KR20020089849A - 새로운 네트워크 파일 시스템을 이용한 인터넷 정보보안방법 - Google Patents

새로운 네트워크 파일 시스템을 이용한 인터넷 정보보안방법 Download PDF

Info

Publication number
KR20020089849A
KR20020089849A KR1020010028793A KR20010028793A KR20020089849A KR 20020089849 A KR20020089849 A KR 20020089849A KR 1020010028793 A KR1020010028793 A KR 1020010028793A KR 20010028793 A KR20010028793 A KR 20010028793A KR 20020089849 A KR20020089849 A KR 20020089849A
Authority
KR
South Korea
Prior art keywords
foz
file
packet
user information
file system
Prior art date
Application number
KR1020010028793A
Other languages
English (en)
Inventor
전창용
Original Assignee
주식회사 에프엔에프시큐어텍
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에프엔에프시큐어텍 filed Critical 주식회사 에프엔에프시큐어텍
Priority to KR1020010028793A priority Critical patent/KR20020089849A/ko
Publication of KR20020089849A publication Critical patent/KR20020089849A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 네트워크상에서 파일에 대한 전송 및 다운로드시 모든 파일에 대해 네트워크 터널링 기법, 패킷 암호화 기법, 파일시스템 변환기법, 바이러스·해킹툴 치료등의 기술을 사용하며 운영체제와 독립적인 가상 폴더를 통과하게 하여 파일에 대한 무결성과 파일에 포함되어 들어오는 바이러스(Virus)나 해킹툴(Hacking Tool)에 대한 검사를 수행하여 운영체제(OS)에 대한 영향을 원천봉쇄하고, 이를 통해 시스템의 성능향상을 가져오기 위해 개발되었다. 또한 키보드와 네트워크 레벨에서의 응용프로그램에 대한 정보의 가로채기 기술을 이용하여 해킹툴에 대한 정보 유출을 원천적으로 방지할 수 있다.

Description

새로운 네트워크 파일 시스템을 이용한 인터넷 정보보안 방법{Internet information security system using the new network file system}
지금 까지 바이러스 및 해킹툴에 대한 대비는 실시간 시스템 감시 방식을 이용하여 대처하였기 때문에 시스템 과부하를 초래하여 속도저하를 가져왔으며 바이러스나 해킹툴에 대한 검사 및 치료를 운영체제에 설치된 응용프로그램에서 이루어졌기 때문에 응용프로그램이 바이러스 및 해킹툴에 대한 검사·치료를 수행하기 전에 운영체제에 영향을 남겨놓을 가능성을 가지게 되며, 실제로 완전한 검사·치료가 되지 않는 경우가 발생하고 있다.
또한 통신을 위해서는 수만 개의 통신 포트(Port)가 열려있을 수 있으며, 이러한 포트를 통해 전송되는 파일 등을 통한 해킹 시도에 노출되어 있다는 취약점을 가진다.
컴퓨터에 해킹툴이 설치되어 있는 경우 웹브라우저와 같은 응용 프로그램을 통해 입력되는 신용정보 등의 중요한 개인정보가 고스란히 노출되어 유출 될 수 있는 취약점을 가진다.
본 발명은 이러한 취약점을 근본적으로 해결하기 위해 네트워크 터널링(Tunneling) 기법, 패킷 암호화기법, 파일시스템 변환기법, 바이러스·해킹툴 치료등의 기술을 사용하는데 그 초점을 두었다.
본 발명은 상기 기재한 문제점을 해결하기 위해 터널링과 IPSec 기술을 가진 Peer Virtual Private Network(PVPN) 기술과 OS에 독립적인 파일시스템 변환 기술을 적용한 FOZ(Free OS Zone)을 만들고 인터넷을 통해 유입되는 모든 파일들이 운영체제가 접근하기 전에 FOZ을 반드시 통과하도록 하여 파일에 대한 안전성 검사(바이러스·해킹툴 에 대한 검사 등)를 수행하여 무결성을 유지하고 운영체제에 바이러스나 해킹툴이 침투하는 것을 원천적으로 봉쇄한다. 또한 FOZ의 공간을 충분히 활용하기 위해, 파일압축 및 디스크 조각모음 기술 그리고 파일시스템 변환 기술을 활용하였다.
본 발명을 통해 사용자는 인터넷을 통해 유입된 모든 파일들과 이를 다루는 운영체제에 대한 완전무결함을 보장받을 수 있고, 평소에는 인터넷을 통해 유입되는 모든 파일들을 FOZ에 저장해 두었다가 필요 시 무결성 검사 후 운영체제에서 읽어들이기 때문에 바이러스 시스템 감시를 하지 않아도 되므로 시스템의 부하를 줄일 수 있다.
또한 컴퓨터에 해킹툴이 설치되어 있다 할지라도 웹브라우저와 같은 응용 프로그램을 통해 입력되는 신용정보 등의 중요한 개인정보를 해킹툴로 노출시키는 것이 아니라 키보드와 네트워크 드라이버 레벨에서 가로채어 정보를 보호하고 분석한 패킷에 적용하여 전송하므로 정보의 유출을 원천적으로 봉쇄할 수 있다.
도1 FOZ에서 파일이 이동되는 경로를 기술한 도면
도2 운영체제 위에서 수행되는 응용 프로그램에서 입력하는 사용자 정보를 가로채어 네트워크를 통해 전송하는 도면
도3 패킷암호화를 보여주는 도면
도4 FOZ에서 파일이 이동되는 경로를 보여주는 도면
이하에서는 첨부한 도면을 참고하여 본 발명의 실시 예에 따른 파일 보안 유지 방법에 대하여 설명한다.
도1 FOZ에서 파일이 이동되는 경로를 기술한 도면. 인터넷 또는 인트라넷과 같이 네트워크가 연결된 곳에서 PVPN(Peer Virtual Private Network)을 이용하여 파일을 송수신하기 위해 패킷을 암호화 (S101, 도3)하는 단계. 수만 가지의 통신 포트 중 오직 PVPN 포트만을 통해서 데이터에 대한 송·수신이 가능한 단계로서, 패킷 암호화와 PVPN 포트 외 다른 포트는 선택사항으로 열어놓을 수 있다.(S102) PVPN 포트로 전송 받은 데이터를 FOZ로 저장하는 단계는 파일에 대한 암호화와 저장공간 활용을 위한 파일 압축 및 디스크 조각모음들을 수행하여 작은 공간도 활용할 수 있도록 하였다.(S103) FOZ는 평상시에는 운영체제와 다른 파일 시스템을 사용하므로 운영체제에서 접근이 불가능한상태로 존재하게 되며 만약 운영체제의 요청이 들어오면 가상 경로를 만들어 FOZ 내의 파일의 내용을 볼 수 있다. 이때, 바이러스나 해킹 툴에 대한 검사를 수행하게 된다.(S104)
도2 운영체제 위에서 수행되는 응용 프로그램(예:웹브라우저)에서 입력하는 사용자 정보를 가로채어 네트워크를 통해 전송하는 도면. 웹브라우저에서 입력한 사용자 정보를 OS가 인식하기 전에 keyboard Level에서 가로채는 단계(①). 가로챈 사용자 정보를 별도의 파일 시스템으로 변환하는 단계(②). 웹브라우저 화면엔 실제 사용자 정보대신 '*"와 같은 특수기호로 정보를 숨기는 단계(③). 웹브라우저에서 사용자 정보에 대한 '전송' 실행시, 'Packet Analyzer'에서 생성된 패킷을 분석하는 단계(④). 가로챈 사용자 정보를 패킷에 적용하여 전송하는 단계(⑤).
도3 패킷암호화를 보여주는 도면. 파일 전송시 패킷을 암호화하는 단계로서 TCP/UDP header 와 Upper layer payload를 FOZ header를 포함시켜 캡슐화 시키는 단계
도4 FOZ에서 파일이 이동되는 경로를 보여주는 도면. PVPN이 설치된 PC에서 파일을 전송하는 단계(S200). PVPN프로그램이 설치되었는가를 확인하는 단계(S201). PVPN이 설치되지 않은 관계로 '파일 전송 실패'되는 단계(S202). 전송패킷을 암호화하고 PVPN 포트를 찾아 파일을 네트워크상으로 전송시키는 단계(S203,S204). 대상 호스트 pc가 PVPN포트 외에 다른 포트는 닫아놓은 상태로 암호화된 패킷을 푸는 단계(S205). 파일을 OS 파일시스템과 다른 FOZ에 파일을 저장하는 단계(S206). FOZ가 파일을 암호화, 압축, 디스크 조감 모음 하여 저장하는 단계(S207). OS에서 FOZ의 파일을 가져올 것인지를 묻는 단계(S208). 파일이동시 바이러스 검사 및 해킹툴 검사를 하여 파일의 무결성을 보존하는 단계(S210). 바이러스 및 해킹툴 검사가 끝나면 파일을 이동시키는 단계(S211). OS에 파일을 저장하는 단계(S2l2)
본 발명은 VPN(Virtual Private Network)을 P2P(Peer to Peer)에 적용시킨 PVPN(Peer Virtual Private Network)과 파일시스템 변환기술, 바이러스 및 해킹툴 검색 및 치료기술을 연동시킨 FOZ(Free Os Zone)를 사용하여, 네트워크상의 파일에 대한 해킹과 바이러스·해킹툴의 첨부를 원천적으로 봉쇄하는 기술이다. FOZ의 강력한 바이러스·해킹 툴에 대한 검색 및 치료는 기존의 인터넷에 대한 시스템 감시방법과 달리 사용자의 요청에 의해서 이루어지기 때문에 불필요한 프로세서 낭비를 줄일 수 있으며, 인터넷을 통해 데이터의 송/수신에 대한 완벽한 신뢰성을 제공할수 있다는 장점을 가진다.

Claims (9)

  1. 파일을 전송시 TCP/UDP header 와 Upper layer payload를 FOZ header로 감싸, 캡슐화 시키는 단계 및 전송이 완료된 파일의 FOZ header를 삭제해, 패킷을 원상태로 복구시키는 단계.
  2. pc 대 pc 간에 가상 포트를 설정하는 단계 및 다른 포트로 들어오는 데이터를 차단하는 단계.
  3. pc 하드디스크 내에 os와 다른 파일 시스템으로 운영체제에 독립적인 FOZ(Free OS Zone)을 두는 단계 및 FOZ내에 삽입된 파일을 암호화 압축하고 FOZ를 디스크 조각을 관리하는 단계와 필요할 경우 OS에서 FOZ를 연결할 수 있도록 인식시키는 단계.
  4. FOZ의 파일을 운영체제로 옮기는 경우 바이러스 체크 및 해킹 툴 검사를 하는 단계.
  5. 응용프로그램에서 입력한 사용자 정보를 OS가 인식하기 전에 keyboard /Network Level에서 가로채는 단계
  6. 가로챈 사용자 정보를 별도의 파일 시스템으로 변환하는 단계
    가로챈 정보를 일반 운영체제의 파일시스템으로 저장해놓으면 해킹툴에 의해 발견될 수 있으며 바이러스에 의해 감염되어질 수도 있다. 그러므로 운영체제가 인식하지 못하는 파일 시스템으로 변환하여 저장한다.
  7. 응용프로그램의 화면에 실제 사용자 정보대신 '*"와 같은 다양한 특수기호로 정보를 숨기는 단계
  8. 응용프로그램에서 사용자 정보에 대한 '전송' 실행시, 'Packet Analyzer'에서 생성된 패킷을 분석하는 단계
  9. 가로챈 사용자 정보를 패킷에 적용하여 전송하는 단계
    가로챈 사용자 정보를 패킷의 형식으로 변환하여 기존 패킷의 사용자 정보 부분을 대체하여 전송 할 수 있다.
KR1020010028793A 2001-05-24 2001-05-24 새로운 네트워크 파일 시스템을 이용한 인터넷 정보보안방법 KR20020089849A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010028793A KR20020089849A (ko) 2001-05-24 2001-05-24 새로운 네트워크 파일 시스템을 이용한 인터넷 정보보안방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010028793A KR20020089849A (ko) 2001-05-24 2001-05-24 새로운 네트워크 파일 시스템을 이용한 인터넷 정보보안방법

Publications (1)

Publication Number Publication Date
KR20020089849A true KR20020089849A (ko) 2002-11-30

Family

ID=27706352

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010028793A KR20020089849A (ko) 2001-05-24 2001-05-24 새로운 네트워크 파일 시스템을 이용한 인터넷 정보보안방법

Country Status (1)

Country Link
KR (1) KR20020089849A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2391657A (en) * 2002-06-19 2004-02-11 Hewlett Packard Development Co Security for mass storage devices in imaging devices
WO2005074397A3 (en) * 2004-02-05 2005-10-06 Kings Information & Network Computer security apparatus and method using security input device driver
AT501652A1 (de) * 2005-01-14 2006-10-15 Diaplan Elektronic Gmbh Computersicherheitssystem

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2391657A (en) * 2002-06-19 2004-02-11 Hewlett Packard Development Co Security for mass storage devices in imaging devices
GB2391657B (en) * 2002-06-19 2006-02-22 Hewlett Packard Development Co Security for mass storage devices in imaging devices
US7265865B2 (en) 2002-06-19 2007-09-04 Hewlett-Packard Development Company, L.P. Security for mass storage devices in imaging devices
WO2005074397A3 (en) * 2004-02-05 2005-10-06 Kings Information & Network Computer security apparatus and method using security input device driver
EP1714220A2 (en) * 2004-02-05 2006-10-25 Kings Information & Network Computer security apparatus and method using security input device driver
EP1714220A4 (en) * 2004-02-05 2010-05-05 Kings Information & Network Computer security device and method with a security input device driver
US7774595B2 (en) 2004-02-05 2010-08-10 King Information & Network Computer security apparatus and method using security input device driver
AT501652A1 (de) * 2005-01-14 2006-10-15 Diaplan Elektronic Gmbh Computersicherheitssystem

Similar Documents

Publication Publication Date Title
US8813189B2 (en) System and method for capturing network traffic
US7386881B2 (en) Method for mapping security associations to clients operating behind a network address translation device
US11146588B2 (en) Context-based adaptive encryption
US20070234412A1 (en) Using a proxy for endpoint access control
CN108509802B (zh) 一种应用程序数据防泄密方法和装置
CN110012016B (zh) 混合云环境中资源访问控制的方法及系统
JP2002533792A (ja) 信頼された内部ネットワ−クの作動を保護方法およびシステム
Schwarz et al. {SENG}, the {SGX-Enforcing} Network Gateway: Authorizing Communication from Shielded Clients
Akbanov et al. Static and dynamic analysis of WannaCry ransomware
CN115987938A (zh) 确定失陷主机的方法及装置
KR20020089849A (ko) 새로운 네트워크 파일 시스템을 이용한 인터넷 정보보안방법
US20070214358A1 (en) Concurrent ipsec processing system and method
RU2706894C1 (ru) Система и способ анализа содержимого зашифрованного сетевого трафика
KR20220036312A (ko) 가상 컴퓨팅 환경의 제공 방법, 그리고 이를 구현하기 위한 장치
WO2014181476A1 (ja) データ変換方法及び装置
Joshi et al. A Comprehensive Study of Vulnerability Assessment Techniques of Existing Banking Apps
Dimitrov et al. Challenges and new technologies for addressing security in high performance distributed environments
Will et al. A trusted message bus built on top of D-Bus
Malek et al. Security management of Web services
John et al. Mitigating threats in a corporate network with a taintcheck-enabled honeypot
KR20190023857A (ko) 미들박스 장치 및 이의 암호화된 패킷 처리 방법
Schulz et al. Secure VPNs for trusted computing environments
Cardwell Analyzing Encoding, Obfuscated, and ICS Malware Traffic
Choo VAULTEDVPN: COMPARTMENTEDVIRTUAL PRIVATENETWORKSONTRUS TED OPERATINGSYSTEMS
Cardwell Network Traffic Forensics

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
E902 Notification of reason for refusal
B601 Maintenance of original decision after re-examination before a trial
J121 Written withdrawal of request for trial