KR102177223B1 - Server and system for performing mornitoring of malware - Google Patents
Server and system for performing mornitoring of malware Download PDFInfo
- Publication number
- KR102177223B1 KR102177223B1 KR1020200078418A KR20200078418A KR102177223B1 KR 102177223 B1 KR102177223 B1 KR 102177223B1 KR 1020200078418 A KR1020200078418 A KR 1020200078418A KR 20200078418 A KR20200078418 A KR 20200078418A KR 102177223 B1 KR102177223 B1 KR 102177223B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- terminal
- online
- file
- server
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
-
- H04L67/22—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Artificial Intelligence (AREA)
- Biophysics (AREA)
- Evolutionary Computation (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 악성코드 모니터링을 수행하는 서버 및 그 시스템에 관한 것이다.The present invention relates to a server and a system for monitoring malicious code.
2017년 버라이즌(Verizon)의 데이터 사고 분석 보고에 따르면, 정보 유출 사고의 51%가 악성코드와 연관돼 있고, 평균 악성코드 감염 시간은 6분이라고 한다.According to a 2017 data incident analysis report by Verizon, 51% of information breaches are related to malware, and the average malware infection time is 6 minutes.
이런 악성코드에 대한 전통적인 대응은 안티 바이러스이며, 이는 현재도 유효한 악성코드 대응 방법이고, 계속해서 새로운 보안 기술을 보강해가며 나름 발전하고 있다.The traditional countermeasure against such malicious codes is anti-virus, which is still a valid countermeasure against malicious codes, and it is constantly evolving by reinforcing new security technologies.
그러나 새로운 악성코드와 변종 악성코드는 'AV-TEST'(Anti-Virus 시험기관) 통계 기준으로 하루에 평균 390,000개가 발생하고 있다.However, an average of 390,000 new malicious codes and variant malicious codes occur per day based on statistics of'AV-TEST' (Anti-Virus testing agency).
이에 대한 적절한 대응은 악성코드 전문 분석가들에게도 매우 어려운 일이다.Appropriate response to this is very difficult even for malware expert analysts.
또한, 각종 분석을 돕기 위한 자동화 도구와 샌드박스 등이 있지만 해커들의 회피 기술 역시 발전해 악성코드 탐지가 더욱 어려워지고 있다.In addition, there are automation tools and sandboxes to help various analysis, but hackers' evasion technology has also developed, making it more difficult to detect malicious codes.
그리고 지난 10년 동안의 악성코드 증가 추이를 보면 기하급수적으로 증가하는 것을 확인할 수 있다.And if you look at the trend of malicious code growth over the past 10 years, you can see that it is increasing exponentially.
특히 악성코드 자신을 숨기는 다양한 방법들이 시도되고, 자동화 변조 보급되는 패턴을 보이고도 있다.In particular, various methods of hiding malicious codes themselves have been tried, and there are also patterns in which automated alterations are spread.
현재의 악성코드 탐지기술은 시그니처 기반의 패턴탐지가 핵심을 이루고 있고, 악성코드의 패턴은 분석가에 의하여 수작업으로 분석되며, 악성코드 패턴을 추출하여 악성코드 데이터베이스에 등록하여 비교하고 있다.In the current malicious code detection technology, signature-based pattern detection is the core, and the pattern of malicious code is manually analyzed by an analyst, and malicious code patterns are extracted and registered in a malicious code database for comparison.
이러한 방법은 더 이상 악성코드의 증가에 따른 대안이 될 수 없다는 문제가 있다.There is a problem that this method can no longer be an alternative to the increase of malicious codes.
또한, 최근 랜섬웨어와 같은 패턴을 찾기 어려운 악성코드와 제로 데이(Zero-day)공격과 같이 악성코드가 발견되기 전 확산되는 악성코드에는 속수무책으로 당할 수밖에 없는 것이 현실이다.In addition, the reality is that malicious codes that are difficult to find patterns such as ransomware and that spread before malicious codes such as zero-day attacks are found are inevitable.
이에 대하여 휴리스틱 탐지 방법과 동적 분석 탐지 방법이 계속 발전하면서 적용되고 있지만 아직까지 현실적인 대안으로는 부족하다.On the other hand, heuristic detection methods and dynamic analysis detection methods are being applied as they continue to develop, but there are still insufficient practical alternatives.
이에 본 발명은 보다 개선된(enhanced) 악성코드 모니터링을 수행하는 서버 및 그 시스템을 제안하려고 한다.Accordingly, the present invention intends to propose a server and a system for performing more advanced malicious code monitoring.
본 발명의 일 실시예는 악성코드 모니터링을 수행하는 서버 및 그 시스템을 제공하는데 그 목적이 있다.An object of the present invention is to provide a server and a system for monitoring malicious codes.
이와 같이 본 발명의 일 실시예는 사용자가 선택한 적어도 하나의 결혼 서비스와 다른 후보 결혼 서비스 사이의 가격 차이를 시각적으로 보여주는 것에 그 목적이 있다.As described above, an embodiment of the present invention has an object to visually show a price difference between at least one marriage service selected by a user and another candidate marriage service.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical problems to be achieved in the present invention are not limited to the technical problems mentioned above, and other technical problems that are not mentioned will be clearly understood by those of ordinary skill in the technical field to which the present invention belongs from the following description. I will be able to.
본 발명의 일 실시예는 악성코드의 모니터링을 수행하는 시스템에 있어서, 제1 단말 및 제2 단말을 포함하는 복수의 단말들; 및 상기 복수의 단말들에 대한 온라인 접속 기록을 모니터링하는 서버; 를 포함하는 시스템을 제안한다.An embodiment of the present invention provides a system for monitoring a malicious code, comprising: a plurality of terminals including a first terminal and a second terminal; And a server for monitoring online access records for the plurality of terminals. It proposes a system including.
상기 서버는, 상기 제1 단말의 제1 온라인 접속 기록 정보를 상기 제1 단말로부터 수신하고, 상기 제2 단말의 제2 온라인 접속 기록 정보를 상기 제2 단말로부터 수신하고, 상기 제1 단말에서 악성코드가 발견되었음을 나타내는 정보를 상기 제1 단말로부터 수신하고, 상기 제2 단말에서 악성코드가 발견되었음을 나타내는 정보를 상기 제2 단말로부터 수신하고, 상기 제1 온라인 접속 기록 정보 및 상기 제2 온라인 접속 기록 정보에 기반하여 감염 의심 경로를 나타내는 정보를 생성하는 것을 특징으로 할 수 있다.The server receives the first online connection record information of the first terminal from the first terminal, receives the second online connection record information of the second terminal from the second terminal, and is malicious in the first terminal. Receive information indicating that a code has been found from the first terminal, information indicating that a malicious code has been found in the second terminal is received from the second terminal, and the first online access record information and the second online access record It may be characterized by generating information indicating a suspicious path of infection based on the information.
상기 서버는, 상기 제1 온라인 접속 기록 정보와 상기 제2 온라인 접속 기록 정보를 비교하고, 상기 비교 결과에 기반하여 상기 감염 의심 경로를 나타내는 정보를 생성하고, 상기 감염 의심 경로를 나타내는 정보에 기반하여 소정의 알람 정보를 생성하여 상기 복수의 단말들에게 전달하는 것을 특징으로 할 수 있다.The server compares the first online access record information and the second online access record information, generates information indicating the suspicious infection path based on the comparison result, and generates information indicating the suspicious infection path. It may be characterized in that predetermined alarm information is generated and transmitted to the plurality of terminals.
상기 서버는, 제1 파일에 대한 보안 등급을 설정하고, 상기 제1 파일에 대한 실행을 요청하는 메시지를 상기 복수의 단말들 중 적어도 어느 하나로부터 수신하고, 상기 보안 등급에 기반하여 상기 제1 파일의 실행 여부에 대한 판단을 수행하는 것을 특징으로 할 수 있다.The server sets a security level for the first file, receives a message requesting execution of the first file from at least one of the plurality of terminals, and receives the first file based on the security level It may be characterized by performing a judgment on whether to execute or not.
상기 서버는, 상기 보안 등급에 기반하여 상기 제1 파일을 서버에서 실행할지 또는 외부 서버에서 실행할지 여부에 대한 판단을 수행하고, 상기 판단 결과에 기반하여 상기 제1 파일을 실행하거나 또는 상기 외부 서버에게 전달하고, 상기 제1 파일의 실행 결과를 나타내는 정보를 상기 외부 서버로부터 수신하는 것을 특징으로 할 수 있다.The server performs a determination as to whether to execute the first file on a server or an external server based on the security level, and executes the first file or the external server based on the determination result And receiving information indicating the execution result of the first file from the external server.
상기 서버는, 상기 제1 단말에 의해 설치 요청된 제1 애플리케이션에 대한 제1 정보를 상기 제1 단말로부터 수신하고, 상기 제1 단말의 제1 시점의 CPU 정보, 상기 제1 시점의 메모리 정보, 상기 제1 시점의 로드 평균(load average) 정보 및 상기 제1 시점의 트래픽(traffic) 정보를 상기 제1 단말로부터 수신하되, 상기 제1 시점은 상기 서버가 상기 제1 정보를 수신한 시점을 나타낼 수 있다.The server receives first information on a first application requested to be installed by the first terminal from the first terminal, CPU information of a first time point of the first terminal, memory information of the first time point, Receives load average information of the first time point and traffic information of the first time point from the first terminal, wherein the first time point indicates a time point at which the server receives the first information. I can.
상기 서버는, 상기 서버의 데이터베이스(DB)에 저장된 상기 제1 파일의 악성 코드 보유 확률 정보, 상기 제1 정보, 상기 제1 시점의 상기 CPU 정보, 상기 제1 시점의 상기 메모리 정보, 상기 제1 시점의 상기 로드 평균 정보 및 상기 제1 시점의 상기 트래픽 정보를, 인공신경망 모델(artificial intelligence network model)에 적용함으로써 상기 제1 파일을 상기 제1 단말에 설치(install)할지 여부를 결정할 수 있다.The server, the malicious code retention probability information of the first file stored in the database (DB) of the server, the first information, the CPU information at the first time, the memory information at the first time, the first It is possible to determine whether to install the first file in the first terminal by applying the load average information at a time point and the traffic information at the first time point to an artificial intelligence network model.
상기 서버는, 상기 제1 파일을 상기 제1 단말에 설치하는 것으로 결정되면, 상기 제1 파일을 상기 제1 단말에 설치하는 것을 지시하는 설치 지시 정보를 상기 제1 단말에게 전송하는 것을 특징으로 할 수 있다.The server, when it is determined to install the first file on the first terminal, transmits installation instruction information instructing to install the first file on the first terminal to the first terminal. I can.
이와 같이 본 발명의 일 실시예는 악성코드 모니터링을 수행하는 서버 및 그 시스템을 제안한다는 측면에서 기술적인 효과를 갖는다.As described above, an embodiment of the present invention has a technical effect in terms of proposing a server and a system for monitoring malicious codes.
또한 본 발명의 다양한 실시예들에 따르면, 서버 및 사용자 디바이스를 관리하는 방법을 다각화하여, 서버를 관리하는 관리자 및 사용자 디바이스를 이용하는 사용자의 편의를 증대할 수 있다.In addition, according to various embodiments of the present disclosure, a method of managing a server and a user device may be diversified to increase convenience of an administrator managing a server and a user using a user device.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtainable in the present invention are not limited to the above-mentioned effects, and other effects not mentioned can be clearly understood by those of ordinary skill in the art from the following description. will be.
본 발명의 특정한 바람직한 실시예들의 상기에서 설명한 바와 같은 또한 다른 측면들과, 특징들 및 이득들은 첨부 도면들과 함께 처리되는 하기의 설명으로부터 보다 명백하게 될 것이다.
도 1은 본 발명의 일 실시예에 따른 악성코드 모니터링을 수행하는 방법을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 악성코드 모니터링을 수행하는 방법을 나타내는 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 악성코드 모니터링을 수행하는 방법을 나타내는 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 악성코드 모니터링을 수행하는 시스템을 나타내는 블록도이다.
도 5는 본 발명의 일 실시예에 따른 악성코드 모니터링을 수행하는 시스템을 나타내는 도면이다.
도 6은 본 발명의 일 실시예에 따른 저장 모듈을 나타내는 블록도이다.
상기 도면들을 통해, 유사 참조 번호들은 동일한 혹은 유사한 엘리먼트들과, 특징들 및 구조들을 도시하기 위해 사용된다는 것에 유의해야만 한다.Other aspects, features and benefits as described above of certain preferred embodiments of the present invention will become more apparent from the following description, which is handled in conjunction with the accompanying drawings.
1 is a diagram illustrating a method of monitoring a malicious code according to an embodiment of the present invention.
2 is a flowchart illustrating a method of monitoring a malicious code according to an embodiment of the present invention.
3 is a flowchart illustrating a method of monitoring a malicious code according to an embodiment of the present invention.
4 is a block diagram showing a system for monitoring malicious code according to an embodiment of the present invention.
5 is a diagram illustrating a system for monitoring malicious code according to an embodiment of the present invention.
6 is a block diagram illustrating a storage module according to an embodiment of the present invention.
It should be noted that throughout the drawings, like reference numbers are used to show the same or similar elements, features, and structures.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
실시예를 설명함에 있어서 본 발명이 속하는 기술 분야에 익히 알려져 있고 본 발명과 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 발명의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.In describing the embodiments, descriptions of technical contents that are well known in the technical field to which the present invention pertains and are not directly related to the present invention will be omitted. This is to more clearly convey the gist of the present invention by omitting unnecessary description.
마찬가지 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다. 또한, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 각 도면에서 동일한 또는 대응하는 구성요소에는 동일한 참조 번호를 부여하였다.For the same reason, some components in the accompanying drawings are exaggerated, omitted, or schematically illustrated. In addition, the size of each component does not fully reflect the actual size. The same reference numerals are assigned to the same or corresponding components in each drawing.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention, and a method of achieving them will become apparent with reference to the embodiments described below in detail together with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in a variety of different forms, only the present embodiments are intended to complete the disclosure of the present invention, and the general knowledge in the technical field to which the present invention pertains. It is provided to completely inform the scope of the invention to those who have it, and the invention is only defined by the scope of the claims. The same reference numerals refer to the same components throughout the specification.
이때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다.In this case, it will be appreciated that each block of the flowchart diagrams and combinations of the flowchart diagrams may be executed by computer program instructions.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.In addition, each block may represent a module, segment, or part of code that contains one or more executable instructions for executing the specified logical function(s). In addition, it should be noted that in some alternative execution examples, functions mentioned in blocks may occur out of order. For example, two blocks shown in succession may in fact be executed substantially simultaneously, or the blocks may sometimes be executed in reverse order depending on the corresponding function.
이 때, 본 실시 예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(Field-Programmable Gate Array) 또는 ASIC(Application Specific Integrated Circuit)과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다.In this case, the term'~ unit' used in the present embodiment refers to software or hardware components such as field-programmable gate array (FPGA) or application specific integrated circuit (ASIC), and'~ unit' is a certain role. Perform them.
본 발명의 실시예들을 구체적으로 설명함에 있어서, 특정 시스템의 예를 주된 대상으로 할 것이지만, 본 명세서에서 청구하고자 하는 주요한 요지는 유사한 기술적 배경을 가지는 여타의 통신 시스템 및 서비스에도 본 명세서에 개시된 범위를 크게 벗어나지 아니하는 범위에서 적용 가능하며, 이는 당해 기술분야에서 숙련된 기술적 지식을 가진 자의 판단으로 가능할 것이다.In describing the embodiments of the present invention in detail, examples of specific systems will be the main target, but the main subject matter to be claimed in this specification is the scope disclosed in the present specification to other communication systems and services having a similar technical background. It can be applied within a range that does not deviate greatly, and this will be possible at the judgment of a person skilled in the art.
이하 본 발명의 일 실시예에 따른 악성코드 모니터링을 수행하는 방법과 전술한 방법을 구현하는 서버와 그 시스템을 설명하도록 한다.Hereinafter, a method of monitoring a malicious code according to an embodiment of the present invention, a server implementing the above-described method, and a system thereof will be described.
도 1은 본 발명의 일 실시예에 따른 악성코드 모니터링을 수행하는 방법을 나타내는 도면이다.1 is a diagram illustrating a method of monitoring a malicious code according to an embodiment of the present invention.
도 1을 참조하면, 본 발명의 시스템은 수집채널과 가상환경 분석시스템, 리얼머신 분석시스템, 연관정보 분석시스템 간의 정보공유 및 파일전송을 통하여 구현될 수 있다. 또한 파일정보를 관리/기록하는 가상환경 분석시스템과 행위정보를 관리/기록하는 리얼머신 분석시스템과 연관정보를 관리/기록하는 연관정보 분석시스템은 상호 간에 각종 정보들을 공유할 수 있다.Referring to FIG. 1, the system of the present invention can be implemented through information sharing and file transmission between a collection channel, a virtual environment analysis system, a real machine analysis system, and a related information analysis system. In addition, a virtual environment analysis system that manages/records file information, a real machine analysis system that manages/records behavior information, and a related information analysis system that manages/records related information can share various types of information with each other.
상기 가상환경 분석시스템, 리얼머신 분석시스템, 연관정보 분석시스템 각각은 후술하는 관리 서버(310) 및/또는 외부 서버(330)에 의해 구현되거나, 각각 관리 서버(310) 또는 외부 서버(330)에 상응할 수 있다.Each of the virtual environment analysis system, real machine analysis system, and related information analysis system is implemented by a
도 2는 본 발명의 일 실시예에 따른 악성코드 모니터링을 수행하는 방법을 나타내는 흐름도이다.2 is a flowchart illustrating a method of monitoring a malicious code according to an embodiment of the present invention.
도 2를 참조하면, 상기 방법은 복수의 단말들에 대한 온라인 접속 기록을 모니터링하는 단계를 포함한다(S110).Referring to FIG. 2, the method includes monitoring records of online access for a plurality of terminals (S110).
예를 들면, 관리 서버(310)는 복수의 단말들(320, 340, 350, 360)에 대한 온라인 접속 기록을 나타내는 정보를 상기 복수의 단말들(320, 340, 350, 360) 각각으로부터 수신할 수 있다. 일 예로, 관리 서버(310)는 사용자 단말(320)로부터 제1 온라인 접속 기록을 나타내는 정보를 수신하고, 제2 사용자 단말(340)로부터 제2 온라인 접속 기록을 나타내는 정보를 수신하고, 제3 사용자 단말(350)로부터 제3 온라인 접속 기록을 나타내는 정보를 수신하고, 제4 사용자 단말(360)로부터 제4 온라인 접속 기록을 나타내는 정보를 수신할 수 있다.For example, the
상기 제1 온라인 접속 기록 내지 제4 온라인 접속 기록은 복수의 단말들(320, 340, 350, 360) 각각이 접속한 IP 주소, 접속 시간(예; 접속 내역, 마지막 접속 시간 등), 접속 횟수, 접속 대상(예; 특정 사이트, 네트워크 노드, 단말 등)에 대한 정보를 포함할 수 있다.The first online access record to the fourth online access record include the IP address to which each of the plurality of
또한 본 발명의 일 실시예에 따른 방법은 악성코드에 감염되었음을 나타내는 정보를 복수의 단말들 중 제1 감염 단말과 제2 감염 단말로부터 수신하는 단계를 포함한다(S120).In addition, the method according to an embodiment of the present invention includes receiving information indicating that the malicious code is infected from the first infected terminal and the second infected terminal among the plurality of terminals (S120).
예를 들면, 복수의 단말들(320, 340, 350, 360) 중에서 일부 단말들이 악성코드에 감염될 수 있으며, 이하 설명의 편의를 위해 제3 사용자 단말(350)과 제4 사용자 단말(360)이 악성코드에 감염된 경우를 예로 들어 설명한다.For example, some of the
관리 서버(310)는 제3 사용자 단말(350)로부터 상기 제3 사용자 단말(350)의 악성코드 감염 사실을 나타내는 정보를 수신하고, 상기 제3 사용자 단말(350)을 제1 감염 단말로 설정할 수 있다. 또한 관리 서버(310)는 제4 사용자 단말(360)로부터 상기 제4 사용자 단말(360)의 악성코드 감염 사실을 나타내는 정보를 수신하고, 상기 제4 사용자 단말(360)을 제2 감염 단말로 설정할 수 있다.The
한편, 악성코드 감염 사실을 나타내는 정보는 단말에 설치된 백신 프로그램 등에 의해 판단 및/또는 생성될 수 있으며, 또는 상기 단말의 하드웨어 성능이 임계치 이하로 떨어졌을 때 상기 단말 각각의 제어 모듈에 의해 생성될 수도 있다.On the other hand, information indicating the infection of the malicious code may be determined and/or generated by a vaccine program installed in the terminal, or may be generated by each control module of the terminal when the hardware performance of the terminal falls below a threshold. .
또한 본 발명의 일 실시예에 따른 방법은 제1 감염 단말에 대한 제3 온라인 접속 기록과 제2 감염 단말에 대한 제4 온라인 접속 기록을 비교하는 단계를 포함한다(S130).In addition, a method according to an embodiment of the present invention includes comparing a third online access record for the first infected terminal and a fourth online access record for the second infected terminal (S130).
예를 들면, 관리 서버(310)는 제1 감염 단말(예; 제3 사용자 단말(350))에 대한 제3 온라인 접속 기록과 제2 감염 단말(예; 제4 사용자 단말(360))에 대한 제4 온라인 접속 기록을 비교할 수 있다. 일 예로, 관리 서버(310)는 제1 감염 단말(예; 제3 사용자 단말(350))이 접속한 IP 주소, 접속 시간(예; 접속 내역, 마지막 접속 시간 등), 접속 횟수, 접속 대상(예; 특정 사이트, 네트워크 노드, 단말 등)에 대한 정보와 제2 감염 단말(예; 제4 사용자 단말(360))이 접속한 IP 주소, 접속 시간(예; 접속 내역, 마지막 접속 시간 등), 접속 횟수, 접속 대상(예; 특정 사이트, 네트워크 노드, 단말 등)에 대한 정보 간에 유사도를 판단하는 제1 프로세스 및/또는 동일성을 판단하는 제2 프로세스를 수행할 수 있다.For example, the
예를 들면, 상기 제1 감염 단말에 대한 제3 온라인 접속 기록과 상기 제2 감염 단말에 대한 제4 온라인 접속 기록에는 모두 적어도 하나의 제1 접속 시간 동안 적어도 하나의 제1 온라인 주소(또는 적어도 하나의 제1 IP 주소)에 접속한 기록이 존재할 수도 있다. 이때 접속 시간을 고려하는 것은 특정 사이트가 악성 코드에 대한 위험성이 존재하는 것이, 항시(always)가 아닌 특정 시간 만일 수도 있다는 점을 고려한 것이다.For example, in the third online access record for the first infected terminal and the fourth online access record for the second infected terminal, at least one first online address (or at least one There may be a record of accessing to (the first IP address of). In this case, considering the access time, it is taken into account that there may be a certain time, not always, that a certain site has a risk for malicious code.
또한 본 발명의 일 실시예에 따른 방법은 제3 온라인 접속 기록과 제4 온라인 접속 기록에 기반하여 의심 경로를 나타내는 정보를 생성하는 단계를 포함한다(S140).In addition, the method according to an embodiment of the present invention includes generating information indicating a suspicious path based on the third online access record and the fourth online access record (S140).
예를 들면, 관리 서버(310)는 제3 온라인 접속 기록과 제4 온라인 접속 기록에 기반하여 의심 경로를 나타내는 정보를 생성할 수 있으며, 일 예로, 관리 서버(310)는 상기 적어도 하나의 제1 접속 시간 및 상기 적어도 하나의 제1 온라인 주소에 기반하여 상기 의심 경로를 나타내는 정보를 생성할 수 있으며, 다른 예로, 상기 의심 경로를 나타내는 정보는 상기 적어도 하나의 제1 접속 시간 및 상기 적어도 하나의 제1 온라인 주소를 포함할 수도 있다.For example, the
또한 본 발명의 일 실시예에 따른 방법은 의심 경로를 나타내는 정보에 기반하여 알람 정보를 생성하여 복수의 단말들에게 송신하는 단계를 포함한다(S150).In addition, a method according to an embodiment of the present invention includes generating alarm information based on information indicating a suspicious path and transmitting it to a plurality of terminals (S150).
예를 들면, 관리 서버(310)는 의심 경로를 나타내는 정보에 기반하여 알람 정보를 생성하여 복수의 단말들(320, 340, 350, 360) 중 적어도 어느 하나에게 송신할 수 있다.For example, the
한편, 상기 S110 내지 S150은 순차적으로 구현될 수도 있으나, 그 순서는 변경되어 구현될 수 있으며, 상기 S110 내지 S150 중 일부 만이 본 발명의 다른 기재(방법)와 결합되어 구현될 수 있다.Meanwhile, the S110 to S150 may be implemented sequentially, but the order may be changed, and only some of the S110 to S150 may be implemented by being combined with other substrates (methods) of the present invention.
그리고 전술한 특징과 관련하여, 본 발명의 관리 서버(310)는 아래와 같은 특징을 더 포함할 수도 있다.And with respect to the above-described features, the
관리 서버(310)는 복수의 단말들(320, 340, 350, 360) 각각이 클린 단말(clean terminal) 및/또는 감염 단말(infected terminal)로 설정될 수 있는지 여부를 보다 정확하게 판단하기 위해, 소정의 주기 마다 상기 복수의 단말들(320, 340, 350, 360)이 '진단 모드(diagnostic mode)(또는 안전 모드)'로 설정될 수 있도록 제어하거나 및/또는 이를 위한 신호를 상기 복수의 단말들(320, 340, 350, 360)에게 전송할 수 있다. 이때 진단 모드(또는 안전 모드)로 설정된 복수의 단말들(320, 340, 350, 360)은 상기 진단 모드(또는 안전 모드)가 유지되는 동안 상기 복수의 단말들(320, 340, 350, 360) 각각의 제어 모듈은 입력 모듈을 통해 입력되는 신호를 수신하지 않도록 제어될 수 있다.In order to more accurately determine whether each of the plurality of
또한 관리 서버(310)는 사용자 단말(320)로부터 제1 온라인 접속 기록을 나타내는 정보를 수신하고, 제2 사용자 단말(340)로부터 제2 온라인 접속 기록을 나타내는 정보를 수신하고, 제3 사용자 단말(350)로부터 제3 온라인 접속 기록을 나타내는 정보를 수신하고, 제4 사용자 단말(360)로부터 제4 온라인 접속 기록을 나타내는 정보를 수신할 수 있다.In addition, the
설명의 편의를 위해 제3 사용자 단말(350)과 제4 사용자 단말(360)이 악성코드에 감염되고, 사용자 단말(320)과 제2 사용자 단말(340)이 악성코드에 감염되지 않은 경우를 예로 들어 설명한다. 이때 관리 서버(310)는 사용자 단말(320)을 제1 클린 단말로 설정하고, 제2 사용자 단말(340)을 제2 클린 단말로 설정하고, 제3 사용자 단말(350)을 제1 감염 단말로 설정하고, 제4 사용자 단말(360)을 제2 감염 단말로 설정할 수 있다.For convenience of explanation, it is assumed that the
일 예로, 상기 제1 감염 단말에 대한 제3 온라인 접속 기록과 상기 제2 감염 단말에 대한 제4 온라인 접속 기록에는 모두 적어도 하나의 제1 접속 시간 동안 적어도 하나의 제1 온라인 주소(또는 적어도 하나의 제1 IP 주소)에 접속한 기록과 적어도 하나의 제2 접속 시간 동안 적어도 하나의 제2 온라인 주소(또는 적어도 하나의 제2 IP 주소)에 접속한 기록이 존재할 수도 있다. 또한, 상기 제1 클린 단말에 대한 제1 온라인 접속 기록과 상기 제2 클린 단말에 대한 제2 온라인 접속 기록에는 모두 적어도 하나의 제2 접속 시간 동안 적어도 하나의 제2 온라인 주소(또는 적어도 하나의 제2 IP 주소)에 접속한 기록이 존재할 수도 있다.For example, in the third online access record for the first infected terminal and the fourth online access record for the second infected terminal, at least one first online address (or at least one There may be a record of accessing to the first IP address) and a record of accessing at least one second online address (or at least one second IP address) during the at least one second access time. In addition, in the first online access record for the first clean terminal and the second online access record for the second clean terminal, at least one second online address (or at least one second online address) during at least one second access time. 2 IP address) may have access records.
관리 서버(310)는 이에 기반하여 적어도 하나의 제1 접속 시간 동안 적어도 하나의 제1 온라인 주소(또는 적어도 하나의 제1 IP 주소)에 접속한 기록에 기반하여 의심 경로를 나타내는 정보를 생성하되, 상기 의심 경로를 나타내는 정보를 생성하는 과정에서 적어도 하나의 제2 접속 시간 동안 적어도 하나의 제2 온라인 주소(또는 적어도 하나의 제2 IP 주소)에 접속한 기록은 제외시킬 수도 있다.Based on this, the
다만, 제1 클린 단말과 제2 클린 단말이 적어도 하나의 제2 접속 시간 동안 적어도 하나의 제2 온라인 주소(또는 적어도 하나의 제2 IP 주소)에 접속한 기록 있음에도 불구하고 악성 코드에 감염되지 않은 것이, 상기 적어도 하나의 제2 접속 시간 동안 적어도 하나의 제2 온라인 주소(또는 적어도 하나의 제2 IP 주소)에 접속하는 것이 안전해서가 아닌, 상기 제1 클린 단말과 제2 클린 단말의 보안 등급(또는 백신 등급 또는 안전 등급) 및/또는 보안 성능(또는 백신 성능 또는 안전 성능)이 소정의 기준 이상이어서 일 수도 있다.However, despite the fact that the first clean terminal and the second clean terminal have accessed at least one second online address (or at least one second IP address) during at least one second access time, they are not infected with malicious code. It is not because access to at least one second online address (or at least one second IP address) during the at least one second access time is secure, but the security level of the first and second clean terminals (Or vaccine grade or safety grade) and/or security performance (or vaccine performance or safety performance) may be higher than a predetermined standard.
따라서, 상기 제1 클린 단말과 제2 클린 단말의 보안 등급(또는 백신 등급 또는 안전 등급) 및/또는 보안 성능(또는 백신 성능 또는 안전 성능)이 소정의 기준 이상인 경우에는, 상기 관리 서버(310)는 상기 의심 경로를 나타내는 정보를 생성하는 과정에서 적어도 하나의 제2 접속 시간 동안 적어도 하나의 제2 온라인 주소(또는 적어도 하나의 제2 IP 주소)에 접속한 기록은 제외시키지 않을 수도 있다(즉, 관리 서버(310)는 이에 기반하여 적어도 하나의 제1 접속 시간 동안 적어도 하나의 제1 온라인 주소(또는 적어도 하나의 제1 IP 주소)에 접속한 기록과 적어도 하나의 제2 접속 시간 동안 적어도 하나의 제2 온라인 주소(또는 적어도 하나의 제2 IP 주소)에 접속한 기록에 기반하여 의심 경로를 나타내는 정보를 생성할 수 있다).Therefore, when the security level (or vaccine level or safety level) and/or security performance (or vaccine performance or safety performance) of the first and second clean terminals is higher than a predetermined standard, the
한편, 상기 단말의 보안 등급(또는 백신 등급 또는 안전 등급) 및/또는 보안 성능(또는 백신 성능 또는 안전 성능)은, 관리 서버(310)가 상기 단말 각각의 하드웨어 성능 및/또는 상기 단말에 설치된 프로그램들(예; 일반 프로그램, 백신 프로그램 등)에 기반하여 설정할 수 있다.On the other hand, the security level (or vaccine level or safety level) and/or security performance (or vaccine performance or safety performance) of the terminal, the
삭제delete
도 3은 본 발명의 일 실시예에 따른 악성코드 모니터링을 수행하는 방법을 나타내는 흐름도이다.3 is a flowchart illustrating a method of monitoring a malicious code according to an embodiment of the present invention.
도 3을 참조하면, 상기 방법은 제1 파일에 대한 보안 등급을 설정하는 단계를 포함한다(S210).Referring to FIG. 3, the method includes setting a security level for the first file (S210).
여기서 제1 파일은 관리 서버(310)에 저장되거나 및/또는 기록된 파일일 수 있으며, 어플리케이션 파일, 설치 파일, 실행 파일 등을 포함할 수 있다. 또한 상기 제1 파일은 웹 브라우저(web browser), 이메일(e-mail), 엑셀(excel), 오피스(office) 프로그램, 이동식 디스크(usb) 등을 포함하는 외부 유입 경로를 통해 생성될 수 있다.Here, the first file may be a file stored and/or recorded in the
관리 서버(310)는, 예를 들면, 제1 파일에 대한 보안 등급을 설정할 수 있다. 일 예로, 관리 서버(310)는 상기 제1 파일의 파일 시그니처(file signature) 및 전반적인 파일 정보와 클라우드(cloud) DB 정보 등을 활용하여 악성코드가 의심되는 파일인지를 검사하고, 악성코드가 의심되는 경우에는 상기 제1 파일을 '의심 파일'로 설정하고 상기 제1 파일에 대한 보안 등급을 '의심 등급'으로 설정할 수 있다.The
또한 관리 서버(310)는 상기 제1 파일에 대한 정보를 획득할 수 있으며, 상기 제1 파일에 대한 정보는 상기 제1 파일의 생성 이력, 상기 제1 파일이 관리 서버(310)로 유입된 외부 유입 경로, 상기 제1 파일이 이전에 실행된 이력, 상기 제1 파일이 수정된 이력 또는 상기 제1 파일의 서명 정보 등을 포함할 수 있다.In addition, the
또한 본 발명의 일 실시예에 따른 방법은 제1 파일에 대한 실행을 요청하는 메시지를 수신하는 단계를 포함한다(S220).In addition, the method according to an embodiment of the present invention includes receiving a message requesting execution of the first file (S220).
관리 서버(310)는, 예를 들면, 제1 파일에 대한 실행을 요청하는 메시지를 사용자 단말(320)로부터 수신할 수 있다.The
또한 본 발명의 일 실시예에 따른 방법은 보안 등급에 기반하여 제1 서버에서 제1 파일을 실행할지 또는 외부 서버인 제2 서버에서 제1 파일을 실행할지 여부를 판단하는 단계를 포함한다(S230).In addition, the method according to an embodiment of the present invention includes determining whether to execute the first file on the first server or the second server, which is an external server, based on the security level (S230). ).
관리 서버(310)는, 예를 들면, 보안 등급에 기반하여 상기 제1 파일을 제1 서버(즉, 상기 관리 서버(310))에서 실행할지 또는 상기 제1 파일을 제2 서버(즉, 외부 서버(330))에서 실행할지 여부를 판단할 수 있다.The
또한 본 발명의 일 실시예에 따른 방법은 판단 결과에 기반하여 제1 파일을 실행하거나 또는 제2 서버에게 전달하는 단계를 포함한다(S240).In addition, the method according to an embodiment of the present invention includes the step of executing the first file or transmitting the first file to the second server based on the determination result (S240).
관리 서버(310)는, 예를 들면, S230에서의 판단 결과에 기반하여 제1 파일을 실행하거나 또는 제2 서버(즉, 외부 서버(330))에게 전달할 수 있다.The
또한 본 발명의 일 실시예에 따른 방법은 제1 파일의 실행 결과를 나타내는 정보를 제2 서버로부터 수신하는 단계를 포함한다(S250).In addition, the method according to an embodiment of the present invention includes the step of receiving information indicating the execution result of the first file from the second server (S250).
관리 서버(310)는, 예를 들면, 상기 제1 파일의 실행 결과를 나타내는 정보를 제2 서버, 즉 외부 서버(330)로부터 수신할 수 있다.The
한편, 상기 S210 내지 S250은 순차적으로 구현될 수도 있으나, 그 순서는 변경되어 구현될 수 있으며, 상기 S210 내지 S250 중 일부 만이 본 발명의 다른 기재(방법)와 결합되어 구현될 수 있다.On the other hand, the S210 to S250 may be implemented sequentially, but the order may be changed, and only some of the S210 to S250 may be implemented in combination with other substrates (methods) of the present invention.
도 4는 본 발명의 일 실시예에 따른 악성코드 모니터링을 수행하는 시스템을 나타내는 블록도이다.4 is a block diagram showing a system for monitoring malicious code according to an embodiment of the present invention.
도 4를 참조하면, 관리 서버(310)는 제1 제어 모듈(410), 제1 통신 모듈(420), 제1 입력 모듈(430), 및/또는 제1 출력 모듈(410)을 포함할 수 있다. 또한 관리 서버(310)는 본 발명의 악성코드 모니터링 서비스를 제공하는 플랫폼에 관한 웹사이트(website) 및/또는 모바일앱(application)을 운용하는 서버일 수 있다.Referring to FIG. 4, the
또한 사용자 단말(320)은 제2 제어 모듈(460), 제2 통신 모듈(470), 제2 입력 모듈(480), 및/또는 제2 출력 모듈(490)을 포함할 수 있다.In addition, the
제어 모듈(410, 460)은 본 발명의 일 실시예에 따른 동작/단계/과정을 구현할 수 있도록 관리 서버(310) 및/또는 사용자 단말(320)을 직/간접적으로 제어할 수 있다. 또한 제어 모듈(410, 460) 각각은 적어도 하나의 프로세서를 포함할 수 있으며, 상기 프로세서는 적어도 하나의 중앙 처리 유닛(CPU) 및/또는 적어도 하나의 그래픽 처리 디바이스(GPU)를 포함할 수 있다.The control modules 410 and 460 may directly/indirectly control the
또한 제어 모듈(410, 460)은 API(Application Programming Interface), IoT(Internet of Things), IIoT(Industrial Internet of Things), ICT(Information & Communication Technology) 기술에 기반하여 제어 정보(예; 명령어) 등을 생성하거나 및/또는 관리할 수 있다.In addition, the control modules 410 and 460 are based on API (Application Programming Interface), IoT (Internet of Things), IIoT (Industrial Internet of Things), and ICT (Information & Communication Technology) technology. Can be created and/or managed.
통신 모듈(420, 420)은 관리 서버(310), 사용자 단말(320), 외부 서버(330), 제2 사용자 단말(340), 제3 사용자 단말(350) 및/또는 제4 사용자 단말(360) 등과 각종 데이터, 신호, 정보를 송수신할 수 있다. 또한, 통신 모듈(420, 420)은 무선 통신 모듈(예: 셀룰러 통신 모듈, 근거리 무선 통신 모듈, 또는 GNSS(global navigation satellite system) 통신 모듈) 또는 유선 통신 모듈(예: LAN(local area network) 통신 모듈, 또는 전력선 통신 모듈)을 포함할 수 있다. 또한, 통신 모듈(420, 420)은 제1 네트워크(예: 블루투스, WiFi direct 또는 IrDA(Infrared Data Association) 같은 근거리 통신 네트워크) 또는 제2 네트워크(예: 셀룰러 네트워크, 인터넷, 또는 컴퓨터 네트워크(예: LAN 또는 WAN)와 같은 원거리 통신 네트워크)를 통하여 외부 전자 장치와 통신할 수 있다. 이런 여러 종류의 통신 모듈들은 하나의 구성 요소(예: 단일 칩)으로 통합되거나, 또는 서로 별도의 복수의 구성 요소들(예: 복수 칩들)로 구현될 수 있다.The communication modules 420 and 420 include a
입력 모듈(430, 430)은 관리 서버(310), 사용자 단말(320), 외부 서버(330), 제2 사용자 단말(340), 제3 사용자 단말(350) 및/또는 제4 사용자 단말(360)의 구성요소(예: 제어 모듈(410) 등)에 사용될 명령 또는 데이터를 관리 서버(310) 및/또는 사용자 단말(320)의 외부(예: 사용자(예; 제1 사용자, 제2 사용자 등), 관리 서버(310)의 관리자 등)로부터 수신할 수 있다. 또한, 입력 모듈(430, 430)은 관리 서버(310) 및/또는 사용자 단말(320)에 설치된 터치인식가능 디스플레이, 터치패드, 버튼형 인식 모듈, 음성인식센서, 마이크, 마우스, 또는 키보드 등을 포함할 수 있다. 여기서 터치인식가능 디스플레이, 터치패드, 버튼형 인식 모듈은 감압식 및/또는 정전식 방식을 통하여 사용자의 신체(예; 손가락)를 통한 터치를 인식할 수 있다. 또한 상기 입력 모듈(430, 430) 각각은 지문인식 및/또는 홍채인식을 위한 센서부를 더 포함할 수도 있다.The input modules 430 and 430 include a
출력 모듈(440, 440)은 관리 서버(310) 및/또는 사용자 단말(320)의 제어 모듈(410, 460)에 의해 생성되거나 통신 모듈(420, 420)을 통하여 획득된 신호(예; 음성 신호), 정보, 데이터, 이미지, 및/또는 각종 객체(object) 등을 표시하는 모듈이다. 예를 들면, 출력 모듈(440, 440)은 디스플레이, 스크린, 표시부(displaying unit), 스피커 및/또는 발광장치(예; LED 램프) 등을 포함할 수 있다.The output modules 440 and 440 are signals generated by the control modules 410 and 460 of the
저장 모듈(450)은 관리 서버(310) 및/또는 사용자 단말(320)의 동작을 위한 기본 프로그램, 응용 프로그램, 설정 정보 등의 데이터를 저장한다. 또한, 저장 모듈은 플래시 메모리 타입(Flash Memory Type), 하드 디스크 타입(Hard Disk Type), 멀티미디어 카드 마이크로 타입(Multimedia Card Micro Type), 카드 타입의 메모리(예를 들면, SD 또는 XD 메모리 등), 자기 메모리, 자기 디스크, 광디스크, 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), PROM(Programmable Read-Only Memory), EEPROM(Electrically Erasable Programmable Read-Only Memory) 중 적어도 하나의 저장매체를 포함할 수 있다. 또한 저장 모듈(450)은 클라우드 서버 및/또는 블록체인 서버를 포함하는 하드웨어 모듈이거나 상기 클라우드 서버 및/또는 블록체인 서버의 기능을 포함하는 소프트웨어 모듈일 수도 있다.The storage module 450 stores data such as a basic program, an application program, and setting information for the operation of the
또한, 저장 모듈(450)은 관리 서버(310) 및/또는 사용자 단말(320)을 사용하거나 운용하는 자(제1 사용자, 제2 사용자, 제3 사용자, 제4 사용자, 제5 사용자 등)의 개인정보, 관리자(또는 매니저)의 개인정보 등을 저장할 수 있다. 여기서 개인 정보는 이름, 생년월일정보, 아이디(ID; identifier), 패스워드, 도로명 주소, 전화 번호, 휴대폰 번호, 이메일 주소, 및/또는 관리 서버(310)에 의해 생성되는 리워드(reward)(예; 포인트 등)를 나타내는 정보 등을 포함할 수 있다. 또한 제어 모듈(410, 460)은 상기 저장 모듈(450)에 저장된 각종 이미지, 프로그램, 컨텐츠, 데이터, 음악, 사운드 등을 이용하여 다양한 동작을 수행할 수 있다.In addition, the storage module 450 is the
도 5는 본 발명의 일 실시예에 따른 악성코드 모니터링을 수행하는 시스템을 나타내는 도면이다.5 is a diagram illustrating a system for monitoring malicious code according to an embodiment of the present invention.
도 5를 참조하면, 본 발명의 일 실시예에 따른 시스템(300)은 관리 서버(310), 사용자 단말(320), 외부 서버(330), 제2 사용자 단말(340), 제3 사용자 단말(350) 및 제4 사용자 단말(360)을 포함할 수 있다.5, a
또한 본 발명에서는 관리 서버(310)의 저장 모듈(450)에 도 2 내지 도 5를 참조하여 전술한 각종 정보들을 그룹화 및/또는 해시(hash)하여 블록 체인에 저장한 후, 상기 각종 정보들에 대한 위조 및/또는 변조를 검증하거나 판단할 수 있다.In addition, in the present invention, the various types of information described above with reference to FIGS. 2 to 5 are grouped and/or hashed in the storage module 450 of the
예를 들면, 관리 서버(310), 사용자 단말(320), 외부 서버(330), 제2 사용자 단말(340), 제3 사용자 단말(350) 및 제4 사용자 단말(360) 각각 블록체인 노드로서 암호화폐 지갑(cryptocurrency wallet)의 기능을 수행할 수도 있다.For example, the
일반적으로 블록 체인(block chain)은 P2P(peer-to-peer) 네트워크에 의해 생성되고 관리되는 위변조 불가능한 분산 저장소이다. 블록 체인은 트랜잭션(쌍방간의 쪼갤 수 없는 단위 작업)으로 생성된 데이터 블록들을 체인(chain) 형태로 잇따라 연결한 모음을 의미한다. 이전 블록에 다름 블록을 연이어 암호화하고 과반수가 넘는 사용자가 동의한 데이터를 실제 데이터로 인정하기 때문에, 한번 기록된 데이터는 위조 또는 변조가 불가능하다. 블록 체인의 대표적인 응용사례는 암호화폐의 거래 과정을 기록하는 분산화된 전자 화폐인 비트코인(bitcoin)이 있다. 블록 체인에는 일정 시간 동안 사용자들 간에 발생되는 확정된 거래 내역이 저장될 수 있다. 그리고, 많은 사용자들은 블록 체인 사본을 각자 갖고 있으며, 거래 내역은 모두에게 공개될 수 있다. 이와 같이, 과반수가 넘는 사용자가 동의한 거래 내역만 실제 데이터로 인정되고, 영구적으로 보관할 블록으로 묶여 저장될 수 있다.In general, a block chain is a non-forgery distributed storage created and managed by a peer-to-peer (P2P) network. Blockchain refers to a collection of data blocks created by a transaction (a unit operation that cannot be split between two parties) in succession in the form of a chain. Different from the previous block Since the block is successively encrypted and the data agreed by more than half of the users is recognized as real data, once recorded data cannot be forged or altered. A typical application of the blockchain is bitcoin, a decentralized electronic currency that records the transaction process of cryptocurrency. The block chain can store confirmed transaction details that occur between users for a certain period of time. And, many users each have a copy of the blockchain, and transaction details can be made public. In this way, only transaction details agreed by more than half of the users are recognized as actual data, and may be stored in blocks to be permanently stored.
도 6은 본 발명의 일 실시예에 따른 저장 모듈을 나타내는 블록도이다.6 is a block diagram illustrating a storage module according to an embodiment of the present invention.
도 6을 참조하면, 본 발명의 일 실시예에 따른 관리 서버(310)의 저장 모듈(450)은 데이터 저장 영역(510) 및 블록체인 영역(520)을 포함할 수도 있다.Referring to FIG. 6, the storage module 450 of the
또한 본 발명의 관리 서버(310), 사용자 단말(320), 외부 서버(330), 제2 사용자 단말(340), 제3 사용자 단말(350) 및/또는 제4 사용자 단말(360)는 상호 간에 블록체인(또는 블록체인 네트워크)을 통하여 해시화된 정보 및/또는 블록 데이터를 송수신하는 블록체인 노드에 해당될 수 있다.In addition, the
관리 서버(310)는 다른 블록체인 노드(320, 330, 340, 350, 360)와 유무선 네트워크(또는 블록체인 네트워크)를 통해 연결될 수 있다. 상기 관리 서버(310)는 제어 모듈(410)을 통하여 생성되거나 통신 모듈(420)을 통하여 수신되거나 저장 모듈(450)에 저장된 '사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보'를 그룹화(및/또는 해시화)하고, 상기 그룹화(해시화)된 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’의 요소들을 체인화하고, 상기 체인화된 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’를 상기 블록체인 영역(520)에 저장할 수 있다.The
예를 들면, 상기 관리 서버(310)는 저장 모듈(450)의 데이터 저장 영역(510)에 저장된 적어도 하나의 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’를 체인 스케일러(chain scaler)를 이용하여 그룹화할 수 있다. 상기 관리 서버(310)는 체인 스케일러를 이용해 그룹화된 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’를 사슬 형태로 저장 모듈(450) 및/또는 블록체인 영역(520)에 저장할 수 있다.For example, the
상기 관리 서버(310)는 상기 그룹화된 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’에 포함된 적어도 하나의 요소들을 블록체인 영역(520)에 저장할 수 있다.The
상기 관리 서버(310)는 데이터 저장 영역(510)에 저장된 복수의 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’들을 미리 결정된 개수 단위로 그룹화할 수 있다. 상기 관리 서버(310)는 미리 결정된 시간, 미리 결정된 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’의 개수 및 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’의 중요도 중 적어도 하나에 기반하여 상기 저장 모듈(450)에 저장된 복수의 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’를 그룹화할 수 있다. 상기 관리 서버(310)는 상기 저장 모듈(450)에 저장된 적어도 하나의 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’에 기반하여 머클 해쉬(Merkle hash)를 생성하고, 상기 생성된 머클 해쉬가 포함되도록 복수의 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’를 그룹화할 수 있다.The
또한 관리 서버(310)는 저장 모듈(450)에 저장할 내용을 블록체인 트랜잭션으로 만들어 본 발명의 시스템(300)에 참여한 다른 블록체인 노드(320, 330, 340, 350, 360)에게 전송할 수 있다. 상기 블록체인 트랜잭션에 저장할 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’는 머클 해쉬 식별자, 그룹 식별자 및/또는 이전 그룹의 식별자를 포함할 수 있다. 상기 관리 서버(310)는 미리 결정된 시간 및 상기 저장된 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’의 개수 중 적어도 하나에 기반하여 상기 블록체인 영역(520)에 저장된 적어도 하나의 요소와 상기 그룹화된 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’에 포함된 적어도 하나의 요소를 비교하여 상기 저장된 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’의 무결성을 검증할 수 있다.In addition, the
상기 관리 서버(310)는 상기 저장된 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’가 무결성하지 않는 경우, 출력 모듈(410)을 통해 상기 무결성 여부를 출력할 수 있다. 상기 관리 서버(310)는 상기 저장 모듈(450)에 저장된 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’가 위조 및/또는 변조되거나 손상된 경우, 상기 관리 서버(310)를 관리하는 관리자가 이러한 사항을 알 수 있도록 출력 모듈(410)을 통해 상기 무결성 여부를 출력할 수 있다.The
상기 제어 모듈(410)는 상기 저장된 블록체인의 무결성 여부를 판단하기 위한 증명서(certificate)를 생성하여 적어도 하나의 전자 장치로 전송할 수 있다. 상기 증명서는, 상기 저장된 적어도 하나의 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’의 정보, 상기 그룹화된 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’의 정보 및 상기 저장된 블록체인의 정보를 포함할 수 있다. 상기 증명서는 관리 서버(310)가 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’의 무결성 여부를 판단하는데 이용될 수 있다. 상기 제어 모듈(410)은 상기 저장된 블록체인에 대한 적어도 하나의 요소의 요청이 i) 본 발명의 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’를 사용자에게 제공하는 서비스 및/또는 플랫폼을 지원하는 웹사이트 및/또는 모바일앱을 통하여, 및/또는 ii) 다른 블록체인 노드(320, 330, 340, 350, 360)로부터 수신되면 상기 요청된 적어도 하나의 요소를 i) 상기 웹사이트 및/또는 모바일앱을 통하여 출력하거나, 및/또는 ii) 다른 블록체인 노드(320, 330, 340, 350, 360)에게 전송할 수 있다.The control module 410 may generate a certificate for determining the integrity of the stored blockchain and transmit it to at least one electronic device. The certificate is the at least one stored'user's personal information, first to fourth online access records, information on the first and second infected terminals, information indicating the security level for the first file, and indicating the suspicious path. Information, the grouped'user's personal information, first to fourth online access records, information on the first and second infected terminals, information indicating the security level for the first file, information indicating the suspicious path 'And the stored block chain information. The certificate is provided by the
그리고, 복수의 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’들 각각에 대한 비밀정보 요구도가 상기 관리 서버(310) 및/또는 사용자 단말(320)을 통하여 설정되면, 상기 관리 서버(310)는 상기 복수의 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’들 중에서, 상기 비밀정보 요구도가 제1 임계치 이상인 적어도 하나의 정보는 제1 정보로 분류하고, 상기 비밀정보 요구도가 상기 제1 임계치 미만인 적어도 하나의 정보는 제2 정보로 분류할 수 있다. 또한 관리 서버(310)는 상기 제1 정보를 해시(hash)함으로써 상기 제1 정보에 상응하는 해시값을 생성하고, 상기 복수의 블록체인 노드(310, 320, 330, 340, 350, 360)를 상기 비밀정보 요구도가 상기 제1 임계치 이상인 정보들만 공유하는 제1 노드 그룹과 상기 비밀정보 요구도가 상기 제1 임계치 미만인 정보들만 공유하는 제2 노드 그룹으로 분류할 수 있다. 또한 관리 서버(310)는 긴급을 요청하는 상황 정보가 상기 관리 서버(310)에 의해 확인되면 상기 제1 정보에 상응하는 해시값을 상기 제1 노드 그룹에게 전달하되, 상기 긴급을 요청하는 상황 정보가 상기 관리 서버에 의해 확인되지 않으면 해시되지 않은 상기 제1 정보를 상기 제1 노드 그룹에게 전달하고, 상기 제2 정보는 해시(hash)하지 않고 상기 제2 노드 그룹에게 전달하도록 제어하는 것을 특징으로 할 수 있다.In addition, a plurality of'user's personal information, first to fourth online access records, information on the first and second infected terminals, information indicating the security level for the first file, information indicating the suspicious path' When the request for confidential information is set through the
또한 관리 서버(310)는 상기 해시값에 기반하여 상기 제1 정보의 무결성을 확인하도록 제어하는 것을 특징으로 하고, 상기 제2 노드 그룹에 포함되는 노드 중에서 공유된 제2 정보의 개수가 제2 임계치를 넘는 노드를 상기 제1 노드 그룹으로 재설정하는 것을 특징으로 할 수 있다.In addition, the
또한 관리 서버(310)는 상기 복수의 블록체인 노드(320, 330, 340, 350, 360)에게 제1 신호를 전송하고, 상기 제1 신호에 응답하여 제2 신호를 상기 복수의 블록체인 노드(320, 330, 340, 350, 360)로부터 수신하고, 상기 제1 신호가 상기 관리 서버의 네트워크 인터페이스로부터 송신된 제1 시간을 확인하고, 상기 제1 신호가 상기 복수의 블록체인 노드(320, 330, 340, 350, 360) 각각에 수신된 시간인 제2 시간을 나타내는 정보를 상기 복수의 블록체인 노드(320, 330, 340, 350, 360) 각각으로부터 획득하고, 상기 제2 신호가 상기 복수의 블록체인 노드(320, 330, 340, 350, 360) 각각으로부터 전송되는 시간인 제3 시간을 나타내는 정보를 상기 복수의 블록체인 노드(320, 330, 340, 350, 360) 각각으로부터 획득하고, 상기 제2 신호가 상기 네트워크 인터페이스에 의해 수신되는 시간인 제4 시간을 확인하고, 상기 복수의 블록체인 노드(320, 330, 340, 350, 360) 각각이 상기 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’의 열람을 위해 요구하는 열람 비용을 나타내는 정보를 상기 복수의 블록체인 노드(320, 330, 340, 350, 360) 각각으로부터 획득할 수 있다. 그리고 상기 복수의 블록체인 노드(320, 330, 340, 350, 360) 중에서 i) 상기 열람 비용이 소정의 비용 임계치를 넘는 노드를 제외하거나 및/또는 감염 단말로서 설정된 이력이 소정의 횟수 임계치를 넘는 노드(예; 제1 감염 단말로서 설정된 노드(350) 및/또는 제2 감염 단말로서 설정된 노드(360) 등)를 제외하고, 상기 제2 시간 및 상기 제1 시간 사이의 제1 차이와 상기 제4 시간 및 상기 제3 시간 사이의 제2 차이의 합이 가장 낮은 특정 블록체인 노드를 선택하고, 상기 ‘사용자의 개인정보, 제1 내지 제4 온라인 접속 기록, 제1 및 제2 감염 단말에 대한 정보, 제1 파일에 대한 보안 등급을 나타내는 정보, 의심 경로를 나타내는 정보’의 열람을 요청하는 메시지를 상기 특정 블록체인 노드에게 전송하는 것을 특징으로 할 수 있다.In addition, the
그리고 본 발명의 일 실시예에 따른 시스템(300), 관리 서버(310), 및/또는 사용자 단말(320)은 아래와 같은 특징을 포함할 수 있다.In addition, the
관리 서버(310)는, 예를 들면, 전술한 S230에서 제1 파일의 보안 등급 뿐만 아니라, 제1 서버(즉, 관리 서버(310))에 대한 정보 및 제2 서버(즉, 외부 서버(330))에 대한 정보를 더 고려하여, 상기 제1 파일을 상기 제1 서버에서 실행할지 또는 상기 제2 서버에서 실행할지 여부를 판단할 수 있다.The
본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 즉 본 발명의 기술적 사상에 바탕을 둔 다른 변형예들이 실시 가능하다는 것은 본 발명의 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다. 또한 상기 각각의 실시예는 필요에 따라 서로 조합되어 운용할 수 있다. 예컨대, 본 발명의 모든 실시예는 일부분들이 서로 조합되어 시스템(300), 관리 서버(310), 사용자 단말(320), 관리 서버(310), 외부 서버(330), 제2 사용자 단말(340), 제3 사용자 단말(350) 및/또는 제4 사용자 단말(360) 등에 의해 구현될 수 있다.The embodiments of the present invention disclosed in the present specification and drawings are only provided for specific examples to easily explain the technical content of the present invention and to aid understanding of the present invention, and are not intended to limit the scope of the present invention. That is, it is apparent to those of ordinary skill in the art that other modifications based on the technical idea of the present invention can be implemented. In addition, each of the above embodiments can be operated in combination with each other as needed. For example, in all embodiments of the present invention, parts are combined with each other to provide a
또한, 본 발명에 따른 시스템(300), 관리 서버(310), 사용자 단말(320), 관리 서버(310), 외부 서버(330), 제2 사용자 단말(340), 제3 사용자 단말(350) 및/또는 제4 사용자 단말(360) 등을 제어하는 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다.In addition, the
이와 같이, 본 발명의 다양한 실시예들은 특정 관점에서 컴퓨터 리드 가능 기록 매체(computer readable recording medium)에서 컴퓨터 리드 가능 코드(computer readable code)로서 구현될 수 있다. 컴퓨터 리드 가능 기록 매체는 컴퓨터 시스템에 의해 리드될 수 있는 데이터를 저장할 수 있는 임의의 데이터 저장 디바이스이다. 컴퓨터 리드 가능 기록 매체의 예들은 읽기 전용 메모리(read only memory: ROM)와, 랜덤-접속 메모리(random access memory: RAM)와, 컴팩트 디스크- 리드 온니 메모리(compact disk-read only memory: CD-ROM)들과, 마그네틱 테이프(magnetic tape)들과, 플로피 디스크(floppy disk)들과, 광 데이터 저장 디바이스들, 및 캐리어 웨이브(carrier wave)들(인터넷을 통한 데이터 송신 등)을 포함할 수 있다. 컴퓨터 리드 가능 기록 매체는 또한 네트워크 연결된 컴퓨터 시스템들을 통해 분산될 수 있고, 따라서 컴퓨터 리드 가능 코드는 분산 방식으로 저장 및 실행된다. 또한, 본 발명의 다양한 실시예들을 성취하기 위한 기능적 프로그램들, 코드, 및 코드 세그먼트(segment)들은 본 발명이 적용되는 분야에서 숙련된 프로그래머들에 의해 쉽게 해석될 수 있다.As described above, various embodiments of the present invention may be implemented as computer readable code in a computer readable recording medium from a specific viewpoint. A computer-readable recording medium is any data storage device capable of storing data that can be read by a computer system. Examples of computer-readable recording media include read only memory (ROM), random access memory (RAM), and compact disk-read only memory (CD-ROM). ), magnetic tapes, floppy disks, optical data storage devices, and carrier waves (such as data transmission over the Internet). The computer readable recording medium can also be distributed through networked computer systems, so that the computer readable code is stored and executed in a distributed manner. In addition, functional programs, codes, and code segments for achieving various embodiments of the present invention can be easily interpreted by experienced programmers in the field to which the present invention is applied.
또한 본 발명의 다양한 실시예들에 따른 장치 및 방법은 하드웨어, 소프트웨어 또는 하드웨어 및 소프트웨어의 조합의 형태로 실현 가능하다는 것을 알 수 있을 것이다. 이러한 소프트웨어는 예를 들어, 삭제 가능 또는 재기록 가능 여부와 상관없이, ROM 등의 저장 장치와 같은 휘발성 또는 비휘발성 저장 장치, 또는 예를 들어, RAM, 메모리 칩, 장치 또는 집적 회로와 같은 메모리, 또는 예를 들어 콤팩트 디스크(compact disk: CD), DVD, 자기 디스크 또는 자기 테이프 등과 같은 광학 또는 자기적으로 기록 가능함과 동시에 기계(예를 들어, 컴퓨터)로 읽을 수 있는 저장 매체에 저장될 수 있다. 또한 상기 소프트웨어는 클라우드 서버 및/또는 블록체인 서버를 포함하는 하드웨어 모듈에 저장되거나 상기 클라우드 서버 및/또는 블록체인 서버의 기능을 포함하는 소프트웨어 모듈에 저장될 수도 있다. 본 발명의 다양한 실시예들에 따른 방법은 제어부(예; 제어 모듈(410)) 및 메모리를 포함하는 컴퓨터 또는 휴대 단말에 의해 구현될 수 있고, 이러한 메모리는 본 발명의 실시예들을 구현하는 명령들을 포함하는 프로그램 또는 프로그램들을 저장하기에 적합한 기계로 읽을 수 있는 저장 매체의 한 예임을 알 수 있을 것이다. In addition, it will be appreciated that the apparatus and method according to various embodiments of the present invention can be realized in the form of hardware, software, or a combination of hardware and software. Such software may be, for example, a volatile or nonvolatile storage device such as a storage device such as a ROM, or a memory such as a RAM, memory chip, device or integrated circuit, or For example, it may be optically or magnetically recordable, such as a compact disk (CD), a DVD, a magnetic disk, or a magnetic tape, and stored in a storage medium that can be read by a machine (for example, a computer). In addition, the software may be stored in a hardware module including a cloud server and/or a block chain server, or may be stored in a software module including a function of the cloud server and/or a block chain server. The method according to various embodiments of the present invention may be implemented by a computer or portable terminal including a control unit (eg, control module 410) and a memory, and such a memory is used to provide instructions for implementing the embodiments of the present invention. It will be appreciated that this is an example of a machine-readable storage medium suitable for storing a program or programs containing.
따라서, 본 발명은 본 명세서의 청구항에 기재된 장치 또는 방법을 구현하기 위한 코드를 포함하는 프로그램 및 이러한 프로그램을 저장하는 기계(컴퓨터 등)로 읽을 수 있는 저장 매체를 포함한다. 또한, 이러한 프로그램은 유선 또는 무선 연결을 통해 전달되는 통신 신호와 같은 임의의 매체를 통해 전자적으로 이송될 수 있고, 본 발명은 이와 균등한 것을 적절하게 포함한다.Accordingly, the present invention includes a program including a code for implementing the apparatus or method described in the claims of the present specification, and a storage medium readable by a machine (such as a computer) storing such a program. Further, such a program may be transferred electronically through any medium, such as a communication signal transmitted through a wired or wireless connection, and the present invention suitably includes equivalents thereto.
본 명세서와 도면에 개시된 본 발명의 실시 예들은 본 발명의 기술 내용을 쉽게 설명하고, 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 또한 앞서 설명된 본 발명에 따른 실시예들은 예시적인 것에 불과하며, 당해 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 범위의 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 다음의 특허청구범위에 의해서 정해져야 할 것이다.The embodiments of the present invention disclosed in the present specification and drawings are merely provided for specific examples to easily explain the technical content of the present invention and to aid understanding of the present invention, and are not intended to limit the scope of the present invention. In addition, the embodiments according to the present invention described above are merely exemplary, and those of ordinary skill in the art will understand that various modifications and equivalent ranges of embodiments are possible therefrom. Therefore, the true technical protection scope of the present invention should be determined by the following claims.
Claims (5)
제1 단말, 제2 단말 및 제3 단말을 포함하는 복수의 단말들; 및
상기 복수의 단말들에 대한 온라인 접속 기록을 모니터링하는 서버; 를 포함하고,
상기 서버는,
상기 제1 단말의 제1 온라인 접속 기록 정보를 상기 제1 단말로부터 수신하고,
상기 제2 단말의 제2 온라인 접속 기록 정보를 상기 제2 단말로부터 수신하고,
상기 제1 단말에서 악성코드가 발견되었음을 나타내는 정보를 상기 제1 단말로부터 수신하고,
상기 제2 단말에서 악성코드가 발견되었음을 나타내는 정보를 상기 제2 단말로부터 수신하고,
상기 제1 온라인 접속 기록 정보 및 상기 제2 온라인 접속 기록 정보에 기반하여 감염 의심 경로를 나타내는 정보를 생성하는 것을 특징으로 하고,
상기 서버는,
상기 제1 단말에 의해 설치 요청된 제1 애플리케이션에 대한 제1 정보를 상기 제1 단말로부터 수신하고,
상기 제1 단말의 제1 시점의 CPU 정보, 상기 제1 시점의 메모리 정보, 상기 제1 시점의 로드 평균(load average) 정보 및 상기 제1 시점의 트래픽(traffic) 정보를 상기 제1 단말로부터 수신하되, 상기 제1 시점은 상기 서버가 상기 제1 정보를 수신한 시점을 나타내고,
상기 서버의 데이터베이스(DB)에 저장된 제1 파일의 악성 코드 보유 확률 정보, 상기 제1 정보, 상기 제1 시점의 상기 CPU 정보, 상기 제1 시점의 상기 메모리 정보, 상기 제1 시점의 상기 로드 평균 정보 및 상기 제1 시점의 상기 트래픽 정보를, 인공신경망 모델(artificial intelligence network model)에 적용함으로써 상기 제1 파일을 상기 제1 단말에 설치(install)할지 여부를 결정하고,
상기 제1 파일을 상기 제1 단말에 설치하는 것으로 결정되면, 상기 제1 파일을 상기 제1 단말에 설치하는 것을 지시하는 설치 지시 정보를 상기 제1 단말에게 전송하는 것을 특징으로 하고,
상기 서버는,
악성코드에 감염되지 않은 제3 단말을 클린 단말로서 설정하고,
상기 제3 단말의 제3 온라인 접속 기록 정보를 상기 제3 단말로부터 수신하고,
상기 제1 온라인 접속 기록 정보 및 상기 제2 온라인 접속 기록 정보가 제1 접속 시간 동안 제1 온라인 주소에 접속한 기록을 포함하고 상기 제3 온라인 접속 기록 정보가 상기 제1 접속 시간 동안 상기 제1 온라인 주소에 접속한 기록을 포함하지 않는 경우, 상기 제1 접속 시간 및 상기 제1 온라인 주소에 기반하여 상기 감염 의심 경로를 나타내는 정보를 생성하되,
상기 제1 온라인 접속 기록 정보, 상기 제2 온라인 접속 기록 정보 및 상기 제3 온라인 접속 기록 정보 모두가 상기 제1 접속 시간 동안 상기 제1 온라인 주소에 접속한 기록을 포함하되 상기 제3 단말의 백신 등급이 소정의 기준 등급 미만인 경우에는, 상기 감염 의심 경로를 나타내는 정보를 생성하는 과정에서 상기 제1 접속 시간 동안 상기 제1 온라인 주소에 접속한 기록을 고려하지 않고,
상기 제1 온라인 접속 기록 정보, 상기 제2 온라인 접속 기록 정보 및 상기 제3 온라인 접속 기록 정보 모두가 상기 제1 접속 시간 동안 상기 제1 온라인 주소에 접속한 기록을 포함하되, 상기 제3 단말의 백신 등급이 상기 소정의 기준 등급 이상인 경우에는, 상기 제1 접속 시간 및 상기 제1 온라인 주소에 기반하여 상기 감염 의심 경로를 나타내는 정보를 생성하고,
제1 파일에 대한 보안 등급을 설정하고,
상기 제1 파일에 대한 실행을 요청하는 메시지를 상기 복수의 단말들 중 적어도 어느 하나로부터 수신하고,
상기 보안 등급에 기반하여 상기 제1 파일의 실행 여부에 대한 판단을 수행하고,
상기 보안 등급에 기반하여 상기 제1 파일을 외부 서버에서 실행할지 여부에 대한 판단을 수행하고,
상기 판단 결과에 기반하여 상기 제1 파일을 상기 외부 서버에게 전달하고,
상기 제1 파일의 실행 결과를 나타내는 정보를 상기 외부 서버로부터 수신하는 것을 특징으로 하는,
시스템.In a system that monitors malicious codes,
A plurality of terminals including a first terminal, a second terminal, and a third terminal; And
A server monitoring online access records for the plurality of terminals; Including,
The server,
Receiving first online connection record information of the first terminal from the first terminal,
Receiving second online access record information of the second terminal from the second terminal,
Receiving information indicating that a malicious code has been found in the first terminal from the first terminal,
Receiving information indicating that a malicious code has been found in the second terminal from the second terminal,
Generating information indicating a suspicious infection path based on the first online access record information and the second online access record information,
The server,
Receiving first information about the first application requested to be installed by the first terminal from the first terminal,
Receive CPU information of the first time point of the first terminal, memory information of the first time point, load average information of the first time point, and traffic information of the first time point from the first terminal However, the first time point indicates a time point at which the server receives the first information,
Malicious code retention probability information of a first file stored in the database (DB) of the server, the first information, the CPU information at the first time point, the memory information at the first time point, the load average at the first time point It is determined whether to install the first file in the first terminal by applying the information and the traffic information at the first time point to an artificial intelligence network model,
When it is determined to install the first file on the first terminal, installation instruction information instructing to install the first file on the first terminal is transmitted to the first terminal,
The server,
Set a third terminal that is not infected with malicious code as a clean terminal,
Receive third online access record information of the third terminal from the third terminal,
The first online access record information and the second online access record information include a record of accessing a first online address during a first access time, and the third online access record information is the first online access record information during the first access time. If the record of accessing the address is not included, information indicating the infection suspicious path is generated based on the first access time and the first online address,
The first online access record information, the second online access record information, and the third online access record information all include a record of accessing the first online address during the first access time, but the vaccine grade of the third terminal If it is less than this predetermined standard level, the record of accessing the first online address during the first access time is not considered in the process of generating the information indicating the infection suspicious route
The first online access record information, the second online access record information, and the third online access record information all include a record of accessing the first online address during the first access time, wherein the vaccine of the third terminal If the grade is equal to or higher than the predetermined standard grade, information indicating the infection suspicious path is generated based on the first access time and the first online address,
Set the security level for the first file,
Receiving a message requesting execution of the first file from at least one of the plurality of terminals,
Determine whether to execute the first file based on the security level, and
Determine whether to execute the first file on an external server based on the security level, and
Delivering the first file to the external server based on the determination result,
It characterized in that the information indicating the execution result of the first file is received from the external server,
system.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200078418A KR102177223B1 (en) | 2020-06-26 | 2020-06-26 | Server and system for performing mornitoring of malware |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200078418A KR102177223B1 (en) | 2020-06-26 | 2020-06-26 | Server and system for performing mornitoring of malware |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102177223B1 true KR102177223B1 (en) | 2020-11-10 |
Family
ID=73549011
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200078418A KR102177223B1 (en) | 2020-06-26 | 2020-06-26 | Server and system for performing mornitoring of malware |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102177223B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116595592A (en) * | 2023-05-18 | 2023-08-15 | 武汉淘扣网络科技有限公司 | Industrial Internet of things safety management method and system applying blockchain technology |
US20230304815A1 (en) * | 2022-03-22 | 2023-09-28 | Lenovo (United States) Inc. | Generating navigational path based on security level |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101494329B1 (en) * | 2013-09-02 | 2015-02-23 | 주식회사 베일리테크 | System and Method for detecting malignant process |
KR20160033579A (en) * | 2014-09-18 | 2016-03-28 | 삼성전자주식회사 | System and method for providing service via application |
KR101662162B1 (en) * | 2016-03-18 | 2016-10-10 | 주식회사 블랙포트시큐리티 | User action detecting method for backtracking of infection way of vicious code |
KR20170087007A (en) * | 2016-01-19 | 2017-07-27 | 삼성전자주식회사 | Electronic Apparatus for detecting Malware and Method thereof |
KR102011363B1 (en) * | 2018-03-08 | 2019-08-16 | 최승환 | Method for software authentication using block-chain authentication |
-
2020
- 2020-06-26 KR KR1020200078418A patent/KR102177223B1/en active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101494329B1 (en) * | 2013-09-02 | 2015-02-23 | 주식회사 베일리테크 | System and Method for detecting malignant process |
KR20160033579A (en) * | 2014-09-18 | 2016-03-28 | 삼성전자주식회사 | System and method for providing service via application |
KR20170087007A (en) * | 2016-01-19 | 2017-07-27 | 삼성전자주식회사 | Electronic Apparatus for detecting Malware and Method thereof |
KR101662162B1 (en) * | 2016-03-18 | 2016-10-10 | 주식회사 블랙포트시큐리티 | User action detecting method for backtracking of infection way of vicious code |
KR102011363B1 (en) * | 2018-03-08 | 2019-08-16 | 최승환 | Method for software authentication using block-chain authentication |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230304815A1 (en) * | 2022-03-22 | 2023-09-28 | Lenovo (United States) Inc. | Generating navigational path based on security level |
CN116595592A (en) * | 2023-05-18 | 2023-08-15 | 武汉淘扣网络科技有限公司 | Industrial Internet of things safety management method and system applying blockchain technology |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5802848B2 (en) | Computer-implemented method, non-temporary computer-readable medium and computer system for identifying Trojanized applications (apps) for mobile environments | |
US10986103B2 (en) | Signal tokens indicative of malware | |
CN105229612A (en) | Use the detection that the abnormal program of hardware based microarchitecture data performs | |
KR102180098B1 (en) | A malware detecting system performing monitoring of malware and controlling a device of user | |
KR102177223B1 (en) | Server and system for performing mornitoring of malware | |
US11275842B2 (en) | Systems and methods for evaluating security of third-party applications | |
US20170155683A1 (en) | Remedial action for release of threat data | |
Blasco et al. | Automated generation of colluding apps for experimental research | |
CN102037472A (en) | Software reputation establishment and monitoring system and method | |
CN113111359A (en) | Big data resource sharing method and resource sharing system based on information security | |
Shrivastava et al. | Android application behavioural analysis for data leakage | |
EP3563548B1 (en) | Historic data breach detection | |
US11947678B2 (en) | Systems and methods for evaluating data access signature of third-party applications | |
Bhuiyan et al. | API vulnerabilities: Current status and dependencies | |
KR102181943B1 (en) | System of monitoring based on gateway | |
Luo et al. | Real-time detection and prevention of android sms permission abuses | |
Orjiude et al. | A multilateral privacy impact analysis method for android applications | |
CN113364766B (en) | APT attack detection method and device | |
US9172719B2 (en) | Intermediate trust state | |
US11611570B2 (en) | Attack signature generation | |
KR20210010044A (en) | The method for managing node to serve trust network based on block-chain | |
RU2816686C1 (en) | Method and system for determining use of a trusted mobile application on a mobile device of a user under android os control | |
CN116155565B (en) | Data access control method and device | |
KR102656375B1 (en) | System and method for operating digital rights management for enhancing security of shared contents | |
CN112989349B (en) | Virus detection method, device, equipment and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GRNT | Written decision to grant |