KR20110069481A - 보안 유지를 위한 장치 및 방법 - Google Patents

보안 유지를 위한 장치 및 방법 Download PDF

Info

Publication number
KR20110069481A
KR20110069481A KR1020090126230A KR20090126230A KR20110069481A KR 20110069481 A KR20110069481 A KR 20110069481A KR 1020090126230 A KR1020090126230 A KR 1020090126230A KR 20090126230 A KR20090126230 A KR 20090126230A KR 20110069481 A KR20110069481 A KR 20110069481A
Authority
KR
South Korea
Prior art keywords
malicious code
malicious
subscriber terminal
infected
identification information
Prior art date
Application number
KR1020090126230A
Other languages
English (en)
Inventor
신효정
이현식
김이한
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020090126230A priority Critical patent/KR20110069481A/ko
Publication of KR20110069481A publication Critical patent/KR20110069481A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Abstract

본 발명은 보안 유지를 위한 장치 및 방법에 관한 것으로서, 더욱 상세하게는 악성 코드에 감염된 가입자 단말을 파악하여 관리하고 가입자 단말로 적절한 대응 방안을 제공할 수 있는 보안 유지를 위한 장치 및 방법에 관한 것이다.
본 발명의 실시예에 따른 보안 유지를 위한 장치는 소정 도메인에 접속을 시도하는 가입자 단말의 식별 정보를 수집하는 식별 정보 수집부, 상기 식별 정보에 대응하는 가입자 단말이 악성 코드에 감염되었는지의 여부를 판단하는 악성 코드 감염 판단부, 및 상기 판단 결과에 따라 상기 가입자 단말로 상기 악성 코드에 대한 대응 방안을 제공하는 대응 방안 제공부를 포함한다.
보안, 악성 코드, 악성 도메인, ISP, DNS, 쿼리

Description

보안 유지를 위한 장치 및 방법 {Apparatus and method for maintaining security}
본 발명은 보안 유지를 위한 장치 및 방법에 관한 것으로서, 더욱 상세하게는 악성 코드에 감염된 가입자 단말을 파악하여 관리하고 가입자 단말로 적절한 대응 방안을 제공할 수 있는 보안 유지를 위한 장치 및 방법에 관한 것이다.
최근 급증하고 있는 인터넷의 사용에 따라 통신망을 통해 악성 소프트웨어나 악성 코드의 감염 경로가 다양해지고, 이로 인한 피해가 매년 증가하고 있다. 악성 코드, 이른바 봇(bot)이란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등의 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다.
이러한 악성 코드는 봇넷(botnet)이라는 네트워크를 이루어 공격자의 명령에 의해 정보 수집, 스팸 메일 발송, DDoS(Distributed Deniel od Service) 공격을 비롯하여 다양한 형태의 공격을 수행한다. 봇넷은 인터넷 사용자뿐만 아니라, 라우터, DNS 서버 등의 네트워크 인프라에도 악영향을 끼치게 된다.
인터넷 사용자의 단말들이 악성 코드에 감염되는 경로를 살펴보면, 봇넷과 관련하여 악성 코드를 유포하는 도메인에 접속하거나 여러 가지 경로로 감염되어 가입자도 인지하지 못하는 사이에 봇넷의 조종을 받는 단말이 되는 경우가 발생한다.
가입자의 단말이 악성 코드에 감염되면, 가입자 단말이 악성 코드를 유포하는 주체가 되어 다른 서버나 단말을 공격하고, 가입자 단말 자체의 시스템도 느려지고 원할하게 작동되지 않게 된다.
따라서, 인터넷 사용자가 악성 도메인에 접속하여 악성 코드에 감염되는 것을 사전에 방지하고, 그 대응 방안을 사용자에게 제공하는 방안이 요구되고 있다.
본 발명은 상기와 같은 문제점을 고려하여 안출된 것으로서, 가입자 단말로부터 전송되는 DNS 쿼리를 분석하여 악성 코드에 감염된 가입자 단말을 파악하고 관리함으로써 인터넷 상에서의 악성 트래픽을 줄이고 가입자 단말로 적절한 대응 방안을 제공할 수 있는 보안 유지를 위한 장치 및 방법을 제공하는 것이다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기한 목적을 달성하기 위한 본 발명의 실시예에 따른 보안 유지를 위한 장치는 소정 도메인에 접속을 시도하는 가입자 단말의 식별 정보를 수집하는 식별 정보 수집부, 상기 식별 정보에 대응하는 가입자 단말이 악성 코드에 감염되었는지 여부를 판단하는 악성 코드 감염 판단부, 및 상기 판단 결과에 따라 상기 가입자 단말로 상기 악성 코드에 대한 대응 방안을 제공하는 대응 방안 제공부를 포함한다.
상기한 목적을 달성하기 위한 본 발명의 실시예에 따른 보안 유지를 위한 방법은 소정 도메인에 접속을 시도하는 가입자 단말의 식별 정보를 수집하는 단계, 상기 식별 정보에 대응하는 가입자 단말이 악성 코드에 감염되었는지의 여부를 판단하는 단계, 및 상기 판단 결과에 따라 상기 가입자 단말로 상기 악성 코드에 대 한 대응 방안을 제공하는 단계를 포함한다.
본 발명의 실시예에 따른 보안 유지를 위한 장치 및 방법은 다음과 같은 효과가 있다.
가입자 단말로부터의 DNS 쿼리를 분석하여 가입자 단말의 식별 정보를 수집하고, 가입자 단말이 접속하려는 도메인 또는 식별 정보를 통해 가입자 단말의 악성 코드 감염 여부를 판단하여 이를 분류하고 관리하며, 가입자 단말로 적절한 대응 방안을 제공할 수 있기 때문에 보안 유지가 어려운 가입자가 보안에 대해 미숙한 가입자도 용이하게 보안을 유지할 수 있어 가입자의 편의가 향상될 수 있는 효과가 있다.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 청구범위의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 바람직한 실시예에 대해 첨부된 도면을 참조하여 보다 상세히 설명한다.
도 1은 본 발명의 제 1실시예에 따른 보안 유지를 위한 장치가 도시된 블록도이다.
도시된 바와 같이, 본 발명의 실시예에 따른 보안 유지를 위한 시스템(100)은 가입자 단말(110), 보안 유지를 위한 장치(120) 및 도메인 네임 시스템(Domain Name System, 이하 "DNS"라 함) 서버(130)를 포함할 수 있으며, DNS 서버(130) 전단에는 IPS(Intrusion Prevention System)(140) 또는 스위치(150)가 설치될 수 있다.
IPS(140) 또는 스위치(150)는 도메인 네임 서버(130)의 보호 및 부하 분산의 기능을 수행할 수 있으며, IPS(140)는 가입자 단말(110)의 악성 도메인 접속 시도에 대하여 다른 도메인으로 우회(redirection)시키거나 패킷 유실(drop)의 기능을 수행할 수 있다.
보안 유지를 위한 장치(120)는 가입자 단말(110)이 소정 도메인에 접속을 시도하기 위하여 전송하는 DNS 쿼리(query)를 통해 가입자 단말(110)의 식별 정보(예를 들어, IP 주소 등)를 수집하고, 가입자 단말(110)이 접속을 시도하는 도메인이 악성 도메인으로 판단된 경우에는 가입자 단말(110)이 악성 코드에 감염된 것으로 간주하여 수집된 식별 정보에 대응하는 가입자 단말(110)로 악성 코드에 대한 대응 방안을 제공할 수 있다.
또한, 보안 유지를 위한 장치(120)는 DNS 쿼리를 통해 수집된 식별 정보를 외부 기관, 예를 들어 식별 정보에 따라 악성 코드의 감염 여부를 알려주는 CBL(Composite Blockong List) 사이트 등에 전송하여 악성 코드이 감염 여부에 대한 응답을 수신하고, 수신된 응답에 따라 수집된 식별 정보에 대응하는 가입자 단말(110)로 악성 코드에 대한 대응 방안을 제공할 수도 있다.
도 2는 본 발명의 제 1실시예에 따른 보안 유지를 위한 장치가 도시된 블록도이다.
도시된 바와 같이, 본 발명의 제 1실시예에 따른 보안 유지를 위한 장치(120)는, 가입자 단말(110)의 식별 정보를 수집하는 식별 정보 수집부(121), 가입자 단말(110)이 접속을 시도하는 도메인이 악성 도메인인지를 판단하여 가입자 단말(110)이 악성 코드에 감염되었는지를 판단하는 악성 코드 감염 판단부(122), 악성 코드 감염 판단부(122)의 판단 결과에 따라 가입자 단말(110)에 악성 코드에 대한 대응 방안을 제공하는 대응 방안 제공부(123) 및 악성 도메인들의 리스트를 저장하는 악성 도메인 저장부(124)를 포함할 수 있다.
식별 정보 저장부(121)는 가입자 단말(110)이 소정 도메인에 접속을 시도하기 위하여 전송하는 DNS 쿼리를 분석하여 가입자 단말(110)에 대한 식별 정보를 수집할 수 있으며, 악성 코드 감염 판단부(122)는 가입자 단말(110)이 접속을 시도하는 도메인이 악성 도메인 저장부(124)에 저장된 악성 도메인들에 존재하는 경우 가입자 단말(110)이 해당 악성 도메인에서 유포되는 악성 코드에 감염되었을 가능성 이 높기 때문에 가입자 단말(110)이 해당 악성 도메인의 악성 코드에 감염된 것으로 할 수 있다.
이때, 악성 코드 감염 판단부(122)는 가입자 단말(110)이 접속을 시도하는 도메인이 악성 도메인 저장부(124)에 저장된 악성 도메인들에 존재하는 경우라도 실제로 사용 중인 악성 도메인이 아닌 경우에는 악성 코드에 감염되지 않은 것으로 판단할 수 있다. 이는 악성 도메인 저장부(124)에 저장된 악성 도메인들 중에는 실제로 인터넷망에 유입되는 악성 도메인이 아닌 경우도 있기 때문이다.
한편, 악성 코드 감염 판단부(122)는 가입자 단말(110)이 악성 도메인에 접속을 시도하는 것으로 판단되면, ISP 네트워크에서 유통되는 각 악성 도메인별 감염 식별 정보 현황과 각 식별 정보별 악성 도메인 감염 현황 등을 참조로 하여 가입자 단말(110)이 여러 개의 악성 코드에 중복 감염되었는지의 여부도 판단할 수 있다. 따라서, 후술할 대응 방안 제공부(123)에서도 가입자 단말(110)에 대한 대응 방안을 중복 감염된 다른 악성 코드에 대해서도 제공할 수 있게 된다.
악성 도메인 저장부(124)에 저장되는 악성 도메인들의 리스트는 다양한 경로를 통해 수집될 수 있으며, 주로 오프라인 수집 과정 및 새로운 분석 과정을 거쳐 수집될 수 있다. 일 예로, 악성 도메인 저장부(124)에 저장되는 악성 도메인들의 리스트는 보안 전문 기관에서 제공하는 악성 도메인 리스트, ISP(140) 내부에서 분석을 통해 수집된 악성 도메인들의 리스트 등에 의해 수집될 수 있다.
따라서, 악성 코드 감염 판단부(122)는 전술한 다양한 경로의 수집 과정을 통해 악성 도메인 저장부(124)에 저장된 악성 도메인들을 리스트를 참조로 하여 가 입자 단말(110)이 접속을 시도하는 도메인이 악성 도메인인지를 판단할 수 있는 것이다.
대응 방안 제공부(123)는 가입자 단말(110)이 접속을 시도하는 도메인이 악성 도메인으로 판단되어 악성 코드에 감염된 것으로 판단된 경우, 가입자 단말(110)로 악성 코드에 대한 대응 방안을 제공할 수 있다. 이때, 대응 방안 제공부(123)에서 제공하는 대응 방안에는 가입자 단말(110)이 접속하려는 악성 도메인 정보, 치료 방법 등이 포함될 수 있다. 또한, 대응 방안 제공부(123)는 악성 코에 감염된 것으로 판단된 가입자 단말(110)을 분류하여 관리할 수 있으며, 가입자 단말(110)을 분류하는 일 예는 표 1 및 표 2와 같다. 표 1은 개인 가입자에 대한 분류 방법의 일 예이고, 표 2는 기업 가입자에 대한 분류 방법의 일 예이다.
[표 1]
식별정보(IP) 가입자 정보 악성 도메인 치료 방법
xxx.xxx.xxx.xxx ADSL, A지역 B장비 AAA A백신
xxx.xxx.xxx.xxx FTTH, A지역 A장비 BBB A백신
xxx.xxx.xxx.xxx FTTH, A지역 C장비 CCC 치료방법 미개발
[표 2]
가입자명 식별정보(IP) 악성도메인 치료 방법
기업A xxx.xxx.xxx.xxx AAA A백신
xxx.xxx.xxx.xxx BBB A백신
xxx.xxx.xxx.xxx CCC 치료방법 미개발
기업B yy.yyy.yyy.yyy AAA A백신
yy.yyy.yyy.yyy BBB A백신
yy.yyy.yyy.yyy CCC 치료방법 미개발
전술한 표 1 및 표 2는 가입자 단말(110)이 소정의 악성 도메인에 접속을 시도하는 경우의 일 예이나, 전술한 바와 같이 가입자 단말(110)이 여러 개의 악성 코드에 중복으로 감염된 것으로 판단된 경우라면 전술한 표 1 및 표 2는 중복으로 감염된 악성 코드에 대해 각각 제공될 수 있다.
대응 방안 제공부(123)는 전술한 표 1 및 표 2와 같이 가입자를 분류하고 관리하며 악성 코드에 감염된 것으로 판단된 경우 그에 따른 대응 방안을 가입자 단말(110)로 제공하기 때문에 가입자의 입장에서는 접속을 시도하려는 도메인이 악성 도메인인 것을 알 수 있을뿐만 아니라, 악성 코드에 대한 치료 방법도 제공받을 수 있기 때문에 보안 유지에 미숙한 가입자라 할지라도 용이하게 보안을 유지할 수 있게 된다.
한편, 전술한 도 2의 보안 유지를 위한 장치(120)는 별도의 악성 도메인 수집 과정을 통해 수집된 악성 도메인들의 리스트를 통하여 가입자 단말(110)의 악성 코드 감염 여부를 판단하고, 판단 결과에 따라 대응 방안을 제공하는 경우의 일 예이며, 이에 한정되지 않고 식별 정보별로 악성 코드의 감염 여부를 알려주는 외부 기관으로부터의 제공받은 정보에 따라 악성 코드 감염 여부를 판단하고 그에 따른 대응 방안을 제공할 수도 있다.
도 3은 본 발명의 제 2실시예에 따른 보안 유지를 위한 장치가 도시된 블록도이다. 도 3은 전술한 도 2와는 달리 자체적으로 악성 도메인 저장부(124)가 구비되어 있지 않고 외부 기관(125)으로부터 수집된 식별 정보에 대한 악성 코드 감염 여부 확인을 요청하고 그 응답을 수신하여 가입자 단말(110)이 악성 코드에 감염되었는지를 판단하는 경우의 일 예로 이해될 수 있다.
도시된 바와 같이, 본 발명의 제 2실시예에 따른 보안 유지를 위한 장치(120)는 식별 정보 수집부(121), 악성 도메인 판단부(122), 위험 정보 제공부(123) 및 외부 기관(125)을 포함할 수 있다.
식별 정보 수집부(121)는 가입자 단말(110)이 소정 도메인에 접속을 시도하기 위하여 전송하는 DNS 쿼리를 분석하여 가입자 단말(110)의 식별 정보를 수집할 수 있다.
악성 코드 감염 판단부(122)는 식별 정보 수집부(121)를 통해 수집된 식별 정보를 외부 기관(125)으로 전송하여 전송한 식별 정보에 대응하는 가입자 단말(110)이 악성 코드에 감염되었는지에 대한 확인을 요청하고, 그에 따른 응답을 수신하여 가입자 단말(110)이 악성 코드에 감염되었는지를 판단할 수 있다.
즉, 전술한 도 2에서는 가입자 단말(110)이 접속을 시도하는 도메인이 악성 도메인인 경우에 대해 악성 코드에 감염되었을 가능성이 높으므로 악성 코드에 감염된 것으로 판단하여 그에 따른 대응 방안을 제공하는 것이며, 도 3에서는 소정 도메인으로 접속을 시도하는 모든 가입자 단말(110)의 식별 정보를 외부 기관(125)으로 전송하여 악성 코드의 감염 여부에 대한 확인을 요청하는 것이다.
한편, 악성 코드 감염 판단부(122)는 가입자 단말(110)이 악성 코드에 감염된 것으로 판단되면, ISP 네트워크에서 유통되는 각 악성 도메인별 감염 식별 정보 현황과 각 식별 정보별 악성 도메인 감염 현황 등을 참조로 하여 가입자 단말(110)이 여러 개의 악성 코드에 중복 감염되었는지의 여부도 판단할 수 있다. 따라서, 후술할 대응 방안 제공부(123)에서도 가입자 단말(110)에 대한 대응 방안을 중복 감염된 다른 악성 코드에 대해서도 제공할 수 있게 된다.
대응 방안 제공부(123)는 악성 코드 감염 여부 판단부(122)의 판단 결과에 따라 가입자 단말(110)이 악성 코드에 감염된 경우, 그에 따른 대응 방안, 예를 들 어 악성 코드 정보, 치료 방법 등을 제공할 수 있다. 또한, 대응 방안 제공부(123)는 악성 코드에 감염된 식별 정보에 대응하는 가입자 단말(110)을 분류하여 관리할 수 있으며, 가입자 단말(110)을 분류하는 일 예는 표 3 및 표 4와 같다.
[표 3]
식별정보(IP) 가입자 정보 악성 코드 치료 방법
xxx.xxx.xxx.xxx ADSL, A지역 B장비 aaa A백신
xxx.xxx.xxx.xxx FTTH, A지역 A장비 bbb A백신
xxx.xxx.xxx.xxx FTTH, A지역 C장비 ccc 치료방법 미개발
[표 4]
가입자명 식별정보(IP) 악성 코드 치료 방법
기업A xxx.xxx.xxx.xxx aaa A백신
xxx.xxx.xxx.xxx bbb A백신
xxx.xxx.xxx.xxx ccc 치료방법 미개발
기업B yy.yyy.yyy.yyy aaa A백신
yy.yyy.yyy.yyy bbb A백신
yy.yyy.yyy.yyy ccc 치료방법 미개발
전술한 표 3 및 표 4는 가입자 단말(110)이 소정의 악성 코드에 감염된 경우의 일 예이나, 전술한 바와 같이 가입자 단말(110)이 여러 개의 악성 코드에 중복으로 감염된 것으로 판단된 경우라면 전술한 표 3 및 표 4는 중복으로 감염된 악성 코드에 대해 각각 제공될 수 있다.
한편, 본 발명의 실시예에서는 도 2 및 도 3을 각각 설명하고 있으나, 이는 본 발명의 이해를 돕기 위한 일 예에 불과한 것으로 이에 한정되지 않고 도 2 및 도 3이 서로 병용될 수 있다. 예를 들어, 가입자 단말(110)이 접속을 시도하려는 도메인이 악성 도메인인지를 악성 도메인 저장부(124)에 저장된 악성 도메인들의 리스트를 통해 판단하고, 악성 도메인이 아닌 것으로 판단된 경우라도 외부 기관(125)으로 악성 코드 감염 여부에 대한 확인을 요청하여 가입자 단말(110)에게 적절한 대응 방안을 제공할 수 있도록 하는 것이다.
또한, 이와 반대로 외부 기관(125)에 먼저 악성 코드 감염 여부에 대한 확인을 요청한 다음, 악성 코드에 감염되지 않은 경우라도 악성 도메인 저장부(124)에 저장된 악성 도메인들의 리스트를 통해 가입자 단말(110)이 접속을 시도하는 도메인이 악성 도메인인지를 판단하여 그에 따른 대응 방안을 제공할 수도 있다.
이와 같이, 본 발명의 실시예에서는 보안 유지를 위한 장치(120)가 가입자 단말(110)의 가입자가 보안 유지에 대해 미숙하거나 보안 유지가 어려운 경우라 할지라도 가입자 단말(110)이 소정 도메인에 접속을 시도하기 위하여 전송하는 DNS 쿼리를 통해 가입자 단말(110)이 접속을 시도하는 도메인이 안전한 도메인인지, 악성 코드에 감염되었는지, 또는 악성 도메인이나 악성 코드에 감염된 경우 적절한 대응 방안을 제공할 수 있기 때문에 가입자의 편의가 향상될 수 있게 된다.
도 4는 본 발명의 제 1실시예에 따른 보안 유지를 위한 방법이 도시된 순서도이다. 이때, 도 4는 전술한 도 2의 보안 유지를 위한 장치(120)에 의한 방법으로 이해될 수 있으며, 사전에 악성 도메인 수집 과정을 거쳐 악성 도메인 저장부(124)에 저장된 경우를 예를 들어 설명하기로 하며, 도 4에는 도시되지 않았으나, 악성 도메인 저장부(124)에 저장된 악성 도메인들 중 실제 사용되는 악성 도메인을 판단하는 과정도 포함된 경우를 예를 들어 설명하기로 한다.
도시된 바와 같이, 본 발명의 제 1실시예에 따른 보안 유지를 위한 방법은 먼저 식별 정보 수집부(121)가 가입자 단말(110)이 소정 도메인에 접속을 시도하기 위하여 전송하는 DNS 쿼리를 통해 가입자 단말(110)의 식별 정보를 수집한다(S110).
악성 코드 감염 판단부(122)는 가입자 단말(110)이 접속을 시도하는 도메인이 악성 도메인인지를 악성 도메인 저장부(124)에 저장된 악성 도메인들의 리스트를 참조로 하여 판단하게 된다(S120).
가입자 단말(110)이 악성 도메인으로 접속을 하는 것으로 판단된 경우(S130), 악성 코드 감염 판단부(122)는 가입자 단말(110)이 악성 코드에 감염되었을 가능성이 높으므로 악성 코드에 감염된 것으로 판단하게 하고, 감염된 악성 코드에 대한 대응 방안을 제공하게 된다(S140)
한편, 도 4에서 가입자 단말(110)이 악성 도메인에 접속을 시도하는 것으로 판단되면, IPS(140)에서도 차후 가입자 단말(110)의 악성 도메인으로의 DNS 쿼리 패킷을 우회시키거나 유실시킬 수 있게 된다.
또한, 대응 방안은 개인 가입자에게는 백신을 제공할 수 있으며, 기업 가입자에게는 기업 보안 담당자에게 악성 도메인 정보 및 치료 정보를 제공할 수 있다.
도 5는 본 발명의 제 2실시예에 따른 보안 유지를 위한 방법이 도시된 순서도이다. 이때, 도 5는 전술한 도 3의 보안 유지를 위한 장치(120)에 의한 방법으로 이해될 수 있다.
도시된 바와 같이, 본 발명의 제 2실시예에 따른 보안 유지를 위한 방법은 먼저 식별 정보 수집부(121)가 가입자 단말(110)이 소정 도메인에 접속을 시도하기 위하여 전송하는 DNS 쿼리를 통해 가입자 단말(110)의 식별 정보를 수집한다(S210).
악성 코드 감염 판단부(122)는 외부 기관(125)으로 수집된 식별 정보를 전송 하여 수집된 식별 정보에 대응하는 가입자 단말(110)이 악성 코드에 감염되었는지의 여부에 대한 확인을 요청하고(S220), 외부 기관(125)로부터 악성 코드에 감염되었다는 응답을 받은 경우(S230), 대응 정보 제공부(123)는 수집된 식별 정보에 대응하는 가입자 단말(110)로 악성 코드 정보 및 치료 방법 등을 포함하는 대응 방안을 제공하게 된다(S240).
한편, 전술한 도 4 및 도 5의 보안 유지를 위한 방법도 전술한 도 2 및 도 3의 보안 유지를 위한 장치들과 마찬가지로 병용될 수 있다. 예를 들어, 가입자 단말(110)이 접속을 시도하려는 도메인이 악성 도메인인지를 악성 도메인 저장부(124)를 통해 판단하고, 악성 도메인이 아닌 경우라 할지라도 외부 기관 (125)으로 악성 코드 감염 여부에 대한 확인을 요청하여 사용자 단말(110)에게 적절한 대응 방안을 제공할 수 있도록 하는 것이다.
본 발명의 실시예에서는 보안 유지를 위한 장치(120)가 IPS(140) 전단에 설치되어야 바람직한데, 이는 IPS(140)가 이미 DNS 쿼리를 우회시키거나 유실킨시킨 경우 모든 DNS 쿼리를 분석하는 것이 어렵기 때문이다. 물론, 본 발명의 보안 유지를 위한 장치(120)가 IPS(140) 전단에 설치되는 것은 본 발명의 이해를 돕기 위한 일 예에 불과한 것으로, 이에 한정되지 않고 IPS(140) 후단에 설치된 경우라 할지라도 IPS(140)에서 DNS 쿼리를 우회시키거나 유실시키는 로그 정보 수집하거나 IPS(140)와 DNS 서버(130) 사이의 패킷 캡쳐를 통해 DNS 서버(140)로 유입되는 모든 DNS 쿼리의 분석을 수행할 수 있다.
한편, 본 실시예에서 사용되는 구성요소 또는 '~부'는 메모리 상의 소정 영 역에서 수행되는 태스크, 클래스, 서브 루틴, 프로세스, 오브젝트, 실행 쓰레드, 프로그램과 같은 소프트웨어(software)나, FPGA(field-programmable gate array)나 ASIC(application-specific integrated circuit)과 같은 하드웨어(hardware)로 구현될 수 있으며, 또한 상기 소프트웨어 및 하드웨어의 조합으로 이루어질 수도 있다. 상기 구성요소 또는 '~부'는 컴퓨터로 판독 가능한 저장 매체에 포함되어 있을 수도 있고, 복수의 컴퓨터에 그 일부가 분산되어 분포될 수도 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 벗어나지 않는 범위 내에서 여러 가지로 치환, 변형 및 변경이 가능하므로 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
도 1은 본 발명의 실시예에 따른 보안 유지를 위한 시스템이 도시된 블록도.
도 2는 본 발명의 제 1실시예에 따른 보안 유지를 위한 장치가 도시된 블록도.
도 3은 본 발명의 제 2실시예에 따른 보안 유지를 위한 장치가 도시된 블록도.
도 4는 본 발명의 제 1실시예에 따른 보안 유지를 위한 방법이 도시된 순서도.
도 5는 본 발명의 제 2실시예에 따른 보안 유지를 위한 방법이 도시된 순서도.
<도면의 주요 부분에 대한 설명>
110: 가입자 단말
120: 보안 유지를 위한 장치
121: 식별 정보 수집부
122: 악성 코드 감염 판단부
123: 대응 방안 제공부
124: 악성 도메인 저장부
125: 외부 기관
130: DNS 서버
140: IPS
150: 스위치

Claims (16)

  1. 소정 도메인에 접속을 시도하는 가입자 단말의 식별 정보를 수집하는 식별 정보 수집부;
    상기 식별 정보에 대응하는 가입자 단말이 악성 코드에 감염되었는지 여부를 판단하는 악성 코드 감염 판단부; 및
    상기 판단 결과에 따라 상기 가입자 단말로 상기 악성 코드에 대한 대응 방안을 제공하는 대응 방안 제공부를 포함하는 보안 유지를 위한 장치.
  2. 제 1 항에 있어서,
    상기 식별 정보 수집부는 상기 가입자 단말로부터 전송되는 DNS 쿼리를 분석하여 상기 식별 정보를 수집하는 보안 유지를 위한 장치.
  3. 제 1 항에 있어서,
    상기 악성 코드 감염 판단부는 상기 가입자 단말이 접속을 시도하는 상기 도메인에 따라 상기 가입자 단말의 악성 코드 감염 여부를 판단하는 보안 유지를 위한 장치.
  4. 제 3 항에 있어서,
    악성 도메인들의 리스트를 저장하는 악성 도메인 저장부를 더 포함하는 보안 유지를 위한 장치.
  5. 제 4 항에 있어서,
    상기 악성 코드 감염 판단부는 상기 가입자 단말이 접속을 시도하는 도메인이 상기 리스트에 존재하는 경우 상기 악성 코드에 감염된 것으로 판단하는 보안 유지를 위한 장치.
  6. 제 5 항에 있어서,
    상기 대응 방안 제공부는 악성 도메인 정보 및 치료 방법을 포함하는 상기 대응 방안을 제공하는 보안 유지를 위한 장치.
  7. 제 1 항에 있어서,
    상기 악성 코드 감염 판단부는
    상기 식별 정보를 외부 기관에 전송하여 상기 식별 정보에 대응하는 가입자 단말이 악성 코드에 감염되었는지의 여부에 대한 확인을 요청하고, 상기 요청에 따른 응답에 따라 상기 가입자 단말의 악성 코드 감염 여부를 판단하는
    보안 유지를 위한 장치.
  8. 제 7 항에 있어서,
    상기 대응 방안 제공부는 악성 코드 정보 및 치료 방법을 포함하는 상기 대 응 방안을 제공하는 보안 유지를 위한 장치.
  9. 소정 도메인에 접속을 시도하는 가입자 단말의 식별 정보를 수집하는 단계;
    상기 식별 정보에 대응하는 가입자 단말이 악성 코드에 감염되었는지의 여부를 판단하는 단계; 및
    상기 판단 결과에 따라 상기 가입자 단말로 상기 악성 코드에 대한 대응 방안을 제공하는 단계를 포함하는 보안 유지를 위한 방법.
  10. 제 9 항에 있어서,
    상기 식별 정보는 상기 가입자 단말로부터 전송되는 DNS 쿼리를 분석하여 수집되는 보안 유지를 위한 방법.
  11. 제 9 항에 있어서,
    상기 악성 코드 감염 여부를 판단하는 단계는 상기 가입자 단말이 접속을 시도하는 상기 도메인에 따라 상기 가입자 단말의 악성 코드 감염 여부를 판단하는 단계를 포함하는 보안 유지를 위한 방법.
  12. 제 11 항에 있어서,
    악성 도메인들의 리스트를 저장하는 단계를 더 포함하는 보안 유지를 위한 방법.
  13. 제 12 항에 있어서,
    상기 악성 코드 감염 여부를 판단하는 단계는 상기 가입자 단말이 접속을 시도하는 도메인이 상기 리스트에 존재하는 경우 상기 악성 코드에 감염된 것으로 판단하는 단계를 포함하는 보안 유지를 위한 방법.
  14. 제 13 항에 있어서,
    상기 대응 방안은 악성 도메인 정보 및 치료 방법을 포함하는 보안 유지를 위한 방법.
  15. 제 9 항에 있어서,
    상기 악성 코드 감염 여부를 판단하는 단계는 상기 식별 정보를 외부 기관에 전송하여 상기 식별 정보에 대응하는 가입자 단말이 악성 코드에 감염되었는지의 여부에 대한 확인을 요청하고, 상기 요청에 따른 응답에 따라 상기 가입자 단말의 악성 코드 감염 여부를 판단하는 단계를 포함하는 보안 유지를 위한 방법.
  16. 제 15 항에 있어서,
    상기 대응 방안은 악성 코드 정보 및 치료 방법을 포함하는 보안 유지를 위한 방법.
KR1020090126230A 2009-12-17 2009-12-17 보안 유지를 위한 장치 및 방법 KR20110069481A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090126230A KR20110069481A (ko) 2009-12-17 2009-12-17 보안 유지를 위한 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090126230A KR20110069481A (ko) 2009-12-17 2009-12-17 보안 유지를 위한 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20110069481A true KR20110069481A (ko) 2011-06-23

Family

ID=44401299

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090126230A KR20110069481A (ko) 2009-12-17 2009-12-17 보안 유지를 위한 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20110069481A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019500712A (ja) * 2015-11-30 2019-01-10 シマンテック コーポレーションSymantec Corporation ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019500712A (ja) * 2015-11-30 2019-01-10 シマンテック コーポレーションSymantec Corporation ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法

Similar Documents

Publication Publication Date Title
US9762543B2 (en) Using DNS communications to filter domain names
US10212134B2 (en) Centralized management and enforcement of online privacy policies
US8375120B2 (en) Domain name system security network
EP2147390B1 (en) Detection of adversaries through collection and correlation of assessments
US7854001B1 (en) Aggregation-based phishing site detection
US8561188B1 (en) Command and control channel detection with query string signature
US10135785B2 (en) Network security system to intercept inline domain name system requests
US9027128B1 (en) Automatic identification of malicious budget codes and compromised websites that are employed in phishing attacks
KR101217647B1 (ko) 특정 소스/목적지 ip 어드레스 쌍들에 기초한 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
KR101067781B1 (ko) 타겟 희생자 자체-식별 및 제어에 의해 ip 네트워크들에서 서비스 거부 공격들에 대한 방어 방법 및 장치
CN102404741B (zh) 移动终端上网异常检测方法和装置
US8656154B1 (en) Cloud based service logout using cryptographic challenge response
US11165817B2 (en) Mitigation of network denial of service attacks using IP location services
CN114598525A (zh) 一种针对网络攻击的ip自动封禁的方法和装置
US20210314355A1 (en) Mitigating phishing attempts
Xiong et al. User-assisted host-based detection of outbound malware traffic
Varre et al. A secured botnet prevention mechanism for HTTP flooding based DDoS attack
US11683337B2 (en) Harvesting fully qualified domain names from malicious data packets
Erickson et al. No one in the middle: Enabling network access control via transparent attribution
KR20110069481A (ko) 보안 유지를 위한 장치 및 방법
Jansky et al. Hunting sip authentication attacks efficiently
Hasegawa et al. An automated ACL generation system for secure internal network
US11539741B2 (en) Systems and methods for preventing, through machine learning and access filtering, distributed denial of service (“DDoS”) attacks originating from IoT devices
Sato et al. An Evaluation on Feasibility of a Communication Classifying System

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination