KR20080047861A - 아이알씨 계열 웜 차단 장치 및 방법 - Google Patents

아이알씨 계열 웜 차단 장치 및 방법 Download PDF

Info

Publication number
KR20080047861A
KR20080047861A KR1020060117831A KR20060117831A KR20080047861A KR 20080047861 A KR20080047861 A KR 20080047861A KR 1020060117831 A KR1020060117831 A KR 1020060117831A KR 20060117831 A KR20060117831 A KR 20060117831A KR 20080047861 A KR20080047861 A KR 20080047861A
Authority
KR
South Korea
Prior art keywords
irc
worm
session
blocking
communication information
Prior art date
Application number
KR1020060117831A
Other languages
English (en)
Other versions
KR101252811B1 (ko
Inventor
김재희
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020060117831A priority Critical patent/KR101252811B1/ko
Publication of KR20080047861A publication Critical patent/KR20080047861A/ko
Application granted granted Critical
Publication of KR101252811B1 publication Critical patent/KR101252811B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크상에서 웜을 차단하는 장치 및 방법에 관한 것이다. 본 발명의 바람직한 일 실시예에 적용되는 IRC 계열 웜 차단장치가 구비된 네트워크 디바이스(100)에서 차단모듈(101)은, 네트워크 A와 네트워크 B 사이에 흐르는 트래픽을 IRC 선처리기(102)로 전송하고, 외부로부터 입력되는 명령에 의해 IRC 웜이 존재하는 트래픽을 차단한다. IRC 선처리기(102)는, 차단모듈(101)로부터 전송된 트래픽을 감시하고, 선처리 DB(103)에 저장된, IRC에서 사용하는 명령어 패턴에 기초하여 IRC 세션을 판별한다. 세션 수집부(104)는, 상기 IRC 선처리기(102)에 의해 판별된 IRC 세션의 통신정보를 세션 DB(105)에 저장한다. 세션 모니터링부(106)는, IRC 패턴 DB(107)에 저장된, IRC 웜이 사용하는 명령어 패턴에 기초하여 상기 세션 DB(105)에 저장된 IRC 세션의 통신정보에 따르는 트래픽 가운데 IRC 웜 세션의 존재여부를 판별하고, IRC 웜 세션이 존재하면 IRC 웜 세션의 통신정보를 세션 차단 정책 적용부(108)로 전송하여 IRC 웜 세션을 차단한다. 이에 따라, 본 발명은 네트워크의 서비스 장애 및 오탐지의 확률을 현저히 낮출 수 있는 매우 유용한 발명인 것이다.
Figure P1020060117831
실시간 대화(IRC), 웜, 트래픽, 세션, 패킷

Description

아이알씨 계열 웜 차단 장치 및 방법{Apparatus and method for preventing worm an IRC order}
도 1은 네트워크상에서 IRC 계열 웜에 대한 종래의 탐지 및 차단 범위를 도시한 것이다.
도 2는 본 발명의 바람직한 일 실시예에 적용되는 IRC 계열 웜 차단장치가 구비된 네트워크 디바이스의 구성 블럭도이다.
도 3은 도 2의 선처리 DB(103)와 IRC 패턴 DB(107)에 저장된 데이터를 각각 예시한 것이다.
도 4는 네트워크상에서 IRC 계열 웜에 대한 본 발명에 따른 탐지 및 차단 범위를 도시한 것이다.
도 5는 본 발명의 바람직한 일 실시예에 따른 IRC 계열 웜 차단방법의 흐름도이다.
<도면의 주요부분에 대한 부호의 설명>
100 : 네트워크 디바이스 101 : 차단모듈
102 : IRC 선처리기 103 : 선처리 DB
104 : 세션 수집부 105 : 세션 DB
106 : 세션 모니터링부 107 : IRC 패턴 DB
108 : 세션 차단 정책 적용부
본 발명은 네트워크상에서 웜을 차단하는 장치 및 방법에 관한 것으로서, 보다 상세하게는, 네트워크상에서 IRC 계열 웜을 차단하는 동작에 선처리 과정을 추가하여 오탐지로 인한 네트워크 장애를 제거한 IRC 계열 웜 차단 장치 및 방법에 관한 것이다.
실시간 대화(Internet Relay Chat, 이하 'IRC'라 칭함) 웜(worm) 또는 Bot류 웜이라고 불리는 웜은, 호스트(host)가 웜에 감염되면 일차적으로 무조건 웜 제작자가 지정한 IRC 서버에 접속하도록 한다. 웜에 감염된 호스트는 IRC 서버에 접속하여 특정 채널에 입장하게 되며 이어 2차 행동 (공격, 확산, 정보유출 등)을 수행하게 된다.
이러한 특성을 갖는 IRC 웜을 제작한 제작자들이 IRC 웜의 소스 코드(source code)를 인터넷상에서 판매하고 있어, IRC 웜을 이용하여 악의적인 행위를 하고자 하는 사람들은 저렴한 가격으로 IRC 웜의 소스 코드를 구입한 후 IRC 서버 및 채널명과 같이 간단한 것들만 수정하여 확산시킴으로써, IRC 웜의 확산속도는 점점 증가하고 있는 추세이다.
그러나, 전술한 바와 같이 IRC 웜의 소스 코드가 일부 수정된 후 사용되기 때문에, 같은 부류의 웜들은 명령어가 동일하다는 특성이 있다.
따라서 종래에는, 도 1에 예시된 바와 같이 네트워크를 통해 입력되는 전체 트래픽(traffic)을 대상으로 탐지하고 IRC 웜이 사용하는 명령어를 갖는 세션(session)을 차단하는 방법을 사용하였지만, 이 명령어가 다른 서비스(FTP, TELNET 등)들이 사용하는 명령어와 유사한 것들이 있어 전체 네트워크를 탐지 및 차단할 경우, 오탐지를 유발하여 네트워크에 서비스 장애가 발생하였다.
이밖에도, IRC에 사용하기 위해 지정된 포트(port)(TCP 6667)가 존재하지만 서버별로 다른 포트로 셋팅하여 사용할 수 있고 특히나 IRC 웜의 경우는 거의 6667번 포트를 사용하지 않으므로 웜 제작자가 보내는 명령어에 대해 IRC만 찾아 모니터링하는 것은 쉽지 않은 일이었다.
아울러, IRC 웜이 IRC 서버에 아예 접속하지 못하도록 샘플을 수집하여 각 샘플별로 대응하는 방법이 제안되기도 했지만, 샘플 수집이 늦어질 경우 내부에 확산이 이루어진 뒤의 사후대처이므로 이또한 적절한 방법이 아니었다.
따라서, 본 발명은 상기와 같은 문제점을 해결하기 위해 창작된 것으로서, 네트워크상에서 IRC 계열 세션(session)을 추출하는 선처리 과정을 수행하고 상기 선처리 과정을 거쳐 추출된 세션에 대해 IRC 웜 차단 동작을 수행하는 IRC 계열 웜 차단 장치 및 방법을 제공하는데 그 목적이 있다.
상술한 목적을 달성하기 위한 본 발명의 일 실시예에 따른 IRC 계열 웜 차단장치는, 두개 이상의 네트워크 사이에 흐르는 트래픽 가운데 IRC 세션을 판별하는 IRC 선처리수단; 상기 판별된 IRC 세션 가운데, IRC 웜 세션의 존재여부를 판별하는 IRC 웜 판별수단; 그리고 상기 판별된 IRC 웜 세션을 차단하는 차단수단을 포함한다.
또한, 본 발명의 일 실시예에 따른 IRC 계열 웜 차단장치는, 상기 IRC 선처리수단에 의해 판별된 IRC 세션의 통신정보를 임시저장하는 IRC 세션 통신정보 저장수단을 더 포함하고, 상기 IRC 웜 판별수단은, 상기 임시저장된 IRC 세션의 통신정보를 독출한 후, 상기 독출된 IRC 세션의 통신정보를 갖는 트래픽 가운데 IRC 웜이 존재하는 IRC 웜 세션의 존재여부를 판별할 수 있다.
상기 통신정보는 IRC 서버의 주소(IP : Internet Protocol)와 포트(port)일 수 있다.
또한, 본 발명의 일 실시예에 따른 IRC 계열 웜 차단장치는, IRC에서 사용하는 명령어 패턴을 저장하는 IRC 저장수단을 더 포함하고, 상기 IRC 선처리수단은, 두개 이상의 네트워크 사이에 흐르는 트래픽 가운데, 상기 저장된 IRC에서 사용하는 명령어 패턴과 동일한 트래픽이 포함된 세션을 IRC 세션으로 판별할 수 있다.
상기 IRC에서 사용하는 명령어 패턴은, 'IRC', 'PING', 'PONG', 'JOIN', 'NOTICE', 'AUTH', 'USER', 'Relay', 'server', 'services', 'unknown connection', 'NICK' 가운데 적어도 하나 이상을 포함할 수 있다.
또한, 본 발명의 일 실시예에 따른 IRC 계열 웜 차단장치는, IRC 웜이 사용하는 명령어 패턴을 저장하는 IRC 웜 저장수단을 더 포함하고, 상기 IRC 웜 판별수단은, 상기 판별된 IRC 세션의 통신정보를 갖는 트래픽 가운데, 상기 저장된 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽이 포함된 세션을 IRC 웜 세션으로 판별할 수 있다.
상기 IRC 웜이 사용하는 명령어 패턴은, 'scan.startall', 'http.update', 'scanall', 'ftp.update', 'http.download', '!execute', 'system.reboot', 'scan', 'ipIRC' 가운데 하나 이상을 포함할 수 있다.
또한, 본 발명의 일 실시예에 따른 IRC 계열 웜 차단방법은, 두개 이상의 네트워크 사이에 흐르는 트래픽 가운데 IRC 세션을 판별하고, 상기 판별된 IRC 세션 가운데 IRC 웜이 존재하는 IRC 웜 세션을 차단하는 IRC 웜 차단단계를 포함한다.
상기 IRC 웜 차단단계는, 두개 이상의 네트워크 사이에 흐르는 트래픽 가운데 IRC 세션을 판별하는 IRC 선처리단계; 상기 판별된 IRC 세션 가운데 IRC 웜 세션의 존재여부를 판별하는 IRC 웜 판별단계; 그리고 상기 판별된 IRC 웜 세션을 차단하는 차단단계를 포함할 수 있다.
상기 IRC 선처리단계는, 상기 IRC 선처리단계에서 판별된 IRC 세션의 통신정보를 임시저장하는 IRC 세션 통신정보 저장단계를 더 포함하고, 상기 IRC 웜 판별단계는, 상기 임시저장된 IRC 세션의 통신정보를 독출한 후, 상기 독출된 IRC 세션 의 통신정보를 갖는 트래픽 가운데 IRC 웜이 존재하는 IRC 웜 세션의 존재여부를 판별할 수 있다.
상기 통신정보는 IRC 서버의 주소(IP : Internet Protocol)와 포트(port)일 수 있다.
상기 IRC 선처리단계는, 두개 이상의 네트워크 사이에 흐르는 트래픽 가운데, 기 저장된 IRC에서 사용하는 명령어 패턴과 동일한 트래픽이 포함된 세션을 IRC 세션으로 판별할 수 있다.
상기 IRC에서 사용하는 명령어 패턴은, 'IRC', 'PING', 'PONG', 'JOIN', 'NOTICE', 'AUTH', 'USER', 'Relay', 'server', 'services', 'unknown connection', 'NICK' 가운데 적어도 하나 이상을 포함할 수 있다.
상기 IRC 웜 판별단계는, 상기 판별된 IRC 세션의 통신정보를 갖는 트래픽 가운데, 기 저장된 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽이 포함된 세션을 IRC 웜 세션으로 판별할 수 있다.
상기 IRC 웜이 사용하는 명령어 패턴은, 'scan.startall', 'http.update', 'scanall', 'ftp.update', 'http.download', '!execute', 'system.reboot', 'scan', 'ipIRC' 가운데 적어도 하나 이상을 포함할 수 있다.
이상과 같은 구성과 흐름에 의해, 본 발명에 따른 IRC 계열 웜 차단 장치 및 방법은, 네트워크상에서 IRC 계열 세션(session)을 추출하는 선처리 과정을 수행하고 상기 선처리 과정을 거쳐 추출된 세션에 대해 IRC 웜 차단 동작을 수행한다.
이하에서는, 도면을 참조하여 IRC 계열 웜 차단 장치 및 방법에 대하여 보다 상세히 설명하기로 한다. 다만, 본 발명을 설명함에 있어서 종래에 공지가 되어 알려진 부분에 대해서는 자세한 설명을 생략하기로 한다.
도 2는 본 발명의 바람직한 일 실시예에 적용되는 IRC 계열 웜 차단장치가 구비된 네트워크 디바이스의 구성 블럭도이다.
도 2를 참조하면, 네트워크 디바이스(100)는, 네트워크 A와 네트워크 B를 연결해주며, 네트워크 A와 네트워크 B 사이에 흐르는 트래픽을 탐지 및 차단하는 디바이스이다.
상기 네트워크 디바이스(100)는, 차단모듈(101), IRC 선처리기(102), 선처리 DB(103), 세션 수집부(104), 세션 DB(105), 세션 모니터링부(106), IRC 패턴 DB(107), 그리고 세션 차단 정책 적용부(108)를 포함한다.
차단모듈(101)은, 네트워크 A와 네트워크 B 사이에 흐르는 트래픽을 IRC 선처리기(102)로 전송하고, 외부로부터 입력되는 명령에 의해, IRC 웜이 존재하는 트래픽을 차단한다.
IRC 선처리기(102)는, 차단모듈(101)로부터 전송된 트래픽을 감시하고, 선처리 DB(103)에 저장된, IRC에서 사용하는 명령어 패턴에 기초하여 IRC 세션을 판별한다.
세션 수집부(104)는, 상기 IRC 선처리기(102)에 의해 판별된 IRC 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}를 세션 DB(105)에 저장한다.
세션 모니터링부(106)는, IRC 패턴 DB(107)에 저장된, IRC 웜이 사용하는 명령어 패턴에 기초하여 상기 세션 DB(105)에 저장된 IRC 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}에 따르는 트래픽 가운데 IRC 웜 세션(IRC 웜이 존재하는 IRC 세션)의 존재여부를 판별하고, IRC 웜 세션이 존재하면 IRC 웜 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}를 세션 차단 정책 적용부(108)로 전송한다.
그리고, 세션 차단 정책 적용부(108)는 상기 전송된 IRC 웜 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}에 해당하는 IRC 웜 세션을 차단하도록 상기 차단모듈(101)에 명령한다.
참고로, 도 3은 도 2의 선처리 DB(103)와 IRC 패턴 DB(107)에 저장된 데이터를 각각 예시한 것으로서, 선처리 DB(103)는 IRC에서 사용하는 명령어 패턴을 저장하고, IRC 패턴 DB(107)는 IRC 웜이 사용하는 명령어 패턴을 저장한다.
도 4는 네트워크상에서 IRC 계열 웜에 대한 본 발명에 따른 탐지 및 차단 범위를 도시한 것이고, 도 5는 본 발명의 바람직한 일 실시예에 따른 IRC 계열 웜 차단방법의 흐름도로서, 상기와 같이 구성되는 본 발명에 따른 IRC 계열 웜 차단장치의 동작에 대해, 본 발명에 따른 IRC 계열 웜 차단방법의 흐름과 병행하여 상세히 설명하기로 한다.
먼저, 네트워크 디바이스(100)의 차단모듈(101)이 네트워크 A와 네트워크 B 사이에 흐르는 트래픽을 패킷 단위로 IRC 선처리기(102)에 전송하면, IRC 선처리기(102)는, 상기 전송된 트래픽을, 선처리 DB(103)에 저장된 IRC에서 사용하는 명령어 패턴과 비교한다.
참고로, IRC에서 사용하는 명령어 패턴은, 도 3과 같이, 'IRC', 'PING', 'PONG', 'JOIN', 'NOTICE', 'AUTH', 'USER', 'Relay', 'server', 'services', 'unknown connection', 'NICK' 등이 예시될 수 있다.
상기 비교결과, 차단모듈(101)로부터 전송된 트래픽 가운데 IRC에서 사용하는 명령어 패턴과 동일한 트래픽이 존재하면, IRC 선처리기(102)는 해당 트래픽이 존재하는 세션을 IRC 세션으로 판별하고(S501), 세션 수집부(104)는 상기 판별된 IRC 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}를 세션 DB(105)에 저장한다(S502).
이어, 세션 모니터링부(106)는, 상기 세션 DB(105)에 저장된 IRC 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}에 따르는 트래픽을, IRC 패턴 DB(107)에 저장된 IRC 웜이 사용하는 명령어 패턴과 비교한다.
참고로, IRC 웜이 사용하는 명령어 패턴은, 도 3과 같이, 'scan.startall', 'http.update', 'scanall', 'ftp.update', 'http.download', '!execute', 'system.reboot', 'scan', 'ipIRC' 등이 예시될 수 있다.
상기 비교결과, 상기 세션 DB(105)에 저장된 IRC 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}에 따르는 트래픽 가운데 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽이 존재하면, 세션 모니터링부(106)는 해당 트래픽에 IRC 웜이 존재하는 것으로 판별하고(S503), IRC 웜이 존재하는 IRC 세션 즉, IRC 웜 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}를 세션 차단 정책 적용부(108)로 전송한다.
그리고 나면, 세션 차단 정책 적용부(108)는 상기 전송된 IRC 웜 세션의 통신정보{IRC 서버의 주소(IP : Internet Protocol)와 포트(port)}를 상기 차단모듈(101)에 다시 전송함으로써, IRC 웜 세션을 차단하도록 명령하게 된다(S504).
상술한 바와 같이, 본 발명이 도면에 도시된 실시예를 참고하여 설명되었으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 본 발명의 요지 및 범위를 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
상술한 바와 같이, 본 발명에 따른 IRC 계열 웜 차단 장치 및 방법은, 네트워크상에서 IRC 계열 세션(session)을 추출하는 선처리 과정을 수행하고 상기 선처리 과정을 거쳐 추출된 세션에 대해 IRC 웜 차단 동작을 수행함으로써, 네트워크의 서비스 장애 및 오탐지의 확률을 현저히 낮출 수 있는 매우 유용한 발명인 것이다.

Claims (15)

  1. 두개 이상의 네트워크 사이에 흐르는 트래픽 가운데 IRC 세션을 판별하는 IRC 선처리수단;
    상기 판별된 IRC 세션 가운데, IRC 웜 세션의 존재여부를 판별하는 IRC 웜 판별수단; 그리고
    상기 판별된 IRC 웜 세션을 차단하는 차단수단을 포함하는 IRC 계열 웜 차단장치.
  2. 제 1항에 있어서,
    상기 IRC 선처리수단에 의해 판별된 IRC 세션의 통신정보를 임시저장하는 IRC 세션 통신정보 저장수단을 더 포함하고,
    상기 IRC 웜 판별수단은,
    상기 임시저장된 IRC 세션의 통신정보를 독출한 후, 상기 독출된 IRC 세션의 통신정보를 갖는 트래픽 가운데 IRC 웜이 존재하는 IRC 웜 세션의 존재여부를 판별하는 것을 특징으로 하는 IRC 계열 웜 차단장치.
  3. 제 1항 또는 제 2항에 있어서,
    상기 통신정보는 IRC 서버의 주소(IP : Internet Protocol)와 포트(port)인 것을 특징으로 하는 IRC 계열 웜 차단장치.
  4. 제 1항 또는 제 2항에 있어서,
    IRC에서 사용하는 명령어 패턴을 저장하는 IRC 저장수단을 더 포함하고,
    상기 IRC 선처리수단은,
    두개 이상의 네트워크 사이에 흐르는 트래픽 가운데, 상기 저장된 IRC에서 사용하는 명령어 패턴과 동일한 트래픽이 포함된 세션을 IRC 세션으로 판별하는 것을 특징으로 하는 IRC 계열 웜 차단장치.
  5. 제 4항에 있어서,
    상기 IRC에서 사용하는 명령어 패턴은, 'IRC', 'PING', 'PONG', 'JOIN', 'NOTICE', 'AUTH', 'USER', 'Relay', 'server', 'services', 'unknown connection', 'NICK' 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 IRC 계열 웜 차단장치.
  6. 제 1항 또는 제 2항에 있어서,
    IRC 웜이 사용하는 명령어 패턴을 저장하는 IRC 웜 저장수단을 더 포함하고,
    상기 IRC 웜 판별수단은,
    상기 판별된 IRC 세션의 통신정보를 갖는 트래픽 가운데, 상기 저장된 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽이 포함된 세션을 IRC 웜 세션으로 판별하는 것을 특징으로 하는 IRC 계열 웜 차단장치.
  7. 제 6항에 있어서,
    상기 IRC 웜이 사용하는 명령어 패턴은, 'scan.startall', 'http.update', 'scanall', 'ftp.update', 'http.download', '!execute', 'system.reboot', 'scan', 'ipIRC' 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 IRC 계열 웜 차단장치.
  8. 두개 이상의 네트워크 사이에 흐르는 트래픽 가운데 IRC 세션을 판별하고, 상기 판별된 IRC 세션 가운데 IRC 웜이 존재하는 IRC 웜 세션을 차단하는 IRC 웜 차단단계를 포함하는 IRC 계열 웜 차단방법.
  9. 제 8항에 있어서, 상기 IRC 웜 차단단계는,
    두개 이상의 네트워크 사이에 흐르는 트래픽 가운데 IRC 세션을 판별하는 IRC 선처리단계;
    상기 판별된 IRC 세션 가운데 IRC 웜 세션의 존재여부를 판별하는 IRC 웜 판별단계; 그리고
    상기 판별된 IRC 웜 세션을 차단하는 차단단계를 포함하는 IRC 계열 웜 차단방법.
  10. 제 9항에 있어서,
    상기 IRC 선처리단계는,
    상기 IRC 선처리단계에서 판별된 IRC 세션의 통신정보를 임시저장하는 IRC 세션 통신정보 저장단계를 더 포함하고,
    상기 IRC 웜 판별단계는,
    상기 임시저장된 IRC 세션의 통신정보를 독출한 후, 상기 독출된 IRC 세션의 통신정보를 갖는 트래픽 가운데 IRC 웜이 존재하는 IRC 웜 세션의 존재여부를 판별하는 것을 특징으로 하는 IRC 계열 웜 차단방법.
  11. 제 9항 또는 제 10항에 있어서,
    상기 통신정보는 IRC 서버의 주소(IP : Internet Protocol)와 포트(port)인 것을 특징으로 하는 IRC 계열 웜 차단방법.
  12. 제 9항 또는 제 10항에 있어서, 상기 IRC 선처리단계는,
    두개 이상의 네트워크 사이에 흐르는 트래픽 가운데, 기 저장된 IRC에서 사용하는 명령어 패턴과 동일한 트래픽이 포함된 세션을 IRC 세션으로 판별하는 것을 특징으로 하는 IRC 계열 웜 차단방법.
  13. 제 12항에 있어서,
    상기 IRC에서 사용하는 명령어 패턴은, 'IRC', 'PING', 'PONG', 'JOIN', 'NOTICE', 'AUTH', 'USER', 'Relay', 'server', 'services', 'unknown connection', 'NICK' 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 IRC 계열 웜 차단방법.
  14. 제 9항 또는 제 10항에 있어서, 상기 IRC 웜 판별단계는,
    상기 판별된 IRC 세션의 통신정보를 갖는 트래픽 가운데, 기 저장된 IRC 웜이 사용하는 명령어 패턴과 동일한 트래픽이 포함된 세션을 IRC 웜 세션으로 판별하는 것을 특징으로 하는 IRC 계열 웜 차단방법.
  15. 제 14항에 있어서,
    상기 IRC 웜이 사용하는 명령어 패턴은, 'scan.startall', 'http.update', 'scanall', 'ftp.update', 'http.download', '!execute', 'system.reboot', 'scan', 'ipIRC' 가운데 적어도 하나 이상을 포함하는 것을 특징으로 하는 IRC 계열 웜 차단방법.
KR1020060117831A 2006-11-27 2006-11-27 아이알씨 계열 웜 차단 장치 및 방법 KR101252811B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060117831A KR101252811B1 (ko) 2006-11-27 2006-11-27 아이알씨 계열 웜 차단 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060117831A KR101252811B1 (ko) 2006-11-27 2006-11-27 아이알씨 계열 웜 차단 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20080047861A true KR20080047861A (ko) 2008-05-30
KR101252811B1 KR101252811B1 (ko) 2013-04-09

Family

ID=39664173

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060117831A KR101252811B1 (ko) 2006-11-27 2006-11-27 아이알씨 계열 웜 차단 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101252811B1 (ko)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7093239B1 (en) 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
KR100424724B1 (ko) * 2001-07-27 2004-03-27 김상욱 네트워크 흐름 분석에 의한 침입 탐지 장치
KR100441409B1 (ko) * 2001-11-12 2004-07-23 주식회사 안철수연구소 바이러스 탐지 엔진을 갖는 침입 탐지 시스템

Also Published As

Publication number Publication date
KR101252811B1 (ko) 2013-04-09

Similar Documents

Publication Publication Date Title
KR101424490B1 (ko) 지연시간 기반 역 접속 탐지 시스템 및 그 탐지 방법
CN1656731B (zh) 基于多方法网关的网络安全系统和方法
US7562390B1 (en) System and method for ARP anti-spoofing security
US20050071650A1 (en) Method and apparatus for security engine management in network nodes
KR20140088340A (ko) 오픈플로우 스위치에서의 디도스 공격 처리 장치 및 방법
KR20120090574A (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
CN109587156A (zh) 异常网络访问连接识别与阻断方法、系统、介质和设备
KR100479202B1 (ko) 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
KR100624483B1 (ko) 네트워크에서의 차등 침입탐지 장치 및 방법
US8161555B2 (en) Progressive wiretap
KR20010079361A (ko) 네트워크 상태 기반의 방화벽 장치 및 그 방법
KR101281160B1 (ko) 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법
KR100950900B1 (ko) 분산서비스거부 공격 방어방법 및 방어시스템
CN117375942A (zh) 基于节点清洗防范DDoS攻击的方法及装置
KR101160219B1 (ko) 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
CN111565196A (zh) 一种KNXnet/IP协议入侵检测方法、装置、设备及介质
KR20090075719A (ko) 트래픽 방어 방법 및 장치
KR101074198B1 (ko) 유해 트래픽 발생 호스트 격리 방법 및 시스템
CN109274638A (zh) 一种攻击源接入自动识别处理的方法和路由器
KR101252811B1 (ko) 아이알씨 계열 웜 차단 장치 및 방법
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
KR101428721B1 (ko) 트래픽 분석을 통한 악성 트래픽 탐지 방법 및 그 시스템
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
US20050147037A1 (en) Scan detection

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160308

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170403

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 7