KR20030017063A - 퍼스널 컴퓨터의 방화벽을 위한 시스템 - Google Patents

퍼스널 컴퓨터의 방화벽을 위한 시스템 Download PDF

Info

Publication number
KR20030017063A
KR20030017063A KR1020010051179A KR20010051179A KR20030017063A KR 20030017063 A KR20030017063 A KR 20030017063A KR 1020010051179 A KR1020010051179 A KR 1020010051179A KR 20010051179 A KR20010051179 A KR 20010051179A KR 20030017063 A KR20030017063 A KR 20030017063A
Authority
KR
South Korea
Prior art keywords
internet
server
client
chain
firewall
Prior art date
Application number
KR1020010051179A
Other languages
English (en)
Inventor
김원식
Original Assignee
(주)시큐어뉴스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)시큐어뉴스 filed Critical (주)시큐어뉴스
Priority to KR1020010051179A priority Critical patent/KR20030017063A/ko
Publication of KR20030017063A publication Critical patent/KR20030017063A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 개인 PC 보안제품 분야에서 인터넷을 사용할 때 생기는 크래킹, 불법적인 접근 등의 공격으로부터 개인 PC를 보호하기 위한 소프트웨어 개발에 대한 것으로, 운영체제에서 사용하는 네트웍 어플리케이션을 감시함으로써, 사용자로 하여금 악성코드 방지, 불법 공격, 비인가 내부접근/외부접속 방지 기능을 쉽게 인식, 조작하여 보안이 유지되는 안전한 인터넷 접속환경을 구축할 수 있게 하는 퍼스널 컴퓨터의 방화벽을 위한 시스템에 관한 것이다.
본 시스템은 인터넷을 접속하는 윈속(Winsock)환경에서 다수의 악성코드를 차단하기 위한 것에 있어서; 서버와 클라이언트 중 어느 하나의 동작방식을 구별하기 위한 알고리즘을 저장하고 있는 체인(Chain) 데이터베이스와, 상기 체인(Chain) 데이터베이스와 연동하여 어플리케이션을 발생하는 콘넥터(Connect)와 리슨(Listen)의 API함수를 통제하여 서버와 클라이언트 중 어느 하나의 동작방식을 구별하는 체인(Chain) 모듈과, 인터넷으로 접속되는 악성코드와 불법 크래킹 공격과 비 인가된 접속 중 어느 하나의 인터넷 웜의 특정한 다수 패턴을 저장하는 악성코드 패턴 데이터베이스과, 상기 악성코드 패턴 데이터베이스과 연동하여 악성코드, 인터넷 웜, 개인정보 유출 중 어느 하나의 접속에 따른 비 인가 작업을 차단하고 통제하는 필터(Filter) 모듈를 포함한다.
이에 따라, 사용자가 쉽게 인지할 수 있는 네트웍 어플리케이션의 네트웍 사용여부를 어플리케이션 이름으로 제공함으로써, 접속 및 차단기능을 용이하게 수행할 수 있게 되어, 보안에 대한 많은 이해나 지식 없이도 개인 PC의 보안 환경을 강화할 수 있는 장점을 제공한다. 특히 인터넷을 사용하면서 생기는 악성적인 코드로 인한 공격이나 악성 메일로 인한 피해를 미리 감지하여 사용자에게 알림,차단하는 기능을 효과적으로 제공한다.

Description

퍼스널 컴퓨터의 방화벽을 위한 시스템{Virus invasion protecting system of personal computer}
본 발명은 개인 PC 보안제품 분야에서 인터넷을 사용할 때 생기는 크래킹, 불법적인 접근 등의 공격으로부터 개인 PC를 보호하기 위한 퍼스널 컴퓨터의 방화벽을 위한 시스템에 관한 것이다.
이와 같은 본 발명은 사용자가 쉽게 인지할 수 있는 네트웍 어플리케이션의네트웍 사용여부를 어플리케이션 이름으로 제공함으로써, 접속 및 차단기능을 용이하게 수행할 수 있게 되어, 보안에 대한 많은 이해나 지식 없이도 개인 PC의 보안 환경을 강화할 수 있는 장점을 제공한다. 특히 인터넷을 사용하면서 생기는 악성적인 코드로 인한 공격이나 악성 메일로 인한 피해를 미리 감지하여 사용자에게 알리고, 차단하는 기능을 효과적으로 제공한다.
일반적으로 알려진 종래의 방화벽은 네트워크망을 보호하기 위한 패킷필터링 방식의 서버군의 제품이 다수이며 현재까지도 대부분의 방화벽 제품군을 이루고있다. 개인 PC를 대상으로 하는 방화벽 프로그램도 최근 몇 종의 보안 제품이 출시되고 있으나, 이 제품들의 기반기술 역시 패킷필터링(ip,port) 방식의 제어방식을 채택하고 있어서, 상대적으로 보안기술에 대한 이해가 적은 일반 사용자들로서는, 방화벽 규칙을 생성하는 rule set의 셋팅이나 사용하는 네트워크 어플리케이션의 정확한 이해를 필요로 하고 있어서, 이를 조작하거나 관리하는데 있어서 많은 어려움이 발생한다. 주로 그 기반기술이 가상 네트워크 드라이버를 개발하는 방식으로 채택함으로써, 드라이버에 문제가 생기거나, 수정을 필요한 경우에도 쉽게 사용자의 요구사항을 반영하기가 어렵다는 문제점과 상대적인 개발의 어려움으로 인하여 유지보수 기간이 장시간 요구된다는 단점도 가지고 있다. 또한 상기 종래의 제품은 사용하는 운영체제 커널의 차이로 인하여, 운영체제가 업그레이드시에는, 이에 상응하는 적절한 드라이버를 다시 제작해야만 하는 상황으로 인하여 업그레이드가 다소 곤란한 문제점이 있다.
본 발명은 싱기와 같은 문제점을 해결하기 위해 안출한 것으로, 운영체제에서 사용하는 네트웍 어플리케이션을 감시하여 사용자로 하여금 악성코드 방지, 불법 공격, 비인가 내부접근/외부접속 방지 기능을 쉽게 인식, 조작하여 보안이 유지되는 안전한 인터넷 접속환경을 구축할 수 있도록 한 퍼스널 컴퓨터의 방화벽을 위한 시스템을 제공하는데, 그 목적이 있다.
도 1은 본 발명의 설치 위치 및 구성도이고,
도 2는 윈속서버(Winsock Server),클라이언트(Client)의 API함수 구현도이고,
도 3은 본 발명의 주요 모듈을 나타낸 블록 구성도이고,
도 4는 본 발명을 위한 주요 API,SPI 관련 함수이고,
도 5는 본 발명을 위한 윈속 구조(WinSock Architecture) 구성이다.
상기 목적은, 본 발명에 따라, 인터넷을 접속하는 윈속(Winsock)환경에서 다수의 악성코드를 차단하기 위한 퍼스널 컴퓨터의 방화벽을 위한 시스템에 있어서; 서버와 클라이언트 중 어느 하나의 동작방식을 구별하기 위한 알고리즘을 저장하고 있는 체인(Chain) 데이터베이스와, 상기 체인(Chain) 데이터베이스와 연동하여 어플리케이션을 발생하는 콘넥터(Connect)와 리슨(Listen)의 API함수를 통제하여 서버와 클라이언트 중 어느 하나의 동작방식을 구별하는 체인(Chain) 모듈과, 인터넷으로 접속되는 악성코드와 불법 크래킹 공격과 비 인가된 접속 중 어느 하나의 인터넷 웜의 특정한 다수 패턴을 저장하는 악성코드 패턴 데이터베이스과, 상기 악성코드 패턴 데이터베이스과 연동하여 악성코드, 인터넷 웜, 개인정보 유출 중 어느 하나의 접속에 따른 비 인가 작업을 차단하고 통제하는 필터(Filter) 모듈를 포함하는 퍼스널 컴퓨터의 방화벽을 위한 시스템에 의해 달성된다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 퍼스널 컴퓨터의 방화벽을 위한 시스템을 상세하게 설명하면 다음과 같다. 도 1은 본 발명의 설치 위치 및 구성도이고, 도 2는 윈속서버(Winsock Server),클라이언트(Client)의 API함수 구현도이고, 도 3은 본 발명의 주요 모듈을 나타낸 블록 구성도이고, 도 4는 본 발명을 위한 주요 API,SPI 관련 함수이고, 도 5는 본 발명을 위한 윈속 구조(WinSock Architecture) 구성이다.
본 퍼스널 컴퓨터의 방화벽을 위한 시스템은 도 1에 도시된 바와 같이, 운영체제에서 사용하는 네트웍 API함수에 새로운 모듈을 삽입하고 윈속(Winsock) SPI(Layered Service Provider)기능을 이용하여 네트웍을 사용하는 어플리케이션과 운영체제 사이의 네트워크 관련 메시지(이벤트)를 가로채서, 이벤트 발생 주체의 어플리케이션의 이름과 동작방식(서버,클라이언트)을 구별하여 이를 사용자에게 알려주는 기본 동작 및 구성을 이루게 된다. 네트웍을 사용하는 프로그램이 서버의 기능을 수행할 경우에는 접속 허용, 차단의 여부를 사용자에게 질의하여 네트웍 사용여부를 자동으로 결정하게 하는 방식으로 구성되며, 클라이언트로서 동작을 하게 되는 경우에도 마찬가지로 질의를 수행하게 되는 기본동작을 수행하며, 인터넷 환경 하에서 전송 받는 데이터를 검사하는 모듈을 통하여 비인가, 불법적인 공격을 감지, 차단하는 방식으로 구성된다.
본 발명의 주요 작용은 첨부된 도 2에 예시된 바와 같이, 윈속(Winsock) 서버와 클라이언트 API(Application Programming Interface)/SPI(Service Programming Interface)함수의 차이점에 따라서 리슨(Listen)을 실행하는 어플리케이션을 감시하여 이를 서버프로그램으로 인지하여 사용하는 어플리케이션의 이름을검출, 사용자에게 질의를 요구, 이에 대한 응답으로 외부에서 내부로 접근하는 동작에 대하여 방화벽의 룰셋(Rule Set)으로 설정을 하게 한다. 반면에, 콘넥트(Connect)를 실행하는 어플리케이션을 감시, 어플리케이션의 이름을 검출, 마찬가지로 사용자에게 질의, 응답케 하여 마찬가지로 방화벽 룰셋(Rule Set)으로 인식하게 하여 내부에서 외부로의 접근을 통제한다.
보다 상세하게는 도 3에 도시된 바와 같이, 사용자의 방화벽의 동작 여부를 인식할 수 있는 GUI(Graphic User Interface)부분에 의해서 이루어지며, GUI부분은 Chain 모듈, Filter 모듈, Chain 데이터베이스, 악성코드 패턴 데이터베이스 부분으로 구성되어 있다. GUI 모듈부분은 사용자로 하여금, 방화벽 및 네트워크 사용, 통제를 위한 화면을 구성하며, DLL형식의 Chain 모듈은 Chain 데이터베이스와 연동하여 어플리케이션에서 발생하는 Connect와 Listen의 API함수를 통제하여 Server, Client 동작방식을 구별한다. Filter모듈도 역시 DLL형식의 구성을 띄며, 악성코드 패턴 데이터베이스 부분과 연동하여, 악성코드, 인터넷 웜, 개인정보 유출 등의 비인가 작업을 차단하며 통제한다.
또한, 콘넥트(Connect)를 수행하는 클라이언트로서 네트워크 어플리케이션이 동작시에는 외부의 서버와 사용자 PC가 상호 주고 받는 데이터와 사용자의 시스템에 저장되어 있는 악성코드 및 불법접근 패턴을 비교하여, 만약 비인가 동작을 수행하는 경우에는 사용자에게 이를 공지하고, 이에 대한 기록을 파일로 저장하여, 비인가 접근자와 패턴을 로그로 저장하며, 데이터에서 불법적인 코드를 제외한 나머지 정상적인 패턴의 데이터만을 사용자의 시스템으로 전송하여 준다.
방화벽이 수행되면 도 4 및 도 5에 도시된 바와 같이, 윈속(Winsock)과 관련된 함수 중에서 콘넥트(Connect), 리슨(Listen), 센드(Send), 리커브(Recv) 등의 윈속(Winsock) API함수에 방화벽 기능을 추가하게 되며, 엘에스피(LSP)와 관련된 제공자 체인(Provider Chain)을 윈속(Winsock) SPI에 설치하게 된다. 방화벽이 시스템에 의해서 정상적으로 로딩된 후에 네트워크를 사용하는 어플리케이션이 구동 되게 되면 어플리케이션 내부적으로 윈속(Winsock) API함수를 사용하게 되는데, 이때 방화벽 기능을 수행하는 모듈이 어플리케이션 내부로 삽입되게 되며 우리가 새로 추가한 윈속(Winsock) API,SPI함수로 대신해서 수행되게 된다. 이때의 프로세스 ID를 검색하여, 현재 동작하는 네트워크 어플리케이션의 이름과 위에서 명시했던 방식으로 서버(Server), 클라이언트(Client) 기능을 구분하게 된다.
처음 실행되는 어플리케이션이라면 사용자에게 공지, 이에 대한 접속 여부를 선택하게 요구하며 이의 내용을 방화벽 룰셋(Rule Set)에 추가하게 된다. 만약, 기존에 방화벽 룰셋(Rule Set)에 정의가 되어있는 어플리케이션이라면, 설정된 내용에 의해서 동작(ACCESS,DENY)을 수행하게 된다.
동작중인 네트워크 어플리케이션을 종료하기 전까지, 계속 감시하여, 불법적이거나 인터넷 웜, 개인정보 유출 등의 악의적인 비인가 공격으로부터 시스템을 보호하게 된다.
네트워크 어플리케이션이 종료되면 사용되고 있던 방화벽 모듈을 메모리에서 해제하고 다시 원래의 네트워크 기능을 수행하도록 하여, 정상적인 시스템 동작을 보장한다.
상술한 바와 같이, 본 발명은 위에서 설명한 바와 같이, 기본적인 방화벽 Rule Set 정의 내용을 어플리케이션 이름으로 하기 때문에 기존의 패킷필터링 방식에서 사용하는 Port제어 방식보다는 사용자에게 친숙한 인터페이스를 제공한다. 또한, 패킷필터링에서 사용하는 Port제어방식을 사용할 경우, 최근 많은 부분에서 사용되는 P2P개념의 어플리케이션들이 사용하는 Port가 임의대로 포트번호를 사용하기 때문에 정상적으로 사용하기 어렵다는 단점을 극복하여 이를 쉽고 용이하게 설정함으로써, 호환성 및 사용성을 안정적으로 보장할 수 있다. 또한, 기존의 방화벽은 외부에서의 접근통제를 그 주 목적으로 하지만, 본 기술에서는 주 목적 외에 추가적으로 내부에서 외부로 유출될 수 있는 비인가 동작(인터넷 웜 등의 악성코드), 개인정보 유출에 대해서도 신뢰적이며 안정적인 보안을 제공할 수 있다.
본 발명은 네트워크 어플리케이션 제어방식을 도입함으로써, 개발자는 상대적으로 짧은 개발기간과 유지보수 기간을 유지할 수 있게 하며, 사용자는 쉽게 인식할 수 있는 방법으로 효율적인 방화벽 기능을 사용할 수 있기 때문에 사용자 및 개발자에게 편리성을 극대화시키는 효과가 있다.
또한, 인터넷에서 사용하면서 자주 접할 수 있는 불법, 악성 코드나 이를 이용한 개인정보 유출방지, 인터넷 웜을 통한 개인 PC크래킹 및 불법접근 기능을 추가하여, 개인 PC 인터넷 환경의 양질의 안전성을 제공할 수 있는 효과가 있다.

Claims (1)

  1. 인터넷을 접속하는 윈속(Winsock)환경에서 다수의 악성코드를 차단하기 위한 퍼스널 컴퓨터의 방화벽을 위한 시스템에 있어서;
    서버와 클라이언트 중 어느 하나의 동작방식을 구별하기 위한 알고리즘을 저장하고 있는 체인(Chain) 데이터베이스와;
    상기 체인(Chain) 데이터베이스와 연동하여 어플리케이션을 발생하는 콘넥터(Connect)와 리슨(Listen)의 API함수를 통제하여 서버와 클라이언트 중 어느 하나의 동작방식을 구별하는 체인(Chain) 모듈과;
    인터넷으로 접속되는 악성코드와 불법 크래킹 공격과 비 인가된 접속 중 어느 하나의 인터넷 웜의 특정한 다수 패턴을 저장하는 악성코드 패턴 데이터베이스과;
    상기 악성코드 패턴 데이터베이스과 연동하여 악성코드, 인터넷 웜, 개인정보 유출 중 어느 하나의 접속에 따른 비 인가 작업을 차단하고 통제하는 필터(Filter) 모듈를 포함하는 것을 특징으로 하는 퍼스널 컴퓨터의 방화벽을 위한 시스템.
KR1020010051179A 2001-08-23 2001-08-23 퍼스널 컴퓨터의 방화벽을 위한 시스템 KR20030017063A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010051179A KR20030017063A (ko) 2001-08-23 2001-08-23 퍼스널 컴퓨터의 방화벽을 위한 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010051179A KR20030017063A (ko) 2001-08-23 2001-08-23 퍼스널 컴퓨터의 방화벽을 위한 시스템

Publications (1)

Publication Number Publication Date
KR20030017063A true KR20030017063A (ko) 2003-03-03

Family

ID=27720643

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010051179A KR20030017063A (ko) 2001-08-23 2001-08-23 퍼스널 컴퓨터의 방화벽을 위한 시스템

Country Status (1)

Country Link
KR (1) KR20030017063A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100670209B1 (ko) 2004-12-23 2007-01-16 한국전자통신연구원 파라미터 상태 추적을 통한 웹 응용프로그램 취약점의소스코드 분석 장치 및 방법
KR100835033B1 (ko) * 2006-08-30 2008-06-03 인포섹(주) 트러스티드 네트워크를 이용한 피싱 방지 방법
US8359645B2 (en) 2005-03-25 2013-01-22 Microsoft Corporation Dynamic protection of unpatched machines

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100670209B1 (ko) 2004-12-23 2007-01-16 한국전자통신연구원 파라미터 상태 추적을 통한 웹 응용프로그램 취약점의소스코드 분석 장치 및 방법
US8359645B2 (en) 2005-03-25 2013-01-22 Microsoft Corporation Dynamic protection of unpatched machines
KR100835033B1 (ko) * 2006-08-30 2008-06-03 인포섹(주) 트러스티드 네트워크를 이용한 피싱 방지 방법

Similar Documents

Publication Publication Date Title
US7281266B2 (en) Personal computer internet security system
US9021597B2 (en) Security arrangements for extended USB protocol stack of a USB host system
EP1842317B1 (en) Methods and apparatus providing security for multiple operational states of a computerized device
US9213836B2 (en) System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages
US20060069692A1 (en) Electronic computer system secured from unauthorized access to and manipulation of data
US20140359768A1 (en) System and method for detecting, alerting and blocking data leakage, eavesdropping and spyware
US8732794B2 (en) Browser plug-in firewall
WO2017058314A1 (en) Methods for data loss prevention from malicious applications and targeted persistent threats
US20070101435A1 (en) System and Methodology Providing Secure Workspace Environment
US9081956B2 (en) Remote DOM access
AU2008100700B4 (en) REAPP computer security system and methodology
KR20050120875A (ko) 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템
EP2204757B1 (en) Method and device for controlling information transfers between an information processing device and an information storage device as well as between the information processing device and a network
KR20040065674A (ko) 통합형 호스트 기반의 보안 시스템 및 방법
KR20030017063A (ko) 퍼스널 컴퓨터의 방화벽을 위한 시스템
KR20050045500A (ko) 커널 기반의 침입탐지시스템에서의 침입탐지규칙 동적변경 방법
GB2404262A (en) Protection for computers against malicious programs using a security system which performs automatic segregation of programs
KR20110036420A (ko) 클라우드 컴퓨팅 환경을 위한 가상 방화 장치 및 방법
JP4638494B2 (ja) コンピュータのデータ保護方法
KR20220097037A (ko) 데이터 유출 방지 시스템
US20060075493A1 (en) Sending a message to an alert computer
CA2471505A1 (en) System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
Vaclavik Einschränken von Applikationen mittels verfügbarer Werkzeuge für Windows Systeme
Sng et al. Security in computational electronic mail systems
CA2446144A1 (en) System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application