KR20180044507A - 지능형 지속위협 환경의 네트워크 복구 시스템 - Google Patents
지능형 지속위협 환경의 네트워크 복구 시스템 Download PDFInfo
- Publication number
- KR20180044507A KR20180044507A KR1020160138079A KR20160138079A KR20180044507A KR 20180044507 A KR20180044507 A KR 20180044507A KR 1020160138079 A KR1020160138079 A KR 1020160138079A KR 20160138079 A KR20160138079 A KR 20160138079A KR 20180044507 A KR20180044507 A KR 20180044507A
- Authority
- KR
- South Korea
- Prior art keywords
- user terminal
- file
- unit
- recovery
- server
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Retry When Errors Occur (AREA)
Abstract
본 발명은 지능형 지속위협 환경의 네트워크 복구 시스템에 관한 것으로, 본 발명에 따른 지능형 지속위협 환경의 네트워크 복구 시스템은 사용자 단말 또는 관리자 단말에서 스파이웨어를 포함하는 비정상 프로그램 설치 또는 해킹 시도를 포함하는 비정상 행위가 모니터링 되면, 해당 단말의 시스템 파일 복구를 위하여, 미리 설정된 체크 포인트로 복구하는 복구 모드 1, 시스템 파일의 원본 이미지로 복구하는 복구 모드 2 및 윈도우 종료 이전에 시스템 파일과 관련된 패치프로그램을 업데이트하는 복구 모드 3 중 어느 하나의 복구 모드로 시스템 파일을 복원하여 설정된 목표복구시간 또는 데이터 목표복구시점으로 시스템을 복구하여 최대 중단 허용 시간(Maximum Tolerable Period of Disruption)을 줄일 수 있다.
Description
본 발명은 지능형 지속위협 환경의 네트워크 복구 시스템에 관한 것으로, 특히 해킹 등의 외부 침입에 대응하여 설정된 목표복구시간 또는 데이터 목표복구시점으로 상태를 복원할 수 있는 지능형 지속위험 환경의 네트워크 복구 시스템에 관한 것이다.
사이버 공격은 조직적이고 지능적으로 이루어지고 있으며, 특히, 해킹 조직이 경제적인 목적을 가지고 특정 공격 표적을 대상으로 은밀하고, 지속적으로 지능적인 공격을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격이 급격히 증가하고 있어 사회적으로 큰 문제가 되고 있다. 특히, APT 공격은 조직의 중요정보를 불법적으로 갈취하기 위해 해커 또는 해킹 조직이 공격 대상 조직에 악성코드를 침투시킨 후, 지속적인 악성코드 업데이트를 통해, 중요정보 접근 권한자의 호스트를 악성코드로 감염시킴으로써, 중요정보를 유출시키는 공격 방법이다.
국내등록특허 제10-0635130호("윈도우 네트워크 감시를 통한 커널 백도어 탐지 시스템 및 방법")에서는 윈도우 네트워크 구성요소 중에서 TDI(Transport Driver Interface) 계층과 NDIS(Network Driver Interface Specification) 계층을 통과하는 네트워크 패킷의 정보를 비교 분석하여 정상적인 네트워크 행위로부터 발생된 네트워크 패킷과 커널 백도어와 같은 악성 네트워크 행위로부터 발생된 네트워크 패킷을 서로 구분하여 커널 백도어를 탐지함과 아울러, 이러한 커널 백도어로부터 발생된 네트워크 패킷을 필터링하여 커널 백도어로 인한 침입을 방지할 수 있는 커널 백도어 탐지 시스템 및 방법을 개시하고 있다.
그러나 국내등록특허 제10-0635130호는 커널 백도어로 칩입을 방지하는 데 국한된 기술로, 시스템 서버 또는 내부 네트워크에 접속된 단말들을 통해 문서 유출 또는 해킹을 방지할 수 없을 뿐만 아니라, 바이러스, 스파이웨어 등에 의해 시스템이 손상되었을 경우 즉각적으로 복구하는 기술이 개시되어 있지 않다.
본 발명이 해결하고자 하는 과제는 해킹 등의 외부 침입 발생시, 미리 설정된 목표복구시간 또는 데이터 목표복구시점으로 시스템을 복구하여 최대 중단 허용 시간(Maximum Tolerable Period of Disruption)을 줄여 업무의 가용성과 연속성을 제공할 수 있는 지능형 지속위협 환경의 네트워크 복구 시스템을 제공하는 데 있다.
상기 과제를 해결하기 위하여, 본 발명은 내부 네트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말 및 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버를 구비하는 네트워크의 복구 시스템에 있어서, 상기 보안 서버는 상기 복수의 주요 정보 또는 문서 정보들 중 외부 해킹으로부터 공격대상이 되는 중요 문서를 식별하고 위험 요소를 분석하여, 외부의 접근을 통제하도록 사용자 단말의 접근을 제한하도록 설정하는 예방 통제 모듈; 상기 중요 문서로 접근하는 네트워크 트래픽을 감시하고, 상기 중요 문서로 접근하는 네트워크 트래픽을 발생시킨 사용자 단말의 로그 파일을 저장하며, 상기 사용자 단말에서 해킹을 포함하는 비정상행위가 모니터링 되면 해당 사용자 단말의 업무를 종료시키는 탐지 통제 모듈; 및 상기 복수의 사용자 단말들이 상기 시스템 서버에 접속 시 백업 시스템 이미지를 생성하여 저장하며, 상기 복수의 사용자 단말들 중 상기 비정상행위가 모니터링될 경우 상기 백업 시스템 이미지를 통해 복원 작업을 수행하는 교정 통제 모듈을 포함하되, 상기 교정 통제 모듈은 상기 사용자 단말이 상기 바이러스, 악성코드, 스파이웨어 중 적어도 하나에 감염된 것으로 판단되면, 미리 설정된 체크 포인트로 복구하는 복구 모드 1, 시스템 파일의 원본 이미지로 복구하는 복구 모드 2 및 윈도우 종료 이전에 시스템 파일과 관련된 패치프로그램을 업데이트하는 복구 모드 3 중 어느 하나를 실행하는 것을 특징으로 하는 지능형 지속위협 환경의 네트워크 복구 시스템을 제공할 수 있다.
상기 교정 통제 모듈은 상기 사용자 단말에서 발생한 네트워크 트래픽 또는 네트워크 패킷에 고유 아이디를 태깅하는 TCP 태깅 및 인식부; 상기 사용자 단말에 설치되는 보안 에이전트의 설치를 감시하고, 상기 보안 에이전트가 미설치된 사용자 단말에 보안 에이전트를 전송하는 보안 에이전트 관리부; 상기 사용자 단말에서 인증을 수행하지 않고 상기 주요 정보 또는 문서 정보에 접근 시 이를 외부 공격으로 판단하고, 상기 시스템 서버로 접근하는 것을 차단하는 사용자 단말 제어부; 및 상기 사용자 단말이 상기 바이러스, 악성코드, 스파이웨어 중 적어도 하나에 감염된 것으로 판단되며 감염된 사용자 단말의 백업 이미지를 저장하고, 감염 이전 상태로 복원하는 시스템 복원부를 포함하되, 상기 시스템 복원부는 상기 복구 모드 1 내지 3 중 적어도 하나가 선택되도록 하는 복구 모드 선택부를 포함할 수 있다.
상기 시스템 복원부는 상기 복구 모드 1로 동작시 시간, 패치프로그램 설치 시점, 윈도우 종료 시점 중 적어도 하나를 상기 체크 포인트로 설정하는 체크 포인 설정부를 더 포함할 수 있다.
상기 시스템 복원부는 상기 복구 모드 2로 동작 시 상기 윈도우가 정상적으로 종료되지 않을 경우 상기 시스템 파일의 파일 변경을 모니터링 하는 파일변경 모니터링부; 상기 파일변경 모니터링부에서 모니터링 결과, 상기 시스템 파일의 파일 변경이 상기 패치프로그램의 업데이트와 관련된 파일일 경우 변경된 파일을 포함하는 시스템 파일을 원본 이미지로 저장하는 원본 이미지 저장부를 더 포함할 수 있다.
상기 시스템 복원부는 상기 패치프로그램을 업데이트하는 패치프로그램 업데이트부를 더 포함할 수 있다.
본 발명의 실시 예에 따른 지능형 지속위협 환경의 네트워크 복구 시스템은 바이러스, 스파이웨어 등에 의해 시스템이 손상되었을 경우 즉각적으로 복구할 수 있으며, 설정된 목표복구시간 또는 데이터 목표복구시점으로 시스템을 복구하여 최대 중단 허용 시간(Maximum Tolerable Period of Disruption)을 줄일 수 있다.
도 1은 본 발명의 실시 예에 따른 지능형 지속위협 환경의 네트워크 복구 시스템을 도시한 시스템도.
도 2는 도 1에 도시된 사용자 단말의 주요 구성 요소를 도시한 블록도.
도 3은 도 1에 도시된 보안 서버의 주요 구성 요소를 도시한 블록도.
도 4는 도 3에 도시된 교정 통제부의 주요 구성 요소를 도시한 블록도.
도 5는 도 4에 도시된 시스템 복원부의 주요 구성 요소를 도시한 블록도.
도 6은 본 발명의 실시 예에 따른 시스템 복구 방법을 순차적으로 도시한 흐름도.
도 2는 도 1에 도시된 사용자 단말의 주요 구성 요소를 도시한 블록도.
도 3은 도 1에 도시된 보안 서버의 주요 구성 요소를 도시한 블록도.
도 4는 도 3에 도시된 교정 통제부의 주요 구성 요소를 도시한 블록도.
도 5는 도 4에 도시된 시스템 복원부의 주요 구성 요소를 도시한 블록도.
도 6은 본 발명의 실시 예에 따른 시스템 복구 방법을 순차적으로 도시한 흐름도.
이하, 도면을 참조한 본 발명의 설명은 특정한 실시 형태에 대해 한정되지 않으며, 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있다. 또한, 이하에서 설명하는 내용은 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
이하의 설명에서 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용되는 용어로서, 그 자체에 의미가 한정되지 아니하며, 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
본 명세서 전체에 걸쳐 사용되는 동일한 참조번호는 동일한 구성요소를 나타낸다.
본 발명에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 또한, 이하에서 기재되는 "포함하다", "구비하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것으로 해석되어야 하며, 하나 또는 그 이상의 다른 특징들이나, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 본 발명의 실시 예를 첨부한 도 1 내지 도 6을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 실시 예에 따른 지능형 지속위협 환경의 네트워크 복구 시스템을 도시한 시스템도이고, 도 2는 도 1에 도시된 사용자 단말의 주요 구성 요소를 도시한 블록도이며, 도 3은 도 1에 도시된 보안 서버의 주요 구성 요소를 도시한 블록도이며, 도 4는 도 3에 도시된 교정 통제부의 주요 구성 요소를 도시한 블록도이다.
도 1 내지 도 5를 참조하면, 네트워크 복구 시스템은 사용자 단말(10), 관리자 단말(20), 보안 서버(40) 및 시스템 서버(30)를 포함할 수 있다.
구체적으로, 사용자 단말(10)은 기업, 학교, 기관 등에서 사용되는 개인용 컴퓨터, 노트북, 스마트 단말 등을 포함할 수 있다. 사용자 단말(10)을 각종 소프트웨어를 탑재하여 문서작성, 통계, 이미지 처리 등의 업무를 수행할 수 있다. 사용자 단말(10)은 유선 또는 무선 인터넷을 이용하여 내부 네트워크와 접속하여 정보를 공유할 수 있으며, 외부 네트워크와 접속하여 외부의 개인 또는 기업, 단체, 기관 등의 외부 서버에 접속할 수 있다.
사용자 단말(10)은 도 2에 도시된 바와 같이, 하드 디스크 드라이버(11), 중앙처리장치(15), 디스플레이장치(미도시), 입력장치(미도시) 등의 구성을 포함할 수 있다.
하드 디스크 드라이버(11)는 시스템 파일, 일반 데이터 파일 및 복원용 시스템 파일을 저장할 수 있다. 또한, 하드 디스크 드라이버(11)는 시스템 파일을 업데이트하는 패치프로그램을 저장할 수 있다. 이러한 하드 디스크 드라이버(11)는 시스템 파일을 저장하는 시스템 파일 저장 영역(12), 일반 데이터 파일을 저장하는 데이터 파일 저장 영역(13) 및 복원용 시스템 파일을 저장하는 복원용 시스템 파일 저장 영역(14)이 구분될 수 있다.
또한, 하드 디스크 드라이버(11)는 최외각 섹터에 MBR(Master boot recoder; 이하 'MBR'이라 함)이 저장되는 영역이 설정될 수 있다.
중앙처리장치(15)는 윈도우 운영체제 등의 시스템 파일을 이용하여 사용자 단말(10)을 부팅시키는 프로세서이며, 사용자 단말(10)에서 사용되는 각종 응용 프로그램 등을 실행시킨다.
중앙 처리 장치(15)는 시스템 복구 또는 시스템 복원시 복구 데이터 저장 영역의 시스템 파일을 사용하여 복구하거나, 패치 업데이트가 기록된 체크 포인트를 이용하여 복구 할 수 있다. 이에 대한 설명은 추후 다시 하기로 한다.
관리자 단말(20)은 사용자 단말(10)과 같은 개인용 컴퓨터, 노트북, 스마트 단말 등을 포함할 수 있다. 관리자 단말(20)은 내부 네트워크와 접속하여 각 사용자 단말(10)에 보안 관련 사항을 전송할 수 있다. 또한, 관리자 단말(20)은 보안 서버(30)에 접속하여 확정된 보안 정책을 실행하도록 할 수 있다. 관리자 단말(20)은 상기 사용자 단말(10)과 같은 구성요소를 구비한다.
시스템 서버(30)는 사용자 단말(10)과 내부 통신망을 통해 접속되어 사용자 단말(10)에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장할 수 있다. 시스템 서버(30)는 접속하는 사용자 단말(10)의 사용환경을 제공할 수 있다.
보안 서버(40)는 복수의 주요 정보 또는 문서 정보들의 중요도를 평가하여 중요도별로 접근 권한을 설정한다. 예를 들면, 보안 서버(40)는 복수의 주요 정보 또는 문서 정보들 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 주요 정보 또는 문서 정보의 중요도를 평가하고, 평가된 주요 정보 또는 문서 정보들을 중요도에 따라 접근 권한을 다르게 한다.
또한, 보안 서버(40)는 위험 요소를 분석하여 위험 요소가 있는 주요 정보 또는 문서 정보의 접근을 통제한다. 보안 서버(40)는 주요 정보 또는 문서 정보의 접근 통제를 위하여 권한에 따른 사용자 단말(10)의 주요 정보 또는 문서 정보 접근을 통제한다.
보안 서버(40)는 외부 외부 해킹으로부터 주요 정보 또는 문서 정보를 보호하기 위하여, 해킹으로 사용되는 외부 서버를 등록하고, 사용자 단말(10)이 해킹의 주요 루트가 되는 외부 서버로 접속하는 것을 사전에 차단하거나, 외부 서버에서 사용자 단말(10)로 접근하는 것을 통제한다. 이를 위하여, 보안 서버(40)는 사용자 단말(10)의 네트워크 트래픽을 감시한다. 또한, 보안 서버(40)는 사용자 단말(10)의 로그 파일을 저장하며, 사용자 단말(10)을 통한 해킹을 포함하는 비정상행위가 모니터링되면 해당 사용자 단말의 업무를 종료시키거나, 사용자 단말(10)를 로그오프 시킨다.
이때, 보안 서버(40)는 사용자 단말(10)의 백업 이미지를 생성하여 저장하고, 백업 이미지를 복원하여 사용자 단말(10)에 제공할 수 있다.
보안 서버(40)는 백업 이미지 복원 이전에 사용자 단말(10)을 통해 접속된 해킹 서버 등의 위험에 대한 위험 요소를 업데이트하여 사용자 단말(10)에 공지할 수 있다.
도 3 및 도 4에 도시된 바와 같이, 보안 서버(40)는 예방 통제부(100), 탐지 통제부(200) 및 교정 통제부(300)를 구비할 수 있다.
먼저, 예방 통제부(100)은 사용자 단말(10)에서 생성되는 주요 정보 또는 문서 정보들의 중요도를 평가하고, 평가가 완료된 문서에 대한 결함여부를 평가할 수 있다. 예방 통제부(100)은 미리 설정된 기준에 따라 복수의 주요 정보 또는 문서 정보들의 기밀성, 무결성 및 가용성에 대한 점수를 부여하여 주요 정보 또는 문서 정보의 중요도를 평가한다. 예를 들면, 정보 자산 평가부(110)는 시스템 서버(30)에 저장된 주요 정보 또는 문서 정보를 기밀성에 대하여 상, 중, 하 또는 A, B, C, … 또는 1, 2, 3, … 등으로 등급을 설정한다. 예를 들면, 개인 정보, 금융 정보 등의 경우 기밀성을 높게 설정하고, 일반 업무 문서 등의 문서는 기밀성을 상대적으로 낮게 설정한다.
문서의 결함여부는 바이러스 또는 악성 코드의 감염여부, 문서의 작성 종결 여부, 암호화 여부 등을 통해 기밀성 평가와 같이 등급을 설정한다. 또한, 예방 통제부(100)은 주요 정보 또는 문서 정보의 가용성에 대하여 기밀성 평가와 같이 등급을 설정한다.
예방 통제부(100)은 주요 정보 또는 문서 정보의 등급이 결정되면 등급에 따라 사용자 단말(10) 또는 관리자 단말(20)에서 접근시 접근 권한을 다르게 할 수 있다.
또한, 예방 통제부(100)은 네트워크의 취약점 또는 주요 정보 또는 문서 정보의 취약점을 분석할 수 있다. 예를 들면, 예방 통제부(100)은 취약성 분석 도구를 이용하여 주요 정보 또는 문서 정보의 잠재적 위험 요소를 분석하고, 신규 취약성에 발견되면 신규 취약성에 대한 안전성 검사를 수행하도록 관리자 단말(20)에 신규 취약성 발견에 대한 정보를 제공한다.
예방 통제부(100)은 잠재적 위험 요소의 취약성 검사 및 취약성 발견 정보와 관련된 이력을 저장하며, 이러한 이력을 관리자 단말(20)에 제공할 수 있다.
또한, 예방 통제부(100)은 주요 정보 또는 문서 정보에 접근을 통제하기 위하여, 사용자 단말(10) 또는 관리자 단말(20)이 인가되지 않은 웹서버로 접근하는 것을 통제한다. 이를 위하여, 예방 통제부(100)은 접속 가능한 웹서버 또는 접속 차단한 웹서버의 URL 정보를 미리 설정한다. 예방 통제부(100)은 사용자 단말(10)로 보안공지를 강제하도록 할 수 있다. 예방 통제부(100)은 관리자 단말(20)에서 발송된 보안공지를 사용자 단말(10)의 확인 여부를 파악하기 위하여 사용자 단말(10)로 전송된 보안공지를 관리자 단말(20) 또는 통제 정책 관리부(130)에 피드백하도록 할 수 있다.
구체적으로, 탐지 통제부(200)은 사용자 단말(10) 또는 관리자 단말(20)의 업무를 위한 시스템 서버(30) 접속 인증을 수행할 수 있다. 이때, 탐지 통제부(200)은 2개 이상의 인증 요소를 사용하여 인증할 수 있는 2팩터(2 factor) 인증 방식을 사용할 수 있다. 예를 들면, 탐지 통제부(200)은 사용자 단말(10) 또는 관리자 단말(20)에서 아이디(ID)와 패스워드(Password) 입력시 1차 인증을 수행하고, 1차 인증이 완료되면 이후 OTP, 공인인증서, ARS, QR코드 등의 방식을 이용하여 2차 인증을 수행한다. 이를 통해 단말의 접속 보안을 강화할 수 있다.
인증이 완료되면, 시스템 서버(30)에 이를 통지하여 사용자 단말(10) 또는 관리자 단말(20)에서 시스템 서버(30)로 접근하도록 할 수 있다.
탐지 통제부(200)은 지능형 타깃 지속 공격(APT; Advanced Persistent Threat)의 호스트 역할을 역할을 하는 C&C C&C(Command & Control Server) 서버의 IP 목록을 관리하고, 이에 대한 관련 정보를 수집 및 분석한다. 탐지 통제부(200)은 RSS 서비스로 제공되는 신규 C&C 서버의 목록을 주기적으로 업데이트하여 사용자 단말(10) 또는 관리자 단말(20)에서 C&C 서버를 통해 접속하거나, C&C 서버를 통해 사용자 단말(10) 또는 관리자 단말(20)이 시스템 서버(30)로 접속하는 것을 관리할 수 있다.
탐지 통제부(200)은 사용자 단말(10) 또는 관리자 단말(20)이 P2P서버 또는 유해 사이트에 접근하는 것을 통제할 수 있다. 탐지 통제부(200)은 앞서 설명한 설정된 P2P서버 또는 유해 사이트의 URL정보를 이용하여 유해 사이트의 접근을 통제할 수 있다. 이때, 탐지 통제부(200)은 C&C 서버 접속 이외의 P2P서버 또는 유해 사이트들의 접근을 통제한다.
또한, 탐지 통제부(200)은 사용자 단말(10)에서 주요 정보 또는 문서 정보에 접근시 이를 탐지하여 관리자 단말(20)에 통보한다.
또한, 탐지 통제부(200)은 사용자 단말(10)에서 발생되는 모든 네트워크 트래픽을 수집하고 경로를 저장한다. 한편, 탐지 통제부(200)은 URL과 IP의 사전 매칭을 이용하여 미리 등록된 사이트 또는 서버에 대해서 패킷 감시를 수행하지 않을 수 있다.
한편, 탐지 통제부(200)은 IP 기반 C&C 서버의 탐지를 위하여 암호화 통신을 통해 전달되는 비밀 패킷을 모니터링 할 수 있다.
교정 통제부(300)는 TCP 패킷 태깅 및 인식부(310), 보안 에이전트 관리부(320), 중앙 문서 관리부(330), 사용자 단말 제어부(340) 및 시스템 복원부(350)를 포함할 수 있다.
구체적으로, TCP 패킷 태깅 및 인식부(310)는 내부 네트워크의 공유기를 사용하는 사용자 단말(10)에서 발생한 네트워크 패킷을 구별하기 위하여 사용자 단말(10)에서 발생한 모든 TCP 패킷에 고유 ID를 태깅할 수 있다. 이를 통해, TCP 패킷 태깅 및 인식부(310)는 TCP 패킷을 구분할 수 있어 탐지 통제부(200)에서 수집된 네트워크 트래픽을 용이하게 분석하도록 할 수 있다.
보안 에이전트 관리부(320)는 사용자 단말(10)에 설치되는 보안 에이전트(예를 들면, 보안 프로그램 또는 안티 바이러스 프로그램 등)의 설치를 감시하고, 보안 에이전트가 설치되지 않은 사용자 단말(10)에 보안 에이전트를 설치하도록 보안 에이전트를 사용자 단말(10)에 전송할 수 있다.
또한, 보안 에이전트 관리부(320)는 사용자 단말(10)에 설치된 보안 에이전트에 최신 버전의 업데이트를 진행한다.
중앙 문서 관리부(330)는 사용자 단말(10)에서 작업된 문서를 시스템 서버(30)에 저장할 수 있도록 파일 시스템 드라이버를 사용한다. 여기서, 파일 시스템 드라이버는 사용자 단말(10)의 문서 작성 표준 파일 시스템일 수 있다.
사용자 단말 제어부(340)는 허가되지 않은 사용자 단말(10)에서 주요 정보 또는 문서 정보에 접근할 경우 이를 외부 공격으로 판단하고, 사용자 단말(10)의 네트워크를 통신 및 주요 매체(시스템 서버 등)으로 접근을 차단할 수 있다. 사용자 단말 제어부(340)는 사용자 단말(10)에 접근하여 내부에 악성코드, 스파이웨어, 바이러스, 스파이 봇 등의 위험요소로 분류된 프로세스 또는 프로그램의 실행을 강제로 종료시키거나, 해당 프로세서의 실행을 방지할 수 있다. 그리고, 사용자 단말 제어부(340)는 상기 위험 요소가 발견되지 않은 사용자 단말(10)에 시스템 서버(30)로 접근이 가능하도록 1회용 암호를 생성하여 전송하고, 암호 입력시 시스템 서버(30)로 접근을 허락한다.
시스템 복원부(350)는 사용자 단말(10) 또는 관리자 단말(20)이 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 감염된 것으로 판단되면, 해당 사용자 단말의 백업 이미지를 저장한다.
시스템 복원부(350)는 사용자 단말(10) 또는 관리자 단말(20)을 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 감염 이전 상태로 복원하도록 할 수 있다. 이때, 시스템 복원부(350)는 사용자 단말(10) 또는 관리자 단말(20)의 복원시 복구목표시간이나, 데이터 목표복구시점으로 즉각적인 복원이 되도록 하여 최대 중단 허용 시간을 줄이도록 한다. 이를 위하여, 시스템 복원부(350)는 선택적인 복구 모드가 설정될 수 있다.
이를 위하여, 시스템 복원부(350)는 도 5에 도시된 바와 같이, 복구모드 선택부(3510), 체크포인트 설정부(3520), 원본이미지 저장부(3530), 패치프로그램 업데이트부(3540), 파일변경 모니터링부(3550) 및 포렌식 분석부(3560)를 포함할 수 있다.
구체적으로, 복구모드 선택부(3510)는 체크포인트로 복구하는 복구 모드 1, 원본 시스템 파일로 복구하는 복구 모드 2 및 윈도우 종료를 통한 복구 모드 3이 선택적으로 설정될 수 있도록 한다.
이때, 복구 모드 1의 경우, 미리 설정된 체크포인트로 복구 시점을 지정함으로써 사용자 단말(10) 또는 관리자 단말(20)이 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 감염된 것으로 판단되면 바로 상기 체크포인트 시점의 시스템 파일을 이용하여 사용자 단말(10) 또는 관리자 단말(20)의 상태를 복원하도록 한다.
복구 모드 2의 경우, 원본이미지 저장부(3530)에 저장된 시스템 파일 원본의 이미지를 이용한 복구 모드이다. 예를 들면, 시스템 복원부(350)는 윈도우 등의 운영체제가 정상적으로 종료되지 않을 경우 해당 사용자 단말(10) 또는 관리자 단말(20)의 시스템 파일 변경을 모니터링 하고, 패치프로그램이 정상적으로 업데이트 되었을 경우 이를 시스템 파일로 저장함과 동시에 시스템 파일 원본 이미지로 사용하도록 한다.
복구 모드 3은 윈도우 종료 및 리부팅을 통한 복구모드로서 시스템 파일 업데이트를 위한 패치프로그램의 수신과 시스템 파일의 정상적인 동작 등을 확인하고 윈도우를 종료한다.
체크포인트 설정부(3520)는 시스템 파일을 복구하기 위하여 미리 설정된 체크포인트를 저장한다. 이때, 체크포인트는 시간, 패치프로그램 설치 시점, 윈도우 종료 시점 등을 기준으로 사용할 수 있다. 예를 들어, 복구 모드 1로 복구 모드가 설정될 경우, 시스템 파일 복구가 필요한 경우 기설정된 체크포인트 정보를 제공한다.
여기서, 체크포인트를 바이러스, 악성코드, 스파이웨어, 스파이 봇 등의 감염 바로 직전의 패치프로그램 설정 시점으로 체크포인트를 설정할 수도 있다. 이에 따라, 바이러스, 악성코드, 스파이웨어, 스파이 봇 등이 검출되었을 경우 그 이후에 설치된 패치프로그램이 시스템 파일 저장 영역에 저장되었을 경우에도 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 의한 시스템 오류, 해킹 등을 방지하도록 할 수 있다.
체크포인트 설정부(3520)는 패치프로그램 업데이트부(3540)에 저장된 패치프로그램 또는 원본이미지 저장부(3530)에 저장된 시스템 파일 원본 이미지 등을 기 설정된 시점에 상응하여 복구시 제공할 수 있다.
원본이미지 저장부(3530)는 시스템 파일의 원본을 저장한다. 이때, 원본 이미지는 복구 모드 이전에 저장된 시스템 파일 원본을 저장할 수 있다. 원본이미지 저장부(3530)는 복구 모드 2로 설정된 복구 모드일 경우 저장된 시스템 파일 원본 이미지를 복구 대상 단말에 제공할 수 있다.
원본이미지 저장부(3530)는 상술한 바와 같이 패치프로그램이 정상적으로 업데이트 되었을 경우 이를 시스템 파일로 저장할 수 있다.
패치프로그램 업데이트부(3540)는 사용자 단말(10) 또는 관리자 단말(20)들에 사용되는 패치프로그램을 업데이트하여 이를 제공할 수 있다. 패치프로그램 업데이트부(3540)는 윈도우 관련 패치프로그램 또는 네트워크 시스템의 보안 관련 패치프로그램일 수 있다.
패치프로그램 업데이트부(3540)는 상기 사용자 단말(10) 또는 관리자 단말(20)에 상시적 또는 윈도우 종료 이전에 패치프로그램의 업데이트 정보를 제공할 수 있다.
파일변경 모니터링부(3550)는 윈도우 종료시 시스템 파일의 변경이 여부를 모니터링 한다. 파일변경 모니터링부(3550)는 모니터링 시 변경된 파일 시스템이 정상이고, 변경된 파일이 시스템 파일과 관련이 있는 패치프로그램일 경우 원본이미지 저장부(3530)에 변경된 파일을 포함하는 시스템 파일을 저장하도록 한다.
포렌식 분석부(3560)는 파일변경 모니터링부(3550)의 모니터링 결과, 변경된 파일이 시스템 파일 또는 패치프로그램과 관련이 없을 경우 임시로 변경된 데이터를 저장하고, 이를 분석한다. 포렌식 분석부(3560)는 변경된 파일의 이력을 추적하고, 변경된 파일의 형태 등을 분석하여, 변경된 파일이 바이러스, 악성코드, 스파이웨어, 스파이 등과 관련된 경우 이를 통지할 수 있다.
상기 시스템 복원부(350)는 보안 서버(40)에 탑재된 것을 예를 들어 설명하였으나, 각각의 사용자 단말(10) 또는 관리자 단말(20)에 설치될 수 있다.
또한, 시스템 복원부(350)는 구성요소로서 설명되었으나, 컴퓨터에서 동작하는 프로그램 등으로 구현될 수 있다.
도 6은 본 발명의 실시 예에 따른 시스템 복구 방법을 순차적으로 도시한 흐름도이다.
도 6을 참조하면, 본 발명의 실시 예에 따른 시스템 복구 방법은 부팅 신호를 확인하는 단계(S100), 부팅 영역에서 MBR의 백업 유무를 확인하는 단계(S110), MBR 손상 유무를 확인하는 단계(S130), 윈도우 부팅 시작 단계(S150), 업무 수행 단계(S160), 비정상 행위 모니터링 단계(S170), 업무 종료 단계(S180), 복구 모드 선택 단계(S200), 복구 모드 1로 동작하는 단계(S210), 복구 모드 2로 동작하는 단계(S220), 복구 모드 3으로 동작하는 단계, 윈도우 종료 단계(S300), 체크포인트 저장 단계(S310), 파일변경 모니터링 단계(S320), 패치프로그램 관련 여부 판단 단계(S330), 시스템 파일 저장 단계(S350) 및 임시 데이터 저장 단계(S340)를 포함할 수 있다.
구체적으로, 사용자가 사용자 단말(10)의 전원스위치 또는 시작 스위치를 동작시켜 부팅을 실시할 경우 사용자 단말(10)의 내부 메모리의 부팅 영역을 시작하도록 하는 시작 신호를 확인한다(S100). 또한, 복구 모드 1 또는 복구 모드 2로 동작시 재부팅하는 경우도 이에 해당한다.
이어서, 부팅신호가 수신되면 사용자 단말의 하드 디스크 드라이브에 설정된 부팅 영역에서 MBR(Master boot recoder; 이하 'MBR'이라 함)의 백업 유무를 확인한다(S110). 예를 들면, 사용자 단말은 부팅 시 지정된 메모리 영역에 저장되어 있을 경우, 백업된 것으로 간주하고, 지정된 영역에 MBR이 없을 경우 백업되지 않은 것으로 간주한다. 통상적으로, 사용자 단말을 포함하는 컴퓨터는 하드 디스크 드라이브의 지정된 섹터에 MBR이 저장되며, 부팅신호가 수신되면 지정된 섹터의 MBR을 검색하여 MBR 코드를 검사한다. 이때, 미리 지정된 섹터에 MBR이 없을 경우 백업이 이루어지지 않은 것으로 간주하고, MBR을 저장하며, 저장된 메모리 섹터를 지정한다(S120).
MBR이 있을 경우, MBR의 손상 여부를 판단한다(S130). 부팅 시 파티션 정보 및 실행코드 중 어느 하나의 정보 손상이 발생된 것으로 판단되면, MBR을 복원한다(S140).
MRR 손상이 없을 경우 윈도우 부팅을 시작한다(S150).
사용자 단말은 사용자의 일반 업무를 위한 프로세서를 실행한다(S160). 이때, 보안 서버 또는 사용자 단말 또는 관리자 단말은 외부의 비정상적인 접근, 예를 들면, 바이러스, 악성코드, 스파이웨어, 스파이 봇 등에 의한 해킹 등이 모니터링되면 업무를 종료한다(S170, S180).
이어서, 복구모드를 선택한다(S200). 복구모드 선택시 사용자 또는 관리자에 의해 미리 복구모드 1, 2, 3 중 어느 하나가 지정되거나, 복구 모드 선택 메시지가 출력되어 사용자 또는 관리자가 선택하도록 할 수 있다.
복구 모드 1로 선택될 경우, 체크포인트를 이용하여 복구한다(S210). 즉, 복구 모드 1은 사용자 또는 보안 서버에서 미리 설정한 체크포인트를 이용하여 시스템 파일을 복구할 수 있다. 예를 들면, 시스템 파일의 체크포인트 복구를 위하여 설정된 시간, 패치프로그램 설치 시점, 윈도우 종료 시점 등을 기준으로 사용할 수 있다.
이때, 체크포인트는 시간으로 설정될 경우에는 사용자가 특정한 날짜로 설정될 수 있다. 즉, 체크포인트는 사용자가 미리 설정한 특정일자로 설정될 수 있으며, 특정일자를 설정하기 위한 날짜 정보가 미리 제공될 수 있다.
또한, 체크포인트는 패치프로그램 설치 시점으로 설정될 수도 있다. 즉, 체크포인트는 시스템 파일 중 주로 업데이트되는 업데이트가 완료된 패치프로그램의 최종 설치 시점으로 설정될 수 있다.
또한, 체크포인트는 윈도우 종료 시점으로 설정될 수도 있다. 즉, 윈도우 종료 시점 시 설치된 업데이트 패치프로그램 등이 정상적으로 동작하는 것으로 판단이 가능하므로 최종 윈도우 종료 시점을 체크포인트로 설정할 수 있다.
상기와 같이, 체크포인트로 시스템 파일을 복구할 경우 복구시점 이후에 설치되거나, 업데이트된 파일 또는 프로그램은 삭제된다.
복구 모드 2가 선택될 경우 시스템 파일 저장영역에 저장된 시스템 파일 원본 이미지를 이용하여 시스템을 복구할 수 있다(S220). 시스템 파일 원본 이미지는 보안 서버에서 이상이 없는 시스템 파일 원본 이미지가 생성되고, 이러한 원본 이미지는 복구시 해당 사용자 단말 또는 관리자 단말에 제공되거나, 주기적으로 제공될 수 있다.
상기 복구 모드 1 또는 2가 진행된 이후, 윈도우 재부팅을 위하여 부팅 신호 확인 단계(S100)로 회귀한 후 이후 프로세스가 진행된다. 이때, 업무 수행 단계(S160) 내지 업무 종료 단계(S180)는 제외된다.
복구 모드 3이 선택될 경우 윈도우를 종료한다(S300).
이때, 복구 모드 3은 복구 모드 1 또는 복구 모드 2가 동작된 이후 상시적으로 수행되는 단계일 수 있다. 즉, 복구 모드 1 또는 2로 시스템이 복구된 이후, 패치프로그램의 업데이트를 위하여 윈도우를 종료한다.
이때, 윈도우 종료 이전에 상시적으로 패치프로그램을 업데이트하는 단계가 추가될 수 있다. 즉, 시스템 파일의 정상 사용을 위한 업데이트는 외부 시스템 파일 제공 서버에서 상시적으로 패치프로그램이 제공되므로 이러한 패치프로그램이 제공될 경우 사용자 단말 또는 관리자 단말에서는 이를 감지하여 해당 패치프로그램을 업데이트 한다.
윈도우 정상 종료될 경우 상기 패치프로그램 업데이트 정보를 알 수 있도록 체크 포인트를 저장한다(S310). 특히, 정상적인 패치프로그램을 삭제할 경우 추후 복구 이후에 패치프로그램 설치 시간이 소요될 수 있으므로 패치프로그램 업데이트 시 정상적인 패치프로그램이 설치된 시점 또는 영역을 기준으로 체크 포인트가 저장되는 것이 바람직하다.
한편, 윈도우가 정상 종료되지 않을 경우 파일 변경을 모니터링 한다(S320). 보안 서버는 사용자 단말 또는 관리 단말의 윈도우가 정상 종료 되지 않았을 경우 시스템 파일의 변경이 있는지 모니터링하고, 변경된 시스템 파일이 비정상일 경우 복구 선택 모드로 회귀한다.
파일변경 모니터링 결과 변경된 시스템 파일이 정상일 경우 패치프로그램과 관련이 있을 경우 시스템 파일을 저장한다(S330, S350). 이때, 패치프로그램은 추후 복구 시간이 줄어들 수 있도록 패치프로그램이 업데이트된 시스템 파일을 원본 이미지로 사용할 수 있도록 이를 저장하는 것이 바람직하다.
한편, 변경된 파일이 패치프로그램과 관련이 없을 경우 임시 데이터를 저장하고, 이를 포렌식 분석하도록 한다(S340).
이후, 윈도우 종료 단계(S300)로 회귀한다.
상기에서 설명한 시스템 복구 방법에서 복구 모드 1을 먼저 진행하고, 복구 모드 1로 복구가 되지 않을 경우 복구 모드 2로 다시 시스템 복구를 진행할 수 있다. 또한, 복구 모드 1은 설정된 회수 동안 반복 진행된 후, 설정된 회수 이후에도 시스템 복구에 오류가 발생될 경우 복구 모드 2로 진행할 수 있다.
상기와 같이, 본 발명의 실시 예에 따른 네트워크 복구 시스템은 바이러스, 스파이웨어 등에 의해 시스템이 손상되었을 경우 즉각적으로 복구할 수 있으며, 설정된 목표복구시간 또는 데이터 목표복구시점으로 시스템을 복구하여 최대 중단 허용 시간(Maximum Tolerable Period of Disruption)을 줄일 수 있다.
10: 사용자 단말
20: 관리자 단말
30: 시스템 서버
40: 보안 서버
100: 예방 통제 부
200: 탐지 통제 부
300: 교정 통제 부
310: TCP 패킷 태깅 및 인식부
320: 보안 에이전트 관리부
330: 중앙 문서 관리부
340: 사용자 단말 제어부
350: 시스템 복원부
3510: 복구 모드 선택부
3520: 체크포인트 설정부
3530: 원본이미지 저장부
3540: 패치프로그램 업데이트부
3550: 파일변경 모니터링부
3560: 포렌식 분석부
20: 관리자 단말
30: 시스템 서버
40: 보안 서버
100: 예방 통제 부
200: 탐지 통제 부
300: 교정 통제 부
310: TCP 패킷 태깅 및 인식부
320: 보안 에이전트 관리부
330: 중앙 문서 관리부
340: 사용자 단말 제어부
350: 시스템 복원부
3510: 복구 모드 선택부
3520: 체크포인트 설정부
3530: 원본이미지 저장부
3540: 패치프로그램 업데이트부
3550: 파일변경 모니터링부
3560: 포렌식 분석부
Claims (5)
- 내부 내트워크를 이용하는 복수의 사용자 단말, 상기 복수의 사용자 단말 중 적어도 하나에서 생성되는 복수의 주요 정보 또는 문서 정보를 저장하는 시스템 서버, 상기 복수의 사용자 단말을 관리하는 관리자 단말 및 상기 사용자 단말, 관리자 단말 및 시스템 서버를 보호하는 보안 서버를 구비하는 네트워크의 복구 시스템에 있어서,
상기 보안 서버는
상기 복수의 주요 정보 또는 문서 정보들 중 외부 해킹으로부터 공격대상이 되는 중요 문서를 식별하고 위험 요소를 분석하여, 외부의 접근을 통제하도록 사용자 단말의 접근을 제한하도록 설정하는 예방 통제 모듈;
상기 중요 문서로 접근하는 네트워크 트래픽을 감시하고, 상기 중요 문서로 접근하는 네트워크 트래픽을 발생시킨 사용자 단말의 로그 파일을 저장하며, 상기 사용자 단말에서 해킹을 포함하는 비정상행위가 모니터링 되면 해당 사용자 단말의 업무를 종료시키는 탐지 통제 모듈; 및
상기 복수의 사용자 단말들이 상기 시스템 서버에 접속 시 백업 시스템 이미지를 생성하여 저장하며, 상기 복수의 사용자 단말들 중 상기 비정상행위가 모니터링될 경우 상기 백업 시스템 이미지를 통해 복원 작업을 수행하는 교정 통제 모듈을 포함하되,
상기 교정 통제 모듈은
상기 사용자 단말이 상기 바이러스, 악성코드, 스파이웨어 중 적어도 하나에 감염된 것으로 판단되면, 미리 설정된 체크 포인트로 복구하는 복구 모드 1, 시스템 파일의 원본 이미지로 복구하는 복구 모드 2 및 윈도우 종료 이전에 시스템 파일과 관련된 패치프로그램을 업데이트하는 복구 모드 3 중 어느 하나를 실행하는 것을 특징으로 하는 지능형 지속위협 환경의 네트워크 복구 시스템. - 제 1 항에 있어서,
상기 교정 통제 모듈은
상기 사용자 단말에서 발생한 네트워크 트래픽 또는 네트워크 패킷에 고유 아이디를 태깅하는 TCP 태깅 및 인식부;
상기 사용자 단말에 설치되는 보안 에이전트의 설치를 감시하고, 상기 보안 에이전트가 미설치된 사용자 단말에 보안 에이전트를 전송하는 보안 에이전트 관리부;
상기 사용자 단말에서 인증을 수행하지 않고 상기 주요 정보 또는 문서 정보에 접근 시 이를 외부 공격으로 판단하고, 상기 시스템 서버로 접근하는 것을 차단하는 사용자 단말 제어부; 및
상기 사용자 단말이 상기 바이러스, 악성코드, 스파이웨어 중 적어도 하나에 감염된 것으로 판단되며 감염된 사용자 단말의 백업 이미지를 저장하고, 감염 이전 상태로 복원하는 시스템 복원부를 포함하되,
상기 시스템 복원부는
상기 복구 모드 1 내지 3 중 적어도 하나가 선택되도록 하는 복구 모드 선택부를 포함하는 지능형 지속위협 환경의 네트워크 복구 시스템. - 제 2 항에 있어서,
상기 시스템 복원부는
상기 복구 모드 1로 동작시 시간, 패치프로그램 설치 시점, 윈도우 종료 시점 중 적어도 하나를 상기 체크 포인트로 설정하는 체크 포인 설정부를 더 포함하는 지능형 지속위협 환경의 네트워크 복구 시스템. - 제 3 항에 있어서,
상기 시스템 복원부는
상기 복구 모드 2로 동작 시 상기 윈도우가 정상적으로 종료되지 않을 경우 상기 시스템 파일의 파일 변경을 모니터링 하는 파일변경 모니터링부;
상기 파일변경 모니터링부에서 모니터링 결과, 상기 시스템 파일의 파일 변경이 상기 패치프로그램의 업데이트와 관련된 파일일 경우 변경된 파일을 포함하는 시스템 파일을 원본 이미지로 저장하는 원본 이미지 저장부를 더 포함하는 지능형 지속위협 환경의 네트워크 복구 시스템. - 제 3 항에 있어서,
상기 시스템 복원부는
상기 패치프로그램을 업데이트하는 패치프로그램 업데이트부를 더 포함하는 지능형 지속위협 환경의 네트워크 복구 시스템.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160138079A KR101872605B1 (ko) | 2016-10-24 | 2016-10-24 | 지능형 지속위협 환경의 네트워크 복구 시스템 |
| PCT/KR2016/012033 WO2018079867A1 (ko) | 2016-10-24 | 2016-10-26 | 지능형 지속위협 환경의 네트워크 복구 시스템을 이용한 복구 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160138079A KR101872605B1 (ko) | 2016-10-24 | 2016-10-24 | 지능형 지속위협 환경의 네트워크 복구 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20180044507A true KR20180044507A (ko) | 2018-05-03 |
| KR101872605B1 KR101872605B1 (ko) | 2018-06-28 |
Family
ID=62244739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160138079A KR101872605B1 (ko) | 2016-10-24 | 2016-10-24 | 지능형 지속위협 환경의 네트워크 복구 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101872605B1 (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190058892A (ko) * | 2017-11-22 | 2019-05-30 | 숭실대학교산학협력단 | 적응형 동적 분석 방법, 적응형 동적 분석 플랫폼 및 이를 탑재한 장치 |
| CN112419130A (zh) * | 2020-11-17 | 2021-02-26 | 北京京航计算通讯研究所 | 基于网络安全监控和数据分析的应急响应系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110023114A1 (en) * | 2009-07-22 | 2011-01-27 | Wael William Diab | Method and System For Traffic Management Via Virtual Machine Migration |
| KR20130129184A (ko) * | 2010-08-25 | 2013-11-27 | 룩아웃, 인코포레이티드 | 서버 결합된 멀웨어 방지를 위한 시스템 및 방법 |
-
2016
- 2016-10-24 KR KR1020160138079A patent/KR101872605B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110023114A1 (en) * | 2009-07-22 | 2011-01-27 | Wael William Diab | Method and System For Traffic Management Via Virtual Machine Migration |
| KR20130129184A (ko) * | 2010-08-25 | 2013-11-27 | 룩아웃, 인코포레이티드 | 서버 결합된 멀웨어 방지를 위한 시스템 및 방법 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20190058892A (ko) * | 2017-11-22 | 2019-05-30 | 숭실대학교산학협력단 | 적응형 동적 분석 방법, 적응형 동적 분석 플랫폼 및 이를 탑재한 장치 |
| US10671729B2 (en) | 2017-11-22 | 2020-06-02 | Foundation Of Soongsil University-Industry Cooperation | Adaptive dynamic analysis method, adaptive dynamic analysis platform, and device equipped with the same |
| CN112419130A (zh) * | 2020-11-17 | 2021-02-26 | 北京京航计算通讯研究所 | 基于网络安全监控和数据分析的应急响应系统及方法 |
| CN112419130B (zh) * | 2020-11-17 | 2024-02-27 | 北京京航计算通讯研究所 | 基于网络安全监控和数据分析的应急响应系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101872605B1 (ko) | 2018-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101744631B1 (ko) | 네트워크 보안 시스템 및 보안 방법 | |
| US10331884B2 (en) | Method and system for countering ransomware | |
| EP3486824B1 (en) | Determine malware using firmware | |
| US9853994B2 (en) | Attack analysis system, cooperation apparatus, attack analysis cooperation method, and program | |
| US20180375826A1 (en) | Active network backup device | |
| US7607041B2 (en) | Methods and apparatus providing recovery from computer and network security attacks | |
| US20100175108A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
| US20100199351A1 (en) | Method and system for securing virtual machines by restricting access in connection with a vulnerability audit | |
| US20070094496A1 (en) | System and method for kernel-level pestware management | |
| EP2637121A1 (en) | A method for detecting and removing malware | |
| KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
| EP3014515B1 (en) | Systems and methods for directing application updates | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| KR101828600B1 (ko) | 상황 인식 기반의 랜섬웨어 탐지 | |
| RU2583714C2 (ru) | Агент безопасности, функционирующий на уровне встроенного программного обеспечения, с поддержкой безопасности уровня операционной системы | |
| Alzahrani et al. | Ransomware in windows and android platforms | |
| JP4462849B2 (ja) | データの保護装置、方法およびプログラム | |
| US20060015939A1 (en) | Method and system to protect a file system from viral infections | |
| KR101872605B1 (ko) | 지능형 지속위협 환경의 네트워크 복구 시스템 | |
| KR20110131627A (ko) | 악성 코드 진단 및 복구 장치, 그리고 이를 위한 단말 장치 | |
| KR101904415B1 (ko) | 지능형 지속위협 환경에서의 시스템 복구 방법 | |
| Alzahrani et al. | An overview of ransomware in the windows platform | |
| EP3369029B1 (en) | Techniques for automated application analysis | |
| Kono et al. | An unknown malware detection using execution registry access | |
| KR102211846B1 (ko) | 랜섬웨어 탐지 시스템 및 그의 동작 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right |