KR102015897B1 - 악성 코드 분석을 위한 모조 응답 패킷을 생성하는 네트워크 접속 유도 방법 - Google Patents

악성 코드 분석을 위한 모조 응답 패킷을 생성하는 네트워크 접속 유도 방법 Download PDF

Info

Publication number
KR102015897B1
KR102015897B1 KR1020180127416A KR20180127416A KR102015897B1 KR 102015897 B1 KR102015897 B1 KR 102015897B1 KR 1020180127416 A KR1020180127416 A KR 1020180127416A KR 20180127416 A KR20180127416 A KR 20180127416A KR 102015897 B1 KR102015897 B1 KR 102015897B1
Authority
KR
South Korea
Prior art keywords
network connection
malicious code
client terminal
server
inducing device
Prior art date
Application number
KR1020180127416A
Other languages
English (en)
Inventor
김기홍
Original Assignee
(주) 세인트 시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 세인트 시큐리티 filed Critical (주) 세인트 시큐리티
Priority to KR1020180127416A priority Critical patent/KR102015897B1/ko
Application granted granted Critical
Publication of KR102015897B1 publication Critical patent/KR102015897B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/12Arrangements for detecting or preventing errors in the information received by using return channel
    • H04L1/16Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
    • H04L1/18Automatic repetition systems, e.g. Van Duuren systems
    • H04L1/1867Arrangements specially adapted for the transmitter end
    • H04L1/188Time-out mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Cardiology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은, 악성 코드에 감염된 클라이언트 단말기와, 악성 코드 관련 서버와, 클라이언트 단말기 및 C&C 서버 사이에 제공되는 네트워크 접속 유도 장치를 포함하는 환경에서 수행되는 네트워크 접속 유도 방법으로서, 상기 네트워크 접속 유도 방법은, 네트워크 접속 유도 장치가 클라이언트 단말기로부터 접속 요청(SYN)을 수신하는 제1 단계와; 네트워크 접속 유도 장치가 제1 단계에서 수신한 접속 요청을 악성 코드 관련 서버로 전달하는 제2 단계와; 네트워크 접속 유도 장치가 소정의 시간 내에 악성 코드 관련 서버로부터 응답 패킷(ACK)을 수신하지 못하면, 네트워크 접속 유도 장치가 생성한 모조 응답 패킷(ACK)을 접속 요청(SYN)과 함께 클라이언트 단말기로 전송하는 제3 단계와; 네트워크 접속 유도 장치가 클라이언트 단말기로부터 악성 코드 관련 데이터를 수신하는 제4 단계를 포함한다.

Description

악성 코드 분석을 위한 모조 응답 패킷을 생성하는 네트워크 접속 유도 방법{Method for Inducing Network Connection Which Generating Fake Ack Packet for Analyzing Malware}
본 발명은 악성 코드에 감염된 클라이언트 단말기와 서버 사이에서 모조 응답 패킷을 생성하는 네트워크 접속 유도 방법에 대한 것이다.
악성 코드를 분석하는 방법에는 정적 분석 방법과 동적 분석 방법이 있다. 정적 분석은, 악성 코드에 감염된 파일을 디버거나 디스어셈블러 등의 분석 도구를 이용하여 분석하는 방법이다. 동적 분석은 가상의 환경에서 악성 코드에 감염된 파일을 실행시켜서 파생되는 여러 정보를 취합하여 분석하는 방법이다.
동적 분석에 있어서 중요한 요소는 시스템의 행위와 네트워크 행위의 분석이다. 시스템의 행위는, 시스템상에서 프로세스, 파일, 레지스트리, API 호출 등과 같이 시스템상에서 일어나는 여러 행위를 의미한다. 네트워크 행위는, 분석 대상의 악성 코드를 실행시킴으로써 발생하는 네트워크적인 행위를 의미한다.
일반적으로, 시스템의 행위는, 백신을 개발하고, PC에서 악성 코드를 탐지하기 위한 정보를 추출하는데에 많이 이용된다. 네트워크 행위는, 방화벽, IDS, IPS 등 네트워크 보안 장비에서 악성 코드를 탐지하기 위한 정보를 추출하는데에 많이 이용된다.
네트워크 행위를 분석하기 위해서는, 악성 코드가 사용하는 명령 제어 서버(C&C 서버)나, 추가적인 악성 코드를 다운로드하기 위한 다운로드 서버 또는 악성 코드들끼리 정보를 주고 받거나 해커와 정보를 주고 받는 커뮤니케이션 패킷 등의 정보를 추출하여 분석해야 하는데, 서버가 작동하지 않는 경우에는 그러한 정보의 추출이 불가능해진다. 서버가 작동하지 않는 이유로는, 네트워크 자체의 문제일 수도 있고, 해커가 서버의 동작을 중지시킨 것일 수도 있으며, 소프트웨어 로직상의 문제로 서버가 작동하지 않을 수 있다.
도 4에는 종래 기술에 의한 클라이언트 단말기(10)와 서버(30)간의 접속 과정이 도시되어 있다.
클라이언트 단말기(10)는 서버(30)에 접속 요청(SYN)을 하고(단계 400), 정상적으로 작동하는 서버(30)라면 접속 요청(SYN) 및 응답 패킷(ACK)을 클라이언트 단말기(10)로 전송한다(단계 410). 그렇게 해서 TCP 연결이 되면, 악성 코드에 감염된 클라이언트 단말기(10)는 응답 패킷(ACK)과 데이터를 서버(30)로 전송한다(단계 420). 이 때 전송되는 데이터 즉 최초의 데이터는 악성 코드 분석에 중요한 정보를 포함하고 있다. 데이터는 응답 패킷(ACK)과 함께 전송될 수도 있고, 응답 패킷(ACK)과 따로 전송될 수도 있다.
그런데 서버(30)가 작동하지 않는 경우에는, 클라이언트 단말기(10)로 응답 패킷(ACK)이 전송되지 않으므로 단계(420)가 실행되지 못하고, 따라서 악성 코드의 동적 분석이 불가능해진다.
이처럼 서버가 작동을 중지하면 악성 코드의 네트워크 관련 정보 추출을 위해서 정적 분석을 시도할 수 밖에 없는데 그 경우 동적 분석에 비해 수배에서 수십배까지 분석 시간이 걸린다.
본 발명은, 서버가 작동을 중지한 경우에도 네트워크 행위에 대한 동적 분석이 가능하게 하는 것을 목적으로 한다.
본 발명은, 악성 코드에 감염된 클라이언트 단말기와, 악성 코드 관련 서버와, 클라이언트 단말기 및 C&C 서버 사이에 제공되는 네트워크 접속 유도 장치를 포함하는 환경에서 수행되는 네트워크 접속 유도 방법으로서, 상기 네트워크 접속 유도 방법은, 네트워크 접속 유도 장치가 클라이언트 단말기로부터 접속 요청(SYN)을 수신하는 제1 단계와; 네트워크 접속 유도 장치가 제1 단계에서 수신한 접속 요청을 악성 코드 관련 서버로 전달하는 제2 단계와; 네트워크 접속 유도 장치가 소정의 시간 내에 악성 코드 관련 서버로부터 응답 패킷(ACK)을 수신하지 못하면, 네트워크 접속 유도 장치가 생성한 모조 응답 패킷(ACK)을 접속 요청(SYN)과 함께 클라이언트 단말기로 전송하는 제3 단계와; 네트워크 접속 유도 장치가 클라이언트 단말기로부터 악성 코드 관련 데이터를 수신하는 제4 단계를 포함한다.
본 발명에 의한 네트워크 접속 유도 방법은 제4 단계에서 수신한 악성 코드 관련 데이터를 악성 코드 분석 단말기로 전송하는 제5 단계를 더 포함할 수 있다.
제4 단계에서 수신한 악성 코드 관련 데이터는, 악성 코드에 감염된 클라이언트 단말기가 전송하는 최초의 데이터 패킷일 수 있다.
본 발명에 의하면 악성 코드 관련 서버가 작동을 중지한 상태에서도 악성 코드의 동적 분석을 위한 정보를 수집할 수 있는 작용효과가 있다.
도 1은 서버가 작동할 때의 본 발명에 의한 네트워크 유도 방법의 흐름도.
도 2는 서버가 작동하지 않을 때의 본 발명에 의한 네트워크 유도 방법의 흐름도.
도 3은 본 발명에 의한 네트워크 유도 방법이 실행되는 환경을 도시한 도면.
도 4는 종래 기술에 의한 서버 접속 과정의 흐름도.
도 5는 클라이언트 단말기와 서버간의 접속 과정에서 주고 받는 데이터의 예시를 도시한 도면.
이하에서는 첨부 도면을 참조하여 본 발명에 대해서 자세하게 설명한다.
본 명세서에서 수행되는 정보(데이터) 전송/수신 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 명세서 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 명세서에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, A로부터 B까지 직접 전송(전달) 또는 수신되는 것 만을 표현하는 것은 아니다. 본 발명의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행 단계로 설명된 과정보다 앞서서 수행되더라도 발명의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 “A 또는 B”은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 명세서에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.
본 명세서에서는 본 발명의 설명에 필요한 필수적인 구성요소만을 설명하며, 본 발명의 본질과 관계가 없는 구성요소는 언급하지 아니한다. 그리고 언급되는 구성요소만을 포함하는 배타적인 의미로 해석되어서는 아니되며 필수적이지 않은 특정 구성요소를 배제하거나 다른 구성요소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.
본 명세서 및 도면에서 "서버" 또는 "악성 코드 관련 서버"라 함은, 악성 코드가 사용하는 명령 제어 서버(C&C 서버)나, 추가적인 악성 코드를 다운로드하기 위한 다운로드 서버 또는 악성 코드들끼리 정보를 주고 받거나 해커와 정보를 주고 받는 데에 관련된 서버와 같이 악성 코드에 관련되어 기능하는 범용의 개념을 가지는 객체로 정의된다.
도 1에는 서버(30)가 정상적으로 작동할 때의 본 발명에 의한 네트워크 접속 방법의 흐름도가 도시되어 있다.
도 3에 도시된 바와 같이 본 발명에 의한 네트워크 접속 유도 장치(20)는 게이트웨이(50)와 통신망(60) 사이에서 전송 데이터가 거쳐가는 일종의 중개 장치로서 제공되며, 클라이언트 단말기(10)가 네트워크에 접속할 때에 패킷을 모니터링하고 후술하는 모조 패킷을 생성하는 등의 본 발명에 의한 기능을 수행하는 소프트웨어와 하드웨어의 결합으로 구성된다.
클라이언트 단말기(10)가 접속 요청(SYN)을 하면(단계 100), 네트워크 접속 유도 장치(20)를 거쳐서 서버(30)로 접속 요청(SYN)이 전송된다(단계 110). 도 1에서는 서버(30)가 정상적으로 작동하기 때문에 서버(30)는 접속 요청(SYN) 및 응답 패킷(ACK)을 전송하며(단계 120), 그 접속 요청(SYN)과 응답 패킷(ACK)은 네트워크 접속 유도 장치(20)를 거쳐서 클라이언트 단말기(10)로 전달된다(단계 130). 정상적인 접속으로 판단하므로 클라이언트 단말기(10)는 응답 패킷(ACK)과 데이터 즉 악성 코드의 동적 분석에 유의미한 내용을 포함하는 데이터를 네트워크 접속 유도 장치(20)로 전송하며(단계 140), 상기 응답 패킷(ACK)과 데이터는 네트워크 접속 유도 장치(20)를 거쳐서 서버(30)로 전송된다. 네트워크 접속 유도 장치(20)는 수신한 악성 코드 관련 데이터를 악성 코드 분석 단말기(도시되지 않음)로 전송하여 동적 분석에 사용할 수 있다.
도 5에는 클라이언트 단말기(10)와 서버(30)간의 접속 과정에서 주고 받는 데이터의 일례가 도시되어 있다. 도 5에 도시된 예시와 같이, 서버(30; 도 5의 예시에서 IP주소가 52.219.60.92)가 접속 요청(SYN)과 응답 패킷(ACK)을 보내 주어서 TCP 세션이 생성되면 클라이언트 단말기(10; 도 5의 예시에서 IP 주소가 10.10..02)는 최초 데이터 패킷을 서버(30)로 전송하도록 되어 있다.
최초 데이터 패킷(70)에는 HTTP의 경우 실제로 어느 사이트의 어느 페이지에 최초 접속하는지 등에 대한 정보가 포함되어 있을 수 있다.
도 2에는 서버(30)가 작동하지 않는 경우의 본 발명에 의한 네트워크 접속 유도 방법의 흐름도가 도시되어 있다.
클라이언트 단말기(10)가 접속 요청(SYN)을 하고(단계 200), 그 접속 요청이 본 발명에 의한 네트워크 접속 유도 장치(20)를 거쳐서 서버(30)로 전달된다(단계 210). 그런데 서버(30)가 작동하지 않는 상태이기 때문에 서버(30)로부터 응답 패킷(ACK)을 수신할 수 없는 상태이다. 네트워크 접속 유도 장치(20)는 소정의 시간(timeout 시간) 동안 대기한다(단계 220). 소정의 대기 시간 내에 서버(30)로부터 응답 패킷(ACK)이 수신되지 않는 경우에는 네트워크 접속 유도 장치(20)가 모조 응답 패킷(ACK)을 생성해서 접속 요청(SYN)과 함께 클라이언트 단말기(10)로 전송한다. 소정의 시간 내에 서버(30)로부터 정상적인 응답 패킷(ACK)이 수신되면 모조 패킷을 생성하지 않고 도 1의 과정을 따른다.
본 발명은, 악성 코드가 사용하는 모든 트래픽에 대한 프로토콜을 분석하고 그에 대한 모조 패킷을 생성하여 응답하지는 않는다. 악성 코드가 사용하는 매우 일반적인 TCP 프로토콜상에서 TCP 세션만 생성하면 악성 코드에 감염된 클라이언트 단말기(10)가 전송하는 최초의 데이터 패킷을 추출할 수 있고, 그 최초의 데이터 패킷에 악성 코드의 동적 분석에 필요한 중요 정보들이 포함되어 있기 때문에, 본 발명은 TCP 세션을 생성하기 위한 모조 응답 패킷을 생성한다.
모조 응답 패킷(ACK)을 수신한 클라이언트 단말기(10)는 응답 패킷(ACK)과 함께 데이터 즉 최초의 데이터 패킷을 네트워크 접속 유도 장치(20)로 전송한다(단계 240). 네트워크 접속 유도 장치(20)는 악성 코드 분석에 필요한 데이터를 추출하고(단계 250), 필요한 경우 추출된 데이터를 악성 코드 분석 단말기(도시되지 않음)로 전송할 수 있다. 최초의 데이터 패킷에는 HTTP의 경우 실제로 어느 사이트의 어느 페이지에 최초로 접속하는지 등과 같은 악성 코드의 동적 분석에 필요한 정보가 포함되어 있을 수 있다. 그러한 정보를 분석함으로써 서버(30)가 작동하지 않는 동안에도 악성 코드의 탐지, 대규모 확산, 활동 감지 등의 동적 분석을 수행할 수 있게 된다.
이상 첨부 도면을 참고하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.
10: 클라이언트 단말기
20: 네트워크 접속 유도 장치
30: 서버

Claims (3)

  1. 악성 코드에 감염된 클라이언트 단말기와, 악성 코드의 활성화에 관련된 악성 코드 관련 서버와, 클라이언트 단말기 및 악성 코드 관련 서버 사이에 제공되는 네트워크 접속 유도 장치를 포함하는 환경에서 수행되는 네트워크 접속 유도 방법에 있어서,
    네트워크 접속 유도 장치가 클라이언트 단말기로부터 접속 요청(SYN)을 수신하는 제1 단계와,
    네트워크 접속 유도 장치가 제1 단계에서 수신한 접속 요청을 악성 코드 관련 서버로 전달하는 제2 단계와,
    네트워크 접속 유도 장치가 소정의 시간 내에 악성 코드 관련 서버로부터 응답 패킷(ACK)을 수신하지 못하면, 네트워크 접속 유도 장치가 클라이언트 단말기와의 TCP 세션 생성을 위해 생성한 모조 응답 패킷(ACK)을 접속 요청(SYN)과 함께 클라이언트 단말기로 전송하는 제3 단계와,
    네트워크 접속 유도 장치가 클라이언트 단말기로부터 악성 코드 관련 데이터를 수신하는 제4 단계를 포함하며,
    제4 단계에서 수신한 악성 코드 관련 데이터는, 악성 코드에 감염된 클라이언트 단말기가 전송하는 최초의 데이터 패킷인,
    네트워크 접속 유도 방법.
  2. 청구항 1에 있어서,
    제4 단계에서 수신한 악성 코드 관련 데이터를 악성 코드 분석 단말기로 전송하는 제5 단계를 더 포함하는,
    네트워크 접속 유도 방법.
  3. 삭제
KR1020180127416A 2018-10-24 2018-10-24 악성 코드 분석을 위한 모조 응답 패킷을 생성하는 네트워크 접속 유도 방법 KR102015897B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180127416A KR102015897B1 (ko) 2018-10-24 2018-10-24 악성 코드 분석을 위한 모조 응답 패킷을 생성하는 네트워크 접속 유도 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180127416A KR102015897B1 (ko) 2018-10-24 2018-10-24 악성 코드 분석을 위한 모조 응답 패킷을 생성하는 네트워크 접속 유도 방법

Publications (1)

Publication Number Publication Date
KR102015897B1 true KR102015897B1 (ko) 2019-08-28

Family

ID=67774870

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180127416A KR102015897B1 (ko) 2018-10-24 2018-10-24 악성 코드 분석을 위한 모조 응답 패킷을 생성하는 네트워크 접속 유도 방법

Country Status (1)

Country Link
KR (1) KR102015897B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010212916A (ja) * 2009-03-09 2010-09-24 Oita Univ スキャン攻撃不正侵入防御装置
KR101390475B1 (ko) * 2013-02-05 2014-04-29 주식회사 윈스 네트워크 기반의 악성코드 탐지 시스템 및 탐지 방법
KR101662530B1 (ko) * 2015-05-28 2016-10-05 한국전자통신연구원 호스트의 악성 도메인 접근 탐지와 차단 시스템, 및 그 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010212916A (ja) * 2009-03-09 2010-09-24 Oita Univ スキャン攻撃不正侵入防御装置
KR101390475B1 (ko) * 2013-02-05 2014-04-29 주식회사 윈스 네트워크 기반의 악성코드 탐지 시스템 및 탐지 방법
KR101662530B1 (ko) * 2015-05-28 2016-10-05 한국전자통신연구원 호스트의 악성 도메인 접근 탐지와 차단 시스템, 및 그 방법

Similar Documents

Publication Publication Date Title
Cyr et al. Security analysis of wearable fitness devices (fitbit)
EP3691217B1 (en) Web traffic logging system and method for detecting web hacking in real time
US10264079B2 (en) Fastpath web sessions with HTTP header modification by redirecting clients
JP2017538376A (ja) オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
CN112866244B (zh) 基于虚拟网络环境的网络流量沙箱检测方法
US10277612B2 (en) Autonomic exclusion in a tiered delivery network
EP3509001A1 (en) Method and apparatus for detecting zombie feature
CN107317816B (zh) 一种基于客户端应用程序鉴别的网络访问控制方法
US10567395B2 (en) Detection of potentially malicious web content by emulating user behavior and user environment
KR20140011515A (ko) 리퍼러 검증 장치 및 그 방법
KR20120137326A (ko) 악성도메인을 검출하기 위한 방법 및 장치
Rahman et al. Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm
CN104811507A (zh) 一种ip地址获取方法及装置
US11943250B2 (en) Test device
KR102015897B1 (ko) 악성 코드 분석을 위한 모조 응답 패킷을 생성하는 네트워크 접속 유도 방법
KR101881279B1 (ko) 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법
US20210297390A1 (en) Systems and methods for using push notifications to establish proxied communications and for security policy enforcement
CN113992734A (zh) 会话连接方法及装置、设备
CN115801293A (zh) 一种访问控制的安全检测方法、设备及装置
RU2706894C1 (ru) Система и способ анализа содержимого зашифрованного сетевого трафика
KR20170051043A (ko) 정보유출방지 장치 및 방법
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법
KR101448711B1 (ko) 통신 암호화를 통한 보안시스템 및 보안방법
CN107547564A (zh) 一种报文处理的方法及装置

Legal Events

Date Code Title Description
AMND Amendment
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant