KR20120037547A - 악성 패킷 차단 방법 및 시스템 - Google Patents

악성 패킷 차단 방법 및 시스템 Download PDF

Info

Publication number
KR20120037547A
KR20120037547A KR1020100099064A KR20100099064A KR20120037547A KR 20120037547 A KR20120037547 A KR 20120037547A KR 1020100099064 A KR1020100099064 A KR 1020100099064A KR 20100099064 A KR20100099064 A KR 20100099064A KR 20120037547 A KR20120037547 A KR 20120037547A
Authority
KR
South Korea
Prior art keywords
packet
buffer
computer
security chip
contents
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020100099064A
Other languages
English (en)
Other versions
KR101208642B1 (ko
Inventor
김준모
나연묵
방성일
Original Assignee
단국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 단국대학교 산학협력단 filed Critical 단국대학교 산학협력단
Priority to KR1020100099064A priority Critical patent/KR101208642B1/ko
Publication of KR20120037547A publication Critical patent/KR20120037547A/ko
Application granted granted Critical
Publication of KR101208642B1 publication Critical patent/KR101208642B1/ko
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

악성 패킷 차단 방법에 있어서, 컴퓨터가 네트워크로부터 수신 패킷을 수신하는 단계; 보안 칩이 상기 수신 패킷을 모니터링하여 동일한 내용이 반복되면 해당 수신 패킷을 상기 보안 칩의 버퍼에 저장하는 단계; 상기 컴퓨터가 상기 네트워크로 송신 패킷을 송신하는 단계; 및 상기 보안 칩이 상기 버퍼에 저장된 상기 수신 패킷과 상기 송신 패킷의 내용의 동일성을 비교하는 단계를 포함한다.

Description

악성 패킷 차단 방법 및 시스템 {METHOD AND SYSTEM FOR PREVENTING MALICIOUS PACKET}
개시된 기술은 악성 패킷 차단 방법 및 시스템에 관한 것이다.
DDOS(Distribute Denial of Service) 해킹으로 인한 피해액이 2009년에 최소 360억 이상이라는 보고서가 현대 경제 연구소에서 발표되었다. DDOS 공격의 대부분은 웜(Worm) 바이러스를 통한 좀비 컴퓨터를 확보하여 목표 서버에 일시적으로 패킷을 무제한 발생하게 한다.
웜 전파에 대응하기 위한 다양한 방법이 존재하는데, 대부분의 방법들은 네트워크상에서 웜을 전파하는 패킷들이 전송되는 과정 및 경로를 차단하는 것이다. 웜 전파에 대해 개개의 컴퓨터 및 서버가 직접적으로 대응할 수 있는 방법은 없기 때문이다. 개개의 컴퓨터 및 서버에 웜 전파 패킷들이 유입되면 그들은 좀비 컴퓨터(Zombie Computer)가 되고, 좀비 컴퓨터로부터 네트워크로 웜 전파 패킷들이 다량 방출된다. 좀비 컴퓨터에 의한 피라미드식 전파가 웜 전파의 기본방식이다.
종래에는 네트워크에서 웜 바이러스를 전파하는 패킷들이 전송되는 과정 및 경로를 차단하기 위하여 주로 사람이 감시하며, 일단 감염된 PC등에 대한 조처는 고려하지 않았다. 네트워크에서 패킷을 전송되는 과정을 차단해도, 좀비 컴퓨터는 남아 있으며, 컴퓨터 사용자는 좀비 컴퓨터라는 사실을 모르는 경우가 많다. 따라서 근본적으로 패킷을 발송하는 좀비 컴퓨터의 확산을 막아야 제2차, 제3차 공격을 막을 수 있다. 좀비 컴퓨터가 자가 진단으로 적절한 보안 조치를 취하면 웜 바이러스의 감염을 줄일 수 있다.
개시된 기술이 이루고자 하는 기술적 과제는, 사용자의 컴퓨터가 웜에 감염되더라도 좀비 컴퓨터가 되지 않도록 하는 데 있다.
또한, 개시된 기술이 이루고자 하는 기술적 과제는, 유입되는 패킷과 전송하는 패킷을 비교하는 독립적인 하드웨어 구조를 만들어, 컴퓨터가 감염되더라도 보안을 위한 최소한의 기능은 유지할 수 있게 하는 데 있다.
상기의 기술적 과제를 이루기 위해 개시된 기술의 제 1 측면은, 악성 패킷 차단 방법에 있어서, 컴퓨터가 네트워크로부터 수신 패킷을 수신하는 단계; 보안 칩이 상기 수신 패킷을 모니터링하여 동일한 내용이 반복되면 해당 수신 패킷을 상기 보안 칩의 버퍼에 저장하는 단계; 상기 컴퓨터가 상기 네트워크로 송신 패킷을 송신하는 단계; 및 상기 보안 칩이 상기 버퍼에 저장된 상기 수신 패킷과 상기 송신 패킷의 내용의 동일성을 비교하는 단계를 포함한다.
상기의 기술적 과제를 이루기 위해 개시된 기술의 제 2 측면은, 악성 패킷 차단 시스템에 있어서, 네트워크로부터 수신 패킷을 수신하고 송신 패킷을 송신하는 컴퓨터; 및 상기 수신 패킷을 모니터링하여 동일한 내용이 반복되면 해당 수신 패킷을 버퍼에 저장하고, 상기 송신 패킷과 상기 버퍼에 저장된 상기 수신 패킷의 내용의 동일성을 비교하는 보안 칩을 포함한다.
개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
개시된 기술에 따르면, 컴퓨터에 입력된 패킷과 출력된 패킷을 비교하고, 일정한 시간범위 내에서 두 패킷이 동일하면 웜 바이러스 감염을 의심하고, 규정된 보안 절차를 진행할 수 있다.
또한, 개시된 기술에 따르면, 개개의 컴퓨터 및 서버에 웜 전파 패킷들이 유입될 때, 해당 컴퓨터가 직접적으로 대응을 하지 못하거나 웜 바이러스에 감염이 되었더라도, 자기 자신이 좀비 컴퓨터가 되지 않도록 할 수 있다.
또한, 개시된 기술에 따르면, DDOS 해킹 피해액을 줄일 수 있고, 사용자가 자신의 컴퓨터의 웜 바이러스를 알아낼 수 있다.
도 1은 종래의 컴퓨터와 네트워크의 통신을 나타내는 도면이다.
도 2는 종래의 웜 바이러스 감염 형태를 나타내는 도면이다.
도 3은 개시된 기술의 일 실시예에 따른 악성 패킷 차단 방법을 나타내는 도면이다.
도 4는 개시된 기술의 일 실시예에 따른 악성 패킷 차단 시스템을 나타내는 블록도이다.
도 5는 개시된 기술의 일 실시예에 따른 악성 패킷 차단 방법을 나타내는 순서도이다.
도 6은 개시된 기술의 일 실시예에 따른 악성 패킷 차단 방법을 나타내는 순서도이다.
개시된 기술에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 개시된 기술의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 개시된 기술의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 개시된 기술이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
도 1은 종래의 컴퓨터와 네트워크의 통신을 나타내는 도면이다. 도 1을 참조하면, 컴퓨터는 네트워크에 접속하여 서버와 통신을 하게 된다. 하나의 컴퓨터에 웜 전파 패킷이 유입되면, 잠시 후 좀비 컴퓨터(Zombie Computer)가 된 컴퓨터는 유입된 패킷과 같은 웜 전파 패킷을 방출하게 된다. 좀비 컴퓨터는 악성 코드에 감염된 컴퓨터를 의미한다.
도 2는 종래의 웜 바이러스 감염 형태를 나타내는 도면이다. 도 2를 참조하면, 컴퓨터가 네트워크로부터 수신한 수신 패킷과 컴퓨터가 네트워크로 송신한 송신 패킷이 동일하면 웜 바이러스 감염을 의심할 수 있다. 일 예로서, 수신 패킷과 송신 패킷의 일부인 'for(int i=0,1... if you are zombie...crash and distory'가 동일하게 존재하는 경우에 웜 바이러스 감염을 의심할 수 있다. 다른 일 예로서, 수신 패킷 전체와 송신 패킷 전체가 'for(int i=0,1... if you are zombie...crash and distory FF54 32A2 7ABC CAAA MOV EAX EAC 256792'로 동일한 경우에도 웜 바이러스 감염을 의심할 수 있다.
도 3은 개시된 기술의 일 실시예에 따른 악성 패킷 차단 방법을 나타내는 도면이다. 도 3을 참조하면, 보안 칩은 컴퓨터가 네트워크로부터 수신된 수신 패킷을 모니터링하여, 동일한 패킷들이 반복적으로 유입되면 웜 전파를 위한 패킷으로 의심하고, 의심된 패킷이 포함되는 코드를 보안 칩의 버퍼에 저장한다. 일 예로서, 도 3에 나타난 'for(int i=0,1... if you are zombie...crash and distory'는 패킷이 포함하는 코드 중 일부를 나타내는 것이다. 동일한 패킷들이 반복적으로 유입되는 것을 모니터링하는 데 있어, 패킷의 모든 내용을 비교할 필요 없이, 일부 내용만 비교함으로써 실행 시간 소모를 줄일 수 있다. 또한, 컴퓨터가 수신하는 패킷이 동일한 패킷인지 비교하는 동작은 보안 칩이 수행한다. 여기에서, 보안 칩은 별도의 장치로서 컴퓨터의 메인 프로세서와 메인 메모리 등이 감염되어도 영향받지 않고 악성 패킷의 방출을 중단시킬 수 있게 한다.
보안 칩은 컴퓨터에서 네트워크로 송신되는 송신 패킷과 버퍼에 저장된 패킷을 비교하여 동일한지 판단한다. 보안 칩은 동일성을 판단하여, 동일성이 있는 경우에 웜 바이러스 감염을 의심할 수 있다. 또한, 보안 칩은 웜 바이러스 감염이 의심되는 패킷을 사용자에게 알려 보안 절차를 진행하게 할 수 있다. 일 예로서, 도 3에 나타난 패킷이 포함하는 코드 중 일부인 'for(int i=0,1... if you are zombie...crash and distory'가 동일하여도 웜 바이러스 감염을 의심할 수 있다. 보안 칩은 웜 전파 패킷인 것으로 판단한 경우에 사용자에게 팝업(pop-up) 알람을 띄울 수 있고, 팝업 알람 이후의 사용자의 처리과정은 일반적인 보안 절차에 따른다. 또한, 웜 전파 패킷은 하나의 패킷에 악성 행위를 하는 짧은 실행코드를 포함하는 형태로서, 팝업 알람 발생 시에 해당 패킷의 형태를 파악하여, 악성 패킷으로 파악되면 보안전문가에 신고하도록 한다. 보안 칩은 컴퓨터의 메인 프로세서와 메인 메모리가 감염되어도 별도로 동작하므로 악성 패킷의 방출을 중단시킬 수 있어 좀비 컴퓨터가 되지 않도록 할 수 있다.
도 4는 개시된 기술의 일 실시예에 따른 악성 패킷 차단 시스템을 나타내는 블록도이다. 도 4를 참조하면, 악성 패킷 차단 시스템은 컴퓨터(100), 보안 칩(200) 및 네트워크(300)를 포함한다.
컴퓨터(100)는 네트워크(300)에 접속하여 네트워크(300)로부터 수신 패킷을 수신하고 네트워크(300)로 송신 패킷을 송신한다. 컴퓨터는 일반적으로 사용되는 PC(Personal Computer), PDA(Personal Digital Assistants), 태블릿(Tablet) PC 또는 스마트 폰(Smart Phone)을 포함할 수 있다. 하나의 컴퓨터에 웜 전파 패킷이 유입되면, 잠시 후 좀비가 된 컴퓨터는 유입된 패킷과 같은 웜 전파 패킷을 방출하게 되면서 좀비 컴퓨터가 된다.
보안 칩(200)은 컴퓨터(100)가 네트워크(300)로부터 수신 패킷을 수신할 때에 동일한 패킷들이 반복적으로 유입되면 보안 칩(200) 내부의 버퍼에 수신 패킷을 저장한다. 또한, 보안 칩(200)은 컴퓨터(100)가 네트워크(300)로 송신 패킷을 송신할 때에 버퍼에 저장된 수신 패킷과 송신 패킷의 동일성을 비교하여 웜 전파 패킷을 판단하고, 웜 전파 패킷으로 의심된 경우에는 사용자에게 알린다. 보안 칩(200)은 컴퓨터(100)에 대하여 별도의 장치로서, 컴퓨터(100)의 메인 프로세서와 메인 메모리 등이 감염되어도 영향받지 않고, 컴퓨터(100)가 네트워크(300)로 악성 패킷을 방출하는 것을 중단시킬 수 있다. 보안 칩(200)의 버퍼는 악성 패킷의 정보를 지속적으로 저장하고 변경 불가능하게 하기 위하여 ROM(Read Only Memory)을 포함할 수 있다.
네트워크(300)는 컴퓨터(100)에 패킷을 송신하고 컴퓨터(100)로부터 패킷을 수신하는 일을 반복적으로 수행한다. 패킷을 송?수신하는 행위를 통하여 웜 바이러스가 전파될 수 있다.
도 5는 개시된 기술의 일 실시예에 따른 악성 패킷 차단 방법을 나타내는 순서도이다. 도 5를 참조하면, 컴퓨터(100)가 네트워크(300)로부터 수신 패킷을 수신한다(S410). 컴퓨터(100)가 네트워크(300)로부터 웜 전파 패킷이 유입되면, 잠시 후 좀비가 된 컴퓨터는 유입된 패킷과 같은 웜 전파 패킷을 방출하게 되면서 좀비 컴퓨터가 될 수 있다. 컴퓨터는 일반적으로 사용되는 PC(Personal Computer), PDA(Personal Digital Assistants), 태블릿(Tablet) PC 또는 스마트폰(Smart Phone)을 포함할 수 있다.
보안 칩(200)이 수신 패킷을 모니터링하여 동일한 내용의 패킷이 반복되면 해당 수신 패킷을 보안 칩(200)의 버퍼에 저장한다(S420). 여기에서 동일한 내용이란 전체 패킷의 동일뿐만 아니라 패킷의 일부 내용이 동일한 경우도 포함된다. 다시 말해서, 도 1에서 반복된 수신 패킷에 나타난 내용 전체가 'for(int i=0,1... if you are zombie...crash and distory FF54 32A2 7ABC CAAA MOV EAX EAC 256792'로 동일한 경우에 버퍼에 저장할 수 있고, 수신 패킷의 내용의 일부인 'for(int i=0,1... if you are zombie...crash and distory'가 동일하게 포함된 패킷이 반복되어 수신되어도 버퍼에 저장할 수 있다. 보안 칩(200)은 컴퓨터(100)에 대하여 별도의 장치로서, 컴퓨터(100)의 메인 프로세서와 메인 메모리 등이 감염되어도 영향받지 않는다. 보안 칩(200)의 버퍼는 악성 패킷의 정보를 지속적으로 저장하고 변경 불가능하게 하기 위하여 ROM(Read Only Memory)을 포함할 수 있다.
컴퓨터(100)는 네트워크(300)로 송신 패킷을 송신한다(S430). 컴퓨터(100)가 네트워크(300)로부터 웜 전파 패킷을 수신하면, 잠시 후 좀비 컴퓨터가 된 컴퓨터는 수신 패킷과 동일한 웜 전파 패킷을 송신할 것이다.
보안 칩(200)이 버퍼에 저장된 수신 패킷과 송신 패킷의 내용의 동일성을 비교한다(S440). 보안 칩(200)은 버퍼에 저장된 수신 패킷과 송신 패킷의 내용 전체가 동일한 경우뿐만 아니라 버퍼에 저장된 수신 패킷의 내용 일부와 송신 패킷의 내용 일부가 동일한 경우에도 송신 패킷을 악성 패킷으로 판단할 수 있다. 일 예로서, 도 1에서 송신 패킷과 버퍼에 저장된 수신 패킷의 내용 중 'for(int i=0,1... if you are zombie...crash and distory'가 동일하게 존재할 경우에는 나머지가 상이하더라도 송신 패킷을 웜 전파 패킷으로 의심할 수 있다. 다른 일 예로서, 도 1에서 송신 패킷과 버퍼에 저장된 수신 패킷의 내용이 'for(int i=0,1... if you are zombie...crash and distory FF54 32A2 7ABC CAAA MOV EAX EAC 256792'로 동일한 경우에는 송신 패킷을 웜 전파 패킷으로 의심할 수 있다. 보안 칩(200)은 버퍼에 저장된 수신 패킷과 송신 패킷의 내용의 동일성이 인정되지 않는 경우에는 사용자에게 알리지 않는다.
보안 칩(200)이 송신 패킷과 버퍼에 저장된 수신 패킷의 내용의 동일성이 인정되는 경우에는 사용자에게 알릴 수 있다(S450). 송신 패킷과 버퍼에 저장된 수신 패킷의 동일성이 인정되면 송신 패킷은 웜 전파 패킷에 해당할 가능성이 높으므로 사용자에게 팝업(pop-up) 알람을 띄울 수 있다. 팝업 알람 이후의 사용자의 처리 과정은 일반적인 보안 절차에 따른다. 웜 전파 패킷은 하나의 패킷에 악성 행위를 하는 짧은 실행코드를 포함하는 형태로서, 팝업 알람 발생 시 해당 패킷의 형태를 파악하여, 웜 전파 패킷으로 파악되면 보안전문가에 신고할 수 있다. 보안 칩(200)은 컴퓨터(100)의 메인 프로세서와 메인 메모리가 웜 바이러스에 감염되어도 별도로 동작하므로 악성 패킷의 방출을 중단시킬 수 있다.
도 6은 개시된 기술의 일 실시예에 따른 악성 패킷 차단 방법을 나타내는 순서도이다. 도 6을 참조하면, 컴퓨터(100)가 네트워크(300)로부터 수신 패킷을 수신한다(S510). 컴퓨터(100)가 네트워크(300)로부터 웜 전파 패킷이 유입되면, 잠시 후 좀비가 된 컴퓨터는 유입된 패킷과 같은 웜 전파 패킷을 방출하게 되면서 좀비 컴퓨터가 될 수 있다. 컴퓨터는 일반적으로 사용되는 PC(Personal Computer), PDA(Personal Digital Assistants), 태블릿(Tablet) PC 또는 스마트폰(Smart Phone)을 포함할 수 있다.
보안 칩(200)은 수신 패킷을 모니터링한다(S520). 보안 칩(200)은 컴퓨터(100)에 대하여 별도의 장치로서, 수신 패킷을 모니터링하여 웜 전파 패킷인지 여부를 판단한다.
보안 칩(200)은 모니터링을 통하여, 내용 일부가 동일한 패킷이 반복적으로 유입되는지 판단한다(S530). 도 1에서는 반복적으로 수신되는 수신 패킷에 나타난 내용의 일부가 'for(int i=0,1... if you are zombie...crash and distory'를 포함하고 있는 경우를 의미한다. 동일한 패킷들이 반복적으로 유입되는 것을 모니터링하는데 있어, 패킷의 모든 내용을 비교할 필요없이 일부 내용만 비교함으로써 실행 시간 소모를 줄일 수 있다.
보안 칩(200)이 내용 일부가 동일한 패킷이 반복적으로 유입되는 것이 아닌 것으로 판단한 경우에는, 보안 칩(200)은 내용 전체가 동일한 패킷이 반복적으로 유입되는지 판단한다(S531). 도 1에서는 반복적으로 수신되는 수신 패킷에 나타난 내용 전체가 'for(int i=0,1... if you are zombie...crash and distory FF54 32A2 7ABC CAAA MOV EAX EAC 256792'로서 동일한 경우를 의미한다.
보안 칩(200)이 내용 전체가 동일한 패킷이 반복적으로 유입되지 않는 것으로 판단한 경우에는, 웜 전파 패킷이 아닌 것으로 판단하고, 컴퓨터(100)는 네트워크(300)로 송신 패킷을 송신한다(S532).
보안 칩(200)이 내용 일부가 동일한 패킷이 반복적으로 유입되는 것으로 판단한 경우에는 보안 칩(200) 내부의 버퍼에 수신 패킷을 저장한다(S540). 보안 칩(200)은 컴퓨터(100)에 대하여 별도의 장치로서, 컴퓨터(100)의 메인 프로세서와 메인 메모리 등이 감염되어도 영향받지 않는다. 보안 칩(200)의 버퍼는 악성 패킷의 정보를 지속적으로 저장하고 변경 불가능하게 하기 위하여 ROM(Read Only Memory)을 포함할 수 있다.
컴퓨터(100)는 네트워크(300)로 송신 패킷을 송신한다(S550). 컴퓨터(100)가 네트워크(300)로부터 웜 전파 패킷을 수신하면, 잠시 후 좀비 컴퓨터가 된 컴퓨터는 수신 패킷과 동일한 웜 전파 패킷을 송신할 것이다.
보안 칩(200)은 송신 패킷과 버퍼에 저장된 수신 패킷의 내용 일부의 동일성을 비교한다(S560). 도 1에서 버퍼에 저장된 수신 패킷과 송신 패킷이 'for(int i=0,1... if you are zombie...crash and distory'를 공통적으로 포함하고 있는 지 여부를 판단할 수 있다.
보안 칩(200)이 송신 패킷과 버퍼에 저장된 수신 패킷의 내용 일부가 동일하지 않은 것으로 판단한 경우에는, 송신 패킷과 버퍼에 저장된 수신 패킷의 내용 전체의 동일성을 비교한다(S561). 도 1에서 버퍼에 저장된 수신 패킷과 송신 패킷이 'for(int i=0,1... if you are zombie...crash and distory FF54 32A2 7ABC CAAA MOV EAX EAC 256792'를 공통적으로 포함하는 경우를 의미한다. 보안 칩(200)이 송신 패킷과 버퍼에 저장된 수신 패킷의 내용 전체가 동일하지 않은 것으로 판단한 경우에는 웜 전파 패킷이 아닌 것으로 판단하여 사용자에게 알리지 않는다.
보안 칩(200)이 송신 패킷과 버퍼에 저장된 수신 패킷의 일부 내용이 동일하거나, 송신 패킷과 버퍼에 저장된 수신 패킷의 전체 내용이 동일한 경우에는 사용자에게 알릴 수 있다(S570). 송신 패킷과 버퍼에 저장된 수신 패킷의 동일성이 인정되면 송신 패킷은 웜 전파 패킷에 해당할 가능성이 높으므로 사용자에게 팝업(pop-up) 알람을 띄울 수 있다. 팝업 알람 이후의 사용자의 처리 과정은 일반적인 보안 절차에 따른다. 웜 전파 패킷은 하나의 패킷에 악성 행위를 하는 짧은 실행코드를 포함하는 형태로서, 팝업 알람 발생 시 해당 패킷의 형태를 파악하여, 웜 전파 패킷으로 파악되면 보안전문가에 신고할 수 있다. 보안 칩(200)은 컴퓨터(100)의 메인 프로세서와 메인 메모리가 웜 바이러스에 감염되어도 별도로 동작하므로 악성 패킷의 방출을 중단시킬 수 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100 : 컴퓨터 200 : 보안 칩
300 : 네트워크

Claims (12)

  1. 컴퓨터가 네트워크로부터 수신 패킷을 수신하는 단계;
    보안 칩이 상기 수신 패킷을 모니터링하여 동일한 내용이 반복되면 해당 수신 패킷을 상기 보안 칩의 버퍼에 저장하는 단계;
    상기 컴퓨터가 상기 네트워크로 송신 패킷을 송신하는 단계; 및
    상기 보안 칩이 상기 버퍼에 저장된 상기 수신 패킷과 상기 송신 패킷의 내용의 동일성을 비교하는 단계를 포함하는 악성 패킷 차단 방법.
  2. 제 1 항에 있어서,
    상기 패킷을 저장하는 단계는
    상기 반복하여 수신되는 수신 패킷의 내용 일부가 동일한 경우에 상기 보안 칩의 상기 버퍼에 저장하는 악성 패킷 차단 방법.
  3. 제 2 항에 있어서,
    상기 패킷의 동일성을 비교하는 단계는
    상기 송신 패킷과 상기 버퍼에 저장된 수신 패킷의 내용 일부가 동일한 경우에 악성 패킷으로 판단하는 악성 패킷 차단 방법.
  4. 제 1 항에 있어서,
    상기 패킷의 동일성을 비교하는 단계는
    상기 송신 패킷과 상기 버퍼에 저장된 수신 패킷의 내용 일부가 동일한 경우에 사용자에게 알리는 악성 패킷 차단 방법.
  5. 제 1 항에 있어서,
    상기 패킷을 비교하는 단계는
    상기 송신 패킷 전체와 상기 버퍼에 저장된 수신 패킷 전체의 동일성을 비교하는 악성 패킷 차단 방법.
  6. 제 1 항에 있어서,
    상기 보안 칩은 주기적으로 초기화되는 악성 패킷 차단 방법.
  7. 네트워크로부터 수신 패킷을 수신하고 송신 패킷을 송신하는 컴퓨터; 및
    상기 수신 패킷을 모니터링하여 동일한 내용이 반복되면 해당 수신 패킷을 버퍼에 저장하고, 상기 송신 패킷과 상기 버퍼에 저장된 상기 수신 패킷의 내용의 동일성을 비교하는 보안 칩을 포함하는 악성 패킷 차단 시스템.
  8. 제 7 항에 있어서,
    상기 보안 칩은 상기 반복하여 수신되는 수신 패킷의 내용 일부가 동일한 경우에 상기 버퍼에 저장하는 악성 패킷 차단 시스템.
  9. 제 8 항에 있어서,
    상기 보안 칩은 상기 송신 패킷과 상기 버퍼에 저장된 수신 패킷의 내용 일부가 동일한 경우에 악성 패킷으로 판단하는 악성 패킷 차단 시스템.
  10. 제 7 항에 있어서,
    상기 보안 칩은 상기 송신 패킷과 상기 버퍼에 저장된 수신 패킷의 내용 일부가 동일한 경우에 사용자에게 알리는 악성 패킷 차단 시스템.
  11. 제 7 항에 있어서,
    상기 보안 칩은 상기 송신 패킷 전체와 상기 버퍼에 저장된 수신 패킷 전체의 동일성을 비교하는 악성 패킷 차단 시스템.
  12. 제 7 항에 있어서,
    상기 보안 칩은 주기적으로 초기화되는 악성 패킷 차단 시스템.

KR1020100099064A 2010-10-12 2010-10-12 악성 패킷 차단 방법 및 시스템 Expired - Fee Related KR101208642B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100099064A KR101208642B1 (ko) 2010-10-12 2010-10-12 악성 패킷 차단 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100099064A KR101208642B1 (ko) 2010-10-12 2010-10-12 악성 패킷 차단 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20120037547A true KR20120037547A (ko) 2012-04-20
KR101208642B1 KR101208642B1 (ko) 2012-12-06

Family

ID=46138612

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100099064A Expired - Fee Related KR101208642B1 (ko) 2010-10-12 2010-10-12 악성 패킷 차단 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101208642B1 (ko)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100439177B1 (ko) * 2002-01-16 2004-07-05 한국전자통신연구원 네트워크 보안 정책의 표현,저장 및 편집 방법

Also Published As

Publication number Publication date
KR101208642B1 (ko) 2012-12-06

Similar Documents

Publication Publication Date Title
US10187422B2 (en) Mitigation of computer network attacks
Sicari et al. REATO: REActing TO Denial of Service attacks in the Internet of Things
CN103916389B (zh) 防御HttpFlood攻击的方法及防火墙
US9407647B2 (en) Method and system for detecting external control of compromised hosts
KR20130085570A (ko) 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치
US9596248B2 (en) Trojan detection method and device
US8752169B2 (en) Botnet spam detection and filtration on the source machine
Inayat et al. Cloud-based intrusion detection and response system: open research issues, and solutions
KR102119718B1 (ko) 의심스러운 전자 메시지를 검출하기 위한 기술
US20140013435A1 (en) Social Network Protection System
EP3270317A1 (en) Dynamic security module server device and operating method thereof
KR20140044970A (ko) 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치
Lu et al. Securing the backpressure algorithm for wireless networks
KR100684602B1 (ko) 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법
US9444845B2 (en) Network security apparatus and method
US20120060218A1 (en) System and method for blocking sip-based abnormal traffic
KR20090109154A (ko) 악성코드 차단 장치, 시스템 및 방법
KR101208642B1 (ko) 악성 패킷 차단 방법 및 시스템
KR101923054B1 (ko) 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법
Saxena et al. A review on intrusion detection system in mobile ad-hoc network
KR101190816B1 (ko) SIP DoS 및 SPAM 공격 탐지 시스템 및 그 탐지 방법
CN105119938B (zh) 一种针对内网端口反弹型木马的防范方法
Kuo et al. Stepping-stone detection algorithm based on order preserving mapping
Baburajan et al. A review paper on watchdog mechanism in wireless sensor network to eliminate false malicious node detection
Manohar et al. Detection of stealthy denial of service (S-DoS) attacks in wireless sensor networks

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

R15-X000 Change to inventor requested

St.27 status event code: A-3-3-R10-R15-oth-X000

R16-X000 Change to inventor recorded

St.27 status event code: A-3-3-R10-R16-oth-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

R15-X000 Change to inventor requested

St.27 status event code: A-3-3-R10-R15-oth-X000

R16-X000 Change to inventor recorded

St.27 status event code: A-3-3-R10-R16-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-3-3-R10-R18-oth-X000

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

E13-X000 Pre-grant limitation requested

St.27 status event code: A-2-3-E10-E13-lim-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R13-asn-PN2301

St.27 status event code: A-5-5-R10-R11-asn-PN2301

FPAY Annual fee payment

Payment date: 20151005

Year of fee payment: 4

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 4

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20161130

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20161130

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

R18 Changes to party contact information recorded

Free format text: ST27 STATUS EVENT CODE: A-5-5-R10-R18-OTH-X000 (AS PROVIDED BY THE NATIONAL OFFICE)

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000