packet transmitted to the destination address for a predetermined period
The method comprising: receiving a request for access to a blocked site from a secure server;
삭제delete 제1항에 있어서,
재검사 결과 악성 코드가 존재하면 상기 접속허용 버튼을 포함하는 2차 차단 메시지를 생성해서 상기 보안 서버로 송신하는 단계; 및
상기 2차 차단 메시지에 포함된 상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는 단계
를 더 포함하는 보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.
The method according to claim 1,
Generating a secondary blocking message including the connection permission button if the malicious code exists as a result of the re-examination, and transmitting the generated secondary blocking message to the security server; And
If the client terminal detects that the connection permission button included in the secondary blocking message is input, does not block the packet transmitted to the destination address for a predetermined period
The method comprising: receiving a request for access to a blocked site from a secure server;
제1항에 있어서,
상기 목적지 주소가 차단된 주소로 설정된지 기설정된 시간이 경과되면, 상기 목적지 주소의 차단을 해제하는 단계를 더 포함하는
보안 서버에서 차단된 사이트로의 접속 요청을 처리하는 방법.
The method according to claim 1,
Further comprising the step of unblocking the destination address when a predetermined time elapses after the destination address is set to the blocked address
How the security server handles requests to connect to blocked sites.
제1항 내지 제5항, 제7항 및 제8항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.
A computer-readable recording medium storing a program for executing the method according to any one of claims 1 to 5, 7, and 8.
클라이언트 단말이 연결된 네트워크 장비를 통하는 패킷(packet)을 미러링하는 미러링부; 및
상기 패킷으로부터 목적지 주소를 추출하고, 상기 목적지 주소가 차단된 주소인지 확인하고, 상기 목적지 주소가 차단된 주소이면, 접속허용 버튼을 포함하는 차단 메시지를 생성해서 상기 클라이언트 단말로 송신하는 차단 처리부; 및
상기 접속허용 버튼이 입력됨을 감지하면, 상기 목적지 주소에 악성 코드가 존재하는지 재검사하고, 재검사 결과 악성 코드가 존재하지 않으면 차단을 해제하는 접속요청 처리부
를 포함하는 보안 서버.
A mirroring unit for mirroring a packet through the network equipment to which the client terminal is connected; And
Extracting a destination address from the packet, checking whether the destination address is a blocked address, generating a blocking message including a connection permission button if the destination address is an address blocked, and transmitting the blocking message to the client terminal; And
When the malicious code is detected as a malicious code in the destination address, the connection request processing unit
.
제10항에 있어서,
상기 접속허용 버튼은,
상기 목적지 주소의 URL에 차단을 무시하는 요청임을 확인할 수 있는 정보가 포함된 URL 정보와 상기 클라이언트 단말의 정보를 상기 보안 서버로 송신하는 버튼인
보안 서버.
11. The method of claim 10,
The connection allowing button
The URL information including the information for confirming that the request for ignoring the blocking is included in the URL of the destination address and the button for transmitting the information of the client terminal to the security server
Security server.
제10항에 있어서,
상기 접속요청 처리부는,
상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는
보안 서버.
11. The method of claim 10,
The connection request processing unit,
If it is detected that the connection allowance button is input, the client terminal does not block the packet transmitted to the destination address for a predetermined period
Security server.
삭제delete 제10항에 있어서,
상기 접속요청 처리부는,
재검사 결과 악성 코드가 존재하면 상기 접속허용 버튼을 포함하는 2차 차단 메시지를 생성해서 상기 보안 서버로 송신하고, 상기 2차 차단 메시지에 포함된 상기 접속허용 버튼이 입력됨을 감지하면, 상기 클라이언트 단말이 상기 목적지 주소로 송신하는 패킷을 기설정된 기간동안 차단하지 않는
보안 서버.11. The method of claim 10,
The connection request processing unit,
If a malicious code exists as a result of the re-examination, a second blocking message including the connection permission button is generated and transmitted to the security server. When the malicious code is detected, the client terminal A packet not to be transmitted to the destination address is not blocked for a preset period of time
Security server.
KR1020160148534A 2016-11-09 2016-11-09 Security system and method for handling access requests to blocked sites KR101925314B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020160148534A KR101925314B1 (en) 2016-11-09 2016-11-09 Security system and method for handling access requests to blocked sites
PCT/KR2017/008937 WO2018088680A1 (en) 2016-11-09 2017-08-17 Security system and method for processing request for access to blocked site

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160148534A KR101925314B1 (en) 2016-11-09 2016-11-09 Security system and method for handling access requests to blocked sites

Publications (2)

Publication Number Publication Date
KR20180051781A KR20180051781A (en) 2018-05-17
KR101925314B1 true KR101925314B1 (en) 2018-12-05

Family

ID=62109812

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160148534A KR101925314B1 (en) 2016-11-09 2016-11-09 Security system and method for handling access requests to blocked sites

Country Status (2)

Country Link
KR (1) KR101925314B1 (en)
WO (1) WO2018088680A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111935095A (en) * 2020-07-15 2020-11-13 广东电网有限责任公司 Source code leakage monitoring method and device and computer storage medium
CN113726683B (en) * 2021-09-09 2023-08-15 海尔数字科技(青岛)有限公司 Access restriction method, device, apparatus, storage medium and computer program product

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150341379A1 (en) * 2014-05-22 2015-11-26 Accenture Global Services Limited Network anomaly detection

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9021254B2 (en) * 2007-07-27 2015-04-28 White Sky, Inc. Multi-platform user device malicious website protection system
US9047469B2 (en) * 2011-09-10 2015-06-02 Microsoft Technology Licensing, Llc Modes for applications
KR20150127511A (en) * 2014-05-07 2015-11-17 곽정곤 Method and System for detecting of internet request traffics sharing the public IP address using DNS query and HTTP protocol
US9473505B1 (en) * 2014-11-14 2016-10-18 Trend Micro Inc. Management of third party access privileges to web services

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150341379A1 (en) * 2014-05-22 2015-11-26 Accenture Global Services Limited Network anomaly detection

Also Published As

Publication number Publication date
WO2018088680A1 (en) 2018-05-17
KR20180051781A (en) 2018-05-17

Similar Documents

Publication Publication Date Title
CN100361452C (en) Method and device for server denial of service shield
Chen et al. Static detection of packet injection vulnerabilities: A case for identifying attacker-controlled implicit information leaks
US10129289B1 (en) Mitigating attacks on server computers by enforcing platform policies on client computers
KR101369743B1 (en) Apparatus and method for verifying referer
US20150128206A1 (en) Early Filtering of Events Using a Kernel-Based Filter
US10867048B2 (en) Dynamic security module server device and method of operating same
US9210184B2 (en) Determining the vulnerability of computer software applications to attacks
KR102008668B1 (en) Security system and method for protecting personal information of file stored in external storage device
US20210194915A1 (en) Identification of potential network vulnerability and security responses in light of real-time network risk assessment
KR102379720B1 (en) System for controlling data flow in virtualization terminal and method of the same
US20170126715A1 (en) Detection device, detection method, and detection program
KR101925314B1 (en) Security system and method for handling access requests to blocked sites
JP4739962B2 (en) Attack detection device, attack detection method, and attack detection program
KR101451323B1 (en) Application security system, security server, security client apparatus, and recording medium
KR20110059963A (en) Apparatus and method for blocking harmful traffic and system for blocking harmful traffic using the same
Zheng et al. Android plugin becomes a catastrophe to Android ecosystem
Lee et al. A study on realtime detecting smishing on cloud computing environments
Sasi et al. A Comprehensive Survey on IoT Attacks: Taxonomy, Detection Mechanisms and Challenges
KR101881279B1 (en) Apparatus and method for inspecting the packet communications using the Secure Sockets Layer
JP6635029B2 (en) Information processing apparatus, information processing system, and communication history analysis method
KR102158526B1 (en) Method and apparatus for controlling function utilizing code
JP2013092998A (en) Access determination device, access determination method and program
KR101511474B1 (en) Method for blocking internet access using agent program
KR101535381B1 (en) Method for blocking internet access using uniform resource locator and ip address
KR101467123B1 (en) Monitoring of enterprise information leakage in smart phones

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant