KR20110131627A - Apparatus for detecting malicious code using structure and characteristic of file, and terminal thereof - Google Patents

Apparatus for detecting malicious code using structure and characteristic of file, and terminal thereof Download PDF

Info

Publication number
KR20110131627A
KR20110131627A KR1020100051161A KR20100051161A KR20110131627A KR 20110131627 A KR20110131627 A KR 20110131627A KR 1020100051161 A KR1020100051161 A KR 1020100051161A KR 20100051161 A KR20100051161 A KR 20100051161A KR 20110131627 A KR20110131627 A KR 20110131627A
Authority
KR
South Korea
Prior art keywords
file
malicious code
information
terminal device
unit
Prior art date
Application number
KR1020100051161A
Other languages
Korean (ko)
Inventor
윤장홍
김인중
서인석
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100051161A priority Critical patent/KR20110131627A/en
Publication of KR20110131627A publication Critical patent/KR20110131627A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/13File access structures, e.g. distributed indices
    • G06F16/137Hash-based
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)

Abstract

PURPOSE: A malicious code diagnostic/recovery device and terminal device for the same are provided to prevent a malicious code by comparing a file structure of a terminal device and characteristic of the terminal device. CONSTITUTION: A file transceiver(610) receives file information about the modified file from terminal devices. A file comparator(620) compares file information of the terminal device. A malicious code diagnosis unit(630) determines the terminal device to the terminal device which is infected with the malicious code. A system recovery unit(640) recovers an OS(Operating System) of the infected terminal device to the previous OS.

Description

악성 코드 진단 및 복구 장치, 그리고 이를 위한 단말 장치{Apparatus for Detecting Malicious Code Using Structure and Characteristic of File, and Terminal Thereof}Apparatus for Detecting Malicious Code Using Structure and Characteristic of File, and Terminal Thereof}

본 발명은 악성 코드 진단 및 복구 장치에 관한 것으로, 더욱 상세하게는 다수의 단말 장치로 구성되는 단위 그룹에서 비슷한 시점에 보안 패치 등이 적용된 내부 단말 장치들이 거의 동일한 파일 구조 및 특성을 가진다는 사실에 기반하여 하나의 단말 장치가 다수의 단말 장치와 다른 파일 구조 및 특성을 가지는 경우, 이를 악성 코드에 따른 침입으로 간주하는 악성 코드 진단 및 복구 장치, 그리고 이를 위한 단말 장치에 관한 것이다.
The present invention relates to an apparatus for diagnosing and recovering malicious codes. More particularly, the present invention relates to the fact that internal terminal devices to which security patches and the like are applied at a similar point in a unit group composed of a plurality of terminal devices have almost the same file structure and characteristics. If one terminal device has a different file structure and characteristics than a plurality of terminal devices, it relates to a malicious code diagnosis and recovery device that considers this as an intrusion due to malicious code, and a terminal device for the same.

인터넷의 발달로 인하여 대부분의 컴퓨터는 네트워크에 연결되어 사용되고 있다. 이에 따라, 개인들은 인터넷을 통하여 각종 정보를 수집하고, 이메일을 통해 정보를 상호 교환하며, 원거리에 있는 친구들과 채팅 및 화상회의를 할 수 있게 되었다. 하지만, 인터넷 상에서 컴퓨터는 악성 코드에 감염될 수 있고, 이로 인해 컴퓨터 내의 개인정보를 포함하는 각종 정보가 유출될 수 있다. 나아가, 이러한 악성 코드는 컴퓨터의 운영체제에 이상을 발생시켜 더 이상 시스템을 사용하지 못하게 할 수도 있다.Due to the development of the Internet, most computers are connected to a network. As a result, individuals can collect various information over the Internet, exchange information via email, and chat and videoconference with remote friends. However, a computer may be infected with malicious code on the Internet, and thus, various information including personal information in the computer may be leaked. In addition, these malicious codes can cause problems with the computer's operating system and prevent them from using the system anymore.

이를 해결하기 위해, 최근에는 악성 코드 및 해킹을 방지하기 위한 대책으로서, 각종 정보보호시스템이 운영되고 있다. 정보보호시스템은 침입탐지시스템 및 침입차단시스템 등을 통해 전산기 그룹 내부로 접근해오는 불법 패킷 및 악성 코드 등을 차단하고, 악성 코드에 감염된 전산기에 대해서는 백신 프로그램을 이용하여 악성 코드를 치료한다. 하지만, 종래의 정보보호시스템은 일정한 룰 또는 패턴을 기반으로 동작하게 되므로, 규칙을 벗어나지 않거나 인지되지 않은 악성 코드에 대해서는 무방비 상태로 노출되는 것이 현실이다. 이를 위해, 능동적으로 룰 또는 패턴을 개발하여 적용하는 기법을 많이 사용하고 있으나, 일정 기간이 경과하면 성능이 더욱 향상된 악성 코드가 나타나서 효율성이 떨어지고 있다.In order to solve this problem, as a countermeasure for preventing malicious codes and hacking in recent years, various information protection systems have been operated. The information protection system blocks illegal packets and malicious codes that come into the computer group through intrusion detection systems and intrusion blocking systems, and uses malicious programs to treat malicious codes by using a vaccine program. However, since the conventional information protection system operates based on a predetermined rule or pattern, it is a reality that malicious information that is not deviated from the rule or is not recognized is defenseless. To this end, a number of techniques are actively used to develop and apply rules or patterns, but after a certain period of time, more efficient malicious code appears to decrease efficiency.

도 1 내지 도 3은 종래의 정보보호시스템에서 분산서비스공격에 의한 시스템 장애 발생 과정을 설명하기 위한 도면이다.1 to 3 are diagrams for describing a process of generating a system failure by a distributed service attack in a conventional information security system.

도 1을 참조하면, 정해진 룰 또는 패턴을 벗어나는 악성 코드는 침입차단시스템(110) 및 침입탐지시스템(120)을 우회하여 내부 단말 그룹(130)으로 들어온다.Referring to FIG. 1, malicious codes that deviate from a predetermined rule or pattern enter the internal terminal group 130 by bypassing the intrusion prevention system 110 and the intrusion detection system 120.

도 2를 참조하면, 일부 단말 장치(132)는 악성 코드에 감염되고, 악성 코드에 감염되지 않은 단말 장치(134)는 정상적으로 시스템 및 사용자 환경을 업데이트한다. 이때, 백신 서버(150)가 가동되고 있다 하더라도, 악성 코드가 업데이트 정보로 가장하고 있기 때문에, 다수의 단말 장치 중 악성 코드에 감염된 단말 장치(132)를 식별해내고 악성 코드를 제거하기는 매우 어렵다.Referring to FIG. 2, some terminal devices 132 are infected with malicious codes, and terminal devices 134 not infected with malicious codes normally update the system and the user environment. At this time, even if the antivirus server 150 is running, since the malicious code is disguised as update information, it is very difficult to identify the terminal device 132 infected with the malicious code among a plurality of terminal devices and to remove the malicious code. .

도 3을 참조하면, 악성 코드는 다수의 단말 장치(132)를 감염시킨 후, 악성 코드에 감염된 다수의 단말 장치(132)의 시스템 파일을 변조시키거나 트로이 목마를 시스템 내에 은닉시켜 일정 시간이 경과한 후에, 악성 코드에 감염된 다수의 단말 장치(132)가 주요 정보를 유출시키거나 분산서비스공격(Distributed Denial of Service: 이하, 'DDoS'라 칭함)과 같은 대량의 패킷을 발생시켜 운용 서버(140)를 마비시키고 시스템 장애를 일으키게 된다.Referring to FIG. 3, a malicious code infects a plurality of terminal devices 132 and then modulates a system file of a plurality of terminal devices 132 infected with a malicious code or hides a Trojan horse in a system. Afterwards, a plurality of terminal devices 132 infected with malicious code leak main information or generate a large amount of packets such as a distributed denial of service attack (hereinafter, referred to as 'DDoS') to operate the server 140. Paralysis) and system failure.

즉, 최근의 공격기법은 네트워크 및 전산기의 구조적인 취약성을 이용하여 수일 동안 정상적인 서비스의 지연을 불러 일으키고, 특정 사이트를 공격하기 위해 해커들이 서비스 공격을 위한 악성 코드를 여러 컴퓨터에 분산 설치한 후, 공격 대상 시스템이 처리할 수 없을 정도의 엄청난 분량의 패킷을 동시다발적으로 발생시켜 네트워크의 성능 저하나 시스템의 마비를 초래하고 있다. 가장 대표적인 해킹 방법이 DDoS 공격인데, 대규모 시스템을 운영하고 있는 웹서버, 관리서버 및 DB서버 등의 각종 서버들과 라우터 및 방화벽 등의 네트워크 장비에 임의로 조작된 엄청난 양의 공격성 트래픽을 전송하여 시스템 자체를 지연 혹은 마비시켜 더 이상의 서비스를 할 수 없게 한다. 특히, 이러한 공격기법은 매우 단순하면서도 파급효과가 큰 반면, 이를 위한 효과적인 대책이 마련되지 못하고 있다. 따라서, 최근 공격은 단순 절도형에서 대규모 시스템을 공격하기 위한 방법으로 진화되고 있고, 사이버전의 목적을 수행하는 강력한 도구로 개발되어 국가적인 대응이 절실히 요구되고 있다.In other words, recent attack techniques use network and computer structural vulnerabilities to cause normal service delay for several days, and hackers distribute malicious code for service attack to various computers to attack specific sites. It generates massive amounts of packets that cannot be handled by the target system simultaneously, resulting in network performance degradation or system paralysis. The most typical hacking method is DDoS attack, which transmits a huge amount of arbitrarily manipulated aggressive traffic to various servers such as web servers, management servers, and DB servers, and network devices such as routers and firewalls. Delay or paralyze further services. In particular, while the attack technique is very simple but has a large ripple effect, no effective countermeasures have been prepared. Therefore, recent attacks have evolved from simple theft to attack large-scale systems, and have been developed as a powerful tool to carry out the purpose of cyber warfare.

이를 위해, 대규모 패킷에 대한 방어 관련 연구가 활발하게 이루어지고 있는데, 가장 기본적인 방법은 라우터에서 의심되는 트래픽에 대하여 별도의 공간으로 모이게 한 후, 해당 트래픽을 폐기시키는 기법이다. 하지만, 별도의 공간에 악성 코드 외에 정상적인 트래픽도 포함될 수 있기 때문에 적절한 해결책이 될 수 없다. 또한, 필터링을 통한 방법의 경우, 일반적인 프로토콜을 사용하여 공격하는 방법에는 효과적이지 않다. 또한, 대다수 침입차단시스템은 DDoS 방어 기능을 가지고 있지만, 대용량의 트래픽에 견디기 힘들고, 악성 코드를 탐지하는 것도 알려진 형태에 한정되므로, 실시간으로 모든 공격과 침해를 막아낼 수 없다. 또한, 부하 분산 조정, 이중화 및 삼중화를 통해 네트워크의 대역폭을 높이는 경우도 있지만, 결국 비용대비 효과 면에서 비효율적이고, 단기적인 해결책에 불과하다.To this end, defense-related research on large packets is being actively conducted. The most basic method is a method of gathering suspect traffic from a router into a separate space and then discarding the traffic. However, it can not be a proper solution because it can contain normal traffic in addition to malicious code in a separate space. Also, the filtering method is not effective for attacking using a general protocol. In addition, most intrusion prevention systems have DDoS protection, but it is difficult to withstand a large amount of traffic, and the detection of malicious code is limited to known forms, and thus, it is impossible to prevent all attacks and breaches in real time. In some cases, the network bandwidth can be increased through load balancing, redundancy, and redundancy, but this is a cost-effective and short-term solution.

일부 제시된 방법은 통신 침묵을 통해 좀비 단말 장치들이 활동하는 것을 확인하는 방법, 시스템에 승인되지 않은 프로세스가 동작하는 것을 확인하는 방법 및 대규모 패킷이 발생하고 있는 원천 IP를 차단하는 방법 등을 포함하는 다양한 방법들이 제시되고 있으나, 지능화된 악성 코드들은 이러한 방법들을 피해가고 있다. 또한, 악성 코드가 일정 시간 동안 계속해서 침묵하거나, 프로세스에 등록되지 않고 활동하거나, 원천 IP를 계속해서 바꾸어 보내는 경우에 대해서는 사실상 대응이 불가능하다.
Some suggested methods include various methods, including how to verify that zombie terminal devices are active by communicating silence, how to verify that unauthorized processes are running on the system, and how to block source IPs from which large packets are occurring. While methods have been suggested, intelligent malware is bypassing these methods. In addition, it is virtually impossible to respond to malicious code that continues to be silent for a period of time, behave unregistered in a process, or constantly change its source IP.

본 발명은 상기한 바와 같은 문제점을 해결하기 위하여 안출된 것으로서, 침입탐지시스템, 침입차단시스템 및 백신 등으로 해결할 수 없는 악성 코드를 진단하고, 시스템을 복구하는 악성 코드 진단 및 복구 장치, 그리고 이를 위한 단말 장치를 제공하는 데 그 목적이 있다.
The present invention has been made to solve the problems as described above, and diagnoses the malicious code that can not be solved by intrusion detection system, intrusion prevention system and vaccine, and the like, and a device for diagnosing and recovering malicious code for recovering the system, and The purpose is to provide a terminal device.

이와 같은 목적을 달성하기 위한 본 발명은, 다수의 단말 장치로부터 수정된 파일에 대한 파일 정보를 수신하는 파일 송수신부; 상기 다수의 단말 장치의 파일 정보를 비교하는 파일 비교부; 상기 파일 비교부의 비교 결과, 상기 다수의 단말 장치 중에 다른 단말 장치와 상이한 파일 정보를 가진 단말 장치가 존재하는 경우, 상이한 파일 정보를 가진 단말 장치를 악성 코드에 감염된 것으로 판단하는 악성 코드 진단부; 및 상기 악성 코드 진단부의 판단 결과, 악성 코드에 감염된 단말 장치가 발견된 경우, 악성 코드에 감염된 단말 장치로부터 악성 코드에 감염된 파일을 제거하고, 상기 악성 코드에 감염된 단말 장치의 운영체제를 이전의 운영체제로 복구하는 시스템 복구부를 포함하는 악성 코드 진단 및 복구 장치를 제공한다.The present invention for achieving the above object, File transmission and reception unit for receiving file information on the modified file from a plurality of terminal devices; A file comparison unit comparing file information of the plurality of terminal devices; A malicious code diagnosis unit that determines that a terminal device having different file information is infected with a malicious code when a terminal device having different file information from other terminal devices exists among the plurality of terminal devices; And when the terminal device infected with the malicious code is found as a result of the determination of the malicious code diagnosis unit, removes the file infected with the malicious code from the terminal device infected with the malicious code and replaces the operating system of the terminal device infected with the malicious code with the previous operating system. It provides a malicious code diagnosis and recovery device including a system recovery unit for recovering.

또한, 본 발명은, 다수의 파일의 수정 이력을 관리하는 파일 이력 관리부; 수정된 파일에 대한 파일 정보를 저장하는 파일 저장부; 및 상기 파일 저장부에 저장된 파일 정보를 악성 코드를 진단하는 악성 코드 진단 및 복구 장치로 전송하는 파일 송수신부; 및 상기 악성 코드 진단 및 복구 장치의 요청시 악성 코드에 감염된 파일의 동작을 차단하는 악성 코드 차단부를 포함하는 단말 장치를 제공한다.
In addition, the present invention, the file history management unit for managing the modification history of a plurality of files; A file storage unit for storing file information on the modified file; And a file transceiving unit configured to transmit file information stored in the file storage unit to a malicious code diagnosing and repairing device for diagnosing malicious code. And it provides a terminal device including a malicious code blocking unit for blocking the operation of the file infected with malicious code at the request of the malicious code diagnosis and recovery device.

이상에서 설명한 바와 같이 본 발명에 의하면, 다수의 단말 장치의 파일 구조 및 특성을 비교하여 악성 코드의 감염 여부를 판단하는 악성 코드 진단 및 복구 장치, 그리고 이를 위한 단말 장치를 제공함으로써, 기존에 밝혀지지 않은 악성 코드에 대해서도 예방이 가능하고, 매번 악성 코드에 대한 패턴 업데이트를 하지 않아도 악성 코드를 발견할 수 있는 효과가 있다.As described above, the present invention provides a malicious code diagnosis and repair device for determining whether a malicious code is infected by comparing file structures and characteristics of a plurality of terminal devices, and a terminal device therefor. Even malicious code can be prevented and malicious code can be found without updating the pattern of malicious code every time.

또한, DDoS 공격에 가담하는 전산기를 사전에 차단함으로써, 국가적이고 세계적인 DDoS 대응 불능성을 해소하여 선의적인 관리 체계를 가동할 수 있다.In addition, by blocking the computer that participates in the DDoS attack in advance, it is possible to solve the national and global inability to respond to the DDoS and operate a well-intentioned management system.

또한, 인지되지 않은 악성 코드를 사전에 탐지하고 차단함으로써, 전산기의 안전도를 높이고, 이에 따른 자료 보안 및 외부 공격 차단 등과 같이 기존의 정보보호시스템에서 해결되지 못한 부분을 완벽하게 해결할 수 있다.
In addition, by detecting and blocking unrecognized malicious code in advance, it is possible to improve the safety of the computer and to completely solve the parts not solved in the existing information protection system such as data security and external attack prevention.

도 1 내지 도 3은 종래의 정보보호시스템에서 분산서비스공격에 의한 시스템 장애 발생 과정을 설명하기 위한 도면,
도 4는 본 발명의 일실시예에 따른 정보보호시스템의 구성을 나타낸 도면,
도 5는 본 발명의 일실시예에 따른 단말 장치 내부의 구성을 개략적으로 나타낸 블럭 구성도,
도 6은 본 발명의 일실시예에 따른 악성 코드 진단 및 단말 장치 내부의 구성을 개략적으로 나타낸 블럭 구성도,
도 7 내지 도 9는 본 발명의 일실시예에 따른 정보보호시스템에서 분산서비스공격시 대응 과정을 설명하기 위한 도면이다.1 to 3 are diagrams for explaining a system failure generation process by a distributed service attack in a conventional information security system,
4 is a diagram showing the configuration of an information protection system according to an embodiment of the present invention;
5 is a block diagram schematically illustrating a configuration of a terminal device according to an embodiment of the present invention;
6 is a block diagram schematically illustrating a malicious code diagnosis and a configuration of a terminal device according to an embodiment of the present invention;
7 to 9 are diagrams for explaining a response process when a distributed service attack in the information protection system according to an embodiment of the present invention.

다수의 단말 장치에 있어서 대부분의 변경된 파일들은 업데이트 또는 패치에 의하여 변경되므로 변경 내용이 같다. 따라서, 변경 내용이 다른 파일을 가지고 있는 단말 장치의 경우, 악성 코드가 심어져 있다고 의심할 수 있다. 본 발명의 일실시예에서는 상기와 같은 원리에 의해 악성 코드를 감지한다.In many terminal devices, since most of the changed files are changed by an update or a patch, the changes are the same. Therefore, in the case of a terminal device having a file whose change is different, it can be suspected that malicious code is planted. In one embodiment of the present invention, malicious code is detected by the above principle.

이하, 본 발명의 일실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
Hereinafter, an embodiment of the present invention will be described in detail with reference to the accompanying drawings. In addition, in describing the present invention, when it is determined that the detailed description of the related well-known configuration or function may obscure the gist of the present invention, the detailed description thereof will be omitted.

도 4는 본 발명의 일실시예에 따른 정보보호시스템의 구성을 나타낸 도면이다.4 is a diagram showing the configuration of an information protection system according to an embodiment of the present invention.

도 4를 참조하면, 본 발명에 따른 정보보호시스템은 컴퓨터, 노트북, 휴대폰 및 스마트폰 등을 포함한 다수의 단말 장치(410), 악성 코드 진단 및 복구 장치(420), 침입탐지시스템(430), 침입차단시스템(440), 운용 서버(450), 백신 서버(460) 및 인증 및 암호화 서버(470) 등을 포함한다.Referring to FIG. 4, the information protection system according to the present invention includes a plurality of terminal devices 410 including a computer, a notebook computer, a mobile phone, and a smartphone, a malicious code diagnosis and recovery device 420, an intrusion detection system 430, Intrusion prevention system 440, operation server 450, vaccine server 460 and authentication and encryption server 470, and the like.

다수의 단말 장치(410)는 장치 내 모든 파일의 수정 이력을 관리한다. 자세하게는, 다수의 단말 장치(410)는 임시 파일을 제외한 시스템 파일, 작업 파일, 업데이트 파일 및 쿠키 등을 포함하는 파일의 변동 사항을 주기적으로 확인하고, 수정된 파일에 대한 로그 즉, 파일 정보를 주기적으로 업데이트하여 저장하며, 저장된 파일 정보를 악성 코드 진단 및 복구 장치(420)로 전송한다. 본 발명에 따른 다수의 단말 장치(410)의 자세한 구성에 대해서는 도 5에서 설명하기로 한다.The plurality of terminal devices 410 manages modification history of all files in the device. In detail, the plurality of terminal devices 410 periodically checks for changes in files including system files, work files, update files, cookies, and the like except for temporary files, and checks the log of the modified files, that is, file information. It is periodically updated and stored, and transmits the stored file information to the malicious code diagnosis and repair device 420. A detailed configuration of the plurality of terminal devices 410 according to the present invention will be described with reference to FIG. 5.

악성 코드 진단 및 복구 장치(420)는 다수의 단말 장치(410)로부터 파일 정보를 수신하고, 다수의 단말 장치(410)의 파일 정보의 중복성, 유사성 및 파일 속성 동을 비교하여 다른 단말 장치와 상이한 파일 정보를 가진 단말 장치가 존재하는 경우, 해당 단말 장치가 악성 코드에 감염된 것으로 판단한다.The malicious code diagnosis and recovery apparatus 420 receives file information from the plurality of terminal devices 410, compares the redundancy, similarity, and file attribute of the file information of the plurality of terminal devices 410 to be different from other terminal devices. If a terminal device with file information exists, it is determined that the terminal device is infected with malicious code.

또한, 악성 코드 진단 및 복구 장치(420)는 악성 코드에 감염된 단말 장치를 발견한 경우, 악성 코드에 감염된 단말 장치를 격리시키고, 악성 코드에 감염된 단말 장치가 더 이상 좀비 단말 장치로 동작하지 않도록 해야한다. 이를 위해, 악성 코드 진단 및 복구 장치(420)는 악성 코드에 감염된 단말 장치로부터 악성 코드에 감염된 파일을 제거하고, 악성 코드에 감염된 단말 장치의 운영체제를 이전의 운영체제로 복구한다.In addition, when the malicious code diagnosis and repair device 420 finds a terminal device infected with malicious code, the malicious code infected terminal device must be quarantined, and the terminal device infected with the malicious code no longer operates as a zombie terminal device. do. To this end, the malicious code diagnosis and recovery apparatus 420 removes the file infected with the malicious code from the terminal device infected with the malicious code, and restores the operating system of the terminal device infected with the malicious code to the previous operating system.

이와 더불어, 악성 코드 진단 및 복구 장치(420)는 악성 코드에 감염된 파일 정보를 침입차단시스템(430), 칩임탐지시스템(440) 및 백신 서버(460)로 제공하여 악성 코드에 감염된 단말 장치와 관련된 트래픽을 차단하고, 악성 코드의 확산을 방지할 수 있다. 본 발명에 따른 악성 코드 진단 및 복구 장치(420)의 자세한 구성에 대해서는 도 6에서 설명하기로 한다.In addition, the malicious code diagnosis and repair device 420 provides the file information infected with the malicious code to the intrusion prevention system 430, the chip detection system 440, and the antivirus server 460, and thus, the terminal device infected with the malicious code. It can block traffic and prevent the spread of malicious code. Detailed configuration of the apparatus for diagnosing and repairing malicious code 420 according to the present invention will be described with reference to FIG. 6.

침입탐지시스템(430)은 악성 코드를 차단하기 위한 기설정된 룰 또는 패턴을 저장한다. 본 발명에 따른 침입탐지시스템(430)은 악성 코드와 관련하여 악성 코드 진단 및 복구 장치(420)로부터 새로운 룰을 제공받을 수 있다.Intrusion detection system 430 stores a predetermined rule or pattern for blocking malicious code. The intrusion detection system 430 according to the present invention may be provided with a new rule from the malicious code diagnosis and repair device 420 with respect to malicious code.

침입차단시스템(440)은 침입탐지시스템(430)에 저장된 기설정된 룰 또는 패턴에 따라 악성 코드를 차단한다.The intrusion prevention system 440 blocks malicious code according to a predetermined rule or pattern stored in the intrusion detection system 430.

운용 서버(450)는 대규모 시스템을 운용하고 있는 웹서버, 관리서버, DB 서버 등을 포함하는 각종 서버이다.Operation server 450 is a variety of servers including a web server, a management server, a DB server and the like operating a large-scale system.

백신 서버(460)는 악성 코드를 치료하기 위한 백신 프로그램을 제공한다. 본 발명에 따른 백신 서버(460)는 악성 코드 진단 및 복구 장치(420)로부터 악성 코드에 감염된 파일 정보를 수신하여 백신 프로그램을 업데이트하고, 모든 단말 장치의 전 시스템에 대한 점검을 수행한다.The vaccine server 460 provides an vaccine program for treating malicious code. The vaccine server 460 according to the present invention receives file information infected with malicious code from the malicious code diagnosis and repair device 420, updates the vaccine program, and checks the entire system of all terminal devices.

인증 및 암호화 서버(470)는 악성 코드 진단 및 복구 장치(420)의 전단에 설치되어, 다수의 단말 장치(410)와 악성 코드 진단 및 복구 장치(420) 간에 비화 통신을 수행하기 위한 별도의 통신 프로토콜 및 운영체제를 제공한다. 이에 따라, 악성 코드 진단 및 복구 장치(420)는 단말 장치와의 통신을 제외한 다른 통신은 모두 차단한다.
The authentication and encryption server 470 is installed in front of the malicious code diagnosis and recovery device 420, and separate communication for performing secret communication between the plurality of terminal devices 410 and the malicious code diagnosis and recovery device 420. Provide protocols and operating systems. Accordingly, the malicious code diagnosis and recovery apparatus 420 blocks all communication except for communication with the terminal device.

도 5는 본 발명의 일실시예에 따른 단말 장치 내부의 구성을 개략적으로 나타낸 블럭 구성도이다.5 is a block diagram schematically illustrating a configuration of a terminal device according to an embodiment of the present invention.

도 5를 참조하면, 본 발명에 따른 단말 장치(410)는 파일 이력 관리부(510), 파일 저장부(520), 파일 송수신부(530) 및 악성 코드 차단부(540) 등을 포함한다.Referring to FIG. 5, the terminal device 410 according to the present invention includes a file history managing unit 510, a file storing unit 520, a file transmitting and receiving unit 530, a malicious code blocking unit 540, and the like.

파일 이력 관리부(510)는 다수의 파일의 수정 이력을 관리한다. 즉, 파일 이력 관리부(510)는 임시 파일을 제외한 시스템 파일, 작업 파일, 업데이트 파일, 쿠키 등을 포함하는 다수의 파일의 변동사항을 확인하고, 수정된 파일에 대한 로그를 지속적으로 업데이트한다.The file history manager 510 manages modification histories of a plurality of files. That is, the file history manager 510 checks changes of a plurality of files including system files, work files, update files, cookies, and the like except for temporary files, and continuously updates the log of the modified files.

파일 저장부(520)는 수정된 파일에 대한 파일 정보를 저장한다. 여기서, 파일 정보는 파일명, 파일크기, 생성일자, 수정일자, 접근일자, 파일 전체 해쉬값, 폴더 경로 정보, 파일 시작 패턴, EXE/DLL 파일 제어 정보, 외부 함수 접근 정보 및 가상 실행에 따른 네트워크 및 시스템 접근 기록 등을 포함한다.The file storage unit 520 stores file information about the modified file. Here, the file information includes file name, file size, creation date, modification date, access date, file total hash value, folder path information, file start pattern, EXE / DLL file control information, external function access information, and network according to virtual execution. System access records.

파일 송수신부(530)는 파일 저장부(520)에 저장된 파일 정보를 악성 코드 진단 및 복구 장치(420)로 전송한다. 여기서, 파일 송수신부(530)는 특정 파일의 시스템 시간 확인시, 특정 파일에 대한 파일 정보를 악성 코드 진단 및 복구 장치(420)로 전송할 수 있다. 이는, 악성 코드에 감염되거나 트로이 목마가 숨겨져 있는 파일은 잠복을 수행하고, 동시 다발성 공격을 위해 시스템 시간을 확인하기 때문이다.The file transceiving unit 530 transmits the file information stored in the file storage unit 520 to the malicious code diagnosis and recovery device 420. Here, the file transceiving unit 530 may transmit file information on the specific file to the malicious code diagnosis and repair device 420 when checking the system time of the specific file. This is because files infected with malicious code or hidden Trojans perform latencies and check system time for simultaneous multiple attacks.

악성 코드 차단부(540)는 악성 코드 진단 및 복구 장치(420)의 요청에 따라 악성 코드에 감염된 파일의 동작을 차단한다.
The malicious code blocking unit 540 blocks an operation of a file infected with malicious code in response to a request of the malicious code diagnosis and repair device 420.

또한, 본 발명에 따른 단말 장치(410)는 해쉬함수 계산부(550), 보안 관리부(560) 및 파일 탐색부(570) 등을 더 포함할 수 있다.In addition, the terminal device 410 according to the present invention may further include a hash function calculator 550, a security manager 560, a file search unit 570, and the like.

해쉬함수 계산부(550)는 수정된 파일에 대하여 해쉬함수 계산을 수행한다. 이를 이용하여, 파일 이력 관리부(510)는 해쉬함수를 이용하여 다수의 파일의 수정 이력을 관리할 수 있고, 파일 저장부(520)는 수정된 파일에 대한 파일 정보와 함께 수정된 파일에 대응하는 해쉬값을 저장하며, 파일 송수신부(530)는 수정된 파일에 대한 파일 정보와 함께 해쉬값을 악성 코드 진단 및 복구 장치(420)로 전송할 수 있다.The hash function calculation unit 550 performs a hash function calculation on the modified file. Using this, the file history manager 510 may manage the modification history of a plurality of files by using a hash function, and the file storage unit 520 may correspond to the modified file together with the file information about the modified file. The hash value is stored, and the file transceiving unit 530 may transmit the hash value along with the file information on the modified file to the malicious code diagnosis and repair device 420.

보안 관리부(560)는 기설정된 기간이 경과한 파일(예를 들면, 워드, 엑셀, 파워포인트 등을 포함하는 각종 문서 파일)을 암호화하여 저장하고, 암호화된 파일의 암호화키를 악성 코드 진단 및 복구 장치(420)에 저장하며, 암호화된 파일의 사용자 열람시, 악성 코드 진단 및 복구 장치(420)에 저장된 암호화키를 이용하여 암호화된 파일을 복호화한다. 이에 따라, 단말 장치(410)에 오랫동안 저장된 파일의 유출을 방지할 수 있다.The security manager 560 encrypts and stores files (eg, various document files including Word, Excel, PowerPoint, etc.) that have passed a predetermined period of time, and diagnoses and recovers an encryption key of the encrypted file. Stored in the device 420, the user decrypts the encrypted file using the encryption key stored in the malicious code diagnosis and recovery device 420 when the user views the encrypted file. Accordingly, it is possible to prevent the leakage of the file stored in the terminal device 410 for a long time.

파일 탐색부(570)는 검색어를 이용한 파일 검색 기능을 제공하고, 불필요한 파일의 삭제 또는 백업 기능을 제공한다. 따라서, 단말 장치(410)의 사용자는 자신이 원하는 파일을 검색어를 이용하여 검색할 수 있고, 불필요한 파일을 삭제 또는 백업할 수 있다.
The file search unit 570 provides a file search function using a search word, and provides a function of deleting or backing up unnecessary files. Accordingly, the user of the terminal device 410 may search for a file desired by the user using a search word, and delete or back up unnecessary files.

도 6은 본 발명의 일실시예에 따른 악성 코드 진단 및 복구 장치 내부의 구성을 개략적으로 나타낸 블럭 구성도이다.6 is a block diagram schematically illustrating a configuration of an apparatus for diagnosing and recovering malicious codes according to an embodiment of the present invention.

도 6을 참조하면, 본 발명에 따른 악성 코드 진단 및 복구 장치(420)는 파일 송수신부(610), 파일 비교부(620), 악성 코드 진단부(630) 및 시스템 복구부(640) 등을 포함한다.Referring to FIG. 6, the apparatus for diagnosing and recovering malicious codes 420 according to the present invention may include a file transceiving unit 610, a file comparator 620, a malicious code diagnosing unit 630, and a system recovering unit 640. Include.

파일 송수신부(610)는 다수의 단말 장치(410)로부터 수정된 파일에 대한 파일 정보를 수신하고, 수신한 파일 정보를 파일별로 정리한다. 여기서, 파일 송수신부(610)는 별도의 프로토콜 및 운영체제를 이용하여 다수의 단말 장치(410)와 비화 통신을 수행한다. 자세하게는, 다수의 단말 장치(410)와 악성 코드 진단 및 복구 장치(420)에 인증 및 암호화 서버(470)가 위치하고, 파일 송수신부(610)가 인증 및 암호화 서버(470)를 통하여 다수의 단말 장치(410)와 비화 통신을 수행한다.The file transceiver 610 receives file information on the modified file from the plurality of terminal devices 410 and organizes the received file information for each file. Here, the file transceiver 610 performs secret communication with the plurality of terminal devices 410 using a separate protocol and an operating system. In detail, the authentication and encryption server 470 is located in the plurality of terminal devices 410 and the malicious code diagnosis and recovery device 420, and the file transmission / reception unit 610 is connected to the plurality of terminals through the authentication and encryption server 470. Perform secret communication with the device 410.

파일 비교부(620)는 다수의 단말 장치(410)의 파일 정보를 비교한다. 이때, 파일 비교부(620)는 파일 정보를 비교하는 시간을 단축하기 위해 파일 정보에 대응하는 해쉬값을 이용하여 다수의 단말 장치(410)의 파일 정보를 비교할 수 있다.The file comparison unit 620 compares file information of the plurality of terminal devices 410. In this case, the file comparison unit 620 may compare the file information of the plurality of terminal devices 410 using a hash value corresponding to the file information in order to shorten the time for comparing the file information.

악성 코드 진단부(630)는 파일 비교부(620)의 비교 결과, 다수의 단말 장치(410) 중에 다른 단말 장치와 상이한 파일 정보를 가진 단말 장치가 존재하는지 여부를 판단하고, 다른 단말 장치와 상이한 파일 정보를 가진 단말 장치가 존재하는 경우, 상이한 파일 정보를 가진 단말 장치를 악성 코드에 감염된 것으로 판단한다.The malicious code diagnosis unit 630 determines whether there is a terminal device having file information different from that of other terminal devices among the plurality of terminal devices 410 as a result of the comparison of the file comparison unit 620. If a terminal device with file information exists, it is determined that the terminal device with different file information is infected with malicious code.

시스템 복구부(640)는 악성 코드 진단부(630)의 판단 결과, 악성 코드에 감염된 단말 장치가 발견된 경우, 악성 코드에 감염된 단말 장치를 격리시키기 위해 악성 코드에 감염된 단말 장치로부터 악성 코드에 감염된 파일을 제거하고, 악성 코드에 감염된 단말 장치의 운영체제를 이전의 운영체제로 복구한다. 이와 더불어, 시스템 복구부(640)는 악성 코드가 다른 단말 장치로 전파되지 않도록 악성 코드의 발생을 알리는 예방 메시지를 다수의 단말 장치(410)로 전송할 수도 있다.
As a result of the determination by the malicious code diagnosis unit 630, the system recovery unit 640 detects the terminal device infected with the malicious code, so as to isolate the terminal device infected with the malicious code, the system recovery unit 640 is infected with the malicious code from the terminal device infected with the malicious code. Remove the file and restore the operating system of the terminal device infected with the malicious code to the previous operating system. In addition, the system recovery unit 640 may transmit a prevention message indicating the occurrence of the malicious code to the plurality of terminal devices 410 so that the malicious code does not propagate to other terminal devices.

도 7 내지 도 9는 본 발명의 일실시예에 따른 정보보호시스템에서 분산서비스공격시 대응 과정을 설명하기 위한 도면이다.7 to 9 are diagrams for explaining a response process when a distributed service attack in the information protection system according to an embodiment of the present invention.

도 7을 참조하면, 다수의 단말 장치(410)는 장치 내 모든 파일의 수정 이력을 관리하고, 수정된 파일에 대한 파일 정보를 악성 코드 진단 및 복구 장치(420)로 전송한다.Referring to FIG. 7, a plurality of terminal devices 410 manages modification history of all files in the device and transmits file information on the modified files to the malicious code diagnosis and recovery device 420.

악성 코드 진단 및 복구 장치(420)는 다수의 단말 장치(410)로부터 파일 정보를 수신하고, 다수의 단말 장치(410)의 파일 정보의 중복성, 유사성 및 파일 속성 등을 비교하여 다른 단말 장치와 상이한 파일 정보를 가진 단말 장치가 존재하는 경우, 상이한 파일 정보를 가진 단말 장치를 악성 코드에 감염된 것으로 판단한다.The malicious code diagnosis and recovery apparatus 420 receives file information from the plurality of terminal devices 410, compares the redundancy, similarity, file attributes, and the like of the file information of the plurality of terminal devices 410 to be different from other terminal devices. If a terminal device with file information exists, it is determined that the terminal device with different file information is infected with malicious code.

도 8을 참조하면, 악성 코드 진단 및 복구 장치(420)는 내부망 내에 악성 코드에 감염된 단말 장치가 존재하는 경우, 해당 단말 장치로부터 악성 코드에 감염된 파일을 제거하고, 해당 단말 장치의 시스템을 이전 시스템 파일로 복구한다. 이와 동시에, 악성 코드 진단 및 복구 장치(420)는 다수의 단말 장치(410)에 대해 업데이트 또는 패치 파일을 원격으로 실행할 수도 있다.Referring to FIG. 8, when there is a terminal device infected with malicious code in the internal network, the malicious code diagnosis and repair device 420 removes a file infected with malicious code from the terminal device and transfers the system of the terminal device. Restore to a system file. At the same time, the malicious code diagnosis and repair apparatus 420 may remotely execute an update or patch file for the plurality of terminal devices 410.

도 9를 참조하면, 악성 코드 진단 및 복구 장치(420)는 악성 코드를 인지한 후, 침입탐지시스템(430) 및 침입차단시스템(440)으로 새로운 룰을 제공하고, 백신 서버(460)로 악성 코드에 감염된 파일 정보를 제공한다. 이에, 백신 서버(460)는 악성 코드에 감염된 파일 정보를 반영하여 백신 프로그램을 업데이트하고, 다수의 단말 장치(410)의 전 시스템에 대해서 점검을 수행한다.
Referring to FIG. 9, after recognizing malicious code, the malicious code diagnosing and repairing device 420 provides a new rule to the intrusion detecting system 430 and the intrusion blocking system 440, and provides the malicious code to the antivirus server 460. Provides file information infected with code. Accordingly, the antivirus server 460 updates the antivirus program by reflecting the file information infected with the malicious code, and checks the entire system of the plurality of terminal devices 410.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
The above description is merely illustrative of the technical idea of the present invention, and those skilled in the art to which the present invention pertains may make various modifications and variations without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention but to describe the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas falling within the scope of the same shall be construed as falling within the scope of the present invention.

410: 다수의 단말 장치 420: 악성 코드 진단 및 복구 장치
430: 침입탐지시스템 440: 침입차단시스템
450: 운용 서버 460: 백신 서버
470: 인증 및 암호화 서버 510: 파일 이력 관리부
520: 파일 저장부 530: 파일 송수신부
540: 악성 코드 차단부 550: 해쉬함수 계산부
560: 보안 관리부 570: 파일 탐색부
610: 파일 송수신부 620: 파일 비교부
630: 악성 코드 진단부 640: 시스템 복구부410: a plurality of terminal devices 420: malware diagnosis and repair device
430: intrusion detection system 440: intrusion prevention system
450: production server 460: antivirus server
470: authentication and encryption server 510: file history management unit
520: File storage unit 530: File transceiver
540: malware blocking unit 550: hash function calculation unit
560: security management unit 570: file search unit
610: file transceiver 620: file comparison unit
630: malware diagnosis unit 640: system recovery unit

Claims (10)

다수의 단말 장치로부터 수정된 파일에 대한 파일 정보를 수신하는 파일 송수신부;
상기 다수의 단말 장치의 파일 정보를 비교하는 파일 비교부;
상기 파일 비교부의 비교 결과, 상기 다수의 단말 장치 중에 다른 단말 장치와 상이한 파일 정보를 가진 단말 장치가 존재하는 경우, 상이한 파일 정보를 가진 단말 장치를 악성 코드에 감염된 것으로 판단하는 악성 코드 진단부; 및
상기 악성 코드 진단부의 판단 결과, 악성 코드에 감염된 단말 장치가 발견된 경우, 악성 코드에 감염된 단말 장치로부터 악성 코드에 감염된 파일을 제거하고, 상기 악성 코드에 감염된 단말 장치의 운영체제를 이전의 운영체제로 복구하는 시스템 복구부;
를 포함하는 악성 코드 진단 및 복구 장치.
A file transceiving unit which receives file information on the modified file from a plurality of terminal devices;
A file comparison unit comparing file information of the plurality of terminal devices;
A malicious code diagnosis unit that determines that a terminal device having different file information is infected with a malicious code when a terminal device having different file information from other terminal devices exists among the plurality of terminal devices; And
As a result of the determination of the malicious code diagnosis unit, when the terminal device infected with the malicious code is found, the file infected with the malicious code is removed from the terminal device infected with the malicious code, and the operating system of the terminal device infected with the malicious code is restored to the previous operating system. A system recovery unit;
Malware diagnostic and repair device comprising a.
제1항에 있어서,
상기 파일 정보는 파일명, 파일크기, 생성일자, 수정일자, 접근일자, 파일 전체 해쉬값, 폴더 경로 정보, 파일 시작 패턴, EXE/DLL 파일 제어 정보, 외부 함수 접근 정보 및 가상 실행에 따른 네트워크 및 시스템 접근 기록 중 적어도 하나를 포함하는 것을 특징으로 하는 악성 코드 진단 및 복구 장치.
The method of claim 1,
The file information includes file name, file size, creation date, modification date, access date, file total hash value, folder path information, file start pattern, EXE / DLL file control information, external function access information, and network and system according to virtual execution. And at least one of an access record.
제1항에 있어서,
상기 파일 비교부는 상기 파일 정보에 대응하는 해쉬값을 이용하여 상기 다수의 단말 장치의 파일 정보를 비교하는 것을 특징으로 하는 악성 코드 진단 및 복구 장치.
The method of claim 1,
And the file comparison unit compares file information of the plurality of terminal devices using a hash value corresponding to the file information.
제1항에 있어서,
상기 파일 송수신부는 별도의 프로토콜 및 운영체제를 이용하여 상기 다수의 단말 장치와 비화 통신을 수행하는 것을 특징으로 하는 악성 코드 진단 및 복구 장치.
The method of claim 1,
The file transceiving unit is a malicious code diagnosis and recovery device, characterized in that for performing the communication with the plurality of terminal devices using a separate protocol and operating system.
다수의 파일의 수정 이력을 관리하는 파일 이력 관리부;
수정된 파일에 대한 파일 정보를 저장하는 파일 저장부; 및
상기 파일 저장부에 저장된 파일 정보를 악성 코드를 진단하는 악성 코드 진단 및 복구 장치로 전송하는 파일 송수신부; 및
상기 악성 코드 진단 및 복구 장치의 요청시 악성 코드에 감염된 파일의 동작을 차단하는 악성 코드 차단부;
를 포함하는 단말 장치.
A file history manager for managing modification histories of a plurality of files;
A file storage unit for storing file information on the modified file; And
A file transmitting / receiving unit which transmits the file information stored in the file storage unit to a malicious code diagnosis and recovery device for diagnosing malicious code; And
A malicious code blocking unit that blocks an operation of a file infected with a malicious code at the request of the malicious code diagnosis and recovery device;
Terminal device comprising a.
제5항에 있어서,
상기 파일 정보는 파일명, 파일크기, 생성일자, 수정일자, 접근일자, 파일 전체 해쉬값, 폴더 경로 정보, 파일 시작 패턴, EXE/DLL 파일 제어 정보, 외부 함수 접근 정보 및 가상 실행에 따른 네트워크 및 시스템 접근 기록 중 적어도 하나를 포함하는 것을 특징으로 하는 단말 장치.
The method of claim 5,
The file information includes file name, file size, creation date, modification date, access date, file total hash value, folder path information, file start pattern, EXE / DLL file control information, external function access information, and network and system according to virtual execution. And at least one of access records.
제5항에 있어서,
상기 수정된 파일에 대하여 해쉬함수 계산을 수행하는 해쉬함수 계산부;
를 더 포함하는 것을 특징으로 하는 단말 장치.
The method of claim 5,
A hash function calculator for performing a hash function calculation on the modified file;
Terminal device characterized in that it further comprises.
제5항에 있어서,
기설정된 기간이 경과한 파일을 암호화하여 저장하고, 암호화된 파일의 암호화키를 상기 악성 코드 진단 및 복구 장치에 저장하며, 암호화된 파일의 사용자 열람시, 상기 악성 코드 진단 및 복구 장치에 저장된 암호화키를 이용하여 상기 암호화된 파일을 복호화하는 보안 관리부;
를 더 포함하는 것을 특징으로 하는 단말 장치.
The method of claim 5,
Encrypts and saves the file after a preset period of time, stores the encryption key of the encrypted file in the malicious code diagnosis and recovery device, and encrypts the file stored in the malicious code diagnosis and recovery device when a user browses the encrypted file. A security manager that decrypts the encrypted file by using;
Terminal device characterized in that it further comprises.
제5항에 있어서,
검색어를 이용한 파일 검색 기능을 제공하고, 불필요한 파일의 삭제 또는 백업 기능을 제공하는 파일 탐색부;
를 더 포함하는 것을 특징으로 하는 단말 장치.
The method of claim 5,
A file search unit that provides a file search function using a search word and provides a function of deleting or backing up unnecessary files;
Terminal device characterized in that it further comprises.
제5항에 있어서,
상기 파일 송수신부는 특정 파일의 시스템 시간 확인시, 상기 특정 파일에 대한 파일 정보를 상기 악성 코드 진단 및 복구 장치로 전송하는 것을 특징으로 하는 단말 장치.
The method of claim 5,
The file transmitting and receiving unit, when checking the system time of a specific file, the terminal device, characterized in that for transmitting the file information on the malicious code diagnosis and recovery device.
KR1020100051161A 2010-05-31 2010-05-31 Apparatus for detecting malicious code using structure and characteristic of file, and terminal thereof KR20110131627A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100051161A KR20110131627A (en) 2010-05-31 2010-05-31 Apparatus for detecting malicious code using structure and characteristic of file, and terminal thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100051161A KR20110131627A (en) 2010-05-31 2010-05-31 Apparatus for detecting malicious code using structure and characteristic of file, and terminal thereof

Publications (1)

Publication Number Publication Date
KR20110131627A true KR20110131627A (en) 2011-12-07

Family

ID=45499964

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100051161A KR20110131627A (en) 2010-05-31 2010-05-31 Apparatus for detecting malicious code using structure and characteristic of file, and terminal thereof

Country Status (1)

Country Link
KR (1) KR20110131627A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101427412B1 (en) * 2014-04-17 2014-08-08 (주)지란지교소프트 Method and device for detecting malicious code for preventing outflow data
KR101512456B1 (en) * 2013-12-24 2015-04-16 한국인터넷진흥원 METHOD FOR RELOADING OS THROUGH network ON ANALYSIS SYTEM OF MALICIOUS CODE BASED ON CULTURE
KR101710684B1 (en) * 2015-09-10 2017-03-02 (주) 세인트 시큐리티 System and method of recovering operating system anayzing malicious code not operating in virtual environment
KR20190043679A (en) * 2017-10-19 2019-04-29 주식회사 케이티 User device, method and authentication server for performing authentication process of hidden code
KR102006232B1 (en) * 2018-12-18 2019-08-01 한국인터넷진흥원 Method and apparatus for detecting a device abnormality symptom through comprehensive analysis of a plurality of pieces of device information
KR20210027939A (en) * 2019-09-03 2021-03-11 국민대학교산학협력단 Serch device and serch method based on hash code

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101512456B1 (en) * 2013-12-24 2015-04-16 한국인터넷진흥원 METHOD FOR RELOADING OS THROUGH network ON ANALYSIS SYTEM OF MALICIOUS CODE BASED ON CULTURE
KR101427412B1 (en) * 2014-04-17 2014-08-08 (주)지란지교소프트 Method and device for detecting malicious code for preventing outflow data
KR101710684B1 (en) * 2015-09-10 2017-03-02 (주) 세인트 시큐리티 System and method of recovering operating system anayzing malicious code not operating in virtual environment
KR20190043679A (en) * 2017-10-19 2019-04-29 주식회사 케이티 User device, method and authentication server for performing authentication process of hidden code
KR102006232B1 (en) * 2018-12-18 2019-08-01 한국인터넷진흥원 Method and apparatus for detecting a device abnormality symptom through comprehensive analysis of a plurality of pieces of device information
US11336671B2 (en) 2018-12-18 2022-05-17 Korea Internet & Security Agency Method and apparatus for detecting anomaly in a plurality of devices by collectively analyzing information on devices
KR20210027939A (en) * 2019-09-03 2021-03-11 국민대학교산학협력단 Serch device and serch method based on hash code

Similar Documents

Publication Publication Date Title
EP3462698B1 (en) System and method of cloud detection, investigation and elimination of targeted attacks
US10305919B2 (en) Systems and methods for inhibiting attacks on applications
US9256739B1 (en) Systems and methods for using event-correlation graphs to generate remediation procedures
KR101057432B1 (en) System, method, program and recording medium for detection and blocking the harmful program in a real-time throught behavior analysis of the process
WO2018156800A1 (en) System and method to prevent, detect, thwart and recover automatically from ransomware cyber attacks
Xu et al. Data-provenance verification for secure hosts
CN113660224A (en) Situation awareness defense method, device and system based on network vulnerability scanning
Kurniawan et al. Detection and analysis cerber ransomware based on network forensics behavior
Gupta et al. Taxonomy of cloud security
KR20110131627A (en) Apparatus for detecting malicious code using structure and characteristic of file, and terminal thereof
Raghuvanshi et al. Internet of Things: Security vulnerabilities and countermeasures
Lee et al. Rcryptect: Real-time detection of cryptographic function in the user-space filesystem
BalaGanesh et al. Smart devices threats, vulnerabilities and malware detection approaches: a survey
Pitney et al. A systematic review of 2021 microsoft exchange data breach exploiting multiple vulnerabilities
Thakur et al. Ransomware: Threats, identification and prevention
CN113660222A (en) Situation awareness defense method and system based on mandatory access control
Roshandel et al. LIDAR: a layered intrusion detection and remediationframework for smartphones
CN113824678B (en) System, method, and non-transitory computer readable medium for processing information security events
Choi et al. A study on analysis of malicious code behavior information for predicting security threats in new environments
Zaimy et al. A review of hacking techniques in IoT systems and future trends of hacking on IoT environment
Sandhu et al. A study of the novel approaches used in intrusion detection and prevention systems
Prathyusha et al. A study on cloud security issues
Regi et al. Case study on detection and prevention methods in zero day attacks
Reti et al. Deep down the rabbit hole: On references in networks of decoy elements
Rajaallah et al. Intrusion Detection Systems: To an Optimal Hybrid Intrusion Detection System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application