KR20080076638A - Method of curing computer viruses and patching programs in networked computers using communication control and system for the same - Google Patents

Method of curing computer viruses and patching programs in networked computers using communication control and system for the same Download PDF

Info

Publication number
KR20080076638A
KR20080076638A KR1020070016830A KR20070016830A KR20080076638A KR 20080076638 A KR20080076638 A KR 20080076638A KR 1020070016830 A KR1020070016830 A KR 1020070016830A KR 20070016830 A KR20070016830 A KR 20070016830A KR 20080076638 A KR20080076638 A KR 20080076638A
Authority
KR
South Korea
Prior art keywords
virus
computer
infected
patch
communication control
Prior art date
Application number
KR1020070016830A
Other languages
Korean (ko)
Other versions
KR100897543B1 (en
Inventor
신용만
Original Assignee
주식회사 아이앤아이맥스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이앤아이맥스 filed Critical 주식회사 아이앤아이맥스
Priority to KR1020070016830A priority Critical patent/KR100897543B1/en
Publication of KR20080076638A publication Critical patent/KR20080076638A/en
Application granted granted Critical
Publication of KR100897543B1 publication Critical patent/KR100897543B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

A method and a system for curing viruses and patching programs to networked computers based on communication control are provided to cure the viruses in a state preventing the viruses from being transferred to other networked computers by finding the infected computer among the networked computers in an early stage, and interrupting communication of the infected computer when the infected computer is found. A virus detecting module(20) determines virus infection with packets received from networked computers(T1-Tn) by connecting to a switch(10) or a mirroring port for the networked computers, and provides address information of the infected computer to a communication controlling module(30) when the infected computer is found. The communication controlling module blocks communication of the infected computer, supports the communication for curing the infected computer, and releases blocking the communication of the infected computer when a predetermined condition is satisfied. A virus curing module(50) cures the viruses by accessing the infected computer in response to a virus cure request. A patching module(55) upgrades a security level of the computer by installing the latest patch file to the computer requesting the patch file.

Description

네트워크로 연결된 컴퓨터 장치들에 대한 통신제어 기반의 바이러스 치료 및 패칭 방법과 그 시스템 {Method of curing computer viruses and patching programs in networked computers using communication control and system for the same}TECHNICAL FIELD The present invention relates to a virus control and a patching method based on communication control for networked computer devices,

도 1은 본 발명의 바람직한 실시예에 따른 것으로서, 다수의 컴퓨터들로 구성된 네트워크에서 바이러스의 조기 발견과 제거를 위한 시스템의 구성을 도시한다. 1 is a block diagram of a system for early detection and removal of viruses in a network composed of a plurality of computers according to a preferred embodiment of the present invention.

도 2는 본 발명의 바람직한 다른 실시예에 따른 것으로서, 다수의 컴퓨터들로 구성된 네트워크에서 바이러스의 조기 발견과 제거를 위한 시스템의 구성을 도시한다. 2 is a block diagram of a system for early detection and removal of viruses in a network composed of a plurality of computers according to another preferred embodiment of the present invention.

도 3은 본 발명의 바람직한 또 다른 실시예에 따른 것으로서, 다수의 컴퓨터들로 구성된 네트워크에서 바이러스의 조기 발견과 제거를 위한 시스템의 구성을 도시한다. FIG. 3 illustrates a system configuration for early detection and removal of viruses in a network composed of a plurality of computers according to another preferred embodiment of the present invention.

도 4는 본 발명의 바람직한 또 다른 실시예에 따른 것으로서, 다수의 컴퓨터들로 구성된 네트워크에서 바이러스의 조기 발견과 제거를 위한 시스템의 구성을 도시한다. 4 is a block diagram of a system for early detection and removal of viruses in a network composed of a plurality of computers according to another preferred embodiment of the present invention.

도 5는 도 1의 시스템에서 바이러스의 조기 발견과 치료를 위한 방법의 실행 절차를 예시적으로 나타내는 흐름도이다. FIG. 5 is a flow chart illustrating an exemplary procedure for implementing the method for early detection and treatment of viruses in the system of FIG. 1;

도 6은 도 2의 시스템에서 바이러스의 조기 발견과 치료를 위한 방법의 실행절차를 예시적으로 나타내는 흐름도이다. FIG. 6 is a flow chart exemplarily showing an execution procedure of a method for early detection and treatment of virus in the system of FIG. 2;

*도면의 주요부분에 대한 부호의 설명*Description of the Related Art [0002]

10: 네트워크 스위칭 장비 20: 바이러스 검출모듈10: Network switching equipment 20: Virus detection module

30: 통신제어모듈 40: 정책DB 모듈30: Communication control module 40: Policy DB module

50: 바이러스 치료모듈 55: 패치 모듈50: Virus treatment module 55: Patch module

60: 게이트웨이(라우터) 70: 외부 네트워크80: 내부 네트워크60: gateway (router) 70: external network 80: internal network

T1, T2, ..., Tn: 내부 네트워크에 연결된 컴퓨터 T1, T2, ..., Tn: a computer connected to the internal network

본 발명은 네트워크의 보호에 관한 것으로서, 보다 상세하게는 네트워크에 연결된 컴퓨터 장치들을 웜이나 바이러스(이하, 통칭하여 '바이러스'라 함) 등과 같은 악성 프로그램으로부터 보호하는 기술에 관한 것이다. BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to network protection, and more particularly, to a technology for protecting computer devices connected to a network from malicious programs such as worms and viruses (hereinafter collectively referred to as 'viruses').

기업이나 학교, 관공서 등과 같은 조직들은 많은 컴퓨터 장치들을 네트워크로 연결한 시스템을 갖추는 것이 일반적이다. 그 컴퓨터 장치들은 하나의 네트워크로 묶거나 또는 여러 개의 서브넷으로 구별하여 묶은 다음 그 서브넷들을 다시 하나의 네트워크로 묶는 등의 형태로 다양하게 네트워크를 구성된다. 그리고 이들 네 트워크는 인터넷에 연결되어 외부의 컴퓨터 시스템과의 연결성을 갖는다. Organizations such as corporations, schools, and government offices usually have systems that connect many computer devices over a network. The computer devices may be grouped into a single network or grouped into a plurality of subnets, and then the subnets are grouped into a single network. These networks are connected to the Internet and have connectivity with external computer systems.

이러한 네트워크 환경은 정보를 보다 빠르고 다양하게 획득하고 전파할 수 있다는 면에서 매우 편리하고 효율적인 도구이지만, 그로 인해 컴퓨터 장치들이 웜이나 바이러스 등의 공격에 더 자주 노출되고 웜이나 바이러스의 전파도 한층 넓고 빠르게 이루어지는 문제점도 수반한다. 특히, 최근에는 웜 바이러스로 인한 피해 사례가 자주 발생한다. 웜 바이러스는 인터넷 등과 같은 네트워크를 통해 짧은 시간동안에 수많은 컴퓨터 시스템에 전파되면서 웜에 감염된 컴퓨터 시스템들이 웜 공격 머신으로 돌변하면서 막대한 양의 네트워크 트래픽을 야기한다. 이로 인해 컴퓨터 시스템은 정상적인 서비스를 할 수 없게 되는 등의 중대한 손상이 유발된다.This network environment is a very convenient and efficient tool for acquiring and spreading information faster and more widely. However, it makes computer devices more vulnerable to attacks such as worms and viruses, spreads worms and viruses more widely But also the problems that arise. In particular, recent cases of damage caused by worm viruses occur frequently. A worm virus spreads to a large number of computer systems over a short period of time through a network such as the Internet, causing computer systems infected with a worm to turn into a worm attack machine, causing a huge amount of network traffic. This causes serious damage to the computer system, such as failure to perform normal service.

웜은 컴퓨터 바이러스와 유사한 자기-복사의 컴퓨터 프로그램이다. 바이러스는 다른 실행 가능한 프로그램 자체에 붙어서 그들의 일부가 되지만, 웜은 자체 내에 포함되어 그 자체를 전달하는 데 다른 프로그램의 일부가 될 필요가 없다. 웜은 수많은 컴퓨터상에서 대량의 네트워크 트래픽을 발생시켜 인터넷상에서 취약한 컴퓨터 시스템에 손상을 줄뿐 아니라, 네트워크의 서비스 거부(Denial of Service; DOS) 공격을 유발하여, 경제적으로 큰 손실을 낳는다. 또한, 웜에 감염된 컴퓨터 시스템이 유선 LAN, 무선 LAN, 가상사설망(VPN), 전화통신망(Dial-up network), 또는 다른 방법을 통해 회사와 같은 내부 네트워크에 연결되면, 위와 같은 방식으로 그 네트워크를 공격하여 회사의 내부 네트워크에 중대한 해를 끼치게 된다. 그러므로 네트워크를 운용하는 측에서는 컴퓨터 자체나 컴퓨터에 저장된 정보를 공격하는 바이러스뿐만 아니라 네트워크를 공격하는 웜에 대해서도 강력한 대책이 필요하다.A worm is a self-copying computer program similar to a computer virus. Viruses become part of other executable programs themselves, but they do not have to be part of another program to be included in itself and to deliver itself. Worms generate large amounts of network traffic on a large number of computers, causing damage to vulnerable computer systems on the Internet, as well as causing Denial of Service (DOS) attacks on the network, resulting in significant economic losses. In addition, if a worm-infected computer system is connected to an internal network, such as a company, via a wired LAN, wireless LAN, VPN, dial-up network, or other means, The attack will cause serious harm to the internal network of the company. Therefore, on the network operating side, strong countermeasures are needed not only for the virus attacking the information stored in the computer itself or the computer, but also for the worm attacking the network.

웜에 대한 최근의 대책으로는 대한민국 특허공개번호 제10-2006-0116741호(발명의 명칭: 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과 장치)가 있다. 이 방법에 따르면, 웜 프로브가 각 소스 IP 어드레스에 기초하여 목적지 도달-불가능한 에러를 가진 패킷을 추적하여, 에러의 수가 예를 들어 웜 프로브의 미리 규정된 로컬 시간 기간 이내에 미리 규정된 로컬 임계값을 초과할 때, 그러한 에러의 수와 소스 IP 어드레스를 네트워크에서 경고(alert)로서 다른 모든 웜 프로브에 보내고, 그러한 에러의 수가 예를 들어 미리 규정된 글로벌 시간 이내에 미리 규정된 네트워크 임계값을 초과하면, 종단 장치가 웜들을 더 유포(spreading)하는 것을 방지하도록 식별된 소스 IP 어드레스를 갖는 종단 장치로부터의 트래픽을 차단한다. 그러나 이 방법은 어떤 네트워크 내의 특정 장비가 웜에 감염 되었을 때, 그 네트워크의 다른 장비들에게 웜이 전이되어 그 네트워크가 마비되는 것에 대한 대책은 제시하지 못하고 있다.A recent countermeasure against a worm is Korean Patent Laid-Open Publication No. 10-2006-0116741 entitled "Method and apparatus for identifying and disabling a worm in a communication network". According to this method, the worm probe tracks packets with destination unreachable errors based on their respective source IP addresses, so that the number of errors is reduced to a predefined local threshold value, for example within a predefined local time period of the worm probe When exceeded, the number of such errors and the source IP address are sent as alerts in the network to all other worm probes, and if the number of such errors exceeds a predefined network threshold, for example within a predefined global time, And blocks traffic from the endpoint having the identified source IP address to prevent the endpoint device from further spreading the worms. However, this method does not provide a measure against worms being transferred to other devices of the network when a specific device in a network is infected with the worm.

네트워크에서 바이러스에 대한 대책으로서 알려진 종래기술의 일예로서, 대한민국 특허등록번호 제10-0468372호(발명의 명칭: smb/cifs 모니터링을 이용한 네트워크 전이형 바이러스 탐지 및 차단 장치 및 그 방법)가 있다. 이 특허는 바이러스 탐지 및 차단을 위한 장치가 해당 Pc마다 인스톨되어 있어 그 장치에서 pc로 유입되는 드라이버 단에서 smb/cifs로 연결되어 유입되는 패킷을 바이러스 검사부에서 검사를 하며, 해당 패킷이 바이러스에 감염되었다고 한다면 pc에 smb/cifs로 연결된 source IP/MAC 정보를 저장하여, 해당 source IP/MAC로 들어오는 데이터 패킷을 차단하는 방법이다. 그런데, 이 방법은 차단 장치가 각 PC에 인스톨 되어야 하 는 번거로움이 있을 뿐만 아니라,각 PC에 인스톨되는 백신 프로그램 등을 일일이 최신 버전으로 업그레이드를 해주어야만 위험 요소의 효과적인 차단이 가능하게 된다. 또한, 이 방법은 해당 PC로 오는 바이러스 감염 PC의 패킷 smb/cifs로 들어오는 패킷만 차단할 뿐이라는 한계를 갖는다. An example of prior art known as countermeasures against viruses in the network is Korean Patent Registration No. 10-0468372 entitled " Network Transfer Virus Detection and Blocking Device and Method Thereof Using Smb / cifs Monitoring ". In this patent, a device for detecting and blocking viruses is installed for each Pc, and a virus checker examines a packet that is connected to the smb / cifs from a driver terminal that is connected to the pc, and the packet is detected as a virus , It saves the source IP / MAC information connected to the PC by smb / cifs and blocks the data packet coming into the source IP / MAC. However, this method is not only troublesome to install the blocking device on each PC, but also upgrading the vaccine programs installed in each PC to the latest version can effectively block the risk factors. In addition, this method has a limitation that it only blocks packets coming into the packet smb / cifs of virus infected PC coming to the PC.

웜이나 바이러스에 대한 대책에 있어서 중요한 점은 감염 내지 침투 사실을 조기에 발견하여 신속히 무력화시킴으로써 피해를 최소화하는 것이다. 특히, 감염된 사실의 발견에서 감염된 웜 또는 바이러스를 치료하기까지는 시간이 어느 정도 소요되는데, 그 동안에 웜이나 바이러스가 네트워크 내의 다른 컴퓨터 장치들에게 전이되는 것을 방지함으로써 피해를 최소화 하는 대책이 반드시 수반될 필요가 있다. The important thing about worm or virus countermeasures is to minimize damage by discovery of infections or infiltration early and disabling them quickly. In particular, it takes some time from the discovery of the infected fact to the treatment of the infected worm or virus, which must be accompanied by measures to minimize the damage by preventing the worm or virus from being transferred to other computer devices in the network .

한편, 컴퓨터 장치들이 웜이나 바이러스 등에 대한 취약점을 보완하기 위해, 관련 프로그램들의 패치가 지속적으로 제공된다. 그러한 패치 프로그램이 새로 나오면 해당 네트워크내의 컴퓨터 장치들에 신속히 설치될 필요가 있다. 패치의 설치가 늦은 경우에는 바이러스나 보안 등에 취약하여 공격을 당할 수 있기 때문이다. 컴퓨터 장치 사용자나 네트워크 운용자가 패치프로그램을 알아서 잘 설치하지 못하는 경우에는, 패치의 설치를 강제적으로 유도할 필요가 있다. 특히, 신규의 컴퓨터 장치가 네트워크에 추가되는 경우, 그 장비는 바이러스나 보안 등에 취약점을 많이 가지게 되므로 적어도 네트워크에서 요구하는 수준의 패치의 설치가 신속하게 이루어질 필요가 있다. On the other hand, patches of related programs are continuously provided to compensate for weaknesses of computer devices such as worms and viruses. When such a patch program becomes new, it needs to be installed quickly on computer devices within the network. If the patch is installed late, it may be attacked because it is vulnerable to viruses and security. If the user of the computer device or the network operator can not install the patch program properly, it is necessary to force the installation of the patch. In particular, when a new computer apparatus is added to a network, the apparatus is vulnerable to viruses, security, and the like, so that at least a patch level required by the network needs to be installed quickly.

본 발명은 위와 같은 요구를 고려하여, 네트워크 내의 컴퓨터 장치들에 대한 웜 또는 바이러스 감염 여부를 조기에 발견하고, 감염된 컴퓨터 장치의 발견 시 그 장비의 통신을 차단하여 네트워크 내의 다른 컴퓨터 장치들에게 웜 등이 전이되는 것을 막아둔 상태에서 치료 조치를 취할 수 있도록 하는 바이러스 치료방법을 제공하는 것을 목적으로 한다. In view of the above-described needs, the present invention provides a computer program for detecting early detection of a worm or a virus infection of computer devices in a network, blocking communication of the infected computer device when detecting an infected computer device, And to provide a method for treating a virus, which can take a therapeutic action while preventing the virus from spreading.

본 발명은 또한, 네트워크 내의 컴퓨터 장치들에 대한 패치의 설치 필요성 여부를 실시간으로 감시하고, 패치의 설치가 필요한 컴퓨터 장치가 발견되면 그 장치에 대해서는 통신을 차단하고 사용자에 대한 패치의사를 확인하는 페이지를 제공하여 패치를 받을 수 있도록 하는 방법을 제공하는 것을 목적으로 한다.The present invention also monitors in real time whether or not a patch for computer devices in the network is required to be installed. If a computer apparatus requiring installation of a patch is found, So that a patch can be received.

본 발명은 나아가, 상기 방법들을 실행하기 위한 시스템을 제공하는 것을 목적으로 한다. The present invention further aims to provide a system for carrying out the above methods.

본 발명은 다수의 컴퓨터 장치가 연결되어 있는 네트워크를 웜이나 바이러스(이하에서는 웜도 바이러스의 일종이므로, 특별히 구별하여 칭하는 경우를 제외하고는 웜과 바이러스를 통칭하여 '바이러스'로 칭하기로 한다) 로부터 보호하는 방법을 제공하다. 이 방법은 네트워크 내의 어떤 컴퓨터 장치가 바이러스에 감염되었는지를 실시간으로 모니터링 한다. 그러한 모니터링 과정에서 바이러스에 감염된 컴퓨터 장치가 발견되면, 즉각 그 감염된 컴퓨터 장치의 통신을 차단하여 네트워크 내의 다른 컴퓨터 장치로부터 격리시킨다. 다만, 바이러스 치료를 위해 필요한 경 우에만 제한적으로 통신을 허용한다. 이러한 격리 조치를 취한 그 감염 컴퓨터에 대하여 감염된 바이러스의 치료가 수행되도록 한다. 그리고 감염된 바이러스의 치료 완료, 미리 설정한 시간의 경과 등과 같은 소정의 조건이 만족되는 경우에 이를 때, 그 감염 컴퓨터 장치에 대한 통신 차단을 해제한다. In the present invention, a network to which a plurality of computer devices are connected is referred to as a worm or a virus (hereinafter referred to as "virus", collectively referred to as "worm" and "virus" Provide a way to protect. This method monitors in real time what computer devices in the network are infected with the virus. If a computer device infected with a virus is detected during such monitoring, it immediately blocks the infected computer device and isolates it from other computer devices in the network. However, only limited communication is allowed if necessary for virus treatment. The infected computer is taken care of by the infection control computer. And when the predetermined condition such as the completion of the treatment of the infected virus, the elapse of the preset time, etc. is met, the communication interruption to the infected computer device is released.

본 발명의 바람직한 일 측면에 따르면, 네트워크 내의 컴퓨터 장치들이 발송한 패킷을 모니터링 하여 상기 컴퓨터 장치들이 바이러스에 감염되었는지 여부 또는 패치의 설치가 필요한 지를 분석하는 단계; 상기 분석의 결과 바이러스에 감염된 컴퓨터 장치 또는 패치의 설치가 필요한 컴퓨터 장치가 탐지되면, 그 바이러스의 치료를 위한 경우 또는 패치의 설치를 위한 경우를 제외하고는 그 바이러스 감염된 컴퓨터 장치 또는 패치의 설치가 필요한 컴퓨터 장치의 통신을 차단하는 단계; 및 상기 바이러스 감염된 컴퓨터 장치와 바이러스 치료수단 또는 패치 수단 간의 통신을 보장하여 상기 바이러스 감염된 컴퓨터 장치에 대하여 상기 바이러스 치료수단 또는 패치 수단에 의한 바이러스 치료 또는 패치 파일의 설치가 수행되도록 하는 단계를 구비하는 것을 특징으로 하여 네트워크로 연결된 컴퓨터 장치들에 관한 통신제어 기반의 바이러스 치료/패칭 방법이 제공된다.According to a preferred aspect of the present invention, monitoring packets sent by computer devices in a network to analyze whether the computer devices are infected with viruses or install patches; If the analysis results in the detection of a computer device infected with a virus or a computer device that requires the installation of a patch, installation of that infected computer device or patch is required, except for the treatment of the virus or for patch installation Blocking communications of the computer device; And a step of ensuring communication between the virus-infected computer device and the virus treatment means or patch means so that the virus treatment means or the patch means installs the virus treatment or the patch file on the virus-infected computer apparatus A communication control based virus treatment / patching method for networked computer devices is provided.

상기 방법은 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치의 통신차단을 위해, 통신제어장치가 상기 네트워크 내의 다른 컴퓨터 장치들과 게이트웨이의 MAC 주소를 원래의 MAC 주소가 아닌 다른 MAC 주소 예컨대 통신제어수단의 MAC 주소로 조작한 ARP 패킷을 상기 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치에게 유니캐스트로 제공하는 단계를 더 구비하는 것이 바람직하다. 또한, 상기 방법은 상기 통신제어장치가 상기 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치의 MAC 주소를 원래의 MAC 주소가 아닌 다른 MAC 주소 예컨대 상기 통신제어수단의 MAC 주소로 조작한 내용을 포함하는 ARP 패킷을 상기 네트워크 내의 나머지 다른 컴퓨터 장치들과 게이트웨이에게 유니캐스트로 제공하는 단계를 더 구비하는 것이 바람직하다. 나아가, 상기 방법은 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치로부터 통신을 위한 요청 메시지를 수신하면 그것을 바이러스 치료수단 또는 패치 수단으로 전달하여 상기 바이러스 치료수단 또는 패치 수단으로 하여금 상기 통신제어수단의 통하여 또는 직접 상기 바이러스 감염된 컴퓨터 장치와 통신하면서 바이러스 치료 또는 패치 설치를 위한 절차를 수행하도록 제어하는 단계를 더 구비하는 것이 바람직하다. 더 나아가, 상기 방법은 통신차단 조치를 취한 컴퓨터 장치에 대하여 i) 상기 바이러스 감염된 컴퓨터 장치에 대한 바이러스의 치료가 완료된 경우, ii) 상기 바이러스의 치료 개시 시점으로부터 소정의 시간이 경과된 경우, 그리고 iii) 관리자가 통신차단의 해제를 지시하는 경우 등과 같은 조건이 만족되면, 기 취한 통신차단 조치를 해제하는 단계를 더 구비하는 것이 바람직하다. 상기 방법은 또한, 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치의 MAC 주소를 상기 통신제어수단의 MAC 주소로 조작한 ARP 패킷을 상기 네트워크 내에서 브로드캐스팅 하고, 상기 바이러스 감염된 컴퓨터 장치에게 상기 네트워크 내의 다른 장비들의 MAC 주소를 상기 통신제어수단 자신의 MAC 주소로 조작한 ARP 패킷을 '유니캐스팅'방식으로 제공하는 단계를 더 구비하는 것이 바람직하다. 상기 방법에 있어서, 바이러스에 감염되었는지 여부 또는 패치의 설치가 필요한 지를 분석하는 대상은 상기 네트워크의 게이트웨이를 통해 외부로 내보내는 패킷과 상기 네트워크 내의 컴퓨터 장치들 간에 스위칭 장비를 통해 주고받는 패킷 중 적어도 어느 한 가지로 하면 된다. In order to block communication of a virus-infected computer device or a computer device that requires patch installation, the above-described method may be configured such that the MAC address of the other computer devices and the gateway in the network is changed to a MAC address other than the original MAC address And unicast the ARP packet manipulated by the MAC address of the virus-infected computer device or the patch-installed computer device. In addition, the method may further include a step in which the communication control device includes a MAC address of a computer device that requires the virus-infected computer device or patch installation to be manipulated to a MAC address other than the original MAC address, for example, the MAC address of the communication control means And unicast the ARP packet to the other computer devices and the gateway in the network. Further, in the method, when the communication control unit receives the request message for communication from the computer apparatus requiring the virus-infected computer apparatus or the patch installation, the communication control unit transmits the request message to the virus treatment unit or the patch unit, And controlling to perform a procedure for virus treatment or patch installation while communicating with the virus-infected computer device through the communication control means or directly. Furthermore, the method may further comprise the steps of: i) when the virus has been treated to the virus-infected computer device, ii) when a predetermined time has elapsed since the start of treatment of the virus, and iii) ) The manager is instructed to cancel the communication interruption, and if the condition such as the case where the administrator instructs the cancellation of the communication interruption is satisfied, The method further includes the steps of: broadcasting in the network an ARP packet in which the communication control means manipulates the MAC address of the virus-infected computer device to the MAC address of the communication control means; And providing the ARP packet in which the MAC addresses of the devices are manipulated with the MAC address of the communication control means by 'unicasting' method. In the above method, an object to be analyzed as to whether or not a virus is infected or installed in a patch is analyzed may be at least one of a packet to be exported through a gateway of the network and a packet to be exchanged between computer devices in the network We can branch.

본 발명의 바람직한 구현 예에 따르면, 다수의 컴퓨터 장치들이 스위칭 장비를 매개로 하여 네트워크로 연결된 컴퓨터 장치들에 관한 통신제어 기반의 바이러스 치료/패칭 방법에 있어서, 상기 컴퓨터 장치들이 상기 네트워크 외부로 발송한 통신 패킷을 바이러스 검출수단이 상기 스위칭 장비를 통해 실시간으로 수신하여 상기 컴퓨터 장치들의 바이러스 감염 여부를 분석하는 제1단계; 상기 바이러스 검출수단은 상기 분석의 결과 바이러스에 감염된 컴퓨터 장치가 발견되면 그 바이러스 감염된 컴퓨터 장치의 적어도 IP주소와 MAC주소를 통신제어수단에게 제공하는 제2단계; 및 상기 통신제어수단은 상기 네트워크 내의 다른 컴퓨터 장치들과 게이트웨이의 MAC 주소를 자신의 MAC주소로 조작한 ARP 패킷을 상기 바이러스 감염된 컴퓨터 장치에 제공하여 상기 바이러스 감염된 컴퓨터의 ARP 테이블을 조작함으로써 상기 바이러스 감염된 컴퓨터 장치가 발송하는 통신 패킷이 상기 통신제어수단으로만 전달되도록 하는 제3단계; 및 바이러스 치료수단이 상기 바이러스 감염된 컴퓨터 장치에 대하여 바이러스 치료를 수행하는 제4단계를 구비하는 것을 특징으로 하는 네트워크로 연결된 컴퓨터 장치들에 대한 통신제어 기반의 바이러스 치료/패칭 방법이 제공된다.According to a preferred embodiment of the present invention, there is provided a communication control based virus treatment / patching method for a computer device in which a plurality of computer devices are connected to a network via a switching device, A first step of analyzing whether or not the computer devices are infected with virus by receiving a communication packet in real time via the switching device; A virus detecting means for detecting a virus infected computer device as a result of the analysis and providing at least an IP address and a MAC address of the virus infected computer device to the communication control means; And the communication control means operates the ARP table of the virus infected computer by providing an ARP packet manipulating the MAC address of the gateway with the MAC address of the other computer devices in the network to the virus infected computer device, A third step of causing a communication packet sent by the computer device to be transmitted only to the communication control means; And a fourth step in which the virus treatment means performs a virus treatment on the virus-infected computer apparatus. The computer-based virus treatment / patching method for network-connected computer devices is provided.

상기 방법은, 상기 통신제어수단이 상기 네트워크 내의 다른 컴퓨터 장치들 각각에 대해 상기 바이러스 감염된 컴퓨터 장치의 MAC 어드레스를 원래의 MAC주소가 아닌 다른 MAC주소로 조작한 ARP 패킷을 제공하여 상기 바이러스 감염된 컴퓨터 장치와 상기 다른 컴퓨터 장치들 간에 양방향으로 통신 차단이 되도록 하는 단계를 더 구비하는 것이 바람직하다. 또한, 상기 방법은, 상기 제2단계와 상기 제3단계의 사이에서, 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치의 MAC 주소를 상기 통신제어수단의 MAC 주소로 조작한 ARP 패킷을 상기 네트워크 내에서 브로드캐스팅 하는 단계를 더 구비하는 것이 바람직하다. The method further comprises the step of providing an ARP packet in which the communication control means has operated the MAC address of the virus infected computer device to a MAC address other than the original MAC address for each of the other computer devices in the network, And blocking the communication between the other computer devices in both directions. In addition, the method may further comprise, between the second step and the third step, an ARP packet in which the communication control means has manipulated the MAC address of the virus-infected computer device to the MAC address of the communication control means in the network Further comprising the step of broadcasting.

상기 방법은 또한, 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치로부터 통신을 위한 요청 메시지를 수신하면 그것을 바이러스 치료수단 또는 패치 수단으로 전달하고, 상기 바이러스 치료수단 또는 패치 수단은 상기 통신제어수단의 통하여 또는 직접 상기 바이러스 감염된 컴퓨터 장치와 통신하면서 바이러스 치료 또는 패치 설치를 위한 절차를 수행하는 단계를 더 구비하는 것이 바람직하다. 이 경우, 상기 통신제어수단은, 상기 제4단계를 수행하기 위해, 상기 제3단계를 수행한 이후에 상기 바이러스 감염된 컴퓨터 장치가 발송한 통신 패킷을 수신하게 되면, 상기 바이러스 치료수단 또는 패치 수단으로 하여금 상기 바이러스 감염된 컴퓨터 장치에 대하여 바이러스 치료 또는 패치 설치를 수행하도록 제어하는 것이 바람직하다.The method further includes the step of, when the communication control means receives the request message for communication from the computer apparatus requiring the virus-infected computer apparatus or the patch installation, transmits the request message to the virus treatment means or the patch means, And performing a procedure for virus treatment or patch installation while communicating with the virus-infected computer device through the communication control means or directly. In this case, when the communication control unit receives the communication packet transmitted from the virus-infected computer device after performing the third step to perform the fourth step, To perform virus treatment or patch installation for the virus-infected computer apparatus.

상기 방법에 있어서, 상기 바이러스 치료수단이 상기 네트워크 내부에 존재하는 경우, 상기 바이러스 치료의 수행은 i) 상기 바이러스 치료수단이 상기 바이러스 감염된 컴퓨터 장치에 대하여 바이러스 치료 요청용 페이지를 제공하는 단계; ii) 상기 바이러스 감염된 컴퓨터 장치가 바이러스 치료 요청 메시지를 바이러스 치료수단으로 발송하는 단계; iii) 상기 치료 요청에 의하여, 상기 바이러스 치료수단이 상기 감염된 컴퓨터 장치에 대하여 바이러스 치료를 수행하는 단계를 구비하는 것이 바람직하다. 또한, 상기 바이러스 치료수단이 상기 네트워크 외부에 존재하는 경우, 상기 바이러스 치료의 수행은 i) 상기 바이러스 감염된 컴퓨터 장치가 보내온 요청 패킷에 응답하여, 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치에게 바이러스 치료 요청용 페이지를 제공하는 단계; ii) 상기 바이러스 감염된 컴퓨터 장치가 상기 바이러스 치료 요청 메시지를 발송하면, 상기 통신제어수단은 그 치료 요청 메시지를 수신하여 상기 바이러스 치료수단으로 중계하는 단계; 및 iii) 상기 치료 요청에 응하여, 상기 바이러스 치료수단이 상기 바이러스 감염된 컴퓨터 장치에 대하여 바이러스 치료를 수행하는 단계를 구비하는 것이 바람직하다. In the above method, when the virus treatment means is present in the network, the execution of the virus treatment comprises i) the virus treatment means provides a page for requesting a virus treatment to the virus-infected computer apparatus; ii) sending the virus treatment request message to the virus treatment means by the virus-infected computer device; iii) According to the request for treatment, it is preferable that the virus treatment means performs virus treatment on the infected computer apparatus. In addition, when the virus remedy exists outside the network, the virus remedy may be performed in response to a request packet sent by the virus-infected computer device, Providing a page for the user; ii) when the virus-infected computer device sends the virus-care-request message, the communication control means receives the treatment-request message and relays the message to the virus-treatment means; And iii) in response to the request for treatment, the virus treatment means performs virus treatment on the virus-infected computer apparatus.

나아가, 상기 방법은 상기 컴퓨터 장치들의 보안 패치 설치 필요성을 분석하여 설치가 필요한 컴퓨터 장치에 대하여 보안 패치를 설치하는 패치단계를 더 구비하는 것이 바람직하다. 상기 패치단계는, i) 상기 스위칭 장비와 인라인으로 연결된 패치 검출수단이, 상기 스위칭 장비를 통해 상기 네트워크 외부로 발송되는 패킷들을 실시간으로 수신하여 그 패킷의 발송 컴퓨터 장치가 보안 패치의 설치가 필요한 지 여부를 분석하는 단계; ii) 상기 패치 검출수단은 패치의 설치가 필요한 컴퓨터 장비의 적어도 IP주소 및 MAC주소를 통신제어수단에 제공하는 단계; 상기 통신제어수단은 패치의 설치가 필요한 컴퓨터 장치에 대하여 상기 바이러스 감염된 컴퓨터에 대하여 취한 통신 차단 방법과 같은 방법으로 통신을 차단하는 단계; 및 패치 설치가 필요한 장치가 패치 요청을 하면, 상기 통신제어수단이 그 요청을 수신하여 패치수단으로 중계해주는 단계를 구비하는 것이 바람직하다.Furthermore, the method may further include a patch step of analyzing a necessity of installing a security patch of the computer devices and installing a security patch on a computer apparatus that requires installation. Wherein the patching step comprises the steps of: i) detecting patches connected in-line with the switching equipment in real time via the switching equipment in real time to send packets to the outside of the network, ≪ / RTI > ii) the patch detection means includes at least providing an IP address and a MAC address of the computer equipment requiring installation of the patch to the communication control means; The communication control means blocking communication by a method similar to the communication blocking method taken for the virus infected computer to a computer apparatus requiring installation of a patch; And a step of relaying the request to the patching means when the apparatus requiring the patch installation issues a patch request, and the communication control means receives the request and relays the request to the patching means.

또한, 본 발명의 다른 측면에 따르면, 다수의 컴퓨터 장치들이 스위칭 장비를 매개로 연결되어 네트워크를 구성하는 시스템에 있어서, 상기 네트워크의 외부로 나가는 위치에서 상기 스위칭 장비와 인라인으로 연결되거나 또는 상기 스위칭 장비에 마련된 상기 다수의 컴퓨터 장치들의 포트에 대한 미러링 포트에 연결되어, 상기 다수의 컴퓨터 장치들이 발송한 패킷들을 이용하여 상기 컴퓨터 장치들이 바이러스에 감염되었는지 여부를 분석하고, 바이러스에 감염된 컴퓨터 장치가 발견되면 적어도 그 컴퓨터 장치의 주소 정보를 하기의 통신제어수단에 제공하는 바이러스 검출수단; 및 상기 스위칭 장비에 연결되며, 상기 바이러스 검출수단이 바이러스에 감염된 컴퓨터 장치의 주소 정보를 알려주면, 그 바이러스의 치료를 위한 경우를 제외하고는 그 바이러스 감염된 컴퓨터 장치의 통신을 차단하고, 상기 바이러스 감염된 컴퓨터 장치에 대한 바이러스 치료를 위한 통신을 지원하고, 소정의 조건이 충족되는 경우에는 상기 바이러스 감염된 컴퓨터 장치의 통신 차단을 해제하는 통신제어수단을 구비하는 것을 특징으로 하여 네트워크로 연결된 컴퓨터 장치들에 관한 통신제어 기반의 바이러스 치료/패칭 시스템이 제공된다.According to another aspect of the present invention, there is provided a system in which a plurality of computer devices are connected via a switching device to form a network, the system being connected inline with the switching device at a position outside the network, The computer devices are connected to a mirroring port of the ports of the plurality of computer devices to analyze whether the computer devices are infected with viruses using the packets sent by the plurality of computer devices, Virus detection means for providing at least the address information of the computer device to the communication control means described below; And a switching device connected to the switching device, wherein when the virus detecting means informs the address information of the computer device infected with the virus, communication of the infected computer device is blocked except for the treatment of the virus, And communication control means for supporting communication for virus treatment of the computer device and canceling communication interruption of the virus infected computer device when a predetermined condition is satisfied, A communication control based virus treatment / patching system is provided.

상기 시스템은 상기 스위칭 컴퓨터 장치에 직접 연결되거나 또는 상기 네트워크의 외부에 위치하여, 바이러스 치료 요청에 응하여 상기 바이러스 감염된 컴퓨터 장치에 접근하여 그 감염 컴퓨터 장치에 대한 바이러스 치료를 수행하는 바이러 스 치료수단을 더 구비하는 것이 바람직하다.Wherein the system is directly connected to the switching computer apparatus or is located outside the network and comprises a virus treatment means for accessing the virus infected computer apparatus in response to a virus treatment request to perform virus treatment for the infected computer apparatus .

또한, 상기 시스템은, 상기 네트워크의 외부로 나가는 위치에서 상기 스위칭 장비와 인라인으로 연결되거나 또는 상기 스위칭 장비에 마련된 상기 다수의 컴퓨터 장치들의 포트에 대한 미러링 포트에 연결되어, 상기 다수의 컴퓨터 장치들이 발송한 패킷들을 이용하여 상기 컴퓨터 장치들이 패치의 설치가 필요한 지 여부를 분석하고, 패치의 설치가 필요한 컴퓨터 장치가 발견되면 적어도 그 컴퓨터 장치의 주소 정보를 상기 통신제어수단에 제공하는 패치검출수단; 및 상기 스위칭 장비에 직접 연결되거나 또는 상기 네트워크의 외부에 위치하여, 패치의 설치가 필요하다고 검출된 컴퓨터 장치 또는 패치의 설치를 요청한 컴퓨터 장치에 대하여 최신의 패치 파일을 설치하여 그 컴퓨터 장치의 보안 수준을 업그레이드 하는 패치수단을 더 구비하며, 상기 통신제어수단은 패치의 설치를 위한 통신을 지원하는 것이 바람직하다. The system may also be connected in-line with the switching equipment at a location out of the network or connected to a mirroring port for a port of the plurality of computer devices provided in the switching equipment, Patch detection means for analyzing whether or not the computer apparatuses need to install a patch using one of the packets and providing at least the address information of the computer apparatus to the communication control means when a computer apparatus requiring installation of the patch is found; And installing a latest patch file for the computer device which is directly connected to the switching equipment or which is located outside the network and which requests installation of a computer device or patch detected as requiring installation of the patch, And the communication control means preferably supports communication for installing the patch.

이하에서는 첨부한 도면을 참조하여 본 발명을 보다 구체적으로 설명하기로 한다.Hereinafter, the present invention will be described in more detail with reference to the accompanying drawings.

먼저, 도 1은 본 발명의 바람직한 실시예에 따른 시스템의 구성을 도시한다. 이 시스템은 다수의 컴퓨터 장치들(T1, T2, T3, ..., Tn)이 스위칭 장비(10)를 통해 하나의 네트워크(80)로 연결된 시스템으로서, 바이러스 검출모듈(20), 통신제어모듈(30), 정책DB(40) 등을 더 포함한다. First, FIG. 1 shows a configuration of a system according to a preferred embodiment of the present invention. This system is a system in which a plurality of computer devices T1, T2, T3, ..., Tn are connected to one network 80 through the switching equipment 10, and includes a virus detection module 20, (30), a policy DB (40), and the like.

바이러스 검출모듈(20)은 내부 네트워크(80)에서 게이트웨이(60)를 통해 외부로 나가는 길목의 위치에서 스위칭 장비(10)와 인라인(in-line)으로 연결된다. 네트워크(80)의 길목 위치는 내부 네트워크(80) 내의 컴퓨터 장치들(T1, T2, T3, ..., Tn)이 게이트웨이(60)를 통해 네트워크(80) 외부로 발송하는 패킷들이 반드시 통과하므로, 바이러스 검출모듈(20)은 네트워크(80) 외부로 나가는 패킷은 전부 수신할 수 있다. The virus detection module 20 is connected in-line with the switching device 10 at a position of a path that goes out through the gateway 60 from the internal network 80. [ The path position of the network 80 is determined by the fact that the packets sent by the computer devices T1, T2, T3, ..., Tn in the internal network 80 to the outside of the network 80 through the gateway 60 , The virus detection module 20 can receive all the packets going out of the network 80.

이에 비해, 통신제어모듈(30)은 네트워크 내의 컴퓨터 장치들(T1, T2, T3, ..., Tn)과 동일한 레벨이 되도록 스위칭 장비(10)에 연결된다. 컴퓨터 장치들(T1, T2, T3, ..., Tn)은 개인용 컴퓨터(PC) 뿐만 아니라 널리 네트워크에 연결된 다양한 장비들을 모두 포괄한다. 또한 네트워크에 유선으로 연결된 것뿐만 아니라 무선으로 연결되는 장비들까지도 포함한다. 스위칭 장비(10)는 게이트웨이(60)를 통해 외부 네트워크(70)에 연결된다. 게이트웨이(60)는 예컨대 라우터와 같은 장비로 구현될 수 있다. 바이러스 치료모듈(50)은 네트워크 외부에 위치한다. 외부 네트워크(70)를 통해 연결될 수 있는 위치에 존재하거나 또는 단순히 내부 네트워크(80)의 외부에 존재할 수도 있다. 외부 네트워크(70)는 예컨대 인터넷이나 조직 내의 다른 네트워크 등이 될 수 있다. In contrast, the communication control module 30 is connected to the switching equipment 10 so as to be at the same level as the computer devices T1, T2, T3, ..., Tn in the network. The computer devices T1, T2, T3, ..., Tn cover not only personal computers (PCs) but also various devices widely connected to the network. It also includes devices connected wirelessly as well as wired to the network. The switching equipment 10 is connected to the external network 70 through the gateway 60. [ The gateway 60 may be implemented with equipment such as a router, for example. The virus remediation module 50 is located outside the network. May be located at a location that can be connected through the external network 70, or may simply be external to the internal network 80. The external network 70 may be, for example, the Internet or another network in the organization.

통신제어모듈(30)은 통신제어정책을 정의해둔 데이터베이스인 정책 DB(40)를 가진다. 이 정책 DB(40)에는 바이러스 검출모듈(20) 또는 패치검출모듈(22)로부터 내부 네트워크(80) 내에 바이러스 감염된 컴퓨터 장치가 검출되거나 또는 패치의 설치가 필요한 컴퓨터 장치가 검출되었다고 보고를 받는 경우에, 바이러스의 확산 차단과 효율적인 치료, 패치의 설치 등을 제어하기 위해 적용할 네트워크 내의 컴퓨터 장치들(T1, T2, ..., Tn)에 대한 통신제어정책이 포함되어 있다. The communication control module 30 has a policy DB 40, which is a database defining a communication control policy. When the virus detection module 20 or the patch detection module 22 receives a report that a computer device infected with a virus is detected in the internal network 80 or a computer device requiring installation of a patch is detected in the policy DB 40 , Communication control policies for computer devices (T1, T2, ..., Tn) in the network to be applied to control the diffusion of viruses and effective treatment, installation of patches, and the like.

도시된 시스템은 물론 스위칭 장비(10)와 게이트웨이(60) 사이에는 방화벽(비도시) 등과 같은 다른 네트워크 장비들이 더 배치될 수 있지만, 본 도면에서는 본 발명과 관련된 장비만을 도시하기로 한다. Other network devices such as a firewall (not shown) may be disposed between the switching device 10 and the gateway 60 as well as the illustrated system, but only the equipment related to the present invention will be shown in this figure.

바이러스 검출모듈(20)은 내부 네트워크(80)의 장비들이 바이러스에 감염되었는지를 검출하여 통신제어모듈(30)에 알려주는 역할을 한다. 즉, 각종 바이러스에 감염된 컴퓨터 장치, 비정상적으로 네트워크에 접근하는 장비 등 해당 네트워크의 운용과 관련된 보안 정책에 위배되는 장비를 검출하여 통신제어모듈(30)에 그 검출 내용을 알려주는 기능을 갖는 모듈이다. The virus detection module 20 detects whether the devices of the internal network 80 are infected with a virus and notifies the communication control module 30 of the detection. That is, it is a module having a function of detecting a violation of the security policy related to the operation of the network such as a computer apparatus infected with various viruses, an apparatus abnormally accessing the network, and notifying the detection result to the communication control module 30 .

패치 검출모듈(22)은 내부 네트워크(80)의 컴퓨터 장치들 중에서 최신 보안 패치의 설치가 되지 않은 컴퓨터 장치를 검출하여 그 검출 내용을 통신제어모듈(30)에게 알려주는 기능을 갖는 모듈이다. The patch detection module 22 is a module having a function of detecting a computer device that has not installed the latest security patch among the computer devices of the internal network 80 and informing the communication control module 30 of the detection result.

통신제어모듈(30)은 바이러스 검출모듈(20) 또는 패치 검출모듈(22)이 알려준 바이러스 감염된 장비 또는 패치가 필요한 장비들을 네트워크(80) 내의 다른 컴퓨터 장치들과의 통신을 차단시켜 바이러스의 전이를 막아 최적의 네트워크 상태를 유지한다. 또한, 그 바이러스 감염된 컴퓨터나 패치의 설치가 필요한 컴퓨터를 바이러스 치료모듈(50) 또는 패치모듈(55)과의 통신만을 허용하거나 통신을 가능하게 하여 감염된 바이러스의 치료 또는 최신의 보안상태로 패치가 설치되도록 제어한다. 나아가 소정의 조건이 만족되는 경우에는 이전에 취한 통신 차단을 해제하여 그 해당 컴퓨터 장치가 네트워크를 정상적으로 이용하여 통신할 수 있도록 해준다. 상기 소정의 조건은 예컨대 바이러스의 치료나 패치의 설치가 완료된 경우, 혹은 소정 시간의 경과된 경우, 또는 네트워크 운용자의 지시가 있는 경우 등이 될 수 있다. The communication control module 30 interrupts the communication with the other computer devices in the network 80 by the virus detection module 20 or the patch detection module 22 to detect the virus infection Thereby maintaining optimal network conditions. In addition, a computer that requires the installation of the virus-infected computer or patch may be allowed to communicate only with the virus-handling module 50 or the patch module 55, or the virus-infected computer or the patch- Respectively. Further, when the predetermined condition is satisfied, the communication block which has been taken before is canceled, so that the corresponding computer device can communicate normally using the network. The predetermined condition may be, for example, when the virus is treated or patch installation is completed, a predetermined time has elapsed, an instruction from the network operator is given, or the like.

정책 DB(40)는 바이러스 감염된 컴퓨터 장치, 최신 보안 패치가 설치되지 않은 컴퓨터 장치, 비정상 네트워크 접근 장비 등의 발생 시 적용할 통신제어정책을 저장한다. 그 통신제어정책은 네트워크 운용자가 미리 마련하면 된다. 정책 DB(40)에는 또한, 바이러스 감염된 컴퓨터 장치의 검출에 관련된 정보와 그 감염 컴퓨터 장치에 대한 바이러스 치료 결과에 관한 정보, 그리고 패치 설치가 필요한 컴퓨터 장치에 관한 정보와 패치의 설치 결과에 관한 정보 등의 정보를 예컨대 로그정보의 형태로 기록해둔다. 정책 DB(40)에 규정된 통신제어정책은 통신제어모듈(30)에 의해 참조된다. 즉, 바이러스 치료나 패치의 설치와 관련하여 적용할 통신제어에 관한 지침을 정책 DB(40)에 있는 통신제어정책에서 구한다. The policy DB 40 stores a communication control policy to be applied when a virus infected computer device, a computer device not equipped with the latest security patch, and an abnormal network access device occur. The network control operator may prepare the communication control policy in advance. The policy DB 40 also stores information related to the detection of a virus infected computer device, information on a virus treatment result for the infected computer device, information on a computer device requiring patch installation, and information on a patch installation result For example, in the form of log information. The communication control policy defined in the policy DB 40 is referred to by the communication control module 30. [ That is, the communication control policy in the policy DB 40 obtains instructions on the communication control to be applied in connection with the virus treatment or patch installation.

바이러스 치료모듈(50)은 바이러스에 감염된 컴퓨터 장치를 치료하여 바이러스를 제거하는 모듈이고, 패치모듈(55)은 패치의 설치가 필요하다고 검출된 컴퓨터 장치 또는 패치의 설치를 요청한 컴퓨터 장치에 대하여 최신의 패치 파일을 설치하여 그 컴퓨터 장치의 보안 수준을 업그레이드 하는 모듈이다. 바이러스 치료모듈(50)과 패치모듈(55)은 본 발명에서 특별히 새로 제안하는 것은 아니고 기존에 알려진 또는 앞으로 나올 바이러스 치료시스템과 패치시스템 중에서 적절한 것을 선택하여 이용할 수 있다.The virus module 50 is a module for removing a virus by treating a computer device infected with a virus, and the patch module 55 is a module for updating the latest computer device It installs a patch file and upgrades the security level of the computer device. The virus remedy module 50 and the patch module 55 are not particularly newly proposed in the present invention, but can be selected from among the known and anticipated virus remediation systems and patch systems.

도 5는 도 1의 시스템에서 바이러스의 검출과 치료 방법의 실행절차를 예시적으로 나타내는 흐름도이다. 도 1과 도 5를 참조하여, 본 발명에 따른 바이러스의 검출과 치료 방법을 구체적으로 설명한다. FIG. 5 is a flowchart exemplarily showing execution procedures of a virus detection and treatment method in the system of FIG. 1; 1 and 5, the method for detecting and treating viruses according to the present invention will be described in detail.

도 1의 시스템에서, 네트워크 내의 컴퓨터 장치들(T1, T2, ..., Tn)이 발송한 패킷은 항상 스위칭 장비(10)를 거쳐 목적지로 전달된다. 목적지가 네트워크 외부인 패킷은 스위칭 장비(10)를 거쳐 백본을 통해 네트워크 외부로 전달되는데, 그 과정에서 스위칭 장비(10)와 인라인으로 설치된 바이러스 검출모듈(20)에도 전달된다. 바이러스 검출모듈(20)은 스위칭 장비(10)로부터 전달받은 패킷을 분석하여 그 패킷의 발송 컴퓨터가 바이러스에 감염되었는지 여부를 분석한다. 본 발명은 바이러스 감염 여부의 분석 방법을 새롭게 제안하는 것은 아니다. 기존에 알려진 분석 방법이나 앞으로 알려질 분석 방법들은 본 발명의 일부로서 채용되는 데 특별한 제한은 없다. 여기서는 바이러스 감염 여부의 분석 방법에 관한 구체적인 설명은 생략하기로 한다.In the system of Fig. 1, the packets sent by the computer devices T1, T2, ..., Tn in the network are always delivered to the destination via the switching equipment 10. [ A packet whose destination is outside the network is transmitted to the outside of the network through the backbone via the switching equipment 10 and is also transmitted to the virus detection module 20 installed in line with the switching equipment 10 in the process. The virus detection module 20 analyzes the packet transmitted from the switching device 10 and analyzes whether the sending computer of the packet is infected with the virus. The present invention does not propose a new method for analyzing whether a virus is infected. There are no particular limitations on the known analytical methods or analytical methods to be known in the future, which are adopted as a part of the present invention. Herein, a detailed description of a method of analyzing whether or not the virus is infected will be omitted.

바이러스 검출모듈(20)은 수신된 패킷에 대한 분석결과, 그 패킷이 바이러스에 감염된 것으로 판단되면, 즉각 그 사실을 통신제어모듈(30)에 통지한다. 이 때 통신제어모듈(30)에 알려주는 정보는 적어도 바이러스에 감염된 컴퓨터 장치의 IP주소와 MAC 주소를 포함한다. 이 주소 정보 외에 감염된 바이러스의 이름 등과 같은 바이러스 검사 결과를 더 알려줄 수도 있을 것이다. 도면에서는 컴퓨터 장치 T1이 바이러스에 감염된 비정상 장비이고 나머지 컴퓨터 장치들(T2, T3, ..., Tn)은 바이러스에 감염되지 않은 정상적인 장비로 가정하여 도시하였다. If the virus detection module 20 determines that the packet is infected with a virus as a result of analysis of the received packet, the virus detection module 20 immediately notifies the communication control module 30 of the fact. At this time, the information informing the communication control module 30 includes at least the IP address and the MAC address of the computer device infected with the virus. In addition to this address information, you may be able to provide more virus scan results, such as the name of an infected virus. In the figure, the computer apparatus T1 is an abnormal apparatus infected with a virus and the remaining computer apparatuses T2, T3, ..., Tn are assumed to be normal apparatuses not infected with viruses.

패치 검출모듈(22)도, 바이러스 검출모듈(20)과 비슷하게, 스위칭 장비(10)로부터 전달받은 패킷들을 분석하여 그 패킷의 발송 컴퓨터 장치가 최신의 패치 파 일이 설치되어 있는지 여부를 체크한다. 그리고 최신의 패치 파일이 설치되어 있지 않는 경우, 그 컴퓨터 장치가 패치 파일의 설치 대상이라는 점을 그 컴퓨터 장치의 주소 정보(즉, IP 주소와 MAC 주소)와 함께 통신제어모듈(30)에 알려준다.Similarly to the virus detection module 20, the patch detection module 22 analyzes the packets transmitted from the switching device 10 and checks whether the sending computer device has installed the latest patch file. If the latest patch file is not installed, the communication control module 30 notifies the computer device of the fact that the patch file is an object of installation of the patch file, together with the address information (i.e., the IP address and the MAC address) of the computer device.

통신제어모듈(30)은 바이러스 검출모듈(20)이 알려준 바이러스 감염된 컴퓨터(T1) 또는 패치 설치가 필요한 컴퓨터에 대하여 즉시 통신제어정책을 결정하고 그에 따른 통신제어를 수행한다. 어떤 통신제어정책을 적용할 것인지는 정책DB(40)에서 규정하고 있는 내용을 참조하여 결정된다. 바이러스 감염된 컴퓨터들과 패치 대상 컴퓨터들에 대해 적용해야 할 통신제어정책은 기본적으로 그 컴퓨터들과 네트워크 내의 다른 장비들 간의 통신을 신속하게 차단하여 바이러스가 그 다른 컴퓨터들에게 전이되는 것을 방지하거나 네트워크 내외부로부터의 보안 관련 공격을 당하지 않도록 하는 조치를 취하는 것이다. 다만, 내부 네트워크(80)의 통신을 전면적으로 차단하면 하면 바이러스의 치료나 패치 파일의 설치가 불가능하거나 불편해진다. 그러므로 바이러스 치료나 패치 파일의 설치가 가능하도록 통제된 상태에서의 제한적 통신이 허용되도록 할 필요가 있다. 제한적인 통신 허용에 있어서, 바이러스의 검출, 치료 등에 관련되는 여러 장비들의 배치 위치나 치료방법 등에 따른 통신제어규칙이 조금씩 다를 수 있을 것이다. The communication control module 30 immediately determines a communication control policy for a virus-infected computer (T1) or a computer required to install a patch, which is notified by the virus detection module 20, and performs communication control accordingly. Which communication control policy is to be applied is determined by referring to contents defined in the policy DB 40. [ The communication control policy that should be applied to the virus infected computers and the patch target computers is basically to quickly block the communication between the computers and the other devices in the network to prevent the virus from being transferred to the other computers, Related attacks from the attacker. However, if the communication of the internal network 80 is completely blocked, the virus can not be treated or the patch file can not be installed. Therefore, it is necessary to allow restricted communication in a controlled state so that virus treatment or patch file can be installed. In a limited communication allowance, the communication control rules may be slightly different depending on the location and treatment method of various devices related to the detection and treatment of viruses.

네트워크(80) 내의 어떤 컴퓨터(T1)가 바이러스에 감염된 사실이 바이러스 검출모듈(20)에 의해 검출된 경우 그 바이러스가 바이러스 감염된 컴퓨터(T1)로부터 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)로 전이되는 것을 막기 위한 조치를 취해야 한다. 통신제어모듈(30)은 바이러스 감염된 컴퓨터(T1)가 자신이 통 신을 허용하는 장비(즉, 바이러스 치료 또는 패치 파일의 설치를 목적으로 허락하는 장비로서 바이러스 치료모듈과 패치 모듈이 이에 해당함)를 제외한 다른 장비와는 통신을 할 수 없도록 바이러스 감염된 컴퓨터(T1)와 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn) 간의 통신을 차단하는 것이다. When the fact that a computer T1 in the network 80 is infected with a virus is detected by the virus detection module 20, the virus is transferred from the infected computer T1 to other computer devices T2, T3, ... , Tn) in order to prevent the transition. The communication control module 30 is a module for allowing a virus infected computer (T1) to transmit data to a computer (not shown), except for a device that permits communication (that is, a device for allowing virus treatment or patch file installation, To block communication between the virus infected computer (T1) and other computer devices (T2, T3, ..., Tn) in the network so that it can not communicate with other devices.

이를 위한 한 가지 방법으로서, 바이러스 감염된 컴퓨터(T1)가 네트워크의 다른 컴퓨터 장치(T2, T3, ..., Tn)나 게이트웨이(60)와 통신을 하지 못하도록 통신차단을 하는 것이다. 즉, 통신제어모듈(30)은 스위칭 장비(10)에 연결된 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)들과 게이트웨이(예: 게이트웨이(60)의 이더넷 포트)의 주소 정보(즉, MAC주소)를 원래의 주소가 아닌 다른 주소(예컨대 통신제어모듈(30)의 MAC 주소)로 조작한 ARP 패킷을 만들어 바이러스 감염된 컴퓨터(T1)에게 유니캐스트로 제공한다. 그에 따라, 바이러스 감염된 컴퓨터(T1)의 ARP 테이블의 내용도 그 수신된 ARP 패킷의 주소로 조작된다. 그러므로 그 후부터는 바이러스 감염된 컴퓨터(T1)는 조작된 ARP테이블의 주소에 따라 통신을 하게 된다. 그 결과 바이러스 감염된 컴퓨터(T1)는 자신이 발송한 패킷이 자신이 의도한 목적지가 아닌 엉뚱한 곳 즉, 통신제어모듈(30)이 조작한 주소지(예컨대, 통신제어모듈)로 전달되게 된다. One way to do this is to block communication so that the virus infected computer T1 can not communicate with other computer devices T2, T3, ..., Tn or the gateway 60 of the network. That is, the communication control module 30 receives address information of other computer devices T2, T3, ..., Tn in the network connected to the switching equipment 10 and the gateway (e.g., the Ethernet port of the gateway 60) (MAC address of the communication control module 30) to an address other than the original address (for example, the MAC address of the communication control module 30), and provides the unicast to the virus infected computer T1. Accordingly, the content of the ARP table of the virus infected computer (T1) is also manipulated to the address of the received ARP packet. Therefore, after that, the infected computer (T1) communicates according to the address of the manipulated ARP table. As a result, the virus-infected computer T1 is transmitted to the address where the packet sent by the virus-infected computer T1 is wrong, that is, the address of the communication control module 30 (for example, the communication control module).

아래 표 1은 통신제어모듈(30)이 주소를 조작하기 전에 정상적인 주소 정보를 가지는 바이러스 감염된 컴퓨터(T1)의 ARP 테이블이고, 표 2는 통신제어모듈(30)이 주소를 조작하여 틀린 주소 정보로 된 바이러스 감염된 컴퓨터(T1)의 ARP 테이블이다. 여기서, 바이러스 감염된 컴퓨터(T1)에 대한 주소 조작은 네트워크 내 의 다른 컴퓨터들(T2, T3, ..., Tn)과 게이트웨이의 MAC 주소를 통신제어모듈(30) 자신의 MAC 주소('MAC-30')로 조작한 ARP 패킷을 만들어 바이러스 감염된 컴퓨터(T1)에 유니캐스트로 제공하는 것에 의해 이루어진다. Table 1 below shows the ARP table of the virus infected computer (T1) having the normal address information before the communication control module 30 operates the address. Table 2 shows the ARP table of the communication control module 30 (T1) is the ARP table of the infected computer (T1). The MAC address of another computer (T2, T3, ..., Tn) in the network and the MAC address of the gateway are stored in the MAC address of the communication control module 30 (MAC- 30 ') to unicast the virus-infected computer (T1).

[표 1] '주소 정보 조작 전'에 바이러스 감염된 컴퓨터(T1)가 보유하는 ARP 테이블(네트워크의 컴퓨터 장치들의 IP주소/MAC주소가 정상 정보임) [Table 1] The ARP table (IP address / MAC address of the computer devices of the network is normal information) possessed by the virus infected computer (T1)

장비equipment IP 주소IP address MAC 주소MAC address T2T2 IP-BIP-B MAC-BMAC-B T3T3 IP-CIP-C MAC-CMAC-C ...... ...... ...... TnTn IP-nIP-n MAC-nMAC-n 게이트웨이(60) The gateway 60, IP-xIP-x MAC-xMAC-x 통신제어모듈(30)The communication control module (30) IP-30IP-30 MAC-30MAC-30

[표 2] '주소 정보 조작 후'에 바이러스 감염된 컴퓨터(T1)가 보유하는 ARP 테이블(네트워크 내의 다른 컴퓨터 장치들의 IP주소/MAC주소가 조작된 비정상 정보임)[Table 2] The ARP table (the IP address / MAC address of the other computer devices in the network is the malfunction information which is manipulated) held by the virus infected computer (T1)

장비equipment IP 주소IP address MAC 주소MAC address T2T2 IP-BIP-B MAC-30MAC-30 T3T3 IP-CIP-C MAC-30MAC-30 ...... ...... ...... TnTn IP-nIP-n MAC-30MAC-30 게이트웨이(60) The gateway 60, IP-xIP-x MAC-30MAC-30 통신제어모듈(30)The communication control module (30) IP-30IP-30 MAC-30MAC-30

표 2에서 알 수 있듯이, 통신제어모듈(30)로부터 조작된 주소를 포함하는 ARP 패킷을 받은 다음부터, 바이러스 감염된 컴퓨터(T1)는 네트워크(80) 내의 다른 모든 컴퓨터 장치들의 MAC주소를 통신제어모듈(30)이 조작한 MAC 주소("MAC-30")로 알게 된다. 그러므로 바이러스 감염된 컴퓨터(T1)가 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)나 게이트웨이(60)를 통해 네트워크(80) 외부를 목적지로 하여 보내는 패킷은 항상 통신제어모듈(30)로만 전달될 뿐이다. 바이러스 감염된 컴퓨터(T1)가 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)나 게이트웨이(60)로 발송하는 패킷을 통신제어모듈(30)이 수신한 경우, 통신제어모듈(30)은 그 수신 패킷을 폐기해버리면 바이러스 감염된 컴퓨터(T1)는 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)나 네트워크(80) 외부와의 통신이 차단된다. 또한, 통신제어모듈(30)은 바이러스 감염된 컴퓨터(T1)로부터 수신된 패킷의 주소를 보고서 그것이 바이러스 감염 장비가 보낸 패킷임을 알 수 있다. 통신제어모듈(30)은 바이러스 감염 장비가 보낸 패킷을 수신하여 내부의 메모리에 복사를 하지 않고 바로 폐기 조치하면 그 바이러스로 인한 피해를 입지 않을 수 있다. 따라서 바이러스 감염된 컴퓨터(T1)에 있는 바이러스가 네트워크(80) 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)나 네트워크 외부로 전이되는 것은 원천적으로 차단된다. As shown in Table 2, after receiving the ARP packet including the manipulated address from the communication control module 30, the infected computer T1 transmits the MAC address of all the other computer devices in the network 80 to the communication control module ("MAC-30") operated by the control unit 30. A packet sent by the virus infected computer T1 to a destination outside the network 80 via the other computer devices T2, T3, ..., Tn in the network or the gateway 60 is always transmitted to the communication control module 30, Only. When the communication control module 30 receives a packet transmitted by the virus infected computer T1 to the other computer devices T2, T3, ..., Tn in the network or the gateway 60, The virus infected computer T1 is blocked from communicating with other computer devices T2, T3, ..., Tn in the network or outside the network 80. [ Also, the communication control module 30 reports the address of the packet received from the virus infected computer (T1) and can know that it is a packet sent by the virus infected device. The communication control module 30 may not receive the packet transmitted from the virus infected device and may not be affected by the virus if the packet is immediately discarded without copying the packet to the internal memory. Therefore, it is inherently blocked that the virus on the virus infected computer (T1) is transferred to another computer apparatus (T2, T3, ..., Tn) or network outside the network (80).

바이러스 감염된 컴퓨터(T1)와 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn) 간의 통신을 차단하는 다른 방법으로서, 양방향 차단을 들 수 있다. 바이러스 감염된 컴퓨터(T1)의 ARP 테이블의 주소를 조작하는 것만으로는 바이러스 감염된 컴퓨터(T1)로부터 네트워크 내의 다른 장치로 가는 통신만을 차단(즉, '일방향 차단')할 수 있을 뿐이고, 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)와 게이트웨이(60)가 바이러스 감염된 컴퓨터(T1)로 패킷을 전달하는 것을 막지는 못한다. 그런데 컴퓨터 장치(T2, T3, ..., Tn)와 게이트웨이(60)가 바이러스 감염된 컴퓨터(T1)에 대한 통신을 하는 과정에서 바이러스 감염된 컴퓨터(T1)에서 ARP 테이블의 주소 정보가 정상적으로 복구되는 경우도 발생할 수 있다. 그렇게 되면 바 이러스 감염된 컴퓨터(T1)에 대해 취한 통신 차단 조치가 풀릴 수 있다. 이러한 사태를 예방하여 바이러스 감염된 컴퓨터(T1)에 대한 보다 완벽한 통신차단을 보장하기 위해서는, 컴퓨터 장치(T2, T3, ..., Tn)와 게이트웨이(60)도 바이러스 감염된 컴퓨터(T1)에 대하여 패킷을 전달할 수 없도록 할 필요가 있다. 즉, 바이러스 감염된 컴퓨터(T1)와 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn) 및 게이트웨이 간에 '양방향 통신 차단'을 강제할 필요가 있다. Another way to block communication between a virus infected computer T1 and other computer devices T2, T3, ..., Tn in the network is bidirectional blocking. Only manipulating the address of the ARP table of the infected computer T1 can only block communications from the infected computer T1 to other devices in the network (i.e., 'one-way blocking'), It does not prevent the devices T2, T3, ..., Tn and the gateway 60 from delivering packets to the infected computer T1. However, when the address information of the ARP table is normally recovered from the virus infected computer (T1) in the course of communication between the computer devices (T2, T3, ..., Tn) and the gateway (60) May also occur. Then the communication blocking action taken on the virus-infected computer (T1) can be solved. The computer devices T2, T3, ..., Tn and the gateway 60 also send a packet to the virus infected computer T1 in order to prevent such a situation, To be transmitted. That is, it is necessary to force a 'two-way communication blocking' between the virus infected computer T1 and other computer devices T2, T3,..., Tn and the gateway in the network.

양방향 통신 차단을 구현하는 한 가지 방법으로서, 통신제어모듈(30)이 컴퓨터 장치(T2, T3, ..., Tn)와 게이트웨이(60) 각각에 대하여 바이러스 감염된 컴퓨터(T1)의 MAC 주소가 다른 MAC 주소로 조작된 ARP 패킷을 유니캐스트로 제공하는 방법을 들 수 있다. 물론, 이 방법은 위에서 설명한 바와 같이 바이러스 감염된 컴퓨터(T1)에게 네트워크 내의 다른 장비들의 조작된 MAC 어드레스를 유니캐스트로 제공하여 바이러스 감염된 컴퓨터(T1)의 ARP 테이블을 표 2와 같이 조작하는 것을 병행한다. 아래 표 3은 통신제어모듈(30)이 예컨대 컴퓨터 장치(T2)에 대하여 바이러스 감염된 컴퓨터(T1)의 MAC주소를 조작한 후, 그 컴퓨터 장치(T2)가 보유하게 되는 ARP 테이블을 예시적으로 보여준다. 이 ARP 테이블에 기록된 네트워크 내의 컴퓨터 장치들의 IP주소/MAC주소 정보에 따르면, 바이러스 감염된 컴퓨터(T1)의 MAC주소가 예컨대 통신제어모듈(30)의 MAC주소('MAC-30')로 조작되어 있고, 나머지 다른 장비들(T3, ..., Tn)과 게이트웨이(60)의 MAC 주소는 원래의 주소로 그래도 유지된다. 나머지 컴퓨터 장치들(T3, ..., Tn)의 ARP 테이블도 같은 방식으로 조작한다. 이와 같은 주소 조작 이후부터는 예컨대 컴퓨터(T2)가 바이러스 감염된 컴퓨 터(T1)에 보내는 패킷은 MAC 주소가 'MAC-30'인 통신제어모듈(30)로 전달된다. 결국, 바이러스 감염된 컴퓨터(T1)와 컴퓨터 장치(T2) 간에는 서로 양방향으로 통신이 차단되게 된다. 게이트웨이(60)의 경우, 위와 같이 그의 ARP 테이블을 조작하면 바이러스 치료를 위한 컴퓨터(T1)에 대한 통신은 통신제어모듈(30)을 매개로 하여 수행해야 하는 번거로움이 있을 수 있다. 이러한 번거로움을 피하기 위해, 게이트웨이(60)의 ARP 테이블은 조작하지 않을 수도 있다. 이 경우, 네트워크(80) 외부에 있는 바이러스 치료모듈(50)이나 패치모듈(55)은 바이러스 감염됨 컴퓨터(T1)에 직접 접속하여 바이러스 치료나 패치의 설치를 수행할 수 있다. As one method of implementing bidirectional communication blocking, when the communication control module 30 determines that the MAC address of the virus infected computer T1 is different for each of the computer devices T2, T3, ..., Tn and the gateway 60 And a method of unicasting an ARP packet manipulated by a MAC address. Of course, as described above, this method unicasts the manipulated MAC addresses of other devices in the network to the virus infected computer (T1), and operates the ARP table of the infected computer (T1) as shown in Table 2 . Table 3 below shows an example of the ARP table that the communication control module 30 holds after the computer terminal T2 operates the MAC address of the virus infected computer T1 with respect to the computer device T2 . According to the IP address / MAC address information of the computer devices in the network recorded in the ARP table, the MAC address of the virus infected computer T1 is manipulated by the MAC address (MAC-30) of the communication control module 30 , And the MAC addresses of the remaining devices (T3, ..., Tn) and the gateway 60 are still maintained at the original address. And manipulates the ARP table of the remaining computer devices T3, ..., Tn in the same manner. After the address operation, for example, a packet transmitted from the computer T2 to the infected computer T1 is transmitted to the communication control module 30 whose MAC address is 'MAC-30'. As a result, communication between the infected computer T1 and the computer T2 is interrupted in both directions. In the case of the gateway 60, if the ARP table is manipulated as described above, it may be troublesome to communicate with the computer T1 for virus treatment through the communication control module 30. To avoid such a hassle, the ARP table of the gateway 60 may not be manipulated. In this case, the virus remediation module 50 or the patch module 55 located outside the network 80 may directly access the virus infected computer T1 to perform virus remediation or patch installation.

[표 3] 컴퓨터(T2)의 ARP 테이블(바이러스 감염된 컴퓨터(T1)의 MAC주소 조작 후)[Table 3] ARP table of computer T2 (after MAC address manipulation of virus infected computer (T1))

장비equipment IP 주소IP address MAC 주소MAC address T1T1 IP-AIP-A MAC-30MAC-30 T3T3 IP-CIP-C MAC-CMAC-C ...... ...... ...... TnTn IP-nIP-n MAC-nMAC-n 게이트웨이(60)The gateway 60, IP-xIP-x MAC-xMAC-x 통신제어모듈(30)The communication control module (30) IP-30IP-30 MAC-30MAC-30

위의 양방향 통신 차단의 다른 방법은 다음과 같이 변형하여 구현될 수도 있다. 즉, 통신제어모듈(30)은 바이러스 감염된 컴퓨터(T1)의 MAC 어드레스("MAC-1")를 통신제어모듈(30)의 MAC 주소("MAC-30")로 조작한 ARP 패킷을 '브로드캐스팅'방식으로 제공하는 것과 병행하여 바이러스 감염된 컴퓨터(T1)에 대해서는 네트워크(80) 내의 다른 장비들(T2, T2, ..., Tn, 60)의 MAC 주소를 통신제어모듈(30)의 MAC 주소("MAC-30")로 조작한 ARP 패킷을 '유니캐스팅'방식으로 제공한다. 물론 이 방법도 앞에서 설명한 것과 같이 게이트웨이(60)의 ARP 테이블을 조작하거나 조작 하지 않을 수 있다. 이 방법은 조작의 결과로서 얻어지는 각 장비의 ARP 테이블의 내용에 있어서는 앞서 설명한 ARP 테이블 조작방법과 동일하다.Other methods of intercepting the above two-way communication may be modified and implemented as follows. That is, the communication control module 30 broadcasts an ARP packet obtained by manipulating the MAC address ("MAC-1") of the infected computer T1 to the MAC address ("MAC-30" T2, ..., Tn, 60 in the network 80 to the MAC of the communication control module 30 for the virus infected computer T1 in parallel with the ' ("MAC-30") is provided in a "unicasting" manner. Of course, this method may not operate or operate the ARP table of the gateway 60 as described above. This method is the same as the above-described ARP table operation method in the content of the ARP table of each equipment obtained as a result of the operation.

이상에서 설명한 것과 같은 방법으로 바이러스 감염된 컴퓨터(T1)에 대한 통신을 일방향 또는 양방향으로 차단하여 바이러스 감염된 컴퓨터(T1)를 네트워크(80)로부터 고립시킨 다음에는, 그 바이러스 감염된 컴퓨터(T1)에 대하여 바이러스 치료 또는 패치 파일의 설치를 수행한다. 바이러스의 치료나 패치 파일의 설치는 그것을 위한 장비가 어디에 있는가 즉, 네트워크(80)의 내부와 외부 중 어디에 있는지에 따라 절차와 고려해야 할 점이 다르다. After the virus-infected computer (T1) is isolated from the network (80) by blocking the communication with the virus-infected computer (T1) in one way or both directions in the same manner as described above, Perform a clean or patch file installation. The treatment of the virus or the installation of the patch file is different from the procedure and consideration of where the equipment for it is located, i.e., either inside or outside the network 80.

바이러스 치료는 여러 가지 방식으로 구현될 수 있다. 위에서 언급한 바와 같이 바이러스 감염된 컴퓨터(T1)에 대한 ARP 테이블을 조작한 상태에서는, 그 감염 컴퓨터(T1)가 네트워크 내의 다른 장비들(T2, T3, ..., Tn) 또는 게이트웨이(60)와 통신을 하기 위해 발송한 패킷은 항상 통신제어장비(30)에게 전달되는데, 이 점을 활용하여 바이러스 치료가 이루어지도록 제어하면 된다. Virus treatment can be implemented in several ways. The infected computer T1 may be connected to other equipments T2, T3, ..., Tn or the gateway 60 in the network, The packet sent for communication is always transmitted to the communication control device 30, and the virus control can be controlled by utilizing this point.

바이러스 치료를 위한 한 가지 방식은, 바이러스 감염된 컴퓨터(T1)가 다른 장비와 통신을 하기 위해 어떤 요청을 보낼 때 (예컨대 인터넷을 사용하기 위해 웹브라우저를 띄워 특정 URL에 어떤 요청을 보낼 때), 그 요청에 대한 응답으로서 바이러스 감염된 컴퓨터(T1) 화면에 최초로 뜨는 것이 바로 바이러스 치료 요청을 위한 웹페이지가 되도록 하는 방법이다. 이 방법에 따르면, 바이러스 감염된 컴퓨터(T1)의 ARP 테이블이 조작된 상태에서는 감염 컴퓨터(T1)가 발송한 요청 메시지는 항상 통신제어모듈(30)로 전달되므로, 통신제어모듈(30)은 그 요청 메시지를 바 이러스 치료모듈(50)에게 감염 컴퓨터(T1)의 바이러스 치료 요청 메시지로서 제공한다. 그리고 바이러스 치료모듈(50)은 그러한 치료 요청 메시지에 응하여 바이러스 치료 절차로 나아가는 데 필요한 웹페이지를 감염 컴퓨터(T1)에 제공하는 과정을 밟게 된다. 이러한 과정을 통해 바이러스 치료모듈(50)은 감염 컴퓨터(T1)에 대하여 바이러스 치료를 수행할 수 있게 된다.One way to treat viruses is when a virus infected computer (T1) sends a request to communicate with another device (for example, when sending a request to a specific URL by opening a web browser to use the Internet) In response to a request, the first step on the virus-infected computer (T1) screen is to become a web page for virus treatment requests. According to this method, when the ARP table of the infected computer (T1) is manipulated, the request message sent by the infected computer (T1) is always transmitted to the communication control module (30) Message to the virus treatment module 50 as a virus treatment request message of the infected computer (T1). In response to such a request for treatment message, the virus remediation module 50 proceeds to provide the infected computer T1 with a web page necessary for proceeding to the virus remediation procedure. Through this process, the virus remediation module 50 can perform the virus remedy against the infected computer T1.

바이러스 치료를 위한 다른 방법으로, 통신제어모듈(30)이 바이러스 감염된 컴퓨터(T1)의 요청 메시지에 대한 응답으로서 '바이러스 치료 요청용 페이지'를 생성하여 바이러스 감염된 컴퓨터(T1)에게 회신하는 방식이다. 그 페이지는 예컨대 바이러스 감염된 컴퓨터(T1)가 바이러스에 감염되어 있다는 사실과 바이러스 치료의 수행이 필요함을 고지하는 내용과, 바이러스 치료 수행을 요청하는 버튼을 포함한다. 그 페이지는 바이러스 감염된 컴퓨터(T1)에서 브라우저에 의해 화면에 표시된다. 감염 컴퓨터(T1)의 사용자가 그 페이지에 표시된 치료 요청 버튼을 클릭 함으로써 바이러스 치료를 요청한 것이 된다. 감염 컴퓨터(T1)에서 바이러스 치료요청 버튼이 클릭 되면, 그 치료요청은 통신제어모듈(30)로 전달된다. 통신제어모듈(30)은 바이러스 감염된 컴퓨터(T1)의 치료요청을 바이러스 치료모듈(50)로 전달해준다. 치료요청의 전달방식은 리다이렉트(redirect)나 패킷포워딩 등의 방식이 될 수 있다. 이처럼 바이러스 감염된 컴퓨터(T1)의 바이러스 치료요청은 통신제어모듈(30)이 중간에서 전달자 역할을 함으로써 바이러스 치료모듈(50)에게 전달된다. As another method for virus treatment, the communication control module 30 generates a 'virus treatment request page' as a response to the request message of the virus infected computer T1 and returns the generated page to the virus infected computer T1. The page includes, for example, a fact that a virus-infected computer (T1) is infected with a virus, a notice of the necessity of performing a virus treatment, and a button for requesting to perform a virus treatment. The page is displayed on the screen by the browser on the infected computer (T1). The user of the infected computer (T1) requests virus treatment by clicking the treatment request button displayed on the page. When the virus remedy request button is clicked on the infected computer (T1), the treatment request is transmitted to the communication control module (30). The communication control module 30 transfers the request for the treatment of the infected computer T1 to the virus treatment module 50. [ The delivery method of the request for treatment may be a method such as redirect or packet forwarding. The virus treatment request of the virus-infected computer (T1) is transmitted to the virus remediation module (50) by the communication control module (30) serving as a messenger in the middle.

바이러스 치료 요청을 접수한 바이러스 치료모듈(50)은 바이러스 감염된 컴 퓨터(T1)에 대한 바이러스 치료를 수행한다. 바이러스 치료 방법은 기존에 알려진 방법들이나 앞으로 새롭게 제안되는 방법들 중에서 적절한 것을 채용하거나 그들을 조합하여 활용하면 된다. 본 발명은 바이러스 치료 방법에 대해서 특별히 새롭게 제안하는 것은 아니다. 바이러스 치료를 수행하는 과정에서 바이러스 치료모듈(50)과 바이러스 감염된 컴퓨터(T1) 간에 통신을 하는 경우, 바이러스 감염된 컴퓨터(T1)는 통신제어모듈(30)의 중계를 통하여 바이러스 치료모듈(50)로 패킷을 전송할 수 있는 반면에, 바이러스 치료모듈(50)은 이러한 중계 과정을 거치지 않고 직접적으로 바이러스 감염된 컴퓨터(T1)와 통신을 할 수 있다(게이트웨이(60)의 ARP 테이블에 대한 조작이 없는 경우). 물론 게이트웨이(60)의 ARP 테이블에서 감염 컴퓨터(T1)의 MAC 주소가 통신제어모듈(30)의 MAC 주소로 조작되어 있는 경우에는, 바이러스 치료모듈(50)은 통신제어모듈(30)의 중계작용을 통해 감염 컴퓨터(T1)에 치료를 위한 통신이 가능하다. The virus remediation module 50 that received the virus remedy request performs a virus remedy against the virus infected computer (T1). The virus treatment method can be appropriately adopted from known methods or newly proposed methods in the future, or a combination thereof can be used. The present invention does not particularly propose a new method for treating a virus. The virus infected computer T1 is communicated to the virus remediation module 50 through the relay of the communication control module 30 when communicating between the virus remedy module 50 and the virus infected computer T1 in the process of performing the virus remedy The virus remedy module 50 can directly communicate with the virus infected computer T1 without the intermediary process (when there is no operation on the ARP table of the gateway 60) . Of course, when the MAC address of the infected computer (T1) is manipulated by the MAC address of the communication control module (30) in the ARP table of the gateway (60), the virus remediation module (50) Lt; RTI ID = 0.0 > T1. ≪ / RTI >

바이러스 감염된 컴퓨터(T1)에 대한 통신 차단은 바이러스 치료가 완료되면 해제하는 것이 바람직하다. 치료가 완료된 경우 그 사실이 통신제어모듈(30)에 통지되는 것이 필요하다. 통신제어모듈(30)이 바이러스 치료가 완료되었음을 알 수 있도록 하는 한 가지 방법은 바이러스 감염된 컴퓨터(T1)에 바이러스 치료가 완료되었음을 탐지할 수 있는 기능을 갖는 에이전트 프로그램을 설치하는 것이다. 그러면 바이러스 감염된 컴퓨터(T1)에 대한 바이러스 치료가 완료되었을 때, 그 에이전트 프로그램은 바이러스 치료의 완료 사실을 바이러스 치료모듈(50)로 보고하게 된다. 그런데 그 보고는 통신제어모듈(30)을 통해서 바이러스 치료모듈(50)로 전달되 므로, 통신제어모듈(30)도 바이러스 치료의 완료를 알게 된다. It is preferable that the communication interruption to the virus infected computer (T1) is released when the virus treatment is completed. It is necessary to notify the fact to the communication control module 30 when the treatment is completed. One way of letting the communication control module 30 know that virus treatment has been completed is to install an agent program having a function of detecting completion of virus treatment on a virus infected computer T1. When the virus treatment for the virus-infected computer (T1) is completed, the agent program reports the completion of the virus treatment to the virus treatment module (50). However, since the report is transmitted to the virus treatment module 50 through the communication control module 30, the communication control module 30 also knows the completion of the virus treatment.

통신제어모듈(30)이 바이러스 치료의 완료 보고를 접수하게 되면, 바이러스 감염된 컴퓨터(T1)에 대해 취했던 통신 차단을 해제하기 위한 조치를 취한다. 바이러스의 치료 완료가 아닌 다른 조건이 만족되는 경우에도 통신차단의 해제조치를 취할 수도 있다. 통신차단모듈(30)이 바이러스 치료가 완료되었는지 알 수 있도록 하는 장치(즉, 치료완료 탐지기능을 갖는 에이전트 프로그램)를 마련하지 않는 경우에는 다른 조건으로 통신차단을 해제할 필요가 있다. 예를 들면, 통신차단 후부터 설정된 시간이 경과된 경우, 또는 네트워크 운용자가 통신차단의 해제를 지시하는 경우 등이 통신차단을 해제할 수 있는 경우의 예가 될 수 있다.When the communication control module 30 receives the completion report of the virus treatment, it takes measures to cancel the communication interruption that the virus infected computer T1 has taken. Even if the conditions other than the completion of the treatment of the virus are satisfied, it is also possible to take measures to cancel the communication interruption. If the communication blocking module 30 does not provide a device that allows the user to know whether virus treatment has been completed (i.e., an agent program having a function completion detection function), it is necessary to cancel the communication blocking under different conditions. For example, this can be an example of a case where a predetermined time has elapsed after the communication is interrupted, or when the network operator instructs the cancellation of the communication interruption can be canceled.

통신 차단의 해제는 통신 차단을 위해 취했던 IP주소/MAC주소의 조작을 원상회복시키면 된다. 즉, 바이러스 감염된 컴퓨터(T1)의 ARP 테이블에 기록된 IP주소/MAC주소 정보가 표 2의 내용에서 표 1의 내용으로 바뀌도록 하는 것이다. 이를 위해, 통신제어모듈(30)은 네트워크(80) 내의 다른 컴퓨터들(T2, T3, ..., Tn)과 게이트웨이(60)의 올바른 IP주소/MAC주소 정보를 포함하는 ARP 패킷을 바이러스 감염된 컴퓨터(T1)에게 유니캐스트로 제공한다. 이에 의해 바이러스 감염된 컴퓨터(T1)의 ARP 테이블은 표 1의 IP주소/MAC주소 정보로 복구되고, 그 후부터는 감염 컴퓨터(T1)는 정상적으로 복구된 주소 정보에 의거하여 통신을 수행하게 되므로, 네트워크 내의 다른 컴퓨터들(T2, T3, ..., Tn)들이나 게이트웨이(60)를 통한 외부 네트워크와 정상적으로 통신을 할 수 있게 된다.  The disconnection of communication can be resumed by restoring the operation of the IP address / MAC address that was taken for the communication interruption. That is, the IP address / MAC address information recorded in the ARP table of the virus infected computer (T1) is changed from the contents of Table 2 to the contents of Table 1. To this end, the communication control module 30 sends an ARP packet containing the correct IP address / MAC address information of the other computers T2, T3, ..., Tn in the network 80 and the gateway 60, Unicast to the computer T1. As a result, the ARP table of the infected computer (T1) is restored to the IP address / MAC address information of Table 1, and after that, the infected computer (T1) performs communication based on the restored address information normally. And can normally communicate with the external network through the computers T2, T3, ..., Tn or the gateway 60. [

만약, 양방향 통신 차단을 위해 네트워크(80) 내의 다른 컴퓨터들(T2, T3, ..., Tn)과 게이트웨이(60)의 ARP 테이블이 바이러스 감염된 컴퓨터(T1)의 MAC 주소를 통신제어모듈(30)의 MAC 주소로 가지고 있다면, 이들 장비들에 대한 원상회복 조치도 취해야 한다. 이를 위해, 통신제어모듈(30)은 바이러스 감염된 컴퓨터(T1)의 올바른 IP주소/MAC주소를 포함하는 ARP 패킷을 만들어 네트워크(80) 내의 다른 컴퓨터들(T2, T3, ..., Tn)과 게이트웨이(80) 각각에게 제공한다. 이에 의해 네트워크 내의 다른 컴퓨터들(T2, T3, ..., Tn)과 게이트웨이(60)는 바이러스 감염된 컴퓨터(T1)와 직접적으로 정상적인 통신을 할 수 있게 된다.If the ARP table of the other computers T2, T3, ..., Tn and the gateway 60 in the network 80 is set to the communication control module 30 ) MAC addresses, you should also take action to restore these devices. To this end, the communication control module 30 creates an ARP packet containing the correct IP address / MAC address of the virus infected computer T1 and transmits it to the other computers T2, T3, ..., Tn in the network 80 Gateway 80, respectively. Thus, the other computers T2, T3, ..., Tn and the gateway 60 in the network can communicate directly with the virus infected computer T1.

이상에서는 바이러스 감염의 경우를 예로 하여 설명하였지만, 네트워크(80)내의 컴퓨터들에 패치 파일을 설치하는 경우도 거의 동일한 절차를 따른다. 즉, 스위칭 장비(10)와 인라인으로 연결된 패치검출모듈(22)이 스위칭 장비(10)와 게이트웨이(60)를 통해 네트워크(80) 외부로 보내는 패킷을 받아서 그 통신 패킷을 발송한 컴퓨터 장치가 보안 패치가 필요한 지 여부를 분석하고, 보안 패치의 설치가 필요한 컴퓨터(T1)가 검출되면, 그 컴퓨터(T1)는 바이러스 침투 내지 전이나 외부 공격 등에 취약하므로 그 컴퓨터(T1)에 대한 통신차단 조치를 먼저 취한다. 그리고 나서 그 컴퓨터(T1)에 대한 패치 파일이 설치되도록 한 다음, 통신차단 조치를 해제하는 절차를 밟는다. 보다 자세한 것은 바이러스 감염과 관련한 설명을 참조하면 되므로, 여기서는 구체적인 사항에 대한 설명은 생략하기로 한다. Although the virus infection has been described above as an example, the same procedure is followed when patch files are installed in the computers in the network 80. [ That is, when the patch detection module 22 connected in-line with the switching equipment 10 receives a packet transmitted to the outside of the network 80 through the switching equipment 10 and the gateway 60, If a computer T1 that requires installation of a security patch is detected, the computer T1 is analyzed to determine whether a patch is needed. Since the computer T1 is vulnerable to virus infiltration, Take it first. Then, a patch file for the computer T1 is installed, and then a procedure for canceling the communication blocking action is performed. More specifically, the description related to the virus infection can be referred to, so that a detailed description thereof will be omitted.

한편, 도 2에는 다른 실시예에 따른 시스템이 도시된다. 도 1의 시스템은 바이러스 치료모듈(50)과 패치모듈(55)이 네트워크 외부 즉, 외부 네트워크(70)를 통해 접속될 수 있는 위치에 있는 데 비해, 도 2의 시스템은 바이러스 치료모듈(50) 과 패치모듈(55)이 스위칭 장비(10)에 직접 연결되어 네트워크(80) 내부에 존재하는 구성을 갖는다. 이런 구성에서는 바이러스 치료모듈(50)과 패치모듈(55)도 네트워크에 연결된 장비로서 다루어질 필요가 있다.On the other hand, FIG. 2 shows a system according to another embodiment. The system of FIG. 1 is in a position where the virus treatment module 50 and the patch module 55 can be connected outside the network, that is, via the external network 70, And the patch module 55 are directly connected to the switching equipment 10 and are present inside the network 80. [ In this configuration, the virus cure module 50 and the patch module 55 also need to be treated as equipment connected to the network.

도 6은 도 2의 시스템에서 바이러스의 조기 발견과 치료를 위한 방법의 실행절차를 예시적으로 나타내는 흐름도이다. 도 5와 비교해서 차이가 나는 점을 중심으로 설명하고자 한다. 바이러스 치료모듈(50)이 네트워크(80) 내부에 위치하므로, 바이러스 검출모듈(20)은 바이러스 감염된 컴퓨터(T1)를 검출한 경우 통신제어모듈(30) 뿐만 아니라 바이러스 치료모듈(50)에게도 바이러스 감염된 컴퓨터(T1)에 관한 주소 정보(IP주소/MAC 주소)와 검사결과 등을 직접 알려주는 것이 바람직하다. 이러한 통지 후, 통신제어모듈(30)에 의해 바이러스 감염된 컴퓨터(T1)에 대한 통신 차단을 위한 조치가 취해져야 한다. 바이러스 감염된 컴퓨터(T1)가 네트워크(80) 내 다른 컴퓨터 장치(T2, T3, ..., Tn)들 및 게이트웨이(60)와 통신을 하지 못하도록 차단하기 위해 MAC 주소가 조작된 ARP 패킷을 이용하여 ARP 테이블을 조작하는 것(일방향 통신차단과 양방향 통신차단)은 위에서 설명한 것과 동일한 방식으로 수행하면 된다. FIG. 6 is a flow chart exemplarily showing an execution procedure of a method for early detection and treatment of virus in the system of FIG. 2; And the difference in comparison with FIG. 5 will be mainly described. The virus detection module 20 not only notifies the virus control module 30 as well as the virus control module 50 that the virus infection module 50 is located in the network 80, It is preferable to directly inform the address information (IP address / MAC address) of the computer T1 and the inspection result. After this notification, the communication control module 30 must take measures to block the communication with the virus-infected computer (T1). An ARP packet whose MAC address has been manipulated is used to block the virus infected computer T1 from blocking communication with the other computer devices T2, T3, ..., Tn and the gateway 60 in the network 80 Manipulating the ARP table (one-way communication blocking and two-way communication blocking) may be performed in the same manner as described above.

바이러스 감염된 컴퓨터(T1)에 대한 통신차단이 이루어진 다음, 바이러스 치료모듈(50)은 통신제어모듈(30)의 중계작용을 이용하여 바이러스 감염 컴퓨터(T1)와 통신을 하면서 바이러스 치료를 수행할 수도 있지만, 그 자신이 바이러스로부터 안전수단을 갖추고 있는 것이 일반적이므로 바이러스 감염 장비(T1)와 직접 통신하면서 바이러스 치료를 수행할 수도 있다. 이 경우, 바이러스 치료모듈(50)과 바이 러스 감염 장비(T1) 간에는 통신차단을 할 필요는 없다. 이 점은 패치 모듈(50)도 마찬가지이다.After the communication for the virus infected computer T1 is blocked, the virus remedy module 50 may perform the virus remedy while communicating with the virus infected computer T1 using the relay action of the communication control module 30 , It is common that the virus itself is equipped with a safety measure from the virus, so that virus treatment can be performed while directly communicating with the virus infection apparatus (T1). In this case, there is no need to interrupt communication between the virus cure module 50 and the virus infection equipment T1. This also applies to the patch module 50.

통신차단을 위한 조치가 취해진 후, 바이러스 치료가 수행되는데, 여기에는 두 가지 방식이 있을 수 있다. 한 가지는 바이러스 감염된 컴퓨터(T1)가 바이러스 치료모듈(50)에 치료 요청을 하면 그 바이러스 치료모듈(50)이 그에 응하여 바이러스의 치료를 수행하는 풀링(pulling) 방식이 있다. 이 방식에 따르면, 바이러스 치료 모듈(50)은 바이러스 검출모듈(20)로부터 바이러스 검출결과와 감염 컴퓨터(T1)의 주소 정보(IP주소/MAC 주소)를 전달받고, 그 전달받은 정보에 의거하여 바이러스 치료 요청용 페이지를 만들어서 바이러스 감염된 컴퓨터(T1)에게 제공한다. 그 치료용 페이지에는 앞서 언급한 바와 같이 예컨대 바이러스 감염된 컴퓨터(T1)가 바이러스에 감염되어 있다는 사실과 바이러스 치료의 수행이 필요하다는 내용과 바이러스 치료 수행을 요청하는 버튼을 포함시킨다. 바이러스 감염된 컴퓨터(T1)의 사용자가 그 버튼을 클릭 함으로써 바이러스 치료를 요청한 것이 되고, 그러한 요청은 바이러스 치료모듈(50)로 직접 전달된다. 바이러스 치료모듈(50)은 그 요청에 응하여 바이러스 치료를 수행한다. 바이러스 치료를 개시한 다음, 소정의 조건이 충족되면 바이러스 감염된 컴퓨터(T1)에 대한 통신차단을 해제한다. 예컨대, 바이러스 치료가 완료되었을 때 바이러스 감염된 컴퓨터(T1)에 미리 설치해 둔 에이전트 프로그램이 바이러스 치료의 완료를 바이러스 치료모듈(50)과 통신제어모듈(30)에 각각 보고하는 경우, 또는 소정의 설정시간(예: 바이러스 치료에 소요되는 충분한 시간)이 경과한 경우 또는 네트워크 운용자의 지시가 있는 경우, 바이러스 감염 된 컴퓨터(T1)에 대한 통신차단의 해제 조치를 곧바로 취한다. 즉, 통신제어모듈(30)은 바이러스 감염장비(T1)와 네트워크 내 다른 컴퓨터들(T2, T3, ..., Tn) 및 게이트웨이(60) 각각에 대하여 서로 상대방의 정상적인 IP주소/MAC주소를 포함하는 ARP 패킷을 제공한다. 이에 의해 바이러스 감염된 컴퓨터(T1)는 정상적인 통신을 할 수 있게 된다.After action is taken to block the communication, virus treatment is performed, which can be done in two ways. One is a pulling method in which, when a virus infected computer (T1) makes a request for treatment to the virus treatment module (50), the virus treatment module (50) responds to it and performs treatment of the virus. According to this method, the virus remediation module 50 receives the virus detection result and the address information (IP address / MAC address) of the infected computer T1 from the virus detection module 20 and, based on the received information, Creates a page for requesting treatment and provides it to the infected computer (T1). The treatment page includes, for example, a fact that a virus-infected computer (T1) is infected with a virus and that a virus treatment needs to be performed, and a button for requesting to perform a virus treatment, as mentioned above. The user of the virus infected computer (T1) requests virus treatment by clicking the button, and the request is directly transmitted to the virus treatment module (50). The virus treatment module 50 performs virus treatment in response to the request. After the virus treatment is started, if the predetermined condition is satisfied, the communication interruption to the virus infected computer (T1) is canceled. For example, when the virus treatment is completed, the agent program previously installed in the virus-infected computer (T1) reports the completion of the virus treatment to the virus treatment module (50) and the communication control module (30) (Eg, sufficient time for virus remediation) has elapsed, or the network operator has instructed, take immediate action to unblock the infected computer (T1). That is, the communication control module 30 transmits the normal IP address / MAC address of the other party to each of the virus infected device T1 and the other computers T2, T3, ..., Tn and the gateway 60 And provides an ARP packet to be included. As a result, the virus-infected computer (T1) can perform normal communication.

다른 치료방식으로는 바이러스 치료모듈(50)이 바이러스 검출모듈(20) 또는 통신제어모듈(30)로부터 전달받은 바이러스 감염된 컴퓨터(T1)에 대한 정보를 이용하여 바이러스 치료를 먼저 수행하는 푸싱(pushing) 방식이다. 바이러스 치료모듈(50)이 바이러스 감염된 컴퓨터(T1)에 관한 주소 정보와 어떤 바이러스에 감염된 상태인지를 알고 있으므로, 바이러스 감염된 컴퓨터(T1)의 요청이 없더라도 바이러스의 치료가 가능하다. 바이러스 치료모듈(50)은 바이러스 검출모듈(20)로부터 바이러스 검출 결과와 바이러스 감염된 컴퓨터(T1)의 IP주소/MAC주소 정보를 전달받으면, 곧바로 그 바이러스 감염된 컴퓨터(T1)에 대한 바이러스 치료를 실행한다. 바이러스 치료의 착수에 앞서, 바이러스 치료모듈(50)이 바이러스 치료 완료를 인지하여 보고하는 기능을 갖는 에이전트 프로그램을 바이러스 감염된 컴퓨터(T1)에 미리 설치시켜두는 것이 좋다. 그러면, 바이러스 감염된 컴퓨터(T1)의 바이러스 치료가 완료되었을 때 그 사실이 바이러스 치료모듈(50)과 통신제어모듈(30)에게 보고 될 수 있다. Another treatment method is a method in which the virus treatment module 50 performs a pushing operation to perform virus treatment first using information about the virus infected computer T1 received from the virus detection module 20 or the communication control module 30. [ Method. Since the virus remediation module 50 knows the address information about the virus infected computer (T1) and the virus infected state, it is possible to treat the virus even if there is no request from the virus infected computer (T1). When the virus detection module 20 receives the virus detection result and the IP address / MAC address information of the infected computer T1, the virus remediation module 50 immediately executes the virus remedy against the virus infected computer T1 . It is preferable that an agent program having a function of recognizing and reporting completion of the virus treatment is installed in advance in the virus infected computer T1 prior to the start of the virus treatment. Then, when the virus treatment of the virus infected computer (T1) is completed, the fact can be reported to the virus treatment module (50) and the communication control module (30).

도 2와 6에서, 보안 패치의 경우도 그것의 설치가 필요한 장비의 검출과 통신 차단 후 패치 파일의 설치 및 통신 차단의 해제에 관한 것은 바이러스 감염된 컴퓨터의 검출, 바이러스 치료와 관련된 통신 차단 및 차단 해제와 동일한 과정을 거친다. In FIGS. 2 and 6, the detection of the devices requiring the installation of the security patches and the disconnection of the communication blocks and the installation of the patch files after the communication is interrupted are related to the detection of virus infected computers, .

한편, 도 3에는 또 다른 시스템이 도시되어 있다. 도 3에 도시된 시스템은 바이러스 검출모듈(20)과 패치 검출모듈(22)의 위치가 도 1과 2의 두 시스템과 다르다는 점에 그 특징이 있다. 즉, 스위칭 장비(10)에는 컴퓨터 장치들(T1, T2, ..., Tn)의 포트 외에 이들 장비들(T1, T2, ..., Tn)의 포트에 대한 미러링 포트(mirroring port)(14)가 더 마련되어 있고, 바이러스 검출모듈(20)과 패치 검출모듈(22)은 그 미러링 포트(14)에 연결된다. 컴퓨터 장치들(T1, T2, ..., Tn)의 각 포트에 기록되는 패킷의 내용은 미러링 포트(14)에 그대로 복사된다. 따라서 바이러스 검출모듈(20)과 패치 검출모듈(22)은 미러링 포트(14)를 통해 네트워크 내의 모든 컴퓨터 장치들(T1, T2, ..., Tn)이 게이트웨이를 통해 네트워크 외부로 발송하는 패킷뿐만 아니라 그들 간에 주고받는 네트워크 내부에서 주고받는 패킷까지도 전부 열람할 수 있다. 이 점은 도 1과 도 2의 시스템의 경우, 바이러스 검출모듈(20)과 패치 검출모듈(22)은 컴퓨터 장치들(T1, T2, ..., Tn)이 네트워크 내부에서 서로 간에 통신하는 패킷을 수신할 수 없고 오직 스위칭 장비(10)를 통해 네트워크 외부로 나가는 패킷만을 수신할 수 있다는 점에서 차이가 있다. On the other hand, another system is shown in Fig. The system shown in FIG. 3 is characterized in that the positions of the virus detection module 20 and the patch detection module 22 are different from those of the systems of FIGS. 1 and 2. That is, the switching equipment 10 is provided with a mirroring port (not shown) for the ports of these devices T1, T2, ..., Tn in addition to the ports of the computer devices T1, T2, 14 are further provided, and the virus detection module 20 and the patch detection module 22 are connected to the mirroring port 14 thereof. The contents of the packet recorded in each port of the computer devices T1, T2, ..., Tn are copied to the mirroring port 14 as it is. Therefore, the virus detection module 20 and the patch detection module 22 are not limited to the packets sent by the computer devices T1, T2, ..., Tn in the network via the gateway to the outside of the network through the mirroring port 14 But you can browse all the packets that are exchanged between them. 1 and 2, the virus detection module 20 and the patch detection module 22 can detect that the computer devices (T1, T2, ..., Tn) And only the packets going out of the network through the switching equipment 10 can be received.

도 3의 시스템의 경우, 게이트웨이를 통해 네트워크 외부로 나가는 패킷뿐만 아니라, 네트워크 내의 컴퓨터 장치들(T1, T2, ..., Tn)들 간에 주고받는 패킷을 항상 열람할 수 있으므로 바이러스 감염을 좀 더 일찍 발견할 수 있다. 예컨대 컴퓨터(T1)가 바이러스에 감염된 후 네트워크 외부와 통신하기 전에 네트워크 내의 다른 컴퓨터 장치들(T2, T3, ..., Tn)과 통신을 하는 경우, 도 1과 2의 시스템에서는 컴퓨터 장치 T1의 바이러스 감염 사실을 검출할 수 없지만, 도 3의 시스템에서는 검출이 가능하다. 도 3의 시스템은 이렇듯 바이러스 감염 사실의 조기 발견에는 유리하다. 반면에, 네트워크 내부에서 오가는 모든 패킷을 열람하여 바이러스 감염 여부를 분석해야 하는 것 때문에, 처리 능력이 그것을 뒷받침하지 못하면 통신 트래픽에 병목 현상을 유발할 수도 있다. 도 3의 시스템의 채용에는 이 점이 고려될 필요가 있다.In the case of the system shown in FIG. 3, packets transmitted and received between the computer devices (T1, T2, ..., Tn) in the network as well as packets going out of the network through the gateway can be always read, You can find it early. For example, if the computer T1 is communicating with other computer devices (T2, T3, ..., Tn) in the network before communicating with the outside of the network after being infected with a virus, in the system of Figures 1 and 2, The fact of the virus infection can not be detected, but detection is possible in the system of Fig. The system of FIG. 3 is advantageous for early detection of a virus infection. On the other hand, if the processing power does not support it, it may cause a bottleneck in the communication traffic because all the packets going in and out of the network should be read and analyzed for virus infection. This need to be taken into account in the adoption of the system of FIG.

도 4는 또 다른 시스템을 도시한다. 도시된 시스템의 특징은 스위칭 장비(80)가 스위칭 기능만을 갖는 기존의 스위칭 장비와는 다르다는 것이다. 즉, 도 1 내지 도 3의 시스템이 채용하는 스위칭 장비(10)는 오로지 네트워크 장비들의 통신을 위한 패킷 스위칭 처리를 담당하는 것인데 비해, 도 4의 스위칭 장비(80)는 그러한 스위칭 기능 외에도 네트워크 장비들이 주고받는 패킷을 분석하여 바이러스 감염 여부를 검출하고 최신 보안 패치의 설치 필요성 여부 등을 분석하는 기능까지를 갖춘 것이다. 도 4의 시스템에서, 스위칭 장비(80)에 내포된 바이러스 검출부와 패치검출부는 도 3의 바이러스 검출모듈(20)과 패치 검출모듈(22)과 실질적으로 동일한 위치에 배치된 것으로 볼 수 있다. 그러므로 바이러스의 검출과 통신제어 및 해제, 바이러스 치료 등은 도 3의 시스템과 동일하다.Figure 4 shows another system. The feature of the system shown is that the switching equipment 80 is different from conventional switching equipment having only a switching function. That is, while the switching equipment 10 employed by the system of FIGS. 1 to 3 is responsible for packet switching processing for communication of network equipment only, the switching equipment 80 of FIG. 4, in addition to such switching function, It analyzes the packets sent and received to detect the virus infection and analyzes the necessity of installing the latest security patch. In the system of FIG. 4, the virus detection unit and the patch detection unit included in the switching device 80 may be regarded as being disposed at substantially the same positions as the virus detection module 20 and the patch detection module 22 of FIG. Therefore, virus detection, communication control and release, virus treatment and the like are the same as the system of Fig.

도 3과 4의 시스템에서, 보안 패치에 관한 부분도 바이러스에 관한 위 설명과 같다. In the systems of FIGS. 3 and 4, the parts relating to the security patch are the same as described above for the virus.

이상에서는 하나의 네트워크를 예로 하여 설명하였지만, 여러 개의 서브네트 워크를 포함하는 대규모 네트워크의 경우에도 위에서 설명한 방법을 적용할 수 있다. 그 경우, 바이러스 검출모듈과 바이러스 치료모듈, 패치 검출모듈과 패치 모듈의 배치 위치는 네트워크의 구체적인 형태에 따라 적절히 정하고, 그 정해진 형태에 따라 최적의 통신제어방식을 선택하면 된다. 이와 관련한 선택 기준은 위에서 설명한 내용을 참고하여 정할 수 있을 것이다.Although a single network has been described above, the above-described method can be applied to a large-scale network including a plurality of subnetworks. In this case, the positions of the virus detection module, the virus detection module, the patch detection module, and the patch module may be appropriately determined according to the specific form of the network, and an optimal communication control method may be selected according to the determined form. The selection criteria related to this can be determined by referring to the above description.

본 발명은 네트워크를 구성하는 컴퓨터 장치들이 웜이나 바이러스에 감염된 사실이나 보안 패치의 설치가 필요한 경우, 그 해당 장비의 통신을 차단함으로써 바이러스의 치료나 패치의 설치가 완료될 때까지 바이러스의 전이가 완벽하게 차단됨으로써 바이러스의 피해를 최소화할 수 있다. In the present invention, when a computer device constituting a network is infected with a worm or a virus, or when a security patch is required, communication of the corresponding device is blocked, so that the transfer of the virus is completed So that the damage of the virus can be minimized.

Claims (23)

네트워크 내의 컴퓨터 장치들이 발송한 패킷을 모니터링 하여 상기 컴퓨터 장치들이 바이러스에 감염되었는지 여부 또는 패치의 설치가 필요한 지를 분석하는 단계;Monitoring the packets sent by the computer devices in the network to analyze whether the computer devices are infected with the virus or whether patch installation is necessary; 상기 분석의 결과 바이러스에 감염된 컴퓨터 장치 또는 패치의 설치가 필요한 컴퓨터 장치가 탐지되면, 그 바이러스의 치료를 위한 경우 또는 패치의 설치를 위한 경우를 제외하고는 그 바이러스 감염된 컴퓨터 장치 또는 패치의 설치가 필요한 컴퓨터 장치의 통신을 차단하는 단계; 및If the analysis results in the detection of a computer device infected with a virus or a computer device that requires the installation of a patch, installation of that infected computer device or patch is required, except for the treatment of the virus or for patch installation Blocking communications of the computer device; And 상기 바이러스 감염된 컴퓨터 장치와 바이러스 치료수단 또는 패치 수단 간의 통신을 보장하여 상기 바이러스 감염된 컴퓨터 장치에 대하여 상기 바이러스 치료수단 또는 패치 수단에 의한 바이러스 치료 또는 패치 파일의 설치가 수행되도록 하는 단계를 구비하는 것을 특징으로 하여 네트워크로 연결된 컴퓨터 장치들에 관한 통신제어 기반의 바이러스 치료/패칭 방법.And a step of ensuring communication between the virus-infected computer apparatus and the virus treatment means or the patch means so that virus treatment or installation of a patch file is performed by the virus treatment means or the patch means on the virus-infected computer apparatus A method for virus control / patching based on communication control for networked computer devices. 제 1항에 있어서, 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치의 통신차단을 위해, 통신제어장치가 상기 네트워크 내의 다른 컴퓨터 장치들과 게이트웨이의 MAC 주소를 원래의 MAC 주소가 아닌 다른 MAC 주소로 조작한 ARP 패킷을 상기 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치에게 유니캐스트로 제공하는 단계를 더 구비하는 것을 특징으로 방법.The communication control apparatus according to claim 1, wherein, in order to block communication of a virus-infected computer apparatus or a computer apparatus requiring patch installation, the communication control apparatus sets the MAC address of the other computer apparatuses and the gateway in the network to a MAC address different from the original MAC address And unicast the manipulated ARP packet to the infected computer device or the computer device requiring patch installation. 제 2항에 있어서, 상기 통신제어장치가 상기 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치의 MAC 주소를 원래의 MAC 주소가 아닌 다른 MAC 주소로 조작한 내용을 포함하는 ARP 패킷을 상기 네트워크 내의 나머지 다른 컴퓨터 장치들과 게이트웨이에게 유니캐스트로 제공하는 단계를 더 구비하는 것을 특징으로 하는 방법.3. The method as claimed in claim 2, wherein the communication control device transmits an ARP packet including contents of the MAC address of the computer device that requires the virus-infected computer device or patch installation to a MAC address other than the original MAC address, And unicast to the other computer devices and the gateway. 제 2항 또는 3항에 있어서, 상기 다른 MAC 주소는 상기 ARP 패킷을 제공하는 상기 통신제어수단의 MAC 주소인 것을 특징으로 하는 방법.4. The method according to claim 2 or 3, wherein the different MAC address is the MAC address of the communication control means for providing the ARP packet. 제 3항에 있어서, 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치로부터 통신을 위한 요청 메시지를 수신하면 그것을 바이러스 치료수단 또는 패치 수단으로 전달하여 상기 바이러스 치료수단 또는 패치 수단으로 하여금 상기 통신제어수단의 통하여 또는 직접 상기 바이러스 감염된 컴퓨터 장치와 통신하면서 바이러스 치료 또는 패치 설치를 위한 절차를 수행하도록 제어하는 단계를 더 구비하는 것을 특징으로 하는 방법.[Claim 4] The method according to claim 3, wherein when the communication control means receives a request message for communication from the virus-infected computer apparatus or a computer apparatus requiring patch installation, the communication control means transmits the request message to the virus treatment means or the patch means, Further comprising the step of controlling the computer to perform a procedure for virus treatment or patch installation while communicating with the virus-infected computer device via the communication control means or directly. 제 1항에 있어서, 통신차단 조치를 취한 컴퓨터 장치에 대하여 소정의 조건이 만족되면 상기 통신제어수단은 기 취한 통신차단 조치를 해제하는 단계를 더 구비하는 것을 특징으로 하는 방법.The method according to claim 1, further comprising the step of releasing the communication cut-off action that has been taken by the communication control means when a predetermined condition is satisfied with respect to the computer apparatus that has taken the communication cutoff measure. 제 6항에 있어서, 상기 소정의 조건은 i) 상기 바이러스 감염된 컴퓨터 장치에 대한 바이러스의 치료가 완료된 경우, ii) 상기 바이러스의 치료 개시 시점으로부터 소정의 시간이 경과된 경우, 그리고 iii) 관리자가 통신차단의 해제를 지시하는 경우 중 어느 한 가지인 것을 특징으로 하는 방법.7. The method according to claim 6, wherein the predetermined condition is one of the following: i) when the virus treatment for the virus-infected computer apparatus is completed, ii) when a predetermined time has elapsed from the start of treatment of the virus, and iii) And instructing the release of the blocking. 제 1항에 있어서, 상기 분석단계의 분석대상은 상기 네트워크의 게이트웨이를 통해 외부로 내보내는 패킷과 상기 네트워크 내의 컴퓨터 장치들 간에 스위칭 장비를 통해 주고받는 패킷 중 적어도 어느 한 가지인 것을 특징으로 하는 방법.The method as claimed in claim 1, wherein the analyzing step comprises analyzing at least one of a packet to be exported through a gateway of the network and a packet to be exchanged between computer devices in the network through a switching device. 제 2항에 있어서, 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치의 MAC 주소를 상기 통신제어수단의 MAC 주소로 조작한 ARP 패킷을 상기 네트워크 내에서 브로드캐스팅 하고, 상기 바이러스 감염된 컴퓨터 장치에게 상기 네트워크 내의 다른 장비들의 MAC 주소를 상기 통신제어수단 자신의 MAC 주소로 조작한 ARP 패킷을 '유니캐스팅'방식으로 제공하는 단계를 더 구비하는 것을 특징으로 하는 방법.3. The system according to claim 2, wherein the communication control means broadcasts, in the network, an ARP packet in which the MAC address of the virus-infected computer device is manipulated by the MAC address of the communication control means, Further comprising the step of providing 'unicasting' the ARP packet in which the MAC address of the other devices is manipulated with the MAC address of the communication control means itself. 다수의 컴퓨터 장치들이 스위칭 장비를 매개로 하여 네트워크로 연결된 컴퓨터 장치들에 관한 통신제어 기반의 바이러스 치료/패칭 방법에 있어서, A communication control based virus treatment / patching method for computer devices connected to a network by a plurality of computer devices via a switching device, 상기 컴퓨터 장치들이 상기 네트워크 외부로 발송한 통신 패킷을 바이러스 검출수단이 상기 스위칭 장비를 통해 실시간으로 수신하여 상기 컴퓨터 장치들의 바이러스 감염 여부를 분석하는 제1단계;A first step of analyzing whether the computer devices are infected with a virus by receiving a communication packet transmitted from the computer devices to the outside of the network in real time via the switching device; 상기 바이러스 검출수단은 상기 분석의 결과 바이러스에 감염된 컴퓨터 장치가 발견되면 그 바이러스 감염된 컴퓨터 장치의 적어도 IP주소와 MAC주소를 통신제어수단에게 제공하는 제2단계; 및A virus detecting means for detecting a virus infected computer device as a result of the analysis and providing at least an IP address and a MAC address of the virus infected computer device to the communication control means; And 상기 통신제어수단은 상기 네트워크 내의 다른 컴퓨터 장치들과 게이트웨이의 MAC 주소를 자신의 MAC주소로 조작한 ARP 패킷을 상기 바이러스 감염된 컴퓨터 장치에 제공하여 상기 바이러스 감염된 컴퓨터의 ARP 테이블을 조작함으로써 상기 바이러스 감염된 컴퓨터 장치가 발송하는 통신 패킷이 상기 통신제어수단으로만 전달되도록 하는 제3단계; 및The communication control means operates the ARP table of the virus infected computer by providing an ARP packet in which the MAC address of the gateway and the other computer devices in the network are manipulated with its own MAC address to the infected computer device, A third step of allowing a communication packet sent by the device to be delivered only to the communication control means; And 바이러스 치료수단이 상기 바이러스 감염된 컴퓨터 장치에 대하여 바이러스 치료를 수행하는 제4단계를 구비하는 것을 특징으로 하는 네트워크로 연결된 컴퓨터 장치들에 대한 통신제어 기반의 바이러스 치료/패칭 방법.And a fourth step in which the virus treatment means performs a virus treatment on the virus-infected computer apparatus. 제 10항에 있어서, 상기 분석단계의 분석대상은 상기 네트워크의 게이트웨이를 통해 외부로 내보내는 패킷과 상기 네트워크 내의 컴퓨터 장치들 간에 스위칭 장비를 통해 주고받는 패킷 중 적어도 어느 한 가지인 것을 특징으로 하는 방법.The method as claimed in claim 10, wherein the analysis target of the analysis step is at least one of a packet to be exported through a gateway of the network and a packet to be exchanged between computer devices in the network through a switching device. 제 10항 또는 11항에 있어서, 상기 통신제어수단이 상기 네트워크 내의 다른 컴퓨터 장치들 각각에 대해 상기 바이러스 감염된 컴퓨터 장치의 MAC 어드레스를 원래의 MAC주소가 아닌 다른 MAC주소로 조작한 ARP 패킷을 제공하여 상기 바이러스 감염된 컴퓨터 장치와 상기 다른 컴퓨터 장치들 간에 양방향으로 통신 차단이 되도록 하는 단계를 더 구비하는 것을 특징으로 하는 방법. The method according to claim 10 or 11, wherein the communication control means provides an ARP packet for each of the other computer devices in the network, the MAC address of the virus infected computer device being manipulated to a MAC address other than the original MAC address Further comprising the step of blocking communication between the virus infected computer device and the other computer devices in both directions. 제 10항 또는 11항에 있어서, 상기 제2단계와 상기 제3단계의 사이에서, 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치의 MAC 주소를 상기 통신제어수단의 MAC 주소로 조작한 ARP 패킷을 상기 네트워크 내에서 브로드캐스팅 하는 단계를 더 구비하는 것을 특징으로 하는 방법.11. The method according to claim 10 or 11, further comprising, during the second step and the third step, transmitting, by the communication control means, the ARP packet manipulated by the MAC address of the communication control means to the MAC address of the virus- Further comprising the step of broadcasting within the network. 제 10항 또는 11항에 있어서, 상기 통신제어수단은 상기 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치로부터 통신을 위한 요청 메시지를 수신하면 그것을 바이러스 치료수단 또는 패치 수단으로 전달하고, 상기 바이러스 치료수단 또는 패치 수단은 상기 통신제어수단의 통하여 또는 직접 상기 바이러스 감염된 컴퓨터 장치와 통신하면서 바이러스 치료 또는 패치 설치를 위한 절차를 수행하는 단계를 더 구비하는 것을 특징으로 하는 방법.The method according to claim 10 or 11, wherein the communication control means, when receiving a request message for communication from the virus-infected computer device or a computer apparatus requiring patch installation, transmits the request message to the virus treatment means or the patch means, Or the patch means further comprises performing a procedure for virus treatment or patch installation while communicating with the virus-infected computer device through the communication control means or directly. 제 14항에 있어서, 상기 통신제어수단은, 상기 제4단계를 수행하기 위해, 상기 제3단계를 수행한 이후에 상기 바이러스 감염된 컴퓨터 장치가 발송한 통신 패킷을 수신하게 되면, 상기 바이러스 치료수단 또는 패치 수단으로 하여금 상기 바이러스 감염된 컴퓨터 장치에 대하여 바이러스 치료 또는 패치 설치를 수행하도록 제어하는 것을 특징으로 하는 방법.15. The computer-readable medium according to claim 14, wherein, when the communication control unit receives the communication packet sent by the virus-infected computer apparatus after performing the third step to perform the fourth step, And controlling the patch means to perform virus treatment or patch installation for the virus-infected computer device. 제 10항에 있어서, 상기 바이러스 치료수단이 상기 네트워크 내부에 존재하는 경우, 상기 바이러스 치료의 수행은 i) 상기 바이러스 치료수단이 상기 바이러스 감염된 컴퓨터 장치에 대하여 바이러스 치료 요청용 페이지를 제공하는 단계; ii) 상기 바이러스 감염된 컴퓨터 장치가 바이러스 치료 요청 메시지를 바이러스 치료수단으로 발송하는 단계; iii) 상기 치료 요청에 의하여, 상기 바이러스 치료수단이 상기 감염된 컴퓨터 장치에 대하여 바이러스 치료를 수행하는 단계를 구비하는 것을 특징으로 하는 방법.11. The method of claim 10, wherein if the virus treatment means is present in the network, performing the virus treatment comprises: i) providing a virus treatment request page to the virus-infected computer device; ii) sending the virus treatment request message to the virus treatment means by the virus-infected computer device; and iii) performing the virus treatment on the infected computer device by the virus treatment means according to the treatment request. 제 10항에 있어서, 상기 바이러스 치료수단이 상기 네트워크 외부에 존재하는 경우, 상기 바이러스 치료의 수행은 i) 상기 바이러스 감염된 컴퓨터 장치가 보내온 요청 패킷에 응답하여, 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치에게 바이러스 치료 요청용 페이지를 제공하는 단계; ii) 상기 바이러스 감염된 컴퓨터 장치가 상기 바이러스 치료 요청 메시지를 발송하면, 상기 통신제어수단은 그 치료 요청 메시지를 수신하여 상기 바이러스 치료수단으로 중계하는 단계; 및 iii) 상기 치료 요청에 응하여, 상기 바이러스 치료수단이 상기 바이러스 감염된 컴퓨터 장치에 대하여 바이러스 치료를 수행하는 단계를 구비하는 것을 특징으로 하는 방법.The method according to claim 10, wherein, when the virus remedy exists outside the network, the execution of the virus remedy comprises: i) in response to the request packet sent by the virus infected computer apparatus, Providing a page for requesting a virus treatment; ii) when the virus-infected computer device sends the virus-care-request message, the communication control means receives the treatment-request message and relays the message to the virus-treatment means; And iii) in response to the request for treatment, the virus treatment means performs virus treatment on the virus-infected computer device. 제 10항에 있어서, 상기 컴퓨터 장치들의 보안 패치 설치 필요성을 분석하여 설치가 필요한 컴퓨터 장치에 대하여 보안 패치를 설치하는 패치단계를 더 구비하는 것을 특징으로 하는 방법. The method according to claim 10, further comprising a patch step of analyzing a necessity of installing a security patch of the computer devices and installing a security patch on a computer apparatus requiring installation. 제 18항에 있어서, 상기 패치단계는, i) 상기 스위칭 장비와 인라인으로 연결된 패치 검출수단이, 상기 스위칭 장비를 통해 상기 네트워크 외부로 발송되는 패킷들을 실시간으로 수신하여 그 패킷의 발송 컴퓨터 장치가 보안 패치의 설치가 필요한 지 여부를 분석하는 단계; ii) 상기 패치 검출수단은 패치의 설치가 필요한 컴퓨터 장비의 적어도 IP주소 및 MAC주소를 통신제어수단에 제공하는 단계; 상기 통신제어수단은 패치의 설치가 필요한 컴퓨터 장치에 대하여 상기 바이러스 감염된 컴퓨터에 대하여 취한 통신 차단 방법과 같은 방법으로 통신을 차단하는 단계; 및 패치 설치가 필요한 장치가 패치 요청을 하면, 상기 통신제어수단이 그 요청을 수신하여 패치수단으로 중계해주는 단계를 구비하는 것을 특징으로 하는 방법. 19. The method of claim 18, wherein the patching step comprises the steps of: i) patch detecting means connected in-line with the switching equipment to receive packets sent out of the network through the switching equipment in real- Analyzing whether installation of a patch is necessary; ii) the patch detection means includes at least providing an IP address and a MAC address of the computer equipment requiring installation of the patch to the communication control means; The communication control means blocking communication by a method similar to the communication blocking method taken for the virus infected computer to a computer apparatus requiring installation of a patch; And relaying the request to the patching means when the device requiring the patch installation issues a patch request, and the communication control means receives the request and relays it to the patching means. 제 10항에 있어서, 통신차단조치를 취한 컴퓨터 장치에 대하여, i) 상기 바이러스 감염된 컴퓨터 장치에 대한 바이러스 치료가 완료된 경우, ii) 상기 바이러스의 치료 시작부터 소정의 시간이 경과된 경우, 그리고 iii) 상기 네트워크의 관리자가 통신차단의 해제를 지시하는 경우 중 어느 한 가지에 해당되면, 상기 통신제어수단은 상기 바이러스 감염된 컴퓨터 장치에 대한 통신차단조치를 해제하는 단계를 더 구비하는 것을 특징으로 하는 방법.The method according to claim 10, further comprising the steps of: i) when the virus treatment for the virus-infected computer apparatus is completed; ii) when a predetermined time has elapsed since the start of treatment of the virus; and iii) Further comprising the step of releasing the communication blocking action for the virus-infected computer device if the communication control means is in any one of the following cases: a case where the administrator of the network instructs to cancel the communication blocking; 다수의 컴퓨터 장치들이 스위칭 장비를 매개로 연결되어 네트워크를 구성하는 시스템에 있어서,1. A system in which a plurality of computer devices are connected via a switching device to constitute a network, 상기 네트워크의 외부로 나가는 위치에서 상기 스위칭 장비와 인라인으로 연결되거나 또는 상기 스위칭 장비에 마련된 상기 다수의 컴퓨터 장치들의 포트에 대한 미러링 포트에 연결되어, 상기 다수의 컴퓨터 장치들이 발송한 패킷들을 이용하여 상기 컴퓨터 장치들이 바이러스에 감염되었는지 여부를 분석하고, 바이러스에 감염된 컴퓨터 장치가 발견되면 적어도 그 컴퓨터 장치의 주소 정보를 하기의 통신제어수단에 제공하는 바이러스 검출수단; 및Wherein the plurality of computer devices are connected in in-line with the switching device at a location out of the network or connected to a mirroring port of a port of the plurality of computer devices provided in the switching device, Virus detection means for analyzing whether or not the computer devices are infected with a virus and providing at least the address information of the computer device to the communication control means when the infected computer device is found; And 상기 스위칭 장비에 연결되며, 상기 바이러스 검출수단이 바이러스에 감염된 컴퓨터 장치의 주소 정보를 알려주면, 그 바이러스의 치료를 위한 경우를 제외하고는 그 바이러스 감염된 컴퓨터 장치의 통신을 차단하고, 상기 바이러스 감염된 컴퓨터 장치에 대한 바이러스 치료를 위한 통신을 지원하고, 소정의 조건이 충족되는 경우에는 상기 바이러스 감염된 컴퓨터 장치의 통신 차단을 해제하는 통신제어수단을 구비하는 것을 특징으로 하여 네트워크로 연결된 컴퓨터 장치들에 관한 통신제어 기반의 바이러스 치료/패칭 시스템.Wherein the virus detecting unit is connected to the switching device and when the virus detecting unit informs the address information of the computer apparatus infected with the virus, communication of the virus infected computer unit is blocked except for the case of the virus treatment, And communication control means for supporting communication for virus treatment of the apparatus and for canceling communication interruption of the virus infected computer apparatus when a predetermined condition is satisfied, Control based virus treatment / patching system. 제 21항에 있어서, 상기 스위칭 컴퓨터 장치에 직접 연결되거나 또는 상기 네트워크의 외부에 위치하여, 바이러스 치료 요청에 응하여 상기 바이러스 감염된 컴퓨터 장치에 접근하여 그 감염 컴퓨터 장치에 대한 바이러스 치료를 수행하는 바 이러스 치료수단을 더 구비하는 것을 특징으로 하는 시스템.22. The method of claim 21, further comprising the steps of: accessing the virus infected computer device in response to a virus remediation request, either directly connected to the switching computer device or external to the network, Further comprising: 제 21항에 있어서, 상기 네트워크의 외부로 나가는 위치에서 상기 스위칭 장비와 인라인으로 연결되거나 또는 상기 스위칭 장비에 마련된 상기 다수의 컴퓨터 장치들의 포트에 대한 미러링 포트에 연결되어, 상기 다수의 컴퓨터 장치들이 발송한 패킷들을 이용하여 상기 컴퓨터 장치들이 패치의 설치가 필요한 지 여부를 분석하고, 패치의 설치가 필요한 컴퓨터 장치가 발견되면 적어도 그 컴퓨터 장치의 주소 정보를 상기 통신제어수단에 제공하는 패치검출수단; 및 상기 스위칭 장비에 직접 연결되거나 또는 상기 네트워크의 외부에 위치하여, 패치의 설치가 필요하다고 검출된 컴퓨터 장치 또는 패치의 설치를 요청한 컴퓨터 장치에 대하여 최신의 패치 파일을 설치하여 그 컴퓨터 장치의 보안 수준을 업그레이드 하는 패치수단을 더 구비하며, 상기 통신제어수단은 패치의 설치를 위한 통신을 지원하는 것을 특징으로 하는 시스템.23. The computer system of claim 21, further comprising: a plurality of computer devices connected in in-line with the switching device at a location out of the network or connected to a mirroring port for a port of the plurality of computer devices provided in the switching device, Patch detection means for analyzing whether or not the computer apparatuses need to install a patch using one of the packets and providing at least the address information of the computer apparatus to the communication control means when a computer apparatus requiring installation of the patch is found; And installing a latest patch file for the computer device which is directly connected to the switching equipment or which is located outside the network and which requests installation of a computer device or patch detected as requiring installation of the patch, Further comprising a patch means for upgrading the patch, wherein the communication control means supports communication for installation of the patch.
KR1020070016830A 2007-02-16 2007-02-16 Method of curing computer viruses and patching programs in networked computers using communication control and system for the same KR100897543B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070016830A KR100897543B1 (en) 2007-02-16 2007-02-16 Method of curing computer viruses and patching programs in networked computers using communication control and system for the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070016830A KR100897543B1 (en) 2007-02-16 2007-02-16 Method of curing computer viruses and patching programs in networked computers using communication control and system for the same

Publications (2)

Publication Number Publication Date
KR20080076638A true KR20080076638A (en) 2008-08-20
KR100897543B1 KR100897543B1 (en) 2009-05-14

Family

ID=39879857

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070016830A KR100897543B1 (en) 2007-02-16 2007-02-16 Method of curing computer viruses and patching programs in networked computers using communication control and system for the same

Country Status (1)

Country Link
KR (1) KR100897543B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012015171A3 (en) * 2010-07-26 2012-04-19 Kim Ki Yong Hacker virus security-integrated control device
WO2014107028A1 (en) * 2013-01-02 2014-07-10 주식회사 안랩 System for preventing malware invasion, and method for operating said system for preventing malware invasion
WO2016014014A1 (en) * 2014-07-21 2016-01-28 Hewlett-Packard Development Company, L.P. Remedial action for release of threat data

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101001500B1 (en) * 2003-11-14 2010-12-14 주식회사 케이티 System and method for providing information security service based network and method thereof
KR100602147B1 (en) * 2004-05-10 2006-07-19 정보통신연구진흥원 System and method for preventing from network virus, and computer-readable storage medium recorded program thereof
KR100528171B1 (en) * 2005-04-06 2005-11-15 스콥정보통신 주식회사 Ip management method and apparatus for protecting/blocking specific ip address or specific device on network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012015171A3 (en) * 2010-07-26 2012-04-19 Kim Ki Yong Hacker virus security-integrated control device
WO2014107028A1 (en) * 2013-01-02 2014-07-10 주식회사 안랩 System for preventing malware invasion, and method for operating said system for preventing malware invasion
WO2016014014A1 (en) * 2014-07-21 2016-01-28 Hewlett-Packard Development Company, L.P. Remedial action for release of threat data

Also Published As

Publication number Publication date
KR100897543B1 (en) 2009-05-14

Similar Documents

Publication Publication Date Title
US6895432B2 (en) IP network system having unauthorized intrusion safeguard function
US7653941B2 (en) System and method for detecting an infective element in a network environment
US7617533B1 (en) Self-quarantining network
TWI362196B (en) Network isolation techniques suitable for virus protection
US7474655B2 (en) Restricting communication service
JP5062967B2 (en) Network access control method and system
US9118716B2 (en) Computer system, controller and network monitoring method
JP6083009B1 (en) SDN controller
US20060282893A1 (en) Network information security zone joint defense system
KR100908404B1 (en) System and method for protecting from distributed denial of service
JP2005197823A (en) Illegitimate access control apparatus between firewall and router
JP2006243878A (en) Unauthorized access detection system
EP1802058A1 (en) Method for protection from service-disabling attack, system for protection from service-disabling attack, device for protection from service-disabling attack, relay device, program for protection from service-disabling attack, and relay device program
JP2008054204A (en) Connection device, terminal device, and data confirmation program
KR100897543B1 (en) Method of curing computer viruses and patching programs in networked computers using communication control and system for the same
JP2008097414A (en) Information processing system and information processing method
JP2006033140A (en) Network management apparatus, network management method, and program
KR101343693B1 (en) Network security system and method for process thereof
KR101092090B1 (en) SYSTEM AND METHOD FOR RESPONDING DDoS OFFENSIVE
CN112929373B (en) Intranet equipment protection method
JP2006100996A (en) Network integrated supervisory apparatus, network integrated supervisory method, and network integrated supervisory system
JP2018129712A (en) Network monitoring system
US20050086524A1 (en) Systems and methods for providing network security with zero network footprint
JP3836472B2 (en) Communication jamming server, communication jamming program, communication jamming method, information communication system, and information communication method
JP7198617B2 (en) security system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130430

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140417

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150422

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160420

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170426

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180226

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20190424

Year of fee payment: 11