KR20050040200A - System and method for protecting data files on a computer from virus infection - Google Patents

System and method for protecting data files on a computer from virus infection Download PDF

Info

Publication number
KR20050040200A
KR20050040200A KR1020030075336A KR20030075336A KR20050040200A KR 20050040200 A KR20050040200 A KR 20050040200A KR 1020030075336 A KR1020030075336 A KR 1020030075336A KR 20030075336 A KR20030075336 A KR 20030075336A KR 20050040200 A KR20050040200 A KR 20050040200A
Authority
KR
South Korea
Prior art keywords
virus
packet
received packet
infected
address
Prior art date
Application number
KR1020030075336A
Other languages
Korean (ko)
Inventor
이광후
김용필
Original Assignee
주식회사 엑스큐어넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엑스큐어넷 filed Critical 주식회사 엑스큐어넷
Priority to KR1020030075336A priority Critical patent/KR20050040200A/en
Publication of KR20050040200A publication Critical patent/KR20050040200A/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 컴퓨터 바이러스를 발견하여 치료하는 능동형 컴퓨터 바이러스 방역 시스템에 있어서, 네트워크 상태를 체크하여 최적의 상태로 유지시키는 흐름 제어 및 패킷 전송 제어 모듈; 외부 네트워크로부터의 바이러스의 유입을 차단하고, 바이러스에 감염된 내부 클라이언트를 자동으로 탐지하는 바이러스월 엔진; 및 바이러스에 감염된 클라이언트를 치료하는 안티바이러스 스캔엔진을 포함하여 구성되는 것을 특징으로 한다.An active computer virus protection system for detecting and treating computer viruses, the present invention comprising: a flow control and packet transmission control module for checking a network state and maintaining an optimal state; A virus wall engine that blocks the influx of viruses from an external network and automatically detects virus-infected internal clients; And an antivirus scan engine that treats the client infected with the virus.

한편, 본 발명은 컴퓨터 바이러스를 발견하여 치료하는 능동형 컴퓨터 바이러스 방역 방법에 있어서, 패킷을 수신하여 분석하는 단계; 수신한 패킷의 소스 어드레스가 바이러스에 감염된 어드레스인지 등을 판단하는 단계; 및 수신한 패킷을 처리하는 단계를 포함하여 구성되는 것을 다른 특징으로 한다.On the other hand, the present invention is an active computer virus protection method for finding and treating a computer virus, comprising the steps of: receiving and analyzing a packet; Determining whether the source address of the received packet is a virus infected address, or the like; And processing the received packet.

이와 같은 본 발명에 의하면, 임의의 네트워크내의 전체 컴퓨터 시스템이 보다 용이하게 바이러스로부터 보호받을 수 있으며, 네트워크의 트래픽 폭주 등에 의해 발생할 수 있는 피해를 방지할 수 있다.According to the present invention as described above, the entire computer system in any network can be more easily protected from a virus, and can prevent damages caused by congestion or the like of network traffic.

Description

능동형 컴퓨터 바이러스 방역 시스템 및 방법{System and method for protecting data files on a computer from virus infection}System and method for protecting data files on a computer from virus infection}

본 발명은 능동형 컴퓨터 바이러스 방역 시스템 및 방법에 관한 것으로서, 보다 상세하게는 컴퓨터 바이러스가 유입되는 것을 네트워크 입구에서 차단하고, 또한, 이미 컴퓨터 바이러스에 감염되어 있는 내부 컴퓨터 시스템을 자동으로 인식하여 치료하는 능동형 컴퓨터 바이러스 방역 시스템 및 방법에 관한 것이다.The present invention relates to an active computer virus protection system and method, and more particularly, to prevent the entry of computer viruses at the network entrance, and also to actively recognize and treat internal computer systems already infected with computer viruses. A computer virus protection system and method.

현재 기업의 컴퓨터 시스템은 LAN 뿐만 아니라 인터넷과 같은 거대한 네트워크에 연결되어 있다. 따라서, 컴퓨터 시스템인 하나의 클라이언트가 바이러스에 감염되는 경우에 상기와 같은 네트워크를 통해서 바이러스가 타 클라이언트에 용이하게 전송되어 결국에는 네트워크에 연결된 전체 시스템에 피해를 주게 된다는 문제점이 있었다. Today's corporate computer systems are connected not only to LANs but also to large networks such as the Internet. Therefore, when one client, which is a computer system, is infected with a virus, a virus is easily transmitted to other clients through the above network, which in turn causes damage to the entire system connected to the network.

특히, 웜바이러스의 경우에는 그 자체로써는 각 클라이언트에 피해를 주지 않으나 네트워크 트래픽의 폭주를 유발하여 결과적으로 네트워크에 연결된 전체 시스템을 마비시키거나 데이터 전송 속도를 현저히 저하시키는 등의 문제점이 있었다.In particular, the worm virus itself does not harm each client, but causes a congestion of network traffic, resulting in paralyzing the entire system connected to the network or significantly slowing down the data transmission speed.

종래에 상기와 같은 컴퓨터 바이러스에 대한 방역 방법으로서 각 클라이언트에 백신을 설치하여 바이러스에 감염된 파일 등을 삭제하거나 치료하는 등의 방법이 사용되었다. 그러나, 상기와 같은 종래 기술에 의한 방역 방법은 클라이언트 하나하나가 독립적으로 바이러스에 대응해야 하므로 전체 시스템 측면에서 볼 때 관리가 용이하지 않으며, 데이터가 개별 클라이언트에 도달하기 전에 네트워크상에서 트래픽의 폭주를 유발하는 웜형 바이러스에 대해서는 효과적으로 대응을 할 수 없다는 문제점이 있었다.In the past, as a method for preventing a computer virus, a method of installing a vaccine on each client to delete or treat a file infected with a virus or the like has been used. However, the above-described anti-virus method according to the prior art is not easy to manage in terms of the entire system because each client must respond to the virus independently, causing traffic congestion on the network before the data reaches the individual client. There was a problem that can not effectively respond to the worm-type virus.

본 발명은 상기한 바와 같은 문제점을 해결하기 위한 것으로서, 각 클라이언트로 하여금 바이러스에 적극적으로 대응하도록 유도하는 한편 바이러스에 감염된 클라이언트를 능동적으로 탐색하여 치료하며, 외부 네트워크로부터 바이러스가 유입되는 것을 네트워크 입구에서 원천적으로 차단하는 능동형 컴퓨터 바이러스 방역 시스템 및 방법을 제공하는 것을 목적으로 한다. The present invention is to solve the problems as described above, to induce each client to actively respond to the virus while actively searching for and infected with the virus-infected client, and the virus inflow from the external network at the network entrance It is an object of the present invention to provide an active computer virus protection system and method of blocking the source.

상기한 목적을 달성하기 위한 본 발명은 컴퓨터 바이러스를 발견하여 치료하는 능동형 컴퓨터 바이러스 방역 시스템에 있어서, 네트워크 상태를 체크하여 최적의 상태로 유지시키는 흐름 제어 및 패킷 전송 제어 모듈; 외부 네트워크로부터의 바이러스의 유입을 차단하고, 바이러스에 감염된 내부 클라이언트를 자동으로 탐지하는 바이러스월 엔진; 및 바이러스에 감염된 클라이언트를 치료하는 안티바이러스 스캔엔진을 포함하여 구성되는 것을 특징으로 한다.According to an aspect of the present invention, there is provided an active computer virus protection system for detecting and treating a computer virus, comprising: a flow control and packet transmission control module for checking a network state and maintaining an optimal state; A virus wall engine that blocks the influx of viruses from an external network and automatically detects virus-infected internal clients; And an antivirus scan engine that treats the client infected with the virus.

한편, 본 발명은 컴퓨터 바이러스를 발견하여 치료하는 능동형 컴퓨터 바이러스 방역 방법에 있어서, 패킷을 수신하여 분석하는 단계; 수신한 패킷의 소스 어드레스가 바이러스에 감염된 어드레스인지 등을 판단하는 단계; 및 수신한 패킷을 처리하는 단계를 포함하여 구성되는 것을 다른 특징으로 한다.On the other hand, the present invention is an active computer virus protection method for finding and treating a computer virus, comprising the steps of: receiving and analyzing a packet; Determining whether the source address of the received packet is a virus infected address, or the like; And processing the received packet.

이하, 첨부 도면을 참조하여 본 발명에 의한 실시예를 상세하게 설명한다.EMBODIMENT OF THE INVENTION Hereinafter, the Example by this invention is described in detail with reference to an accompanying drawing.

도 1은 본 발명에 의한 시스템이 적용되는 구성도이고, 도 2는 본 발명에 의한 바이러스월 엔진의 구성을 나타내는 블록도이고, 도 3은 본 발명에 의한 DB의 구성도이다.1 is a configuration diagram to which a system according to the present invention is applied, FIG. 2 is a block diagram showing a configuration of a virus wall engine according to the present invention, and FIG. 3 is a configuration diagram of a DB according to the present invention.

도 1에 도시된 바와 같이, 본 발명에 의한 시스템은 복수개의 개인용 컴퓨터인 클라이언트와 연결되며, 방화벽을 통해 인터넷과 연결된다.As shown in FIG. 1, the system according to the present invention is connected to a client, which is a plurality of personal computers, and is connected to the Internet through a firewall.

본 발명에 의한 시스템은 바이러스월 엔진(1, VirusWall Engine)과, 안티바이러스 스캔엔진(3, AntiVirus ScanEngine)과, 네트워크 상태를 체크하여 최적의 상태로 유지시키는 흐름 제어 및 전송 제어 모듈(5)과, 필요한 경우에 URL을 변경하는 URL변경자(URL modifier, 7)와, 바이러스 DB(9)를 포함하여 구성된다.The system according to the present invention includes a virus wall engine (1), a virus wall engine (1), an antivirus scan engine (3), a flow control and transmission control module (5) which checks and maintains an optimal state of a network; And a virus modifier (URL modifier) 7 for changing the URL, if necessary, and a virus DB 9.

상기 바이러스월 엔진(1)은 바이러스가 인터넷과 같은 외부 네트워크로부터 내부 네트워크로 유입되는 것을 차단하고, 바이러스에 감염된 내부 클라이언트를 자동으로 탐지하는 수단이다. The virus wall engine 1 is a means for blocking a virus from entering an internal network from an external network such as the Internet, and automatically detecting an internal client infected with the virus.

즉, 본 발명에 의한 바이러스월 엔진(1)은 특히, 도 2에 도시된 바와 같이, 메일 송수신에 사용되는 SMTP 및 POP3와, 웹 상에서의 파일(텍스트, 이미지, 사운드, 비디오 및 기타 멀티미디어 파일) 송수신에 사용되는 HTTP와, 인터넷상의 컴퓨터들간의 파일 교환에 사용되는 FTP의 게이트웨이(G/W)로서, 바이러스에 감염된 패킷이 수신되거나 바이러스에 감염된 클라이언트로부터 패킷이 수신되는 경우에 패킷이 수신된 상태 그대로 전송되는 것을 방지함으로써 내부 네트워크로 바이러스가 유입되는 것을 차단한다.That is, the virus wall engine 1 according to the present invention, in particular, as shown in Figure 2, SMTP and POP3 used for sending and receiving mail, and files on the web (text, images, sound, video and other multimedia files) HTTP used for transmission and reception, and FTP gateway (G / W) used for file exchange between computers on the Internet. A packet is received when a packet infected with a virus is received or a packet is received from a virus infected client. It prevents the virus from entering the internal network by preventing it from being transmitted as it is.

상기 안티바이러스 스캔엔진(3)은 클라이언트측에 설치되어 클라이언트가 바이러스에 감염되는 경우에 치료하는 수단이다.The anti-virus scan engine 3 is installed on the client side and is a means for treating the client when it is infected with a virus.

본 발명에 의한 DB(9)는 도 3에 도시된 바와 같이, 바이러스월, 푸시(Push), 감염 컴퓨터, IP 어드레스(IP Adress) 등과 같은 복수개의 테이블로 구성된다. 상기 바이러스월 테이블은 상기 바이러스월 엔진과 관련된 테이블로서, 지원 프로토콜, 치유여부 및 차단여부 필드로 구성되고, 상기 푸시 테이블은 상기 안티바이러스 스캔엔진을 작동시키는 것과 관련된 테이블로서, 시도여부, 시간 간격 및 최대 시도횟수 필드로 구성되며, 상기 감염컴퓨터 테이블은 바이러스에 감염된 클라이언트를 관리하는 테이블로서, IP 어드레스, 푸시 시도횟수 및 차단 패킷수로 구성되고, 상기 IP 어드레스 테이블은 관리하고자 하는 클라이언트와 관련된 테이블로서, 범위, 적용 및 예외 필드로 구성된다. As shown in Fig. 3, the DB 9 according to the present invention is composed of a plurality of tables such as a virus wall, a push, an infected computer, an IP address, and the like. The virus month table is a table related to the virus wall engine, and includes a supporting protocol, a healing status, and a blocking field, and the push table is a table related to operating the antivirus scan engine. It is composed of a maximum number of attempts field, the infected computer table is a table for managing a client infected with a virus, consisting of IP address, push attempts and the number of blocking packets, the IP address table is a table associated with the client to manage , Scope, apply and exception fields.

이하에서, 어드레스라 함은 IP 어드레스를 말하며, 내부 어드레스라 함은 IP 어드레스 테이블의 범위 필드에 기록된 값을 말한다. Hereinafter, an address refers to an IP address, and an internal address refers to a value recorded in a range field of the IP address table.

이와 같은 구성하에서, 본 발명에 의한 방역 시스템은 바이러스에 감염된 임의의 클라이언트가 인터넷에 접속을 시도하거나 메일 전송을 시도하는 경우에, 푸시 소프트웨어(S/W)가 당해 클라이언트에 설치된 경우에만 접속을 허락하고, 설치되지 않은 경우에는 설치를 유도하는 정보가 포함된 메시지 창 등을 클라이언트측에 띄워 클라이언트로 하여금 푸시 S/W를 다운로드하여 설치하게 한다. Under such a configuration, the anti-virus system according to the present invention allows access only when the push software S / W is installed on the client when any virus-infected client attempts to connect to the Internet or send mail. If it is not installed, a message window including information for inducing the installation is displayed on the client side so that the client can download and install push S / W.

상기 푸시 S/W라 함은 방역 시스템이 필요한 경우에 클라이언트측에 안티바이러스 스캔엔진과 같은 프로그램을 임의로 다운로딩시키는 것을 가능하게 하는 소프트웨어를 말하며, 클라이언트측에서 다운로딩할 수 있도록 방역 시스템측에 구비된다. The push S / W refers to software that enables the client side to arbitrarily download a program such as an antivirus scan engine when a defense system is needed, and is provided on the defense system so that the client side can download it. do.

도 4는 도 1 내지 도 3과 같은 구성하에서, 본 발명에 의한 방법을 나타내는 흐름도이다.4 is a flow chart illustrating a method according to the invention under the same configuration as in FIGS.

우선, 본 발명에 의한 방역 시스템이 임의의 클라이언트 또는 인터넷으로부터 패킷을 수신한다(S10).First, the defense system according to the present invention receives a packet from any client or the Internet (S10).

계속해서, 수신한 패킷을 분석하여 소스 어드레스를 확인하고(S30), 바이러스 DB를 검색하여(S50) 소스 어드레스가 바이러스에 감염된 어드레스인지 판단한다(S70). Subsequently, the received packet is analyzed to confirm the source address (S30), and the virus DB is searched (S50) to determine whether the source address is a virus infected address (S70).

만일 소스 어드레스가 바이러스에 감염된 어드레스인 경우에 수신한 패킷이 HTTP 또는 SMTP와 관련된 패킷인지 판단한다(S90). 만일 수신한 패킷이 HTTP와 관련된 패킷인 경우에는 URL을 변경하고(S110), SMTP와 관련된 패킷인 경우에는 경고 메일을 전송한다(S130). 즉, 당해 소스 어드레스인 클라이언트측에 메시지 창이나 경고 메일을 전송하여 바이러스의 존재에 대해 알리는 등의 작업을 수행한다. 상기 단계(S110, S130)후에 바이러스를 제거한다(S150). 상기 단계(S150)에 대한 상세한 설명은 후술한다.If the source address is a virus infected address, it is determined whether the received packet is a packet related to HTTP or SMTP (S90). If the received packet is a packet related to HTTP, the URL is changed (S110). If the received packet is a packet related to SMTP, an alert mail is transmitted (S130). In other words, a message window or an alert mail is sent to the client, which is the source address, to notify of the presence of a virus. After the step (S110, S130) to remove the virus (S150). Detailed description of the step (S150) will be described later.

상기 단계(S70)에서 만일 소스 어드레스가 바이러스에 감염되지 않은 어드레스인 경우에, 수신한 패킷이 바이러스월이 지원하는 프로토콜 즉, 즉, SMTP, POP3, HTTP 및 FTP과 관련된 패킷인지 바이러스 DB를 검색하여 판단하고(S170), 만일 바이러스월이 지원하는 프로토콜과 관련된 패킷인 경우에는 바이러스월을 작동시켜(S190) 바이러스에 감염된 패킷인지 판단한다(S210). In step S70, if the source address is a virus-infected address, the virus DB is searched for whether the received packet is a packet related to a protocol supported by the virus wall, that is, SMTP, POP3, HTTP, and FTP. If the packet is related to the protocol supported by the virus wall (S170), the virus wall is operated (S190) to determine whether the packet is infected with the virus (S210).

판단한 결과, 바이러스에 감염된 패킷인 경우에는 바이러스 DB를 참조하여 소스 어드레스가 내부 어드레스인지 판단하고(S230), 만일 바이러스에 감염된 패킷의 소스 어드레스가 내부 어드레스가 아닌 경우에는 패킷으로부터 바이러스를 치유 및 삭제하여(S250) 패킷을 목적지 어드레스로 전송한다(S270).If it is determined that the packet is infected with a virus, it is determined whether the source address is an internal address with reference to the virus DB (S230). If the source address of the packet infected with the virus is not an internal address, the virus is healed and deleted from the packet. (S250) The packet is transmitted to the destination address (S270).

한편, 상기 단계(S230)에서 만일 소스 어드레스가 내부 어드레스인 경우에는 바이러스 DB를 갱신한다(S290). 즉, 바이러스 DB에 바이러스에 감염된 패킷의 소스 어드레스를 기록한다. 상기 단계(S290)에 이어서 바이러스에 감염된 패킷을 드롭(drop)한다(S310). 다른 한편, 상기 단계(S90)에서 판단한 결과, 수신한 패킷이 HTTP 또는 SMTP와 무관한 패킷인 경우에는 수신한 패킷을 즉시 드롭한다(S310).On the other hand, if the source address is an internal address in step S230, the virus DB is updated (S290). That is, the source address of the virus infected packet is recorded in the virus DB. Subsequent to the step S290, a packet infected with a virus is dropped (S310). On the other hand, if it is determined in step S90 that the received packet is a packet irrelevant to HTTP or SMTP, the received packet is dropped immediately (S310).

도 5는 도 4의 본 발명에 의한 방역 방법 중 바이러스를 제거하는 단계(S150)를 상세하게 나타내는 흐름도이다.5 is a flowchart showing in detail the step (S150) of removing the virus of the method of protection according to the present invention of FIG.

방역 시스템이 도 4의 단계(S110, S130)에 이어서, 당해 소스 어드레스에 대응하는 클라이언트측에 푸시 S/W가 설치되어 있는지 조사하여(S151) 푸시 S/W가 설치되었는지 판단하고(S152), 판단한 결과 푸시 S/W가 설치되지 않은 경우에는 클라이언트측이 푸시 S/W를 다운로드하여 설치하게 한다(S153).In step S110 and S130 of FIG. 4, the anti-virus system determines whether the push S / W is installed on the client side corresponding to the source address (S151), and determines whether the push S / W is installed (S152). If it is determined that the push S / W is not installed, the client side downloads and installs the push S / W (S153).

계속해서, 방역 시스템이 클라이언트측에 설치된 푸시 S/W에 접속을 시도하여(S154) 접속 성공 여부를 판단하고(S155), 판단한 결과 접속 성공인 경우에는 안티바이러스 스캔엔진을 다운로딩시키고(S156), 다운로드가 완료된 경우에 실행시킨다(S157).Subsequently, the defense system attempts to connect to the push S / W installed on the client side (S154) and determines whether the connection is successful (S155). If the result of the determination is successful, the antivirus scan engine is downloaded (S156). If the download is completed (S157).

안티바이러스 스캔엔진을 실행시킨 후에, 클라이언트측의 바이러스가 완치되었는지 판단하고(S158), 만일 완치된 경우에는 바이러스 DB로부터 당해 클라이언트에 대응하는 어드레스와 관련된 데이터를 삭제한다(S159). 즉, 바이러스 DB의 감염 컴퓨터 테이블로부터 당해 IP 어드레스와 관련된 레코드를 삭제한다.After executing the anti-virus scan engine, it is determined whether the virus on the client side is cured (S158), and if it is cured, data related to the address corresponding to the client is deleted from the virus DB (S159). That is, the record associated with the IP address is deleted from the infected computer table of the virus DB.

한편, 상기 단계(S155)에서 판단한 결과, 푸시 S/W에 접속하는데 실패하거나 상기 단계(S158)에서 판단한 결과, 바이러스가 완치되지 않은 경우에는 바이러스 DB로부터 당해 어드레스와 관련된 데이터를 갱신한다(S160). On the other hand, as a result of the determination in step S155, when access to the push S / W fails or as a result of the determination in step S158, if the virus is not cured, data related to the address is updated from the virus DB (S160). .

본 발명에 의하면, 능동형 컴퓨터 바이러스 방역 시스템 및 방법에 있어서, 하나의 시스템에 의해 전체 클라이언트가 관리됨으로써 하나의 네트워크내의 전체 컴퓨터 시스템이 보다 용이하게 바이러스로부터 보호받을 수 있으며, 외부 네트워크로부터의 바이러스 유입이 원천적으로 차단됨으로써 트래픽 폭주 등에 의해 발생할 수 있는 피해를 방지할 수 있다.According to the present invention, in an active computer virus protection system and method, the entire client system is managed by one system so that the entire computer system in one network can be more easily protected from viruses, and virus inflow from an external network can be prevented. By blocking at the source, it is possible to prevent damage caused by congestion of traffic.

도 1은 본 발명에 의한 능동형 컴퓨터 바이러스 방역 시스템의 전체적인 구성도,1 is an overall configuration diagram of an active computer virus protection system according to the present invention,

도 2는 본 발명에 의한 바이러스월 엔진의 구성을 나타내는 블록도, 2 is a block diagram showing the configuration of a virus wall engine according to the present invention;

도 3은 본 발명에 의한 바이러스 DB의 구성도,3 is a configuration diagram of a virus DB according to the present invention;

도 4는 도 1 내지 도 3과 같은 구성하에서, 본 발명에 의한 방법을 나타내는 흐름도,4 is a flowchart showing a method according to the present invention under the same configuration as in FIGS. 1 to 3;

도 5는 도 4의 바이러스 제거 단계를 상세하게 나타내는 흐름도이다.5 is a flowchart showing the virus removal step of FIG. 4 in detail.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

1...바이러스월 엔진, 3...안티바이러스 스캔엔진,1 ... viruswall engine, 3 ... antivirus scan engine,

5...흐름제어 및 전송제어 모듈, 7...URL 변경자,5 ... flow control and transmission control module, 7 ... URL modifier,

9...바이러스 DB.9 ... virus DB.

Claims (11)

컴퓨터 바이러스를 발견하여 치료하는 능동형 컴퓨터 바이러스 방역 시스템에 있어서,In an active computer virus protection system that detects and treats computer viruses, 네트워크 상태를 체크하여 최적의 상태로 유지시키는 흐름 제어 및 패킷 전송 제어 모듈;A flow control and packet transmission control module for checking a network state and maintaining the optimal state; 외부 네트워크로부터의 바이러스의 유입을 차단하고, 바이러스에 감염된 내부 클라이언트를 자동으로 탐지하는 바이러스월 엔진; 및A virus wall engine that blocks the influx of viruses from an external network and automatically detects virus-infected internal clients; And 바이러스에 감염된 클라이언트를 치료하는 안티바이러스 스캔엔진Anti-virus scan engine to clean virus infected clients 을 포함하여 구성되는 것을 특징으로 하는 능동형 컴퓨터 바이러스 방역 시스템.Active computer virus protection system, characterized in that comprising a. 제1항에 있어서,The method of claim 1, 상기 바이러스월 엔진은 SMTP, POP3, HTTP 및 FTP에 대한 게이트웨이를 포함하여 구성되는 것을 특징으로 하는 능동형 컴퓨터 바이러스 방역 시스템.The virus wall engine is active computer virus protection system, characterized in that it comprises a gateway for SMTP, POP3, HTTP and FTP. 컴퓨터 바이러스를 발견하여 치료하는 능동형 컴퓨터 바이러스 방역 방법에 있어서,In the active computer virus protection method for detecting and treating computer viruses, 패킷을 수신하여 수신한 패킷의 소스 어드레스를 확인하는 단계;Receiving a packet and checking a source address of the received packet; DB를 검색하여 수신한 패킷의 소스 어드레스가 바이러스에 감염된 어드레스인지 판단하는 단계; 및Searching the DB to determine whether the source address of the received packet is a virus infected address; And 수신한 패킷을 처리하는 단계Processing received packets 를 포함하여 구성되는 것을 특징으로 하는 능동형 컴퓨터 바이러스 방역 방법.Active computer virus protection method characterized in that it comprises a. 제3항에 있어서,The method of claim 3, 상기 수신한 패킷을 처리하는 단계는,Processing the received packet, 수신한 패킷의 소스 어드레스가 바이러스에 감염된 어드레스로서, 수신한 패킷이 HTTP와 관련된 패킷인 경우에는 URL을 변경하는 단계; 및Changing the URL when the source address of the received packet is an address infected with a virus and the received packet is a packet related to HTTP; And 바이러스를 제거하는 단계Steps to remove a virus 로 구성되는 것을 특징으로 하는 능동형 컴퓨터 바이러스 방역 방법.Active computer virus protection method, characterized in that consisting of. 제3항에 있어서,The method of claim 3, 상기 수신한 패킷을 처리하는 단계는,Processing the received packet, 수신한 패킷의 소스 어드레스가 바이러스에 감염된 어드레스로서, 수신한 패킷이 SMTP와 관련된 패킷인 경우에는 경고 메일을 발송하는 단계; 및Sending a warning mail if the source address of the received packet is an address infected with a virus and the received packet is a packet related to SMTP; And 바이러스를 제거하는 단계Steps to remove a virus 로 구성되는 것을 특징으로 하는 능동형 컴퓨터 바이러스 방역 방법.Active computer virus protection method, characterized in that consisting of. 제4항 또는 제5항에 있어서,The method according to claim 4 or 5, 상기 바이러스를 제거하는 단계는,Removing the virus, 수신한 패킷의 소스 어드레스에 해당하는 클라이언트의 푸시 S/W 설치 상태를 조사하여 설치되지 않은 경우는 다운로드하여 설치하게 하는 단계; Investigating the push S / W installation state of the client corresponding to the source address of the received packet and downloading and installing if it is not installed; 당해 클라이언트의 푸시 S/W에 접속을 시도하여 접속에 성공한 경우에는 안티바이러스 스캔엔진을 다운로드 및 실행하게 하여 바이러스를 제거하는 단계; 및Attempting to access the push S / W of the client and, if the connection is successful, downloading and executing an antivirus scan engine to remove the virus; And DB로부터 해당 어드레스를 삭제하거나 해당 어드레스와 관련된 데이터를 갱신하는 단계Deleting the address from the DB or updating data associated with the address 로 구성되는 것을 특징으로 하는 능동형 컴퓨터 바이러스 방역 방법.Active computer virus protection method, characterized in that consisting of. 제3항에 있어서,The method of claim 3, 상기 수신한 패킷을 처리하는 단계는,Processing the received packet, 수신한 패킷의 소스 어드레스가 바이러스에 감염된 어드레스로서, 수신한 패킷이 HTTP 또는 SMTP와 무관한 패킷인 경우에는 패킷을 드롭하는 단계Dropping the packet if the source address of the received packet is a virus-infected address and the received packet is a packet not related to HTTP or SMTP. 로 구성되는 것을 특징으로 하는 능동형 컴퓨터 바이러스 방역 방법.Active computer virus protection method, characterized in that consisting of. 제3항에 있어서,The method of claim 3, 상기 수신한 패킷을 처리하는 단계는,Processing the received packet, 수신한 패킷의 소스 어드레스가 바이러스에 감염되지 않은 어드레스로서, 수신한 패킷이 바이러스월이 지원하는 프로토콜과 관련되지 않은 패킷인 경우에, 패킷을 목적지로 전송하는 단계If the source address of the received packet is an address that is not infected by a virus and the received packet is a packet that is not related to a protocol supported by the virus wall, transmitting the packet to a destination. 로 구성되는 것을 특징으로 하는 능동형 컴퓨터 바이러스 방역 방법.Active computer virus protection method, characterized in that consisting of. 제3항에 있어서,The method of claim 3, 상기 수신한 패킷을 처리하는 단계는,Processing the received packet, 수신한 패킷의 소스 어드레스가 바이러스에 감염되지 않은 어드레스로서, 수신한 패킷이 바이러스월이 지원하는 프로토콜과 관련된 패킷인 경우에, 바이러스월을 작동하여 수신한 패킷의 바이러스 감염 여부를 확인하는 단계; 및When the source address of the received packet is an address that is not infected with a virus and the received packet is a packet related to a protocol supported by the virus wall, checking whether the received packet is virus infected by operating the virus wall; And 확인 결과, 바이러스에 감염되지 않은 패킷인 경우에 패킷을 목적지로 전송하는 단계If the packet is not infected by virus, the packet is sent to the destination. 로 구성되는 것을 특징으로 하는 능동형 컴퓨터 바이러스 방역 방법.Active computer virus protection method, characterized in that consisting of. 제3항에 있어서,The method of claim 3, 상기 수신한 패킷을 처리하는 단계는,Processing the received packet, 수신한 패킷의 소스 어드레스가 바이러스에 감염되지 않은 어드레스로서, 수신한 패킷이 바이러스월이 지원하는 프로토콜과 관련된 패킷인 경우에, 바이러스월을 작동하여 수신한 패킷의 바이러스 감염 여부를 확인하는 단계;When the source address of the received packet is an address that is not infected with a virus and the received packet is a packet related to a protocol supported by the virus wall, checking whether the received packet is virus infected by operating the virus wall; 확인 결과, 바이러스에 감염된 패킷인 경우에 내부 어드레스인지 확인하는 단계;Confirming whether the packet is an internal address when the packet is infected with a virus; 확인 결과 내부 어드레스가 아닌 경우에 바이러스를 치유 및 삭제하는 단계; 및Healing and deleting the virus if the verification is not an internal address; And 패킷을 목적지로 전송하는 단계Sending the packet to the destination 로 구성되는 것을 특징으로 하는 능동형 컴퓨터 바이러스 방역 방법.Active computer virus protection method, characterized in that consisting of. 제3항에 있어서,The method of claim 3, 상기 수신한 패킷을 처리하는 단계는,Processing the received packet, 수신한 패킷의 소스 어드레스가 바이러스에 감염되지 않은 어드레스로서, 수신한 패킷이 바이러스월이 지원하는 프로토콜과 관련된 패킷인 경우에, 바이러스월을 작동하여 수신한 패킷의 바이러스 감염 여부를 확인하는 단계;When the source address of the received packet is an address that is not infected with a virus and the received packet is a packet related to a protocol supported by the virus wall, checking whether the received packet is virus infected by operating the virus wall; 확인 결과, 바이러스에 감염되지 않은 패킷인 경우에 내부 어드레스인지 확인하는 단계;Confirming whether the packet is an internal address when the packet is not infected with a virus; 확인 결과 내부 어드레스인 경우에 DB에 기록하는 단계; 및Writing to the DB if the result is the internal address; And 패킷을 드롭하는 단계Dropping packets 로 구성되는 것을 특징으로 하는 능동형 컴퓨터 바이러스 방역 방법.Active computer virus protection method, characterized in that consisting of.
KR1020030075336A 2003-10-28 2003-10-28 System and method for protecting data files on a computer from virus infection KR20050040200A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030075336A KR20050040200A (en) 2003-10-28 2003-10-28 System and method for protecting data files on a computer from virus infection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030075336A KR20050040200A (en) 2003-10-28 2003-10-28 System and method for protecting data files on a computer from virus infection

Publications (1)

Publication Number Publication Date
KR20050040200A true KR20050040200A (en) 2005-05-03

Family

ID=37242054

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030075336A KR20050040200A (en) 2003-10-28 2003-10-28 System and method for protecting data files on a computer from virus infection

Country Status (1)

Country Link
KR (1) KR20050040200A (en)

Similar Documents

Publication Publication Date Title
US8087082B2 (en) Apparatus for filtering server responses
US10587636B1 (en) System and method for bot detection
EP1650633B1 (en) Method, apparatus and system for enforcing security policies
US8495739B2 (en) System and method for ensuring scanning of files without caching the files to network device
US9654494B2 (en) Detecting and marking client devices
US8204984B1 (en) Systems and methods for detecting encrypted bot command and control communication channels
EP1650930B1 (en) Method, apparatus and network architecture for enforcing security policies using an isolated subnet
US8539582B1 (en) Malware containment and security analysis on connection
US8561177B1 (en) Systems and methods for detecting communication channels of bots
US9392002B2 (en) System and method of providing virus protection at a gateway
US7617533B1 (en) Self-quarantining network
US7657938B2 (en) Method and system for protecting computer networks by altering unwanted network data traffic
US7610375B2 (en) Intrusion detection in a data center environment
US20070039053A1 (en) Security server in the cloud
US20050198519A1 (en) Unauthorized access blocking apparatus, method, program and system
US20080046563A1 (en) Network Intrusion Prevention by Disabling a Network Interface
US7716472B2 (en) Method and system for transparent bridging and bi-directional management of network data
US20080151887A1 (en) Method and Apparatus For Inter-Layer Binding Inspection
JP2007323428A (en) Bot detection apparatus, bot detection method and program
US7774847B2 (en) Tracking computer infections
CN110198290B (en) Information processing method, equipment, device and storage medium
JP2003099339A (en) Infiltration-detecting and infiltration-preventing device and program therefor
US20040093514A1 (en) Method for automatically isolating worm and hacker attacks within a local area network
KR20050040200A (en) System and method for protecting data files on a computer from virus infection
US7873731B1 (en) Use of per-flow monotonically decreasing TTLs to prevent IDS circumvention

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E601 Decision to refuse application
E801 Decision on dismissal of amendment