KR20030063949A - 컴퓨터 바이러스 방역 방법 및 시스템 - Google Patents

컴퓨터 바이러스 방역 방법 및 시스템 Download PDF

Info

Publication number
KR20030063949A
KR20030063949A KR1020020004316A KR20020004316A KR20030063949A KR 20030063949 A KR20030063949 A KR 20030063949A KR 1020020004316 A KR1020020004316 A KR 1020020004316A KR 20020004316 A KR20020004316 A KR 20020004316A KR 20030063949 A KR20030063949 A KR 20030063949A
Authority
KR
South Korea
Prior art keywords
virus
computer
network
agent
patrol
Prior art date
Application number
KR1020020004316A
Other languages
English (en)
Inventor
박정현
Original Assignee
박정현
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 박정현 filed Critical 박정현
Priority to KR1020020004316A priority Critical patent/KR20030063949A/ko
Publication of KR20030063949A publication Critical patent/KR20030063949A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 이동형 웜 컴퓨터 바이러스가 발견되면 방역 센터가 그 유형 및 이동 경로를 분석한 후에, 스스로 네트워크를 이동하여 해당 웜 바이러스를 색출하고 피해를 치유할 수 있는 이동형 순찰 에이전트를 생성 및 배포함으로써 웜 바이러스에 의한 피해를 포착하여 피해 컴퓨터 내의 피감염 파일 또는 악성 코드를 치료 또는 제거하는 컴퓨터 바이러스 방역 방법 및 시스템으로서, 상기 이동형 순찰 에이전트는 네트워크 상의 다른 컴퓨터로 이동하면서 바이러스 색출 및 치료작업을 수행함으로써 컴퓨터 사용자의 백신 다운로드 조작 등을 필요로 하지 않고 웜 바이러스의 이동에 맞추어 안티-웜 백신이 이동하여 자동적으로 바이러스 치료가 가능하도록 한다.
또한, 실시간 네트워크 트래픽 감시기를 사용자 망에 설치하여 임계치 네트워크 트래픽을 넘어갈 때 이를 방역 서버에 보고하여, 다른 채널을 통해 수집 및 분석된 신종 웜바이러스의 전파력이나 파괴력을 사전에 파악할 수 있다.

Description

컴퓨터 바이러스 방역 방법 및 시스템{THE METHOD AND SYSTEM FOR PREVENTING AND CURING COMPUTER VIRUS}
본 발명은 컴퓨터 바이러스 방역 방법 및 시스템에 관한 것으로서, 특히 종래의 컴퓨터 바이러스는 물론 신형의 웜 바이러스(worm virus)를 효과적이고 원천적으로 치료할 수 있는 치료 방법 및 시스템에 관한 것이다.
종래의 컴퓨터 바이러스 백신은 크게 클라이언트 탑재 방식, 필터링 방식, 온라인 점검 방식, 피쉬 보울(fishbowl)방식, 자동면역 방식을 들 수 있다. 클라이언트 탑재 방식은 개별 컴퓨터(예컨대, PC)에 백신 프로그램을 탑재하여 바이러스를 검색하고 치료하는 것으로서 윈도우 계열에서 주로 이용되며 재발율이 높은 단점이 있고, 필터링 방식은 메일 서버를 통하는 메일 파일에 기생하는 바이러스를 메일 서버에 설치된 바이러스 월을 이용하여 필터링하는 방식으로서 웹을 통한 메일 수신(예컨대, 인터넷 메일 사이트를 이용한 메일 수신)의 경우는 자체적으로 바이러스를 필터링할 수 없고 오로지 메일 사이트에서의 필터링만을 의존하여야 하기 때문에 그 효과가 불완전하다.
온라인 점검 방식은 특정 웹페이지/특정 서비스 접속시 백신 코드를 자동 다운로드받아 이를 이용하여 검색하는 것이지만 특정 웹페이지/특정 서비스의 요청시에만 점검이 가능한 한계가 있다. 피쉬 보울 방식은 네트워크상에 특정의 치료 공간을 두어 바이러스를 검색하는 것이지만, 공개된 운영 체제를 이용하는 컴퓨터에만 가능하고 네트워크의 트래픽 부하가 커지고 운영 체제별로 별도의 치료 체계를 구축해야 하는 문제점이 있다.
한편, 자동 면역방식은 신종바이러스가 탐지되면 바이러스의 시그너춰를 분석하여 자동으로 백신을 만든 다음 이전에 백신이 설치되어 있는 클라이언트시스템에 새로운 백신을 추가하는 방식으로 신속한 백신 갱신이 가능하지만 클라이언트 탑재 방식과 동일하여 윈도우 계열에서 주로 이용되며 재발율이 높은 단점이 있다.
전술한 바와 같이 종래의 컴퓨터 바이러스 백신 또는 바이러스 방역 방식은 각각 특유한 한계가 있는 것은 물론이고, 최근 들어 특히 문제가 되고 있는 컴퓨터 웜 바이러스는 분산성, 은닉성, 이식성 및 복합성을 가지고 있어서, 이에 대한 효과적인 치유가 불가능하였다.
즉, 웜 바이러스라고 통칭되는 새로운 유형의 컴퓨터 바이러스는 네트워크 상에 연결된 컴퓨터들에 빠르고 광범위하게 분산되고(분산성), 그 식별 및 검출이 용이하지 않고(은닉성), 이기종의 컴퓨터간에도 용이하게 이동(예컨대, Window계열 컴퓨터에서 Unix계열 컴퓨터로 이동)할 수 있으며(이식성), 여러 침해 유형을 복합적으로 지니고 있는(복합성) 특성을 보이고 있으며, 또한 그 침투 경로를 살펴보면 피침입 컴퓨터에 보관된 이-메일 어드레스를 확보하여 이-메일에 첨부되어 전파되는 등 다양한 방식으로 광범위하게 확산되는 양태를 보이고 있다. 즉, 웜 바이러스는 네트워크에 연결된 다양한 계열의 컴퓨터들에 다양한 경로로 침투하며 그 침투 영역 또한 급속도로 팽창되는 경향을 보이고 있다.
이러한 경우, 개별 컴퓨터마다 바이러스 백신을 이용하여 치료를 하였다 하더라도, 네트워크에 접속된 컴퓨터들 모두에서 치료하지 않는 한 다른 컴퓨터로부터 바이러스가 다시 침입할 수 있으며, 이 때는 변형된 바이러스가 침입하여 직전에 사용한 백신으로 치유할 수 없는 경우도 발생한다. 결국 웜 바이러스 유형의 컴퓨터 바이러스는 클라이언트 탑재 방식, 필터링 방식, 온라인 점검 방식, 피쉬 보울 방식 또한 자동 면역 방식 등 종래의 바이러스 대응 방식으로는 현재와 같이 모든 컴퓨터가 서로 연결된 상황에서는 그 치료 효과를 충분히 거두기 어려운 것이현실이다. 따라서, 이동형 바이러스를 발견하고 이를 효과적이고 네트워크 레벨에서 치료할 수 있는 바이러스 치료 방식이 절실히 필요함은 당연하다.
본 발명은 전술한 종래의 바이러스 치료 방식의 문제점을 해결하기 위하여, 웜 바이러스의 특성을 역이용하여 이동형 바이러스의 추적 기능을 부여함으로써, 웜 바이러스 유형의 컴퓨터 바이러스를 조기에 진단하고 이를 효과적으로 치유할 수 있는 컴퓨터 바이러스 방역 방법 및 시스템을 제공하는 것을 목적으로 한다.
도 1은 본 발명의 일실시예에 따른 이동형 웜 바이러스 방역 시스템의 개념도.
도 2는 통상의 웜 바이러스의 구조를 도시한 내부 구성도.
도 3은 본 발명에 따르는 웜 방역 이동형 순찰 에이전트의 구조도.
도 4는 본 발명에 따르는 컴퓨터 웜 바이러스 방역 시스템 구성도.
도 5는 본 발명의 일실시예에 따른 방역 서버와 방역 에이전트 사이의 상호 관련도.
도 6은 본 발명의 일실시예에 따른 방역 처리 과정에 대한 흐름도.
도 7은 본 발명의 일실시예에 따른 방역 에이전트의 트래픽 감시 흐름도.
본 발명은 웜 바이러스가 발견되면 그 유형 및 이동 경로를 분석한 후에 해당 웜 바이러스를 색출하고 피해를 치유할 수 있는 이동형 순찰 에이전트를 생성 및 배포하며, 이동형 순찰 에이전트가 네트워크에 접속된 여러 컴퓨터들로 스스로 이동하면서 웜 바이러스에 의한 피해를 포착하고 발견된 감염된 파일 또는 악성 코드를 치료 또는 제거하는 것을 기본 구성으로 한다.
즉, 본 발명의 제1 특징은 이동형 컴퓨터 바이러스를 방역하는 방법에 있어서, 방역 센터는 신종 웜 바이러스를 탐지하여 웜 바이러스의 피해 정도 및 공격 형태(즉, 감염 경로)를 분석하고, 이 분석 결과를 토대로 치료 기능, 자폭 기능 및 재발 방지 기능을 보유한 이동형 순찰 에이전트를 생성한 후 이를 배포하고, 배포된 이동형 순찰 에이전트는 네트워크 상을 순찰하다 웜 바이러스에 의한 피해 파일 또는 악성 코드를 발견하면 이를 치료 및 제거한 후 네트워크상 다른 컴퓨터로 이동하는 것이다.
본 발명의 또 다른 특징은 방역 센터내 방역 서버와 통신하는 방역 에이전트를 방역 대상 네트워크에 상주시킴으로써, 상기 방역 에이전트가 실시간으로 네트워크 트래픽을 감시 및 분석함으로써 웜 바이러스의 활동 및 이에 의한 네트워크 과부하에 기인하는 네트워크 마비를 조기에 감지하여 피해를 최소화하도록 하는 것이다.
이하, 도면을 참조하여 본 발명의 구성을 상세히 설명하도록 한다.
제 1도는 본 발명의 일실시예에 따른 이동형 바이러스 치료 시스템의 개념도이다. 방역 센터(10)는 웜 바이러스를 탐지하고, 네트워크(40)상의 방역 에이전트(50)로부터 네트워크 트래픽 정보를 전달받아 네트워크 과부하에 기인하는 네트워크 마비를 조기에 파악하고, 웜 바이러스의 피해 형태 및 공격 형태, 즉 감염 경로 분석을 수행한다. 이 분석 결과에 따라 방역 센터(10) 내의 방역 서버(20)가 웜 방역 순찰 에이전트(60)를 생성하여 방역 에이전트(50)를 통하여 네트워크에 배포하거나 또는 방역 에이전트를 통하지 않고 곧바로 배포한다. 방역 에이전트(50)는 방역 센터(10)로부터 순찰 에이전트를 전달받으면, 이를 네트워크에 배포하는 역할을 하며, 더욱이 실시간으로 네트워크의 트래픽 양을 감시하여 트래픽이 정상치를 넘어간다고 판단될 때는 이에 관한 정보를 방역 센터(10)에 전달한다.
네트워크(40)는 TCP/IP 프로토콜을 채택하는 인터넷 망, PSTD(전화망), PSDN(X.25등의 패킷망), ATM, ADSL 등 기존의 모든 정보 통신망을 포함한다. 따라서, 네트워크(40)에는 다양한 기종의 컴퓨터(예컨대, Unix 계열, Windows 계열 등) 및 네트워크 장치가 접속될 수 있다.
순찰 에이전트(60)는 컴퓨터의 기종에 무관하게 네트워크에 접속된 컴퓨터사이를 이동하면서 컴퓨터의 감염 여부를 판단하고 감염된 파일 또는 악성 코드를 치료 또는 제거함으로써, 각 컴퓨터 관리자 또는 사용자들이 개별적으로 바이러스 백신을 설치하고 치료하지 않더라도, 효과적이고 신속하게 웜 바이러스를 방역할 수 있도록 한다.
이하, 도 2내지 도 5를 참조하여 보다 구체적으로 본 발명의 구성을 설명할 것이다. 각 첨부 도면에서 동일한 구성 요소를 지시하는 참조 부호는 서로 동일하다.
도 2는 웜 바이러스의 전형적인 구조를 도시한 도면이다. 현재 유행하고 있는 웜 바이러스는 자기 자신을 복제한 다음 다른 매개체를 이용하여 다른 시스템으로 이동할 수 있도록 하는 웜 모듈(72)에 파일이나 컴퓨터 시스템을 변조, 파괴하는 바이러스 모듈(71)과, 시스템에 뒷문을 만들기 위한 백도어(back door) 등 악성 코드 모듈(73)이 부가된 구조를 취하고 있다.
도 3은 웜 바이러스를 효과적으로 방역하기 위하여 바이러스 백신에 이동성을 부여한, 본 발명에 따르는 웜 방역 순찰형 에이전트(60)의 구성을 도시한 도면이다. 이동형 순찰 에이전트(안터-웜)(60)는 크게 이동 모듈(61), 방역 모듈(62), 정보전송 모듈(63)로 구성된다. 이동 모듈(61)은 네트워크 상의 여러 컴퓨터 시스템들로 이동하기 위해서 필요한 엔진으로 이동형 순찰 에이전트를 복제하는 복제 모듈, 컴퓨터 시스템에 접근하기 위한 접근 모듈 및 관리대상 네트워크를 순찰하는 순찰 모듈로 구성되고, 방역 모듈은 문제가 되는 웜 바이러스를 방역하는 모듈로서대상시스템의 감염 파일 또는 악성 코드를 탐지하는 탐지 모듈, 감염 파일 및 시스템을 치료하는 치료 모듈, 이를 삭제하는 제거 모듈, 및 재발 방지를 위하여 보안 패치 등을 하도록 관리자에 메일을 전송하거나 경고창을 표출시키는 재발 방지 모듈로 구성된다. 그리고 정보 전송 모듈은 이동형 순찰 에이전트가 수행한 결과를 방역 서버에게 보내주는 역할을 한다. 또한, 피해 컴퓨터 내에서의 바이러스 방역 및 정보 전송 임무를 종료한 후 그 컴퓨터 시스템에서 순찰 에이전트가 스스로 소멸되도록 하는 자폭 모듈이 방역 모듈 내에 포함되어 있다.
도 4 및 도 5는 본 발명에 따르는 이동형 웜 바이러스 방역 시스템의 상세 구성도 및 상호 관련도이다. 방역 서버(20)내의 웜 바이러스 수집 모듈(21)은 신종 바이러스를 수집하고 이를 바이러스 DB(26) 및 웜 바이러스 분석 모듈(22)로 전달한다. 웜 바이러스 분석 모듈(22)은 웜 바이러스 수집 모듈(21)로부터 바이러스 정보를 전달받아 바이러스 유형 및 예상 이동 경로를 분석한 다음 그 분석 정보를 바이러스 DB 및 순찰 에이전트 생성 모듈(24)에 전달한다. 순찰 에이전트 생성 모듈(24)은 이 분석 결과에 따라 웜 방역 순찰 에이전트를 생성하는데, 순찰 에이전트를 신속히 생성할 수 있도록 이동 기능 및 자기 복제 기능을 포함하는 기본 기능을 포함하여 미리 제작된 순찰 에이전트 기본 모듈인 안티-웜 엔진(23)을 사전에 마련하고, 이 안티-웜 엔진(23)에 제거 및 치료 기능, 자폭 기능 및 재발 방지 기능을 추가하여 순찰 에이전트(60)를 생성하는 방식을 취할 수 있다. 방역서버의 각 모듈은 바이러스 DB(26)와 통신하며 변화된 사항을 저장하거나 필요한 정보를 참조하여 작업을 진행한다. 한편, 종합관리 통제모듈(27)은 방역 서버의 전체 관리와방역 에이전트로부터 전달되는 임계치를 넘어간 네트워크 트래픽 정보를 수집 및 관리한다.
순찰 에이전트(60)가 생성되면 순찰 에이전트 배포 모듈(25)은 이를 네트워크 상에 배포한다. 각 첨부 도면에 의하면 배포 방식은 네트워크 상에 위치한 방역 에이전트(50)를 통하여 배포하는 것으로 도시되어 있으나, 방역 에이전트를 통하지 않고 곧바로 네트워크 상에 순찰 에이전트를 배포할 수도 있다. 한편, 순찰 에이전트의 활동 범위, 즉 배포 범위를 미리 설정하여 놓으면, 원하는 컴퓨터 사용자들에게만 이동 방역 서비스를 제공하고, 원하지 않는 사용자들의 컴퓨터에는 일체의 접근을 하지 아니함으로써 이들과의 보안 관련 문제 등을 사전에 방지할 수 있다.
이하, 도 6을 참조하여 배포된 순찰 에이전트(60)의 방역 작업을 설명한다. 전술한 바와 같이 배포된 순찰 에이전트의 이동 범위는 사전에 미리 정해진 바에 따른다. 즉, 순찰 에이전트는 미리 정해진 네트워크 영역 내에서만 이동하도록 하여 순찰 에이전트가 무제한적으로 인터넷 상에 확산되는 것을 방지한다. 이동형 순찰 에이전트는 자신이 접근한 컴퓨터가 미리 설정한 활동 범위 내에 속하는 컴퓨터인지를 확인하고, 또한 이전에 방역 활동을 이미 수행한 것인지의 여부를 확인하기 위하여 방역 대상 시스템의 IP 어드레스를 검사하고(단계 601), 그 결과를 토대로 방역 대상 컴퓨터인지의 판단을 수행한다(단계 602). 방역 대상 컴퓨터이면 대상시스템의 보안 취약점 존재 여부를 원격에서 확인한다(단계 603). 방역 대상이 아니거나 취약점이 없다고 판단되면 다음 대상 시스템으로 이동한다. 접근한 컴퓨터 시스템이 방역 대상이고 취약점이 있으면 자기 복제를 하여 그 복제본으로 하여금 다른 시스템으로 이동하여 방역작업을 진행하도록 하고(단계 604), 원래의 순찰 에이전트는 대상 시스템의 감염 파일을 검사한다(단계 605). 그리고 감염 파일 존재를 확인하여 감염된 파일이 있으면 이를 치료 또는 제거하고(단계 606), 그 다음에 악성 코드 존재 여부를 확인하여(단계 607). 악성코드가 있으면 이를 제거한다(단계 608), 방역 작업시 감염 파일의 제거하여야 할 경우에는 해당 컴퓨터 시스템의 사용자에게 감염 사실 및 제거 여부를 사전에 통지하여 컴퓨터 사용자에게 불측의 피해를 끼치지 않도록 함은 당연하다.
그 다음, 재발 방지를 위하여 피해를 입은 컴퓨터 시스템 자체의 보안 취약점을 진단하여 이로 인한 바이러스 감염이 예상되거나 확인되면 시스템 관리자 또는 사용자에게 이-메일 전송 또는 경고창 팝업을 통하여 보안 취약점을 해결할 수 있는 보안 패치 정보를 제공한다. 즉, 보안 패치 여부를 확인한 다음(단계 609), 패치가 되어 있지 않으면 각 O/S 메이커 별로 지속적으로 업데이트하고 있는 보안 패치 관련 정보를 컴퓨터 시스템 관리자 또는 사용자에 전송한다(단계 610). 그 다음 순찰 에이전트는 보안 서버에 자신의 방역 활동을 보고하고(단계 611), 네트워크상의 컴퓨터에게 순찰형 에이전트로 인한 보안상 문제 발생 등의 피해 방지 등을 원천적으로 봉쇄하기 위하여 자폭하여 대상시스템에서 사라진다(단계 612).
한편, 다른 시스템으로 이동한 복제본 순찰 에이전트는 전술한 것과 동일한 방식으로 치료 및 이동을 수행하면서, 네트워크상의 배포된 범위내에서 웜 바이러스가 완전히 박멸될 때까지 바이러스 방역 작업을 지속적이고 효과적으로 수행한다.
이하, 방역 에이전트(50)의 기능 및 동작을 설명한다. 방역 에이전트는 본 발명의 실시에 있어서 방역 에이전트가 채택될 경우 웜 바이러스의 조기 감지 및 순찰 에이전트의 배포에 매우 유용하게 이용될 수 있다. 방역 에이전트(50)는 자신이 관할하는 네트워크 영역의 네트워크 관리 정보를 유지하여 네트워크 트래픽을 감시하고 순찰 에이전트를 네트워크상에 적절히 배포하는 역할을 수행한다.
도 7은 방역 에이전트(50)가 네트워크 트래픽을 감시할 때의 처리 흐름을 도시한 도면이다. 방역 에이전트는 관할 네트워크 영역의 데이터 트래픽을 지속적으로 감시하다가(단계 701), 소정의 임계치를 넘어가는 트래픽을 감지한 경우(단계 702), 이에 대한 트래픽 분석을 수행한다(단계 703). 그리고, 그 결과를 네트워크 관리자 또는 네트워크상 컴퓨터 시스템 관리자에게 통지하여 네트워크 관리자가 신속히 네트워크 관리를 수행할 수 있도록 지원한다(단계 704). 한편, 네트워크의 트래픽이 비정상적으로 임계치를 초과하여 폭주하는 경우는 웜 바이러스에 의한 경우가 많으므로, 상기 네트워크 트래픽 분석 결과를 방역 센터(10)내의 방역 서버(20)에 전달함으로써, 조기에 웜 바이러스의 발생을 감지하고 이를 대처할 수 있도록 한다. 웜 바이러스 방역에 있어서, 조기 감지 및 이를 통한 조기 대응은 바이러스에 의한 피해를 최소화하는데 매우 중요한 요소이므로 방역 에이전트는 매우 효과적으로 방역 시스템을 지원할 수 있다.
본 발명에 따르면, 백신 기능 및 자체 이동 기능이 있는 순찰형 에이전트를 이용함으로써 네트워크상에서 복잡하고 신속하게 확산되는 바이러스를 유효하고 적절한 방법으로 추적하여 손상된 파일의 치료 및 악성 코드의 제거를 효과적이며 자동적으로 수행할 수 있여 종래의 개별적 치료 방식의 문제점을 해결할 수 있다. 또한, 네트워크의 이상 트래픽을 감지하여 이를 통지함으로써, 네트워크 관리를 효과적으로 지원하고 조기에 웜 바이러스의 출현을 감지할 수 있다.

Claims (11)

  1. 이동형 컴퓨터 바이러스를 발견하고 이를 치료하는 컴퓨터 바이러스 방역 방법에 있어서,
    상기 이동형 컴퓨터 바이러스를 검출하고 분석하는 단계와,
    네트워크 상에서 상기 이동형 바이러스를 색출할 수 있는 이동형 순찰 에이전트를 생성하여 네트워크에 배포하는 단계와,
    상기 배포된 순찰 에이전트가 상기 네트워크에 접속된 복수의 컴퓨터 사이를 스스로 이동하는 단계와,
    상기 배포된 순찰 에이전트가 방역 작업을 필요로 하는 컴퓨터에 접근하면 치료 작업을 수행하는 치료 단계와,
    바이러스 방역 작업을 완료한 후, 상기 순찰 에이전트가 스스로 소멸하는 단계
    를 포함하는 이동형 바이러스 치료 방법.
  2. 제1항에 있어서, 상기 순찰 에이전트를 생성하는 단계는
    이동 기능, 자폭 기능 및 자기 복제 기능을 포함하는 기본 기능을 포함하는 웜 엔진을 준비하는 단계와,
    상기 웜 엔진에 치료 대상 웜 바이러스에 적합한 방역 기능, 재발 방지 기능을 추가하는 단계
    를 포함하는 것인 방법.
  3. 제1항에 있어서, 상기 배포하는 단계는,
    상기 네트워크 상에 이미 설치되어 있는 방역 에이전트를 통하여 상기 순찰 에이전트를 배포하는 것인 방법.
  4. 제1항에 있어서, 상기 이동하는 단계는
    상기 순찰 에이전트가 접근한 컴퓨터가 방역 대상 컴퓨터인지를 판단하는 단계와,
    상기 판단 결과 상기 컴퓨터가 방역 대상 컴퓨터가 아니면 상기 순찰 에이전트는 다른 컴퓨터로 이동하고, 방역 대상 컴퓨터이면 순찰 에이전트를 복제하여 그 복제본 순찰 에이전트를 네트워크상으로 이동시키고 상기 원래의 순찰 에이전트는 방역 대상 컴퓨터에 정착하는 단계와,
    상기 원래의 순찰 에이전트가 상기 방역 대상 컴퓨터의 방역 작업을 종료한 후 스스로 소멸하는 단계
    를 포함하는 것인 방법.
  5. 제1항에 있어서, 상기 치료 단계는
    감염 파일을 원상 복구하거나 삭제하고, 악성 코드를 삭제하는 단계와,
    컴퓨터 시스템의 바이러스 취약성을 파악하여 필요한 경우 보안 취약점에 대한 정보를 컴퓨터 시스템의 관리자 또는 사용자에게 제공하는 단계
    를 포함하는 것인 방법.
  6. 제1항에 있어서, 방역 대상 네트워크의 트래픽을 지속적으로 감시하여 임계치를 초과하는 과도 트래픽이 발생하는 상태를 감지하는 단계를 더 포함하는 방법.
  7. 이동형 컴퓨터 바이러스를 발견하고 이를 치료하는 컴퓨터 바이러스 방역 시스템에 있어서,
    이동형 컴퓨터 바이러스를 검출하고 이를 분석하는 검출 및 분석 수단과,
    상기 검출 및 분석 수단에 의한 분석 결과에 따라 네트워크 내를 스스로 이동하면서 바이러스에 대한 피해를 치료할 수 있는 순찰 에이전트를 생성하는 생성 수단과,
    상기 생성 수단에 의하여 생성된 순찰 에이전트를 네트워크상에 배포하는 배포 수단
    을 포함하는 컴퓨터 바이러스 방역 시스템.
  8. 제7항에 있어서, 외부로부터의 정보를 수신하고, 상기 분석 수단, 생성 수단, 배포 수단의 업무를 종합 관리하는 종합 관리 통제 수단을 더 포함하는 시스템.
  9. 제8항에 있어서, 상기 네트워크 내에 설치되어 상기 네트워크의 트래픽을 지속적으로 감시하고, 이상 트래픽이 발생하였을 때 이를 상기 종합 관리 통제 수단에 통지하는 네트워크 트래픽 감시 수단을 더 포함하는 시스템.
  10. 제8항에 있어서, 상기 순찰 에이전트는
    네트워크 상의 여러 컴퓨터 시스템들로 이동하기 위한 이동 수단과,
    감염 파일 또는 악성 코드를 탐지하고 이를 치료하며, 재발 방지를 위한 정보를 제공하는 방역 수단과,
    자신의 방역 활동을 상기 종합 관리 통제 수단에 전송하는 정보 전송 수단을 포함하는 것인 시스템.
  11. 컴퓨터 바이러스를 발견하고 치료할 수 있는 에이전트 프로그램을 저장한 컴퓨터 판독 가능한 기록 매체에 있어서,
    상기 에이전트 프로그램은
    이동형 바이러스의 특정 패턴을 인식하는 인식 기능 코드부와,
    상기 인식 기능 코드부에서 판별한 바이러스의 유형에 따라 이를 치유할 수 있는 치유 기능 코드부와,
    자신이 스스로 삭제될 수 있도록 하는 자동 삭제 기능 코드부와,
    자신의 모든 코드를 복제하여 이를 네트워크상에 배포할 수 있는 복제 및 배포 기능 코드부를 포함하는 것
    인 컴퓨터 판독 가능한 기록 매체.
KR1020020004316A 2002-01-24 2002-01-24 컴퓨터 바이러스 방역 방법 및 시스템 KR20030063949A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020004316A KR20030063949A (ko) 2002-01-24 2002-01-24 컴퓨터 바이러스 방역 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020004316A KR20030063949A (ko) 2002-01-24 2002-01-24 컴퓨터 바이러스 방역 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR20030063949A true KR20030063949A (ko) 2003-07-31

Family

ID=32219289

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020004316A KR20030063949A (ko) 2002-01-24 2002-01-24 컴퓨터 바이러스 방역 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR20030063949A (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100627852B1 (ko) * 2004-07-19 2006-09-26 (주)넷맨 네트워크에서의 웜바이러스 탐지/차단방법 및 시스템
KR100745613B1 (ko) * 2006-03-20 2007-08-02 고려대학교 산학협력단 네트워크 감시를 수행하는 장치 및 프로그램이 저장된 기록매체
KR100959274B1 (ko) * 2009-10-26 2010-05-26 에스지에이 주식회사 네트워크 모니터링 정보를 이용한 악성 코드 조기방역 시스템 및 그 방법
WO2012015171A3 (ko) * 2010-07-26 2012-04-19 Kim Ki Yong 해커 바이러스 보안통합관리기
KR101512462B1 (ko) * 2013-12-24 2015-04-16 한국인터넷진흥원 배양기반 악성코드 분석시스템의 악성코드 업데이트 여부분석 방법
EP3131252A1 (en) * 2015-08-12 2017-02-15 NATEK Technologies GmbH Method and system for network intrusion detection

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282673A (ja) * 1998-03-31 1999-10-15 Toshiba Corp コンピュータウィルスの感染経路検出方法とその方法に用いるトレースウィルスを記録する記録媒体
KR20010047844A (ko) * 1999-11-23 2001-06-15 오경수 네트워크를 통한 원격 컴퓨터 바이러스 방역 시스템 및 그방법
KR20030003640A (ko) * 2001-06-29 2003-01-10 주식회사 비즈모델라인 웜 바이러스 경고 메일 및 웜 백신 자동 발송 방법 및시스템
KR20030020150A (ko) * 2001-09-03 2003-03-08 주식회사 비즈모델라인 웜 백신을 이용한 웜 바이러스 역추적 치료 방법 및시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282673A (ja) * 1998-03-31 1999-10-15 Toshiba Corp コンピュータウィルスの感染経路検出方法とその方法に用いるトレースウィルスを記録する記録媒体
KR20010047844A (ko) * 1999-11-23 2001-06-15 오경수 네트워크를 통한 원격 컴퓨터 바이러스 방역 시스템 및 그방법
KR20030003640A (ko) * 2001-06-29 2003-01-10 주식회사 비즈모델라인 웜 바이러스 경고 메일 및 웜 백신 자동 발송 방법 및시스템
KR20030020150A (ko) * 2001-09-03 2003-03-08 주식회사 비즈모델라인 웜 백신을 이용한 웜 바이러스 역추적 치료 방법 및시스템

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100627852B1 (ko) * 2004-07-19 2006-09-26 (주)넷맨 네트워크에서의 웜바이러스 탐지/차단방법 및 시스템
KR100745613B1 (ko) * 2006-03-20 2007-08-02 고려대학교 산학협력단 네트워크 감시를 수행하는 장치 및 프로그램이 저장된 기록매체
KR100959274B1 (ko) * 2009-10-26 2010-05-26 에스지에이 주식회사 네트워크 모니터링 정보를 이용한 악성 코드 조기방역 시스템 및 그 방법
WO2012015171A3 (ko) * 2010-07-26 2012-04-19 Kim Ki Yong 해커 바이러스 보안통합관리기
KR101512462B1 (ko) * 2013-12-24 2015-04-16 한국인터넷진흥원 배양기반 악성코드 분석시스템의 악성코드 업데이트 여부분석 방법
EP3131252A1 (en) * 2015-08-12 2017-02-15 NATEK Technologies GmbH Method and system for network intrusion detection
WO2017025243A1 (en) * 2015-08-12 2017-02-16 Natek Technologies Gmbh Method and system for network intrusion detection

Similar Documents

Publication Publication Date Title
TWI362196B (en) Network isolation techniques suitable for virus protection
US9838411B1 (en) Subscriber based protection system
EP1495616B1 (en) Detecting and countering malicious code in enterprise networks
KR101057432B1 (ko) 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체
Bhattacharyya et al. Met: An experimental system for malicious email tracking
TWI407328B (zh) 網路病毒防護方法及系統
CN107493256B (zh) 安全事件防御方法及装置
US10839703B2 (en) Proactive network security assessment based on benign variants of known threats
WO2006074294A2 (en) Methods and apparatus providing security to computer systems and networks
KR20130140952A (ko) 악성 코드 차단 시스템
CN116827675A (zh) 一种网络信息安全分析系统
US20080115215A1 (en) Methods, systems, and computer program products for automatically identifying and validating the source of a malware infection of a computer system
US20240045954A1 (en) Analysis of historical network traffic to identify network vulnerabilities
KR20170091989A (ko) 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법
KR20030063949A (ko) 컴퓨터 바이러스 방역 방법 및 시스템
KR20070029540A (ko) 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법
KR100333061B1 (ko) 네트워크를 통한 원격 컴퓨터 바이러스 방역 시스템 및 그방법
KR20110006398A (ko) 디도스 공격 감지 및 방어방법
Moran Trapping and Tracking Hackers: Collective security for survival in the Internet Age
KR101042820B1 (ko) 시스템 취약점(exploit)을 이용한 웜 바이러스 치료 보안솔루션
CN118075035B (zh) 一种基于主动防御的网络摄像头蜜点生成方法与装置
US20230388340A1 (en) Arrangement and method of threat detection in a computer or computer network
KR20100102260A (ko) 악성코드의 차단방법
Cheetancheri et al. Modelling a computer worm defense system
WO2005116798A1 (en) Method and systems for computer security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application