KR20070032425A - Method and System for Detecting of Virus Intrusion - Google Patents

Method and System for Detecting of Virus Intrusion Download PDF

Info

Publication number
KR20070032425A
KR20070032425A KR1020050086613A KR20050086613A KR20070032425A KR 20070032425 A KR20070032425 A KR 20070032425A KR 1020050086613 A KR1020050086613 A KR 1020050086613A KR 20050086613 A KR20050086613 A KR 20050086613A KR 20070032425 A KR20070032425 A KR 20070032425A
Authority
KR
South Korea
Prior art keywords
packet data
virus
service
packet
network
Prior art date
Application number
KR1020050086613A
Other languages
Korean (ko)
Inventor
김진수
Original Assignee
주식회사 팬택
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 팬택 filed Critical 주식회사 팬택
Priority to KR1020050086613A priority Critical patent/KR20070032425A/en
Publication of KR20070032425A publication Critical patent/KR20070032425A/en

Links

Images

Abstract

A method and a system for providing a virus intrusion detection service are provided to take precautions against the infiltration of unknown viruses as well as known viruses by establishing and monitoring a virtual site that receives the same packet data equivalent to a mobile Internet service. A system for providing a virus intrusion detection service comprises a mobile terminal(110), an RNC(Radio Network Controller)(130), a base station(120), an SGSN(Serving GPRS support Node)(140), a GGSN(Gateway GPRS support Node)(150), and an IDS(Intrusion Detection Server)(160). The mobile terminal(110) executes voice call through wireless communication, and uses mobile Internet services including financial transactions and homepage management. The RNC(130) controls Tx power for the mobile terminal(110), and determines a handoff. The base station(120) executes wire/wireless conversion between the mobile terminal(110) and the RNC(130), and transmits/receives radio signals. The SGSN(140), interworking with the RNC(130) through an Iu interface, supports GPRS(General Packet Radio Services) to the mobile terminal(110). The GGSN(150), interworking with the SGSN(140), supports the transmission of packet data between the mobile terminal(110) and an external packet network. The IDS(160) detects the intrusion of viruses for a virtual site, and notifies a network manager(190) and a vaccine site provider(192) of it.

Description

바이러스 침입 탐지 서비스를 제공하는 방법 및 시스템{Method and System for Detecting of Virus Intrusion}Method and System for Detecting of Virus Intrusion

도 1은 본 발명의 바람직한 실시예에 따른 바이러스 침입 탐지 서비스를 제공하는 시스템을 나타낸 구성도,1 is a block diagram showing a system for providing a virus intrusion detection service according to an embodiment of the present invention,

도 2는 본 발명의 바람직한 실시예에 따른 바이러스 침입 탐지 서버를 나타낸 구성도,2 is a block diagram showing a virus intrusion detection server according to an embodiment of the present invention,

도 3은 본 발명의 바람직한 실시예에 따른 바이러스 침입 탐지 서비스를 제공하는 방법을 나타낸 순서도이다.3 is a flowchart illustrating a method of providing a virus intrusion detection service according to a preferred embodiment of the present invention.

< 도면의 주요 부분에 대한 부호의 설명 ><Description of Symbols for Main Parts of Drawings>

110: 이동통신 단말기 120: 기지국110: mobile communication terminal 120: base station

130: 무선 네트워크 제어기 140: 서비스 패킷 무선 서비스 지원 노드130: wireless network controller 140: service packet wireless service support node

150: 게이트웨이 패킷 무선 서비스 지원 노드150: gateway packet wireless service support node

160: 침입 탐지 서버 170: 인터넷160: intrusion detection server 170: the Internet

180, 182: 가상 사이트 190: 네트워크 관리자180, 182: Virtual Site 190: Network Administrator

192: 백신 사이트 업체192: vaccine site vendor

본 발명은 바이러스 침입 탐지 서비스를 제공하는 방법 및 시스템에 관한 것이다. 더욱 상세하게는 무선 인터넷 서비스에 해당되는 패킷 데이터를 제공받는 가상 사이트를 개설하고 감시하여, 바이러스의 침투를 감지하여 네트워크 관리자 및 백신 사이트 업체에 통보하는 바이러스 침입 탐지 서비스를 제공하는 방법 및 시스템에 관한 것이다.The present invention relates to a method and system for providing a virus intrusion detection service. More specifically, the present invention relates to a method and system for providing a virus intrusion detection service that opens and monitors a virtual site receiving packet data corresponding to a wireless Internet service and detects a virus intrusion and notifies a network administrator and an antivirus site company. will be.

현재 인터넷에서는 수많은 종류의 바이러스, 악성코드가 난무하여 기관, 기업 및 개인까지 막대한 피해를 주고 있다. 더 나아가 이제는 이동통신 단말기까지 바이러스 등이 침투하는 사례가 속속 등장하면서, 이동통신 단말기에 대한 피해가 증가하고 있는 추세이다. There are many kinds of viruses and malwares on the Internet, causing huge damage to organizations, corporations and individuals. Furthermore, as the cases of viruses infiltrating into mobile communication terminals continue to emerge, damages to mobile communication terminals are on the rise.

현재까지 이동통신 단말기를 위한 모바일 적용 백신 프로그램이 개발되지 않은 상태인 만큼, 무선 인터넷의 보안은 아주 초보 단계에 지나지 않다. 비록 무선 인터넷의 보안 수준은 초보 단계인 반면 무선 인터넷의 서비스 수준은 상당히 업그레이드되어서, 이동통신 단말기로 은행 거래, 상업적인 거래 및 홈페이지 관리 등의 많은 부분으로 발전을 가져왔다.Since the mobile application vaccine program for the mobile terminal has not been developed until now, the security of the wireless Internet is only a very early stage. Although the security level of the wireless Internet is in its infancy, the service level of the wireless internet has been considerably upgraded, which has led to the development of many aspects of banking, commercial transactions and homepage management as mobile terminals.

이렇게 이동통신 단말기에 의한 무선 인터넷 서비스 수준은 향상되었지만 무선 인터넷 보안 수준은 매우 낮아 이동통신 단말기에서 금융 거래를 행할 경우에 바이러스에 무방비로 노출되는 문제점이 발생하였다.Although the wireless Internet service level by the mobile communication terminal has been improved, the wireless Internet security level is very low, which causes a problem of being exposed to the virus unprotected when a financial transaction is performed in the mobile communication terminal.

전술한 문제점을 해결하기 위해 본 발명은, 무선 인터넷 서비스에 해당되는 패킷 데이터를 제공받는 가상 사이트를 개설하고 감시하여, 바이러스의 침투를 감지하여 네트워크 관리자 및 백신 사이트 업체에 통보하는 바이러스 침입 탐지 서비스를 제공하는 방법 및 시스템을 제공하는 것을 그 목적으로 한다.In order to solve the above-mentioned problems, the present invention provides a virus intrusion detection service that opens and monitors a virtual site receiving packet data corresponding to a wireless Internet service, detects a virus intrusion, and notifies a network administrator and an antivirus site company. It is an object of the present invention to provide a method and system.

본 발명의 제 1 목적에 의하면, 무선 인터넷 서비스에 해당되는 패킷 데이터를 제공받는 가상 사이트를 개설하고 감시하여, 바이러스의 침투를 감지하여 네트워크 관리자 및 백신 사이트 업체에 통보하는 바이러스 침입 탐지 서비스를 제공하는 시스템에 있어서, 무선 통신을 음성 전화를 수행하고 은행 거래, 상업적인 거래 및 홈페이지 관리를 포함하는 상기 무선 인터넷 서비스를 제공하는 이동통신 단말기; 무선 망 제어 시스템으로서, 상기 이동통신 단말기에 대한 송신 출력을 제어하고 핸드오프를 결정하고 상기 무선 망을 운용하는 무선 네트워크 제어기; 상기 이동통신 단말기와 직접 연결되는 망 종단 장치로서, 상기 이동통신 단말기와 상기 무선 네트워크 제어기 사이에서 유무선을 변환하고 무선 신호를 송수신하는 기지국; GPRS 서비스 지원 시스템으로서, Iu 인터페이스를 통해 상기 무선 네트워크 제어기와 연동하여 상기 이동통신 단말기에 상기 GPRS 서비스를 지원하는 서비스 패킷 무선 서비스 지원 노드; 외부 패킷 망과 상호 연동하고 GN 인터페이스를 통해서 IP 백본(Backbone)망으로 상기 서비스 패킷 무선 서비스 지원 노드와 연동하여, 상기 이동통신 단말기와 상기 외부 패킷 망간의 패킷 데이터를 전송하도록 지원하는 게이트웨이 패킷 무선 서비스 지원 노드; 및 상기 가상 사이트에 대한 바이러스의 침입을 감지하여 상기 네트워크 관리자 및 상기 백신 사이트 업체에 통보하는 침입 탐지 서버를 포함하는 것을 특징으로 하는 바이러스 침입 탐지 서비스를 제공하는 시스템을 제공하는 데 목적이 있다.According to a first object of the present invention, there is provided a virus intrusion detection service that opens and monitors a virtual site receiving packet data corresponding to a wireless Internet service, detects a virus intrusion, and notifies a network administrator and an antivirus site company. A system, comprising: a mobile communication terminal for performing a voice call for wireless communication and for providing the wireless Internet service including banking transaction, commercial transaction, and homepage management; A wireless network control system, comprising: a wireless network controller controlling a transmission output to the mobile communication terminal, determining a handoff, and operating the wireless network; A network termination device directly connected to the mobile communication terminal, comprising: a base station converting wired / wireless and transmitting / receiving a wireless signal between the mobile communication terminal and the wireless network controller; CLAIMS What is claimed is: 1. A GPRS service support system, comprising: a service packet radio service support node supporting the GPRS service to the mobile communication terminal by interworking with the radio network controller through an lu interface; A gateway packet radio service that interworks with an external packet network and interworks with the service packet radio service support node to an IP backbone network through a GN interface to transmit packet data between the mobile communication terminal and the external packet network. Support node; And an intrusion detection server that detects an invasion of a virus to the virtual site and notifies the network administrator and the vaccine site company.

본 발명의 제 2 목적에 의하면, 무선 인터넷 서비스로 제공되는 패킷 데이터를 제공받는 가상 사이트를 개설하고 감시하여, 바이러스의 침투를 감지하여 네트워크 관리자 및 백신 사이트 업체에 통보하는 바이러스 침입 탐지 서비스를 제공하는 방법에 있어서, (a) 게이트웨이 패킷 무선 서비스 지원 노드와 인터넷을 경유하여 이동통신 단말기에 무선 인터넷 서비스를 제공하는 외부 패킷 망으로부터 상기 패킷 데이터를 제공받는 상기 가상 사이트를 개설하고 감시하는 단계; (b) 상기 외부 패킷 망으로부터 상기 가상 사이트에 유입되는 상기 패킷 데이터를 수집하는 단계; (c) 바이러스를 포함하는 상기 패킷 데이터가 상기 가상 사이트에 침입하였는지를 판정하기 위해 상기 패킷 데이터를 가공 및 축약하는 단계; (d) 상기 바이러스를 포함하는 패킷 데이터가 상기 가상 사이트에 침입하였는지를 판단하는 단계; (e) 상기 (d) 단계에서 상기 바이러스를 포함한 패킷 데이터가 상기 가상 사이트를 침입하였다고 판단될 경우에, 상기 패킷 데이터의 행동 정보를 수집하고 로그 정보를 남기는 단계; 및 (f) 상기 가상 사이트를 침입하였다고 판단된 상기 바이러스를 포함하는 패킷 데이터의 상기 행동 정보 및 로그 정보를 상기 네트워크 관리자 및 상기 백신 사이트 업체에 통보하는 단계를 포함하는 것을 특징으로 하는 바이러스 침입 탐지 서비스를 제공하는 방법을 제공하는 데 목적이 있다.According to a second object of the present invention, there is provided a virus intrusion detection service that opens and monitors a virtual site receiving packet data provided through a wireless Internet service, detects a virus intrusion, and notifies a network administrator and an antivirus site company. A method comprising: (a) establishing and monitoring a virtual site receiving the packet data from an external packet network providing a wireless Internet service to a mobile communication terminal via a gateway packet wireless service support node and the Internet; (b) collecting the packet data flowing into the virtual site from the external packet network; (c) processing and abbreviating the packet data to determine whether the packet data containing a virus invaded the virtual site; (d) determining whether packet data containing the virus has invaded the virtual site; (e) if it is determined in step (d) that packet data including the virus invades the virtual site, collecting behavior information of the packet data and leaving log information; And (f) informing the network administrator and the vaccine site company of the behavior information and log information of the packet data including the virus determined to have invaded the virtual site. The purpose is to provide a way to provide.

이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 우선 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소 들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. First of all, in adding reference numerals to the components of each drawing, it should be noted that the same reference numerals are designated as much as possible even if displayed on different drawings. In addition, in describing the present invention, when it is determined that the detailed description of the related well-known configuration or function may obscure the gist of the present invention, the detailed description thereof will be omitted.

도 1은 본 발명의 바람직한 실시예에 따른 바이러스 침입 탐지 서비스를 제공하는 무선 인터넷 시스템을 나타낸 도면이다.1 is a diagram showing a wireless Internet system for providing a virus intrusion detection service according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명의 바람직한 실시예에 따른 바이러스 침입 탐지 서비스를 제공하는 무선 인터넷 시스템(100)은, 이동통신 단말기(110), 기지국(120), 무선 네트워크 제어기(RNC: Radio Network Controller)(130), 서비스 패킷 무선 서비스 지원 노드(SGSN: Serving GPRS Support Node)(140), 게이트웨이 패킷 무선 서비스 지원 노드(GGSN: Gateway GPRS Support Node(150), 침입 탐지 서버(IDS: Intrusion Detection Server)(160), 인터넷(170), 가상 사이트(180, 182), 네트워크 관리자(190) 및 백신 사이트 업체(192)를 포함하여 구성된다.As shown in FIG. 1, the wireless Internet system 100 for providing a virus intrusion detection service according to an exemplary embodiment of the present invention includes a mobile communication terminal 110, a base station 120, and a radio network controller (RNC). Network Controller (130), Service Packet Wireless Service Support Node (SGSN) 140, Gateway Packet Wireless Service Support Node (GGSN) (150), Intrusion Detection Server (IDS: Intrusion Detection) Server) 160, Internet 170, virtual sites 180, 182, network administrator 190, and antivirus site provider 192.

이동통신 단말기(110)는 무선 통신을 통한 음성 전화를 수행하고, 금융 거래 및 최근에 서비스되고 있는 소위 '미니홈피' 관리 등의 무선 인터넷 서비스를 제공받는다.The mobile communication terminal 110 performs a voice call through wireless communication and is provided with a wireless internet service such as financial transactions and so-called 'mini homepage' management which is being recently serviced.

본 발명의 바람직한 실시예에 따른 이동 통신 단말기(110)는 PDA(Personal Digital Assistant), 셀룰러폰, PCS(Personal Communication Service)폰, 핸드헬드 PC(Hand-Held PC), GSM(Global System for Mobile)폰, WCDMA(Wideband CDMA)폰, CDMA(Code Division Multiple Access)2000폰 및 MBS(Mobile Broadband System)폰 등 각종 무선 통신 단말기를 포함할 수 있다. Mobile communication terminal 110 according to a preferred embodiment of the present invention is a PDA (Personal Digital Assistant), cellular phone, PCS (Personal Communication Service) phone, hand-held PC (Hand-Held PC), GSM (Global System for Mobile) Various wireless communication terminals, such as a phone, a wideband CDMA (WCDMA) phone, a Code Division Multiple Access (CDMA) 2000 phone, and a Mobile Broadband System (MBS) phone, may be included.

기지국(120)은 이동통신 단말기(110)와 무선 네트워크 제어기(130) 사이에서 유무선 변환, 무선 신호의 송수신 등을 수행하며 이동통신 단말기(110)와 직접적으로 연결되는 망 종단 (Endpoint) 장치이다. The base station 120 is a network endpoint device that performs wired / wireless conversion and wireless signal transmission and reception between the mobile communication terminal 110 and the wireless network controller 130 and is directly connected to the mobile communication terminal 110.

무선 네트워크 제어기(130)는 무선 망 제어 시스템으로서, 기지국(120)을 제어하며, 이동통신 단말기(110)에 대한 무선 채널 할당 및 해제, 이동 통신 단말기(110) 및 기지국(120)의 송신 출력 제어, 소프트 핸드오프(Soft Handoff) 및 하드 핸드오프(Hard Handoff) 결정, 트랜스코딩(Transcoding) 및 보코딩(Vocoding), 무선 접속망에 대한 운용 및 유지 보수 기능 등을 수행한다. The wireless network controller 130 is a wireless network control system, which controls the base station 120, allocates and releases radio channels to the mobile communication terminal 110, and controls transmission outputs of the mobile communication terminal 110 and the base station 120. It performs soft handoff and hard handoff decision, transcoding and vocoding, and operation and maintenance of wireless access network.

서비스 패킷 무선 서비스 지원 노드(140)는 GPRS 서비스 지원 시스템으로, Iu 인터페이스를 통해서 무선 네트워크 제어기(130)와 연동하고 GN 인터페이스를 통해서 게이트웨이 패킷 무선 서비스 지원 노드(150)와 연동하여, 이동통신 단말기(110)의 GPRS 서비스를 지원해 준다. Iu 인터페이스는 무선 네트워크 제어기(130)와 핵심 망(Core Network)간의 인터페이스를 말하며, GN 인터페이스는 동일한 사업자 망에서 서비스 패킷 무선 서비스 지원 노드(140)와 게이트웨이 패킷 무선 서비스 지원 노드(150) 간의 인터페이스를 말한다.The service packet wireless service support node 140 is a GPRS service support system. The service packet wireless service support node 140 interworks with the wireless network controller 130 through the Iu interface and the gateway packet wireless service support node 150 through the GN interface. 110) GPRS service is supported. The Iu interface refers to an interface between the wireless network controller 130 and the core network. The GN interface refers to an interface between the service packet wireless service support node 140 and the gateway packet wireless service support node 150 in the same operator network. Say.

게이트웨이 패킷 무선 서비스 지원 노드(150)는 외부 패킷 스위칭 망과 상호 연동하고 GN 인터페이스를 통해서 IP 백본(Backbone) 망으로 서비스 패킷 무선 서비스 지원 노드(140)와 연동하여, 이동통신 단말기(110)와 외부 패킷 망간의 패킷 데이터 서비스를 전송할 수 있도록 지원해 준다. The gateway packet radio service support node 150 interoperates with an external packet switching network and interworks with a service packet radio service support node 140 via an GN interface to an IP backbone network, thereby communicating with the mobile communication terminal 110 and an external device. It supports to transmit packet data service between packet networks.

침입 탐지 서버(160)는 네트워크 시스템에서 정당한 사용 권한이 없는 사용자의 침입을 감시하고 강제로 접속을 끊는 등 필요한 조치를 취한다. 침입 탐지 서버(160)는 가상 사이트(180, 182)에 대한 바이러스를 감지하여, 바이러스가 감지될 경우에 네트워크 관리자 및 백신 사이트 업체에 통보한다.The intrusion detection server 160 takes necessary measures such as monitoring an intrusion of a user who does not have a legitimate use right in a network system and forcibly disconnecting it. The intrusion detection server 160 detects a virus for the virtual sites 180 and 182 and notifies the network administrator and the antivirus site company when a virus is detected.

침입 탐지 서버(160)는 보통 방화벽과 함께 운용되는데 방화벽은 외부의 침입을 감지하는 시스템이고, 침입 탐지 서버(160)는 방화벽 내부에서 침입자의 행동을 감시하는 시스템이다. 그리고 침입 탐지 서버(160)는 방화벽으로 막을 수 없는 CGI를 이용한 공격이나 버퍼 오버 플로어(Buffer Over Flow)도 탐지할 수 있을 뿐만 아니라 LAN 내부의 구성원이 저지를 수 있는 부정한 행위까지 감시할 수 있다. Intrusion detection server 160 is usually operated with a firewall, the firewall is a system for detecting external intrusion, the intrusion detection server 160 is a system for monitoring the intruder's behavior inside the firewall. In addition, the intrusion detection server 160 may not only detect CGI attacks or buffer overflows that cannot be prevented by the firewall, but may also monitor illegal activities that members of the LAN may commit.

인터넷(170)은 게이트웨이 패킷 무선 서비스 지원 노드(150)가 외부 패킷 스위칭 망과 상호 연동하여 외부 패킷 망으로부터 패킷 데이터 서비스를 가상 사이트(180, 182)에 제공한다.In the Internet 170, the gateway packet wireless service support node 150 interoperates with an external packet switching network to provide packet data services to the virtual sites 180 and 182 from the external packet network.

도 2는 본 발명의 바람직한 실시예에 따른 바이러스 침입 탐지 서버의 내부 구조를 나타낸 도면이다.2 is a diagram showing the internal structure of a virus intrusion detection server according to a preferred embodiment of the present invention.

도 2에 도시된 바와 같이 바이러스 침입 탐지 서버(160)는, 정보 수집부(210), 시스템 설정부(220), 패턴 데이터베이스(230), 정보 분석부(240), 로그 저장부(250), 이벤트 보고부(260), 시스템 관리자(270) 및 패턴 생성부(280)를 포함하여 구성된다.As shown in FIG. 2, the virus intrusion detection server 160 includes an information collector 210, a system setting unit 220, a pattern database 230, an information analyzer 240, a log storage unit 250, The event report unit 260, the system manager 270, and the pattern generator 280 are configured to be included.

정보 수집부(210)는 외부 패킷 망으로부터 가상 사이트(180, 182)에 유입되는 패킷 데이터의 활동 및 내용에 대한 정보를 수집하고, 수집에 패킷 데이터에 대 한 정보를 시스템 설정부(220) 및 패턴 데이터베이스(230)로 전송한다. 그리고 가상 사이트(180, 182)의 시스템 상태 정보를 수집하여 시스템 설정부(220) 및 패턴 데이터베이스(230)로 전송한다.The information collecting unit 210 collects information on the activity and content of the packet data flowing into the virtual sites 180 and 182 from the external packet network, and collects the information about the packet data in the system setting unit 220 and Transmit to pattern database 230. The system state information of the virtual sites 180 and 182 is collected and transmitted to the system setting unit 220 and the pattern database 230.

시스템 설정부(220)는 가상 사이트(180, 182)가 바이러스를 포함하는 패킷 데이터에 의해 감염되지 않고 정상일 경우의 상태 정보를 저장하고 있다. The system setting unit 220 stores state information when the virtual sites 180 and 182 are normal without being infected by packet data including a virus.

패턴 데이터베이스(230)는 가상 사이트(180, 182)에서의 정형화된 패킷 데이터의 활동 및 내용에 대한 패턴 정보를 저장하고 있다. 그리고 기존의 바이러스를 포함하는 패킷 데이터의 활동 및 내용에 대한 패턴 정보도 저장하고 있다.The pattern database 230 stores pattern information about activities and contents of the standardized packet data in the virtual sites 180 and 182. It also stores pattern information about the activity and content of packet data, including existing viruses.

정보 분석부(240)는 외부 패킷 망으로부터 가상 사이트(180, 182)에 유입되는 패킷 데이터와 패턴 데이터베이스(230)로부터 전송받은 기존의 바이러스를 포함하는 패킷 데이터의 활동 및 내용에 대한 패턴 정보를 비교하여, 외부 패킷 망으로부터 가상 사이트(180, 182)에 유입되는 패킷 데이터가 바이러스를 포함하고 있는지를 판단한다. The information analyzer 240 compares the packet information flowing into the virtual sites 180 and 182 from the external packet network with the pattern information on the activity and contents of the packet data including the existing virus received from the pattern database 230. Then, it is determined whether the packet data flowing into the virtual sites 180 and 182 from the external packet network contains a virus.

그리고 정보 분석부(240)는 시스템 설정부(220)로부터 전송받은 가상 사이트(180, 182)의 바이러스를 포함하는 패킷 데이터에 의해 감염되지 않고 정상일 경우의 상태 정보와 패킷 데이터가 유입된 후의 가상 사이트(180, 182)의 상태 정보를 비교하여, 외부 패킷 망으로부터 가상 사이트(180, 182)에 유입되는 패킷 데이터가 바이러스를 포함하는지를 판단한다. The information analyzing unit 240 is not infected by packet data including viruses of the virtual sites 180 and 182 received from the system setting unit 220, and the virtual site after the state information and the packet data flows in the normal state. By comparing the state information of (180, 182), it is determined whether the packet data flowing into the virtual site (180, 182) from the external packet network contains a virus.

정보 분석부(240)는 외부 패킷 망으로부터 가상 사이트(180, 182)에 유입되는 패킷 데이터가 바이러스를 포함하고 있다고 판단한 경우에, 로그 저장부(250)에 판단 결과를 전송한다.The information analyzer 240 transmits the determination result to the log storage unit 250 when it is determined that the packet data flowing into the virtual sites 180 and 182 from the external packet network includes a virus.

로그 저장부(250)는 정보 분석부(240)로부터 패킷 데이터가 바이러스를 포함하고 있음을 알리는 판단 결과를 수신한 후에, 패킷 데이터의 로그 정보를 정하고 이벤트 보고부(260)에 패킷 데이터가 바이러스를 포함하고 있음을 알리는 신호를 전송한다.After receiving the determination result indicating that the packet data contains the virus from the information analyzer 240, the log storage unit 250 determines the log information of the packet data and transmits the virus to the event report unit 260. Send a signal to indicate that it contains.

이벤트 보고부(260)는 바이러스를 포함하는 패킷 데이터의 활동, 로그 및 내용 정보를 시스템 관리자(270)에 전송한다.The event report unit 260 transmits activity, log, and content information of packet data including a virus to the system manager 270.

시스템 관리자(270)는 바이러스를 포함하는 패킷 데이터의 활동, 로그 및 내용 정보를 확인한 후, 패킷 데이터를 포함하는 무선 인터넷 서비스에 대한 경고 메시지를 전자 메일이나 단문 메시지 등의 방법으로 이동통신 단말기(110)에 전송한다.The system manager 270 checks the activity, the log and the content information of the packet data including the virus, and then sends the warning message for the wireless Internet service including the packet data to the mobile communication terminal 110 by an e-mail or a short message. To be sent).

패턴 생성부(280)는 시스템 관리자로부터 바이러스를 포함하는 패킷 데이터에 대한 정보를 수신한 후, 바이러스를 포함하는 패킷 데이터의 새로운 패턴을 생성하여 패턴 데이터베이스(230)에 저장한다.The pattern generator 280 receives information on packet data including a virus from a system administrator, and then generates a new pattern of packet data including a virus and stores the pattern in the pattern database 230.

도 3은 본 발명의 바람직한 실시예에 따른 바이러스 침입 탐지 서비스를 제공하는 방법을 나타낸 순서도이다.3 is a flowchart illustrating a method of providing a virus intrusion detection service according to a preferred embodiment of the present invention.

침입 탐지 서버(160)는 게이트웨이 패킷 무선 서비스 지원 노드(150)와 인터넷(170)을 경유하여 외부 패킷 망으로부터 이동통신 단말기(110)에 제공되는 무선 인터넷 서비스로 제공되는 패킷 데이터를 제공받는 가상 사이트(180, 182)를 개설하고, 가상 사이트(180, 182)를 감시한다(S310).Intrusion detection server 160 is a virtual site that receives the packet data provided to the wireless Internet service provided to the mobile communication terminal 110 from the external packet network via the gateway packet wireless service support node 150 and the Internet 170. (180, 182) is opened, and the virtual sites 180, 182 are monitored (S310).

침입 탐지 서버(160)의 정보 수집부(210)는 외부 패킷 망으로부터 가상 사이트(180, 182)에 유입되는 패킷 데이터를 수집한다(S320).The information collection unit 210 of the intrusion detection server 160 collects packet data flowing into the virtual sites 180 and 182 from the external packet network (S320).

침입 탐지 서버(160)의 시스템 설정부(220) 및 패턴 데이터베이스(230)는 수집한 패킷 데이터를 침입 판정, 즉 바이러스 포함 여부의 판정이 가능하도록 가공 및 축약한다(S330). The system setting unit 220 and the pattern database 230 of the intrusion detection server 160 process and abbreviate the collected packet data so as to determine an intrusion, that is, whether a virus is included (S330).

S330 단계에서 가공 및 축약된 패킷 데이터를 정보 분석부(240)는 분석하여, 패킷 데이터가 가상 사이트를 침입하였는지를 판단한다(S340).The information analyzing unit 240 analyzes the processed and reduced packet data in operation S330 to determine whether the packet data has invaded the virtual site (S340).

패킷 데이터가 가상 사이트를 침입하였다고 판단될 경우에, 로그 저장부(250)는 패킷 데이터의 행동 정보를 수집하고 로그 정보를 남긴다(S350).If it is determined that the packet data has invaded the virtual site, the log storage unit 250 collects the behavior information of the packet data and leaves the log information (S350).

침입 탐지 서버(160)의 이벤트 보고부(260)는 가상 사이트를 침입하였다고 판단된 패킷 데이터의 행동 정보 및 로그 정보를 시스템 관리자(270)에 전달하고, 시스템 관리자(270)는 네트워크 관리자(190), 백신 사이트 업체(192) 및 이동통신 단말기에 통보한다(S360).The event report unit 260 of the intrusion detection server 160 transmits the behavior information and log information of the packet data determined to have invaded the virtual site to the system manager 270, and the system manager 270 is the network manager 190. Notify the vaccine site company 192 and the mobile terminal (S360).

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of the present invention, and those skilled in the art to which the present invention pertains may make various modifications and changes without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention but to describe the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The protection scope of the present invention should be interpreted by the following claims, and all technical ideas within the equivalent scope should be interpreted as being included in the scope of the present invention.

이상에서 설명한 바와 같이 본 발명에 의하면, 이동통신 단말기에 제공되는 무선 인터넷 서비스에 해당되는 동일한 패킷 데이터를 제공받는 가상 사이트를 개설하고 감시하여, 이미 알려진 바이러스의 침투를 방지할 뿐만 아니라 아직 알려지지 않은 바이러스의 침투에 대하여 대비할 수 있는 효과가 있다.As described above, according to the present invention, by opening and monitoring a virtual site provided with the same packet data corresponding to the wireless Internet service provided to the mobile communication terminal, not only prevents the penetration of known viruses, but also unknown viruses. It is possible to prepare against the penetration of.

Claims (9)

무선 인터넷 서비스로 제공되는 패킷 데이터를 제공받는 가상 사이트를 개설하고 감시하여, 바이러스의 침투를 감지하여 네트워크 관리자 및 백신 사이트 업체에 통보하는 바이러스 침입 탐지 서비스를 제공하는 시스템에 있어서,In the system that provides a virus intrusion detection service that opens and monitors a virtual site that receives packet data provided by a wireless Internet service, detects the infiltration of the virus and notifies the network administrator and vaccine site companies, 무선 통신을 통해 음성 전화를 수행하고 금융 거래 및 홈페이지 관리를 포함하는 상기 무선 인터넷 서비스를 제공받는 이동통신 단말기;A mobile communication terminal for performing a voice call through wireless communication and receiving the wireless Internet service including financial transactions and homepage management; 무선 망 제어 시스템으로서, 상기 이동통신 단말기에 대한 송신 출력을 제어하고 핸드오프를 결정하고 상기 무선 망을 운용하는 무선 네트워크 제어기;A wireless network control system, comprising: a wireless network controller controlling a transmission output to the mobile communication terminal, determining a handoff, and operating the wireless network; 상기 이동통신 단말기와 직접 연결되는 망 종단 장치로서, 상기 이동통신 단말기와 상기 무선 네트워크 제어기 사이에서 유무선을 변환하고 무선 신호를 송수신하는 기지국;A network termination device directly connected to the mobile communication terminal, comprising: a base station converting wired / wireless and transmitting / receiving a wireless signal between the mobile communication terminal and the wireless network controller; GPRS(General Packet Radio Services) 서비스를 지원하는 시스템으로서, Iu 인터페이스를 통해 상기 무선 네트워크 제어기와 연동하여 상기 이동통신 단말기에 상기 GPRS 서비스를 지원하는 서비스 패킷 무선 서비스 지원 노드;A system for supporting a General Packet Radio Services (GPRS) service, comprising: a service packet radio service support node for supporting the GPRS service to the mobile communication terminal by interworking with the wireless network controller through an Iu interface; 외부 패킷 망과 상호 연동하고 GN 인터페이스를 통해서 IP 백본(Backbone)망으로 상기 서비스 패킷 무선 서비스 지원 노드와 연동하여, 상기 이동통신 단말기와 상기 외부 패킷 망간의 패킷 데이터를 전송하도록 지원하는 게이트웨이 패킷 무선 서비스 지원 노드; 및A gateway packet radio service that interworks with an external packet network and interworks with the service packet radio service support node to an IP backbone network through a GN interface to transmit packet data between the mobile communication terminal and the external packet network. Support node; And 상기 가상 사이트에 대한 상기 바이러스의 침입을 감지하여 상기 네트워크 관리자 및 상기 백신 사이트 업체에 통보하는 침입 탐지 서버An intrusion detection server that detects the intrusion of the virus to the virtual site and notifies the network administrator and the vaccine site company. 를 포함하는 것을 특징으로 하는 바이러스 침입 탐지 서비스를 제공하는 시스템.System for providing a virus intrusion detection service comprising a. 제 1 항에 있어서, The method of claim 1, 상기 바이러스 침입 탐지 서비스를 제공하는 시스템은 상기 게이트웨이 패킷 무선 서비스 지원 노드를 통해 상기 외부 패킷 망으로부터 상기 패킷 데이터를 상기 가상 사이트에 제공하는 인터넷을 추가로 포함하는 것을 특징으로 하는 바이러스 침입 탐지 서비스를 제공하는 시스템.The system for providing the virus intrusion detection service further includes an Internet for providing the packet data from the external packet network to the virtual site through the gateway packet wireless service support node. System. 제 1 항에 있어서,The method of claim 1, 상기 침입 탐지 서버는 방화벽 내부에서 상기 가상 사이트에 상기 바이러스를 포함하는 패킷 데이터가 침입하는지 여부를 감지하는 것을 특징으로 하는 바이러스 침입 탐지 서비스를 제공하는 시스템.And the intrusion detection server detects whether packet data including the virus intrudes into the virtual site from inside the firewall. 제 1 항에 있어서,The method of claim 1, 상기 Iu 인터페이스는 상기 무선 네트워크 제어기와 핵심 망간의 인터페이스이고, 상기 RN 인터페이스는 동일한 사업자 망에서 상기 서비스 패킷 무선 서비스 지원 노드와 상기 게이트웨이 패킷 무선 서비스 지원 노드 간의 인터페이스인 것을 특징으로 하는 바이러스 침입 탐지 서비스를 제공하는 시스템.The Iu interface is an interface between the radio network controller and the core network, and the RN interface is an interface between the service packet radio service support node and the gateway packet radio service support node in the same operator network. Providing system. 제 1 항에 있어서, 상기 침입 탐지 서버는,The method of claim 1, wherein the intrusion detection server, 상기 가상 사이트에 유입되는 상기 패킷 데이터의 활동 및 내용에 대한 정보를 수집하는 정보 수집부;An information collector configured to collect information on the activity and contents of the packet data flowing into the virtual site; 상기 가상 사이트의 정상 시스템의 상태 정보를 상기 침입 탐지 서버에 의해 설정하고 있는 시스템 설정부;A system setting unit configured to set state information of a normal system of the virtual site by the intrusion detection server; 기존의 바이러스를 포함하는 패킷 데이터의 활동 및 내용에 대한 정보를 저장하고 있는 패턴 데이터베이스;A pattern database for storing information on activity and contents of packet data including an existing virus; 상기 패킷 데이터의 활동 및 내용에 대한 정보를 분석하여 상기 패킷 데이터의 상기 가상 사이트에 대한 침입 여부를 판단하는 정보 분석부;An information analyzer which analyzes information on the activity and contents of the packet data to determine whether the packet data has invaded the virtual site; 상기 바이러스를 포함하는 상기 패킷 데이터가 상기 가상 사이트를 침입하였다고 판단되었을 경우에 상기 패킷 데이터의 로그 정보를 저장하는 로그 저장부;A log storage unit for storing log information of the packet data when it is determined that the packet data including the virus invades the virtual site; 상기 가상 사이트를 침입하였다고 판단된 상기 패킷 데이터의 활동 및 로그 및 내용 정보를 네트워크 관리자에 보고하는 이벤트 보고부; 및An event report unit for reporting activity, logs, and content information of the packet data determined to have invaded the virtual site to a network administrator; And 상기 가상 사이트를 침입하였다고 판단된 상기 패킷 데이터의 활동 및 로그 및 내용 정보에 대한 새로운 패턴을 생성하여 상기 패턴 데이터베이스에 저장하는 패턴 생성부The pattern generator for generating a new pattern for the activity, log and content information of the packet data determined to invade the virtual site and stores it in the pattern database 를 포함하는 것을 특징으로 하는 바이러스 침입 탐지 서비스를 제공하는 시스템.System for providing a virus intrusion detection service comprising a. 제 5 항에 있어서,The method of claim 5, wherein 상기 정보 분석부는 상기 시스템 설정부로부터 수신한 상기 가상 사이트의 정상 시스템의 상태 정보, 상기 패턴 데이터베이스로부터 수신한 상기 기존의 바이러스를 포함하는 패킷 데이터의 활동 및 내용에 대한 정보 및 상기 정보 수집부로부터 수신한 상기 패킷 데이터의 활동 및 내용에 대한 정보를 분석하는 것을 특징으로 하는 바이러스 침입 탐지 서비스를 제공하는 시스템.The information analyzing unit receives the state information of the normal system of the virtual site received from the system setting unit, information on the activity and contents of packet data including the existing virus received from the pattern database, and the information collecting unit. System for providing a virus intrusion detection service characterized in that for analyzing the information on the activity and content of the packet data. 제 5 항에 있어서,The method of claim 5, wherein 상기 시스템 관리자는 상기 가상 사이트를 침입하였다고 판단된 상기 패킷 데이터를 포함하는 무선 인터넷 서비스에 대한 경고 메시지를 상기 이동통신 단말기에 전송하는 것을 특징으로 하는 바이러스 침입 탐지 서비스를 제공하는 시스템.And the system manager transmits a warning message for the wireless Internet service including the packet data determined to invade the virtual site to the mobile communication terminal. 무선 인터넷 서비스로 제공되는 패킷 데이터를 제공받는 가상 사이트를 개설하고 감시하여, 바이러스의 침투를 감지하여 네트워크 관리자 및 백신 사이트 업체에 통보하는 바이러스 침입 탐지 서비스를 제공하는 방법에 있어서,In the method of providing a virus intrusion detection service to open and monitor the virtual site receiving the packet data provided by the wireless Internet service, to detect the intrusion of the virus and to notify the network administrator and vaccine site companies, (a) 게이트웨이 패킷 무선 서비스 지원 노드와 인터넷을 경유하여 이동통신 단말기에 무선 인터넷 서비스를 제공하는 외부 패킷 망으로부터 상기 패킷 데이터를 제공받는 상기 가상 사이트를 개설하고 감시하는 단계;(a) opening and monitoring the virtual site receiving the packet data from an external packet network providing a wireless Internet service to a mobile communication terminal via a gateway packet wireless service support node and the Internet; (b) 상기 외부 패킷 망으로부터 상기 가상 사이트에 유입되는 상기 패킷 데이터를 수집하는 단계;(b) collecting the packet data flowing into the virtual site from the external packet network; (c) 바이러스를 포함하는 상기 패킷 데이터가 상기 가상 사이트에 침입하였는지를 판정하기 위해 상기 패킷 데이터를 가공 및 축약하는 단계;(c) processing and abbreviating the packet data to determine whether the packet data containing a virus invaded the virtual site; (d) 상기 바이러스를 포함하는 패킷 데이터가 상기 가상 사이트에 침입하였는지를 판단하는 단계;(d) determining whether packet data containing the virus has invaded the virtual site; (e) 상기 (d) 단계에서 상기 바이러스를 포함한 패킷 데이터가 상기 가상 사이트를 침입하였다고 판단될 경우에, 상기 패킷 데이터의 행동 정보를 수집하고 로그 정보를 남기는 단계; 및(e) if it is determined in step (d) that packet data including the virus invades the virtual site, collecting behavior information of the packet data and leaving log information; And (f) 상기 가상 사이트를 침입하였다고 판단된 상기 바이러스를 포함하는 패킷 데이터의 상기 행동 정보 및 로그 정보를 상기 네트워크 관리자 및 상기 백신 사이트 업체에 통보하는 단계(f) informing the network administrator and the vaccine site company of the behavior information and log information of packet data including the virus determined to have invaded the virtual site. 를 포함하는 것을 특징으로 하는 바이러스 침입 탐지 서비스를 제공하는 방법.Method for providing a virus intrusion detection service comprising a. 제 8 항에 있어서, 상기 (d) 단계에서,The method of claim 8, wherein in step (d), 상기 침입 여부는 상기 패킷 데이터가 상기 바이러스를 포함하고 있는지 여부에 따라 결정되는 것을 특징으로 하는 바이러스 침입 탐지 서비스를 제공하는 방법.The method for providing a virus intrusion detection service, characterized in that the intrusion is determined according to whether or not the packet data contains the virus.
KR1020050086613A 2005-09-16 2005-09-16 Method and System for Detecting of Virus Intrusion KR20070032425A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050086613A KR20070032425A (en) 2005-09-16 2005-09-16 Method and System for Detecting of Virus Intrusion

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050086613A KR20070032425A (en) 2005-09-16 2005-09-16 Method and System for Detecting of Virus Intrusion

Publications (1)

Publication Number Publication Date
KR20070032425A true KR20070032425A (en) 2007-03-22

Family

ID=41560427

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050086613A KR20070032425A (en) 2005-09-16 2005-09-16 Method and System for Detecting of Virus Intrusion

Country Status (1)

Country Link
KR (1) KR20070032425A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014054854A1 (en) * 2012-10-05 2014-04-10 Kang Myoung Hun Log analysis system and log analyis method for security system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014054854A1 (en) * 2012-10-05 2014-04-10 Kang Myoung Hun Log analysis system and log analyis method for security system

Similar Documents

Publication Publication Date Title
CA2701689C (en) System and method of malware sample collection on mobile networks
US9069957B2 (en) System and method of reporting and visualizing malware on mobile networks
KR20070099201A (en) Method of security management for mobile wireless device and apparatus for security management using the same
KR101501669B1 (en) Behavior detection system for detecting abnormal behavior
US8087085B2 (en) Wireless intrusion prevention system and method
KR102329493B1 (en) Method and apparatus for preventing connection in wireless intrusion prevention system
EP1772988A1 (en) A method, system and apparatus for realizing the data service safety of the mobile communication system
US20040030913A1 (en) System and method for computer protection against malicious electronic mails by analyzing, profiling and trapping the same
US20070077931A1 (en) Method and apparatus for wireless network protection against malicious transmissions
WO2008098260A1 (en) Off-line mms malware scanning system and method
CN1930860B (en) System and method for client-server-based wireless intrusion detection
US20170201533A1 (en) Mobile aware intrusion detection system
JP2010263310A (en) Wireless communication device, wireless communication monitoring system, wireless communication method, and program
JP6495175B2 (en) Systems that protect mobile networks
US8516592B1 (en) Wireless hotspot with lightweight anti-malware
KR101715179B1 (en) Cloud computing based mobile security system and method through user behavior event
WO2013014033A1 (en) Method and device for detecting mobile phone virus
KR20070032425A (en) Method and System for Detecting of Virus Intrusion
CN101826991A (en) Method and system for identifying illegal data packet
US7367055B2 (en) Communication systems automated security detection based on protocol cause codes
US20110161745A1 (en) Mobility PDA Surveillance Using GPS
Bijani et al. HIDMN: A host and network-based intrusion detection for mobile networks
EP2923511B1 (en) System to detect behaviour in a telecommunications network
US20230328083A1 (en) Network vulnerability assessment
JP2022138829A (en) Unauthorized communication coping system and method

Legal Events

Date Code Title Description
N231 Notification of change of applicant
WITN Withdrawal due to no request for examination