KR20070029540A - 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법 - Google Patents

특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법 Download PDF

Info

Publication number
KR20070029540A
KR20070029540A KR1020060000041A KR20060000041A KR20070029540A KR 20070029540 A KR20070029540 A KR 20070029540A KR 1020060000041 A KR1020060000041 A KR 1020060000041A KR 20060000041 A KR20060000041 A KR 20060000041A KR 20070029540 A KR20070029540 A KR 20070029540A
Authority
KR
South Korea
Prior art keywords
file
patch
mark
malicious
information
Prior art date
Application number
KR1020060000041A
Other languages
English (en)
Inventor
배기봉
Original Assignee
배기봉
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 배기봉 filed Critical 배기봉
Publication of KR20070029540A publication Critical patent/KR20070029540A/ko

Links

Images

Classifications

    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C27/00Electric analogue stores, e.g. for storing instantaneous values
    • G11C27/005Electric analogue stores, e.g. for storing instantaneous values with non-volatile charge storage, e.g. on floating gate or MNOS
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • G11C16/06Auxiliary circuits, e.g. for writing into memory
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C7/00Arrangements for writing information into, or reading information out from, a digital store
    • G11C7/16Storage of analogue signals in digital stores using an arrangement comprising analogue/digital [A/D] converters, digital memories and digital/analogue [D/A] converters 

Landscapes

  • Stored Programmes (AREA)

Abstract

본 발명은 악성 코드의 새로운 판별/제거 기능,악성 코드 사전 감염 예방 위한 새로운 패치 관리 기능, 악성 코드 출현 사실 조기 경보 기능, 악성 코드 유발 트래픽 강제 자동 우회 통한 네트워크 안정화 기능을 가잔 시스템 통합보안 솔루션 구현에 관한 것으로서, 각 파일 무결성 정보 등을 포함한 전자 MARK를 파일에 삽입 통한 파일 변형 여부 인증 수단; 상기 삽입된 전자 MARK 안의 파일 속성 기반으로 파일의 변조 및 신종 악성 코드를 판별/제거 수단; 상기 전자 MARK 자체의 변조 및 복제를 방지를 위해 파일 사용자 비밀키를 이용한 MARK 이중 보호 수단; 전자 MARK 미부여 된 파일의 악성 코드 여부 판별 위해 기존 바이러스 백신이 정적인 악성 코드 DB 기반으로 판별하는 것과 대비되는 각 시스템의 설치된 파일의 생성 및 수정시간/파일위치/파일확장자 속성 기반으로 악성 코드를 판별하는 것을 특징으로 하는 신종 악성 코드 탐지/제거 수단; 2차적으로 파일 레지스트리 값 및 통계적 DB 기반으로 악성 코드를 동적으로 신속 탐지가능토록 구현된 새로운 악성 코드 동적 DB 구축 방법; 상기 정적 및 동적 DB 기반으로 탐지된 악성 코드를 쉽게 제거 가능한 알고리즘 구현 기법; 악성 코드의 신속 확보 통한 조기 경보 목적 Honey Pot 시스템 구현/작동 기법; 기존 패치 관리 시스템 방식과 다르게 패치 에이전트(agent)를 강제 설치 유도하는 시스템 구축 및 상호 작용 기법; 패치 에이전트(agent)가 각 시스템의 최신 보안 패치 여부에 대한 안전한 판별을 지원하는 패치 파일안의 패치 MARK 기반의 패치일자 확인 기법; 각 가입자단 N/W 과부하로 인해 보안 패치 불가시를 대비하여 평시 가입다잔 N/W에 별도의 패치 파일 서버를 두고, 과부하 트래픽을 흡수하는 Honey Pot Agent 를 별도로 둠으로서, N/W 과부하에 영향없이 보안 패치 및 Agent 관리를 쉽게 수행 가능토록 구성된 Agent 및 Manager 구축 기법을 포함한 것을 특징으로 한다.
Figure 112006500005921-PAT00001
전자 MARK , ZERO DAY , WORM , 신종 바이러스 , 비정상파일 , HONEY POT, 패치관리시스템(PMS), 조깅 경보, 트래픽 우회

Description

특수 설계된 전자 MARK 의 파일 삽입 및 파일 기본 속성 기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리 기능, 조기 경보 기능을 제공하는 시스템 종합 보안 솔루션 구현 기법 {the implementation method of total system security managements solution which supports anti-virus function and patch management function and early warning of the emergence of malicious codes which is based on insertion of the particular designed digital mark and the new detection and removal algorithem of the malicious files}
도 1은 본 발명의 배경에 해당되는 제로데이(무방비 기간, Zero day)에 대한 개념도임.
도 2a는 "일반 백신 솔루션 악성 코드 탐지/제거 절차도 "에 관한 것으로서, DB 기반으로 비정상 파일 탐지, 제거하는 과정을 설명한 것임.
도 2b는 본 발명의 "악성 코드 탐지제거 절차도"에 관한 것으로써, PC 비정상시 발생하는 PC 의 행동 통계적 특성, 전자 MARK 속성, 파일 속성 기반으로 이상징후를 감지하고, 새로운 악성 코드 제거 알고리즘으로 악성코드를 제거하는 시스템 정상화 절차도임.
도 3a 는 기존 악성코드 백신 솔루션의 "악성 코드 판별 방식"에 관한 것임.
도 3b 는 본 발명의 "악성 코드 판별 방식"에 대한 대략적 개념도임
도 3c 는 기존 백신 솔루션 과 본 발명의 솔루션의 "악성 코드 판별 및 치료 가능 파일 영역 방식"에 대한 비교도임.
도 4a 는 기존 "패치 관리 솔루션의 작동 절차도"에 관한 대표적 예임.
도 4b 는 본 발명의"패치 관리 솔루션의 작동 절차도"에 관한 것임.
도 4c 는 기본 패치 관리 솔루션과 본 발명의 패치관리솔루션의 비교도임.
도 5 는 본 발명의 PC 보안 시스템 구축 및 작동 모델도임.
도 6 은 본 발명의 보안 프로그램인 Agent 와 Manager 구현 시 각 프로그램의 구성의 대표적 모듈 도면도 예임.
도 7 은 시스템의 각 관리대상 파일에 대한 "전자 MARK 업데이트 절차"기법에 관한 것임.
도 8a 은 파일 MARK 가 삽입된 파일 구조도임
도 8b 은 파일 및 패치 MARK 가 삽입된 파일 구조도
도 9 는 본 발명의 솔루션의 "악성 프로그램 탐지/제거 프로그램 구성요소간 상호 작용도"에 관한 것임
도 10 은 본 발명의 "신종 악성 파일 탐지/제거 모듈" 작동 절차도임
도 11 은 비정상 이벤트 발생 시스템에서 상기 "도 10"의 절차상의 신종 악성 코드 탐지/제거 수행 전에 가장 기본적인 보안 설정을 위한 "기초 보안 설정 모듈" 작동 절차도임.
도 12 는 본 발명의 "비정상 프로세스 탐지/제거 모듈" 작동 절차도에 관한 것임.
도 13 은 본 발명의 "비정상 파일 검색/제거 모듈" 작동 절차도에 관한 것임.
도 14 는 본 발명의 "악성 레지스트리 탐지/제거 모듈"작동 절차도에 관한 것임.
도 15 는 본 발명의 "N/W 안정화 모듈" 작동 절차도"에 관한 것임.
도 16 은 본 발명의 "Honey Pot Agent" 작동 개념도에 관한 것임.
도 17a 는 기존 일반 패치 관리 솔루션의 작동개념도임.
도 17b 는 본 발명의 패치 Agent 설치 강제화 및 제어 절차도"에 관한 것임.
도 17c 는 본 발명의 패치 Agent 를 이용한 패치 관리 절차도에 관한 것임.
도 18 은 본 발명의 각 Agent 및 Manager 가 기반으로 작동하는 정책 DB 구조도에 관한 것임.
도 19 는 각 Agent 및 Manager 프로그램 라이센스 인증 DB 구조도의 한 예임
도 20 은 각 Agent 및 Manager 프로그램의 작동 환경 DB 구조도의 한 예임
도 21 은 각 Agent 및 Manager 프로그램의 패치 DB 구조도의 한 예임
도 22 는 각 Agent 및 Manager 프로그램의 파일 DB 구조도의 한 예임
도 23 은 각 Agent 및 Manager 프로그램의 프로세스 DB 구조도의 한 예임
도 24 는 각 Agent 및 Manager 프로그램이 동적으로 악성 파일 및 프로세스를 판단하는 기준에 해당하는 악성 코드/정상 코드에 관한 통계적 판단 기준 DB 임.
도 25 는 N/W 통신 패킷 분석 기반으로 악성 코드를 탐지하는 기준을 제시하 는 통신 DB 구조도임.
도 26 본 발명의 구축 DB 의 일부인 레지스트리 DB 구조도임
〈도면의 주요부호 설명〉
아래는 각 도면에서 사용되는 주요 용어를 설명하면 아래와 같다.
- 레지스트리 : 윈도우에서 시스템의 윈도우 리부팅 시 자동 시작 프로그램 정보 등과 각 윈도우 응용프로그램 관련 정보를 포함하고 있는 일종의 data base
- 파일 기본 속성 : 파일형식, 파일 생성/수정시간, 파일 크기, 파일 위치를 의미
- 패치(patch) : 보안상 취약점을 보호조치하는 행위
- Honey Pot : "꿀단지"라는 의미로 해커 또는 악성 코드를 유인하는 시스템 또는 프로그램을 일컫는 보안 용어
- "관리자 통보" : 프로그램이 관리자에게 로그메시지를 전달하려는 시도를 의미
- 통계적 : 중앙 통제 센터에서 정상/비정상 기준을 경험적으로 판별함을 의미
- Global 정책 : 본 발명의 Agent가 설치된 시스템 모두가 준수할 것을 권고하는 정책
- Local 정책 : 각 고객사별로 최적화된 규칙
- 제로 데이(무방비 기간) : 악성 코드의 최초 출현 후 악성코드를 감염 방지 및 치료 가능한 솔루션의 등장 및 구축 시점까지의 기간을 말함.
- 의심 파일 DB : 기술적으로 통계적으로 모두 정상/비정상 파일로 판별수행하지 않은 파일로, 정상적인 파일과 다른 행동적/파일 고유 속성 등을 가진 파일의 DB
이하, 보다 상세한 의미는 아래 "발명의 구성 및 작용" 참조바람.
본 발명의 기술은 사용자가 시스템의 안전한 운영을 위해서 필요한 핵심 기능인 악성 코드 탐지 제거 기능, 패치 관리 기능, 악성 트래픽으로부터 N/W을 보호하는 기능, 악성 코드 출현 조기 경보 기능을 통합 지원하는 시스템 통합 보안 솔루션 구현 기법에 관한 것이다.
본 발명에 대해 상세 설명을 시작하기 전에 본 발명이 속하는 종래 솔루션을 소개하면, 바이러스 백신 솔루션, 악성 코드 감염 시스템 경보 솔루션, 패치관리시스템(PMS) 등이 있다.
기존 일반 바이러스 백신 솔루션은 [도 1]의 (E11) 발생시 신속하게 악성 코드 정보를 입수하고, 보안 전문가가 분석하여 그 치료하는 백신개발 및 백신 DB 업데이트 통해 각 백신의 Agent 에 치료백신을 전달하여 치료하게 하는 기술이다. 그 결과,[도 2a]와 같은 절차로 작동하므로, [도 3a]와 [도 3c]의 설명처럼 새로운 악성 코드 출현과 제로데이(Zero-Day)에 대한 보안 기능을 제공하지 못하는 한계가 존재한다.
그리고, 패치 관리 솔루션은 [도 1]의 (S14)기간을 줄이기 위해서 발명된 보안 솔루션으로, 시스템의 보안 패치 출현 시 신속하게 각 시스템에게 통보해주며, 필요시 강제적으로 자동패치수행해주는 역할을 하는 솔루션이다. 그런데, 기존 패치 관리 솔루션은 [도 4a] 및 [도 17a]와 같이 웹(http) 를 통한 인터넷 트래픽을 감시통한 패치제어하므로, [도 4c]에서 설명하는 것처럼 http 프로토콜을 사용하지 않는 시스템 대상으로 패치 관리를 적용하지 못하는 한계가 있으며, 또한 최신 패치 사실을 자신의 시스템의 패치 관련 파일 및 레지스트리 속성에 기반함으로 인해, 본 파일 및 정보의 훼손시 패치 관리 오동작의 위협이 존재한다.
그리고, 악성 트래픽으로부터 네트워크를 보호하는 기능으로 침입차단 시스템이 존재한다. 이 솔루션은 비정상 판단 트래픽 유발 시 그 유발 IP를 차단하고 관리자에게 경보해주는 솔루션이다. 그런데 이 기능은 단지 악성 코드 감염 시스템 IP만 경보해줄 뿐 실제적으로 감염 시스템에서 악성 코드를 쉽게 탐지/제거해주지 못한다.
마지막으로 악성 코드 출현 조기 경보 기능을 제공하는 솔루션에는 Honey Pot 과 전세계 침입탐지 정보를 취합하여 제공하는 위협관리시스템[TMS]이 존재한다. Honey Pot 은 해커를 유인하는 덫의 역할을 수행하는 프로그램으로, Honey Pot 시스템이 매우 많치 않은 결과, 해커가 이 덫에 걸릴 확률은 매우 낮다. 그리고 위협관리시스템은 전세계 각 국에 침입탐지 센서를 설치해야 하므로, 그 비용이 많은 단점이 존재함은 물론, 각 센서에서 탐지된 정보를 기반으로 보안 전문가의 분석이 반드시 수반되어야 하므로, 이 또한 완벽하고 매우 빠른 악성 코드 출현 경보를 제 공하지 어렵다.
이러한 기존 솔루션의 한계를 극복하기 위해서 발명은 사용자가 시스템의 안전한 운영을 위해서 필요한 핵심 기능인 악성 코드 탐지 제거 기능, 패치 관리 기능, 악성 코드 감염 N/W 안정화 기능, 악성 코드 출현 조기 경보 기능을 제공하는 시스템 통합 보안 솔루션에 관한 것이다.
즉, 본 발명의 일차적 특징인 악성코드 탐지/제거기법은 기존의 솔루션이 악성 코드의 전문가 분석 통해 축적된 정적인 DB 기반으로 탐지/제거하는 방식의 한계인 제로데이(무방비 기간, Zero-day)를 극복하기 위해 안출된 것으로서, 비정상 파일 및 프로세스의 판별의 새로운 기준인 전자 MARK 삽입 기술[도 8] 과 [도9]∼[도14] 의 새로운 기술적, 경험적, 통계적 악성 코드 신속 탐지/제거 알고리즘을 제공하고, 이 기준을 바탕으로 신종 비정상 worm 등이 출현 시에도 보안업체의 분석에 전적으로 의존하지 않고, 사용자 자신이 보다 쉽게 비정상파일을 신속하게 탐지 및 자동 제거해주는 것을 일차적 특징으로 한다.
본 발명의 이차적 특징[도 4b][도 4c]는 상기 설명한 기존 패치 관리 솔루션의 단점을 극복하기 위해서 패치 파일에도 패치 MARK를 별도 부여하여[도 8] 관리함으로써, 현 시스템 패치 정보 오염으로 인한 보안 사고를 미연에 방지하고, 웹(HTTP) 트래픽을 사용 않는 시스템에서 발생하는 트래픽도 주요 패치 관리 위한 감시 트래픽 대상에 포함시켜 패치 관리를 제공가능하게 하였다.[도 17b][도 17c]
세 번째 본 발명의 특징은 본 발명의 Agent에 악성 트래픽 발생시 내부 N/W 구간에 설정된 Honey Pot PC IP로 해당 트래픽이 라우팅 되도록 동작하게 하여 악성 트래픽을 흡수함은 물론, Honey Pot 시스템의 바이러스 감염 확률을 높여, 상기 본 발명의 백신 Agent 기능을 통해 신속하게 악성 코드 출현 사실을 신속 탐지하고, 악성 코드를 판별 제거가능하게 하여 매우 빠른 조깅 경보 및 N/W 안정화 동시 지원할 수 있다.
본 발명이 상기와 같이 기능을 가진 보안 솔루션을 구현이라는 목적을 달성하기 위한 주요 기술적 과제는 아래와 같다.
첫째, 시스템상의 원본 파일의 기능에 별로 지장을 주지 않으면서 원본파일의 설치일자, 무결성 등의 정보를 인증 가능한 파일 구조의 설계 기법 구현
둘째, 위와 같이 특수 설계된 파일에 대해서, 파일의 변조 여부를 확인하는 기법
셋째, 위 특수 설계 파일 속성과 병행하여, 악성코드의 자체 분석 없이 악성 코드를 매우 높은 확률로 찾아 제거해주는 새로운 알고리즘 설계 기술. 즉, 파일의 생성,수정된 날짜 속성 및 주요 설치 위치 속성, 기타 윈도우 레지스트리 시작 프로그램 목록 속성 등을 복합 활용 통한 악성 코드를 확률적 통계적 기법으로 찾아 제거해주는 알고리즘 설계 기법.
넷째, 보안 패치 관리 설치 Agent 강제화 방법에 있어서, 사용자가 웹(http)방식을 통한 인터넷 사용 않는 시스템에 대해서도 패치를 강제화 하는 기법과 패치를 설치한 후, 최근 패치 사실 정보의 오염 발생시, 패치 수행 오류 유발 가능한 보안 위협을 안전하게 제거하는 기법
다섯째, 긴급 중요 보안 패치 파일 확보 방법론에 있어서, 중요 보안 이슈 발생으로 인해 개인 PC 사용자가 보안 패치 파일을 인터넷 상의 보안패치파일 제공 사이트로부터 긴급 다운로드 필요 상태에서, 인터넷 접속 불가로 보안 패치 다운로드 불가 시 겪는 개인 PC 사용자의 불편 극복 방법 제공. 즉, LOCAL 서버단에서 평시에 보안 패치 파일을 다운 받아 저장하여 놓고, 유사시 LOCAL PC에게 패치 파일을 제공하는 비즈니스 기법
여섯째, 내부 악성 코드 발생시 트래픽 자동 우회 방법론에 있어서, 비정상 트래픽 발생시 Local PC 의 라우팅 Table 을 Honey Pot PC IP 로 향하게 하여 악성 트래픽을 고객 내부 랜 구간에서 흡수하게 하여 인터넷 가용성 저해를 최소화함은 물론, Honey Pot 시스템의 바이러스 감염 확률을 높여, 상기 본 발명의 백신 Agent 기능을 통해 신속하게 악성 코드 출현 사실을 신속 탐지하고, 악성 코드를 판별 제거가능하게 하여 매우 빠른 조깅 경보 및 N/W 안정화 기법.
상기와 같은 목적을 달성하기 위하여, 본 발명은 일반 사용자의 시스템에 설치하는 프로그램(이하, Agent라 함)과 가입자단 Local 관리자 시스템에 설치하는 프로그램(이하, Manager라 함), 악성코드 및 해킹 코드 탐지/분석/신고하는 Honey Pot 시스템 , 비정상 파일 및 프로세스 기준을 총괄 관리하는 중앙 통제 센터 를 그 구성요소로 가진다.[도 6]
이하, 각 구성요소 구현 기법 및 역할 및 상호 작용도는 아래의 첨부된 도면을 참조하여 상세히 설명하기로 한다.
[도 1] 은 본 발명을 실시한 목적을 설명하기 위한 핵심 용어인 제로데이(무방비 기간, Zero-Day)에 개념에 관한 것이다. 악성 취약점 출현된 것이 없는 상태(S10)기간에 갑자기 새로운 취약점이 출현(E10)한 경우 그 취약점 출현 사실에 대해서 www.securityfocus.com 등과 같은 취약점 조기경보사이트에서는 경보를 하게 된다. 그런데, 이 취약점 패치 버전이 나오기 전에 암암리에 이 취약을 악용하는 악성 코드가 갑자기 출현하게 되는 흔히 있다. 즉, (S12) 기간이 점점 짧아지고 있어, 인터넷의 중대 위협이 되고 있다. 이런 시대적 상황에서 일반 PC 사용자는 (S13)기간 동안 무방비 상태에 놓이게 된다. 또한, 이후 취약점 패치파일이 등장[E13]을 하더라도, 그 이전에 악성코드에 이미 감염된 시스템은 (S14)기간 동안 기존의 일반적인 바이러스 백신 솔루션 출시를 기다리거나, 사용자가 보안지식을 가지고 있는 경우, 스스로 수동으로 치료를 하게 된다. 본 발명은 악성 코드 출현 사실(E11)을 신속 조기 경보하고, 제로데이(S15) 기간을 혁신적으로 줄일 수 잇는 것이 특징이다. 이의 구현을 위한 상세 기법은 이하를 참조한다.
[도 2a] 는 기존의 일반적인 백신 솔루션의 탐지/제거 절차도에 관한 것이다. 기존의 바이러스 백신은 평시 정기적으로 바이러스 DB 패턴을 업데이트 받고(S20), 이 DB 기반으로 악성 코드를 탐지 및 제거한다.(S21) 그 결과, 상기 언급한 것처럼 주로 보안전문가에 의해 DB 업데이트가 늦어지는 경우 (S14)기간은 길어져 결론적으로 시스템 사용자는 불편을 겪게 된다. 이 점을 개선하기 위한 것이 [도 2b]이다.
[도 2b] 는 본 발명의 악성 코드/탐지 제거하는 절차 요약도이다. 이를 간단 히 설명하면, PC의 비정상 징후를 자동/수동적 방법으로 인지되면, 전자 MARK 변조 여부를 점검 통해 일차적으로 악성 변조 파일을 검색하고(S23), 이차적으로 본 발명의 각 종 악성 코드 탐지/제거 알고리즘(S23, S24)을 통해 악성 코드를 제거하는 과정으로 구성된다.
보다 상세한 도면을 참조하면 설명하면, PC 비정상 징후 통계 발생 판단 단계는 (S220)의 각 비정상 파일 DB, (S230)의 각 비정상 프로세스 DB, (S240)의 통계적 판단 기준 DB를 바탕으로 판별한다. 예를 들면, 특정 백도어 PORT 또는 IP 를 사용하는 프로세스가 발견되었다거나, 시스템의 CPU 또는 메모리가 일정 비율 이상 사용 되는 경우가 그 예일 것이다. (S23)의 전자 MARK 관련 단계는 전자 MARK 생성 알고리즘에 맞게 생성된 것인지 확인하는 단계이다. 전자 MARK 변조된 파일이 악성 코드 DB에 존재하는 경우 일반적인 악성 코드를 제거알고리즘(S25)[도 13]을 적용한다.
악성 코드 DB에 존재하지 않는 경우, 본 발명의 [도 3b]와 같은 탐지 방식으로 작동하는 [도 10] 등을 수행함으로써, 악성 코드를 탐지하게 된다.
한편, 위 과정에서 각 파일에 전자 MARK 삽입 통한 파일 무결성 점검 대신, 전자 MARK 값 또는 파일 무결성 및 주요 속성 값을 포함하는 정보의 파일을 별도의 파일 또는 DB로 따로 저장하고, 전체적 작동 개념은 위와 같은 유사 방식을 적용하는 수단이 본 발명에 더 포함될 수 있다.
[도 3a] 는 일반 바이러스 백신의 악성 코드 탐지 방식에 관한 것이다. 일반 바이러스 백신은 (S30)의 내용처럼 정적 DB 기반으로 악성 코드를 탐지는 Agent 솔 루션과 네트워크 트래픽 관점에서는 악성 코드 감염 PC IP만을 탐지하는 한계를 지닌 네트워크 연동 솔루션이 존재함을(S31) 설명한 것이다.
[도 3b] 는 본 발명의 악성코드 탐지 방식을 설명한 것이다. 본 방식은 일차적으로 전자 MARK 방식으로 기본 탐지하고, 이차적으로 파일의 보다 다양한 속성(파일 생성/수정 시간, 파일 위치 등)기반으로 신종 파일을 탐지하고(S32), 통계적 기법으로 악성 코드를 추출하며(S33), 행동 특성 기반으로 바이러스 감염 PC IP 탐지는 물론 악성 코드 프로세스를 탐지하고 제거해주는 역할을 수행함을 그 특징으로 한다.(S34)
보다 상세한 도면을 참조하여 추가 설명하면,[도 8a]는 파일 원본(S80)에 부여되는 MARK 는 파일 MARK(S81)(S83) 와 패치 MARK(S82)(S84)로 구분된다. 파일 MARK 는 글자 그대로 관리 대상 파일에 기본적으로 붙는 파일이며, 패치 MARK 는 패치 관련 파일에 국한해서 붙이는 MARK 이다.
파일 MARK 안에는 파일명, 파일 생성 날짜, 파일 수정 날짜, 파일 크기, 파일 해쉬값, 전자 MARK 삽입 날짜, MARK 업데이트 날짜, PC 사용자 비밀키로 암호화한 해쉬값을 포함하는 것을 그 특징으로 한다. 특히, 파일 생성 날짜와 파일 수정 날짜라는 MARK 정보를 시스템 OS에서 제공하는 정보와 별도로 저장 관리함으로써, 해커가 파일의 속성을 변조 통해, [도 13]의 (S130)과정상의 최신 생성 코드 여부를 판단하는데 혼돈을 부여하는 행위를 사전 방지하는 목적을 지닌다.
패치 MARK 안에는 각 패치 번호, 선행 패치 필요 번호, 패치 정보 해쉬값, 패치 정보해쉬값을 특정 관리자의 비밀키로 암호화한 값 등을 포함하는 것을 그 특 징으로 한다. 위 정보 중 특히, 사용자 또는 관리자 비밀키로 해쉬값을 암호화하는 행위는 전자 MARK 의 복제 사용을 방지하는 핵심 역할을 수행한다.
[도 3c] 는 기존 백신(S35) 및 본 발명(S36)의 악성 코드 탐지/제거/치료 가능 영역 비교에 관한 것이다. 기존 솔루션은 악성 코드 내재 실행 파일(S352)과 비실행 파일에 첨부된 바이러스(S352), 다양한 경로로 수집한 악성 정보 DB 에 존재하는 악성 코드 패턴 기반(S353)으로 탐지/제거/치료 가능한데 비해, 본 발명은 실행 가능한 형식(예, 확장자 *.EXE, *.VBS 등)에 대해 새로운 악성 파일 판단 및 관리 기법을 통해 보다 신속하게 신종 악성 코드(S361)여부를 판단함은 물론, 애매모호한 악성 패턴 파일은 의심 파일 DB[도 22]로 별도 관리하고 통계적 분석[도 24] 통해 탐지하고, 새로운 악성 파일 제거 알고리즘[도 10]을 통해 기 존 악성 코드 속성 변형 파일(S362),악성 코드 배후 조정 파일(S363) 등도 포괄적으로 탐지/치료/차단 가능하다. 이를 보다 쉽게 표현하면 아래 표와 같다. 한편, 본 발명은 비실행파일(예를 들면, 문서 형식 파일 등)안에 존재하는 악성 코드의 실행의 탐지하고, 패킷 차단은 가능하지만, 악성 코드를 제거하지 못하는 단점이 존재한다.
Figure 112006500005921-PAT00002
[도 4a] 는 일반 패치 관리 솔루션 작동 절차도에 관한 것이다. 상기 설명한 것처럼, 현재 일반적인 패치 관리 시스템은 인터넷 접속 웹 통신(HTTP)트래픽을 모니터링하여 Active-X 등을 통해 자동 Agent 를 설치 유도하는 방식이다(S41). 그리고 각 시스템의 패치 수준을 자체 패치 관련 파일 속성, 레지스트리 값 속성 기반으로 패치 수준을 판단하고 신규 패치를 다운로드 하는 기법인 것이다.(S42)
[도 4b] 는 본 발명의 패치 관리 시스템 작동 절차도에 관한 것으로서, [도 4c]에서 설명하는 것처럼, PMS Agent 설치 여부 확인을 웹 트래픽 모니터링 방식이 아니라, 인터넷으로 흐르는 다양한 트래픽 모니터링(S432)과 Agent 설치 IP 목록 DB 일치성 점검(S433)(S431) 통해 불일치시 인터넷 접속을 제한(S434)하여 Agent 설치를 유도하는 방식이다. 또한 패치 수준을 최근 패치 파일 MARK 속성 기반으로 확인토록 하여(S44) 최근 패치 이력을 훼손 불가토록 구성하여 패치의 안정성을 꿰한 것을 핵심 특징이다. 이와 같이 강제적인 본 발명의 Agent 설치 기법 제공을 통해 본 발명은 아래 [도 5]와 같은 상호 작용 기능을 원활하게 수행 가능하게 된다.
[도 4c]는 일반 패치 관리 솔루션과 본 발명이 제안하는 패치 관리 솔루션에 관한 것이다. 상세 설명은 상기 설명되어 중복 설명 제거 차원에서 생략한다.
[도 5] 는 본 발명의 전체적인 통합 보안 시스템 구축/작동 모델도이다. 크게 고객 전산실 영역(S51), 패치 공인 사이트 영역(S52), Honey Pot 센터 영역(S53), 중앙 통제 센터 영역(S54)으로 나누어진다.
고객 전산실 영역은 단지 본 발명의 Agent 설치 대상인 일반 PC(S511)와 악성 트래픽을 흡수하고 신종 악성 코드를 조기 경보 역할을 수행하는 Honey Pot PC(S512), 고객 전체 PC상에 설치된 Agent 수행 정책 DB(S515)를 제공/관리하는 Local Manager 서버(S513), 평시 패치 공인 사이트(S52)에서 패치 파일을 다운받아 DB 형식으로 저장 관리하는 Local 패치 서버(S514), 패치를 제어하는 패치제어시스템(S516)으로 구성하게 하여 N/W 인터넷 구간 장애시에도 패치 파일 무단 배포라는 저작권법 위반 없이 패치를 원활하게 제공 가능한 구축 모델을 제시하는 것을 특징으로 한다.
패치 공인 사이트는 일반적으로 각 응용프로그램별 패치 공인 서버(S52)를 의미한다.
Honey Pot 센터(S53)는 본 발명에서 악성 트래픽 분석 및 악성 코드 조기 출현 경보와 같은 Honey Pot 기능을 주로 하는 전산 센터이다. 이 시스템의 핵심 작 동방법은 [도 16]에서 상세 설명한다. 한편, 본 센터는 트래픽 흡수 센터로 역할을 수행하기 위해서 전국 서비스를 제공하는 인터넷 업체의 경우 각 지역 Local 센터에 분산하여 센터 운영하는 모델이 포함될 수 있다.
마지막으로 중앙 통제 센터(S54)는 각 PC 의 Agent 정책(S515) 및 각 Local Manager 의 정책 DB(S515)(S541)를 업데이트 해주는 역할 수행은 물론 각 고객별 및 Honey Pot 센터(S53)으로부터 신고 접수된 각 종 이벤트를 과학적 기법으로 통계(도 24)를 생성하여, 기술적/통계적 기법으로 악성 코드 DB (도22,도23)를 업데이트하는 기능을 제공한다.
한편, Agent 와 Local Manager 서버, 중앙통제서버 사이 상호 작용을 개략적으로 설명하면, 각 Agent 는 Local Manager 서버의 지시에 의거 비정상 파일 및 프로세스를 탐지/제거하고, 의심 파일 및 프로세스 발생시 Local Manager 서버에게 신고하며, 또한 자체적인 보안 점검 기능 통해 보안 패치 부족, 파일 복구 필요 사건 발생, 전자 MARK 생성 필요 발생 등 요구사항 발생시 Local Manager 서버에게 관련 파일 등의 정보를 제공받아 스스로 보안 관리하는 기능을 수행한다. 이때, Local Manager 서버는 기본적으로 각 Agent가 하는 상기 설명 기능은 모두 포함하며, 부가적으로 Agent 단독으로 비정상 파일 및 프로세스를 판단하기 힘든 경우, 중앙통제서버에게 문의하여 통계적 기법으로 여러 Agent 로부터 수집된 정보 통해 보다 객관적이고 정확한 판단 기준을 창출하여, Local 정책 DB[도 18]를 지속적으로 업데이트한다. 또한 평시 보안 패치 파일, 중요 파일 , 전자 MARK 정보를 저장해 놓음으로써 각 Agent 의 파일 변조에 대비하는 역할을 수행하며, 각 Agent 에 대한 라이센스 인증 역할을 수행한다. 또한 Local Manager 서버는 중앙통제서버와 통신을 통해 각종 신고 접수 정보를 보고하며, 통계적 기준 DB 및 Global 정책 DB를 업데이트 받는다. 한편, 중앙 통제 서버는 각 Local Manager 서버 및 Agent 의 라이센스를 인증 관리하며, 의심 신고 접수 내용을 기반으로 정상 파일 과 비정상 파일 등을 구분해 내는 정책 DB 관리 역할을 수행한다.
[도 6] 은 본 발명의 Agent 와 Manager 의 각 구성 모듈의 개념도이다.
각 Agent 는 라이센스 인증 모듈, 기본 보안 관리부, 악성 코드 탐지/제거부, agent 작동 정책 관리 모듈로 나누어진다. 각 모듈은 (S60)과 같은 구성요소를 가짐을 그 특징으로 한다. Local Manager 서버 또는 중앙 통제 센터에 해당되는 (S61)은 (S60)의 기능은 포함하고, 추가적으로 악성 코드 판단 통계 모듈 및 Agent 중앙 정책 DB를 업데이트 하는 역할을 수행함을 그 특징으로 한다.
추가적으로, 각 Agent(S60)의 모듈별 기능을 좀더 상세히 설명하면,
라이센스 인증 모듈은 [도 19]와 같은 정보를 기반으로 Agent 실행권한 인증은 물론, 비정상 이벤트 발생시 통보할 Manager IP, 패치필요시 패치 서버 IP 등을 포함함을 그 특징으로 한다.
기본 보안 관리부는 악성 코드의 설치시 그 탐지를 용이하게 하는 환경을 조성하는 일종의 사전 대비 역할을 수행하는 것으로서, 전자 MARK 부여 모듈, 패치 관리 모듈, 무결성 점검 모듈로 구성되는 것을 극 특징으로 한다.
악성 코드 탐지/제거부는 파일/프로세스/레지스트리 정책 등의 DB 바탕으로 신속하게 악성 코드를 탐지하고 제거하는 실제적 역할을 수행하는 기능을 한다. Agent 작동 정책 관리 모듈은 각 Agent가 정상적인 기능을 수행하는데 핵심정보인 정책 DB를 Local Manager 서버로부터 다운받는 역할을 수행한다.
추가적으로, Manager (S61)의 모듈별은 상기 각 Agent 모듈 외에 패치 관리부와 악성 코드 판단 통계 모듈, 라이센스 인증 관리부, Manager 정책 관리 모듈 등이 추가로 포함된다.
라이센스 관리/인증부는 각 Agent의 실행 권한 인증을 수행하며, 또한 Manager의 실행권한을 중앙 통제서버로부터 인증을 받는 기능을 수행한다.
패치 관리부는 패치 파일 DB를 제공관리하는 패치 제공 서버 역할을 수행하며, 악성 코드 판단 통계 모듈은 각 Agent로부터 신고된 정보를 통계내고, 필요시 중앙 센터 서버로 전송하는 역할을 수행하며, Manager 작동 정책 관리 모듈은 Global 정책 DB, Local 정책 DB 로 분리하여 작동됨으로써, 각 Agent 에게 보다 정밀한 제어를 가능하게 되는 특징을 지닌다.
[도 7] 은 시스템의 주요 파일을 보호하기 위해서 전자 MARK 를 생성/삽입하는 과정을 설명한 것이다. 사용자는 특히 중요 파일에 전자 MARK를 정기적으로 삽입 및 업데이트 받음으로써, 악성 코드 발생 시 즉각 발견 할 수 있는 장점을 가지는 특징을 지니고 있다. 한편, 본 발명에서 시스템의 모든 파일에 대해 전자 MARK를 삽입함은 시스템 자원의 효율적 사용 측면에서 바람직하지 않으므로, [도 20]의 (S206)설정 정보에 국한한 파일에 한하여 전자 MARK를 정상확인 및 업데이트 관리함이 바람직하다.
[도 8a] 는 원본 파일(A)에 파일 MARK를 부여한 구조도이다. 본 구조도의 핵 심 특징은 파일 MARK를 원본 파일 끝에 붙임으로써, 원본파일의 고유 기능에 아무런 영향도 주지 않도록 했다는 점이다. 또한 이 파일 MARK는 대부분 파일형식에 독립적으로 적용 가능하여 일반적인 Water-Marking 방식과 달리 다양한 형식의 파일 변조 여부를 쉽게 점검 가능한 특징을 지니게 하였다.
한편, 본 발명시스템에서 파일 MARK 는 새로운 악성 코드 감염이 자주 발생하는 각 OS 별 중요 디렉토리의 모든 파일에 대해서 전자 MARK를 삽입 및 중점 관리하는데 사용된다. OS 별 중요 디렉토리의 예는 아래와 같다.
한편, [도 8a] 관련 상세 용어의 설명은 아래와 같다.
- 원본 파일 : 시스템 자체 최초 설치 또는 업데이트 시 제조사가 제공하는 파일
- 전자 MARK Header : 전자 MARK의 시작을 알려주는 부분
- 파일명 : 원본 파일 설명하는 파일 고유 이름으로서. 임의 변경 불가 부분임.
- 파일 생성 날짜 : 원본 파일이 설치된 날짜를 의미
- 파일 수정 날자 : 원본 파일이 수정된 날짜를 의미
- 파일 크기 : 원본 파일 크기(Byte 수)를 의미
- 파일 해쉬값 : 값 (A+B+C+D+E+F=G)를 해쉬함수로 축약한 값. Hash(G)값
- MARK 삽입날짜 : 파일 MARK 를 최초 삽입한 날짜
- MARK 업데이트 날짜 : 파일 MARK를 업데이트한 이력을 기록한 날짜
- 파일 해쉬 암호한 값 : Hash(G+U+I)를 수행한 값을 PC 사용자 또는 관리자 비밀키로 암호화한 값
또한, 전자 MARK 의 값 내용에는 고객의 비밀키 값을 이용하여 암호화된 MARK를 삽입함으로써, 기존의 파일 무결성 DB 를 파일과 별도로 두어 보안 관리할 경우, 파일 무결성 DB의 훼손과 변조 발생시 인지 불가한 문제를 극복하였다.
그 결과 어떠한 파일 변조 탐지를 우회하기 위한 해킹에도 대응 가능하게 한 특징을 지니고 있다.
[도 8b]는 패치 파일에 패치 MARK를 부여한 구조도이다. 본 구조도의 핵심 특징은 패치 MARK 또한 파일 MARK와 마찬가지로 파일 끝에 붙임으로써, 다양한 형식의 파일에 적용 가능하며, 패치 원본파일의 고유 기능에 아무런 영향도 주지 않도록 했다는 점이다.
[도 8b] 관련 상세 용어의 설명은 아래와 같다.
- 원본 파일 : 시스템 자체 최초 설치 또는 업데이트 시 제조사가 제공하는 파일
- 파일 MARK : 상기 [도 8a]에서 설명한 파일 MARK
- 패치 MARK 헤더 : 패치 MARK의 시작을 의미하는 값
- 패치 번호 : 각 OS별 패치 번호를 의미
- 패치 출시 일자 : 패치 파일이 출시된 일자를 의미
- 선행 패치 필요 번호 : 본 패치 파일이 정상적으로 설치되기 위해서 반드시 선행되어야 하는 패치 번호
- 패치 정보 해쉬값 : 값 (A+B+C+D+E+F=G)를 해쉬함수로 축약한 값. Hash(G) 값
- 패치 정보 해쉬값을 암호화한 값 : 패치 정보 해쉬값을 패치 제공 서버의 관리자 비밀키로 암호화한 값.
- 패치 MARK 부여 일자 : 패치 파일을 수행하고 패치 MARK 부여 일자
- 패치 MARK 끝 : 패치 MARK 정보의 끝을 의미하는 값
[도 9] 은 본 발명의 악성 코드 탐지/제거 프로그램의 구성 요소간 상호 작용도에 관한 것이다. 전체적으로 보면, 우선 PC 사용자는 전자 MARK 업데이트 알고리즘을 통해 자신의 중요 파일을 관리하고(S90), 비정상 징후 발생 발견 시(S91), 본 발명의 Agent 가 실행된다. 그러면, Agent 는 삽입된 전자 MARK 값을 자체 MARK 타당성 점검 및 DB 의 전자 MARK 타당성 점검(S92)을 통해 MARK 변형 정보를 파악하고, MARK 업데이트 알고리즘에 의해서 MARK 부재 파일 및 기존 MARK된 파일은 알고리즘 업데이트 한다.[S94] 그리고, DB 기반으로 찾기 힘든 악성 파일은 신종 악성 코드 탐지/제거 알고리즘 기반으로 수행한다. (S98)[도 10]
마지막으로도 악성 코드 판단이 안되는 경우, 기술적 통계적 기법으로 비정상/정상 판별을 통해 본 과정이 완성된다.(S99). 본 과정의 특징은 전자 MARK 기반으로 우선 변형된 파일을 탐지하고, 발견 불가 시 아래의 새로운 알고리즘 [도 10]과정을 수행하고, 예외적으로 처리 힘든 악성 코드는 중앙 통제센터에서 통계적 기법으로 신속하게 판단하여 DB 업데이트 및 작동하는 것을 그 특징으로 한다.
[도 10] 은 신종 악성 파일 탐지/제거 모듈 작동 절차도이다.
전체적으로 본 과정은 기초 보안 설정 수행 단계(S100); 비정상 프로세스 탐 지/제거 단계(S101); 비정상 파일 탐지/제거 단계(S103); 레지스트리 탐지/제거 모듈 수행 단계(S104)로 진행되며, 무결성 점검 모듈과 부가 DB 점검 모듈은 간헐적으로 수행된다.(S105)(S106)
본 과정은 상기 [도 2b] 과정의 (S24)과정의 일부로서 자동되는데, 가장 큰 핵심 특징은 전자 MARK 기반으로 탐지 힘든 경우, 하기 경험적 통계적 사실 기반으로 발안된 "기초 보안 설정 환경 파일"([도 20]의 아래 설명 참조)을 기반으로 작동하는 비정상 파일 탐지/제거 단계(S103)이다. 기타 각 단계별 특징은 아래와 같이 별도 설명한다.
[도 11] 은 [기초 보안 설정 모듈] 작동에 관한 절차도로서, 악성 코드 탐지/제거 후 재감염 되지 않기 위해 꼭 필요한 단계이다. 이 절차도는 기본적으로 [도 10]의 (S100)과정에서 사용된다. 본 기초 보안 설정 요소에는 통신 절체 여부 속성, 파일 최신 업데이트 수행 여부 속성, administrator 패스워드 변경 수행 여부 속성, 공유폴더 제거 수행 여부 속성 를 포함함을 그 특징으로 한다.
[도 12]는 비정상 프로세스 탐지/제거 모듈 작동 절차도이다. 우선 각 시스템별 현재 프로세스 정보를 읽는다.(S120) 그리고 Agent 실행할 환경 DB를 읽는다.(S121). 그리고, 환경 DB 기준으로 정상이 아닌 프로세스를 추출(S123)하고 KILL(S124) 시도하여, KILL 후 프로세스 재생성 여부에 따라 [도면 12]의 (S125)로 본 과정이 완성된다. 본 과정의 특징은 비정상 프로세스의 판별 기준이 이미 알려진 악성 프로세스명이 아니라, [도 20]의 설명부분에서 언급하고 있는 경험적 사실에 의거 발견된 "악성 프로세스 추출 기준 환경파일(S205)"에 의해 작동된다는 것 이 그 특징이다.
[도 13]은 비정상 파일 검색/제거 모듈 절차도에 관한 것으로서, 우선 파일 검색 환경 파일에 해당되는 [도 19]정보를 읽는다.(S130) 그리고 나서 비정상 파일 DB와 일치값 존재성을 검토(S131)하고, 일치 시 해당 파일 확장자 변경을 시도하며, 확장자 변경 불가시, "확장자 변경 불가"유형의 의심파일 DB로 등록(S133)한다. 이와 같은 비정상 파일의 확장자 변경 시도가 마치면, 다음은 [도 14]의 악성 레지스트리 탐지/제거 모듈을 수행한다.(S135). 본 과정은 매번 파일 검사 수행 시 동적으로 의심파일 DB를 추가 관리되게 하여 파일의 통계적 비정상 파일의 판단을 용이하게 하는 특징이 존재한다.
[도 14]는 악성 레지스트리 탐지/제거 모듈 작동 절차도에 관한 것으로서, 경험적 관점에서 프로그램의 자동 시작과 인터넷 익스플로러 등의 악성 코드 주 사용 레지스트리를 사전에 주요 감시 대상(S140)에 등록되게 하여 악성 레지스트리를 효과적으로 탐지/제거 가능한 특징을 지닌다. [도 12]와 [도 13] 과정에서 의심파일로 등록되는 정보와 감시 대상 레지스트리 안의 정보(S140)의 일치성 상관분석 통해 보다 높은 정확도로 신종 악성 코드를 판별 지원한다. 악성 코드로 추정되는 레지스트리 해당 값이 존재하는 경우, 향후 복구를 위해서 레지스트리 백업(S142)하고, 일반적 레지스트리 삭제 기법에 따라 악성레지스트리 정보를 삭제하는 과정을 그치게 된다.(S143) 이 때 레지스트리 삭제 불가의 경우, 삭제 정보 관련 프로세스를 죽이기 시도하고(S144), 죽이기 실패 시 "레지스트리 삭제 실패 유형의 에서 의심파일 DB에 등록 관리된다.(S145)
[도 15]는 N/W 안정화 모듈 작동 절차도에 관한 것이다. 악성 코드가 범람하는 경우, 고객 내부 N/W의 대역폭(Bandwidth) 부족 현상이 나타난다. 이런 경우를 대비하기 위해서 악성 트래픽의 목적지를 특정 IP로 지정 필요하다 이 기능을 수행하는 것이 본 과정이다. 본 과정의 상세 작동 절차를 설명하면, 우선 N/W 통신 DB를 읽음으로써(S150), 어떤 기준으로 각 실행된 프로세스의 N/W 발생 패킷의 비정상 여부를 판단하는 기준이 수립된다.(S151).이 기준에 의거 N/W 통신의 비정상 상황이 발생하는 경우, 해당 프로세스의 트래픽만을 Honey Pot IP로 변경하거나, 자신의 PC IP로 변경하여 네트워크로의 전이를 막을 수 있는 것이 핵심 특징이다.(S154). 한편, Honey Pot IP 로 악성 트래픽을 전송함에 의해 조기 경보 기능을 지원하는 역할도 부가적으로 지원함을 그 특징으로 한다.
[도 16]은 Honey Pot Agent 작동 개념도에 관한 것이다.
Honey Pot PC는 초기 OS 설치부터 PC 일반 이용 목적으로 사용되지 않도록 특별 관리되어 진다. 즉, 초기 OS 설치 시 악성 웜 등으로 인한 변조 가능성 높은 파일을 선정하여 전자 MARK를 부여하는 작업을 수행하며(S160), 또한 Honey Pot Agent 의 자동 실행 조건 만족 시 Agent 가 실행되어(S162), 전자 MARK 기반으로 파일 정상 여부를 판단하고, 그 탐지 결과 정보가 신속하게 중앙 센터 DB로 전달되는 개념을 가진 것을 그 특징으로 한다. 또한 부가적으로 악성 트래픽을 흡수 및 악성 트래픽 유발 IP를 관리자에게 보고하는 일종의 침입탐지시스템 역할도 지원함을 그 특징으로 한다..
[도 17a]은 일반적 패치 관리 시스템의 작동 개념도이다. 상기 언급한 것처 럼 일반적인 패치관리시스템은 인터넷 웹(HTTP)접속 트래픽을 가로채기하여(S170), PMS Agent 설치 사실이 인지되면 인터넷 사용을 허가하고 인지되지 않으면 패치관리 Agent 설치를 권고하는 가짜 패킷(fake packet)을 보내어 사용자에게 패치관리 Agent (Active - X)프로그램을 설치 유도한다. 그리고, 패치 관리 Agent가 설치되면 정기적으로 패치 관리 Local Manager 프로그램과 통신하면서 현재 최근 패치 파일 정보 및 레지스트리 정보로부터 자산의 PC 패치 수준을 파악하고(S174) 추가 패치 발생 인지하여(S175) 패치 파일 다운로드 전송 요청 및 설치 자동 수행된다(S176)
[도 17b]은 본 발명의 패치 관리 시스템의 작동 개념도이다. 상기 언급한 것처럼 본 패치관리 Agent 설치 유도 특징은 인터넷으로 흐르는 http외의 트래픽도 감지 가능하도록 구성하는데 있다. 즉, 관리자가 인터넷 접속 모니터링 대상 서비스를 임의로 정의하고 인터넷 트래픽 사용 포터 감시 시스템을 별도로 둠은 물론, Local Manager 서버는 패치 관리 Agent 설치 PC로부터 정기적으로 패치 설치 IP정보를 수신받도록 작동 구성한다.(P170) 이 상태에서 특정 사용자가 웹(http) 통신외의 어떠한 클라이언트 프로그램을 사용하더라도, 해당 클라이언트 사용 포터(PORT)정보를 모니터링하고, (P170)에서 수집한 IP 정보에 포함되어 있는지 여부를 점검하여(P175), 목록에 부재시 (P176)과 같이 리셋(Reset) 신호를 날려 인터넷 접속을 차단하는 작동 방식으로 구성되는 특징을 지닌다. 또한 마찬가지로 Agent 가 설치되었다 할지라도 패치 미약한 IP의 경우 선택적 인터넷 제한 가능토록 구성되었다.[P177]
[도 17c]은 본 발명의 패치관리시스템 구현에 있어서, 패치의 추가 필요 여부를 판단하는 새로운 방법에 관한 것이다. 즉, 기존의 패치관리 솔루션은 PC의 패치 추가 필요 정보를 자신의 시스템상의 패치 관련 파일 정보 및 레지스트리 정보를 기반으로 탐지하고, 패치 관리를 수행하고 있다. 이 경우 보안상 문제점은 패치 관련 파일을 변형하고 레지스트리 정보를 변형하면, 패치 수행은 오동작 가능하게 되는 약점이 존재한다. 그래서 본 발명에서 제시하는 것은 (Q173)∼(Q175)에서 제시하는 것처럼 평시 각 패치파일에 대한 전자 MARK 부여 통해 패치 파일 변조 여부도 파악하고, 보다 믿을 많안 패치 수행 정보를 확보가능게 하여 패치 관리시스템의 오동작을 예방가능하도록 구성하였다. 전체적 작동 절차를 설명하면, 최초 시스템 OS 설치 후(Q170), 패치 Agent 가 [도 17b]에 의거 설치되며(Q171), 패치 Agent 는 패치 정책에 의해서 패치 파일을 다운 받아 실행된다(Q172). 그리고 일정 시간 주기로 Honey Pot Agent 수행 통한 패치 파일에 대한 패치 MARK가 부여된다.[Q173] 그러면, 향후 새로운 패치가 출현시 최근 패치 MARK 가 부여된 파일 정보를 기반으로 패치 날짜 및 버전을 명확히 파악가능하며(Q175), 패치 파일의 훼손시 그 사실을 즉각 관리자 인지가능하므로, 해커의 자동 패치 솔루션에 대한 공격을 예방 가능한 효과를 지니는 특징을 가지고 있다.
[도 18]은 본 발명의 프로그램(Agent, Manager, Honey Pot 등)이 작동하는 기반 정책을 제공하는 총괄 정책 DB 구조도이다. 정책 DB는 크게 모든 고객에게 적용되는 GLOBAL 정책 DB와 특정 고객별로 별도로 제공되는 LOCAL 정책 DB로 구분된다. 그리고 GLOBAL 정책 DB 구성요소는 Agent 작동환경 DB[도 20]과 파일 DB[도 21], 프로세스 DB[도 22], 레지스트리 DB[도 26], Global 패치 DB[도 21]로 구성되며, LOCAL 정책 DB 구성요소는 GLOBAL 정책 DB에 Local 패치 DB가 추가되는 특징을 지니고 있다. 한편, GLOBAL 정책 DB와 LOCAL 정책 DB로 이중화하여 관리하게 함으로써, 특정 고객별로 차단 대상 파일 및 프로세스 등을 정밀 제어 가능하여, 본 발명의 Agent를 통해 각 고객사의 보안 정책을 효과적으로 수행 지원 가능한 특징을 지니고 있다.
[도 19]는 본 발명의 Agent 인증 DB 구조도이다. 이 인증 DB는 중앙 통제 센터에서 본 발명의 프로그램 구매 고객의 라이센스 관리 및 제어를 위해서 필요한 정보를 포함하고 있다. 이러한 정보의 구성 요소에는 라이센스 번호, 사용 유효 기간, Agent 설치 N/W 대역 정보, Manager IP 정보, 패치 서버 IP 정보, Honey Pot IP 정보 를 포함함이 바람직하다.
[도 20]은 본 발명의 Agent의 작동 환경 DB 구도도의 한 예이다. 기초 보안 설정 환경 파일을 기반으로 [도 10]의 (S100)과 [도 11]의 (S110)이 수행되며, 기본 DB/부가 DB(S200)(S201)정보를 바탕으로 [도 10]의 (S101)과 [도 12]의 (S121)과정이 수행된다.
기초 보안 설정 환경 파일은 악성 코드의 제거 과정에 있어서, 아무런 사전 보안 조치 없이 악성 코드만 제거하는 경우 재감염이 발생하므로, 악성코드를 탐지/제거하는 본 발명의 알고리즘을 수행하기 이전에 일반적으로 필요시 되는 사전 보안 사전 조치에 대한 선택적 환경 파일이다. 각 환경 파일에는 보안 패치 수행 여부, 패치 수행 여부 및 수행 필수 패치, 관리자 패스워드 변경 여부 및 변경 패스 워드 값, 공유폴더 제거 수행 여부, N/W 안정화 모듈[도 15] 수행 여부 에 대한 설정값으로 구성됨을 그 특징으로 한다.
기본 DB는 아래 [도 22]이하에서 상세 설명된 DB 내용으로, 알고리즘 과정상 기존에 정상으로 판별되거나 비정상으로 판별된 DB 내용을 참조하게 하여 보다 효과적이며 오판 없이 악성 코드를 탐지/제거를 지원하는 역할을 수행한다.
부가 DB는 통계적 관점에서 신종 악성 코드를 탐지/제거 지원하는 역할을 수행한다.
그리고, 악성 의심 파일 추출 기본 환경 파일(S203)은 신종 악성 코드를 탐지영역을 정의하는 핵심 파일로서, [도 13]의 (S130)과정에서 신종 악성 파일을 신속 탐지하는 기준을 제시한다.
예를 들면, 악성코드의 경험적 통계적 발견한 사실은 "악성 파일은 확장자가 *.EXE , *.BAT , *.DLL ,*.INIT , *.SCRIPTS 형식인 경우가 많다"는 사실을 "검색파일 확장자 값"에서 반영하여 정의한다. 또한 신종 악성 파일의 경험적 통계적 발견한 사실인 "악성코드의 파일 생성/수정 시간 속성은 악성 코드 발생시간으로부터 최근 30일 이내의 설치된 파일 속성을 가진다"을 [도 13]의 (S130)에서 활용하여 신속하게 악성 신종 코드를 탐지하는 결정적 역할을 지원한다.
또한 악성 코드가 주로 설치되는 경험적 통계적 발견한 사실인 "악성 코드의 설치폴더는 대부분 아래와 같은 폴더에 설치된다"라는 점을 활용 가능하게 하는 역할을 수행한다.
○ 윈도우
- C:₩WINDOWS
- C:₩WINNT,C:₩WINNT₩SYSTEM,
- C:₩WINNT₩SYSTEM32,
- C:₩WINDOWS₩SYSTEM,
- C:₩WINDOWS₩SYSTEM32,
- C:₩ ,
- D:₩,
- 사용자 정의 공유 폴더 ,
- "시작 프로그램 폴더"
○ 유닉스
- /usr/sbin*
- /sbin*
- /usr/local/bin/*
- /etc/rc*
- /tmp/*
- /dev/*
- 원격 공유된(mounted) 디렉토리
한편, 레지스트리 검색 환경 파일에 해당되는 (S204)는 각종 스파이웨어, 웜바이러스 감염시 레지스트리에 등록되는 패턴 DB 정보로서, [도 14]의 (S140)과정 수행 환경 정보를 제공한다.
한편, 악성 프로세스 추출 기준 환경파일(S205)은 [도 15]의 (S152)의 판별 기준을 제시하는 환경파일이다. 이 환경파일에 따라 각 수행 프로세스가 발생하는 통신세션이 정상인지 비정상인지 판별된다.
예로 경험적 통계적 발견한 사실의 예로 설명하면, 비정상프로세스 CPU /메모리 기준 속성(S243)(S244)은 흔히 비정상 프로세스들이 실행 시 CPU , 메모리를 많이 차지하는 특징을 기반으로 비정상 파일정보를 획득하기 위한 설정이다. 기본 설정으로는 cpu 는 15% 이상 , 메모리는TOP 1-5위 프로세스의 평균 메모리의 3배인 이상인 경우를 비정상 프로세스로 정의한다. 만일 하나의 프로세스가 CPU를 50% 이상 차지하여, 본 발명의 알고리즘을 진행하는데 중대 차질이 발생하는 경우, 해당 프로세스이름은 정상 프로세스이든, 비정상프로세스이든 관계없이 KILL 시도하고 만일 KILL 실패 시에는 확장자 변경 시도하며 이 또한 실패시 관리자에게 통보한다. 여기서 제시한 판단 기준 수치는 중앙통제센터에서 상황 변경 시 수정관리된다.
또한, 통신 세션관점에서 통계적 발견한 사실의 예를 설명하면,
1. port 기반(S251)은 특정 백도어 port DB(6667/TCP , 12345/TCP 등)의 정보완 연계하여 해당 PORT 로 세션 연결 또는 시도 발생시, 또는 PORT 열림(OPEN), 대기상태(Listening) 시에 관리자에게 즉각 경보하는 역할을 수행한다. 또한 25/tcp , 110/tcp,udp 등 메일관련 연결시도가 일시에 특정 횟수(default 상한값 예 = 4 ) 이상 발생시 관리자에게 즉각 통보한다. 이를 통해 시스템의 이상 징후를 보다 빨리 인지 가능하다. 본 설정 임계값 또한 통계적 기법에 의해 관리자 (Manager) 에 의해, 고객별로 지속적으로 수정 최적화 관리된다
2. IP 기반(S252)는 특정 IP 대역(예,BOTNET IP)를 지식 DB 로 관리하여 이와 같은 백도어를 내려주는 IP로 접속 현상 발생시 즉각 경보하는 기능이다. 또한 정상 접속 IP 대역을 지정하여 이외의 IP 로 접속 시 경보하도록 하는 기능도 구현가능하다.
3. TCP FLAG 기반(S253)은 SYN_SENT , RST , ACK 등 netstat 등 수행 결과 나타나는 결과값들 중 SYN_SENT 등 각각의 라인수가 일정 갯수(default 예 , 10개)이상 발생시 이를 경보해주는 역할을 수행한다. 본 설정 임계값 또한 통계적 기법에 의해 관리자(Local Manager 서버 및 중앙 통제 센터) 에 의해, 고객별로 지속적으로 수정 최적화 관리된다
4. 메모리 기반(1050) : 메모리는 일정 기준 이상인 경우(default 예, top 1-5위 프로세스의 평균 메모리의 3배인 이상)경보를 보내며, 또한 메모리 가용량이 본 시스템의 메모리 용량의 2배 이하로 되는 경우 경보를 보낸다.본 설정 임계값 또한 통계적 기법에 의해 관리자(Manager) 에 의해, 고객별로 지속적으로 수정 최적화 관리된다
한편, 시스템 파일 보안 점검 수행 환경 파일 부분(S206)은 평시 시스템의 파일 보안 관리 점검을 수행하는 사전 관련 설정이다. 즉, 제한된 시스템 자원을 사용해야 하는 솔루션 특성상, 평시 어떤 파일 및 어떤 폴더 대상으로 전자 MARK를 삽입하고, 타당성 점검할 것이며, 얼마나 자주 점검할 것인가를 정의하는 환경파일이다. 이 값은 [도 7]의 (S71) 수행 기준을 제시하며, [도 9]의 (S92)과정 수행 시 정보 보조 역할을 수행한다. 또한 [도 16]의 (S160)과정에서 전자 MARK 부여 파일 범위를 제시하며, [도 9]의 (S90)에서 전자 MARK 정상여부 점검 주기를 제시하며,[도 15]의 (S153)에서 Honey Pot IP 정보를 제공하는 역할을 수행한다. 추가적으로, 시스템 파일 보안 점검 수행 환경 파일 부분(S206)에는 악성 의심 파일 추출 기본 환경 파일(S203)을 포함함이 바람직하다.
[도 21]은 본 발명의 패치 DB 구조도이다. 패치 DB는 Global 패치(S21)와 Local 패치 DB(S22)로 나뉘는데, 각 패치 DB는 패치 OS 버전별로 패치 출시 일자 및 패치 파일명, 패치 실행 결과 생성 파일 정보 등이 포함됨이 바람직하다.
한편, Global 패치 DB는 중앙 통제 센터에서 관리/제공하는 패치 정보로서, 패치 파일 자체는 제공하지 않는 것이 Local 패치 DB와의 큰 차이점이다. 이는 저작권 패치 파일 무단 제공이라는 저작권법을 우회하기 위한 방법이다.
한편, Local 패치 DB는 각 고객 관리자가 패치 파일(S214)를 패치 공식 사이트에서 다운 받고, 패치 관련 정보는 중앙 통제 센터의 Global 패치 DB를 참조하여 작동하는 패치 DB이다. Local 패치 DB 안에는 각 고객별로 패치 관리를 보다 정밀하게 제어 지원하기 위해서, 날짜별로 IP별 최신 패치 설치 목록(S215)을 저장함이 바람직하다. 또한 패치관리시스템에서 인터넷 사용 허락의 기준이 되는 필수 패치 번호 목록과 패치 제외 번호를 기본적으로 제공함이 바람직하다.(S216)이 정보는 [도 17b] 와 [도 17c]에서 패치 관리 시스템을 운영하는 핵심 정책역할을 수행한다.
[도 22] 은 본 발명의 파일 DB 구조도의 한 예이다. 파일 DB(S220)는 크게 정상파일 DB와 비정상 파일 DB, 의심 파일 DB로 나눈다. 정상파일 DB는 확실히 정 상인 기술적 정상파일 DB와 통계적으로 정상이라 판단되는 파일 DB로 나뉘며, 비정상 파일 DB는 기술적 비정상 파일 DB와 통계적 비정상 파일 DB로 나눈다. 기술적 정상파일 DB는 컴퓨터 전문가가 정상 파일들에 대한 이름, 위치, 크기, 해쉬값 등을 사전에 DB화한 값들로서, 전자 MARK 값의 부여 등을 통해 정상파일의 변조를 신속 탐지하고, [도 9]의 (S93)과 같은 과정처럼, 본 발명의 알고리즘이 정상 파일이 악성 파일로 오판되어 제거되는 위험을 사전에 방지하는 역할을 수행한다. 통계적 정상파일 DB는 [도 9]와 [도 13] 등과 같은 절차 수행과정에서 신고 접수된 내용을 기반으로 중앙 통제 센터에서 통계적 기준으로 정상/비정상 여부를 판단하여 등록 관리되는 DB 중 정상으로 판별된 파일 DB를 말한다.
한편, 기술적 비정상 파일 DB는 사전에 컴퓨터 전문가 및 기타 관련 백신업체 , 바이러스 정보 수집시스템(일명,HONEY POT)등으로부터 획득한 비정상 파일에 대한 생성 수정 시간, 파일명, 폴더위치, 해쉬값 등의 정보를 정의한 지식 DB 이다. 통계적 비정상 DB는 [도 9]와 [도 13] 등과 같은 절차 수행 과정에서 신고 접수된 내용을 기반으로 중앙 통제 센터에서 통계적 기준으로 정상/비정상 여부를 판단하여 등록 관리되는 DB 중 비정상으로 판별된 파일 DB를 말한다.
한편, 의심 파일 DB라 함은 중앙 통제센터에서 정상파일/비정상 파일로 판별이 어려우면서 각 과정에서 비정상 의심 파일로 신고된 파일 정보를 말한다.
한편, 파일 기본정보(S221)는 MARK 정보와 파일 해쉬정보, 파일 폴더 위치, 생산자 정보 등을 포함함이 바람직하며, 의심 파일 유형(S222)에는 확장자 변경 불가 유형, 파일 삭제 불가 유형, 레지스트리 삭제 불가 유형, 전자 MARK 업데이트 불가 유형, 무결성 변조 피일 유형, MARK 변조 파일 유형을 포함함이 바람직하다.
신고 정보(S223)에는 신고 일자와 신고 건수를 기본적으로 반드시 포함함이 바람직하다.
[도 23]은 본 발명의 프로세스 DB 구조도의 한 예이다. 프로세스 DB는 상기 [도 22]에서 설명한 자료와 개념적으로 유사하므로, 차이점이 뚜렷한 부분만 아래에서 설명한다.
우선, 프로세스 기본 정보는 부모 프로세스명을 별도로 두어 악성 프로세스가 정상프로세스를 배후 조정하는 경우, 추적 가능하게 하는 특징을 지닌다.
[도 24]은 본 발명의 통계적 판단 기준 DB의 구조도의 한 예이다. 통계적 관점에서 악성 코드 판단 기준을 Honey Pot 기준, 신고 건수 기준, CPU 부하 기준, 메모리 부하 기준, N/W 통신 기준을 구성요소로 가지는 특징을 지니고 있다. 여기서, Honey Pot 신고 건수라 함은 각 단말에 설치된 Honey Pot 모듈에서 비정상 파일로 탐지 신고된 건수 및 정보를 기반으로 통계적 분석한 값을 의미하며, 신고 건수는 [도 12]∼[도 14]의 과정에서 의심 파일 DB에 신고된 건수를 의미한다.
기타 CPU 부하 기준 및 메모리 부하 기준, N/W 통신 기준에 대한 상세 설명은 상기 [도 20] 설명 부분의 예시를 참조 바란다.
한편, 각 기준별로 확실히 정상인 범위값과 확실히 비정상인 범위값을 중앙통제센터에서 통계적 연구 통해 결정하며, 그 판단 기준값을 입력 관리한다. 이 기준값에 의해서 [도 22] 및 [도 23]의 통계적 DB 값들이 업데이트 관리된다.
[도 25]는 N/W 통신 DB 구조도의 한 구성 예이다. N/W 통신상 정상/비정상을 판단하는 기준이 되는 요소는 크게 PORT기준, IP 기준, TCP/UDP FLAG 기준값이다. 이 정보를 바탕으로 [도 15]의 (S152)과정이 작동되어 매우 신속하게 새로운 백도어 및 악성 통신도 탐지 가능하게 된다. 보다 상세한 설명은 상기 [도 20]의 설명의 예시부분을 참고한다.
[도 26]은 윈도우의 경우 레지스트리 DB 정보이다. 악성 코드가 자주 설치되는 레지스트리 위치(PATH)와 악성 코드 값 및 알려진 악성 레지스트리 정보 등을 DB로 묶어 놓은 설정 정보이다. 이 정보 중 레지스트리 위치(PATH)값에는 시스템이 자동으로 시작 시 수행되는 주요 레지스트리 위치의 예는 아래와 같다
- HKEY_local_machine₩microsoft₩windows₩current_version₩run
- HKEY_local_machine₩microsoft₩windows₩current_version₩RunServices
- HKEY_local_machine₩microsoft₩windows₩current_version₩RunServicesOnce
- HKEY_current_user₩microsoft₩windows₩current_version₩run
- HKEY_current_user₩microsoft₩windows₩current_version₩RunServices
- HKEY_current_user₩microsoft₩windows₩current_version₩RunServicesOnce
한편, 본 발명의 취지상 위 레지스트리 정보 DB 부분은 본 발명 제품이 윈도우 OS가 아닌 타 OS에 적용될 경우, 프로그램 자동 시작 설정 정보(EX, 유닉스 : /etc/rc*)와 관련된 타 정보로 대체 될수 있다.
이상 설명한 바와 같이, 본 발명은 나날이 증가하는 신종 악성코드 출현 시 사용자가 겪어야 하는 제로데이 기간을 획기적으로 줄여주고, 불특정 다수 대용량 트래픽 공격의 전파를 사전에 막아 인터넷의 가용성 위협을 사전 차단하는 기능을 제공하여 보다 빠른 인터넷 사용 가능한 환경을 조성해주며, 패치 관리 기능 등을 통해 사용자의 편리한 보안 관리 기능을 제공하는 효과를 지닌다. 또한 본 발명의 작동 논리는 모든 OS 에 적용 구현 가능하여, 시스템 및 네트워크 통합보안시스템 구현의 기반 모델을 제공하는 효과를 지닌다.

Claims (10)

  1. 제로데이(무방비 기간, Zero Day) 기간 신속 보안 조치 위한 악성코드 탐지/제거 알고리즘 구현에 있어서,
    악성코드 재감염 방지 위한 기초 보안 설정 모듈 수행 단계와;
    각 파일에 전자 MARK 삽입통한 파일 변조 관리 기법과;
    전자 MARK 및 악성 파일 설치 속성 기반으로 악성 코드 탐지/제거 기법;
    기술적 DB 및 통계적 DB 기반으로 비정상 프로세스 탐지/제거 기법과;
    상기 전자 MARK 값 및 악성 파일 설치 속성, 통계적 판단 기준 DB 등 기반으로 신종 악성 파일 검색/탐지/제거 기법과;
    악성 레지스트리 검색 환경 파일 기반으로 악성 레지스트리 탐지/제거 기법과;
    위 각 단계를 지원하기 Global 정책 DB와 Local 정책 DB로 구분하여 고객별 보다 정밀한 악성 코드 탐지/제거 수행 환경파일을 제공하는 것을 특징으로 하는 악성 코드 탐지/제거 시스템 설계 및 구현 방법
  2. 제 1항에 있어서, 기초 보안 설정 모듈은 최신 보안 패치 수행 여부, 관리자 패스워드 변경 여부 및 변경 패스워드 값, 공유폴더 제거 수행 여부, N/W 안정화 모듈 수행 여부 값을 포함함을 특징으로 하는 악성 코드 재감염 지원하는 환경 파일 구조;
  3. 제 1항의 전자 MARK 의 설계 구현에 있어서,
    전자 정보에는 파일 MARK 와 패치 MARK 로 구성한 것을 특징으로 하는 것과;
    파일 MARK 와 패치 MARK 모두 파일 끝에 부여함으로써, 파일 형식과 독립적으로 대부분 파일에 MARK 가능한 것을 특징으로 하는 파일 MARK 삽입 기법과;
    파일 MARK 삽입 내용에는 파일명, 파일 생성 날짜, 파일 수정 날짜, 파일 크기, 파일 해쉬값, MARK 삽입 날짜, MARK 업데이트 날짜, 사용자의 비밀키로 암호화된 파일 해쉬값을 포함하여 해커의 파일 우회 변조를 근본적으로 막는 특징을 지닌 파일 변조 및 파일 설치 이력 관리 방법;
    패치 MARK 에는 패치 번호, 패치 출시 일자, 선행 패치 필요 번호, 패치 정보 해쉬값, 패치 정보 해쉬값을 관리자의 비밀키로 암호화한 값, 패치 MARK 부여 일자를 포함하게 함으로써, 패치사실을 변조 공격을 차단하고 보다 확실한 패치 관리 시스템 구현을 지원하는 것을 특징으로 하는 패치 MARK 구성 기법;
    전자 MARK 정보를 별도 DB에 원격 저장 통해 MARK의 변조 이중보호하고, MARK 를 안전하게 업데이트 지원하는 MARK 인증 및 부여, 업데이트 관리 기법
  4. 제 3항의 MARK 정보 활용한 Honey Pot Agent 구현 기법에 있어서,
    시스템 주요 파일에 전자 MARK 를 사전 삽입 통한 신종 악성 코드 설치의 신속 탐지가능하게 하는 것을 특징으로 하는 것과; Honey Pot 에 생성/수정된 파일 정보를 중앙 통제 센터로 신속 전송 통해 중앙 통제 센터의 기술적/통계적 악성 파 일 DB 정보 등을 신속 업데이트 지원 가능하게 하여, 결과적으로 본 발명의 Agent가 설치된 시스템을 활용한 조기경보기능을 제공하여, 제로데이(무방비 기간)을 줄이는 것을 지원 가능한 특징을 지닌 Honey Pot Agent 작동 방법;
  5. 제 3항의 MARK 정보 활용한 패치관리시스템(PMS) 구현 기법에 있어서,
    패치 관련 파일에 패치 MARK를 삽입 및 패치 DB를 통한 이중적 패치 정보 관리 통해, 기존의 패치관리시스템의 패치 사실의 악성 변조한 보안 위협을 극복한 것을 특징으로 하는 패치관리 시스템 구현 기법
  6. 제 1항의 기술적 DB 및 통계적 DB 구성과 작동기법에 있어서
    각 DB는 파일 DB, 프로세스 DB 로 구성되는 것과;
    각 파일 DB는 정상 파일 DB, 비정상 파일 DB, 의심 파일 DB로 재구분되는 점과;
    정상 및 비정상 파일 DB는 전자 MARK 및 파일 무결성 등 변조 어려운 파일 정보 기반으로 명확히 관리되는 특징과;
    제 4항의 Honey Pot Agent 으로부터 신고 받은 정보와
    통계적 판단 기준 DB 기반으로 각 탐지/제거 과정에서 의심되는 정보를 의심 파일 DB로 저장하고, 중앙 통제 센터에서 보다 신속/정확하게 악성 파일 및 프로세스를 판별을 도울 수 있도록 설계된 정책 DB 구성 기법
  7. 제 1항 과 6항에 있어서, 통계적 판단 기준 DB 는 각 Agent에서 중앙통제센터로 신고 접수된 신고 건수, CPU 부하, 메모리 부하, N/W 통신상의 (PORT, IP, TCP/UDP 통신 STATE) 정보 기반으로 판단하게 하여, 악성 코드 특징인 과부하 및 백도어 다운로드, 정보유출 공격 특성 정보를 각 Agent 설치자끼리 공동 교환 가능토록 하기 위해, 중앙통제센터에서 정의하는 것을 특징으로 하는 DB 구성 기법
  8. 제 1항에 있어서, 악성 파일 설치 속성 이라 함은
    보안 운영상 경험적 관점에서 발견된 사실인 "악성 파일 설치 폴더 속성, 설치 파일 확장자 속성, 설치 파일 생성/수정 시간 속성, 레지스트리 속성"을 의미하며, 이 발견된 특성을 이용하여 기존의 백신으로는 탐지 불가한 신종 악성 파일을 탐지하고 치료하는 것을 특징으로 하는 신종 악성 파일 탐지/제거 기법
  9. 제 5항에서 제시한 패치 관리시스템의 원할한 적용을 위한 패치 관리 Agent 를 설치 유도하는 하고 보다 정밀한 패치 수준 제어 시스템 구현 기법에 있어서,
    웹(http) 접속 프로그램 사용 않는 시스템에게도 보안 패치 Agent 를 유도 가능하게 하기 위해, 인터넷 접속 길목에서 패치 제어 시스템을 통해 현재 Agent 설치 IP 정보와 웹(http) 이외의 인터넷 접속자 IP 정보를 비교하여, 불일치 IP의 경우 리셋하는 기법; Local 패치 DB와 연동하여 각 Agent 의 패치 수준을 보다 정밀하게 제어 가능한 것을 특징으로 하는 패치 제어 시스템 구축 기법.
  10. 인터넷 서비스 업체가 악성 트래픽 과다로 인한 인터넷 과부하를 방지하는 N/W 안정화 및 조기 경보시스템 작동 기법에 있어서,
    각 고객 또는 각 N/W 노드별 Honey Pot IP 시스템 설치하고, 상기 패치제어시스템을 각 N/W 노드별 설치함으로써, N/W 통신 DB 기준으로 비정상 발생 시, 각 Agent 시스템은 자신의 라우팅 테이블을 백업 후, 악성 트래픽의 라우팅을 Honey Pot IP로 우회토록 변경되어 인터넷 서비스의 백본을 보호함은 물론, 발생 이벤트 정보를 조기 경보 가능하게 하는 N/W 인프라를 근본적으로 보안 지원하는 기법
KR1020060000041A 2005-09-10 2006-01-02 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법 KR20070029540A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20050084413 2005-09-10
KR1020050084413 2005-09-10

Publications (1)

Publication Number Publication Date
KR20070029540A true KR20070029540A (ko) 2007-03-14

Family

ID=38101741

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060000041A KR20070029540A (ko) 2005-09-10 2006-01-02 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법

Country Status (1)

Country Link
KR (1) KR20070029540A (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100897849B1 (ko) * 2007-09-07 2009-05-15 한국전자통신연구원 비정상 프로세스 탐지 방법 및 장치
WO2011027976A2 (ko) * 2009-09-03 2011-03-10 (주)잉카인터넷 해킹 프로세스의 실행 차단방법
KR101048000B1 (ko) * 2009-07-14 2011-07-13 플러스기술주식회사 디도스 공격 감지 및 방어방법
WO2012091341A1 (en) * 2010-12-31 2012-07-05 Ahnlab., Inc. Method and apparatus for detecting a malware in files
WO2013168951A1 (ko) * 2012-05-11 2013-11-14 주식회사 안랩 악성 파일 검사 장치 및 방법
KR101444930B1 (ko) * 2013-03-25 2014-09-26 주식회사 안랩 악성코드 관련 중요검사수행장치의 동작 방법 및 악성코드대응서버의 동작 방법

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100897849B1 (ko) * 2007-09-07 2009-05-15 한국전자통신연구원 비정상 프로세스 탐지 방법 및 장치
US8091133B2 (en) 2007-09-07 2012-01-03 Electronics And Telecommunications Research Institute Apparatus and method for detecting malicious process
KR101048000B1 (ko) * 2009-07-14 2011-07-13 플러스기술주식회사 디도스 공격 감지 및 방어방법
GB2485505A (en) * 2009-09-03 2012-05-16 Inca Internet Co Ltd Method for blocking the execution of a hacking process
KR101042857B1 (ko) * 2009-09-03 2011-06-20 주식회사 잉카인터넷 해킹 프로세스의 실행 차단방법
WO2011027976A3 (ko) * 2009-09-03 2011-04-28 (주)잉카인터넷 해킹 프로세스의 실행 차단방법
WO2011027976A2 (ko) * 2009-09-03 2011-03-10 (주)잉카인터넷 해킹 프로세스의 실행 차단방법
CN102483783A (zh) * 2009-09-03 2012-05-30 Inca网络有限公司 黑客攻击处理的执行阻断方法
GB2485505B (en) * 2009-09-03 2014-12-03 Inca Internet Co Ltd Method for blocking the execution of a hacking process
WO2012091341A1 (en) * 2010-12-31 2012-07-05 Ahnlab., Inc. Method and apparatus for detecting a malware in files
KR101217709B1 (ko) * 2010-12-31 2013-01-02 주식회사 안랩 악성코드 탐지 장치 및 방법
US9129109B2 (en) 2010-12-31 2015-09-08 Anhlab, Inc. Method and apparatus for detecting a malware in files
WO2013168951A1 (ko) * 2012-05-11 2013-11-14 주식회사 안랩 악성 파일 검사 장치 및 방법
KR101444930B1 (ko) * 2013-03-25 2014-09-26 주식회사 안랩 악성코드 관련 중요검사수행장치의 동작 방법 및 악성코드대응서버의 동작 방법

Similar Documents

Publication Publication Date Title
TWI362196B (en) Network isolation techniques suitable for virus protection
US7607041B2 (en) Methods and apparatus providing recovery from computer and network security attacks
US9148442B2 (en) Methods and apparatus providing automatic signature generation and enforcement
US9325725B2 (en) Automated deployment of protection agents to devices connected to a distributed computer network
KR101462311B1 (ko) 악성 코드 차단 방법
US8413245B2 (en) Methods and apparatus providing computer and network security for polymorphic attacks
US7979889B2 (en) Methods and apparatus providing security to computer systems and networks
US20060026683A1 (en) Intrusion protection system and method
US20060041942A1 (en) System, method and computer program product for preventing spyware/malware from installing a registry
US20170070518A1 (en) Advanced persistent threat identification
KR100788256B1 (ko) 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법
TWI407328B (zh) 網路病毒防護方法及系統
KR20170024428A (ko) 네트워크 보안 시스템 및 보안 방법
KR20070029540A (ko) 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법
JP2010198386A (ja) 不正アクセス監視システムおよび不正アクセス監視方法
US20060015939A1 (en) Method and system to protect a file system from viral infections
KR101754195B1 (ko) 복수의 로그 수집 서버를 기반으로 한 보안 강화 방법
KR101614809B1 (ko) 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법
US7765593B1 (en) Rule set-based system and method for advanced virus protection
GB2432687A (en) Preventing spyware/malware from installing in a registry
KR20070008804A (ko) 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법
KR20110006398A (ko) 디도스 공격 감지 및 방어방법
KR20030063949A (ko) 컴퓨터 바이러스 방역 방법 및 시스템
KR20050112485A (ko) 비정상 파일 및 프로세스의 새로운 판별기법에 의한윈도우운영체제 시스템 보안 구현 방법
JP2007079815A (ja) 自己免疫型防御システム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
E601 Decision to refuse application