KR20100124441A - 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법 - Google Patents

컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법 Download PDF

Info

Publication number
KR20100124441A
KR20100124441A KR1020090043443A KR20090043443A KR20100124441A KR 20100124441 A KR20100124441 A KR 20100124441A KR 1020090043443 A KR1020090043443 A KR 1020090043443A KR 20090043443 A KR20090043443 A KR 20090043443A KR 20100124441 A KR20100124441 A KR 20100124441A
Authority
KR
South Korea
Prior art keywords
content
inspection
information
user terminal
malicious code
Prior art date
Application number
KR1020090043443A
Other languages
English (en)
Other versions
KR101077855B1 (ko
Inventor
오주현
박종필
윤석영
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020090043443A priority Critical patent/KR101077855B1/ko
Publication of KR20100124441A publication Critical patent/KR20100124441A/ko
Application granted granted Critical
Publication of KR101077855B1 publication Critical patent/KR101077855B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/442Monitoring of processes or resources, e.g. detecting the failure of a recording device, monitoring the downstream bandwidth, the number of times a movie has been viewed, the storage space available from the internal hard disk
    • H04N21/44236Monitoring of piracy processes or activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Multimedia (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 적어도 하나 이상의 사용자 단말과 연결되는 내부 네트워크 장비와 연동하여 사용자 단말에 의해 접속되는 컨텐츠를 검사하는 장치로서, 이를 위하여 사용자 단말에 의해 접속되는 컨텐츠에 대한 악성 및 바이러스 검사를 위한 정보가 저장된 데이터베이스와, 사용자 단말이 상기 내부 네트워크 장비를 통해 임의의 컨텐츠에 접속함에 따라 데이터베이스에 저장된 정보를 이용하여 상기 임의의 컨텐츠를 검사하는 검사 모듈과, 임의의 컨텐츠에 대한 검사 결과를 토대로 상기 내부 네트워크 장비를 통해 사용자 단말의 네트워크를 차단하는 차단 모듈을 포함한다.
본 발명은 사용자 단말과 컨텐츠를 제공하는 웹 페이지를 연결시키는 내부 네트워크 장비와 연동 가능한 컨텐츠 검사 장치를 이용하여 사용자 단말이 접근하는 컨텐츠의 검사를 수행함으로써, 내부 네트워크 장비와 사용자 단말에 악성 코드 검사 장치를 별도로 설치하지 않고 컨텐츠 위험 여부를 검사할 수 있어 사용자 단말과 내부 네트워크 장비의 리소스를 최소화시킬 수 있다.
Figure P1020090043443
악성코드, 관제, 컨텐츠, 의심, 차단

Description

컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법{APPARATUS AND METHOD FOR INSPECTING A CONTENTS AND CONTROLLING APPARATUS OF MALIGNANCY CODE}
본 발명은 악성 코드 검사에 관한 것으로, 더욱 상세하게는 네트워크 성능에 영향을 주지 않고 알려진 위험뿐만 아니라 알려지지 않은 위험을 발견하여 관리자에게 알리고, 의심이 가는 컨텐츠에 대해선 관제 장치에 알려 이의 위험 여부를 자동으로 수집, 판단하는 컨텐츠 검사 장치 및 방법과 악성 코드 관제 장치에 관한 것이다.
최근 급증하고 있는 인터넷의 물결에 편승하여 통신망을 통한 악성 소프트웨어(Malicious Software) 또는 악성 코드(Malicious Code)의 전염경로가 다양해지고 있으며, 이로 인한 피해 정도가 매년 증가하고 있다. 악성 코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 이러한 악성 코드의 종류로는 바이 러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor), 논리폭탄(Logic Bomb), 트랩도어(Trap Door)등의 해킹툴 및 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다. 이들은 자기복제나 자동번식 기능을 구비한 채, 사용자 ID와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경/시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심 자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으켜 그 피해가 매우 다양하고 심각하다.
인터넷이 발달함에 따라 웹 사이트의 수는 폭발적으로 증가하고 있으며, 모든 웹 사이트의 보안을 일정한 수준으로 유지하는 것은 실질적으로 어렵게 되었다. 따라서, 최근에는 보안 상태가 취약한 웹 사이트를 해킹하여 악성 코드를 숨겨놓고, 상기 웹 사이트에 방문하거나 상기 웹 사이트와 링크된 사이트에 방문하는 방문자들이 악성 코드에 감염되도록 하는 신종 해킹 수법이 증가하고 있다. 특히 악성 코드들은 종류에 따라 사용자의 컴퓨터 또는 네트워크상에서 시스템을 파괴하거나 기밀 정보를 유출할 수 있도록 설계되어 있으므로, 사용자의 컴퓨터 시스템이나 보안에 치명적인 피해를 가할 수 있다. 이와 같이, 다른 방문자가 접속할 때마다 숨겨둔 악성 코드에 감염되도록 하는 웹 사이트를 위험 사이트라고 한다.
이러한 위험 사이트의 방문을 차단하는 방법 중 대표적인 것의 하나로는 시그니처 패턴 매칭 기법이 있다. 이 기법은 악성 코드 고유의 비교 가능한 정보인 시그니처 패턴을 미리 등록해 두고, 네트워크 게이트웨이에서 악성 코드나 악성 URL을 이러한 시그니처 패턴을 매칭시켜 그 결과에 따라 악성 코드 또는 악성 URL을 차단한다. 이러한 방법은 진단을 위해 필요한 시그니처 패턴을 사용자의 컴퓨 터 등에 모두 저장해 두어야 하고 이를 수시로 업데이트 해야 한다는 문제점이 있었다.
시그니처 패턴 매칭 외에 악성 코드를 찾는 다른 방법으로는 실행 형태 내지 행동 패턴에 의한 진단 기법이 있다. 이러한 기법은 네트워크 내 사용자 장비, 예컨대 컴퓨터에 프로그램을 설치한 후 웹 브라우저를 통하여 페이지를 실행시키면서 그 행동 패턴에 따라 악성 코드 포함 여부를 체크하고 위험 또는 의심 사이트를 차단한다. 이러한 방법은 사용자가 웹 페이지에 접근할 때마다 해당 페이지를 검색해야 하기 때문에 장비의 리소스 및 속도 저하가 발생하거나, 웹 페이지의 실행 속도를 보장하기 위해서는 빠른 진단이 가능하도록 악성 코드의 진단 범위를 제한하지 않을 수 없게 되는 문제점이 있었다.
상기 문제점을 해결하기 위하여 본 발명은, 사용자 단말과 컨텐츠를 제공하는 웹 페이지를 연결시키는 내부 네트워크 장비와 연동 가능한 컨텐츠 검사 장치를 이용하여 사용자 단말이 접근하는 컨텐츠의 검사를 수행함으로써, 내부 네트워크 장비와 사용자 단말에 악성 코드 검사 장치를 별도로 설치하지 않고 컨텐츠 위험 여부를 검사하는 것을 목적으로 한다.
또한, 사용자 단말에게 일단 컨텐츠에 대한 접근을 허용한 후 별도의 검사 장치를 이용하여 사용자 단말이 접속한 컨텐츠에 대한 검사를 수행함으로써, 사용자 단말의 컨텐츠 이용 시 속도 저하를 방지하고 실시간적 실행을 제공하는 것을 목적으로 한다.
또한, 악성 코드 또는 악성 URL 여부에 대한 사후적 진단 개념을 도입하여 실시간적 실행을 보장받으므로, 실행 속도 저하에 대한 우려 때문에 진단 범위에 제한을 받지 않고, 다양하고 심화적인 진단 기법을 적용할 수 있게 되는 효과가 있다.
상기 목적을 달성하기 위해, 본 발명은 적어도 하나 이상의 사용자 단말과 연결되는 내부 네트워크 장비와 연동하여 상기 사용자 단말에 의해 접속되는 컨텐츠를 검사하는 장치로서, 상기 사용자 단말에 의해 접속되는 컨텐츠에 대한 악성 및 바이러스 검사를 위한 정보가 저장된 데이터베이스와, 상기 사용자 단말이 상기 내부 네트워크 장비를 통해 임의의 컨텐츠에 접속함에 따라 상기 데이터베이스에 저장된 정보를 이용하여 상기 임의의 컨텐츠를 검사하는 검사 모듈과, 상기 임의의 컨텐츠에 대한 검사 결과를 토대로 상기 내부 네트워크 장비를 통해 상기 사용자 단말의 네트워크를 차단하는 차단 모듈을 포함한다.
상기 목적을 달성하기 위해 본 발명은, 적어도 하나 이상의 사용자 단말과 연결되는 내부 네트워크 장비와 연동하여 상기 사용자 단말에 의해 접속되는 컨텐츠를 검사하는 컨텐츠 검사 장치와 통신망을 통해 연결되는 악성 코드 관제 장치로서, 상기 통신망을 통해 검사 요청된 악성 코드 의심 컨텐츠와 그에 대응되는 검사 요청 횟수 및 상기 악성 코드 의심 컨텐츠를 송신한 컨텐츠 검사 장치의 정보가 저장된 의심 데이터베이스와, 상기 통신망을 통해 연결된 상기 컨텐츠 검사 장치로부 터 임의의 컨텐츠에 대한 검사 요청을 수신됨에 따라 상기 의심 데이터베이스 내에 저장된 상기 임의의 컨텐츠에 대응되는 악성 코드 의심 컨텐츠 정보의 검사 요청 횟수 및 상기 검사 요청한 컨텐츠 검사 장치의 정보를 업데이트시키는 수신 모듈과, 상기 의심 데이터베이스에서 상기 검사 요청 횟수가 기 설정된 제 1 임계값 이상을 갖는 악성 코드 의심 컨텐츠 및 이를 송신한 컨텐츠 검사 장치의 정보를 추출한 후 차단 요청을 생성하는 차단 요청 생성 모듈과, 상기 생성된 차단 요청을 상기 추출된 컨텐츠 검사 장치의 정보에 대응되는 컨텐츠 검사 장치에 제공하는 송신 모듈을 포함한다.
또한, 본 발명은, 적어도 하나 이상의 사용자 단말과 연결되는 내부 네트워크 장비와 연동하여 상기 사용자 단말에 의해 접속되는 컨텐츠를 검사하는 방법으로서, 상기 사용자 단말이 상기 내부 네트워크 장비를 통해 접속한 임의의 컨텐츠 정보를 제공받는 단계와, 상기 임의의 컨텐츠 정보와 악성 코드에 대한 패턴 정보가 저장된 데이터베이스간의 비교를 통해 상기 임의의 컨텐츠에 대한 검사를 실시하는 단계와, 상기 검사 결과, 상기 임의의 컨텐츠가 위험 컨텐츠인 경우 상기 내부 네트워크 장비를 통해 상기 사용자 단말의 네트워크를 차단하는 단계를 포함한다.
다른 견지에서 본 발명은, 적어도 하나 이상의 사용자 단말과 연결되는 내부 네트워크 장비와 연동하여 상기 사용자 단말에 의해 접속되는 컨텐츠를 검사하는 컨텐츠 검사 장치와 통신망을 통해 연결되며, 상기 통신망을 통해 검사 요청된 악성 코드 의심 컨텐츠와 그에 대응되는 검사 요청 횟수 및 상기 악성 코드 의심 컨 텐츠를 송신한 컨텐츠 검사 장치의 정보가 저장된 의심 데이터베이스를 구비하는 악성 코드 관제 장치를 이용한 컨텐츠 검사 방법으로서, 상기 통신망을 통해 연결된 상기 컨텐츠 검사 장치로부터 임의의 컨텐츠에 대한 검사 요청을 수신하는 단계와, 상기 의심 데이터베이스 내에 저장된 상기 임의의 컨텐츠에 대응되는 악성 코드 의심 컨텐츠 정보의 검사 요청 횟수 및 상기 검사 요청한 컨텐츠 검사 장치의 정보를 업데이트시키는 단계와, 상기 의심 데이터베이스에서 상기 검사 요청 횟수가 기 설정된 제 1 임계값 이상을 갖는 악성 코드 의심 컨텐츠 및 이를 송신한 컨텐츠 검사 장치의 정보를 추출한 후 차단 요청을 생성하는 단계와, 상기 생성된 차단 요청을 상기 추출된 컨텐츠 검사 장치의 정보에 대응되는 컨텐츠 검사 장치에 제공하여 상기 제 1 임계값 이상을 갖는 악성 코드 의심 컨텐츠 를 접속한 사용자 단말의 네트워크를 차단하는 단계를 포함한다.
본 발명은 사용자 단말과 컨텐츠를 제공하는 웹 페이지를 연결시키는 내부 네트워크 장비와 연동 가능한 컨텐츠 검사 장치를 이용하여 사용자 단말이 접근하는 컨텐츠의 검사를 수행함으로써, 내부 네트워크 장비와 사용자 단말에 악성 코드 검사 장치를 별도로 설치하지 않고 컨텐츠 위험 여부를 검사할 수 있어 사용자 단말과 내부 네트워크 장비의 리소스를 최소화시킬 수 있다.
또한, 본 발명은 사용자 단말에 컨텐츠 제공과 더불어 별도의 컨텐츠 검사 장치를 이용하여 악성 코드 감염 여부에 대한 검사를 수행함으로써, 사용자 단말의 안전한 컨텐츠 이용 시 속도 저하를 방지할 수 있다.
본 발명은 의심이 되는 컨텐츠(웹 사이트)를 관제 장치에 보고하여 위험 여부를 판단한 후 컨텐츠 검사 장치에 적용함으로써, 기존의 대응 속도를 개선할 수 있다.
이하, 본 발명의 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 아울러 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
본 발명의 실시 예에서는 사용자 단말과 컨텐츠를 제공하는 웹 페이지를 연결시키는 내부 네트워크 장비와 연동 가능한 컨텐츠 검사 장치를 이용하여 사용자 단말이 접근하는 컨텐츠의 검사를 수행할 수 있는 컨텐츠 검사 장치 및 방법과 컨텐츠 검사 장치와 연동되는 악성 코드 관제 장치에 대해 설명한다.
도 1은 본 발명의 실시 예에 따른 컨텐츠 검사 장치와 그 주변 구성을 도시한 블록도로서, 다수의 사용자 단말(100)을 외부 컨텐츠 서버(미도시됨)와 연동시키는 내부 네트워크 장비(110) 및 컨텐츠 검사 장치(120)를 포함한다. 여기서, 컨텐츠 검사 장치(120)는 데이터베이스(121), 검사 모듈(122), 차단 모듈(123) 및 업데이트 모듈(124)을 포함한다.
본 발명에 적용되는 사용자 단말(100)은 네트워크가 가능한 이동 통신 단말, IPTV, 컴퓨터 등을 들 수 있다.
본 발명에서의 내부 네트워크 장비(110)는 다수의 사용자 단말(100)을 유무 선 통신망(미도시됨)을 통해 외부 컨텐츠 서버와 연동시키기 위한 수단으로서, 그 예로 방화벽, 게이트웨이, UTP 장비 등을 들 수 있으며, 별도의 모듈 형태로 컨텐츠 검사 장치(120)가 장착될 수 있는 인터페이스를 구비할 수 있다.
컨텐츠 검사 장치(120)는 별도로 내부 네트워크 장비(110)에 연결되거나 모듈화되어 내부 네트워크 장비(110)에 장착될 수 있으며, 내부 네트워크 장비(110)를 통해 사용자 단말(100)로 제공되는 컨텐츠, 즉 사용자 단말(100)이 접속한 URL(웹 페이지)에 대한 악성 코드 감염 여부 또는 악성 코드로 의심되는지를 검사하여 해당 컨텐츠를 차단시키거나 의심되는 컨텐츠에 대해 외부의 악성 코드 관제 장치(130)에 검사를 요청한다.
컨텐츠 검사 장치(120)의 데이터베이스(121)에는 사용자 단말(100)이 접속하는 컨텐츠 검사를 위한 정보가 저장되어 있으며, 악성 URL 리스트 저장부(121a), 시그니처 리스트 저장부(121b), 악성 행동 패턴 저장부(121c) 및 의심 행동 패턴 저장부(121d)를 포함한다.
악성 URL 리스트 저장부(121a)는 내부 네트워크 장비(110)가 컨텐츠를 실행할 때 그 주소만으로 악성 코드 또는 악성 URL인지 여부를 판단할 수 있도록 하는 악성 URL의 리스트를 저장한다. 악성 URL 리스트는 악성 코드 관제 장치(130)로부터 업데이트 정보를 수신하여 갱신되거나, 컨텐츠 검사 장치(120)의 관리자에 의하여 수동으로 입력될 수 있다.
시그니처 리스트 저장부(121b)는 악성 코드 데이터에 대한 정보로서, 매칭에 의한 검사의 비교 대상이 되는 시그니처(signature)의 리스트를 저장한다. 악성 URL 리스트에 의한 진단 및 시그니처 매칭에 의한 진단을 수행할 경우, 컨텐츠를 직접 실행시켜 보지 않고서도 사용자 단말(100)이 접속한 컨텐츠에 대한 악성 코드 또는 악성 URL 여부를 진단할 수 있다. 시그니처 리스트는 악성 코드 관제 장치(130)로부터 업데이트 정보를 수신하여 갱신되거나, 컨텐츠 검사 장치(120)의 관리자에 의하여 수동으로 입력될 수 있다.
악성 행동 패턴 저장부(121c)는 악성 및 바이러스로 정의된 행동 패턴 정보, 즉 사용자 단말(100)이 접속한 컨텐츠가 실행될 때의 행동 패턴과 매칭에 의한 비교 대상이 되는 행동 패턴 정보를 저장한다. 행동 패턴 정보는 악성 코드 관제 장치(130)로부터 업데이트 정보를 수신하여 갱신될 수 있다.
의심 행동 패턴 저장부(121d)는 컨텐츠를 실제로 실행했을 경우 실행 중인 컨텐츠의 행동 패턴으로부터 악성 코드 또는 악성 URL 여부를 진단하기 위한 의심 행동 패턴을 저장한다. 의심 행동 패턴이란, 예를 들어 특정 웹사이트로부터 1000회 이상의 다운로드를 수행한다든지, 또는 통상적인 웹 사이트가 접근하지 않는 시스템 파일에 접근하려고 하는 등, 반드시 악성 코드 또는 악성 URL만이 수행한다고 단정할 수는 없지만 통상적인 프로그램 또는 웹 페이지 등이 일반적으로는 수행하지 않는 행동 패턴을 나타낸다. 이러한 의심 행동 패턴은 컨텐츠 검사 장치(120)의 관리자에 의하여 수동으로 입력될 수 있다.
검사 모듈(122)은 사용자 단말(100)이 내부 네트워크 장비(110)를 통해 임의의 컨텐츠에 접속할 경우, 악성 URL 리스트 저장부(121a) 또는 시그니처 리스트 저장부(121b)에 저장된 정보를 이용하여 임의의 컨텐츠가 위험 컨텐츠, 즉 악성 코드, 바이러스 등에 의해 감염된 컨텐츠인지를 검사할 수 있다. 이때, 내부 네트워크 장비(110)는 사용자 단말(100)이 요청한 컨텐츠를 별도의 차단 과정 없이 사용자 단말(100)에 제공하며, 검사 모듈(122)에 의한 검사는 사용자 단말(100)에서 일단 컨텐츠가 실행된 후 사후적으로 이루어질 수 있다. 실시예에 따라서는 검사 모듈(122)이 컨텐츠의 실행 시점에 악성 URL 리스트 저장부(121a) 및 시그니처 리스트 저장부(121b)에 저장된 정보를 이용하여 1차적인 진단을 수행하고, 사후적으로 악성 행동 패턴 저장부(121c) 및 의심 행동 패턴 저장부(121d)에 저장된 정보를 이용하여 2차적인 진단을 다시 수행하는 방식으로 구현할 수도 있다.
즉, 검사 모듈(122)는 임의의 컨텐츠에 대한 URL 정보 및 시그니처(예컨대, 바이너리) 정보와 악성 URL 리스트 저장부(121a) 및 시그니처 리스트 저장부(121b)에 저장된 URL 리스트 및 시그니처 리스트간의 비교를 통해 임의의 컨텐츠가 위험 컨텐츠인지를 판단하고, 위험 컨텐츠가 아닌 경우 임의의 컨텐츠가 실행될 때의 행동 패턴과 악성 행동 패턴 저장부(121c)에 저장된 악성 행동 패턴간의 매칭을 통해 위험 컨텐츠인지를 판단한다. 이때, 임의의 컨텐츠가 위험 컨텐츠로 판단되는 경우 검사 모듈(122)은 차단 모듈(123)을 통해 임의의 컨텐츠를 접속한 사용자 단말(100)의 네트워크를 차단시킨다.
한편, 검사 모듈(122)의 검사 결과 임의의 컨텐츠가 위험 컨텐츠가 아닌 경우 검사 모듈(122)은 임의의 컨텐츠의 실행 시 행동 패턴이 의심 행동 패턴 저장부(121d)에 저장된 의심 행동 패턴에 부합되는지를 판단하고, 부합되는 경우 임의의 컨텐츠 정보를 악성 코드 관제 장치(130)에 제공함과 더불어 임의의 컨텐츠 정보와 이를 접속한 사용자 단말(100)의 정보를 데이터베이스(121)에 저장한다.
차단 모듈(123)은, 검사 모듈(122)에 의한 검사 결과 요청된 컨텐츠가 위험 컨텐츠, 즉, 악성 코드 또는 바이러스에 감염된 악성 URL이거나, 악성 시그니처를 갖고 있는 경우, 내부 네트워크 장비(110)에 해당 컨텐츠를 실행한 사용자 단말(100)을 내부 네트워크 장비(110)가 관리하는 네트워크에 연결되지 못하도록 차단할 것을 요청할 수 있다. 악성 코드 또는 악성 URL로 판단된 컨텐츠를 실행한 사용자 단말(100)이 내부 네트워크 장비(110)에 연결된 다른 사용자 단말에 감염을 전파하지 못하도록 해야 하기 때문이다. 차단 모듈(123)의 요청을 수신한 내부 네트워크 장비(110)는 사용자 단말(100)이 내부 네트워크 장비(110) 및 그에 연결된 다른 사용자 단말에 접속하지 못하도록 접근을 차단할 수 있다. 즉, 차단 모듈(123)은 내부 네트워크 장비(110)를 통해 악성 코드 또는 악성 URL로 판단된 컨텐츠를 실행한 사용자 단말(100)의 네트워크 연결을 차단한다.
한편, 차단 모듈(123)은 임의의 컨텐츠에 대한 차단 요청 시 내부 네트워크 장비(110)를 통해 임의의 컨텐츠에 접속한 사용자 단말(100)에 경고 메시지를 송신함으로써, 사용자 단말(100)의 사용자에게 악성 코드의 감염 위험을 알려줄 수 있다.
한편, 차단 모듈(123)은 악성 코드 관제 장치(130)로부터 임의의 컨텐츠에 대한 차단 요청이 수신되는 경우 데이터베이스(121)에 저장된 임의의 컨텐츠를 접속한 사용자 단말(100)의 정보를 토대로 사용자 단말(100)에 대한 사후 조치를 수행한다. 여기서, 사후 조치란 경고 메시지를 사용자 단말(100)에 제공하거나 사용 자 단말(100)의 네트워크를 차단시키는 것을 의미한다.
업데이트 모듈(124)은 악성 코드 관제 장치(130)로부터 새로운 악성 코드에 대한 시그니처 패턴 정보, 악성 URL 리스트 또는 악성 행동 패턴의 정보가 수신됨에 따라 이를 토대로 데이터베이스(121)를 업데이트시킨다.
악성 코드 관제 장치(130)는 다수의 컨텐츠 검사 장치(120), 즉 각 내부 네트워크 장비(110)에 연결된 각각의 컨텐츠 검사 장치(120)로부터 악성 코드 의심 컨텐츠로 규정된 컨텐츠 정보를 제공받고, 제공받은 컨텐츠 정보, 각 컨텐츠 정보에 대한 검사 요청 횟수 및 컨텐츠 정보를 송신한 컨텐츠 검사 장치(120)의 정보를 의심 데이터베이스(132)에 저장한다.
한편, 악성 코드 관제 장치(130)는 기 설정된 횟수 이상의 검사 요청을 받은 컨텐츠인 경우 해당 컨텐츠의 정보를 이용하여 특징점, 예컨대 악성 URL, 시그니처, 악성 행동 패턴 등의 특징점을 생성할 수 있을 뿐만 아니라 검사 요청한 컨텐츠 검사 장치(120)에 차단 요청을 할 수 있다.
이러한 악성 코드 관제 장치(130)는 통신망을 통해 연결된 다수의 상기 컨텐츠 검사 장치(120)로부터 악성 코드 의심 컨텐츠의 정보를 포함하는 검사 요청을 수신하는 수신 모듈(131)과, 기 설정된 제 1 임계값 횟수 이상의 검사 요청을 받은 컨텐츠의 정보를 이용하여 차단 요청을 생성하는 차단 요청 생성 모듈(133), 기 설정된 제 2 임계값 횟수 이상의 검사 요청을 받은 컨텐츠의 정보를 이용하여 특징점을 검출하는 특징점 검출 모듈(134), 차단 요청 및 특징점을 컨텐츠 검사 장치(120)에 송신하는 송신 모듈(135)을 포함한다. 본 발명에서의 제 1 임계값과 제 2 임계값은 같은 값일 수 있다.
본 발명에서의 수신 모듈(131)은 컨텐츠 검사 장치(120)로부터 악성 코드 의심 컨텐츠에 대한 정보를 포함하는 검사 요청이 수신됨에 따라 악성 코드 의심 컨텐츠에 대응되는 컨텐츠 정보, 그 검사 요청 횟수 및 검사 요청한 컨텐츠 검사 장치 정보를 이용하여 의심 데이터베이스(132)를 업데이트시킨다.
차단 요청 생성 모듈(133)은 의심 데이터베이스(132)의 검색을 통해 기 설정된 제 1 임계값 횟수, 예컨대 100회 이상의 검사 요청이 수신된 컨텐츠 정보를 이용하여 차단 요청을 생성하며, 차단 요청은 송신 모듈(135)을 통해 100회 이상의 검사 요청이 수신된 컨텐츠 정보를 송신한 컨텐츠 검사 장치(120)에 전송된다. 이에 따라, 차단 요청을 수신한 컨텐츠 검사 장치(120)는 해당 컨텐츠를 접속한 사용자 단말(100)의 네트워크를 차단시키거나 사용자 단말(100)에 경고 메시지를 송신한다.
특징점 추출 모듈(134)은 기 설정된 제 2 임계값, 예컨대 200회 이상의 검사 요청이 수신된 컨텐츠 정보를 토대로 특징점, 예컨대 악성 URL, 시그니처, 악성 행동 패턴 등의 특징점을 생성한 후 이를 다수의 컨텐츠 검사 장치(120)에 브로드캐스팅하며, 이에 따라 다수의 컨텐츠 검사 장치(120)는 자신의 데이터베이스(121)에 저장된 정보를 업데이트시킨다.
상기와 같은 구성을 갖는 컨텐츠 검사 장치(120)가 사용자 단말(100)이 접속한 컨텐츠를 검사하는 과정에 대해 도 2를 참조하여 설명한다.
도 2는 본 발명의 실시 예에 따라 컨텐츠를 검사하는 과정을 도시한 흐름도 이다.
도 2를 참조하면, 먼저 사용자 단말(100)이 내부 네트워크 장비(110)를 통해 임의의 컨텐츠에 요청(S200)하면, 내부 네트워크 장비(110)는 별도의 필터링 과정, 즉 검사 과정 없이 바로 임의의 컨텐츠를 사용자 단말(100)에 제공한다(S202). 실시예에 따라서는 검사 모듈(122)이 컨텐츠의 실행 시점에 악성 URL 리스트 저장부(121a), 시그니처 리스트 저장부(121b) 및 악성 행동 패턴 저장부(121c)에 저장된 정보를 이용하여 1차적인 진단을 수행하고, 사후적으로 의심 행동 패턴 저장부(121d)에 저장된 정보를 이용하여 2차적인 진단을 다시 수행하는 방식으로 구현할 수도 있다.
컨텐츠 제공 시 내부 네트워크 장비(110)는 컨텐츠 검사 장치(120)에 임의의 컨텐츠에 대한 검사를 요청한다(S204).
이에 따라, 컨텐츠 검사 장치(120)의 검사 모듈(122)은 데이터베이스(121)에 저장된 정보와 임의의 컨텐츠간의 비교를 통해 임의의 컨텐츠가 위험 컨텐츠인지 악성 코드 의심 컨텐츠인지를 판단한다(S206).
S206의 판단 결과, 임의의 컨텐츠가 위험 컨텐츠인 경우 컨텐츠 검사 장치(120)의 차단 모듈(123)은 내부 네트워크 장비(110)를 통해 임의의 컨텐츠에 접속한 사용자 단말(100)의 네트워크를 차단시킨다(S208).
S206의 판단 결과, 임의의 컨텐츠가 악성 코드 의심 컨텐츠인 경우 컨텐츠 검사 장치(120)의 검사 모듈(122)은 악성 코드 의심 컨텐츠를 접속한 사용자 단말(100)의 정보와 임의의 컨텐츠 정보를 데이터베이스(121)에 저장(S210)한 후 외부의 악성 코드 관제 장치(130)에 임의의 컨텐츠에 대한 검사를 요청한다(S212).
이후, 차단 모듈(123)은 외부의 악성 코드 관제 장치(130)로부터 차단 요청이 수신되는지를 판단한다(S214).
S214의 판단 결과, 차단 요청이 수신되는 경우 차단 모듈(123)은 내부 네트워크 장비(110)를 통해 데이터베이스(121)에 저장된 임의의 컨텐츠를 접속한 사용자 단말(100)의 네트워크를 차단시키거나 사용자 단말(100)에 경고 메시지를 송출한다(S214).
본 발명에 따르면, 내부 네트워크 장비(110)를 통해 사용자가 접속하고자 하는 컨텐츠를 제공한 후 내부 네트워크 장비(110)와 연동되는 별도의 컨텐츠 검사 장치(120)를 이용하여 위험 컨텐츠 또는 악성 코드 의심 컨텐츠인지의 여부를 판단함으로써, 내부 네트워크 장비(110)의 리소스 저하를 막을 수 있다.
이상 본 발명의 구체적 실시형태를 참조하여 본 발명을 설명하였으나, 이는 예시에 불과하며 본 발명의 범위를 제한하는 것이 아니다. 당업자는 본 발명의 범위를 벗어나지 않는 범위 내에서 설명된 실시형태들을 변경 또는 변형할 수 있다. 본 명세서에서 설명된 각 기능 블록들 또는 수단들은 프로그램 형식으로 구현될 수 있으며, 각각 별개로 구현되거나 2 이상이 하나로 통합되어 구현될 수 있다. 본 명세서 및 청구범위에서 별개인 것으로 설명된 모듈 등의 구성요소는 단순히 기능상 구별된 것으로 물리적으로는 하나의 수단으로 구현될 수 있으며, 단일한 것으로 설명된 수단 등의 구성요소도 수개의 구성요소의 결합으로 이루어질 수 있다. 또한 본 명세서에서 설명된 각 방법 단계들은 본 발명의 범위를 벗어나지 않고 그 순서 가 변경될 수 있고, 다른 단계가 부가될 수 있다. 뿐만 아니라, 본 명세서에서 설명된 다양한 실시형태들은 각각 독립하여서뿐만 아니라 적절하게 결합되어 구현될 수도 있다. 따라서 본 발명의 범위는 설명된 실시형태가 아니라 첨부된 청구범위 및 그 균등물에 의해 정해져야 한다.
도 1은 본 발명의 실시 예에 따른 컨텐츠 검사 장치 및 악성 코드 관제 장치와 그 주변 구성을 도시한 블록도이며,
도 2는 본 발명의 실시 예에 따른 컨텐츠 검사 과정을 도시한 흐름도이다.
<도면의 주요 부분에 대한 부호의 설명>
100 : 사용자 단말 110 : 내부 네트워크 장비
120 : 컨텐츠 검사 장치 130 : 악성 코드 관제 장치

Claims (19)

  1. 적어도 하나 이상의 사용자 단말과 연결되는 내부 네트워크 장비와 연동하여 상기 사용자 단말에 의해 접속되는 컨텐츠를 검사하는 장치로서,
    상기 사용자 단말에 의해 접속되는 컨텐츠에 대한 악성 및 바이러스 검사를 위한 정보가 저장된 데이터베이스와,
    상기 사용자 단말이 상기 내부 네트워크 장비를 통해 임의의 컨텐츠에 접속함에 따라 상기 데이터베이스에 저장된 정보를 이용하여 상기 임의의 컨텐츠를 검사하는 검사 모듈과,
    상기 임의의 컨텐츠에 대한 검사 결과를 토대로 상기 내부 네트워크 장비를 통해 상기 사용자 단말의 네트워크를 차단하는 차단 모듈
    을 포함하는 컨텐츠 검사 장치.
  2. 제 1 항에 있어서,
    상기 악성 및 바이러스 검사를 위한 정보는, 악성 URL 정보, 악성 코드 데이터에 대한 시그니처 정보, 컨텐츠 실행 시 악성 행동 패턴 정보 및 악성 의심 행동 패턴에 대한 정보 중 적어도 하나 이상인 것을 특징으로 하는 컨텐츠 검사 장치.
  3. 제 2 항에 있어서,
    상기 검사 모듈은,
    상기 악성 URL 정보 시그니처 정보 및 악성 행동 패턴 정보 중 적어도 하나 이상을 이용하여 상기 사용자 단말이 접속한 상기 임의의 컨텐츠에 대한 검사를 수행한 결과 상기 임의의 컨텐츠가 위험 컨텐츠가 아닌 경우 상기 임의의 컨텐츠 실행을 통해 상기 의심 행동 패턴에 대한 정보를 토대로 상기 임의의 컨텐츠가 악성 의심 컨텐츠인지를 검사하는 것을 특징으로 하는 컨텐츠 검사 장치.
  4. 제 3 항에 있어서,
    상기 검사 모듈은, 상기 임의의 컨텐츠가 악성 의심 컨텐츠인 경우 상기 통신망을 통해 연결된 악성 코드 관제 서버에 상기 임의의 컨텐츠 정보를 토대로 검사 요청을 수행하는 것을 특징으로 하는 컨텐츠 검사 장치.
  5. 제 4 항에 있어서,
    상기 차단 모듈은, 상기 검사 요청 후에 상기 악성 코드 관제 서버로부터 차단 요청이 수신됨에 따라 상기 임의의 컨텐츠에 접속한 사용자 단말의 네트워크를 차단하는 것을 특징으로 컨텐츠 검사 장치.
  6. 제 1 항 또는 제 5 항에 있어서,
    상기 차단 모듈은, 상기 임의의 컨텐츠를 접속한 사용자 단말에 대한 네트워크 차단 시 상기 임의의 컨텐츠에 접속한 상기 사용자 단말에 경고 메시지를 송신하는 것을 특징으로 하는 컨텐츠 검사 장치.
  7. 제 1 항 또는 제 2 항에 있어서,
    상기 컨텐츠 검사 장치는,
    관리자에 의해 입력된 데이터 또는 외부 통신망을 통해 연결된 악성 코드 관제 서버를 통해 전송 받은 데이터를 토대로 상기 데이터베이스에 저장된 정보를 업데이트시키는 업데이트 모듈
    을 더 포함하는 컨텐츠 검사 장치.
  8. 제 1 항에 있어서,
    상기 내부 네트워크 장비는, 방화벽, 게이트웨이 및 UTP 장비 중 어느 하나인 것을 특징으로 하는 컨텐츠 검사 장치.
  9. 적어도 하나 이상의 사용자 단말과 연결되는 내부 네트워크 장비와 연동하여 상기 사용자 단말에 의해 접속되는 컨텐츠를 검사하는 컨텐츠 검사 장치와 통신망을 통해 연결되는 악성 코드 관제 장치로서,
    상기 통신망을 통해 검사 요청된 악성 코드 의심 컨텐츠와 그에 대응되는 검사 요청 횟수 및 상기 악성 코드 의심 컨텐츠를 송신한 컨텐츠 검사 장치의 정보가 저장된 의심 데이터베이스와,
    상기 통신망을 통해 연결된 상기 컨텐츠 검사 장치로부터 임의의 컨텐츠에 대한 검사 요청을 수신됨에 따라 상기 의심 데이터베이스 내에 저장된 상기 임의의 컨텐츠에 대응되는 악성 코드 의심 컨텐츠 정보의 검사 요청 횟수 및 상기 검사 요청한 컨텐츠 검사 장치의 정보를 업데이트시키는 수신 모듈과,
    상기 의심 데이터베이스에서 상기 검사 요청 횟수가 기 설정된 제 1 임계값 이상을 갖는 악성 코드 의심 컨텐츠 및 이를 송신한 컨텐츠 검사 장치의 정보를 추출한 후 차단 요청을 생성하는 차단 요청 생성 모듈과,
    상기 생성된 차단 요청을 상기 추출된 컨텐츠 검사 장치의 정보에 대응되는 컨텐츠 검사 장치에 제공하는 송신 모듈
    을 포함하는 악성 코드 관제 장치.
  10. 제 9 항에 있어서,
    상기 관제 장치는,
    상기 검사 요청 횟수가 기 설정된 제 2 임계값 이상을 갖는 악성 코드 의심 컨텐츠를 이용하여 특징점을 추출한 후 이를 상기 송신 모듈을 통해 상기 다수의 컨텐츠 검사 장치에 브로드캐스팅하는 특징점 추출 모듈
    을 더 포함하는 악성 코드 관제 장치.
  11. 제 10 항에 있어서,
    상기 특징점은, 악성 URL 정보, 시그니처 리스트 및 악성 행동 패턴 중 적어도 어느 하나 이상인 것을 특징으로 하는 악성 코드 관제 장치.
  12. 적어도 하나 이상의 사용자 단말과 연결되는 내부 네트워크 장비와 연동하여 상기 사용자 단말에 의해 접속되는 컨텐츠를 검사하는 방법으로서,
    상기 사용자 단말이 상기 내부 네트워크 장비를 통해 접속한 임의의 컨텐츠 정보를 제공받는 단계와,
    상기 임의의 컨텐츠 정보와 악성 코드에 대한 패턴 정보가 저장된 데이터베이스간의 비교를 통해 상기 임의의 컨텐츠에 대한 검사를 실시하는 단계와,
    상기 검사 결과, 상기 임의의 컨텐츠가 위험 컨텐츠인 경우 상기 내부 네트워크 장비를 통해 상기 사용자 단말의 네트워크를 차단하는 단계
    를 포함하는 컨텐츠 검사 방법.
  13. 제 12 항에 있어서,
    상기 임의의 컨텐츠에 대한 검사를 실시하는 단계는,
    상기 임의의 컨텐츠 정보와 상기 데이터베이스에 저장된 악성 코드에 대한 패턴 정보 중 악성 URL 리스트, 시그니처 리스트 또는 악성 행동 패턴간의 비교를 통해 상기 임의의 컨텐츠가 위험 컨텐츠인지를 검사하는 것을 특징으로 하는 컨텐츠 검사 방법.
  14. 제 13 항에 있어서,
    상기 검사 방법은,
    상기 검사 결과, 상기 임의의 컨텐츠가 위험 컨텐츠가 아닌 경우 상기 데이 터베이스에 저장된 의심 행동 패턴을 토대로 상기 임의의 컨텐츠가 악성 코드 의심 컨텐츠인지를 판단하는 단계와,
    상기 임의의 컨텐츠가 악성 코드 의심 컨텐츠인 경우 외부의 악성 코드 관제 장치에 상기 임의의 컨텐츠 정보를 송신하여 검사를 요청하는 단계와,
    상기 외부의 악성 코드 관제 장치로부터 상기 검사 요청에 따른 검사 결과를 수신됨에 따라 상기 임의의 컨텐츠에 접속한 상기 사용자 단말의 네트워크를 차단하는 단계
    를 포함하는 컨텐츠 검사 방법.
  15. 제 14 항에 있어서,
    상기 임의의 컨텐츠가 악성 코드 의심 컨텐츠인 경우에는 상기 임의의 컨텐츠에 접속한 사용자 단말의 정보를 상기 데이터베이스에 저장하는 단계를 더 포함하며,
    상기 사용자 단말의 네트워크를 차단하는 단계는, 상기 검사 요청에 따른 검사 결과가 수신됨에 따라 상기 데이터베이스에 저장된 사용자 단말의 정보에 대응되는 사용자 단말의 네트워크를 차단하는 것을 특징으로 하는 컨텐츠 검사 방법.
  16. 제 12 항 또는 제 15 항에 있어서,
    상기 검사 방법은,
    상기 사용자 단말의 네트워크 차단 전에 상기 사용자 단말에 악성 코드 위험 을 알리는 경고 메시지를 송신하는 단계
    를 더 포함하는 컨텐츠 검사 방법.
  17. 적어도 하나 이상의 사용자 단말과 연결되는 내부 네트워크 장비와 연동하여 상기 사용자 단말에 의해 접속되는 컨텐츠를 검사하는 컨텐츠 검사 장치와 통신망을 통해 연결되며, 상기 통신망을 통해 검사 요청된 악성 코드 의심 컨텐츠와 그에 대응되는 검사 요청 횟수 및 상기 악성 코드 의심 컨텐츠를 송신한 컨텐츠 검사 장치의 정보가 저장된 의심 데이터베이스를 구비하는 악성 코드 관제 장치를 이용한 컨텐츠 검사 방법으로서,
    상기 통신망을 통해 연결된 상기 컨텐츠 검사 장치로부터 임의의 컨텐츠에 대한 검사 요청을 수신하는 단계와,
    상기 의심 데이터베이스 내에 저장된 상기 임의의 컨텐츠에 대응되는 악성 코드 의심 컨텐츠 정보의 검사 요청 횟수 및 상기 검사 요청한 컨텐츠 검사 장치의 정보를 업데이트시키는 단계와,
    상기 의심 데이터베이스에서 상기 검사 요청 횟수가 기 설정된 제 1 임계값 이상을 갖는 악성 코드 의심 컨텐츠 및 이를 송신한 컨텐츠 검사 장치의 정보를 추출한 후 차단 요청을 생성하는 단계와,
    상기 생성된 차단 요청을 상기 추출된 컨텐츠 검사 장치의 정보에 대응되는 컨텐츠 검사 장치에 제공하여 상기 제 1 임계값 이상을 갖는 악성 코드 의심 컨텐츠 를 접속한 사용자 단말의 네트워크를 차단하는 단계
    를 포함하는 컨텐츠 검사 방법.
  18. 제 17 항에 있어서,
    상기 검사 방법은,
    상기 검사 요청 횟수가 기 설정된 제 2 임계값 이상을 갖는 악성 코드 의심 컨텐츠를 상기 의심 데이터베이스에서 추출하는 단계와,
    상기 의심 데이터베이스에서 추출된 악성 코드 의심 컨텐츠의 특징점을 추출하여 상기 통신망을 통해 연결된 다수의 컨텐츠 검사 장치에 브로드캐스팅하는 단계
    를 더 포함하는 컨텐츠 검사 방법.
  19. 제 18 항에 있어서,
    상기 특징점은, 악성 URL 정보, 시그니처 리스트 및 악성 행동 패턴 중 적어도 어느 하나 이상인 것을 특징으로 하는 컨텐츠 검사 방법
KR1020090043443A 2009-05-19 2009-05-19 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법 KR101077855B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090043443A KR101077855B1 (ko) 2009-05-19 2009-05-19 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090043443A KR101077855B1 (ko) 2009-05-19 2009-05-19 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법

Publications (2)

Publication Number Publication Date
KR20100124441A true KR20100124441A (ko) 2010-11-29
KR101077855B1 KR101077855B1 (ko) 2011-10-28

Family

ID=43408642

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090043443A KR101077855B1 (ko) 2009-05-19 2009-05-19 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법

Country Status (1)

Country Link
KR (1) KR101077855B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013125867A1 (ko) * 2012-02-21 2013-08-29 주식회사 안랩 컴퓨터 시스템과, 파일 및 행위 기반 복합룰 작성 시스템
KR101587161B1 (ko) * 2014-09-03 2016-01-20 한국전자통신연구원 실시간 네트워크 안티바이러스 수행 장치 및 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101465991B1 (ko) * 2013-11-07 2014-11-27 (주) 앤앤에스피 보안 기능이 구비된 네트워크 제어 장치

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100690187B1 (ko) 2005-06-21 2007-03-09 주식회사 안철수연구소 악성 코드 차단 방법 및 장치 및 그 시스템
KR100770357B1 (ko) 2007-06-04 2007-10-25 펌킨네트웍스코리아 (주) 시그너처 해싱을 이용하여 시그너처 매칭 회수를 줄이는고성능 침입 방지 시스템 및 그 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013125867A1 (ko) * 2012-02-21 2013-08-29 주식회사 안랩 컴퓨터 시스템과, 파일 및 행위 기반 복합룰 작성 시스템
KR101337217B1 (ko) * 2012-02-21 2013-12-05 주식회사 안랩 컴퓨터 시스템과, 파일 및 행위 기반 복합룰 작성 시스템
KR101587161B1 (ko) * 2014-09-03 2016-01-20 한국전자통신연구원 실시간 네트워크 안티바이러스 수행 장치 및 방법
US10027691B2 (en) 2014-09-03 2018-07-17 Electronics And Telecommunications Research Institute Apparatus and method for performing real-time network antivirus function

Also Published As

Publication number Publication date
KR101077855B1 (ko) 2011-10-28

Similar Documents

Publication Publication Date Title
US9973531B1 (en) Shellcode detection
US9596255B2 (en) Honey monkey network exploration
US10033746B2 (en) Detecting unauthorised changes to website content
US9065826B2 (en) Identifying application reputation based on resource accesses
US20190141075A1 (en) Method and system for a protection mechanism to improve server security
RU2726032C2 (ru) Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga)
Zheng et al. DroidRay: a security evaluation system for customized android firmwares
Alosefer et al. Honeyware: a web-based low interaction client honeypot
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
EP3120286A1 (en) Behavior profiling for malware detection
US20160094569A1 (en) Behavioral detection of malware agents
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
Radhakrishnan et al. A survey of zero-day malware attacks and its detection methodology
Wang et al. A combined static and dynamic analysis approach to detect malicious browser extensions
US20240045954A1 (en) Analysis of historical network traffic to identify network vulnerabilities
Canfora et al. A set of features to detect web security threats
KR101077855B1 (ko) 컨텐츠 검사 장치와 악성 코드 관제 장치 및 이를 이용한 컨텐츠 검사 방법
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
US10360379B2 (en) Method and apparatus for detecting exploits
US20210168157A1 (en) Visualization tool for real-time network risk assessment
US20230283632A1 (en) Detecting malicious url redirection chains
Zammouri et al. SafeBrowse: A new tool for strengthening and monitoring the security configuration of web browsers
CN113824678B (zh) 处理信息安全事件的系统、方法和非暂时性计算机可读介质
Oulehla Investigation into Google Play security mechanisms via experimental botnet
US9350755B1 (en) Method and apparatus for detecting malicious software transmission through a web portal

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141024

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151026

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161024

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171024

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181024

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20191024

Year of fee payment: 9