KR20080076638A - Method of curing computer viruses and patching programs in networked computers using communication control and system for the same - Google Patents
Method of curing computer viruses and patching programs in networked computers using communication control and system for the same Download PDFInfo
- Publication number
- KR20080076638A KR20080076638A KR1020070016830A KR20070016830A KR20080076638A KR 20080076638 A KR20080076638 A KR 20080076638A KR 1020070016830 A KR1020070016830 A KR 1020070016830A KR 20070016830 A KR20070016830 A KR 20070016830A KR 20080076638 A KR20080076638 A KR 20080076638A
- Authority
- KR
- South Korea
- Prior art keywords
- virus
- computer
- infected
- patch
- communication control
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
도 1은 본 발명의 바람직한 실시예에 따른 것으로서, 다수의 컴퓨터들로 구성된 네트워크에서 바이러스의 조기 발견과 제거를 위한 시스템의 구성을 도시한다. 1 is a block diagram of a system for early detection and removal of viruses in a network composed of a plurality of computers according to a preferred embodiment of the present invention.
도 2는 본 발명의 바람직한 다른 실시예에 따른 것으로서, 다수의 컴퓨터들로 구성된 네트워크에서 바이러스의 조기 발견과 제거를 위한 시스템의 구성을 도시한다. 2 is a block diagram of a system for early detection and removal of viruses in a network composed of a plurality of computers according to another preferred embodiment of the present invention.
도 3은 본 발명의 바람직한 또 다른 실시예에 따른 것으로서, 다수의 컴퓨터들로 구성된 네트워크에서 바이러스의 조기 발견과 제거를 위한 시스템의 구성을 도시한다. FIG. 3 illustrates a system configuration for early detection and removal of viruses in a network composed of a plurality of computers according to another preferred embodiment of the present invention.
도 4는 본 발명의 바람직한 또 다른 실시예에 따른 것으로서, 다수의 컴퓨터들로 구성된 네트워크에서 바이러스의 조기 발견과 제거를 위한 시스템의 구성을 도시한다. 4 is a block diagram of a system for early detection and removal of viruses in a network composed of a plurality of computers according to another preferred embodiment of the present invention.
도 5는 도 1의 시스템에서 바이러스의 조기 발견과 치료를 위한 방법의 실행 절차를 예시적으로 나타내는 흐름도이다. FIG. 5 is a flow chart illustrating an exemplary procedure for implementing the method for early detection and treatment of viruses in the system of FIG. 1;
도 6은 도 2의 시스템에서 바이러스의 조기 발견과 치료를 위한 방법의 실행절차를 예시적으로 나타내는 흐름도이다. FIG. 6 is a flow chart exemplarily showing an execution procedure of a method for early detection and treatment of virus in the system of FIG. 2;
*도면의 주요부분에 대한 부호의 설명*Description of the Related Art [0002]
10: 네트워크 스위칭 장비 20: 바이러스 검출모듈10: Network switching equipment 20: Virus detection module
30: 통신제어모듈 40: 정책DB 모듈30: Communication control module 40: Policy DB module
50: 바이러스 치료모듈 55: 패치 모듈50: Virus treatment module 55: Patch module
60: 게이트웨이(라우터) 70: 외부 네트워크80: 내부 네트워크60: gateway (router) 70: external network 80: internal network
T1, T2, ..., Tn: 내부 네트워크에 연결된 컴퓨터 T1, T2, ..., Tn: a computer connected to the internal network
본 발명은 네트워크의 보호에 관한 것으로서, 보다 상세하게는 네트워크에 연결된 컴퓨터 장치들을 웜이나 바이러스(이하, 통칭하여 '바이러스'라 함) 등과 같은 악성 프로그램으로부터 보호하는 기술에 관한 것이다. BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to network protection, and more particularly, to a technology for protecting computer devices connected to a network from malicious programs such as worms and viruses (hereinafter collectively referred to as 'viruses').
기업이나 학교, 관공서 등과 같은 조직들은 많은 컴퓨터 장치들을 네트워크로 연결한 시스템을 갖추는 것이 일반적이다. 그 컴퓨터 장치들은 하나의 네트워크로 묶거나 또는 여러 개의 서브넷으로 구별하여 묶은 다음 그 서브넷들을 다시 하나의 네트워크로 묶는 등의 형태로 다양하게 네트워크를 구성된다. 그리고 이들 네 트워크는 인터넷에 연결되어 외부의 컴퓨터 시스템과의 연결성을 갖는다. Organizations such as corporations, schools, and government offices usually have systems that connect many computer devices over a network. The computer devices may be grouped into a single network or grouped into a plurality of subnets, and then the subnets are grouped into a single network. These networks are connected to the Internet and have connectivity with external computer systems.
이러한 네트워크 환경은 정보를 보다 빠르고 다양하게 획득하고 전파할 수 있다는 면에서 매우 편리하고 효율적인 도구이지만, 그로 인해 컴퓨터 장치들이 웜이나 바이러스 등의 공격에 더 자주 노출되고 웜이나 바이러스의 전파도 한층 넓고 빠르게 이루어지는 문제점도 수반한다. 특히, 최근에는 웜 바이러스로 인한 피해 사례가 자주 발생한다. 웜 바이러스는 인터넷 등과 같은 네트워크를 통해 짧은 시간동안에 수많은 컴퓨터 시스템에 전파되면서 웜에 감염된 컴퓨터 시스템들이 웜 공격 머신으로 돌변하면서 막대한 양의 네트워크 트래픽을 야기한다. 이로 인해 컴퓨터 시스템은 정상적인 서비스를 할 수 없게 되는 등의 중대한 손상이 유발된다.This network environment is a very convenient and efficient tool for acquiring and spreading information faster and more widely. However, it makes computer devices more vulnerable to attacks such as worms and viruses, spreads worms and viruses more widely But also the problems that arise. In particular, recent cases of damage caused by worm viruses occur frequently. A worm virus spreads to a large number of computer systems over a short period of time through a network such as the Internet, causing computer systems infected with a worm to turn into a worm attack machine, causing a huge amount of network traffic. This causes serious damage to the computer system, such as failure to perform normal service.
웜은 컴퓨터 바이러스와 유사한 자기-복사의 컴퓨터 프로그램이다. 바이러스는 다른 실행 가능한 프로그램 자체에 붙어서 그들의 일부가 되지만, 웜은 자체 내에 포함되어 그 자체를 전달하는 데 다른 프로그램의 일부가 될 필요가 없다. 웜은 수많은 컴퓨터상에서 대량의 네트워크 트래픽을 발생시켜 인터넷상에서 취약한 컴퓨터 시스템에 손상을 줄뿐 아니라, 네트워크의 서비스 거부(Denial of Service; DOS) 공격을 유발하여, 경제적으로 큰 손실을 낳는다. 또한, 웜에 감염된 컴퓨터 시스템이 유선 LAN, 무선 LAN, 가상사설망(VPN), 전화통신망(Dial-up network), 또는 다른 방법을 통해 회사와 같은 내부 네트워크에 연결되면, 위와 같은 방식으로 그 네트워크를 공격하여 회사의 내부 네트워크에 중대한 해를 끼치게 된다. 그러므로 네트워크를 운용하는 측에서는 컴퓨터 자체나 컴퓨터에 저장된 정보를 공격하는 바이러스뿐만 아니라 네트워크를 공격하는 웜에 대해서도 강력한 대책이 필요하다.A worm is a self-copying computer program similar to a computer virus. Viruses become part of other executable programs themselves, but they do not have to be part of another program to be included in itself and to deliver itself. Worms generate large amounts of network traffic on a large number of computers, causing damage to vulnerable computer systems on the Internet, as well as causing Denial of Service (DOS) attacks on the network, resulting in significant economic losses. In addition, if a worm-infected computer system is connected to an internal network, such as a company, via a wired LAN, wireless LAN, VPN, dial-up network, or other means, The attack will cause serious harm to the internal network of the company. Therefore, on the network operating side, strong countermeasures are needed not only for the virus attacking the information stored in the computer itself or the computer, but also for the worm attacking the network.
웜에 대한 최근의 대책으로는 대한민국 특허공개번호 제10-2006-0116741호(발명의 명칭: 통신 네트워크에서 웜을 식별하여 무력화시키는 방법과 장치)가 있다. 이 방법에 따르면, 웜 프로브가 각 소스 IP 어드레스에 기초하여 목적지 도달-불가능한 에러를 가진 패킷을 추적하여, 에러의 수가 예를 들어 웜 프로브의 미리 규정된 로컬 시간 기간 이내에 미리 규정된 로컬 임계값을 초과할 때, 그러한 에러의 수와 소스 IP 어드레스를 네트워크에서 경고(alert)로서 다른 모든 웜 프로브에 보내고, 그러한 에러의 수가 예를 들어 미리 규정된 글로벌 시간 이내에 미리 규정된 네트워크 임계값을 초과하면, 종단 장치가 웜들을 더 유포(spreading)하는 것을 방지하도록 식별된 소스 IP 어드레스를 갖는 종단 장치로부터의 트래픽을 차단한다. 그러나 이 방법은 어떤 네트워크 내의 특정 장비가 웜에 감염 되었을 때, 그 네트워크의 다른 장비들에게 웜이 전이되어 그 네트워크가 마비되는 것에 대한 대책은 제시하지 못하고 있다.A recent countermeasure against a worm is Korean Patent Laid-Open Publication No. 10-2006-0116741 entitled "Method and apparatus for identifying and disabling a worm in a communication network". According to this method, the worm probe tracks packets with destination unreachable errors based on their respective source IP addresses, so that the number of errors is reduced to a predefined local threshold value, for example within a predefined local time period of the worm probe When exceeded, the number of such errors and the source IP address are sent as alerts in the network to all other worm probes, and if the number of such errors exceeds a predefined network threshold, for example within a predefined global time, And blocks traffic from the endpoint having the identified source IP address to prevent the endpoint device from further spreading the worms. However, this method does not provide a measure against worms being transferred to other devices of the network when a specific device in a network is infected with the worm.
네트워크에서 바이러스에 대한 대책으로서 알려진 종래기술의 일예로서, 대한민국 특허등록번호 제10-0468372호(발명의 명칭: smb/cifs 모니터링을 이용한 네트워크 전이형 바이러스 탐지 및 차단 장치 및 그 방법)가 있다. 이 특허는 바이러스 탐지 및 차단을 위한 장치가 해당 Pc마다 인스톨되어 있어 그 장치에서 pc로 유입되는 드라이버 단에서 smb/cifs로 연결되어 유입되는 패킷을 바이러스 검사부에서 검사를 하며, 해당 패킷이 바이러스에 감염되었다고 한다면 pc에 smb/cifs로 연결된 source IP/MAC 정보를 저장하여, 해당 source IP/MAC로 들어오는 데이터 패킷을 차단하는 방법이다. 그런데, 이 방법은 차단 장치가 각 PC에 인스톨 되어야 하 는 번거로움이 있을 뿐만 아니라,각 PC에 인스톨되는 백신 프로그램 등을 일일이 최신 버전으로 업그레이드를 해주어야만 위험 요소의 효과적인 차단이 가능하게 된다. 또한, 이 방법은 해당 PC로 오는 바이러스 감염 PC의 패킷 smb/cifs로 들어오는 패킷만 차단할 뿐이라는 한계를 갖는다. An example of prior art known as countermeasures against viruses in the network is Korean Patent Registration No. 10-0468372 entitled " Network Transfer Virus Detection and Blocking Device and Method Thereof Using Smb / cifs Monitoring ". In this patent, a device for detecting and blocking viruses is installed for each Pc, and a virus checker examines a packet that is connected to the smb / cifs from a driver terminal that is connected to the pc, and the packet is detected as a virus , It saves the source IP / MAC information connected to the PC by smb / cifs and blocks the data packet coming into the source IP / MAC. However, this method is not only troublesome to install the blocking device on each PC, but also upgrading the vaccine programs installed in each PC to the latest version can effectively block the risk factors. In addition, this method has a limitation that it only blocks packets coming into the packet smb / cifs of virus infected PC coming to the PC.
웜이나 바이러스에 대한 대책에 있어서 중요한 점은 감염 내지 침투 사실을 조기에 발견하여 신속히 무력화시킴으로써 피해를 최소화하는 것이다. 특히, 감염된 사실의 발견에서 감염된 웜 또는 바이러스를 치료하기까지는 시간이 어느 정도 소요되는데, 그 동안에 웜이나 바이러스가 네트워크 내의 다른 컴퓨터 장치들에게 전이되는 것을 방지함으로써 피해를 최소화 하는 대책이 반드시 수반될 필요가 있다. The important thing about worm or virus countermeasures is to minimize damage by discovery of infections or infiltration early and disabling them quickly. In particular, it takes some time from the discovery of the infected fact to the treatment of the infected worm or virus, which must be accompanied by measures to minimize the damage by preventing the worm or virus from being transferred to other computer devices in the network .
한편, 컴퓨터 장치들이 웜이나 바이러스 등에 대한 취약점을 보완하기 위해, 관련 프로그램들의 패치가 지속적으로 제공된다. 그러한 패치 프로그램이 새로 나오면 해당 네트워크내의 컴퓨터 장치들에 신속히 설치될 필요가 있다. 패치의 설치가 늦은 경우에는 바이러스나 보안 등에 취약하여 공격을 당할 수 있기 때문이다. 컴퓨터 장치 사용자나 네트워크 운용자가 패치프로그램을 알아서 잘 설치하지 못하는 경우에는, 패치의 설치를 강제적으로 유도할 필요가 있다. 특히, 신규의 컴퓨터 장치가 네트워크에 추가되는 경우, 그 장비는 바이러스나 보안 등에 취약점을 많이 가지게 되므로 적어도 네트워크에서 요구하는 수준의 패치의 설치가 신속하게 이루어질 필요가 있다. On the other hand, patches of related programs are continuously provided to compensate for weaknesses of computer devices such as worms and viruses. When such a patch program becomes new, it needs to be installed quickly on computer devices within the network. If the patch is installed late, it may be attacked because it is vulnerable to viruses and security. If the user of the computer device or the network operator can not install the patch program properly, it is necessary to force the installation of the patch. In particular, when a new computer apparatus is added to a network, the apparatus is vulnerable to viruses, security, and the like, so that at least a patch level required by the network needs to be installed quickly.
본 발명은 위와 같은 요구를 고려하여, 네트워크 내의 컴퓨터 장치들에 대한 웜 또는 바이러스 감염 여부를 조기에 발견하고, 감염된 컴퓨터 장치의 발견 시 그 장비의 통신을 차단하여 네트워크 내의 다른 컴퓨터 장치들에게 웜 등이 전이되는 것을 막아둔 상태에서 치료 조치를 취할 수 있도록 하는 바이러스 치료방법을 제공하는 것을 목적으로 한다. In view of the above-described needs, the present invention provides a computer program for detecting early detection of a worm or a virus infection of computer devices in a network, blocking communication of the infected computer device when detecting an infected computer device, And to provide a method for treating a virus, which can take a therapeutic action while preventing the virus from spreading.
본 발명은 또한, 네트워크 내의 컴퓨터 장치들에 대한 패치의 설치 필요성 여부를 실시간으로 감시하고, 패치의 설치가 필요한 컴퓨터 장치가 발견되면 그 장치에 대해서는 통신을 차단하고 사용자에 대한 패치의사를 확인하는 페이지를 제공하여 패치를 받을 수 있도록 하는 방법을 제공하는 것을 목적으로 한다.The present invention also monitors in real time whether or not a patch for computer devices in the network is required to be installed. If a computer apparatus requiring installation of a patch is found, So that a patch can be received.
본 발명은 나아가, 상기 방법들을 실행하기 위한 시스템을 제공하는 것을 목적으로 한다. The present invention further aims to provide a system for carrying out the above methods.
본 발명은 다수의 컴퓨터 장치가 연결되어 있는 네트워크를 웜이나 바이러스(이하에서는 웜도 바이러스의 일종이므로, 특별히 구별하여 칭하는 경우를 제외하고는 웜과 바이러스를 통칭하여 '바이러스'로 칭하기로 한다) 로부터 보호하는 방법을 제공하다. 이 방법은 네트워크 내의 어떤 컴퓨터 장치가 바이러스에 감염되었는지를 실시간으로 모니터링 한다. 그러한 모니터링 과정에서 바이러스에 감염된 컴퓨터 장치가 발견되면, 즉각 그 감염된 컴퓨터 장치의 통신을 차단하여 네트워크 내의 다른 컴퓨터 장치로부터 격리시킨다. 다만, 바이러스 치료를 위해 필요한 경 우에만 제한적으로 통신을 허용한다. 이러한 격리 조치를 취한 그 감염 컴퓨터에 대하여 감염된 바이러스의 치료가 수행되도록 한다. 그리고 감염된 바이러스의 치료 완료, 미리 설정한 시간의 경과 등과 같은 소정의 조건이 만족되는 경우에 이를 때, 그 감염 컴퓨터 장치에 대한 통신 차단을 해제한다. In the present invention, a network to which a plurality of computer devices are connected is referred to as a worm or a virus (hereinafter referred to as "virus", collectively referred to as "worm" and "virus" Provide a way to protect. This method monitors in real time what computer devices in the network are infected with the virus. If a computer device infected with a virus is detected during such monitoring, it immediately blocks the infected computer device and isolates it from other computer devices in the network. However, only limited communication is allowed if necessary for virus treatment. The infected computer is taken care of by the infection control computer. And when the predetermined condition such as the completion of the treatment of the infected virus, the elapse of the preset time, etc. is met, the communication interruption to the infected computer device is released.
본 발명의 바람직한 일 측면에 따르면, 네트워크 내의 컴퓨터 장치들이 발송한 패킷을 모니터링 하여 상기 컴퓨터 장치들이 바이러스에 감염되었는지 여부 또는 패치의 설치가 필요한 지를 분석하는 단계; 상기 분석의 결과 바이러스에 감염된 컴퓨터 장치 또는 패치의 설치가 필요한 컴퓨터 장치가 탐지되면, 그 바이러스의 치료를 위한 경우 또는 패치의 설치를 위한 경우를 제외하고는 그 바이러스 감염된 컴퓨터 장치 또는 패치의 설치가 필요한 컴퓨터 장치의 통신을 차단하는 단계; 및 상기 바이러스 감염된 컴퓨터 장치와 바이러스 치료수단 또는 패치 수단 간의 통신을 보장하여 상기 바이러스 감염된 컴퓨터 장치에 대하여 상기 바이러스 치료수단 또는 패치 수단에 의한 바이러스 치료 또는 패치 파일의 설치가 수행되도록 하는 단계를 구비하는 것을 특징으로 하여 네트워크로 연결된 컴퓨터 장치들에 관한 통신제어 기반의 바이러스 치료/패칭 방법이 제공된다.According to a preferred aspect of the present invention, monitoring packets sent by computer devices in a network to analyze whether the computer devices are infected with viruses or install patches; If the analysis results in the detection of a computer device infected with a virus or a computer device that requires the installation of a patch, installation of that infected computer device or patch is required, except for the treatment of the virus or for patch installation Blocking communications of the computer device; And a step of ensuring communication between the virus-infected computer device and the virus treatment means or patch means so that the virus treatment means or the patch means installs the virus treatment or the patch file on the virus-infected computer apparatus A communication control based virus treatment / patching method for networked computer devices is provided.
상기 방법은 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치의 통신차단을 위해, 통신제어장치가 상기 네트워크 내의 다른 컴퓨터 장치들과 게이트웨이의 MAC 주소를 원래의 MAC 주소가 아닌 다른 MAC 주소 예컨대 통신제어수단의 MAC 주소로 조작한 ARP 패킷을 상기 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치에게 유니캐스트로 제공하는 단계를 더 구비하는 것이 바람직하다. 또한, 상기 방법은 상기 통신제어장치가 상기 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치의 MAC 주소를 원래의 MAC 주소가 아닌 다른 MAC 주소 예컨대 상기 통신제어수단의 MAC 주소로 조작한 내용을 포함하는 ARP 패킷을 상기 네트워크 내의 나머지 다른 컴퓨터 장치들과 게이트웨이에게 유니캐스트로 제공하는 단계를 더 구비하는 것이 바람직하다. 나아가, 상기 방법은 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치로부터 통신을 위한 요청 메시지를 수신하면 그것을 바이러스 치료수단 또는 패치 수단으로 전달하여 상기 바이러스 치료수단 또는 패치 수단으로 하여금 상기 통신제어수단의 통하여 또는 직접 상기 바이러스 감염된 컴퓨터 장치와 통신하면서 바이러스 치료 또는 패치 설치를 위한 절차를 수행하도록 제어하는 단계를 더 구비하는 것이 바람직하다. 더 나아가, 상기 방법은 통신차단 조치를 취한 컴퓨터 장치에 대하여 i) 상기 바이러스 감염된 컴퓨터 장치에 대한 바이러스의 치료가 완료된 경우, ii) 상기 바이러스의 치료 개시 시점으로부터 소정의 시간이 경과된 경우, 그리고 iii) 관리자가 통신차단의 해제를 지시하는 경우 등과 같은 조건이 만족되면, 기 취한 통신차단 조치를 해제하는 단계를 더 구비하는 것이 바람직하다. 상기 방법은 또한, 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치의 MAC 주소를 상기 통신제어수단의 MAC 주소로 조작한 ARP 패킷을 상기 네트워크 내에서 브로드캐스팅 하고, 상기 바이러스 감염된 컴퓨터 장치에게 상기 네트워크 내의 다른 장비들의 MAC 주소를 상기 통신제어수단 자신의 MAC 주소로 조작한 ARP 패킷을 '유니캐스팅'방식으로 제공하는 단계를 더 구비하는 것이 바람직하다. 상기 방법에 있어서, 바이러스에 감염되었는지 여부 또는 패치의 설치가 필요한 지를 분석하는 대상은 상기 네트워크의 게이트웨이를 통해 외부로 내보내는 패킷과 상기 네트워크 내의 컴퓨터 장치들 간에 스위칭 장비를 통해 주고받는 패킷 중 적어도 어느 한 가지로 하면 된다. In order to block communication of a virus-infected computer device or a computer device that requires patch installation, the above-described method may be configured such that the MAC address of the other computer devices and the gateway in the network is changed to a MAC address other than the original MAC address And unicast the ARP packet manipulated by the MAC address of the virus-infected computer device or the patch-installed computer device. In addition, the method may further include a step in which the communication control device includes a MAC address of a computer device that requires the virus-infected computer device or patch installation to be manipulated to a MAC address other than the original MAC address, for example, the MAC address of the communication control means And unicast the ARP packet to the other computer devices and the gateway in the network. Further, in the method, when the communication control unit receives the request message for communication from the computer apparatus requiring the virus-infected computer apparatus or the patch installation, the communication control unit transmits the request message to the virus treatment unit or the patch unit, And controlling to perform a procedure for virus treatment or patch installation while communicating with the virus-infected computer device through the communication control means or directly. Furthermore, the method may further comprise the steps of: i) when the virus has been treated to the virus-infected computer device, ii) when a predetermined time has elapsed since the start of treatment of the virus, and iii) ) The manager is instructed to cancel the communication interruption, and if the condition such as the case where the administrator instructs the cancellation of the communication interruption is satisfied, The method further includes the steps of: broadcasting in the network an ARP packet in which the communication control means manipulates the MAC address of the virus-infected computer device to the MAC address of the communication control means; And providing the ARP packet in which the MAC addresses of the devices are manipulated with the MAC address of the communication control means by 'unicasting' method. In the above method, an object to be analyzed as to whether or not a virus is infected or installed in a patch is analyzed may be at least one of a packet to be exported through a gateway of the network and a packet to be exchanged between computer devices in the network We can branch.
본 발명의 바람직한 구현 예에 따르면, 다수의 컴퓨터 장치들이 스위칭 장비를 매개로 하여 네트워크로 연결된 컴퓨터 장치들에 관한 통신제어 기반의 바이러스 치료/패칭 방법에 있어서, 상기 컴퓨터 장치들이 상기 네트워크 외부로 발송한 통신 패킷을 바이러스 검출수단이 상기 스위칭 장비를 통해 실시간으로 수신하여 상기 컴퓨터 장치들의 바이러스 감염 여부를 분석하는 제1단계; 상기 바이러스 검출수단은 상기 분석의 결과 바이러스에 감염된 컴퓨터 장치가 발견되면 그 바이러스 감염된 컴퓨터 장치의 적어도 IP주소와 MAC주소를 통신제어수단에게 제공하는 제2단계; 및 상기 통신제어수단은 상기 네트워크 내의 다른 컴퓨터 장치들과 게이트웨이의 MAC 주소를 자신의 MAC주소로 조작한 ARP 패킷을 상기 바이러스 감염된 컴퓨터 장치에 제공하여 상기 바이러스 감염된 컴퓨터의 ARP 테이블을 조작함으로써 상기 바이러스 감염된 컴퓨터 장치가 발송하는 통신 패킷이 상기 통신제어수단으로만 전달되도록 하는 제3단계; 및 바이러스 치료수단이 상기 바이러스 감염된 컴퓨터 장치에 대하여 바이러스 치료를 수행하는 제4단계를 구비하는 것을 특징으로 하는 네트워크로 연결된 컴퓨터 장치들에 대한 통신제어 기반의 바이러스 치료/패칭 방법이 제공된다.According to a preferred embodiment of the present invention, there is provided a communication control based virus treatment / patching method for a computer device in which a plurality of computer devices are connected to a network via a switching device, A first step of analyzing whether or not the computer devices are infected with virus by receiving a communication packet in real time via the switching device; A virus detecting means for detecting a virus infected computer device as a result of the analysis and providing at least an IP address and a MAC address of the virus infected computer device to the communication control means; And the communication control means operates the ARP table of the virus infected computer by providing an ARP packet manipulating the MAC address of the gateway with the MAC address of the other computer devices in the network to the virus infected computer device, A third step of causing a communication packet sent by the computer device to be transmitted only to the communication control means; And a fourth step in which the virus treatment means performs a virus treatment on the virus-infected computer apparatus. The computer-based virus treatment / patching method for network-connected computer devices is provided.
상기 방법은, 상기 통신제어수단이 상기 네트워크 내의 다른 컴퓨터 장치들 각각에 대해 상기 바이러스 감염된 컴퓨터 장치의 MAC 어드레스를 원래의 MAC주소가 아닌 다른 MAC주소로 조작한 ARP 패킷을 제공하여 상기 바이러스 감염된 컴퓨터 장치와 상기 다른 컴퓨터 장치들 간에 양방향으로 통신 차단이 되도록 하는 단계를 더 구비하는 것이 바람직하다. 또한, 상기 방법은, 상기 제2단계와 상기 제3단계의 사이에서, 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치의 MAC 주소를 상기 통신제어수단의 MAC 주소로 조작한 ARP 패킷을 상기 네트워크 내에서 브로드캐스팅 하는 단계를 더 구비하는 것이 바람직하다. The method further comprises the step of providing an ARP packet in which the communication control means has operated the MAC address of the virus infected computer device to a MAC address other than the original MAC address for each of the other computer devices in the network, And blocking the communication between the other computer devices in both directions. In addition, the method may further comprise, between the second step and the third step, an ARP packet in which the communication control means has manipulated the MAC address of the virus-infected computer device to the MAC address of the communication control means in the network Further comprising the step of broadcasting.
상기 방법은 또한, 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치 또는 패치 설치가 필요한 컴퓨터 장치로부터 통신을 위한 요청 메시지를 수신하면 그것을 바이러스 치료수단 또는 패치 수단으로 전달하고, 상기 바이러스 치료수단 또는 패치 수단은 상기 통신제어수단의 통하여 또는 직접 상기 바이러스 감염된 컴퓨터 장치와 통신하면서 바이러스 치료 또는 패치 설치를 위한 절차를 수행하는 단계를 더 구비하는 것이 바람직하다. 이 경우, 상기 통신제어수단은, 상기 제4단계를 수행하기 위해, 상기 제3단계를 수행한 이후에 상기 바이러스 감염된 컴퓨터 장치가 발송한 통신 패킷을 수신하게 되면, 상기 바이러스 치료수단 또는 패치 수단으로 하여금 상기 바이러스 감염된 컴퓨터 장치에 대하여 바이러스 치료 또는 패치 설치를 수행하도록 제어하는 것이 바람직하다.The method further includes the step of, when the communication control means receives the request message for communication from the computer apparatus requiring the virus-infected computer apparatus or the patch installation, transmits the request message to the virus treatment means or the patch means, And performing a procedure for virus treatment or patch installation while communicating with the virus-infected computer device through the communication control means or directly. In this case, when the communication control unit receives the communication packet transmitted from the virus-infected computer device after performing the third step to perform the fourth step, To perform virus treatment or patch installation for the virus-infected computer apparatus.
상기 방법에 있어서, 상기 바이러스 치료수단이 상기 네트워크 내부에 존재하는 경우, 상기 바이러스 치료의 수행은 i) 상기 바이러스 치료수단이 상기 바이러스 감염된 컴퓨터 장치에 대하여 바이러스 치료 요청용 페이지를 제공하는 단계; ii) 상기 바이러스 감염된 컴퓨터 장치가 바이러스 치료 요청 메시지를 바이러스 치료수단으로 발송하는 단계; iii) 상기 치료 요청에 의하여, 상기 바이러스 치료수단이 상기 감염된 컴퓨터 장치에 대하여 바이러스 치료를 수행하는 단계를 구비하는 것이 바람직하다. 또한, 상기 바이러스 치료수단이 상기 네트워크 외부에 존재하는 경우, 상기 바이러스 치료의 수행은 i) 상기 바이러스 감염된 컴퓨터 장치가 보내온 요청 패킷에 응답하여, 상기 통신제어수단이 상기 바이러스 감염된 컴퓨터 장치에게 바이러스 치료 요청용 페이지를 제공하는 단계; ii) 상기 바이러스 감염된 컴퓨터 장치가 상기 바이러스 치료 요청 메시지를 발송하면, 상기 통신제어수단은 그 치료 요청 메시지를 수신하여 상기 바이러스 치료수단으로 중계하는 단계; 및 iii) 상기 치료 요청에 응하여, 상기 바이러스 치료수단이 상기 바이러스 감염된 컴퓨터 장치에 대하여 바이러스 치료를 수행하는 단계를 구비하는 것이 바람직하다. In the above method, when the virus treatment means is present in the network, the execution of the virus treatment comprises i) the virus treatment means provides a page for requesting a virus treatment to the virus-infected computer apparatus; ii) sending the virus treatment request message to the virus treatment means by the virus-infected computer device; iii) According to the request for treatment, it is preferable that the virus treatment means performs virus treatment on the infected computer apparatus. In addition, when the virus remedy exists outside the network, the virus remedy may be performed in response to a request packet sent by the virus-infected computer device, Providing a page for the user; ii) when the virus-infected computer device sends the virus-care-request message, the communication control means receives the treatment-request message and relays the message to the virus-treatment means; And iii) in response to the request for treatment, the virus treatment means performs virus treatment on the virus-infected computer apparatus.
나아가, 상기 방법은 상기 컴퓨터 장치들의 보안 패치 설치 필요성을 분석하여 설치가 필요한 컴퓨터 장치에 대하여 보안 패치를 설치하는 패치단계를 더 구비하는 것이 바람직하다. 상기 패치단계는, i) 상기 스위칭 장비와 인라인으로 연결된 패치 검출수단이, 상기 스위칭 장비를 통해 상기 네트워크 외부로 발송되는 패킷들을 실시간으로 수신하여 그 패킷의 발송 컴퓨터 장치가 보안 패치의 설치가 필요한 지 여부를 분석하는 단계; ii) 상기 패치 검출수단은 패치의 설치가 필요한 컴퓨터 장비의 적어도 IP주소 및 MAC주소를 통신제어수단에 제공하는 단계; 상기 통신제어수단은 패치의 설치가 필요한 컴퓨터 장치에 대하여 상기 바이러스 감염된 컴퓨터에 대하여 취한 통신 차단 방법과 같은 방법으로 통신을 차단하는 단계; 및 패치 설치가 필요한 장치가 패치 요청을 하면, 상기 통신제어수단이 그 요청을 수신하여 패치수단으로 중계해주는 단계를 구비하는 것이 바람직하다.Furthermore, the method may further include a patch step of analyzing a necessity of installing a security patch of the computer devices and installing a security patch on a computer apparatus that requires installation. Wherein the patching step comprises the steps of: i) detecting patches connected in-line with the switching equipment in real time via the switching equipment in real time to send packets to the outside of the network, ≪ / RTI > ii) the patch detection means includes at least providing an IP address and a MAC address of the computer equipment requiring installation of the patch to the communication control means; The communication control means blocking communication by a method similar to the communication blocking method taken for the virus infected computer to a computer apparatus requiring installation of a patch; And a step of relaying the request to the patching means when the apparatus requiring the patch installation issues a patch request, and the communication control means receives the request and relays the request to the patching means.
또한, 본 발명의 다른 측면에 따르면, 다수의 컴퓨터 장치들이 스위칭 장비를 매개로 연결되어 네트워크를 구성하는 시스템에 있어서, 상기 네트워크의 외부로 나가는 위치에서 상기 스위칭 장비와 인라인으로 연결되거나 또는 상기 스위칭 장비에 마련된 상기 다수의 컴퓨터 장치들의 포트에 대한 미러링 포트에 연결되어, 상기 다수의 컴퓨터 장치들이 발송한 패킷들을 이용하여 상기 컴퓨터 장치들이 바이러스에 감염되었는지 여부를 분석하고, 바이러스에 감염된 컴퓨터 장치가 발견되면 적어도 그 컴퓨터 장치의 주소 정보를 하기의 통신제어수단에 제공하는 바이러스 검출수단; 및 상기 스위칭 장비에 연결되며, 상기 바이러스 검출수단이 바이러스에 감염된 컴퓨터 장치의 주소 정보를 알려주면, 그 바이러스의 치료를 위한 경우를 제외하고는 그 바이러스 감염된 컴퓨터 장치의 통신을 차단하고, 상기 바이러스 감염된 컴퓨터 장치에 대한 바이러스 치료를 위한 통신을 지원하고, 소정의 조건이 충족되는 경우에는 상기 바이러스 감염된 컴퓨터 장치의 통신 차단을 해제하는 통신제어수단을 구비하는 것을 특징으로 하여 네트워크로 연결된 컴퓨터 장치들에 관한 통신제어 기반의 바이러스 치료/패칭 시스템이 제공된다.According to another aspect of the present invention, there is provided a system in which a plurality of computer devices are connected via a switching device to form a network, the system being connected inline with the switching device at a position outside the network, The computer devices are connected to a mirroring port of the ports of the plurality of computer devices to analyze whether the computer devices are infected with viruses using the packets sent by the plurality of computer devices, Virus detection means for providing at least the address information of the computer device to the communication control means described below; And a switching device connected to the switching device, wherein when the virus detecting means informs the address information of the computer device infected with the virus, communication of the infected computer device is blocked except for the treatment of the virus, And communication control means for supporting communication for virus treatment of the computer device and canceling communication interruption of the virus infected computer device when a predetermined condition is satisfied, A communication control based virus treatment / patching system is provided.
상기 시스템은 상기 스위칭 컴퓨터 장치에 직접 연결되거나 또는 상기 네트워크의 외부에 위치하여, 바이러스 치료 요청에 응하여 상기 바이러스 감염된 컴퓨터 장치에 접근하여 그 감염 컴퓨터 장치에 대한 바이러스 치료를 수행하는 바이러 스 치료수단을 더 구비하는 것이 바람직하다.Wherein the system is directly connected to the switching computer apparatus or is located outside the network and comprises a virus treatment means for accessing the virus infected computer apparatus in response to a virus treatment request to perform virus treatment for the infected computer apparatus .
또한, 상기 시스템은, 상기 네트워크의 외부로 나가는 위치에서 상기 스위칭 장비와 인라인으로 연결되거나 또는 상기 스위칭 장비에 마련된 상기 다수의 컴퓨터 장치들의 포트에 대한 미러링 포트에 연결되어, 상기 다수의 컴퓨터 장치들이 발송한 패킷들을 이용하여 상기 컴퓨터 장치들이 패치의 설치가 필요한 지 여부를 분석하고, 패치의 설치가 필요한 컴퓨터 장치가 발견되면 적어도 그 컴퓨터 장치의 주소 정보를 상기 통신제어수단에 제공하는 패치검출수단; 및 상기 스위칭 장비에 직접 연결되거나 또는 상기 네트워크의 외부에 위치하여, 패치의 설치가 필요하다고 검출된 컴퓨터 장치 또는 패치의 설치를 요청한 컴퓨터 장치에 대하여 최신의 패치 파일을 설치하여 그 컴퓨터 장치의 보안 수준을 업그레이드 하는 패치수단을 더 구비하며, 상기 통신제어수단은 패치의 설치를 위한 통신을 지원하는 것이 바람직하다. The system may also be connected in-line with the switching equipment at a location out of the network or connected to a mirroring port for a port of the plurality of computer devices provided in the switching equipment, Patch detection means for analyzing whether or not the computer apparatuses need to install a patch using one of the packets and providing at least the address information of the computer apparatus to the communication control means when a computer apparatus requiring installation of the patch is found; And installing a latest patch file for the computer device which is directly connected to the switching equipment or which is located outside the network and which requests installation of a computer device or patch detected as requiring installation of the patch, And the communication control means preferably supports communication for installing the patch.
이하에서는 첨부한 도면을 참조하여 본 발명을 보다 구체적으로 설명하기로 한다.Hereinafter, the present invention will be described in more detail with reference to the accompanying drawings.
먼저, 도 1은 본 발명의 바람직한 실시예에 따른 시스템의 구성을 도시한다. 이 시스템은 다수의 컴퓨터 장치들(T1, T2, T3, ..., Tn)이 스위칭 장비(10)를 통해 하나의 네트워크(80)로 연결된 시스템으로서, 바이러스 검출모듈(20), 통신제어모듈(30), 정책DB(40) 등을 더 포함한다. First, FIG. 1 shows a configuration of a system according to a preferred embodiment of the present invention. This system is a system in which a plurality of computer devices T1, T2, T3, ..., Tn are connected to one
바이러스 검출모듈(20)은 내부 네트워크(80)에서 게이트웨이(60)를 통해 외부로 나가는 길목의 위치에서 스위칭 장비(10)와 인라인(in-line)으로 연결된다. 네트워크(80)의 길목 위치는 내부 네트워크(80) 내의 컴퓨터 장치들(T1, T2, T3, ..., Tn)이 게이트웨이(60)를 통해 네트워크(80) 외부로 발송하는 패킷들이 반드시 통과하므로, 바이러스 검출모듈(20)은 네트워크(80) 외부로 나가는 패킷은 전부 수신할 수 있다. The
이에 비해, 통신제어모듈(30)은 네트워크 내의 컴퓨터 장치들(T1, T2, T3, ..., Tn)과 동일한 레벨이 되도록 스위칭 장비(10)에 연결된다. 컴퓨터 장치들(T1, T2, T3, ..., Tn)은 개인용 컴퓨터(PC) 뿐만 아니라 널리 네트워크에 연결된 다양한 장비들을 모두 포괄한다. 또한 네트워크에 유선으로 연결된 것뿐만 아니라 무선으로 연결되는 장비들까지도 포함한다. 스위칭 장비(10)는 게이트웨이(60)를 통해 외부 네트워크(70)에 연결된다. 게이트웨이(60)는 예컨대 라우터와 같은 장비로 구현될 수 있다. 바이러스 치료모듈(50)은 네트워크 외부에 위치한다. 외부 네트워크(70)를 통해 연결될 수 있는 위치에 존재하거나 또는 단순히 내부 네트워크(80)의 외부에 존재할 수도 있다. 외부 네트워크(70)는 예컨대 인터넷이나 조직 내의 다른 네트워크 등이 될 수 있다. In contrast, the
통신제어모듈(30)은 통신제어정책을 정의해둔 데이터베이스인 정책 DB(40)를 가진다. 이 정책 DB(40)에는 바이러스 검출모듈(20) 또는 패치검출모듈(22)로부터 내부 네트워크(80) 내에 바이러스 감염된 컴퓨터 장치가 검출되거나 또는 패치의 설치가 필요한 컴퓨터 장치가 검출되었다고 보고를 받는 경우에, 바이러스의 확산 차단과 효율적인 치료, 패치의 설치 등을 제어하기 위해 적용할 네트워크 내의 컴퓨터 장치들(T1, T2, ..., Tn)에 대한 통신제어정책이 포함되어 있다. The
도시된 시스템은 물론 스위칭 장비(10)와 게이트웨이(60) 사이에는 방화벽(비도시) 등과 같은 다른 네트워크 장비들이 더 배치될 수 있지만, 본 도면에서는 본 발명과 관련된 장비만을 도시하기로 한다. Other network devices such as a firewall (not shown) may be disposed between the switching
바이러스 검출모듈(20)은 내부 네트워크(80)의 장비들이 바이러스에 감염되었는지를 검출하여 통신제어모듈(30)에 알려주는 역할을 한다. 즉, 각종 바이러스에 감염된 컴퓨터 장치, 비정상적으로 네트워크에 접근하는 장비 등 해당 네트워크의 운용과 관련된 보안 정책에 위배되는 장비를 검출하여 통신제어모듈(30)에 그 검출 내용을 알려주는 기능을 갖는 모듈이다. The
패치 검출모듈(22)은 내부 네트워크(80)의 컴퓨터 장치들 중에서 최신 보안 패치의 설치가 되지 않은 컴퓨터 장치를 검출하여 그 검출 내용을 통신제어모듈(30)에게 알려주는 기능을 갖는 모듈이다. The
통신제어모듈(30)은 바이러스 검출모듈(20) 또는 패치 검출모듈(22)이 알려준 바이러스 감염된 장비 또는 패치가 필요한 장비들을 네트워크(80) 내의 다른 컴퓨터 장치들과의 통신을 차단시켜 바이러스의 전이를 막아 최적의 네트워크 상태를 유지한다. 또한, 그 바이러스 감염된 컴퓨터나 패치의 설치가 필요한 컴퓨터를 바이러스 치료모듈(50) 또는 패치모듈(55)과의 통신만을 허용하거나 통신을 가능하게 하여 감염된 바이러스의 치료 또는 최신의 보안상태로 패치가 설치되도록 제어한다. 나아가 소정의 조건이 만족되는 경우에는 이전에 취한 통신 차단을 해제하여 그 해당 컴퓨터 장치가 네트워크를 정상적으로 이용하여 통신할 수 있도록 해준다. 상기 소정의 조건은 예컨대 바이러스의 치료나 패치의 설치가 완료된 경우, 혹은 소정 시간의 경과된 경우, 또는 네트워크 운용자의 지시가 있는 경우 등이 될 수 있다. The
정책 DB(40)는 바이러스 감염된 컴퓨터 장치, 최신 보안 패치가 설치되지 않은 컴퓨터 장치, 비정상 네트워크 접근 장비 등의 발생 시 적용할 통신제어정책을 저장한다. 그 통신제어정책은 네트워크 운용자가 미리 마련하면 된다. 정책 DB(40)에는 또한, 바이러스 감염된 컴퓨터 장치의 검출에 관련된 정보와 그 감염 컴퓨터 장치에 대한 바이러스 치료 결과에 관한 정보, 그리고 패치 설치가 필요한 컴퓨터 장치에 관한 정보와 패치의 설치 결과에 관한 정보 등의 정보를 예컨대 로그정보의 형태로 기록해둔다. 정책 DB(40)에 규정된 통신제어정책은 통신제어모듈(30)에 의해 참조된다. 즉, 바이러스 치료나 패치의 설치와 관련하여 적용할 통신제어에 관한 지침을 정책 DB(40)에 있는 통신제어정책에서 구한다. The
바이러스 치료모듈(50)은 바이러스에 감염된 컴퓨터 장치를 치료하여 바이러스를 제거하는 모듈이고, 패치모듈(55)은 패치의 설치가 필요하다고 검출된 컴퓨터 장치 또는 패치의 설치를 요청한 컴퓨터 장치에 대하여 최신의 패치 파일을 설치하여 그 컴퓨터 장치의 보안 수준을 업그레이드 하는 모듈이다. 바이러스 치료모듈(50)과 패치모듈(55)은 본 발명에서 특별히 새로 제안하는 것은 아니고 기존에 알려진 또는 앞으로 나올 바이러스 치료시스템과 패치시스템 중에서 적절한 것을 선택하여 이용할 수 있다.The
도 5는 도 1의 시스템에서 바이러스의 검출과 치료 방법의 실행절차를 예시적으로 나타내는 흐름도이다. 도 1과 도 5를 참조하여, 본 발명에 따른 바이러스의 검출과 치료 방법을 구체적으로 설명한다. FIG. 5 is a flowchart exemplarily showing execution procedures of a virus detection and treatment method in the system of FIG. 1; 1 and 5, the method for detecting and treating viruses according to the present invention will be described in detail.
도 1의 시스템에서, 네트워크 내의 컴퓨터 장치들(T1, T2, ..., Tn)이 발송한 패킷은 항상 스위칭 장비(10)를 거쳐 목적지로 전달된다. 목적지가 네트워크 외부인 패킷은 스위칭 장비(10)를 거쳐 백본을 통해 네트워크 외부로 전달되는데, 그 과정에서 스위칭 장비(10)와 인라인으로 설치된 바이러스 검출모듈(20)에도 전달된다. 바이러스 검출모듈(20)은 스위칭 장비(10)로부터 전달받은 패킷을 분석하여 그 패킷의 발송 컴퓨터가 바이러스에 감염되었는지 여부를 분석한다. 본 발명은 바이러스 감염 여부의 분석 방법을 새롭게 제안하는 것은 아니다. 기존에 알려진 분석 방법이나 앞으로 알려질 분석 방법들은 본 발명의 일부로서 채용되는 데 특별한 제한은 없다. 여기서는 바이러스 감염 여부의 분석 방법에 관한 구체적인 설명은 생략하기로 한다.In the system of Fig. 1, the packets sent by the computer devices T1, T2, ..., Tn in the network are always delivered to the destination via the
바이러스 검출모듈(20)은 수신된 패킷에 대한 분석결과, 그 패킷이 바이러스에 감염된 것으로 판단되면, 즉각 그 사실을 통신제어모듈(30)에 통지한다. 이 때 통신제어모듈(30)에 알려주는 정보는 적어도 바이러스에 감염된 컴퓨터 장치의 IP주소와 MAC 주소를 포함한다. 이 주소 정보 외에 감염된 바이러스의 이름 등과 같은 바이러스 검사 결과를 더 알려줄 수도 있을 것이다. 도면에서는 컴퓨터 장치 T1이 바이러스에 감염된 비정상 장비이고 나머지 컴퓨터 장치들(T2, T3, ..., Tn)은 바이러스에 감염되지 않은 정상적인 장비로 가정하여 도시하였다. If the
패치 검출모듈(22)도, 바이러스 검출모듈(20)과 비슷하게, 스위칭 장비(10)로부터 전달받은 패킷들을 분석하여 그 패킷의 발송 컴퓨터 장치가 최신의 패치 파 일이 설치되어 있는지 여부를 체크한다. 그리고 최신의 패치 파일이 설치되어 있지 않는 경우, 그 컴퓨터 장치가 패치 파일의 설치 대상이라는 점을 그 컴퓨터 장치의 주소 정보(즉, IP 주소와 MAC 주소)와 함께 통신제어모듈(30)에 알려준다.Similarly to the
통신제어모듈(30)은 바이러스 검출모듈(20)이 알려준 바이러스 감염된 컴퓨터(T1) 또는 패치 설치가 필요한 컴퓨터에 대하여 즉시 통신제어정책을 결정하고 그에 따른 통신제어를 수행한다. 어떤 통신제어정책을 적용할 것인지는 정책DB(40)에서 규정하고 있는 내용을 참조하여 결정된다. 바이러스 감염된 컴퓨터들과 패치 대상 컴퓨터들에 대해 적용해야 할 통신제어정책은 기본적으로 그 컴퓨터들과 네트워크 내의 다른 장비들 간의 통신을 신속하게 차단하여 바이러스가 그 다른 컴퓨터들에게 전이되는 것을 방지하거나 네트워크 내외부로부터의 보안 관련 공격을 당하지 않도록 하는 조치를 취하는 것이다. 다만, 내부 네트워크(80)의 통신을 전면적으로 차단하면 하면 바이러스의 치료나 패치 파일의 설치가 불가능하거나 불편해진다. 그러므로 바이러스 치료나 패치 파일의 설치가 가능하도록 통제된 상태에서의 제한적 통신이 허용되도록 할 필요가 있다. 제한적인 통신 허용에 있어서, 바이러스의 검출, 치료 등에 관련되는 여러 장비들의 배치 위치나 치료방법 등에 따른 통신제어규칙이 조금씩 다를 수 있을 것이다. The
네트워크(80) 내의 어떤 컴퓨터(T1)가 바이러스에 감염된 사실이 바이러스 검출모듈(20)에 의해 검출된 경우 그 바이러스가 바이러스 감염된 컴퓨터(T1)로부터 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)로 전이되는 것을 막기 위한 조치를 취해야 한다. 통신제어모듈(30)은 바이러스 감염된 컴퓨터(T1)가 자신이 통 신을 허용하는 장비(즉, 바이러스 치료 또는 패치 파일의 설치를 목적으로 허락하는 장비로서 바이러스 치료모듈과 패치 모듈이 이에 해당함)를 제외한 다른 장비와는 통신을 할 수 없도록 바이러스 감염된 컴퓨터(T1)와 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn) 간의 통신을 차단하는 것이다. When the fact that a computer T1 in the
이를 위한 한 가지 방법으로서, 바이러스 감염된 컴퓨터(T1)가 네트워크의 다른 컴퓨터 장치(T2, T3, ..., Tn)나 게이트웨이(60)와 통신을 하지 못하도록 통신차단을 하는 것이다. 즉, 통신제어모듈(30)은 스위칭 장비(10)에 연결된 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)들과 게이트웨이(예: 게이트웨이(60)의 이더넷 포트)의 주소 정보(즉, MAC주소)를 원래의 주소가 아닌 다른 주소(예컨대 통신제어모듈(30)의 MAC 주소)로 조작한 ARP 패킷을 만들어 바이러스 감염된 컴퓨터(T1)에게 유니캐스트로 제공한다. 그에 따라, 바이러스 감염된 컴퓨터(T1)의 ARP 테이블의 내용도 그 수신된 ARP 패킷의 주소로 조작된다. 그러므로 그 후부터는 바이러스 감염된 컴퓨터(T1)는 조작된 ARP테이블의 주소에 따라 통신을 하게 된다. 그 결과 바이러스 감염된 컴퓨터(T1)는 자신이 발송한 패킷이 자신이 의도한 목적지가 아닌 엉뚱한 곳 즉, 통신제어모듈(30)이 조작한 주소지(예컨대, 통신제어모듈)로 전달되게 된다. One way to do this is to block communication so that the virus infected computer T1 can not communicate with other computer devices T2, T3, ..., Tn or the
아래 표 1은 통신제어모듈(30)이 주소를 조작하기 전에 정상적인 주소 정보를 가지는 바이러스 감염된 컴퓨터(T1)의 ARP 테이블이고, 표 2는 통신제어모듈(30)이 주소를 조작하여 틀린 주소 정보로 된 바이러스 감염된 컴퓨터(T1)의 ARP 테이블이다. 여기서, 바이러스 감염된 컴퓨터(T1)에 대한 주소 조작은 네트워크 내 의 다른 컴퓨터들(T2, T3, ..., Tn)과 게이트웨이의 MAC 주소를 통신제어모듈(30) 자신의 MAC 주소('MAC-30')로 조작한 ARP 패킷을 만들어 바이러스 감염된 컴퓨터(T1)에 유니캐스트로 제공하는 것에 의해 이루어진다. Table 1 below shows the ARP table of the virus infected computer (T1) having the normal address information before the
[표 1] '주소 정보 조작 전'에 바이러스 감염된 컴퓨터(T1)가 보유하는 ARP 테이블(네트워크의 컴퓨터 장치들의 IP주소/MAC주소가 정상 정보임) [Table 1] The ARP table (IP address / MAC address of the computer devices of the network is normal information) possessed by the virus infected computer (T1)
[표 2] '주소 정보 조작 후'에 바이러스 감염된 컴퓨터(T1)가 보유하는 ARP 테이블(네트워크 내의 다른 컴퓨터 장치들의 IP주소/MAC주소가 조작된 비정상 정보임)[Table 2] The ARP table (the IP address / MAC address of the other computer devices in the network is the malfunction information which is manipulated) held by the virus infected computer (T1)
표 2에서 알 수 있듯이, 통신제어모듈(30)로부터 조작된 주소를 포함하는 ARP 패킷을 받은 다음부터, 바이러스 감염된 컴퓨터(T1)는 네트워크(80) 내의 다른 모든 컴퓨터 장치들의 MAC주소를 통신제어모듈(30)이 조작한 MAC 주소("MAC-30")로 알게 된다. 그러므로 바이러스 감염된 컴퓨터(T1)가 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)나 게이트웨이(60)를 통해 네트워크(80) 외부를 목적지로 하여 보내는 패킷은 항상 통신제어모듈(30)로만 전달될 뿐이다. 바이러스 감염된 컴퓨터(T1)가 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)나 게이트웨이(60)로 발송하는 패킷을 통신제어모듈(30)이 수신한 경우, 통신제어모듈(30)은 그 수신 패킷을 폐기해버리면 바이러스 감염된 컴퓨터(T1)는 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)나 네트워크(80) 외부와의 통신이 차단된다. 또한, 통신제어모듈(30)은 바이러스 감염된 컴퓨터(T1)로부터 수신된 패킷의 주소를 보고서 그것이 바이러스 감염 장비가 보낸 패킷임을 알 수 있다. 통신제어모듈(30)은 바이러스 감염 장비가 보낸 패킷을 수신하여 내부의 메모리에 복사를 하지 않고 바로 폐기 조치하면 그 바이러스로 인한 피해를 입지 않을 수 있다. 따라서 바이러스 감염된 컴퓨터(T1)에 있는 바이러스가 네트워크(80) 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)나 네트워크 외부로 전이되는 것은 원천적으로 차단된다. As shown in Table 2, after receiving the ARP packet including the manipulated address from the
바이러스 감염된 컴퓨터(T1)와 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn) 간의 통신을 차단하는 다른 방법으로서, 양방향 차단을 들 수 있다. 바이러스 감염된 컴퓨터(T1)의 ARP 테이블의 주소를 조작하는 것만으로는 바이러스 감염된 컴퓨터(T1)로부터 네트워크 내의 다른 장치로 가는 통신만을 차단(즉, '일방향 차단')할 수 있을 뿐이고, 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn)와 게이트웨이(60)가 바이러스 감염된 컴퓨터(T1)로 패킷을 전달하는 것을 막지는 못한다. 그런데 컴퓨터 장치(T2, T3, ..., Tn)와 게이트웨이(60)가 바이러스 감염된 컴퓨터(T1)에 대한 통신을 하는 과정에서 바이러스 감염된 컴퓨터(T1)에서 ARP 테이블의 주소 정보가 정상적으로 복구되는 경우도 발생할 수 있다. 그렇게 되면 바 이러스 감염된 컴퓨터(T1)에 대해 취한 통신 차단 조치가 풀릴 수 있다. 이러한 사태를 예방하여 바이러스 감염된 컴퓨터(T1)에 대한 보다 완벽한 통신차단을 보장하기 위해서는, 컴퓨터 장치(T2, T3, ..., Tn)와 게이트웨이(60)도 바이러스 감염된 컴퓨터(T1)에 대하여 패킷을 전달할 수 없도록 할 필요가 있다. 즉, 바이러스 감염된 컴퓨터(T1)와 네트워크 내의 다른 컴퓨터 장치(T2, T3, ..., Tn) 및 게이트웨이 간에 '양방향 통신 차단'을 강제할 필요가 있다. Another way to block communication between a virus infected computer T1 and other computer devices T2, T3, ..., Tn in the network is bidirectional blocking. Only manipulating the address of the ARP table of the infected computer T1 can only block communications from the infected computer T1 to other devices in the network (i.e., 'one-way blocking'), It does not prevent the devices T2, T3, ..., Tn and the
양방향 통신 차단을 구현하는 한 가지 방법으로서, 통신제어모듈(30)이 컴퓨터 장치(T2, T3, ..., Tn)와 게이트웨이(60) 각각에 대하여 바이러스 감염된 컴퓨터(T1)의 MAC 주소가 다른 MAC 주소로 조작된 ARP 패킷을 유니캐스트로 제공하는 방법을 들 수 있다. 물론, 이 방법은 위에서 설명한 바와 같이 바이러스 감염된 컴퓨터(T1)에게 네트워크 내의 다른 장비들의 조작된 MAC 어드레스를 유니캐스트로 제공하여 바이러스 감염된 컴퓨터(T1)의 ARP 테이블을 표 2와 같이 조작하는 것을 병행한다. 아래 표 3은 통신제어모듈(30)이 예컨대 컴퓨터 장치(T2)에 대하여 바이러스 감염된 컴퓨터(T1)의 MAC주소를 조작한 후, 그 컴퓨터 장치(T2)가 보유하게 되는 ARP 테이블을 예시적으로 보여준다. 이 ARP 테이블에 기록된 네트워크 내의 컴퓨터 장치들의 IP주소/MAC주소 정보에 따르면, 바이러스 감염된 컴퓨터(T1)의 MAC주소가 예컨대 통신제어모듈(30)의 MAC주소('MAC-30')로 조작되어 있고, 나머지 다른 장비들(T3, ..., Tn)과 게이트웨이(60)의 MAC 주소는 원래의 주소로 그래도 유지된다. 나머지 컴퓨터 장치들(T3, ..., Tn)의 ARP 테이블도 같은 방식으로 조작한다. 이와 같은 주소 조작 이후부터는 예컨대 컴퓨터(T2)가 바이러스 감염된 컴퓨 터(T1)에 보내는 패킷은 MAC 주소가 'MAC-30'인 통신제어모듈(30)로 전달된다. 결국, 바이러스 감염된 컴퓨터(T1)와 컴퓨터 장치(T2) 간에는 서로 양방향으로 통신이 차단되게 된다. 게이트웨이(60)의 경우, 위와 같이 그의 ARP 테이블을 조작하면 바이러스 치료를 위한 컴퓨터(T1)에 대한 통신은 통신제어모듈(30)을 매개로 하여 수행해야 하는 번거로움이 있을 수 있다. 이러한 번거로움을 피하기 위해, 게이트웨이(60)의 ARP 테이블은 조작하지 않을 수도 있다. 이 경우, 네트워크(80) 외부에 있는 바이러스 치료모듈(50)이나 패치모듈(55)은 바이러스 감염됨 컴퓨터(T1)에 직접 접속하여 바이러스 치료나 패치의 설치를 수행할 수 있다. As one method of implementing bidirectional communication blocking, when the
[표 3] 컴퓨터(T2)의 ARP 테이블(바이러스 감염된 컴퓨터(T1)의 MAC주소 조작 후)[Table 3] ARP table of computer T2 (after MAC address manipulation of virus infected computer (T1))
위의 양방향 통신 차단의 다른 방법은 다음과 같이 변형하여 구현될 수도 있다. 즉, 통신제어모듈(30)은 바이러스 감염된 컴퓨터(T1)의 MAC 어드레스("MAC-1")를 통신제어모듈(30)의 MAC 주소("MAC-30")로 조작한 ARP 패킷을 '브로드캐스팅'방식으로 제공하는 것과 병행하여 바이러스 감염된 컴퓨터(T1)에 대해서는 네트워크(80) 내의 다른 장비들(T2, T2, ..., Tn, 60)의 MAC 주소를 통신제어모듈(30)의 MAC 주소("MAC-30")로 조작한 ARP 패킷을 '유니캐스팅'방식으로 제공한다. 물론 이 방법도 앞에서 설명한 것과 같이 게이트웨이(60)의 ARP 테이블을 조작하거나 조작 하지 않을 수 있다. 이 방법은 조작의 결과로서 얻어지는 각 장비의 ARP 테이블의 내용에 있어서는 앞서 설명한 ARP 테이블 조작방법과 동일하다.Other methods of intercepting the above two-way communication may be modified and implemented as follows. That is, the
이상에서 설명한 것과 같은 방법으로 바이러스 감염된 컴퓨터(T1)에 대한 통신을 일방향 또는 양방향으로 차단하여 바이러스 감염된 컴퓨터(T1)를 네트워크(80)로부터 고립시킨 다음에는, 그 바이러스 감염된 컴퓨터(T1)에 대하여 바이러스 치료 또는 패치 파일의 설치를 수행한다. 바이러스의 치료나 패치 파일의 설치는 그것을 위한 장비가 어디에 있는가 즉, 네트워크(80)의 내부와 외부 중 어디에 있는지에 따라 절차와 고려해야 할 점이 다르다. After the virus-infected computer (T1) is isolated from the network (80) by blocking the communication with the virus-infected computer (T1) in one way or both directions in the same manner as described above, Perform a clean or patch file installation. The treatment of the virus or the installation of the patch file is different from the procedure and consideration of where the equipment for it is located, i.e., either inside or outside the
바이러스 치료는 여러 가지 방식으로 구현될 수 있다. 위에서 언급한 바와 같이 바이러스 감염된 컴퓨터(T1)에 대한 ARP 테이블을 조작한 상태에서는, 그 감염 컴퓨터(T1)가 네트워크 내의 다른 장비들(T2, T3, ..., Tn) 또는 게이트웨이(60)와 통신을 하기 위해 발송한 패킷은 항상 통신제어장비(30)에게 전달되는데, 이 점을 활용하여 바이러스 치료가 이루어지도록 제어하면 된다. Virus treatment can be implemented in several ways. The infected computer T1 may be connected to other equipments T2, T3, ..., Tn or the
바이러스 치료를 위한 한 가지 방식은, 바이러스 감염된 컴퓨터(T1)가 다른 장비와 통신을 하기 위해 어떤 요청을 보낼 때 (예컨대 인터넷을 사용하기 위해 웹브라우저를 띄워 특정 URL에 어떤 요청을 보낼 때), 그 요청에 대한 응답으로서 바이러스 감염된 컴퓨터(T1) 화면에 최초로 뜨는 것이 바로 바이러스 치료 요청을 위한 웹페이지가 되도록 하는 방법이다. 이 방법에 따르면, 바이러스 감염된 컴퓨터(T1)의 ARP 테이블이 조작된 상태에서는 감염 컴퓨터(T1)가 발송한 요청 메시지는 항상 통신제어모듈(30)로 전달되므로, 통신제어모듈(30)은 그 요청 메시지를 바 이러스 치료모듈(50)에게 감염 컴퓨터(T1)의 바이러스 치료 요청 메시지로서 제공한다. 그리고 바이러스 치료모듈(50)은 그러한 치료 요청 메시지에 응하여 바이러스 치료 절차로 나아가는 데 필요한 웹페이지를 감염 컴퓨터(T1)에 제공하는 과정을 밟게 된다. 이러한 과정을 통해 바이러스 치료모듈(50)은 감염 컴퓨터(T1)에 대하여 바이러스 치료를 수행할 수 있게 된다.One way to treat viruses is when a virus infected computer (T1) sends a request to communicate with another device (for example, when sending a request to a specific URL by opening a web browser to use the Internet) In response to a request, the first step on the virus-infected computer (T1) screen is to become a web page for virus treatment requests. According to this method, when the ARP table of the infected computer (T1) is manipulated, the request message sent by the infected computer (T1) is always transmitted to the communication control module (30) Message to the
바이러스 치료를 위한 다른 방법으로, 통신제어모듈(30)이 바이러스 감염된 컴퓨터(T1)의 요청 메시지에 대한 응답으로서 '바이러스 치료 요청용 페이지'를 생성하여 바이러스 감염된 컴퓨터(T1)에게 회신하는 방식이다. 그 페이지는 예컨대 바이러스 감염된 컴퓨터(T1)가 바이러스에 감염되어 있다는 사실과 바이러스 치료의 수행이 필요함을 고지하는 내용과, 바이러스 치료 수행을 요청하는 버튼을 포함한다. 그 페이지는 바이러스 감염된 컴퓨터(T1)에서 브라우저에 의해 화면에 표시된다. 감염 컴퓨터(T1)의 사용자가 그 페이지에 표시된 치료 요청 버튼을 클릭 함으로써 바이러스 치료를 요청한 것이 된다. 감염 컴퓨터(T1)에서 바이러스 치료요청 버튼이 클릭 되면, 그 치료요청은 통신제어모듈(30)로 전달된다. 통신제어모듈(30)은 바이러스 감염된 컴퓨터(T1)의 치료요청을 바이러스 치료모듈(50)로 전달해준다. 치료요청의 전달방식은 리다이렉트(redirect)나 패킷포워딩 등의 방식이 될 수 있다. 이처럼 바이러스 감염된 컴퓨터(T1)의 바이러스 치료요청은 통신제어모듈(30)이 중간에서 전달자 역할을 함으로써 바이러스 치료모듈(50)에게 전달된다. As another method for virus treatment, the
바이러스 치료 요청을 접수한 바이러스 치료모듈(50)은 바이러스 감염된 컴 퓨터(T1)에 대한 바이러스 치료를 수행한다. 바이러스 치료 방법은 기존에 알려진 방법들이나 앞으로 새롭게 제안되는 방법들 중에서 적절한 것을 채용하거나 그들을 조합하여 활용하면 된다. 본 발명은 바이러스 치료 방법에 대해서 특별히 새롭게 제안하는 것은 아니다. 바이러스 치료를 수행하는 과정에서 바이러스 치료모듈(50)과 바이러스 감염된 컴퓨터(T1) 간에 통신을 하는 경우, 바이러스 감염된 컴퓨터(T1)는 통신제어모듈(30)의 중계를 통하여 바이러스 치료모듈(50)로 패킷을 전송할 수 있는 반면에, 바이러스 치료모듈(50)은 이러한 중계 과정을 거치지 않고 직접적으로 바이러스 감염된 컴퓨터(T1)와 통신을 할 수 있다(게이트웨이(60)의 ARP 테이블에 대한 조작이 없는 경우). 물론 게이트웨이(60)의 ARP 테이블에서 감염 컴퓨터(T1)의 MAC 주소가 통신제어모듈(30)의 MAC 주소로 조작되어 있는 경우에는, 바이러스 치료모듈(50)은 통신제어모듈(30)의 중계작용을 통해 감염 컴퓨터(T1)에 치료를 위한 통신이 가능하다. The
바이러스 감염된 컴퓨터(T1)에 대한 통신 차단은 바이러스 치료가 완료되면 해제하는 것이 바람직하다. 치료가 완료된 경우 그 사실이 통신제어모듈(30)에 통지되는 것이 필요하다. 통신제어모듈(30)이 바이러스 치료가 완료되었음을 알 수 있도록 하는 한 가지 방법은 바이러스 감염된 컴퓨터(T1)에 바이러스 치료가 완료되었음을 탐지할 수 있는 기능을 갖는 에이전트 프로그램을 설치하는 것이다. 그러면 바이러스 감염된 컴퓨터(T1)에 대한 바이러스 치료가 완료되었을 때, 그 에이전트 프로그램은 바이러스 치료의 완료 사실을 바이러스 치료모듈(50)로 보고하게 된다. 그런데 그 보고는 통신제어모듈(30)을 통해서 바이러스 치료모듈(50)로 전달되 므로, 통신제어모듈(30)도 바이러스 치료의 완료를 알게 된다. It is preferable that the communication interruption to the virus infected computer (T1) is released when the virus treatment is completed. It is necessary to notify the fact to the
통신제어모듈(30)이 바이러스 치료의 완료 보고를 접수하게 되면, 바이러스 감염된 컴퓨터(T1)에 대해 취했던 통신 차단을 해제하기 위한 조치를 취한다. 바이러스의 치료 완료가 아닌 다른 조건이 만족되는 경우에도 통신차단의 해제조치를 취할 수도 있다. 통신차단모듈(30)이 바이러스 치료가 완료되었는지 알 수 있도록 하는 장치(즉, 치료완료 탐지기능을 갖는 에이전트 프로그램)를 마련하지 않는 경우에는 다른 조건으로 통신차단을 해제할 필요가 있다. 예를 들면, 통신차단 후부터 설정된 시간이 경과된 경우, 또는 네트워크 운용자가 통신차단의 해제를 지시하는 경우 등이 통신차단을 해제할 수 있는 경우의 예가 될 수 있다.When the
통신 차단의 해제는 통신 차단을 위해 취했던 IP주소/MAC주소의 조작을 원상회복시키면 된다. 즉, 바이러스 감염된 컴퓨터(T1)의 ARP 테이블에 기록된 IP주소/MAC주소 정보가 표 2의 내용에서 표 1의 내용으로 바뀌도록 하는 것이다. 이를 위해, 통신제어모듈(30)은 네트워크(80) 내의 다른 컴퓨터들(T2, T3, ..., Tn)과 게이트웨이(60)의 올바른 IP주소/MAC주소 정보를 포함하는 ARP 패킷을 바이러스 감염된 컴퓨터(T1)에게 유니캐스트로 제공한다. 이에 의해 바이러스 감염된 컴퓨터(T1)의 ARP 테이블은 표 1의 IP주소/MAC주소 정보로 복구되고, 그 후부터는 감염 컴퓨터(T1)는 정상적으로 복구된 주소 정보에 의거하여 통신을 수행하게 되므로, 네트워크 내의 다른 컴퓨터들(T2, T3, ..., Tn)들이나 게이트웨이(60)를 통한 외부 네트워크와 정상적으로 통신을 할 수 있게 된다. The disconnection of communication can be resumed by restoring the operation of the IP address / MAC address that was taken for the communication interruption. That is, the IP address / MAC address information recorded in the ARP table of the virus infected computer (T1) is changed from the contents of Table 2 to the contents of Table 1. To this end, the
만약, 양방향 통신 차단을 위해 네트워크(80) 내의 다른 컴퓨터들(T2, T3, ..., Tn)과 게이트웨이(60)의 ARP 테이블이 바이러스 감염된 컴퓨터(T1)의 MAC 주소를 통신제어모듈(30)의 MAC 주소로 가지고 있다면, 이들 장비들에 대한 원상회복 조치도 취해야 한다. 이를 위해, 통신제어모듈(30)은 바이러스 감염된 컴퓨터(T1)의 올바른 IP주소/MAC주소를 포함하는 ARP 패킷을 만들어 네트워크(80) 내의 다른 컴퓨터들(T2, T3, ..., Tn)과 게이트웨이(80) 각각에게 제공한다. 이에 의해 네트워크 내의 다른 컴퓨터들(T2, T3, ..., Tn)과 게이트웨이(60)는 바이러스 감염된 컴퓨터(T1)와 직접적으로 정상적인 통신을 할 수 있게 된다.If the ARP table of the other computers T2, T3, ..., Tn and the
이상에서는 바이러스 감염의 경우를 예로 하여 설명하였지만, 네트워크(80)내의 컴퓨터들에 패치 파일을 설치하는 경우도 거의 동일한 절차를 따른다. 즉, 스위칭 장비(10)와 인라인으로 연결된 패치검출모듈(22)이 스위칭 장비(10)와 게이트웨이(60)를 통해 네트워크(80) 외부로 보내는 패킷을 받아서 그 통신 패킷을 발송한 컴퓨터 장치가 보안 패치가 필요한 지 여부를 분석하고, 보안 패치의 설치가 필요한 컴퓨터(T1)가 검출되면, 그 컴퓨터(T1)는 바이러스 침투 내지 전이나 외부 공격 등에 취약하므로 그 컴퓨터(T1)에 대한 통신차단 조치를 먼저 취한다. 그리고 나서 그 컴퓨터(T1)에 대한 패치 파일이 설치되도록 한 다음, 통신차단 조치를 해제하는 절차를 밟는다. 보다 자세한 것은 바이러스 감염과 관련한 설명을 참조하면 되므로, 여기서는 구체적인 사항에 대한 설명은 생략하기로 한다. Although the virus infection has been described above as an example, the same procedure is followed when patch files are installed in the computers in the
한편, 도 2에는 다른 실시예에 따른 시스템이 도시된다. 도 1의 시스템은 바이러스 치료모듈(50)과 패치모듈(55)이 네트워크 외부 즉, 외부 네트워크(70)를 통해 접속될 수 있는 위치에 있는 데 비해, 도 2의 시스템은 바이러스 치료모듈(50) 과 패치모듈(55)이 스위칭 장비(10)에 직접 연결되어 네트워크(80) 내부에 존재하는 구성을 갖는다. 이런 구성에서는 바이러스 치료모듈(50)과 패치모듈(55)도 네트워크에 연결된 장비로서 다루어질 필요가 있다.On the other hand, FIG. 2 shows a system according to another embodiment. The system of FIG. 1 is in a position where the
도 6은 도 2의 시스템에서 바이러스의 조기 발견과 치료를 위한 방법의 실행절차를 예시적으로 나타내는 흐름도이다. 도 5와 비교해서 차이가 나는 점을 중심으로 설명하고자 한다. 바이러스 치료모듈(50)이 네트워크(80) 내부에 위치하므로, 바이러스 검출모듈(20)은 바이러스 감염된 컴퓨터(T1)를 검출한 경우 통신제어모듈(30) 뿐만 아니라 바이러스 치료모듈(50)에게도 바이러스 감염된 컴퓨터(T1)에 관한 주소 정보(IP주소/MAC 주소)와 검사결과 등을 직접 알려주는 것이 바람직하다. 이러한 통지 후, 통신제어모듈(30)에 의해 바이러스 감염된 컴퓨터(T1)에 대한 통신 차단을 위한 조치가 취해져야 한다. 바이러스 감염된 컴퓨터(T1)가 네트워크(80) 내 다른 컴퓨터 장치(T2, T3, ..., Tn)들 및 게이트웨이(60)와 통신을 하지 못하도록 차단하기 위해 MAC 주소가 조작된 ARP 패킷을 이용하여 ARP 테이블을 조작하는 것(일방향 통신차단과 양방향 통신차단)은 위에서 설명한 것과 동일한 방식으로 수행하면 된다. FIG. 6 is a flow chart exemplarily showing an execution procedure of a method for early detection and treatment of virus in the system of FIG. 2; And the difference in comparison with FIG. 5 will be mainly described. The
바이러스 감염된 컴퓨터(T1)에 대한 통신차단이 이루어진 다음, 바이러스 치료모듈(50)은 통신제어모듈(30)의 중계작용을 이용하여 바이러스 감염 컴퓨터(T1)와 통신을 하면서 바이러스 치료를 수행할 수도 있지만, 그 자신이 바이러스로부터 안전수단을 갖추고 있는 것이 일반적이므로 바이러스 감염 장비(T1)와 직접 통신하면서 바이러스 치료를 수행할 수도 있다. 이 경우, 바이러스 치료모듈(50)과 바이 러스 감염 장비(T1) 간에는 통신차단을 할 필요는 없다. 이 점은 패치 모듈(50)도 마찬가지이다.After the communication for the virus infected computer T1 is blocked, the
통신차단을 위한 조치가 취해진 후, 바이러스 치료가 수행되는데, 여기에는 두 가지 방식이 있을 수 있다. 한 가지는 바이러스 감염된 컴퓨터(T1)가 바이러스 치료모듈(50)에 치료 요청을 하면 그 바이러스 치료모듈(50)이 그에 응하여 바이러스의 치료를 수행하는 풀링(pulling) 방식이 있다. 이 방식에 따르면, 바이러스 치료 모듈(50)은 바이러스 검출모듈(20)로부터 바이러스 검출결과와 감염 컴퓨터(T1)의 주소 정보(IP주소/MAC 주소)를 전달받고, 그 전달받은 정보에 의거하여 바이러스 치료 요청용 페이지를 만들어서 바이러스 감염된 컴퓨터(T1)에게 제공한다. 그 치료용 페이지에는 앞서 언급한 바와 같이 예컨대 바이러스 감염된 컴퓨터(T1)가 바이러스에 감염되어 있다는 사실과 바이러스 치료의 수행이 필요하다는 내용과 바이러스 치료 수행을 요청하는 버튼을 포함시킨다. 바이러스 감염된 컴퓨터(T1)의 사용자가 그 버튼을 클릭 함으로써 바이러스 치료를 요청한 것이 되고, 그러한 요청은 바이러스 치료모듈(50)로 직접 전달된다. 바이러스 치료모듈(50)은 그 요청에 응하여 바이러스 치료를 수행한다. 바이러스 치료를 개시한 다음, 소정의 조건이 충족되면 바이러스 감염된 컴퓨터(T1)에 대한 통신차단을 해제한다. 예컨대, 바이러스 치료가 완료되었을 때 바이러스 감염된 컴퓨터(T1)에 미리 설치해 둔 에이전트 프로그램이 바이러스 치료의 완료를 바이러스 치료모듈(50)과 통신제어모듈(30)에 각각 보고하는 경우, 또는 소정의 설정시간(예: 바이러스 치료에 소요되는 충분한 시간)이 경과한 경우 또는 네트워크 운용자의 지시가 있는 경우, 바이러스 감염 된 컴퓨터(T1)에 대한 통신차단의 해제 조치를 곧바로 취한다. 즉, 통신제어모듈(30)은 바이러스 감염장비(T1)와 네트워크 내 다른 컴퓨터들(T2, T3, ..., Tn) 및 게이트웨이(60) 각각에 대하여 서로 상대방의 정상적인 IP주소/MAC주소를 포함하는 ARP 패킷을 제공한다. 이에 의해 바이러스 감염된 컴퓨터(T1)는 정상적인 통신을 할 수 있게 된다.After action is taken to block the communication, virus treatment is performed, which can be done in two ways. One is a pulling method in which, when a virus infected computer (T1) makes a request for treatment to the virus treatment module (50), the virus treatment module (50) responds to it and performs treatment of the virus. According to this method, the
다른 치료방식으로는 바이러스 치료모듈(50)이 바이러스 검출모듈(20) 또는 통신제어모듈(30)로부터 전달받은 바이러스 감염된 컴퓨터(T1)에 대한 정보를 이용하여 바이러스 치료를 먼저 수행하는 푸싱(pushing) 방식이다. 바이러스 치료모듈(50)이 바이러스 감염된 컴퓨터(T1)에 관한 주소 정보와 어떤 바이러스에 감염된 상태인지를 알고 있으므로, 바이러스 감염된 컴퓨터(T1)의 요청이 없더라도 바이러스의 치료가 가능하다. 바이러스 치료모듈(50)은 바이러스 검출모듈(20)로부터 바이러스 검출 결과와 바이러스 감염된 컴퓨터(T1)의 IP주소/MAC주소 정보를 전달받으면, 곧바로 그 바이러스 감염된 컴퓨터(T1)에 대한 바이러스 치료를 실행한다. 바이러스 치료의 착수에 앞서, 바이러스 치료모듈(50)이 바이러스 치료 완료를 인지하여 보고하는 기능을 갖는 에이전트 프로그램을 바이러스 감염된 컴퓨터(T1)에 미리 설치시켜두는 것이 좋다. 그러면, 바이러스 감염된 컴퓨터(T1)의 바이러스 치료가 완료되었을 때 그 사실이 바이러스 치료모듈(50)과 통신제어모듈(30)에게 보고 될 수 있다. Another treatment method is a method in which the
도 2와 6에서, 보안 패치의 경우도 그것의 설치가 필요한 장비의 검출과 통신 차단 후 패치 파일의 설치 및 통신 차단의 해제에 관한 것은 바이러스 감염된 컴퓨터의 검출, 바이러스 치료와 관련된 통신 차단 및 차단 해제와 동일한 과정을 거친다. In FIGS. 2 and 6, the detection of the devices requiring the installation of the security patches and the disconnection of the communication blocks and the installation of the patch files after the communication is interrupted are related to the detection of virus infected computers, .
한편, 도 3에는 또 다른 시스템이 도시되어 있다. 도 3에 도시된 시스템은 바이러스 검출모듈(20)과 패치 검출모듈(22)의 위치가 도 1과 2의 두 시스템과 다르다는 점에 그 특징이 있다. 즉, 스위칭 장비(10)에는 컴퓨터 장치들(T1, T2, ..., Tn)의 포트 외에 이들 장비들(T1, T2, ..., Tn)의 포트에 대한 미러링 포트(mirroring port)(14)가 더 마련되어 있고, 바이러스 검출모듈(20)과 패치 검출모듈(22)은 그 미러링 포트(14)에 연결된다. 컴퓨터 장치들(T1, T2, ..., Tn)의 각 포트에 기록되는 패킷의 내용은 미러링 포트(14)에 그대로 복사된다. 따라서 바이러스 검출모듈(20)과 패치 검출모듈(22)은 미러링 포트(14)를 통해 네트워크 내의 모든 컴퓨터 장치들(T1, T2, ..., Tn)이 게이트웨이를 통해 네트워크 외부로 발송하는 패킷뿐만 아니라 그들 간에 주고받는 네트워크 내부에서 주고받는 패킷까지도 전부 열람할 수 있다. 이 점은 도 1과 도 2의 시스템의 경우, 바이러스 검출모듈(20)과 패치 검출모듈(22)은 컴퓨터 장치들(T1, T2, ..., Tn)이 네트워크 내부에서 서로 간에 통신하는 패킷을 수신할 수 없고 오직 스위칭 장비(10)를 통해 네트워크 외부로 나가는 패킷만을 수신할 수 있다는 점에서 차이가 있다. On the other hand, another system is shown in Fig. The system shown in FIG. 3 is characterized in that the positions of the
도 3의 시스템의 경우, 게이트웨이를 통해 네트워크 외부로 나가는 패킷뿐만 아니라, 네트워크 내의 컴퓨터 장치들(T1, T2, ..., Tn)들 간에 주고받는 패킷을 항상 열람할 수 있으므로 바이러스 감염을 좀 더 일찍 발견할 수 있다. 예컨대 컴퓨터(T1)가 바이러스에 감염된 후 네트워크 외부와 통신하기 전에 네트워크 내의 다른 컴퓨터 장치들(T2, T3, ..., Tn)과 통신을 하는 경우, 도 1과 2의 시스템에서는 컴퓨터 장치 T1의 바이러스 감염 사실을 검출할 수 없지만, 도 3의 시스템에서는 검출이 가능하다. 도 3의 시스템은 이렇듯 바이러스 감염 사실의 조기 발견에는 유리하다. 반면에, 네트워크 내부에서 오가는 모든 패킷을 열람하여 바이러스 감염 여부를 분석해야 하는 것 때문에, 처리 능력이 그것을 뒷받침하지 못하면 통신 트래픽에 병목 현상을 유발할 수도 있다. 도 3의 시스템의 채용에는 이 점이 고려될 필요가 있다.In the case of the system shown in FIG. 3, packets transmitted and received between the computer devices (T1, T2, ..., Tn) in the network as well as packets going out of the network through the gateway can be always read, You can find it early. For example, if the computer T1 is communicating with other computer devices (T2, T3, ..., Tn) in the network before communicating with the outside of the network after being infected with a virus, in the system of Figures 1 and 2, The fact of the virus infection can not be detected, but detection is possible in the system of Fig. The system of FIG. 3 is advantageous for early detection of a virus infection. On the other hand, if the processing power does not support it, it may cause a bottleneck in the communication traffic because all the packets going in and out of the network should be read and analyzed for virus infection. This need to be taken into account in the adoption of the system of FIG.
도 4는 또 다른 시스템을 도시한다. 도시된 시스템의 특징은 스위칭 장비(80)가 스위칭 기능만을 갖는 기존의 스위칭 장비와는 다르다는 것이다. 즉, 도 1 내지 도 3의 시스템이 채용하는 스위칭 장비(10)는 오로지 네트워크 장비들의 통신을 위한 패킷 스위칭 처리를 담당하는 것인데 비해, 도 4의 스위칭 장비(80)는 그러한 스위칭 기능 외에도 네트워크 장비들이 주고받는 패킷을 분석하여 바이러스 감염 여부를 검출하고 최신 보안 패치의 설치 필요성 여부 등을 분석하는 기능까지를 갖춘 것이다. 도 4의 시스템에서, 스위칭 장비(80)에 내포된 바이러스 검출부와 패치검출부는 도 3의 바이러스 검출모듈(20)과 패치 검출모듈(22)과 실질적으로 동일한 위치에 배치된 것으로 볼 수 있다. 그러므로 바이러스의 검출과 통신제어 및 해제, 바이러스 치료 등은 도 3의 시스템과 동일하다.Figure 4 shows another system. The feature of the system shown is that the
도 3과 4의 시스템에서, 보안 패치에 관한 부분도 바이러스에 관한 위 설명과 같다. In the systems of FIGS. 3 and 4, the parts relating to the security patch are the same as described above for the virus.
이상에서는 하나의 네트워크를 예로 하여 설명하였지만, 여러 개의 서브네트 워크를 포함하는 대규모 네트워크의 경우에도 위에서 설명한 방법을 적용할 수 있다. 그 경우, 바이러스 검출모듈과 바이러스 치료모듈, 패치 검출모듈과 패치 모듈의 배치 위치는 네트워크의 구체적인 형태에 따라 적절히 정하고, 그 정해진 형태에 따라 최적의 통신제어방식을 선택하면 된다. 이와 관련한 선택 기준은 위에서 설명한 내용을 참고하여 정할 수 있을 것이다.Although a single network has been described above, the above-described method can be applied to a large-scale network including a plurality of subnetworks. In this case, the positions of the virus detection module, the virus detection module, the patch detection module, and the patch module may be appropriately determined according to the specific form of the network, and an optimal communication control method may be selected according to the determined form. The selection criteria related to this can be determined by referring to the above description.
본 발명은 네트워크를 구성하는 컴퓨터 장치들이 웜이나 바이러스에 감염된 사실이나 보안 패치의 설치가 필요한 경우, 그 해당 장비의 통신을 차단함으로써 바이러스의 치료나 패치의 설치가 완료될 때까지 바이러스의 전이가 완벽하게 차단됨으로써 바이러스의 피해를 최소화할 수 있다. In the present invention, when a computer device constituting a network is infected with a worm or a virus, or when a security patch is required, communication of the corresponding device is blocked, so that the transfer of the virus is completed So that the damage of the virus can be minimized.
Claims (23)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070016830A KR100897543B1 (en) | 2007-02-16 | 2007-02-16 | Method of curing computer viruses and patching programs in networked computers using communication control and system for the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070016830A KR100897543B1 (en) | 2007-02-16 | 2007-02-16 | Method of curing computer viruses and patching programs in networked computers using communication control and system for the same |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080076638A true KR20080076638A (en) | 2008-08-20 |
KR100897543B1 KR100897543B1 (en) | 2009-05-14 |
Family
ID=39879857
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070016830A KR100897543B1 (en) | 2007-02-16 | 2007-02-16 | Method of curing computer viruses and patching programs in networked computers using communication control and system for the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100897543B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012015171A3 (en) * | 2010-07-26 | 2012-04-19 | Kim Ki Yong | Hacker virus security-integrated control device |
WO2014107028A1 (en) * | 2013-01-02 | 2014-07-10 | 주식회사 안랩 | System for preventing malware invasion, and method for operating said system for preventing malware invasion |
WO2016014014A1 (en) * | 2014-07-21 | 2016-01-28 | Hewlett-Packard Development Company, L.P. | Remedial action for release of threat data |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101001500B1 (en) * | 2003-11-14 | 2010-12-14 | 주식회사 케이티 | System and method for providing information security service based network and method thereof |
KR100602147B1 (en) * | 2004-05-10 | 2006-07-19 | 정보통신연구진흥원 | System and method for preventing from network virus, and computer-readable storage medium recorded program thereof |
KR100528171B1 (en) * | 2005-04-06 | 2005-11-15 | 스콥정보통신 주식회사 | Ip management method and apparatus for protecting/blocking specific ip address or specific device on network |
-
2007
- 2007-02-16 KR KR1020070016830A patent/KR100897543B1/en active IP Right Grant
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012015171A3 (en) * | 2010-07-26 | 2012-04-19 | Kim Ki Yong | Hacker virus security-integrated control device |
WO2014107028A1 (en) * | 2013-01-02 | 2014-07-10 | 주식회사 안랩 | System for preventing malware invasion, and method for operating said system for preventing malware invasion |
WO2016014014A1 (en) * | 2014-07-21 | 2016-01-28 | Hewlett-Packard Development Company, L.P. | Remedial action for release of threat data |
Also Published As
Publication number | Publication date |
---|---|
KR100897543B1 (en) | 2009-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6895432B2 (en) | IP network system having unauthorized intrusion safeguard function | |
US7653941B2 (en) | System and method for detecting an infective element in a network environment | |
US7617533B1 (en) | Self-quarantining network | |
TWI362196B (en) | Network isolation techniques suitable for virus protection | |
US7474655B2 (en) | Restricting communication service | |
JP5062967B2 (en) | Network access control method and system | |
US9118716B2 (en) | Computer system, controller and network monitoring method | |
JP6083009B1 (en) | SDN controller | |
US20060282893A1 (en) | Network information security zone joint defense system | |
KR100908404B1 (en) | System and method for protecting from distributed denial of service | |
JP2005197823A (en) | Illegitimate access control apparatus between firewall and router | |
JP2006243878A (en) | Unauthorized access detection system | |
EP1802058A1 (en) | Method for protection from service-disabling attack, system for protection from service-disabling attack, device for protection from service-disabling attack, relay device, program for protection from service-disabling attack, and relay device program | |
JP2008054204A (en) | Connection device, terminal device, and data confirmation program | |
KR100897543B1 (en) | Method of curing computer viruses and patching programs in networked computers using communication control and system for the same | |
JP2008097414A (en) | Information processing system and information processing method | |
JP2006033140A (en) | Network management apparatus, network management method, and program | |
KR101343693B1 (en) | Network security system and method for process thereof | |
KR101092090B1 (en) | SYSTEM AND METHOD FOR RESPONDING DDoS OFFENSIVE | |
CN112929373B (en) | Intranet equipment protection method | |
JP2006100996A (en) | Network integrated supervisory apparatus, network integrated supervisory method, and network integrated supervisory system | |
JP2018129712A (en) | Network monitoring system | |
US20050086524A1 (en) | Systems and methods for providing network security with zero network footprint | |
JP3836472B2 (en) | Communication jamming server, communication jamming program, communication jamming method, information communication system, and information communication method | |
JP7198617B2 (en) | security system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
J201 | Request for trial against refusal decision | ||
B701 | Decision to grant | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130430 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20140417 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20150422 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20160420 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20170426 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20180226 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20190424 Year of fee payment: 11 |