KR101961451B1 - Origin tracking method and system using dns server for infected system - Google Patents

Origin tracking method and system using dns server for infected system Download PDF

Info

Publication number
KR101961451B1
KR101961451B1 KR1020180121378A KR20180121378A KR101961451B1 KR 101961451 B1 KR101961451 B1 KR 101961451B1 KR 1020180121378 A KR1020180121378 A KR 1020180121378A KR 20180121378 A KR20180121378 A KR 20180121378A KR 101961451 B1 KR101961451 B1 KR 101961451B1
Authority
KR
South Korea
Prior art keywords
user terminal
domain
dns server
malicious
server
Prior art date
Application number
KR1020180121378A
Other languages
Korean (ko)
Inventor
김성우
이대호
김기환
최성수
이동근
Original Assignee
주식회사 에프원시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에프원시큐리티 filed Critical 주식회사 에프원시큐리티
Priority to KR1020180121378A priority Critical patent/KR101961451B1/en
Application granted granted Critical
Publication of KR101961451B1 publication Critical patent/KR101961451B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L61/1511
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Abstract

Disclosed are a method and a system for tracking an origin of an infection system based on a DNS server that allows a user terminal that has been hacked by malicious code or the like to access a sinkhole that is not a malicious domain when requesting a malicious domain connection. The present invention allows a user terminal that has been hacked by a malicious code or the like to access a sinkhole that is not a malicious domain when requesting a malicious domain connection and at the same time clearly identifies which user terminal is a hacked user terminal, thereby quickly performing post-processing for the user terminal.

Description

DNS 서버에 기반한 감염 시스템의 원점 추적 방법 및 시스템{ORIGIN TRACKING METHOD AND SYSTEM USING DNS SERVER FOR INFECTED SYSTEM}TECHNICAL FIELD [0001] The present invention relates to an origin tracking method and system for an infection system based on a DNS server,

본 발명은 원점 추적 방법 및 시스템에 관한 것으로서, 보다 상세하게는 DNS(Domain Name System) 서버가 각종 악성 도메인을 생성 및 수집하여 관리함으로써, 사용자 단말로부터 접속 요청된 도메인이 악성 도메인인지 여부를 판단하여, 악성 도메인이라고 판단된 경우, 사용자 단말로 싱크홀 서버의 IP 주소를 송신하여 사용자 단말의 악성 도메인 접속을 차단할 수 있는 방법 및 시스템에 관한 것이다.More particularly, the DNS (Domain Name System) server generates and collects various malicious domains and determines whether the requested domain is a malicious domain from the user terminal And a method and system capable of blocking a malicious domain connection of a user terminal by transmitting an IP address of a sinkhole server to a user terminal when it is determined to be a malicious domain.

인터넷의 편리함으로 말미암아 개인과 기업들의 경제활동에서 전자메일, 파일 전송과 같이 간단한 업무 처리뿐 아니라, 전자결재, 웹 서버를 통한 기업 광고, 전자상거래에 이르기까지 일상생활의 전반적인 영역에 걸쳐 인터넷이 활용되고 있다. 이와 같이 인터넷 이용이 일반화되면서, 인터넷 상에서 악성 도메인이 급속도로 증가하는 문제점이 나타나고 있다.Due to the convenience of the Internet, the Internet is used throughout the entire range of everyday life, from simple business operations such as e-mail and file transfer to business activities of individuals and companies, to corporate advertising through e-payment, web server, and e-commerce. . As the use of the Internet becomes common, malicious domains are rapidly increasing on the Internet.

현재 DNS Sinkhole 즉, 악성 봇을 조정하는 조정자를 탐지하고, 감염된 PC와 조정자간의 접속을 차단해 2차 피해를 예방하기 위한 시스템은, KT, 데이콤, SK 브로드 밴드 등의 국내 대형 ISP 위주로 적용하고 있으며, 이러한 대형기관 외에 SO 인터넷 사업자, 소규모 ISC, 웹 호스팅 업체 등은 DNS Sinkhole 을 적용하지 않아 악성 봇 C&C 등 악성 도메인에 대한 대응이 전무한 실정이다.Currently, the system to detect the DNS Sinkhole, the coordinator to control malicious bots, and prevent the secondary damage by blocking the connection between the infected PC and the coordinator, is applied to large domestic ISPs such as KT, Dacom, and SK Broadband In addition to these large organizations, SO Internet providers, small ISCs, and web hosting companies have not responded to malicious domains such as malicious bot C & C because they do not use DNS sinkhole.

이러한 문제를 해결하기 위해 대한민국 등록특허공보 제10-1522139호(2015.05.14)는 DNS 서버 선별 차단 및 Proxy를 이용한 DNS 주소 변경 방법을 개시하고 있다.To solve this problem, Korean Patent Registration No. 10-1522139 (May 2015.05.14) discloses a DNS server screening prevention method and a DNS address changing method using a proxy.

하지만, 하지만, 개시된 기술은 단지, 도메인 네임을 선별적으로 차단할 뿐, 어떠한 사용자 단말에 문제가 발생한 것인지 확인하기 어렵다는 문제가 있다.However, there is a problem that the disclosed technology merely selectively blocks the domain name, and it is difficult to confirm which user terminal has a problem.

즉, NAT(Network Address Translation)나 VPN(Virtual Private Network)와 같은 네트워크 장비를 이용할 경우, 도메인 네임 질의 요청에 적혀있는 IP 주소로는 사용자 단말을 특정할 수 없기 때문에, 상기 네트워크 장비를 이용하는 사용자 단말에 문제가 발생할 경우, 상기 네트워크 장비를 이용하는 사용자 단말에서 문제가 발생한 것을 확인할 수 있지만, 정확하게 어떠한 사용자 단말에서 문제가 발생한 것인지 확인할 수 없다는 문제가 있다.That is, when a network device such as a NAT (Network Address Translation) or a VPN (Virtual Private Network) is used, since the user terminal can not be specified by the IP address written in the domain name query request, It is possible to confirm that a problem has occurred in a user terminal using the network equipment, but there is a problem in that it is not possible to accurately determine which user terminal has caused a problem.

대한민국 등록특허공보 제10-1522139호(2015.05.14)Korean Registered Patent No. 10-1522139 (May 20, 2014)

따라서, 이러한 문제점을 해결하기 위한 본 발명의 첫 번째 목적은 악성 코드 등에 의하여 해킹당한 사용자 단말이 악성 도메인 접속을 요청한 경우에 악성 도메인이 아닌 싱크홀에 접속할 수 있도록 함과 동시에 해킹당한 사용자 단말이 어떤 사용자 단말인지 명확하게 특정하여 해당 사용자 단말에 대한 사후 조치를 빠르게 수행할 수 있고, 다양한 네트워크 장치에 해당 사용자 단말에 대한 정보를 송신함으로써, 해당 사용자 단말로부터 다른 사용자 단말 등에 해킹 등의 문제가 확장되지 않도록 방지할 수 있는 DNS 서버에 기반한 감염 시스템의 원점 추적 방법을 제공하는 것이다.Accordingly, it is a first object of the present invention to solve such a problem by allowing a user terminal that has been hacked by a malicious code or the like to access a sinkhole rather than a malicious domain when requesting a malicious domain access, It is possible to quickly perform post-processing for the corresponding user terminal by clearly identifying the user terminal, and by transmitting information on the corresponding user terminal to various network devices, problems such as hacking are extended from the corresponding user terminal to other user terminals And to provide a method of tracking the origin of an infection system based on a DNS server that can prevent the infection.

또한, 두 번째 목적은 악성 코드 등에 의하여 해킹당한 사용자 단말이 악성 도메인 접속을 요청한 경우에 악성 도메인이 아닌 싱크홀에 접속할 수 있도록 함과 동시에 해킹당한 사용자 단말이 어떤 사용자 단말인지 명확하게 특정하여 해당 사용자 단말에 대한 사후 조치를 빠르게 수행할 수 있고, 다양한 네트워크 장치에 해당 사용자 단말에 대한 정보를 송신함으로써, 해당 사용자 단말로부터 다른 사용자 단말 등에 해킹 등의 문제가 확장되지 않도록 방지할 수 있는 DNS 서버에 기반한 감염 시스템의 원점 추적 시스템을 제공하는 것이다.The second object of the present invention is to allow a user terminal, which has been hacked by a malicious code or the like, to access a sinkhole other than a malicious domain when requesting a malicious domain connection, and at the same time, clearly identify which user terminal is a hacked user terminal, Based on a DNS server that can quickly perform post-processing for the terminal and can prevent the problem such as hacking from extending from the corresponding user terminal to other user terminals by transmitting information about the user terminal to various network devices And to provide an origin tracking system of the infecting system.

상기 첫 번째 목적을 달성하기 위하여 본 발명은, 사용자 단말이 도메인 네임 질의 패킷을 DNS 서버로 송신하는 단계, 상기 DNS 서버가 상기 도메인 네임 질의 패킷을 분석하여 해당 도메인이 악성 도메인인지 여부를 판단하는 단계, 상기 DNS 서버의 판단 결과, 해당 도메인이 악성 도메인인 경우, 상기 DNS 서버가 싱크홀 서버의 IP 주소를 상기 사용자 단말로 송신하는 단계, 상기 DNS 서버가 상기 도메인 네임 질의 패킷를 분석하여 상기 사용자 단말을 특정하는 단계 및 상기 DNS 서버가 특정한 상기 사용자 단말에 대한 정보를 관리 서버로 송신하는 단계를 포함하는 DNS 서버에 기반한 감염 시스템의 원점 추적 방법을 제공한다.According to an aspect of the present invention, there is provided a method for managing a domain name query packet, the method comprising: transmitting a domain name query packet to a DNS server by a user terminal; determining whether the domain is a malicious domain by analyzing the domain name query packet; The DNS server transmits an IP address of the sinkhole server to the user terminal when the corresponding domain is a malicious domain as a result of the determination of the DNS server. The DNS server analyzes the domain name query packet, And transmitting the information on the specific user terminal to the management server. The origin tracking method of the infection system is based on the DNS server.

상기 DNS 서버의 판단 결과, 해당 도메인이 악성 도메인인 경우, 상기 DNS 서버가 싱크홀 서버의 IP 주소를 상기 사용자 단말로 송신하는 단계는 상기 DNS 서버의 판단 결과, 해당 도메인이 악성 도메인이 아닌 경우, 상기 DNS 서버가 해당 도메인 IP 주소를 상기 사용자 단말로 송신하는 단계를 포함할 수 있다.If the DNS server determines that the corresponding domain is a malicious domain, the step of the DNS server transmitting the IP address of the sinkhole server to the user terminal may include, if the corresponding domain is not a malicious domain, And the DNS server transmitting the corresponding domain IP address to the user terminal.

상기 DNS 서버가 특정한 상기 사용자 단말에 대한 정보를 관리 서버로 송신하는 단계는 상기 관리 서버가 특정된 상기 사용자 단말에 대한 차단 요청을 연동 가능한 네트워크 장치에 송신하는 단계를 포함할 수 있다.The step of transmitting the information on the specific user terminal to the management server by the DNS server may include transmitting the blocking request for the specified user terminal to the network device capable of being interlocked.

상기 사용자 단말이 도메인 네임 질의 패킷을 DNS 서버로 송신하는 단계는 상기 사용자 단말이 자신의 식별번호를 상기 도메인 네임 질의 패킷에 삽입하는 단계를 포함할 수 있다.The step of transmitting the domain name query packet to the DNS server by the user terminal may include inserting the identification number of the user terminal into the domain name query packet.

상기 DNS 서버가 상기 도메인 네임 질의 패킷를 분석하여 상기 사용자 단말을 특정하는 단계는 상기 DNS 서버가 상기 도메인 네임 질의 패킷에 삽입된 상기 사용자 단말의 식별번호를 이용하여 상기 사용자 단말을 특정하는 단계를 포함할 수 있다.The step of the DNS server analyzing the domain name query packet to identify the user terminal includes the step of the DNS server identifying the user terminal using the identification number of the user terminal inserted in the domain name query packet .

상기 두 번째 목적을 달성하기 위하여 본 발명은, 사용자 단말 및 DNS 서버를 포함하는 DNS 서버에 기반한 감염 시스템의 원점 추적 시스템에 있어서, 상기 사용자 단말은 도메인 네임 질의 패킷을 DNS 서버로 송신하는 제1통신부를 포함하고, 상기 DNS 서버는 악성 도메인에 대한 정보를 저장하는 악성 도메인 정보 저장부, 상기 제1통신부로부터 수신한 상기 도메인 네임 질의 패킷을 분석하여 해당 도메인이 악성 도메인인지 여부를 판단하는 악성 도메인 판단부, 상기 악성 도메인 판단부의 판단 결과, 해당 도메인이 악성 도메인인 경우, 싱크홀 서버의 IP 주소를 상기 사용자 단말로 송신하는 제2통신부 및 상기 도메인 네임 질의 패킷을 분석하여 상기 사용자 단말을 특정하는 사용자 단말 특정부를 포함하며, 상기 제2통신부는 상기 사용자 단말 특정부가 특정한 상기 사용자 단말에 대한 정보를 관리 서버로 송신하는 것을 특징으로 하는 DNS 서버에 기반한 감염 시스템의 원점 추적 시스템을 제공한다.According to another aspect of the present invention, there is provided an origin tracking system for an infection system based on a DNS server including a user terminal and a DNS server, the user terminal including a first communication unit for transmitting a domain name query packet to a DNS server, A malicious domain information storage unit for storing malicious domain information; a DNS server for analyzing the domain name query packet received from the first communication unit to determine whether the corresponding domain is a malicious domain; A second communication unit for transmitting the IP address of the sinkhole server to the user terminal when the malicious domain is determined as a result of the malicious domain determination unit, and a second communication unit for analyzing the domain name query packet to identify the user terminal Wherein the second communication unit includes a terminal identification unit, Set provides a reference point tracking system of the infected system based on a DNS server, characterized in that for transmitting the information for the user terminal to the management server.

상기 제2통신부는 상기 악성 도메인 판단부의 판단 결과, 해당 도메인이 악성 도메인이 아닌 경우, 해당 도메인 IP 주소를 상기 사용자 단말로 송신할 수 있다.If the malicious domain determination unit determines that the corresponding domain is not a malicious domain, the second communication unit may transmit the corresponding domain IP address to the user terminal.

상기 관리 서버는 특정된 상기 사용자 단말에 대한 차단 요청을 연동 가능한 네트워크 장치에 송신할 수 있다.The management server may transmit a blocking request for the specified user terminal to an interlocking network device.

상기 사용자 단말은 사용자 단말 자신의 식별번호를 상기 도메인 네임 질의 패킷에 삽입하는 식별번호 삽입부를 포함하고, 상기 사용자 단말 특정부는 상기 식별번호 삽입부가 상기 도메인 네임 질의 패킷에 삽입한 상기 사용자 단말의 식별번호를 이용하여 사용자 단말을 특정할 수 있다.Wherein the user terminal includes an identification number inserter for inserting the identification number of the user terminal into the domain name query packet, and the user terminal identification unit identifies the identification number of the user terminal inserted in the domain name query packet, To identify the user terminal.

상기에서 설명한 본 발명의 DNS 서버에 기반한 감염 시스템의 원점 추적 방법 및 시스템에 의하면, 악성 코드 등에 의하여 해킹당한 사용자 단말이 악성 도메인 접속을 요청한 경우에 악성 도메인이 아닌 싱크홀에 접속할 수 있도록 함과 동시에 해킹당한 사용자 단말이 어떤 사용자 단말인지 명확하게 특정하여 해당 사용자 단말에 대한 사후 조치를 빠르게 수행할 수 있고, 다양한 네트워크 장치에 해당 사용자 단말에 대한 정보를 송신함으로써, 해당 사용자 단말로부터 다른 사용자 단말 등에 해킹 등의 문제가 확장되지 않도록 방지할 수 있는 효과가 있다.According to the origin tracking method and system of the infection system based on the DNS server of the present invention described above, when a user terminal that has been hacked by a malicious code or the like requests a malicious domain connection, the user terminal can access a sink hole other than a malicious domain The hacked user terminal can clearly identify a user terminal and can quickly perform post-processing for the corresponding user terminal. By transmitting information on the user terminal to various network devices, And the like can be prevented from being expanded.

도 1은 본 발명의 일 실시예인 DNS 서버에 기반한 감염 시스템의 원점 추적 방법의 흐름을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일 실시예인 DNS 서버에 기반한 감염 시스템의 원점 추적 시스템을 개략적으로 나타낸 도면이다.
도 3은 본 발명의 일 구성인 사용자 단말의 개략적인 구성을 나타낸 도면이다.
도 4는 본 발명의 일 구성인 DNS 서버의 개략적인 구성을 나타낸 도면이다.FIG. 1 is a diagram schematically illustrating a flow of an origin tracking method of an infection system based on a DNS server, which is an embodiment of the present invention.
2 is a diagram schematically showing a home tracking system of an infection system based on a DNS server, which is an embodiment of the present invention.
3 is a diagram showing a schematic configuration of a user terminal, which is an embodiment of the present invention.
4 is a diagram showing a schematic configuration of a DNS server which is a constitution of the present invention.

본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정 해석되지 아니하며, 발명자는 그 사용자의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.It is to be understood that the words or words used in the present specification and claims are not to be construed in a conventional or dictionary sense and that the inventor can properly define the concept of a term in order to best describe the user's invention And should be construed in light of the meanings and concepts consistent with the technical idea of the present invention.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부”, “…기”, “…단”, “모듈”, “장치” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 및/또는 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when an element is referred to as " comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise. In addition, the term " "... "," ... Unit, "" module, "" device, "and the like refer to a unit that processes at least one function or operation, which may be implemented as a combination of hardware and / or software.

본 발명의 실시 예에서 사용되는 용어에 대해 간략히 설명하고, 본 실시 예들에 대해 구체적으로 설명하기로 한다.The terms used in the embodiments of the present invention will be briefly described, and these embodiments will be described in detail.

본 발명의 실시 예에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 실시 예들의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 실시 예들에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 실시 예들의 전반에 걸친 내용을 토대로 정의되어야 한다. Although the terms used in the embodiments of the present invention have been selected in consideration of the functions of the present invention, the present invention is not limited thereto and can be varied depending on the intention or the precedent of the artisan skilled in the art, . Also, in certain cases, some terms are arbitrarily selected by the applicant, and in this case, the meaning thereof will be described in detail in the description of the corresponding embodiments. Therefore, the terms used in the embodiments should be defined based on the meaning of the term, not on the name of a simple term, and on the contents of the embodiments throughout.

본 발명의 실시 예에서, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. In an embodiment of the present invention, terms including ordinal numbers such as first, second, etc. may be used to describe various elements, but the elements are not limited to these terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

또한, 본 발명의 실시 예에서, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. Further, in the embodiments of the present invention, the singular expressions include plural expressions unless the context clearly indicates otherwise.

또한, 본 발명의 실시 예에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Furthermore, in the embodiments of the present invention, terms such as " comprises " or " having ", etc. are intended to specify the presence of stated features, integers, steps, operations, elements, parts, or combinations thereof, Steps, operations, elements, components, or combinations of elements, numbers, steps, operations, components, parts, or combinations thereof.

또한, 본 발명의 실시 예에서, ‘모듈’ 혹은 ‘부’는 적어도 하나의 기능이나 동작을 수행하며, 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다. 또한, 복수의‘모듈’ 혹은 복수의‘부’는 특정한 하드웨어로 구현될 필요가 있는 ‘모듈’ 혹은 ‘부’를 제외하고는 적어도 하나의 모듈로 일체화되어 적어도 하나의 프로세서로 구현될 수 있다.Also, in the embodiments of the present invention, 'module' or 'sub' performs at least one function or operation, and may be implemented in hardware or software, or a combination of hardware and software. In addition, a plurality of 'modules' or a plurality of 'parts' may be integrated into at least one module except for 'module' or 'module' which needs to be implemented by specific hardware, and may be implemented by at least one processor.

또한, 본 발명의 실시 예에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다.Further, in the embodiment of the present invention, when a part is referred to as being " connected " with another part, it is not limited to a case where it is " directly connected " And the like.

이하, 본 발명의 실시 예를 첨부한 도면들을 참조하여 상세히 설명하기로 한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예인 DNS 서버에 기반한 감염 시스템의 원점 추적 방법의 흐름을 개략적으로 나타낸 도면이다.FIG. 1 is a diagram schematically illustrating a flow of an origin tracking method of an infection system based on a DNS server, which is an embodiment of the present invention.

도 1을 참고하면, 사용자 단말(100)이 도메인 네임 질의 패킷을 DNS 서버(200)로 송신할 수 있다.(S130)1, the user terminal 100 may transmit a domain name query packet to the DNS server 200 (S130)

여기서 사용자 단말(100)은 스마트 폰, 스마트 워치, 스마트 글라스, 태블릿 PC, 노트북 PC 등의 다양한 전자 장치로 구현될 수 있다.Here, the user terminal 100 may be implemented by various electronic devices such as a smart phone, a smart watch, a smart glass, a tablet PC, and a notebook PC.

또한, 사용자 단말(100)은 자신의 식별번호를 도메인 네임 질의 패킷에 삽입할 수 있다.Also, the user terminal 100 may insert its identification number into the domain name query packet.

여기서 사용자 단말(100) 자신의 식별번호는 사용자 단말(100)의 IP 주소 등을 의미할 수 있으며, 사용자 단말(100)을 다른 사용자 단말(100)로 구분할 수 있는 다양한 식별번호를 의미할 수 있다.Herein, the identification number of the user terminal 100 may refer to an IP address of the user terminal 100 or the like, and may refer to various identification numbers that can distinguish the user terminal 100 from other user terminals 100 .

또한, NAT(Network Address Translation)를 이용할 경우, 사용자 단말(100) 자신의 식별번호는 사용자 단말(100)의 공인 IP 주소가 아닌 사용자 단말(100)의 사설 IP 주소를 의미할 수 있다.In addition, when using NAT (Network Address Translation), the identification number of the user terminal 100 may refer to the private IP address of the user terminal 100, rather than the public IP address of the user terminal 100.

그리고 DNS 서버(200)는 도메인 네임 질의 패킷을 분석하여 해당 도메인이 악성 도메인인지 여부를 판단할 수 있다.(S131)The DNS server 200 may analyze the domain name query packet to determine whether the corresponding domain is a malicious domain (S 131)

또한, DNS 서버(200)의 판단 결과, 해당 도메인이 악성 도메인이라면, S133 단계를 수행하고, DNS 서버(200)의 판단 결과, 해당 도메인이 악성 도메인이 아니라면, S134 단계를 수행할 수 있다.(S132)If it is determined in step S133 that the corresponding domain is a malicious domain, the DNS server 200 may perform step S134 if the corresponding domain is not a malicious domain. S132)

보다 구체적으로, DNS 서버(200)의 판단 결과, 해당 도메인이 악성 도메인인 경우, DNS 서버(200)는 해당 도메인의 IP 주소가 아니라 싱크홀 서버의 IP 주소를 사용자 단말(100)로 송신할 수 있다.(S133)More specifically, when the DNS server 200 determines that the corresponding domain is a malicious domain, the DNS server 200 may transmit the IP address of the sinkhole server to the user terminal 100 instead of the IP address of the corresponding domain (S133)

또한, DNS 서버(200)의 판단 결과, 해당 도메인이 악성 도메인이 아닌 경우, DNS 서버(200)는 해당 도메인 IP 주소를 사용자 단말(100)로 송신할 수 있다.(S134)If it is determined that the corresponding domain is not a malicious domain, the DNS server 200 may transmit the corresponding domain IP address to the user terminal 100 (S134)

그리고 DNS 서버(200)는 도메인 네임 질의 패킷을 분석하여 사용자 단말(100)을 특정할 수 있다.(S135)Then, the DNS server 200 can identify the user terminal 100 by analyzing the domain name query packet (S135)

보다 구체적으로, DNS 서버(200)는 도메인 네임 질의 패킷에 삽입된 사용자 단말(100)의 식별번호를 이용하여 도메인 네임 질의 패킷을 송신한 사용자 단말(100)을 특정할 수 있다.More specifically, the DNS server 200 can identify the user terminal 100 that has transmitted the domain name query packet using the identification number of the user terminal 100 inserted in the domain name query packet.

또한, DNS 서버(200)는 특정한 사용자 단말(100)에 대한 정보를 관리 서버(300)로 송신할 수 있다.(S136)In addition, the DNS server 200 may transmit information on a specific user terminal 100 to the management server 300. (S136)

그리고 관리 서버(300)는 특정된 사용자 단말(100)에 대한 차단 요청을 연동 가능한 네트워크 장치(미도시)에 송신할 수 있다.The management server 300 may transmit a blocking request for the specified user terminal 100 to a network device (not shown) that can be interlocked.

여기서 연동 가능한 네트워크 장치(미도시)는 방화벽, NAC (Network AccessControl), IPS (Intrusion Protection System), IDS(Intrusion Detection System), SIEM(Security Information and Event Management), TMS(Threat Management System) 및 웹 방화벽 (Web ApplicationFirewall) 중 적어도 하나를 포함할 수 있다.The interworking network device (not shown) may be a firewall, a network access control (NAC), an intrusion prevention system (IPS), an intrusion detection system (IDS), a security information and event management (SIEM), a threat management system (TMS) (Web ApplicationFirewall).

이를 통해 악성 코드, 랜섬 웨어 등에 감염되어 해커의 해킹이 시도된 사용자 단말(100)을 연결된 네트워크로부터 격리시킬 수 있으며, 이를 통해 다른 사용자 단말이 악성 코드, 랜섬 웨어 등에 감염되지 않도록 할 수 있다.Thus, the user terminal 100, which is infected with malicious code, Ransomware, etc., and hacked by the hacker, can be isolated from the connected network, thereby preventing other user terminals from being infected with malicious code or Ransomware.

도 2는 본 발명의 일 실시예인 DNS 서버에 기반한 감염 시스템의 원점 추적 시스템을 개략적으로 나타낸 도면이고, 도 3은 본 발명의 일 구성인 사용자 단말의 개략적인 구성을 나타낸 도면이며, 도 4는 본 발명의 일 구성인 DNS 서버의 개략적인 구성을 나타낸 도면이다.FIG. 2 is a schematic view showing a home tracking system of an infection system based on a DNS server according to an embodiment of the present invention. FIG. 3 is a diagram showing a schematic configuration of a user terminal, which is a constitution of the present invention. FIG. 2 is a diagram showing a schematic configuration of a DNS server, which is one embodiment of the invention.

도 2 내지 도 4를 참고하면, DNS 서버에 기반한 감염 시스템의 원점 추적 시스템(10)은 사용자 단말(100) 및 DNS 서버(200)를 포함할 수 있다.2 to 4, the origin tracking system 10 of an infection system based on a DNS server may include a user terminal 100 and a DNS server 200.

여기서, 사용자 단말(100)은 제1통신부(110) 및 식별번호 삽입부(120)를 포함할 수 있고, DNS 서버(200)는 악성 도메인 정보 저장부(210), 악성 도메인 판단부(220), 제2통신부(230) 및 사용자 단말 특정부(240)를 포함할 수 있다.The user terminal 100 may include a first communication unit 110 and an identification number inserter 120. The DNS server 200 may include a malicious domain information storage unit 210, a malicious domain determination unit 220, A second communication unit 230, and a user terminal identification unit 240. [

보다 구체적으로, 제1통신부(110)는 도메인 네임 질의 패킷을 DNS 서버(200)로 송신할 수 있다.More specifically, the first communication unit 110 can transmit a domain name query packet to the DNS server 200. [

또한, 식별번호 삽입부(120)는 사용자 단말(100) 자신의 식별번호를 도메인 네임 질의 패킷에 삽입할 수 있다.Also, the identification number inserting unit 120 may insert the identification number of the user terminal 100 into the domain name query packet.

그리고 악성 도메인 정보 저장부(210)는 악성 도메인에 대한 정보를 저장할 수 있다. 여기서 악성 도메인에 대한 정보는 Domain name으로 저장될 수 있고, 해당 Domain name이 악성 도메인에 해당한다는 매핑 정보가 포함될 수 있다.The malicious domain information storage unit 210 may store malicious domain information. Here, the information on the malicious domain may be stored in the domain name, and mapping information indicating that the corresponding domain name corresponds to the malicious domain may be included.

또한, 악성 도메인 판단부(220)는 제1통신부(110)로부터 수신한 도메인 네임 질의 패킷을 분석하여 해당 도메인이 악성 도메인인지 여부를 판단할 수 있다.In addition, the malicious domain determination unit 220 may analyze the domain name query packet received from the first communication unit 110 to determine whether the corresponding domain is a malicious domain.

보다 구체적으로, 악성 도메인 판단부(220)는 제1통신부(110)로부터 수신한 도메인 네임 질의 패킷에 포함된 도메인 정보와 악성 도메인 정보 저장부(210)가 저장하고 있는 악성 도메인에 대한 정보를 비교하여, 도메인 네임 질의 패킷에 포함된 도메인 정보가 악성 도메인 정보 저장부(210)가 저장하고 악성 도메인에 대한 정보와 일치하는 경우, 해당 도메인이 악성 도메인이라고 판단할 수 있다.More specifically, the malicious domain determination unit 220 compares the domain information included in the domain name query packet received from the first communication unit 110 with the malicious domain information stored in the malicious domain information storage unit 210 If the domain information contained in the domain name query packet is stored in the malicious domain information storage unit 210 and matches the malicious domain information, it can be determined that the corresponding domain is a malicious domain.

그리고 제2통신부(230)는 악성 도메인 판단부(220)의 판단 결과, 해당 도메인이 악성 도메인인 경우, 싱크홀 서버의 IP 주소를 사용자 단말(100)로 송신할 수 있고, 제2통신부(230)는 악성 도메인 판단부(220)의 판단 결과, 해당 도메인이 악성 도메인이 아닌 경우, 해당 도메인 IP 주소를 사용자 단말(100)로 송신할 수 있다.If the malicious domain determination unit 220 determines that the corresponding domain is a malicious domain, the second communication unit 230 may transmit the IP address of the sinkhole server to the user terminal 100, and the second communication unit 230 The malicious domain determination unit 220 may transmit the corresponding domain IP address to the user terminal 100 if the corresponding domain is not a malicious domain.

또한, 사용자 단말 특정부(240)는 도메인 네임 질의 패킷을 분석하여 사용자 단말(100)을 특정할 수 있다.Also, the user terminal identification unit 240 can identify the user terminal 100 by analyzing the domain name query packet.

보다 구체적으로, 사용자 단말 특정부(240)는 식별번호 삽입부(120)가 도메인 네임 질의 패킷에 삽입한 사용자 단말(100)의 식별번호를 이용하여 사용자 단말(100)을 특정할 수 있다.More specifically, the user terminal identification unit 240 can identify the user terminal 100 using the identification number of the user terminal 100 inserted in the domain name query packet by the identification number insertion unit 120.

그리고 제2통신부(230)는 사용자 단말 특정부(240)가 특정한 사용자 단말(100)에 대한 정보를 관리 서버(300)로 송신할 수 있다.The second communication unit 230 may transmit the information about the specific user terminal 100 to the management server 300 by the user terminal specifying unit 240.

또한, 관리 서버(300)는 특정된 사용자 단말(100)에 대한 차단 요청을 연동 가능한 네트워크 장치(미도시)에 송신할 수 있다.In addition, the management server 300 can transmit a blocking request for the specified user terminal 100 to an interlocking network device (not shown).

상기와 같이 본 발명의 실시 예에 따른 DNS 서버에 기반한 감염 시스템의 원점 추적 방법 및 시스템의 구성 및 동작이 이루어질 수 있으며, 한편 상기 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다.As described above, the configuration and operation of the origin tracking method and system of the infection system based on the DNS server according to the embodiment of the present invention can be performed. While the present invention has been described with respect to specific embodiments thereof, And can be practiced without departing from the scope of the invention.

이상에서 본 발명은 비록 한정된 실시 예와 도면에 의해 설명되었으나, 본 발명은 이것에 의해 한정되지 않으며 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 수정 및 변형이 가능함은 물론이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, and that various modifications and changes may be made by those skilled in the art.

본 실시 예와 관련된 기술 분야에서 통상의 지식을 가진 자는 상기된 기재의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시 방법들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. Therefore, disclosure methods should be considered from an illustrative point of view, not from a restrictive point of view. The scope of the present invention is defined by the appended claims rather than by the foregoing description, and all differences within the scope of equivalents thereof should be construed as being included in the present invention.

10: DNS 서버에 기반한 감염 시스템의 원점 추적 시스템
100: 사용자 단말 110: 제1통신부
120: 식별번호 삽입부 200: DNS 서버
210: 악성 도메인 정보 저장부 220: 악성 도메인 판단부
230: 제2통신부 240: 사용자 단말 특정부
300: 관리 서버10: Origin tracking system of infection system based on DNS server
100: user terminal 110: first communication unit
120: ID number inserting unit 200: DNS server
210: malicious domain information storage unit 220: malicious domain determination unit
230: second communication unit 240: user terminal identification unit
300: management server

Claims (9)

사용자 단말이 도메인 네임 질의 패킷을 DNS 서버로 송신하는 단계;
상기 DNS 서버가 상기 도메인 네임 질의 패킷을 분석하여 해당 도메인이 악성 도메인인지 여부를 판단하는 단계;
상기 DNS 서버의 판단 결과, 해당 도메인이 악성 도메인인 경우, 상기 DNS 서버가 싱크홀 서버의 IP 주소를 상기 사용자 단말로 송신하는 단계;
상기 DNS 서버가 상기 도메인 네임 질의 패킷를 분석하여 상기 사용자 단말을 특정하는 단계;및
상기 DNS 서버가 특정한 상기 사용자 단말에 대한 정보를 관리 서버로 송신하는 단계;
를 포함하되,
상기 사용자 단말이 도메인 네임 질의 패킷을 DNS 서버로 송신하는 단계는
상기 사용자 단말이 자신의 식별번호로서, 상기 사용자 단말의 사설 IP 주소를 상기 도메인 네임 질의 패킷에 삽입하는 단계;
를 포함하며,
상기 DNS 서버가 상기 도메인 네임 질의 패킷를 분석하여 상기 사용자 단말을 특정하는 단계는
상기 DNS 서버가 상기 도메인 네임 질의 패킷에 삽입된 상기 사용자 단말의 식별번호인 상기 사용자 단말의 사설 IP 주소를 이용하여 상기 사용자 단말을 특정하는 단계;
를 포함하는 DNS 서버에 기반한 감염 시스템의 원점 추적 방법.Transmitting a domain name query packet to a DNS server;
Analyzing the domain name query packet by the DNS server and determining whether the corresponding domain is a malicious domain;
Transmitting the IP address of the sinkhole server to the user terminal if the corresponding domain is a malicious domain as a result of the determination of the DNS server;
Analyzing the domain name query packet by the DNS server to identify the user terminal;
Transmitting information on the specific user terminal to the management server by the DNS server;
, ≪ / RTI &
The step of the user terminal transmitting the domain name query packet to the DNS server
Inserting the private IP address of the user terminal into the domain name query packet as the identification number of the user terminal;
/ RTI >
The step of the DNS server analyzing the domain name query packet to identify the user terminal
Identifying the user terminal using the private IP address of the user terminal, which is an identification number of the user terminal inserted in the domain name query packet, by the DNS server;
A method for tracking an origin of an infection system based on a DNS server including a server. 제1항에 있어서,
상기 DNS 서버의 판단 결과, 해당 도메인이 악성 도메인인 경우, 상기 DNS 서버가 싱크홀 서버의 IP 주소를 상기 사용자 단말로 송신하는 단계는
상기 DNS 서버의 판단 결과, 해당 도메인이 악성 도메인이 아닌 경우, 상기 DNS 서버가 해당 도메인 IP 주소를 상기 사용자 단말로 송신하는 단계;
를 포함하는 DNS 서버에 기반한 감염 시스템의 원점 추적 방법.The method according to claim 1,
If the DNS server determines that the corresponding domain is a malicious domain, the step of the DNS server transmitting the IP address of the sinkhole server to the user terminal
When the DNS server determines that the corresponding domain is not a malicious domain, the DNS server transmits the corresponding domain IP address to the user terminal;
A method for tracking an origin of an infection system based on a DNS server including a server. 제1항에 있어서,
상기 DNS 서버가 특정한 상기 사용자 단말에 대한 정보를 관리 서버로 송신하는 단계는
상기 관리 서버가 특정된 상기 사용자 단말에 대한 차단 요청을 연동 가능한 네트워크 장치에 송신하는 단계;
를 포함하는 DNS 서버에 기반한 감염 시스템의 원점 추적 방법.The method according to claim 1,
The step of the DNS server transmitting the information on the specific user terminal to the management server
Transmitting a blocking request for the user terminal specified by the management server to an interoperable network device;
A method for tracking an origin of an infection system based on a DNS server including a server. 삭제delete 삭제delete 사용자 단말 및 DNS 서버를 포함하는 DNS 서버에 기반한 감염 시스템의 원점 추적 시스템에 있어서,
상기 사용자 단말은
도메인 네임 질의 패킷을 DNS 서버로 송신하는 제1통신부;및
사용자 단말 자신의 식별번호로서, 상기 사용자 단말의 사설 IP 주소를 상기 도메인 네임 질의 패킷에 삽입하는 식별번호 삽입부;
를 포함하고,
상기 DNS 서버는
악성 도메인에 대한 정보를 저장하는 악성 도메인 정보 저장부;
상기 제1통신부로부터 수신한 상기 도메인 네임 질의 패킷을 분석하여 해당 도메인이 악성 도메인인지 여부를 판단하는 악성 도메인 판단부;
상기 악성 도메인 판단부의 판단 결과, 해당 도메인이 악성 도메인인 경우, 싱크홀 서버의 IP 주소를 상기 사용자 단말로 송신하는 제2통신부;및
상기 도메인 네임 질의 패킷을 분석하여 상기 사용자 단말을 특정하는 사용자 단말 특정부;
를 포함하며,
상기 제2통신부는
상기 사용자 단말 특정부가 특정한 상기 사용자 단말에 대한 정보를 관리 서버로 송신하며,
상기 사용자 단말 특정부는
상기 식별번호 삽입부가 상기 도메인 네임 질의 패킷에 삽입한 상기 사용자 단말의 식별번호인 상기 사용자 단말의 사설 IP 주소를 이용하여 사용자 단말을 특정하는 것을 특징으로 하는 DNS 서버에 기반한 감염 시스템의 원점 추적 시스템.1. An origin tracking system of an infection system based on a DNS server including a user terminal and a DNS server,
The user terminal
A first communication unit for transmitting a domain name query packet to a DNS server;
An identification number inserter for inserting a private IP address of the user terminal into the domain name query packet as an identification number of the user terminal;
Lt; / RTI >
The DNS server
A malicious domain information storage unit for storing malicious domain information;
A malicious domain determination unit for analyzing the domain name query packet received from the first communication unit and determining whether the corresponding domain is a malicious domain;
A second communication unit for transmitting an IP address of the sinkhole server to the user terminal when the malicious domain determination unit determines that the corresponding domain is a malicious domain;
A user terminal identification unit for identifying the user terminal by analyzing the domain name query packet;
/ RTI >
The second communication unit
The user terminal specifying unit transmits information on the specific user terminal to the management server,
The user terminal identification unit
Wherein the identification number inserter identifies the user terminal using the private IP address of the user terminal, which is the identification number of the user terminal inserted in the domain name query packet. 제6항에 있어서,
상기 제2통신부는
상기 악성 도메인 판단부의 판단 결과, 해당 도메인이 악성 도메인이 아닌 경우, 해당 도메인 IP 주소를 상기 사용자 단말로 송신하는 것을 특징으로 하는 DNS 서버에 기반한 감염 시스템의 원점 추적 시스템.The method according to claim 6,
The second communication unit
And if the malicious domain determination unit determines that the corresponding domain is not a malicious domain, the malicious domain determination unit transmits the corresponding domain IP address to the user terminal. 제6항에 있어서,
상기 관리 서버는
특정된 상기 사용자 단말에 대한 차단 요청을 연동 가능한 네트워크 장치에 송신하는 것을 특징으로 하는 DNS 서버에 기반한 감염 시스템의 원점 추적 시스템.The method according to claim 6,
The management server
And transmits a blocking request for the identified user terminal to a network device that can be interlocked. 삭제delete
KR1020180121378A 2018-10-11 2018-10-11 Origin tracking method and system using dns server for infected system KR101961451B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180121378A KR101961451B1 (en) 2018-10-11 2018-10-11 Origin tracking method and system using dns server for infected system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180121378A KR101961451B1 (en) 2018-10-11 2018-10-11 Origin tracking method and system using dns server for infected system

Publications (1)

Publication Number Publication Date
KR101961451B1 true KR101961451B1 (en) 2019-03-22

Family

ID=65949648

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180121378A KR101961451B1 (en) 2018-10-11 2018-10-11 Origin tracking method and system using dns server for infected system

Country Status (1)

Country Link
KR (1) KR101961451B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110572406A (en) * 2019-09-12 2019-12-13 深信服科技股份有限公司 Method, system and related device for determining lost host

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101522139B1 (en) 2014-05-26 2015-05-20 플러스기술주식회사 Method for blocking selectively in dns server and change the dns address using proxy
KR101653805B1 (en) * 2016-03-10 2016-09-05 인터리젠 주식회사 method and apparatus for identifying an access terminal device via a network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101522139B1 (en) 2014-05-26 2015-05-20 플러스기술주식회사 Method for blocking selectively in dns server and change the dns address using proxy
KR101653805B1 (en) * 2016-03-10 2016-09-05 인터리젠 주식회사 method and apparatus for identifying an access terminal device via a network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110572406A (en) * 2019-09-12 2019-12-13 深信服科技股份有限公司 Method, system and related device for determining lost host
CN110572406B (en) * 2019-09-12 2022-03-22 深信服科技股份有限公司 Method, system and related device for determining lost host

Similar Documents

Publication Publication Date Title
US10887330B2 (en) Data surveillance for privileged assets based on threat streams
US20210258337A1 (en) Elastic asset-based licensing model for use in a vulnerability management system
US7694343B2 (en) Client compliancy in a NAT environment
CN114145004B (en) System and method for using DNS messages to selectively collect computer forensic data
US10841320B2 (en) Identifying command and control endpoint used by domain generation algorithm (DGA) malware
US20100235915A1 (en) Using host symptoms, host roles, and/or host reputation for detection of host infection
US20150222667A1 (en) Protection system including security rule evaluation
US20190081952A1 (en) System and Method for Blocking of DNS Tunnels
US11818151B2 (en) Identification of malicious domain campaigns using unsupervised clustering
US20090119745A1 (en) System and method for preventing private information from leaking out through access context analysis in personal mobile terminal
WO2015167523A1 (en) Packet logging
US11616793B2 (en) System and method for device context and device security
JP2010520566A (en) System and method for providing data and device security between an external device and a host device
US11374946B2 (en) Inline malware detection
US10574674B2 (en) Host level detect mechanism for malicious DNS activities
KR101961451B1 (en) Origin tracking method and system using dns server for infected system
US11526564B2 (en) Triggered scanning based on network available data change
Pourrahmani et al. A review of the security vulnerabilities and countermeasures in the Internet of Things solutions: A bright future for the blockchain
US9390290B1 (en) Applying group policies
US11671441B2 (en) Systems and methods for external detection of misconfigured systems
EP3999985A1 (en) Inline malware detection
Quinan et al. Activity and Event Network Graph and Application to Cyber-Physical Security
Kalil Policy Creation and Bootstrapping System for Customer Edge Switching
Chowdhury Finding malicious usage via Capture, Storage, Analysis and Visualization of DNS packets
US11863586B1 (en) Inline package name based supply chain attack detection and prevention

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant