KR20030091889A - 바이러스 확산 방지 시스템 및 방법 - Google Patents

바이러스 확산 방지 시스템 및 방법 Download PDF

Info

Publication number
KR20030091889A
KR20030091889A KR1020030079881A KR20030079881A KR20030091889A KR 20030091889 A KR20030091889 A KR 20030091889A KR 1020030079881 A KR1020030079881 A KR 1020030079881A KR 20030079881 A KR20030079881 A KR 20030079881A KR 20030091889 A KR20030091889 A KR 20030091889A
Authority
KR
South Korea
Prior art keywords
packet
policy
network
information
virus
Prior art date
Application number
KR1020030079881A
Other languages
English (en)
Other versions
KR100545678B1 (ko
Inventor
이동범
왕성현
강덕용
Original Assignee
이동범
왕성현
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이동범, 왕성현 filed Critical 이동범
Priority to KR1020030079881A priority Critical patent/KR100545678B1/ko
Publication of KR20030091889A publication Critical patent/KR20030091889A/ko
Application granted granted Critical
Publication of KR100545678B1 publication Critical patent/KR100545678B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload

Abstract

본 발명은 바이러스 확산 방지 시스템 및 방법에 관한 것으로, 더욱 상세하게는 단말기 내의 바이러스에 감염된 프로세스 등 비정상적인 프로세스가 상기 단말기 내의 전자 우편 주소 등 소정의 정보를 추출하고, 상기 추출된 전자 우편 주소를 이용하여 타 단말기로 상기 바이러스 등을 전파하여 그 피해가 확대되는 것을 방지하기 위한 바이러스 확산 방지 시스템 및 방법에 관한 것이다.
본 발명의 바람직한 일실시예에 따른 바이러스 확산 방지 시스템은, 프로세스 및 네트워크 정보와 연관된 정책 정보를 저장하기 위한 저장부, 단말기로부터 네트워크를 통해 전송되기 위한 패킷이 생성된 경우, 상기 패킷을 생성한 프로세스를 식별하기 위한 프로세스 식별부, 상기 패킷에 포함된 네트워크 정보를 검색하기 위한 패킷 검사부, 상기 식별된 프로세스와 연관된 정책 정보를 검색하기 위한 검색부, 상기 검색된 정책 정보에 기초하여 상기 패킷의 전송 여부를 판단하기 위한 판단부, 및 상기 판단 결과에 따라 소정의 정책을 수행하기 위한 정책 실행부를 포함하고, 상기 네트워크 정보는 목적지 주소 정보, 포트 번호 및 프로토콜 정보 중 어느 하나 이상을 포함하는 것을 특징으로 한다.
본 발명에 따른 바이러스 확산 방지 시스템 및 방법에 의하면, 사용자 단말기 내의 소정의 프로세스가 네트워크에 접근하는 경우에 상기 프로세스와 연관된 정책 정보에 기초하여 상기 프로세스의 네트워크로의 접근을 차단하거나 허용함으로써 비정상적인 프로세스, 즉 바이러스에 감염된 프로세스가 상기 바이러스를 타단말기로 전파하는 것을 방지함으로써 바이러스로 인한 피해가 확산되는 것을 방지하는 효과가 있다.

Description

바이러스 확산 방지 시스템 및 방법{SYSTEM FOR PREVENTING SPREAD OF VIRUS AND METHOD THEREOF}
본 발명은 바이러스 확산 방지 시스템 및 방법에 관한 것으로, 더욱 상세하게는 단말기 내의 바이러스에 감염된 프로세스 등 비정상적인 프로세스가 상기 단말기 내의 전자 우편 주소 등 소정의 정보를 추출하고, 상기 추출된 전자 우편 주소를 이용하여 타 단말기로 상기 바이러스 등을 전파하여 그 피해가 확대되는 것을 방지하기 위한 바이러스 확산 방지 시스템 및 방법에 관한 것이다.
오늘날 네트워크를 통한 데이터 전송이 보편화되고 데이터 전송 속도를 증가시키기 위한 다양한 기술이 개발되고 있어 사람들의 생활의 질이 전반적으로 향상되고 있으나, 이로 인해 바이러스의 전파 역시 한층 빨리지도 그 범위도 넓어지게 되었다. 예를 들면, 유무선 통신망 또는 사내의 LAN을 통해 단말기에 권한 없는 제3자가 상기 단말기를 직접 조작하는 것보다는 전자 우편 등을 통해 바이러스가 유포되는 경우가 더욱 많이 발생하고 있다.
따라서, 바이러스에 의한 피해를 예방 및 치료하기 위해, 종래기술에서는 바이러스에 감염된 단말기를 소정의 백신 프로그램으로 치료하는 기술, 네트워크를 통해 바이러스가 첨부된 파일이 전송된 경우 그 바이러스를 실행시키지 않도록 하는 기술, 또는 상기 파일 자체가 전송되지 않도록 하는 기술 등 다양한 기술이 개발되고 있다.
그러나, 이미 바이러스에 감염된 단말기의 경우에는 네트워크를 통해 전파된 바이러스를 차단하는 것만으로는 해결될 수 없으며 백신 프로그램으로 치료해야만 한다. 그런데, 바이러스 감염 시점으로부터 백신 프로그램으로 바이러스를 치료하는 시점까지는 어느 정도 시간이 소요되고 그 시간 동안 바이러스는 i) 단말기 내의 자원을 파괴하는 것은 물론, ii) 단말기 내의 자원(예를 들면, 전자 우편 주소를 포함하는 파일)에 접근하여 타 단말기로 바이러스가 포함된 전자 우편을 다량으로 발송하는 등 바이러스를 타 단말기로 확산시키는 등 소기의 목적을 충분히 달성할 수 있게 된다는 문제점이 있다.
본 발명에 따른 바이러스 확산 방지 시스템 및 방법은 상술한 문제점을 해결하고자 안출된 것으로서, 바이러스 등에 감염된 사용자 단말기에서 상기 바이러스가 전자 메일 등의 통신 메커니즘을 통해 네트워크에 접근하여 타 단말기로 전파되어 그 피해가 확산되는 것을 효과적으로 방어하는 것을 목적으로 한다.
또한, 본 발명은 단말기 내의 자원으로의 접근은 허용되었으나 네트워크로의 접근은 허용되지 않은 프로세스가 네트워크에 접근하는 경우 그 접근을 차단 또는 사용자나 보안 서버에 경고함으로써 상기 프로세스에 의해 바이러스가 확산되는 것을 미연에 방지할 수 있는 바이러스 확산 방지 시스템 및 방법을 제공하는 것을 목적으로 한다.
도 1은 본 발명의 일실시예에 따른 바이러스 확산 방지 시스템의 개략적인 구성을 도시한 도면이다.
도 2 및 도 3은 본 발명에 따른 일실시예에 있어서, 저장부에 유지되는 프로세스 별 네트워크 정보의 일례를 도시한 도면이다.
도 4는 본 발명의 또 다른 실시예에 따른 바이러스 확산 방지 방법을 도시한 흐름도이다.
도 5은 본 발명에 따른 바이러스 확산 방지 시스템을 구성하는 데 채용될 수 있는 범용 컴퓨터 시스템의 내부 블록도이다.
<도면의 주요 부분에 대한 부호의 설명>
100 : 바이러스 확산 방지 시스템
101 : 저장부 102 : 프로세스 식별부
103 : 패킷 검사부 104 : 검색부
105 : 판단부 106 : 정책 실행부
상기의 목적을 이루고 종래기술의 문제점을 해결하기 위하여, 본 발명의 바람직한 일실시예에 따른 바이러스 확산 방지 시스템은, 프로세스 및 네트워크 정보와 연관된 정책 정보를 저장하기 위한 저장부, 단말기로부터 네트워크를 통해 전송되기 위한 패킷이 생성된 경우, 상기 패킷을 생성한 프로세스를 식별하기 위한 프로세스 식별부, 상기 패킷에 포함된 네트워크 정보를 검색하기 위한 패킷 검사부, 상기 식별된 프로세스 및 상기 검색된 네트워크 정보와 연관된 정책 정보를 검색하기 위한 검색부, 상기 검색된 정책 정보에 기초하여 상기 패킷의 전송 여부를 판단하기 위한 판단부, 및 상기 판단 결과에 따라 소정의 정책을 수행하기 위한 정책 실행부를 포함하고, 상기 네트워크 정보는 목적지 주소 정보, 포트 번호 및 프로토콜 정보 중 어느 하나 이상을 포함하는 것을 특징으로 한다.
또한, 본 발명의 다른 일면에 따른 바이러스 확산 방지 방법은, 프로세스 및 네트워크 정보와 연관된 정책 정보를 프로세스와 연관하여 데이터베이스에 유지하는 단계, 소정의 프로세스에 의해 생성되고 단말기로부터 전송 대기 중인 패킷을 감지하는 단계, 상기 패킷에 포함된 네트워크 정보를 검색하는 단계, 상기 프로세스 및 상기 검색된 네트워크 정보와 연관된 정책 정보를 검색하는 단계, 상기 검색된 정책 정보에 기초하여 상기 패킷의 전송 여부를 판단하는 단계, 및 상기 판단 결과에 따라 소정의 정책을 수행하는 단계를 포함하고, 상기 네트워크 정보는 목적지 주소, 목적지 포트 번호 및 프로토콜 정보 중 어느 하나 이상을 포함하는 것을 특징으로 한다.
이하에서는 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 따른 바이러스 확산 방지 시스템 및 방법에 대하여 상세히 설명한다.
상술한 바와 같이 종래에는 바이러스 감염 시점으로부터 백신 프로그램으로 바이러스를 치료하는 시점까지는 어느 정도 시간이 소요되고 그 시간 동안 바이러스는 i) 단말기 내의 자원을 파괴하는 문제점, ii) 단말기 내의 자원(예를 들면,전자 우편 주소를 포함하는 파일)에 접근하여 타 단말기로 바이러스가 포함된 전자 우편을 다량으로 발송하는 등 바이러스를 타 단말기로 확산시키는 문제점이 있었다.
문제점 i), ii)를 해결하기 위해 본 발명의 출원인은 소정의 자원에 소정의 사용자에 의해 실행된 소정의 프로세스가 어떤 범위에서 접근 가능한지 여부를 규정하고 접근이 허용되는 프로세스만이 상기 자원에 접근하도록 하는 '단말기 내의 자원 보호 시스템 및 방법'(한국특허출원 제 10-2003-0075526 호)(이하 '출원 발명'이라 함)을 출원하였다. 상기 출원 발명에 따르면, 바이러스에 감염된 프로세스가 소정의 자원에 접근하여 상기 자원을 변질, 오염시키는 것이 방지된다.
따라서, 비정상적인 프로세스가 소정의 자원에 접근하여 상기 자원을 파괴하는 것은 물론, 비정상적인 프로세스가 전자 우편 주소를 포함하는 파일 등의 자원에 소정의 기준에 따라 접근이 허용된 프로세스만이 접근할 수 있기 때문에 허용되지 않은 프로세스가 상기 전자 우편 주소에 접근하여 타 단말기로 바이러스가 첨부된 전자 우편을 발송하는 것이 예방되는 효과가 있다.
그러나, 상기 출원 발명은 소정의 자원으로의 접근이 허용된 것으로 인정된 프로세스가 수행하는 스크립트 또는 매크로의 경우에는 상기 프로세스가 수행하는 스크립트 또는 매크로가 안정한지 여부는 판단하지 않는다.
따라서, 본 발명은 소정의 자원으로의 접근이 허용된 프로세스가 스크립트 또는 매크로를 수행하면서 네트워크로 바이러스를 확산하는 것을 방지할 수 있는 바이러스 확산 방지 시스템 및 방법을 제공한다.
도 1은 본 발명의 일실시예에 따른 바이러스 확산 방지 시스템(100)의 개략적인 구성을 도시한 도면이다. 이하, 도 1을 참고로 하여, 본 발명에 따른 바이러스 확산 방지 시스템(100)을 상세히 설명하기로 한다.
본 발명에 따른 바이러스 확산 방지 시스템(100)은 저장부(101), 프로세스 식별부(102), 패킷 검사부(103), 검색부(104), 판단부(105) 및 정책 실행부(106)를 포함한다. 바이러스 확산 방지 시스템(100)은 단말기의 L7 계층과 연관하여 설치된다. 본 실시예에서 따른 바이러스 확산 방지 시스템(100)은 후술하는 바와 같이, 네트워크를 통해 전송되는 소정의 데이터를 생성하는 주체가 무엇인지, 즉 어떤 프로세스인지 식별할 필요가 있고, 이는 L7 계층에서 가능하기 때문이다.
상기 L7 계층은 어플리케이션(application) 계층으로서 사용자와 단말기가 서로 통신할 수 있도록 네트워크 인터페이스가 제공된다. 즉, 사용자와 단말기가 서로 통신하는 계층이며, 이 계층에서 제공되는 서비스는 e-mail, FTP, SMTP, Telnet, Internet 등이다. 예를 들어 인터넷에 접속하기 위하여 사용자가 Internet Explorer® 등의 웹 브라우저의 실행을 요청한 경우 L7 계층(어플리케이션 계층)에서 사용자가 선택한 웹 브라우저를 식별하여 서로 통신을 할 수 있도록 하는 작업이 수행된다. 예를 들면, 웜 바이러스 등의 바이러스에 감염된 프로세스가 단말기 내의 전자 메일 주소를 포함하는 자원에 접근하여 전자 메일을 보낼 경우 상기 프로세스는 상기 L7 계층에서 식별된다.
저장부(101)는 프로세스 및 네트워크 정보와 연관된 정책 정보를 저장한다. 상기 네트워크 정보는 목적지 주소 정보, 포트 번호 및 프로토콜 정보 중 어느 하나 이상을 포함한다. 상기 정책 정보는 사용자에 의해 상기 단말기의 사용자 인터페이스(User Interface)를 통해 입력되어 저장부(101)에 유지될 수 있고, 통신망을 통해 소정의 보안 서버로부터 전송되어 유지될 수도 있다.
상기 프로토콜 정보는 TCP(Transmission Control Protocol), UDP(User Data Protocol) 등 소정의 패킷을 전송하기 위해 사용된 프로토콜의 종류에 대한 정보이다.
프로세스 식별부(102)는 단말기로부터 네트워크를 통해 전송되기 위한 패킷이 생성된 경우에 상기 패킷을 생성한 프로세스를 식별한다.
본 실시예에서 사용되는 '패킷'이라는 용어는 단말기로부터 네트워크로 전송되는 데이터의 기본 단위를 의미하며, 일반적으로 패킷은 소스 주소(source address) 정보, 소스 포트(source port) 번호, 목적지 주소 정보 및 목적지 포트 번호를 포함한다. ICMP(Internet Control Message Protocol)에 따라 생성된 패킷은 포트 번호를 포함하지 않는 등 소정의 패킷에 포함된 정보는 프로토콜의 종류에 따라 변경될 수 있다.
패킷 검사부(103)는 상기 패킷에 포함된 네트워크 정보를 검색한다.
검색부(104)는 상기 식별된 프로세스 및 상기 검색된 네트워크 정보와 연관된 정책 정보를 저장부(101)에서 검색한다.
판단부(105)는 상기 검색된 정책 정보에 기초하여 상기 패킷의 전송 여부를 판단한다.
정책 실행부(106)는 상기 판단 결과에 따라 소정의 정책을 수행한다.
도 2 및 도 3은 저장부(101)에 유지되는 정책 정보의 일례를 도시한 도면이다. 정책 정보는 프로세스 및 네트워크 정보와 연관하여 유지된다. 이하, 도 2 및 도 3을 참조하여 본 실시예에 따른 바이러스 확산 방지 시스템(100)을 보다 구체적으로 설명한다.
바이러스 확산 방지 시스템(100)은 상기 정책 정보에 기초하여 상기 프로세스에 의해 생성된 패킷이 상기 단말기로부터 네트워크로 전송되는 것을 허용할지 여부를 결정한다.
네트워크 정보는 목적지 주소 정보, 포트 번호 및 프로토콜 정보 중 어느 하나 이상이 사용될 수 있다. 목적지 주소 정보는 상기 패킷이 전송될 목적지(타 단말기)를 식별하기 위한 데이터이고 포트 번호 중 목적지 포트 번호는 상기 타 단말기 내에서 상기 패킷에 포함된 데이터를 최종적으로 수용할 응용 프로세스를 식별하기 위해, 소스 포트 번호는 상기 패킷을 생성한 프로세스를 식별하기 위해 사용된다. 저장부(101)에 저장되는 포트 번호는 소스 포트 번호이다.
도 2에 도시한 바와 같은 정책 정보에 따르면, 프로세스 A.exe는 목적지 주소 정보(192.168.1.1), 포트 번호 123 및 프로토콜 정보 TCP를 포함하는 패킷을 생성한 경우에는 상기 패킷의 전송이 허용된다.
도 2에 있어서, 접근 권한 0x01은 "네트워크로의 접근이 허용됨"(즉, 프로세스 A.exe가 생성하고 목적지 주소 정보 192.168.1.1, 포트 번호 123 및 TCP에 따른 패킷임을 지시하는 프로토콜 정보가 포함된 패킷은 "그 전송이 허용됨")을 의미한다.
또한, 접근 권한 0x02는 "네트워크로의 접근이 허용되지 않음"(즉, 프로세스 C.exe가 생성한 패킷으로서 SMTP에 따른 패킷임을 지시하는 프로토콜 정보가 포함된 패킷은 "그 전송이 허용되지 않음")을 의미한다.
소정의 프로세스에 의해 패킷이 생성되는 경우, 프로세스 식별부(102)는 상기 패킷을 생성한 상기 프로세스를 식별하고, 패킷 검사부(103)는 상기 패킷에 포함된 네트워크 정보를 검사한다. 예를 들면, 상기 식별된 프로세스가 B.exe이고 상기 검사된 네트워크 정보가, 목적지 주소 정보는 200.188.0.1, 소스 포트 번호는 125, 프로토콜 정보는 UDP에 대응한다고 하자.
상기 식별된 프로세스가 B.exe이므로 검색부(104)은 저장부(101) 중에서 프로세스 B.exe와 연관된 정책 정보를 검색한다.
판단부(105)는 상기 검색된 정책 정보와, 패킷 검사부(103)에 의해 검사된 네트워크 정보를 이용하여 상기 패킷의 전송 허용 여부를 판단한다.
도 2에 도시한 바와 같이, 프로세스 B.exe는 SMTP를 이용하여 전송되는 패킷에 대해서는 접근 권한을 허여하고 있지 않기 때문에, 정책 실행부(106)은 그에 따른 소정의 정책을 수행한다.
이와 같이, 동일한 프로세스라 하더라도 상기 프로세스와 연관된 정책 정보(네트워크 정보)에 따라 네트워크로의 접근이 허용되는 경우가 있을 수도 있고 허용되지 않는 경우도 있다.
본 발명의 일실시예에 따르면, 정책 실행부(106)는 정책 정보에 기초하여 네트워크로의 접근이 허용되지 않은 프로세스가 네트워크로 접근하는 것을 차단한다.즉, 정책 실행부(106)는 프로세스 E.exe에 의해 생성된 패킷이 단말기로부터 전송되는 것을 차단한다.
또한, 본 발명의 또 다른 실시예에 따르면, 정책 실행부(106)는 정책 정보에 기초하여 네트워크로의 접근이 허용되지 않은 프로세스가 네트워크에 접근하였음을 소정의 로그파일(log file)에 기록하고 그 사실을 사용자 또는 네트워크로 연결된 소정의 보안 서버(도시하지 않음)에 경고한다. 예를 들어 정책 실행부(106)는 네트워크로의 접근이 허용되지 않은 프로세스가 네트워크에 접근하였음을 알리는 경고 메시지를 상기 단말기의 표시 장치에 디스플레이 하도록 제어한다. 또는 정책 실행부(106)은 상기 경고 메시지를 통신망을 통해 소정의 보안 서버로 전송한다. 즉, 정책 실행부(106)은 상기 프로세스의 네트워크로의 접근이 허용되지 않았으며 바이러스 등에 의해 이루어진 안전하지 않은 작업일 수 있음을 사용자 등에게 통지하여 이에 대한 대처를 할 수 있도록 한다.
이때, 본 발명의 또 다른 실시예에 따르면, 상기 경고에도 불구하고 사용자 또는 상기 보안 서버로부터 상기 패킷의 전송을 수행하라는 명시적인 명령이 입력되는 경우에는 정책 실행부(106)는 상기 패킷을 전송하도록 제어할 수 있다.
한편, 판단부(105)에서의 판단 결과 프로세스가 네트워크로의 접근이 허용되는 경우, 즉 상기 프로세스가 생성한 패킷의 전송이 허용되는 경우에는 바이러스 확산 방지 시스템(100)은 특별한 정책을 실행하지 않고, 상기 단말기는 네트워크를 통해 타 단말기로 상기 패킷을 전송한다.
한편, 프로세스 Z.exe가 네트워크에 접근하려고 하나 저장부(101)에는 프로세스 Z.exe와 연관된 정책 정보 자체가 존재하지 않는 경우 등이 있을 수 있다. 이때, 본 발명의 또 다른 실시예에 따르면, 검색부(140)가 식별된 프로세스와 연관된 정책 정보를 검색할 수 없는 경우, 또는 식별된 프로세스와 연관된 정책 정보가 검색되었으나, 판단부(105)가 검색된 정책 정보만으로는 상기 패킷의 전송 허용 여부를 판단할 수 없는 경우 판단부(105)는 상기 패킷의 전송 허용 여부를 사용자에게 문의하는 메시지를 상기 단말기의 표시 장치에 디스플레이하고, 정책 실행부(106)은 상기 메시지에 따라 소정의 정책을 수행한다.
즉, 정책 실행부(106)은 상기 메시지가 상기 패킷의 전송을 허용하라는 메시지인 경우에는 별도의 조치를 취하지 않으며, 상기 메시지가 상기 패킷의 전송을 불허하는 메시지인 경우에는 상기 패킷의 전송을 차단한다.
본 발명의 일실시예에 따르면, 상술한 바와 같이 저장부(101)에 유지되어 있는 정책 정보만으로는 네트워크로의 접근 허용 여부를 판단할 수 없는 경우, 판단부(105)는 프로세스의 접근을 허용하지 않는다. 즉, 도 2에 도시한 바와 같은 정책 정보는 프로세스 B.exe는 SMTP에 따라 패킷을 전송할 수 있는지 여부에 대해서는 규정하고 있지 않고, 판단부(105)은 규정되어 있지 않은 패킷에 대해서는 그 전송을 허용하지 않는다.
또한, 본 발명의 또 다른 실시예에 따르면 도 3에 도시한 바와 같이 상기의 구성과는 반대로 그 접근에 주의를 요하는 프로세스와 연관된 정책 정보를 유지하고 정책 정보에 의해 정의되지 않은 프로세스의 동작은 모두 그 접근을 허용하도록 할 수도 있다. 이때에는, 상술한 실시예에서와 달리 판단부(105)는 B.exe가 생성한 패킷으로서 목적지 주소 정보 200.188.0.1 및 포트 번호 125를 포함하는 패킷 외의 패킷은 모두 그 전송을 허용한다.
이와 같이, 저장부(101)에 네트워크로의 접근이 허용되는 프로세스 및 네트워크 정보와 연관된 정책 정보를 유지하는 방법(도 2에 도시함), 네트워크로의 접근이 허용되지 않는 프로세스 및 네트워크 정보와 연관된 정책 정보를 유지하는 방법(도 3에 도시함), 또는 네트워크로의 접근이 허용되는 프로세스와, 접근이 허용되지 않는 프로세스에 연관된 정책 정보를 각각 유지하는 방법 등 다양한 실시예가 있을 수 있다.
한편, 상술한 실시예에서는 네트워크 정보로서, 목적지 주소 정보, 소스 포트 번호 및 프로토콜 정보를 이용하는 경우에 대해 설명했으나, 상기 네트워크 정보로서 목적지 주소 정보만 사용되는 등 다양한 실시예가 있을 수 있다. 즉, 소정의 프로세스가 소정의 목적지 주소 정보를 포함하는 패킷을 생성하는 경우 상기 패킷의 전송을 허용 또는 불허하는 정책 정보를 유지할 수도 있다.
또한, 본 발명의 또 다른 실시예에 따르면, 바이러스 확산 방지 시스템(100)은 정책 정보에 따라 프로세스의 네트워크로의 접근을 허용할지 여부를 판단하기 전에, 소정의 사용자 인증 시스템(110)에 따라 인증되지 않은 사용자가 상기 프로세스를 실행시킨 경우에는 무조건 그 접근을 허용하지 않을 수 있다.
이와 같은 구성에 의해 상기 출원 발명에 따라 *.wab, *.dbx, *.htm, *.eml 파일 등 전자 우편 주소를 포함하는 파일에 접근 가능한 프로세스가 상기 파일에 접근하여 전자 우편 주소를 추출하는데 성공하더라도, 본 실시예에 따라 상기 프로세스가 네트워크를 접속하는 것은 허용되지 않는 경우에는, 상기 전자 우편 주소를 이용하여 타 단말기로 바이러스를 포함하는 전자 우편을 전송하는 것이 차단되므로, 바이러스가 확산되는 것을 방지할 수 있게 된다.
이하, 본 발명의 또 다른 실시예에 따른 바이러스 확산 방지 방법에 대해 설명한다. 도 4는 본 실시예에 따른 바이러스 확산 방지 방법을 도시한 흐름도이다. 이하, 도 4를 참고로 하여, 본 발명에 따른 바이러스 확산 방지 방법에서 각 단계별로 수행되는 과정들을 상세히 설명하기로 한다.
먼저, 단계(410)에서 프로세스 및 네트워크 정보와 연관된 정책 정보를 데이터베이스에 유지한다. 상기 네트워크 정보는 목적지 주소 정보 및 소스 포트 번호 및 프로토콜 정보 중 어느 하나 이상을 포함한다.
소정의 데이터베이스에 유지되는 정책 정보는 도 2 및 도 3과 연관하여 자세히 설명하였으므로 본 실시예에서는 그 자세한 설명은 생략한다.
단계(420)에서는 소정의 프로세스에 의해 생성되고 단말기로부터 전송 대기 중인 패킷을 감지한다.
단계(430)에서는 상기 패킷에 포함된 네트워크 정보를 검색한다.
단계(440)에서는 상기 데이터베이스 중에서 상기 프로세스와 연관된 정책 정보를 검색한다.
단계(450)에서는 상기 검색된 정책 정보에 기초하여 상기 패킷의 전송 여부를 판단한다. 상기 정책 정보는 프로세스 및 네트워크 정보와 연관하여 각각 설정 가능하므로, 동일 프로세스의 의한 네트워크 접근일지라도 상기 네트워크 정보에따라 접근이 허용될 수도, 또 허용되지 않을 수도 있다.
단계(460)에서는 상기 판단 결과에 따라 소정의 정책을 수행한다. 만약, 상기 판단 결과 상기 프로세스가 네트워크로 접근하는 것이 허용되는 경우에는 상기 프로세스에 의해 생성된 상기 패킷을 상기 목적지 주소로 전송하도록 하고, 상기 판단 결과 상기 프로세스가 네트워크로 접근하는 것이 허용되지 않는 경우에는 상기 프로세스의 네트워크로의 접근을 차단하는 정책을 수행한다.
또한, 본 발명의 또 다른 실시예에 따르면, 상기 판단 결과 상기 프로세스가 네트워크로 접근하는 것이 허용되지 않는 경우에도 상기 프로세스가 네트워크로 접근할 수 있도록 하고, 즉 상기 패킷을 전송하도록 하고 '접근이 허용되지 않은 프로세스가 네트워크로 접근한 사실'만을 사용자 또는 보안 서버(관리자 측)에게 통지할 수도 있다. 또한, 이 경우 상기 사실을 소정의 로그 파일에 기록할 수도 있다.
또한 본 발명의 실시예들은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독 가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 상기 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
도 5는 본 발명에 따른 바이러스 확산 방지 시스템을 구성하는 데 채용될 수 있는 범용 컴퓨터 시스템의 내부 블록도이다.
컴퓨터 시스템(500)은 램(RAM: Random Access Memory)(520)과 롬(ROM: Read Only Memory)(530)을 포함하는 주기억장치와 연결되는 하나 이상의 프로세서(510)를 포함한다. 프로세서(510)는 중앙처리장치(CPU)로 불리기도 한다. 본 기술분야에서 널리 알려져 있는 바와 같이, 롬(530)은 데이터(data)와 명령(instruction)을 단방향성으로 CPU에 전달하는 역할을 하며, 램(520)은 통상적으로 데이터와 명령을 양방향성으로 전달하는 데 사용된다. 램(520) 및 롬(530)은 컴퓨터 판독 가능 매체의 어떠한 적절한 형태를 포함할 수 있다. 대용량 기억장치(Mass Storage)(540)는 양방향성으로 프로세서(510)와 연결되어 추가적인 데이터 저장 능력을 제공하며, 상기된 컴퓨터 판독 가능 기록 매체 중 어떠한 것일 수 있다. 대용량 기억장치(1204)는 프로그램, 데이터 등을 저장하는데 사용되며, 통상적으로 주기억장치보다 속도가 느린 하드디스크와 같은 보조기억장치이다. CD 롬(560)과 같은 특정 대용량 기억장치가 사용될 수도 있다. 프로세서(510)는 비디오 모니터, 트랙볼, 마우스, 키보드, 마이크로폰, 터치스크린 형 디스플레이, 카드 판독기, 자기 또는 종이 테이프 판독기, 음성 또는 필기 인식기, 조이스틱, 또는 기타 공지된 컴퓨터 입출력장치와 같은 하나 이상의 입출력 인터페이스(550)와 연결된다. 마지막으로, 프로세서(510)는 네트워크 인터페이스(570)를 통하여 유선 또는 무선 통신 네트워크에 연결될 수 있다. 이러한 네트워크 연결을 통하여 상기된 방법의 절차를 수행할 수 있다. 상기된 장치 및 도구는 컴퓨터 하드웨어 및 소프트웨어 기술 분야의 당업자에게 잘 알려져 있다.
상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 상기의 실시예에 한정되는 것은 아니며, 다양한 바이러스 확산 방지에 적용될 수 있고, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 본 발명의 본질을 벗어나지 않는 범위 내에서 다양한 수정 및 변경이 가능하다.
본 발명에 따른 바이러스 확산 방지 시스템 및 방법에 의하면, 사용자 단말기 내의 소정의 프로세스가 네트워크에 접근하는 경우에 상기 프로세스와 연관된 정책 정보에 기초하여 상기 프로세스의 네트워크로의 접근을 차단하거나 허용함으로써 비정상적인 프로세스, 즉 바이러스에 감염된 프로세스가 상기 바이러스를 타 단말기로 전파하는 것을 방지함으로써 바이러스로 인한 피해가 확산되는 것을 방지하는 효과가 있다.
또한 본 발명에 따르면, 네트워크로의 접근이 허용되지 않은 프로세스가 네트워크로 접근을 요청하는 경우 그 사실을 경고함으로써 사용자 또는 보안 서버가 조속히 그 대책을 마련할 수 있도록 하는 바이러스 확산 방지 시스템 및 방법이 제공된다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명 사상은 아래에 기재된 특허청구범위에 의해서만 파악되어야 하고, 이의 균등 또는 등가적 변형 모두는 본 발명 사상의 범주에 속한다고 할 것이다.

Claims (8)

  1. 바이러스 확산 방지 시스템에 있어서,
    프로세스 및 네트워크 정보와 연관된 정책 정보를 저장하기 위한 저장부;
    단말기로부터 네트워크를 통해 전송되기 위한 패킷이 생성된 경우, 상기 패킷을 생성한 프로세스를 식별하기 위한 프로세스 식별부;
    상기 패킷에 포함된 네트워크 정보를 검색하기 위한 패킷 검사부;
    상기 식별된 프로세스와 연관된 정책 정보를 검색하기 위한 검색부;
    상기 검색된 정책 정보 및 상기 검색된 네트워크 정보에 기초하여 상기 패킷의 전송 여부를 판단하기 위한 판단부; 및
    상기 판단 결과에 따라 소정의 정책을 수행하기 위한 정책 실행부
    를 포함하고,
    상기 네트워크 정보는 목적지 주소 정보, 포트 번호 및 프로토콜 정보 중 어느 하나 이상을 포함하는 것을 특징으로 하는 바이러스 확산 방지 시스템.
  2. 제1항에 있어서,
    상기 정책 실행부는,
    상기 판단 결과 상기 패킷의 전송이 허용되지 않는 경우 상기 단말기의 디스플레이부에 경고 메시지를 디스플레이하는 것을 특징으로 하는 바이러스 확산 방지 시스템.
  3. 제1항에 있어서,
    상기 정책 실행부는,
    상기 판단 결과 상기 패킷의 전송이 허용되지 않는 경우 상기 단말기로부터 상기 패킷이 전송되는 것을 차단하는 것을 특징으로 하는 바이러스 확산 방지 시스템.
  4. 제1항에 있어서,
    상기 판단부는,
    상기 검색된 네트워크 정보 및 상기 정책 정보에 기초하여 상기 패킷의 전송 허용 여부를 판단할 수 없는 경우, 상기 단말기의 사용자에게 패킷 전송 허용 여부를 문의하는 단계; 및
    상기 사용자로부터의 입력에 기초하여 상기 패킷이 네트워크를 통해 전송되는 것을 허용할 지 여부를 판단하는 단계
    를 수행하는 것을 특징으로 하는 바이러스 확산 방지 시스템.
  5. 바이러스 확산 방지 방법에 있어서,
    프로세스 및 네트워크 정보와 연관된 정책 정보를 프로세스와 연관하여 데이터베이스에 유지하는 단계;
    소정의 프로세스에 의해 생성되고 단말기로부터 전송 대기 중인 패킷을 감지하는 단계;
    상기 패킷에 포함된 네트워크 정보를 검색하는 단계;
    상기 프로세스와 연관된 정책 정보를 검색하는 단계;
    상기 검색된 정책 정보 및 상기 검색된 네트워크 정보에 기초하여 상기 패킷의 전송 여부를 판단하는 단계; 및
    상기 판단 결과에 따라 소정의 정책을 수행하는 단계
    를 포함하고,
    상기 네트워크 정보는 목적지 주소, 목적지 포트 번호 및 프로토콜 정보 중 어느 하나 이상을 포함하는 것을 특징으로 하는 바이러스 확산 방지 방법.
  6. 제5항에 있어서,
    상기 정책을 수행하는 상기 단계는,
    상기 판단 결과 상기 패킷의 전송이 허용되지 않는 경우 상기 단말기의 디스플레이부에 경고 메시지를 디스플레이하는 단계
    를 포함하는 것을 특징으로 하는 바이러스 확산 방지 방법.
  7. 제5항에 있어서,
    상기 정책을 수행하는 상기 단계는,
    상기 판단 결과 상기 패킷의 전송이 허용되지 않는 경우 상기 단말기로부터 상기 패킷이 전송되는 것을 차단하는 단계
    를 포함하는 것을 특징으로 하는 바이러스 확산 방지 방법.
  8. 제5항 내지 제8항 중 어느 하나의 항에 따른 방법을 컴퓨터에서 구현하는 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체.
KR1020030079881A 2003-11-12 2003-11-12 바이러스 확산 방지 시스템 및 방법 KR100545678B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030079881A KR100545678B1 (ko) 2003-11-12 2003-11-12 바이러스 확산 방지 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030079881A KR100545678B1 (ko) 2003-11-12 2003-11-12 바이러스 확산 방지 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20030091889A true KR20030091889A (ko) 2003-12-03
KR100545678B1 KR100545678B1 (ko) 2006-01-24

Family

ID=32389380

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030079881A KR100545678B1 (ko) 2003-11-12 2003-11-12 바이러스 확산 방지 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100545678B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101656965A (zh) * 2008-08-22 2010-02-24 Lg电子株式会社 终端及保护其免受病毒的方法
KR100969466B1 (ko) * 2003-11-13 2010-07-14 주식회사 케이티 바이러스 감염 단말에 대한 인터넷 접속 서비스 제공장치및 방법
WO2012002613A1 (ko) * 2010-06-28 2012-01-05 (주)더프론즈 모바일 기기의 악성 코드가 생성하는 네트워크 데이터를 제어하는 네트워크 데이터 제어 장치 및 네트워크 데이터 제어 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100969466B1 (ko) * 2003-11-13 2010-07-14 주식회사 케이티 바이러스 감염 단말에 대한 인터넷 접속 서비스 제공장치및 방법
CN101656965A (zh) * 2008-08-22 2010-02-24 Lg电子株式会社 终端及保护其免受病毒的方法
WO2012002613A1 (ko) * 2010-06-28 2012-01-05 (주)더프론즈 모바일 기기의 악성 코드가 생성하는 네트워크 데이터를 제어하는 네트워크 데이터 제어 장치 및 네트워크 데이터 제어 방법

Also Published As

Publication number Publication date
KR100545678B1 (ko) 2006-01-24

Similar Documents

Publication Publication Date Title
US10599841B2 (en) System and method for reverse command shell detection
US7035850B2 (en) Access control system
US11797677B2 (en) Cloud based just in time memory analysis for malware detection
US7836504B2 (en) On-access scan of memory for malware
US7437766B2 (en) Method and apparatus providing deception and/or altered operation in an information system operating system
US7657941B1 (en) Hardware-based anti-virus system
JP4405248B2 (ja) 通信中継装置、通信中継方法及びプログラム
US7934261B1 (en) On-demand cleanup system
US20060059550A1 (en) Stateful application firewall
US10757135B2 (en) Bot characteristic detection method and apparatus
JP5920169B2 (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
JP2001337864A (ja) アクセス制御システム
US20060041757A1 (en) Computer data protecting method
US20090300751A1 (en) Unique packet identifiers for preventing leakage of sensitive information
WO2021217449A1 (zh) 恶意入侵检测方法、装置、系统、计算设备、介质和程序
KR100545678B1 (ko) 바이러스 확산 방지 시스템 및 방법
KR20030090568A (ko) 단말기 내의 자원 보호 시스템 및 방법
JP2005148913A (ja) ファイル監視装置
WO2020255185A1 (ja) 攻撃グラフ加工装置、方法およびプログラム
EP1811380A1 (en) Method for protecting the computer data
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
KR20100067383A (ko) 서버 보안 시스템 및 서버 보안 방법
CN116663005B (zh) 复合型勒索病毒的防御方法、装置、设备及存储介质
RU2794713C1 (ru) Способ обнаружения вредоносного файла с использованием базы уязвимых драйверов
CN117972676A (zh) 应用检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130717

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140217

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150105

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170116

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190117

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20200115

Year of fee payment: 15