KR20080069852A - 네트워크 모니터링을 통한 악성 코드 진단 시스템 및 그방법 - Google Patents

네트워크 모니터링을 통한 악성 코드 진단 시스템 및 그방법 Download PDF

Info

Publication number
KR20080069852A
KR20080069852A KR1020070007597A KR20070007597A KR20080069852A KR 20080069852 A KR20080069852 A KR 20080069852A KR 1020070007597 A KR1020070007597 A KR 1020070007597A KR 20070007597 A KR20070007597 A KR 20070007597A KR 20080069852 A KR20080069852 A KR 20080069852A
Authority
KR
South Korea
Prior art keywords
code
intrusion
intrusion code
mobile terminal
monitoring center
Prior art date
Application number
KR1020070007597A
Other languages
English (en)
Inventor
안태진
박태준
정태철
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020070007597A priority Critical patent/KR20080069852A/ko
Publication of KR20080069852A publication Critical patent/KR20080069852A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

네트워크 모니터링을 통한 악성 코드 진단 시스템 및 그 방법이 개시된다. 본 발명의 악성 코드 진단 시스템은 침입 코드를 검출하고, 상기 침입 코드에 대한 정보를 전송하는 휴대 단말기 및 상기 휴대 단말기로부터 수신된 상기 침입 코드에 대한 정보를 기초로 상기 침입 코드가 알려진 악성 코드인지 여부 및 배포 인증된 것인지 여부를 검증하는 네트워크 모니터링 센터를 포함하는 것을 특징으로 한다.
악성 코드, 침입 코드, 네트워크, 모니터링

Description

네트워크 모니터링을 통한 악성 코드 진단 시스템 및 그 방법 {SYSTEM FOR DETECTING MALICIOUS CODE VIA NETWORK MONITORING AND METHOD USING THE SAME}
도 1은 본 발명의 일 실시예에 따른 악성 코드 진단 시스템도이다.
도 2는 본 발명의 일 실시예에 따른 악성 코드 진단 시스템에 대한 구성 블록도이다.
도 3은 본 발명의 다른 일 실시예에 따른 악성 코드 진단 시스템에 대한 구성 블록도이다.
도 4는 본 발명의 또 다른 일 실시예에 따른 악성 코드 진단 시스템에 대한 구성 블록도이다.
도 5는 본 발명의 또 다른 일 실시예에 따른 악성 코드 진단 시스템에 대한 구성 블록도이다.
도 6은 본 발명에 따른 악성 코드 진단 시스템을 설명하기 위한 일 예시도이다.
도 7은 휴대 단말기와 네트워크 모니터링 센터간 전송되는 데이터 포맷의 일 예시도이다.
도 8은 본 발명의 일 실시예에 따른 악성 코드 진단 방법에 대한 동작 흐름도이다.
도 9는 본 발명의 다른 일 실시예에 따른 악성 코드 진단 방법에 대한 동작 흐름도이다.
도 10은 본 발명의 또 다른 일 실시예에 따른 악성 코드 진단 방법에 대한 동작 흐름도이다.
도 11은 본 발명의 또 다른 일 실시예에 따른 악성 코드 진단 방법에 대한 동작 흐름도이다.
<도면의 주요 부분에 대한 부호의 설명>
200: 휴대 단말기
210: 침입 코드 검출부
220: 정보 전송부
230: 대처 방안 실행부
240: 네트워크 모니터링 센터
250: 악성 여부 검증부
260: 배포 인증 검증부
270: 리스트 추가부
280: 악성 여부 판단부
290: 대처 방안 생성부
본 발명은 악성 코드 진단에 관한 것으로, 더욱 상세하게는 네트워크 모니터링을 통해 알려지지 않은 악성 코드를 조기에 진단할 수 있는 네트워크 모니터링을 통한 악성 코드 진단 시스템 및 그 방법에 관한 것이다.
스마트폰, 개인 휴대 단말기(PDA), 와이브로(WiBro) 단말 등의 휴대 단말기에서 바이러스(virus), 웜(worm), 트로이 목마(Trojan), 스팸(spam), 해킹툴(hacking tool) 등의 악성 코드를 검출하는 기술을 필요로 하고 있다.
종래 기술의 일 예로, 휴대 단말기에서 시그니쳐(signature) 기반을 이용하여 악성 코드를 검출하는 기술이 있다.
시그니쳐 기반의 검출 기술은 알려진 바이러스들의 시그니쳐들을 데이터베이스에 저장하고, 휴대 단말기로 입력되는 데이터를 데이터베이스에 저장된 시그니쳐와 비교하여 일치하는 시그니쳐가 존재하는지 판단함으로써 악성 코드 여부를 검출한다.
즉, 데이터베이스에 저장된 시그니쳐와 동일한 시그니쳐를 갖는 데이터가 휴대 단말기로 입력되면 입력된 데이터를 악성 코드로 판단하고, 그렇지 않은 경우 악성 코드가 아닌 것으로 판단한다.
하지만, 시그니쳐 기반의 검출 기술은 알려진 바이러스의 수가 많아짐에 따라 데이터베이스가 커지고, 이에 따라 시그니쳐 매칭 오버헤드 및 배터리 소모가 증가하는 문제점이 있다.
또한, 시그니쳐 기반의 검출 기술은 악성 코드 확산 시점과 데이터베이스 업데이트 시점 사이의 시차 때문에 실시간 검출이 불가능한 문제점이 있다.
따라서, 네트워크 모니터링을 통해 알려지지 않은 악성 코드를 검출하여 알려지지 않은 악성 코드 확산을 방지할 수 있는 장치의 필요성이 대두된다.
본 발명은 상술한 바와 같은 종래기술의 문제점을 해결하기 위해 안출된 것으로서, 휴대 단말기들로 이루어진 네트워크를 모니터링하여 알려지지 않은 악성 코드를 조기에 검출하는 것을 목적으로 한다.
또한, 본 발명은 알려지지 않은 악성 코드를 조기에 검출하여 악성 코드에 의한 피해를 최소화하는 것을 목적으로 한다.
상기의 목적을 달성하고 종래기술의 문제점을 해결하기 위하여, 본 발명의 악성 코드 진단 시스템은 침입 코드를 검출하고, 상기 침입 코드에 대한 정보를 전송하는 휴대 단말기 및 상기 휴대 단말기로부터 수신된 상기 침입 코드에 대한 정보를 기초로 상기 침입 코드가 알려진 악성 코드인지 여부 및 배포 인증된 것인지 여부를 검증하는 네트워크 모니터링 센터를 포함하는 것을 특징으로 한다.
이때, 상기 네트워크 모니터링 센터는 상기 침입 코드가 알려진 악성 코드가 아니고 배포 인증된 것이 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가하고, 상기 휴대 단말기가 포함된 네트워크 내의 상기 침입 코드의 모니터링 결과 상기 침입 코드 발생 횟수가 기 결정된 임계값 이상인 경우 상기 침입 코드를 알려지지 않은 악성 코드로 판단할 수 있다.
이때, 상기 네트워크 모니터링 센터는 상기 침입 코드가 알려지지 않은 악성 코드로 판단되면 상기 알려지지 않은 악성 코드에 대한 정보를 전송하고, 상기 네트워크 내의 휴대 단말기들 각각은 상기 알려지지 않은 악성 코드에 대한 정보를 수신하여 면역 데이터베이스를 갱신할 수 있다.
이때, 상기 휴대 단말기는 상기 네트워크 내에 구성된 휴대 단말기들과 차별화된 면역 데이터베이스를 구비할 수 있다.
이때, 상기 네트워크 모니터링 센터는 상기 휴대 단말기로부터 수신된 상기 침입 코드에 대한 정보를 기초로 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하는 악성 여부 검증부 및 상기 침입 코드가 알려진 악성 코드가 아닌 경우 상기 침입 코드가 배포 인증된 것인지 여부를 검증하는 배포 인증 검증부를 포함할 수 있다.
이때, 상기 네트워크 모니터링 센터는 상기 침입 코드가 배포 인증된 것이 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가하는 리스트 추가부 및 상기 휴대 단말기가 포함된 네트워크 내의 상기 침입 코드의 모니터링 결과 상기 침입 코드 발생 횟수가 기 결정된 임계값 이상인 경우 상기 침입 코드를 알려지지 않은 악성 코드로 판단하는 악성 여부 판단부를 더 포함할 수 있다.
본 발명의 악성 코드 진단 시스템은 침입 코드를 검출하고, 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하여 악성 코드 검증 결과를 전송하는 휴대 단말기 및 상기 휴대 단말기로부터 수신된 상기 악성 코드 검증 결과로부터 상기 침입 코드가 알려진 악성 코드가 아닌 경우 상기 침입 코드가 배포 인증된 것인지 여부를 검증하는 네트워크 모니터링 센터를 포함하는 것을 특징으로 한다.
본 발명의 악성 코드 진단 시스템은 침입 코드를 검출하고, 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하여 상기 침입 코드가 알려진 악성 코드가 아닌 경우 상기 침입 코드가 배포 인증된 것인지 여부를 검증하여 배포 인증 검증 결과를 전송하는 휴대 단말기 및 상기 휴대 단말기로부터 수신된 상기 배포 인증 검증 결과로부터 상기 침입 코드가 배포 인증된 것이 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가하는 네트워크 모니터링 센터를 포함하는 것을 특징으로 한다.
본 발명의 악성 코드 진단 시스템은 침입 코드를 검출하고, 상기 침입 코드가 배포 인증된 것인지 여부를 검증하여 배포 인증 검증 결과를 전송하는 휴대 단말기 및 상기 휴대 단말기로부터 수신된 상기 배포 인증 검증 결과로부터 상기 침입 코드가 배포 인증된 것이 아닌 경우 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하는 네트워크 모니터링 센터를 포함하는 것을 특징으로 한다.
본 발명의 악성 코드 진단 방법은 휴대 단말기가 침입 코드를 검출하고, 상기 침입 코드에 대한 정보를 전송하는 단계, 네트워크 모니터링 센터가 상기 휴대 단말기로부터 수신된 상기 침입 코드에 대한 정보를 기초로 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하는 단계 및 상기 네트워크 모니터링 센터가 상기 침입 코드가 알려진 악성 코드가 아닌 경우 상기 침입 코드가 배포 인증된 것인지 여부를 검증하는 단계를 포함하는 것을 특징으로 한다.
이때, 상기 악성 코드 진단 방법은 상기 네트워크 모니터링 센터가 상기 침입 코드가 배포 인증된 것이 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가 하는 단계 및 상기 네트워크 모니터링 센터가 상기 휴대 단말기가 포함된 네트워크 내의 상기 침입 코드의 모니터링 결과 상기 침입 코드 발생 횟수가 기 결정된 임계값 이상인 경우 상기 침입 코드를 알려지지 않은 악성 코드로 판단하는 단계를 더 포함할 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 악성 코드 진단 시스템도이다.
도 1을 참조하면, 악성 코드 진단 시스템은 휴대 단말기들 및 네트워크 모니터링 센터를 포함한다.
휴대 단말기들은 각각 차별화된 면역 데이터베이스(DB)를 구비하고, 무선 링크에 의한 기지국을 통해 네트워크 모니터링 센터로 연결한다.
이때, 휴대 단말기는 침입 코드가 발생한 경우 면역 DB를 이용하여 침입 코드를 검출하고, 그 검출된 침입 코드에 대한 정보를 네트워크 모니터링 센터로 전송할 수 있다.
이때, 휴대 단말기는 침입 코드가 발생한 경우 면역 DB를 이용하여 침입 코드를 검출하고, 그 검출된 침입 코드가 알려진 악성 코드인지 여부를 검증한 후 악성 코드 검증 결과를 네트워크 모니터링 센터로 전송할 수 있다.
이때, 휴대 단말기는 침입 코드가 발생한 경우 면역 DB를 이용하여 침입 코드를 검출하고, 그 검출된 침입 코드가 알려진 악성 코드인지 여부 및 배포 인증된 것인지 여부를 검증한 후 악성 코드 검증 결과 및 배포 인증 검증 결과를 네트워크 모니터링 센터로 전송할 수 있다.
이때, 휴대 단말기는 침입 코드가 발생한 경우 면역 DB를 이용하여 침입 코드를 검출하고, 그 검출된 침입 코드가 배포 인증된 것인지 여부를 검증한 후 배포 인증 검증 결과를 네트워크 모니터링 센터로 전송할 수 있다.
즉, 휴대 단말기는 침입 코드를 검출한 후 침입 코드에 대한 정보, 침입 코드의 알려진 악성 코드 검증 결과, 침입 코드의 배포 인증 검증 결과, 및 침입 코드의 알려진 악성 코드 및 배포 인증 검증 결과 중 어느 하나를 네트워크 모니터링 센터로 전송한다.
여기서, 휴대 단말기가 침입 코드가 알려진 악성 코드인지 여부를 검증하기 위해 알려진 악성 코드를 검증할 수 있는 악성 코드의 시그니쳐로 구성된 데이터베이스 등을 구비해야 한다.
또한, 휴대 단말기가 침입 코드가 배포 인증된 것인지 여부를 검증하기 위해서는 배포 인증 여부를 검증하기 위한 데이터베이스 또는 기술을 구비해야 한다.
따라서, 휴대 단말기는 침입 코드를 검출하는 구성, 알려진 악성 코드 여부를 검증하는 구성 및 배포 인증 여부를 검증하는 구성을 구비할 수 있다.
여기서, 휴대 단말기는 휴대 단말기의 메모리 용량, 배터리 사용량 등을 고려할 때 침입 코드를 검출하는 구성만을 구비하는 것이 가장 바람직하다.
네트워크 모니터링 센터는 휴대 단말기로부터 침입 코드에 대한 정보가 수신된 경우 침입 코드가 알려진 악성 코드인지 여부를 검증 및 배포 인증된 것인지 여부를 검증하여 침입 코드가 알려진 악성 코드가 아니고 배포 인증된 것이 아닌 경 우 침입 코드를 모니터링 리스트에 추가한 후 네트워크 내의 침입 코드 발생 횟수를 모니터링한다.
이때, 네트워크 모니터링 센터는 침입 코드가 알려진 악성 코드인 경우 침입 코드 치료법을 휴대 단말기로 전송하여 침입 코드를 치료하게 할 수 있다.
이때, 네트워크 모니터링 센터는 침입 코드 발생 횟수가 기 결정된 임계값 이상인 경우 침입 코드를 알려지지 않은 악성 코드로 판단하고, 모니터링 리스트에서 침입 코드를 삭제할 수 있다.
이때, 네트워크 모니터링 센터는 침입 코드가 알려지지 않은 악성 코드로 판단되면 침입 코드의 확산을 방지하고, 침입 코드에 대한 치료법을 생성한 후 네트워크 내에 구성된 휴대 단말기들로 배포할 수 있다.
또한, 네트워크 모니터링 센터는 휴대 단말기로부터 악성 코드 검증 결과가 수신되고, 악성 코드 검증 결과를 통해 침입 코드가 알려진 악성 코드가 아닌 경우 침입 코드가 배포 인증된 것인지 여부를 검증하여 침입 코드가 배포 인증된 것이 아닌 경우 침입 코드를 모니터링 리스트에 추가한 후 네트워크 내의 침입 코드 발생 횟수를 모니터링한다.
이때, 네트워크 모니터링 센터는 침입 코드 발생 횟수가 임계값 이상인 경우 침입 코드를 알려지지 않은 악성 코드로 판단하고, 모니터링 리스트에서 침입 코드를 삭제할 수 있다.
또한, 네트워크 모니터링 센터는 휴대 단말기로부터 악성 코드 검증 결과 및 배포 인증 검증 결과가 수신되고, 악성 코드 검증 결과 및 배포 인증 검증 결과를 통해 침입 코드가 알려진 악성 코드가 아니고 배포 인증된 것이 아닌 경우 침입 코드를 모니터링 리스트에 추가한 후 네트워크 내의 침입 코드 발생 횟수를 모니터링한다.
이때, 네트워크 모니터링 센터는 침입 코드 발생 횟수가 임계값 이상인 경우 침입 코드를 알려지지 않은 악성 코드로 판단하고, 모니터링 리스트에서 침입 코드를 삭제할 수 있다.
또한, 네트워크 모니터링 센터는 휴대 단말기로부터 배포 인증 검증 결과가 수신되고, 배포 인증 검증 결과를 통해 침입 코드가 배포 인증된 것이 아닌 경우 침입 코드가 알려진 악성 코드인지 여부를 검증하여 알려진 악성 코드가 아닌 경우 침입 코드를 모니터링 리스트에 추가한 후 네트워크 내의 침입 코드 발생 횟수를 모니터링한다.
이때, 네트워크 모니터링 센터는 침입 코드 발생 횟수가 임계값 이상인 경우 침입 코드를 알려지지 않은 악성 코드로 판단하고, 모니터링 리스트에서 침입 코드를 삭제할 수 있다.
도 2는 본 발명의 일 실시예에 따른 악성 코드 진단 시스템에 대한 구성 블록도이다.
도 2를 참조하면, 악성 코드 진단 시스템은 휴대 단말기(200) 및 네트워크 모니터링 센터(240)를 포함한다.
휴대 단말기(200)는 침입 코드 검출부(210), 정보 전송부(220) 및 대처 방안 실행부(230)를 포함한다.
네트워크 모니터링 센터(240)는 악성 여부 검증부(250), 배포 인증 검증부(260), 리스트 추가부(270), 악성 여부 판단부(280) 및 대처 방안 생성부(290)를 포함한다.
침입 코드 검출부(210)는 휴대 단말기에 구비된 휴대 단말기별로 차별화된 면역 DB를 이용하여 침입 코드를 검출한다.
이때, 면역 DB는 휴대 단말기에 저장된 데이터가 알려진 정상 코드인지 판단할 수 있는 피쳐(feature)들로 구성될 수 있다. 즉, 침입 코드 검출부(210)는 면역 DB에 구성된 피쳐들과 침입 코드인지 판단하기 위한 데이터로부터 추출된 피쳐들을 이용하여 침입 코드를 검출한다.
정보 전송부(220)는 침입 코드 검출부(210)에 의해 검출된 침입 코드에 대한 정보를 네트워크 모니터링 센터(240)로 전송한다.
이때, 정보 전송부(220)는 침입 코드를 의미하는 정보, 침입 코드 데이터 및 침입 코드 데이터에 대한 정보를 포함할 수 있다.
대처 방안 실행부(230)는 네트워크 모니터링 센터로부터 수신된 알려진 악성 코드 또는 알려지지 않은 악성 코드에 대한 치료법을 이용하여 침입 코드를 치료한다.
이때, 휴대 단말기(200)는 침입 코드를 치료한 후 면역 DB를 갱신할 수 있다.
악성 여부 검증부(250)는 휴대 단말기로부터 전송된 침입 코드에 대한 정보를 수신하고, 침입 코드가 알려진 악성 코드인지 여부를 검증한다.
이때, 악성 여부 검증부(260)는 시그니쳐 기반 검출 기술 및 행위 기반 검출 기술 등을 이용하여 침입 코드가 알려진 악성 코드인지 검증할 수 있다.
배포 인증 검증부(270)는 침입 코드가 배포 인증된 것인지 여부를 검증한다.
이때, 배포 인증 검증부(270)는 악성 여부 검증부(260)에 의한 검증 결과 침입 코드가 알려진 악성 코드가 아닌 경우 침입 코드가 배포 인증된 것인지 여부를 검증할 수 있다.
이때, 배포 인증 검증부(260)는 데이터/프로그램 배포자 인증 기술 등을 이용하여 침입 코드가 배포 인증된 것인지 여부를 검증할 수 있다.
리스트 추가부(270)는 배포 인증 검증부(260)에 의한 검증 결과 침입 코드가 배포 인증된 것이 아닌 경우 즉, 침입 코드가 알려진 악성 코드가 아니고 배포 인증된 것이 아닌 경우 침입 코드를 모니터링 리스트에 추가한다.
이때, 네트워크 모니터링 센터(240)는 리스트 추가부(270)에 추가된 침입 코드에 대한 네트워크 내의 발생 횟수를 모니터링한다. 즉, 네트워크 내에 구성된 휴대 단말기들 중 리스트 추가부(270)에 의해 모니터링 리스트에 추가된 침입 코드를 검출한 휴대 단말기의 수가 얼마나 되는지 모니터링한다.
악성 여부 판단부(280)는 리스트 추가부(270)에 의해 모니터링 리스트에 추가된 침입 코드의 발생 횟수가 기 결정된 임계값 이상인 경우 침입 코드를 알려지지 않은 악성 코드로 판단한다.
대처 방안 생성부(290)는 악성 여부 판단부(280)에 의해 침입 코드가 알려지지 않은 악성 코드로 판단된 경우 알려지지 않은 악성 코드에 대한 치료법을 생성 하여 네트워크 내의 휴대 단말기들로 배포한다.
이때, 대처 방안 생성부(290)는 악성 여부 검증부(250)에 의해 침입 코드가 알려진 악성 코드로 확인된 경우 알려진 악성 코드에 대한 치료법을 휴대 단말기로 전송할 수 있다.
이때, 대처 방안 생성부(290)는 배포 인증 검증부(260)에 의해 침입 코드가 알려진 악성 코드가 아니고 배포 인증된 경우 침입 코드가 알려지지 않은 배포 인증된 코드임을 휴대 단말기로 전송할 수 있다.
이와 같이, 본 발명은 알려지지 않은 악성 코드로 판단될 수 있는 침입 코드에 대한 네트워크 내의 모니터링을 통해 알려지지 않은 악성 코드를 조기에 감지하여 확산되는 것을 방지할 수 있다.
도 3은 본 발명의 다른 일 실시예에 따른 악성 코드 진단 시스템에 대한 구성 블록도이다.
도 3을 참조하면, 악성 코드 진단 시스템은 휴대 단말기(300) 및 네트워크 모니터링 센터(350)를 포함한다.
휴대 단말기(300)는 침입 코드 검출부(310), 악성 여부 검증부(320), 정보 전송부(330) 및 대처 방안 실행부(340)를 포함한다.
네트워크 모니터링 센터(350)는 배포 인증 검증부(360), 리스트 추가부(370), 악성 여부 판단부(380) 및 대처 방안 생성부(390)를 포함한다.
즉, 도 3은 도 2와 비교해서 악성 여부 검증부(320)가 네트워크 모니터링 센터가 아닌 휴대 단말기에 구성된 것으로, 설명하면 다음과 같다.
침입 코드 검출부(310)는 휴대 단말기에 구비된 휴대 단말기별로 차별화된 면역 DB를 이용하여 침입 코드를 검출한다.
악성 여부 검증부(320)는 침입 코드가 알려진 악성 코드인지 여부를 검증한다.
이때, 휴대 단말기에 알려진 악성 코드에 대한 치료 기능이 구비되고, 악성 여부 검증부(320)에 의한 검증 결과 침입 코드가 알려진 악성 코드인 경우 악성 코드를 치료할 수 있다.
정보 전송부(330)는 악성 여부 검증부(320)에 의해 검증된 악성 코드 검증 결과를 네트워크 모니터링 센터(350)로 전송한다.
대처 방안 실행부(340)는 네트워크 모니터링 센터로부터 수신된 알려진 악성 코드 또는 알려지지 않은 악성 코드에 대한 치료법을 이용하여 침입 코드를 치료한다.
배포 인증 검증부(360)는 휴대 단말기로부터 수신된 악성 코드 검증 결과로부터 침입 코드가 알려진 악성 코드가 아닌 경우 침입 코드가 배포 인증된 것인지 여부를 검증한다.
리스트 추가부(370)는 배포 인증 검증부(360)에 의한 검증 결과 침입 코드가 배포 인증된 것이 아닌 경우 침입 코드를 모니터링 리스트에 추가한다.
악성 여부 판단부(380)는 리스트 추가부(370)에 의해 모니터링 리스트에 추가된 침입 코드의 발생 횟수가 기 결정된 임계값 이상인 경우 침입 코드를 알려지지 않은 악성 코드로 판단한다.
대처 방안 생성부(390)는 악성 여부 판단부(380)에 의해 침입 코드가 알려지지 않은 악성 코드로 판단된 경우 알려지지 않은 악성 코드에 대한 치료법을 생성하여 네트워크 내의 휴대 단말기들로 배포한다.
이때, 대처 방안 생성부(390)는 배포 인증 검증부(360)로 수신된 악성 코드 검증 결과를 통해 침입 코드가 알려진 악성 코드인 경우 악성 코드에 대한 치료법을 휴대 단말기로 전송할 수 있다.
도 4는 본 발명의 또 다른 일 실시예에 따른 악성 코드 진단 시스템에 대한 구성 블록도이다.
도 4를 참조하면, 악성 코드 진단 시스템은 휴대 단말기(400) 및 네트워크 모니터링 센터(460)를 포함한다.
휴대 단말기(400)는 침입 코드 검출부(410), 악성 여부 검증부(420), 배포 인증 검증부(430), 정보 전송부(440) 및 대처 방안 실행부(450)를 포함한다.
네트워크 모니터링 센터(460)는 리스트 추가부(470), 악성 여부 판단부(480) 및 대처 방안 생성부(490)를 포함한다.
즉, 도 4는 도 2와 비교해서 악성 여부 검증부(420) 및 배포 인증 검증부(430)가 네트워크 모니터링 센터가 아닌 휴대 단말기에 구성된 것으로, 설명하면 다음과 같다.
침입 코드 검출부(410)는 휴대 단말기에 구비된 휴대 단말기별로 차별화된 면역 DB를 이용하여 침입 코드를 검출한다.
악성 여부 검증부(420)는 침입 코드가 알려진 악성 코드인지 여부를 검증한 다.
배포 인증 검증부(430)는 침입 코드가 알려진 악성 코드가 아닌 경우 배포 인증된 것인지 여부를 검증한다.
이때, 배포 인증 검증부(430)에 의한 검증 결과 침입 코드가 배포 인증된 경우 즉, 침입 코드가 알려지지 않은 배포 인증된 코드인 경우 휴대 단말기에서 침입 코드를 실행할 수도 있다.
정보 전송부(440)는 악성 여부 검증부(420)에 의해 침입 코드가 알려진 악성 코드로 검증되거나 배포 인증 검증부(430)에 의해 침입 코드가 알려진 악성 코드가 아니면서 배포 인증된 것이 아닌 경우 이에 대한 검증 결과를 네트워크 모니터링 센터(460)로 전송한다.
대처 방안 실행부(450)는 네트워크 모니터링 센터로부터 수신된 알려진 악성 코드 또는 알려지지 않은 악성 코드에 대한 치료법을 이용하여 침입 코드를 치료한다.
리스트 추가부(470)는 휴대 단말기로부터 수신된 검증 결과를 통해 침입 코드가 알려진 악성 코드가 아니고 배포 인증된 것이 아닌 경우 침입 코드를 모니터링 리스트에 추가한다.
이때, 리스트 추가부(470)는 휴대 단말기로부터 수신된 검증 결과를 통해 침입 코드가 알려진 악성 코드인 경우 이에 대한 정보를 대처 방안 생성부(490)로 출력할 수 있다.
악성 여부 판단부(480)는 리스트 추가부(470)에 의해 모니터링 리스트에 추 가된 침입 코드의 발생 횟수가 기 결정된 임계값 이상인 경우 침입 코드를 알려지지 않은 악성 코드로 판단한다.
대처 방안 생성부(490)는 악성 여부 판단부(480)에 의해 침입 코드가 알려지지 않은 악성 코드로 판단된 경우 알려지지 않은 악성 코드에 대한 치료법을 생성하여 네트워크 내의 휴대 단말기들로 배포한다.
이때, 대처 방안 생성부(490)는 리스트 추가부(470)로부터 입력된 침입 코드가 알려진 악성 코드라는 정보를 통해 악성 코드 치료법을 휴대 단말기로 전송할 수 있다.
도 5는 본 발명의 또 다른 일 실시예에 따른 악성 코드 진단 시스템에 대한 구성 블록도이다.
도 5를 참조하면, 악성 코드 진단 시스템은 휴대 단말기(500) 및 네트워크 모니터링 센터(550)를 포함한다.
휴대 단말기(500)는 침입 코드 검출부(510), 배포 인증 검증부(520), 정보 전송부(530) 및 대처 방안 실행부(540)를 포함한다.
네트워크 모니터링 센터(550)는 악성 여부 검증부(560), 리스트 추가부(570), 악성 여부 판단부(580) 및 대처 방안 생성부(590)를 포함한다.
즉, 도 5는 도 2와 비교해서 배포 인증 검증부(520)가 네트워크 모니터링 센터가 아닌 휴대 단말기에 구성된 것으로, 설명하면 다음과 같다.
침입 코드 검출부(510)는 휴대 단말기에 구비된 휴대 단말기별로 차별화된 면역 DB를 이용하여 침입 코드를 검출한다.
배포 인증 검증부(520)는 침입 코드가 배포 인증된 것인지 여부를 검증한다.
이때, 배포 인증 검증부(520)에 의한 검증 결과 침입 코드가 배포 인증된 경우 휴대 단말기에서 침입 코드를 실행할 수도 있다.
정보 전송부(530)는 배포 인증 검증부(520)에 의해 침입 코드가 배포 인증된 것이 아닌 경우 이에 대한 검증 결과를 네트워크 모니터링 센터로 전송한다.
대처 방안 실행부(540)는 네트워크 모니터링 센터로부터 수신된 알려진 악성 코드 또는 알려지지 않은 악성 코드에 대한 치료법을 이용하여 침입 코드를 치료한다.
악성 여부 검증부(560)는 휴대 단말기로부터 수신된 검증 결과를 통해 침입 코드가 배포 인증된 것이 아닌 경우 침입 코드가 알려진 악성 코드인지 여부를 검증한다.
이때, 악성 여부 검증부(560)는 침입 코드가 알려진 악성 코드로 검증된 경우 이에 대한 정보를 대처 방안 생성부(590)로 출력할 수 있다.
리스트 추가부(570)는 악성 여부 검증부(560)에 의한 검증 결과 침입 코드가 알려진 악성 코드가 아닌 경우 침입 코드를 모니터링 리스트에 추가한다.
악성 여부 판단부(580)는 리스트 추가부(570)에 의해 모니터링 리스트에 추가된 침입 코드의 발생 횟수가 기 결정된 임계값 이상인 경우 침입 코드를 알려지지 않은 악성 코드로 판단한다.
대처 방안 생성부(590)는 악성 여부 판단부(580)에 의해 침입 코드가 알려지지 않은 악성 코드로 판단된 경우 알려지지 않은 악성 코드에 대한 치료법을 생성 하여 네트워크 내의 휴대 단말기들로 배포한다.
이때, 대처 방안 생성부(590)는 악성 여부 검증부(560)로부터 입력된 침입 코드가 알려진 악성 코드라는 정보를 통해 악성 코드 치료법을 휴대 단말기로 전송할 수 있다.
도 6은 본 발명에 따른 악성 코드 진단 시스템을 설명하기 위한 일 예시도이다.
여기서, 도 6에 도시한 각 분면은 알려진 정상 코드(①), 알려진 악성 코드(②), 알려지지 않은 정상 코드(③) 및 알려지지 않은 악성 코드(④)를 나타낸다.
도 6을 참조하면, 본 발명에 따른 악성 코드 진단 시스템은 휴대 단말기별로 차별화된 면역 DB를 이용하여 침입 코드를 검출한다. 즉, 휴대 단말기는 데이터가 알려진 정상 코드(①)인지 판별하여 알려진 정상 코드가 아닌 경우 침입 코드로 판단한다.
이때, 침입 코드는 알려진 악성 코드(②), 알려지지 않은 정상 코드(③) 및 알려지지 않은 악성 코드(④) 중 어느 하나가 될 수 있다.
이때, 침입 코드의 검출은 휴대 단말기에서 수행될 수 있다.
침입 코드가 검출되면 검출된 침입 코드가 알려진 악성 코드인지 검증한다.
즉, 침입 코드가 알려진 악성 코드(②) 영역에 위치한지 검증한다.
이때, 침입 코드는 시그니쳐 기반 검출 기술 및 행위 기반 검출 기술 등에 의해 알려진 악성 코드인지 여부가 검증될 수 있다.
이때, 침입 코드에 대한 알려진 악성 코드 여부 검증은 휴대 단말기 및 네트 워크 모니터링 센터 중 어느 한 곳에서 수행될 수 있다.
알려진 악성 코드 여부 검증 결과, 침입 코드가 알려진 악성 코드가 아닌 경우 침입 코드가 배포 인증된 것인지 여부를 검증한다.
즉, 침입 코드가 알려지지 않은 정상 코드 영역(③)에 위치한지 검증한다.
이때, 침입 코드에 대한 배포 인증 여부 검증은 휴대 단말기 및 네트워크 모니터링 센터 중 어느 한 곳에서 수행될 수 있다.
침입 코드가 알려진 악성 코드가 아니고 배포 인증된 것이 아닌 경우 침입 코드가 알려지지 않은 악성 코드일 가능성이 높다.
하지만, 침입 코드가 알려지지 않은 악성 코드가 아닐 수도 있기 때문에 네트워크 모니터링을 통해 침입 코드가 알려지지 않은 악성 코드인지 여부를 판단한다.
즉, 네트워크 모니터링을 통해 네트워크 내의 침입 코드 발생 횟수와 임계값을 비교하여 발생 횟수가 임계값 이상인 경우 침입 코드를 알려지지 않은 악성 코드로 판단한다.
이때, 네트워크 내의 침입 코드 발생 횟수는 일정 기간 동안 발생한 침입 코드 검출 횟수일 수 있다. 즉, 침입 코드가 네트워크 내에 구성된 휴대 단말기들 중 몇 개의 휴대 단말기에서 검출되었는지 모니터링하여 침입 코드가 알려지지 않은 악성 코드인지 여부를 판단한다.
침입 코드가 알려지지 않은 악성 코드로 판단되면 악성 코드에 대한 치료법을 생성하여 네트워크 내에 구성된 휴대 단말기들로 전송함으로써, 알려지지 않은 악성 코드의 확산을 조기에 방지할 수 있다.
도 7은 휴대 단말기와 네트워크 모니터링 센터간 전송되는 데이터 포맷의 일 예시도이다.
도 7을 참조하면, 데이터 포맷은 ID, LENGTH, DATA 및 VRFY 필드를 포함한다.
ID 필드는 전송되는 데이터의 종류를 나타내는 필드이다.
이때, ID 필드 값은 휴대 단말기에서 네트워크 모니터링 센터로 전송되는 경우와 네트워크 모니터링 센터에서 휴대 단말기로 전송되는 경우에 따라 달라질 수 있다.
예를 들어, 휴대 단말기에서 네트워크 모니터링 센터로 전송되는 데이터의 경우 ID 필드 값이 A1, A2, A3 등이 될 수 있고, 네트워크 모니터링 센터에서 휴대 단말기로 전송되는 데이터의 경우 ID 필드 값이 B가 될 수 있다.
LENGTH 필드는 전송되는 데이터의 길이를 나타내는 필드이다.
DATA 필드는 전송되는 데이터 페이로드(payload)를 나타내는 필드이다.
VRFY 필드는 전송되는 데이터의 무결성(integrity) 검증, 오류 검출 및 정정 등을 위한 정보를 나타내는 필드이다.
이때, 데이터의 무결성은 MAC(Message Authentication Code) 등을 이용하여 검증할 수 있다.
이때, 데이터의 오류는 CRC(Cyclic Redundancy Check) 등을 이용하여 검출할 수 있다.
이때, 데이터의 오류는 RS(Reed-Solomon) Code 등을 이용하여 정정할 수 있다.
도 8은 본 발명의 일 실시예에 따른 악성 코드 진단 방법에 대한 동작 흐름도이다.
도 8을 참조하면, 악성 코드 진단 방법은 휴대 단말기가 침입 코드를 검출하고, 그 검출된 침입 코드에 대한 정보를 네트워크 모니터링 센터로 전송한다.
네트워크 모니터링 센터는 휴대 단말기로부터 수신된 침입 코드에 대한 정보를 이용하여 침입 코드가 알려진 악성 코드인지 여부를 검증한다.
침입 코드가 알려진 악성 코드인 경우 알려진 악성 코드에 대한 치료법을 휴대 단말기로 전송하여 휴대 단말기가 침입 코드를 치료할 수 있게 한다.
침입 코드가 알려진 악성 코드가 아닌 경우 침입 코드가 배포 인증된 것인지 여부를 검증한다.
침입 코드가 배포 인증된 경우 이에 대한 정보를 휴대 단말기로 전송하고, 침입 코드가 배포 인증된 것이 아닌 경우 침입 코드를 모니터링 리스트에 추가한 후 네트워크 내의 침입 코드 발생 여부를 모니터링한다.
침입 코드의 모니터링 결과, 침입 코드의 발생 횟수가 기 결정된 임계값 이상인 경우 침입 코드를 알려지지 않은 악성 코드로 판단한다.
이때, 네트워크 모니터링 센터는 알려지지 않은 악성 코드에 대한 치료법을 생성하고, 알려지지 않은 악성 코드에 대한 정보 및 치료법을 네트워크 내에 구성된 휴대 단말기들로 전송할 수 있다.
이때, 네트워크 모니터링 센터는 모니터링 리스트에서 침입 코드를 삭제할 수 있다.
이때, 네트워크 모니터링 센터는 네트워크 모니터링 결과 기 결정된 기간 동안 침입 코드 발생 횟수가 임계값보다 작은 경우에는 알려지지 않은 악성 코드가 아닌 것으로 판단할 수 있다.
휴대 단말기는 네트워크 모니터링 센터로부터 수신된 알려지지 않은 악성 코드 정보 및 치료법을 이용하여 침입 코드를 치료하고, 면역 DB를 갱신한다.
이와 같이 본 발명의 악성 코드 진단 방법은 침입 코드가 알려진 악성 코드가 아니고 배포 인증된 것이 아닌 경우 네트워크 모니터링을 통해 침입 코드가 알려지지 않은 악성 코드인지 여부를 판단하게 하여 알려지지 않은 악성 코드에 의한 확산을 조기에 방지할 수 있다.
도 9는 본 발명의 다른 일 실시예에 따른 악성 코드 진단 방법에 대한 동작 흐름도이다.
도 9를 참조하면, 악성 코드 진단 방법은 휴대 단말기가 침입 코드를 검출하고, 그 검출된 침입 코드가 알려진 악성 코드인지 여부를 검증한다.
침입 코드가 알려진 악성 코드이고 휴대 단말기에 알려진 악성 코드 치료법이 구비된 경우 침입 코드를 치료한다.
반면, 침입 코드가 알려진 악성 코드가 아닌 경우 악성 코드 검증 결과 즉, 침입 코드가 알려진 악성 코드가 아닌 정보를 네트워크 모니터링 센터로 전송한다.
네트워크 모니터링 센터는 휴대 단말기로부터 침입 코드가 알려진 악성 코드 가 아닌 정보를 수신하고 침입 코드가 배포 인증된 것인지 여부를 검증한다.
침입 코드가 배포 인증된 경우 이에 대한 정보를 휴대 단말기로 전송하고, 침입 코드가 배포 인증된 것이 아닌 경우 침입 코드를 모니터링 리스트에 추가한 후 네트워크 내의 침입 코드 발생 여부를 모니터링한다.
네트워크 내의 침입 코드를 모니터링하는 이후의 과정에 대한 설명은 도 8에 도시한 네트워크 내의 침입 코드를 모니터링하는 이후의 과정과 동일하기 때문에 생략한다.
도 10은 본 발명의 또 다른 일 실시예에 따른 악성 코드 진단 방법에 대한 동작 흐름도이다.
도 10을 참조하면, 악성 코드 진단 방법은 휴대 단말기가 침입 코드를 검출하고, 그 검출된 침입 코드가 알려진 악성 코드인지 여부를 검증한다.
침입 코드가 알려진 악성 코드이고 휴대 단말기에 알려진 악성 코드 치료법이 구비된 경우 침입 코드를 치료한다.
반면, 침입 코드가 알려진 악성 코드가 아닌 경우 침입 코드가 배포 인증된 것인지 여부를 판단한다.
침입 코드가 배포 인증된 것이 아닌 경우 침입 코드가 알려진 악성 코드가 아니고 배포 인증된 것이 아닌 정보를 네트워크 모니터링 센터로 전송한다.
네트워크 모니터링 센터는 휴대 단말기로부터 침입 코드가 알려진 악성 코드가 아니고 배포 인증된 것이 아닌 정보를 수신하고 그 수신된 정보를 기초로 침입 코드를 모니터링 리스트에 추가한다.
네트워크 모니터링 센터는 침입 코드를 모니터링 리스트에 추가한 후 네트워크 내의 침입 코드 발생 여부를 모니터링한다.
네트워크 내의 침입 코드를 모니터링하는 이후의 과정에 대한 설명은 도 8에 도시한 네트워크 내의 침입 코드를 모니터링하는 이후의 과정과 동일하기 때문에 생략한다.
도 11은 본 발명의 또 다른 일 실시예에 따른 악성 코드 진단 방법에 대한 동작 흐름도이다.
도 11을 참조하면, 악성 코드 진단 방법은 휴대 단말기가 침입 코드를 검출하고, 그 검출된 침입 코드가 배포 인증된 것인지 여부를 검증한다.
침입 코드가 배포 인증된 것이 아닌 경우 배포 인증된 것이 아닌 정보를 네트워크 모니터링 센터로 전송한다.
네트워크 모니터링 센터는 휴대 단말기로부터 침입 코드가 배포 인증된 것이 아닌 정보를 수신한 후 침입 코드가 알려진 악성 코드인지 여부를 검증한다.
침입 코드가 알려진 악성 코드인 경우 알려진 악성 코드에 대한 치료법을 휴대 단말기로 전송하여 휴대 단말기가 침입 코드를 치료할 수 있게 한다.
침입 코드가 알려진 악성 코드가 아닌 경우 침입 코드를 모니터링 리스트에 추가한 후 네트워크 내의 침입 코드 발생 여부를 모니터링한다.
네트워크 내의 침입 코드를 모니터링하는 이후의 과정에 대한 설명은 도 8에 도시한 네트워크 내의 침입 코드를 모니터링하는 이후의 과정과 동일하기 때문에 생략한다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
본 발명의 악성 코드 진단 시스템 및 그 방법은, 휴대 단말기들로 이루어진 네트워크를 모니터링하여 알려지지 않은 악성 코드를 조기에 검출할 수 있다.
또한, 본 발명은 알려지지 않은 악성 코드를 조기에 검출하여 악성 코드에 의한 피해를 최소화할 수 있다.

Claims (31)

  1. 침입 코드를 검출하고, 상기 침입 코드에 대한 정보를 전송하는 휴대 단말기; 및
    상기 휴대 단말기로부터 수신된 상기 침입 코드에 대한 정보를 기초로 상기 침입 코드가 알려진 악성 코드인지 여부 및 배포 인증된 것인지 여부를 검증하는 네트워크 모니터링 센터
    를 포함하는 것을 특징으로 하는 악성 코드 진단 시스템.
  2. 제1항에 있어서,
    상가 네트워크 모니터링 센터는
    상기 침입 코드가 알려진 악성 코드가 아니고 배포 인증된 것이 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가하는 것을 특징으로 하는 악성 코드 진단 시스템.
  3. 제2항에 있어서,
    상가 네트워크 모니터링 센터는
    상기 휴대 단말기가 포함된 네트워크 내의 상기 침입 코드의 모니터링 결과 상기 침입 코드 발생 횟수가 기 결정된 임계값 이상인 경우 상기 침입 코드를 알려지지 않은 악성 코드로 판단하는 것을 특징으로 하는 악성 코드 진단 시스템.
  4. 제3항에 있어서,
    상기 네트워크 모니터링 센터는
    상기 침입 코드가 알려지지 않은 악성 코드로 판단되면 상기 모니터링 리스트에서 상기 침입 코드를 삭제하는 것을 특징으로 하는 악성 코드 진단 시스템.
  5. 제3항에 있어서,
    상기 네트워크 모니터링 센터는 상기 침입 코드가 알려지지 않은 악성 코드로 판단되면 상기 알려지지 않은 악성 코드에 대한 정보를 전송하고,
    상기 네트워크 내의 휴대 단말기들 각각은 상기 알려지지 않은 악성 코드에 대한 정보를 수신하여 면역 데이터베이스를 갱신하는 것을 특징으로 하는 악성 코드 진단 시스템.
  6. 제1항에 있어서,
    상기 휴대 단말기는
    상기 네트워크 내에 구성된 휴대 단말기들과 차별화된 면역 데이터베이스를 구비하는 것을 특징으로 하는 악성 코드 진단 시스템.
  7. 제1항에 있어서,
    상기 네트워크 모니터링 센터는 상기 침입 코드가 알려진 악성 코드로 판단 되면 상기 알려진 악성 코드의 치료법을 전송하고,
    상기 휴대 단말기는 상기 알려진 악성 코드의 치료법을 수신하여 상기 침입 코드를 치료하는 것을 특징으로 하는 악성 코드 진단 시스템.
  8. 제1항에 있어서,
    상기 네트워크 모니터링 센터는
    시그니쳐 기반 검출 기술 및 행위 기반 검출 기술 중 어느 하나에 의해 상기 침입 코드가 알려진 악성 코드인지 검증하는 것을 특징으로 하는 악성 코드 진단 시스템.
  9. 제1항에 있어서,
    상기 네트워크 모니터링 센터는
    상기 휴대 단말기로부터 수신된 상기 침입 코드에 대한 정보를 기초로 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하는 악성 여부 검증부; 및
    상기 침입 코드가 알려진 악성 코드가 아닌 경우 상기 침입 코드가 배포 인증된 것인지 여부를 검증하는 배포 인증 검증부
    를 포함하는 것을 특징으로 하는 악성 코드 진단 시스템.
  10. 제9항에 있어서,
    상기 네트워크 모니터링 센터는
    상기 침입 코드가 배포 인증된 것이 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가하는 리스트 추가부; 및
    상기 휴대 단말기가 포함된 네트워크 내의 상기 침입 코드의 모니터링 결과 상기 침입 코드 발생 횟수가 기 결정된 임계값 이상인 경우 상기 침입 코드를 알려지지 않은 악성 코드로 판단하는 악성 여부 판단부
    를 더 포함하는 것을 특징으로 하는 악성 코드 진단 시스템.
  11. 제1항에 있어서,
    상기 휴대 단말기는
    상기 네트워크 내에 구성된 휴대 단말기들과 차별화된 면역 데이터베이스를 기초로 상기 침입 코드를 검출하는 침입 코드 검출부; 및
    상기 침입 코드에 대한 정보를 상기 네트워크 모니터링 센터로 전송하는 정보 전송부
    를 포함하는 것을 특징으로 하는 악성 코드 진단 시스템.
  12. 침입 코드를 검출하고, 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하여 악성 코드 검증 결과를 전송하는 휴대 단말기; 및
    상기 휴대 단말기로부터 수신된 상기 악성 코드 검증 결과로부터 상기 침입 코드가 알려진 악성 코드가 아닌 경우 상기 침입 코드가 배포 인증된 것인지 여부를 검증하는 네트워크 모니터링 센터
    를 포함하는 것을 특징으로 하는 악성 코드 진단 시스템.
  13. 제12항에 있어서,
    상가 네트워크 모니터링 센터는
    상기 침입 코드가 배포 인증된 것이 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가하는 것을 특징으로 하는 악성 코드 진단 시스템.
  14. 제13항에 있어서,
    상가 네트워크 모니터링 센터는
    상기 휴대 단말기가 포함된 네트워크 내의 상기 침입 코드의 모니터링 결과 상기 침입 코드 발생 횟수가 기 결정된 임계값 이상인 경우 상기 침입 코드를 알려지지 않은 악성 코드로 판단하는 것을 특징으로 하는 악성 코드 진단 시스템.
  15. 침입 코드를 검출하고, 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하여 상기 침입 코드가 알려진 악성 코드가 아닌 경우 상기 침입 코드가 배포 인증된 것인지 여부를 검증하여 배포 인증 검증 결과를 전송하는 휴대 단말기; 및
    상기 휴대 단말기로부터 수신된 상기 배포 인증 검증 결과로부터 상기 침입 코드가 배포 인증된 것이 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가하는 네트워크 모니터링 센터
    를 포함하는 것을 특징으로 하는 악성 코드 진단 시스템.
  16. 제15항에 있어서,
    상가 네트워크 모니터링 센터는
    상기 휴대 단말기가 포함된 네트워크 내의 상기 침입 코드의 모니터링 결과 상기 침입 코드 발생 횟수가 기 결정된 임계값 이상인 경우 상기 침입 코드를 알려지지 않은 악성 코드로 판단하는 것을 특징으로 하는 악성 코드 진단 시스템.
  17. 침입 코드를 검출하고, 상기 침입 코드가 배포 인증된 것인지 여부를 검증하여 배포 인증 검증 결과를 전송하는 휴대 단말기; 및
    상기 휴대 단말기로부터 수신된 상기 배포 인증 검증 결과로부터 상기 침입 코드가 배포 인증된 것이 아닌 경우 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하는 네트워크 모니터링 센터
    를 포함하는 것을 특징으로 하는 악성 코드 진단 시스템.
  18. 제17항에 있어서,
    상가 네트워크 모니터링 센터는
    상기 침입 코드가 알려진 악성 코드가 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가하는 것을 특징으로 하는 악성 코드 진단 시스템.
  19. 제18항에 있어서,
    상가 네트워크 모니터링 센터는
    상기 휴대 단말기가 포함된 네트워크 내의 상기 침입 코드의 모니터링 결과 상기 침입 코드 발생 횟수가 기 결정된 임계값 이상인 경우 상기 침입 코드를 알려지지 않은 악성 코드로 판단하는 것을 특징으로 하는 악성 코드 진단 시스템.
  20. 휴대 단말기가 침입 코드를 검출하고, 상기 침입 코드에 대한 정보를 전송하는 단계;
    네트워크 모니터링 센터가 상기 휴대 단말기로부터 수신된 상기 침입 코드에 대한 정보를 기초로 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하는 단계;
    상기 네트워크 모니터링 센터가 상기 침입 코드가 알려진 악성 코드가 아닌 경우 상기 침입 코드가 배포 인증된 것인지 여부를 검증하는 단계
    를 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  21. 제20항에 있어서,
    상기 악성 코드 진단 방법은
    상기 네트워크 모니터링 센터가 상기 침입 코드가 배포 인증된 것이 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가하는 단계; 및
    상기 네트워크 모니터링 센터가 상기 휴대 단말기가 포함된 네트워크 내의 상기 침입 코드의 모니터링 결과 상기 침입 코드 발생 횟수가 기 결정된 임계값 이 상인 경우 상기 침입 코드를 알려지지 않은 악성 코드로 판단하는 단계
    를 더 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  22. 제21항에 있어서,
    상기 악성 코드 진단 방법은
    상기 네트워크 모니터링 센터가 상기 침입 코드가 알려지지 않은 악성 코드로 판단되면 상기 모니터링 리스트에서 상기 침입 코드를 삭제하는 단계
    를 더 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  23. 제21항에 있어서,
    상기 악성 코드 진단 방법은
    상기 네트워크 모니터링 센터가 상기 침입 코드가 알려지지 않은 악성 코드로 판단되면 상기 알려지지 않은 악성 코드에 대한 정보를 전송하는 단계; 및
    상기 네트워크 내의 휴대 단말기들 각각은 상기 알려지지 않은 악성 코드에 대한 정보를 수신하여 면역 데이터베이스를 갱신하는 단계
    를 더 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  24. 제20항에 있어서,
    상기 휴대 단말기는
    상기 네트워크 내에 구성된 휴대 단말기들과 차별화된 면역 데이터베이스를 구비하는 것을 특징으로 하는 악성 코드 진단 방법.
  25. 제20항에 있어서,
    상기 악성 코드 진단 방법은
    상기 네트워크 모니터링 센터가 상기 침입 코드가 알려진 악성 코드로 판단되면 상기 알려진 악성 코드의 치료법을 전송하는 단계; 및
    상기 휴대 단말기가 상기 알려진 악성 코드의 치료법을 수신하여 상기 침입 코드를 치료하는 단계
    를 더 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  26. 제20항에 있어서,
    상기 침입 코드가 알려진 악성 코드인지 검증하는 단계는
    시그니쳐 기반 검출 기술 및 행위 기반 검출 기술 중 어느 하나에 의해 상기 침입 코드가 알려진 악성 코드인지 검증하는 것을 특징으로 하는 악성 코드 진단 방법.
  27. 휴대 단말기가 침입 코드를 검출하고, 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하여 악성 코드 검증 결과를 전송하는 단계; 및
    네트워크 모니터링 센터가 상기 휴대 단말기로부터 수신된 상기 악성 코드 검증 결과가 알려진 악성 코드가 아닌 경우 상기 침입 코드가 배포 인증된 것인지 여부를 검증하는 단계
    를 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  28. 제27항에 있어서,
    상기 악성 코드 진단 방법은
    상기 네트워크 모니터링 센터가 상기 침입 코드가 배포 인증된 것이 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가하는 단계; 및
    상기 네트워크 모니터링 센터가 상기 휴대 단말기가 포함된 네트워크 내의 상기 침입 코드의 모니터링 결과 상기 침입 코드 발생 횟수가 기 결정된 임계값 이상인 경우 상기 침입 코드를 알려지지 않은 악성 코드로 판단하는 단계
    를 더 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  29. 휴대 단말기가 침입 코드를 검출하고, 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하는 단계;
    상기 휴대 단말기가 상기 침입 코드가 알려진 악성 코드가 아닌 경우 상기 침입 코드가 배포 인증된 것인지 여부를 검증하여 배포 인증 검증 결과를 전송하는 단계;
    네트워크 모니터링 센터가 상기 휴대 단말기로부터 수신된 상기 배포 인증 검증 결과가 배포 인증된 것이 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가하는 단계; 및
    상기 네트워크 모니터링 센터가 상기 휴대 단말기가 포함된 네트워크 내의 상기 침입 코드의 모니터링 결과 상기 침입 코드 발생 횟수가 기 결정된 임계값 이상인 경우 상기 침입 코드를 알려지지 않은 악성 코드로 판단하는 단계
    를 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  30. 휴대 단말기가 침입 코드를 검출하고, 상기 침입 코드가 배포 인증된 것인지 여부를 검증하여 배포 인증 검증 결과를 전송하는 단계; 및
    네트워크 모니터링 센터가 상기 휴대 단말기로부터 수신된 상기 배포 인증 검증 결과가 배포 인증된 것이 아닌 경우 상기 침입 코드가 알려진 악성 코드인지 여부를 검증하는 단계
    를 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
  31. 제30항에 있어서,
    상기 악성 코드 진단 방법은
    상기 네트워크 모니터링 센터가 상기 침입 코드가 알려진 악성 코드가 아닌 경우 상기 침입 코드를 모니터링 리스트에 추가하는 단계; 및
    상기 네트워크 모니터링 센터가 상기 휴대 단말기가 포함된 네트워크 내의 상기 침입 코드의 모니터링 결과 상기 침입 코드 발생 횟수가 기 결정된 임계값 이상인 경우 상기 침입 코드를 알려지지 않은 악성 코드로 판단하는 단계
    를 더 포함하는 것을 특징으로 하는 악성 코드 진단 방법.
KR1020070007597A 2007-01-24 2007-01-24 네트워크 모니터링을 통한 악성 코드 진단 시스템 및 그방법 KR20080069852A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070007597A KR20080069852A (ko) 2007-01-24 2007-01-24 네트워크 모니터링을 통한 악성 코드 진단 시스템 및 그방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070007597A KR20080069852A (ko) 2007-01-24 2007-01-24 네트워크 모니터링을 통한 악성 코드 진단 시스템 및 그방법

Publications (1)

Publication Number Publication Date
KR20080069852A true KR20080069852A (ko) 2008-07-29

Family

ID=39822858

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070007597A KR20080069852A (ko) 2007-01-24 2007-01-24 네트워크 모니터링을 통한 악성 코드 진단 시스템 및 그방법

Country Status (1)

Country Link
KR (1) KR20080069852A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101046102B1 (ko) * 2008-10-24 2011-07-01 주식회사 케이티 악성 코드 처리 방법 및 이를 위한 장치 및 시스템
KR101047659B1 (ko) * 2009-10-12 2011-07-07 삼성에스디에스 주식회사 클라우드 기반의 모바일 안티 멀웨어 시스템, 클라우드 센터 및 모바일 디바이스
WO2011046356A3 (ko) * 2009-10-12 2011-09-15 삼성에스디에스 주식회사 안티 멀웨어 서비스 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101046102B1 (ko) * 2008-10-24 2011-07-01 주식회사 케이티 악성 코드 처리 방법 및 이를 위한 장치 및 시스템
KR101047659B1 (ko) * 2009-10-12 2011-07-07 삼성에스디에스 주식회사 클라우드 기반의 모바일 안티 멀웨어 시스템, 클라우드 센터 및 모바일 디바이스
WO2011046356A3 (ko) * 2009-10-12 2011-09-15 삼성에스디에스 주식회사 안티 멀웨어 서비스 방법

Similar Documents

Publication Publication Date Title
US8474044B2 (en) Attack-resistant verification of auto-generated anti-malware signatures
KR100492840B1 (ko) 전자 메모리 탬퍼링을 방지하는 시스템
US8826378B2 (en) Techniques for authenticated posture reporting and associated enforcement of network access
US10867048B2 (en) Dynamic security module server device and method of operating same
US10255433B2 (en) Executing process code integrity verificaton
US9015481B2 (en) Methods and systems for access security for dataloading
CN110276198B (zh) 一种基于概率预测的嵌入式可变粒度控制流验证方法及系统
Lee et al. Flexicast: Energy-efficient software integrity checks to build secure industrial wireless active sensor networks
Chaugule et al. A specification based intrusion detection framework for mobile phones
Duangphasuk et al. Review of internet of things (IoT): security issue and solution
Wagner et al. Take a bite of the reality sandwich: revisiting the security of progressive message authentication codes
KR20080069852A (ko) 네트워크 모니터링을 통한 악성 코드 진단 시스템 및 그방법
Kim et al. Shadowauth: Backward-compatible automatic can authentication for legacy ecus
WO2013055037A1 (ko) 위치정보 기반 인증 관제 시스템 및 방법
JP2023535474A (ja) アソシエーション制御方法及び関連装置
KR100680559B1 (ko) 네트워크 바이러스 진단 및 치료 시스템과 방법
CN113132310A (zh) 一种配电终端与配电主站的安全接入方法及系统
CN107944260A (zh) 一种恶意软件的行为阻断装置及方法
CN110933028B (zh) 报文传输方法、装置、网络设备及存储介质
JP2019134262A (ja) 電子制御装置
CN112995096A (zh) 数据加密、解密方法、装置及设备
JP2001350652A (ja) 動作ログ蓄積装置および動作ログ蓄積管理方法
WO2014088395A1 (en) A system and method for establishing trustworthiness of an application
CN113553125B (zh) 可信应用程序的调用方法、装置、设备及计算机存储介质
CN113301019B (zh) 验证码漏洞检测方法、装置、电子装置和存储介质

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination