[go: up one dir, main page]

KR20050107651A - System and method for preventing from network virus, and computer-readable storage medium recorded program thereof - Google Patents

System and method for preventing from network virus, and computer-readable storage medium recorded program thereof Download PDF

Info

Publication number
KR20050107651A
KR20050107651A KR1020040032646A KR20040032646A KR20050107651A KR 20050107651 A KR20050107651 A KR 20050107651A KR 1020040032646 A KR1020040032646 A KR 1020040032646A KR 20040032646 A KR20040032646 A KR 20040032646A KR 20050107651 A KR20050107651 A KR 20050107651A
Authority
KR
South Korea
Prior art keywords
virus
network
blocking
computer
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020040032646A
Other languages
Korean (ko)
Other versions
KR100602147B1 (en
Inventor
권오현
이창환
김재희
김성준
Original Assignee
정보통신연구진흥원
주식회사 하우리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 정보통신연구진흥원, 주식회사 하우리 filed Critical 정보통신연구진흥원
Priority to KR1020040032646A priority Critical patent/KR100602147B1/en
Publication of KR20050107651A publication Critical patent/KR20050107651A/en
Application granted granted Critical
Publication of KR100602147B1 publication Critical patent/KR100602147B1/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04RLOUDSPEAKERS, MICROPHONES, GRAMOPHONE PICK-UPS OR LIKE ACOUSTIC ELECTROMECHANICAL TRANSDUCERS; DEAF-AID SETS; PUBLIC ADDRESS SYSTEMS
    • H04R19/00Electrostatic transducers
    • H04R19/02Loudspeakers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04RLOUDSPEAKERS, MICROPHONES, GRAMOPHONE PICK-UPS OR LIKE ACOUSTIC ELECTROMECHANICAL TRANSDUCERS; DEAF-AID SETS; PUBLIC ADDRESS SYSTEMS
    • H04R7/00Diaphragms for electromechanical transducers; Cones
    • H04R7/02Diaphragms for electromechanical transducers; Cones characterised by the construction
    • H04R7/04Plane diaphragms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04RLOUDSPEAKERS, MICROPHONES, GRAMOPHONE PICK-UPS OR LIKE ACOUSTIC ELECTROMECHANICAL TRANSDUCERS; DEAF-AID SETS; PUBLIC ADDRESS SYSTEMS
    • H04R7/00Diaphragms for electromechanical transducers; Cones
    • H04R7/16Mounting or tensioning of diaphragms or cones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04RLOUDSPEAKERS, MICROPHONES, GRAMOPHONE PICK-UPS OR LIKE ACOUSTIC ELECTROMECHANICAL TRANSDUCERS; DEAF-AID SETS; PUBLIC ADDRESS SYSTEMS
    • H04R2307/00Details of diaphragms or cones for electromechanical transducers, their suspension or their manufacture covered by H04R7/00 or H04R31/003, not provided for in any of its subgroups
    • H04R2307/025Diaphragms comprising polymeric materials

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Acoustics & Sound (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

개시된 본 발명은 네트워크망 내에서 바이러스를 유포하는 컴퓨터를 차단하기 위한 네트워크 바이러스 차단 시스템 및 방법과 그 프로그램을 기록한 기록매체에 관한 것으로서, 네트워크 상의 패킷을 수집하는 모니터링 단계와, 패킷을 파싱하는 분석단계와, 파싱된 패킷에 바이러스가 존재하는지 검사하는 바이러스 탐지단계와, 바이러스가 탐지되면 바이러스 유포 컴퓨터를 차단시키는 차단단계를 포함하여, 네트워크망 내에서 바이러스를 유포하는 컴퓨터를 차단하고, 네트워크 공유를 통해 바이러스에 감염된 컴퓨터를 치료할 수 있다.The present invention relates to a network virus blocking system and method for blocking a computer spreading a virus in a network, and a recording medium recording the program, comprising: a monitoring step of collecting packets on a network, and an analysis step of parsing the packets And a virus detection step of checking whether a virus exists in the parsed packet, and a blocking step of blocking a virus distribution computer if a virus is detected. It can heal computers infected with viruses.

Description

네트워크 바이러스 차단 시스템 및 방법과 그 프로그램을 기록한 기록매체{SYSTEM AND METHOD FOR PREVENTING FROM NETWORK VIRUS, AND COMPUTER-READABLE STORAGE MEDIUM RECORDED PROGRAM THEREOF}SYSTEM AND METHOD FOR PREVENTING FROM NETWORK VIRUS, AND COMPUTER-READABLE STORAGE MEDIUM RECORDED PROGRAM THEREOF}

본 발명은 네트워크망 내에서 바이러스를 유포하는 컴퓨터를 차단하기 위한 네트워크 바이러스 차단 시스템 및 방법과 그 프로그램을 기록한 기록매체에 관한 것이다.The present invention relates to a network virus protection system and method for blocking a computer spreading a virus in a network and a recording medium recording the program.

기존의 컴퓨터 바이러스는 주로 디스켓을 통하여 감염이 이루어졌으나, 최근에는 전자우편이나 인터넷을 통한 외부로부터의 감염이 주류를 이루고 있다. 네트워크와 인터넷이 일반적으로 보급되면서 바이러스의 감염속도와 범위도 매우 빠른 속도로 발전하고 있으며, 그 피해 또한 심각하게 증가하고 있다.Existing computer viruses are mainly infected through diskettes, but recently, infections from outside via email or the Internet have become mainstream. As the network and the Internet spread in general, the infection rate and range of viruses are developing at a very rapid rate, and the damage is also seriously increasing.

네트워크 환경에서 모든 컴퓨터가 안전하려면 컴퓨터마다 바이러스 백신 프로그램이 설치되어 있어야 하나, 여러 가지 이유로 100%의 설치와 유지관리가 이루어지지 못하고 있다.In order to be safe for all computers in a network environment, antivirus programs must be installed on each computer, but 100% of the installation and maintenance is not possible for various reasons.

이와 같이 종래의 바이러스 대응기술은 주로 호스트를 기반으로 하기 때문에, 네트워크 내부에서 바이러스가 전파될 경우 컴퓨터 각각의 백신설치 여부에 따라 바이러스 면역 정도가 좌우되는 문제점이 있다.As described above, since the conventional virus response technology is mainly based on a host, there is a problem that the degree of virus immunity depends on whether each computer is installed with a virus when a virus is propagated in a network.

또, 네트워크망 내부의 컴퓨터가 한 대라도 바이러스에 감염되면, 계속하여 네트워크에 공유되어 있는 다른 컴퓨터로의 감염을 시도하게 된다. 따라서, 처음에는 한 대에 불과했던 바이러스 감염 컴퓨터가 순식간에 증가하면서 네트워크 트래픽을 폭주시키므로 네트워크 전체가 다운되는 문제점 등이 있다.Also, if any computer inside the network is infected with a virus, it will continue to try to infect other computers that are shared on the network. Therefore, there is a problem that the entire network is down because virus-infected computers, which were initially only one, rapidly increase network traffic.

본 발명은 이러한 문제점을 해결하기 위해 안출한 것으로, 본 발명은 네트워크망 내에서 바이러스를 유포하는 컴퓨터를 차단하기 위한 네트워크 바이러스 차단 시스템 및 방법과 그 프로그램을 기록한 기록매체를 제공함에 그 목적이 있다. The present invention has been made to solve the above problems, and an object of the present invention is to provide a network virus blocking system and method for blocking a computer spreading viruses in a network and a recording medium recording the program.

본 발명의 다른 목적은 네트워크 공유를 통해 바이러스에 감염된 컴퓨터를 치료하기 위한 네트워크 바이러스 차단 시스템 및 방법과 그 프로그램을 기록한 기록매체를 제공하는 것이다.Another object of the present invention is to provide a network virus blocking system and method for treating a computer infected with a virus through network sharing, and a recording medium recording the program.

본 발명의 또 다른 목적은 네트워크 내부의 컴퓨터 전체에 백신 프로그램이 설치되어 있지 않더라도 바이러스로부터의 피해를 최소화하기 위한 네트워크 바이러스 차단 시스템 및 방법과 그 프로그램을 기록한 기록매체를 제공하는 것이다.It is still another object of the present invention to provide a network virus blocking system and method for minimizing damage from viruses even if a vaccine program is not installed in an entire computer inside a network, and a recording medium recording the program.

상기와 같은 목적을 달성하기 위한 본 발명의 일 실시예는 네트워크 상의 패킷을 수집하는 모니터링 단계; 상기 패킷을 파싱하는 분석단계; 상기 파싱된 패킷에 바이러스가 존재하는지 검사하는 바이러스 탐지단계; 및 바이러스가 탐지되면 바이러스 유포 컴퓨터를 차단시키는 차단단계를 포함하는 네트워크 바이러스 차단 방법을 제공한다.One embodiment of the present invention for achieving the above object is a monitoring step of collecting packets on the network; Parsing the packet; A virus detection step of checking whether a virus exists in the parsed packet; And a blocking step of blocking a virus spreading computer when a virus is detected.

상기 바이러스 탐지단계는 상기 파싱된 패킷을 미리 지정된 패턴코드와 비교하여 웜바이러스가 존재하는지 검사하는 것을 특징으로 한다.The virus detection step is characterized by comparing the parsed packet with a predetermined pattern code to check whether a worm virus exists.

상기 차단단계는 바이러스 유포 컴퓨터에 FIN 신호 또는 ICMP 패킷을 전송하여 네트워크 연결을 차단하는 것을 특징으로 한다.The blocking step is characterized by blocking the network connection by transmitting a FIN signal or ICMP packet to the virus distribution computer.

본 발명의 다른 실시예에서, 상기 분석단계는 상기 패킷을 파싱하여 파일변경이나 복사 또는 생성과 관련된 명령이 포함되어 있는지 분석하고, 상기 바이러스 탐지단계는 상기 패킷에 파일변경이나 복사 또는 생성과 관련된 명령이 포함되어 있으면 해당 네트워크 경로의 파일이 바이러스에 감염되었는지 검사하고, 상기 차단단계는 바이러스 감염이 탐지되면 바이러스 유포 컴퓨터를 차단시키는 것을 특징으로 하는 네트워크 바이러스 차단방법을 제공한다.In another embodiment of the present invention, the analyzing step parses the packet and analyzes whether it includes a command related to a file change, a copy or a creation, and the virus detecting step includes a command related to a file change, a copy, or a creation in the packet. If it is included, it checks whether the file of the network path is infected with a virus, and the blocking step provides a network virus blocking method characterized in that the virus distribution computer is blocked when a virus infection is detected.

상기 바이러스 탐지단계는 상기 네트워크 경로에 해당하는 파일을 읽고 바이러스 패턴과 매칭하는 코드가 있는지 검색하여 바이러스를 탐지하는 것을 특징으로 한다.The virus detecting step is characterized by detecting a virus by reading a file corresponding to the network path and searching for a code matching a virus pattern.

상기 바이러스 탐지단계는 해당 네트워크 경로의 파일을 치료하는 것을 특징으로 한다.The virus detection step is characterized in that for treating the file of the network path.

상기 차단단계는 상기 바이러스 유포 컴퓨터와 동일한 중복IP를 사용하여 ARP(Address Resolution Protocol ; 주소결정 프로토콜) 요청신호를 브로드캐스팅 하는 제 1 단계; 상기 네트워크상의 다른 컴퓨터로부터 수신한 응답신호를 폐기하는 제 2 단계; 및 상기 바이러스 유포 컴퓨터로부터 ARP 요청신호가 수신되면 상기 제 1 단계와 상기 제 2 단계를 반복하는 제 3 단계를 포함하는 것을 특징으로 한다.The blocking step may include: a first step of broadcasting an ARP (Address Resolution Protocol) request signal using the same duplicate IP as the virus distribution computer; Discarding a response signal received from another computer on the network; And a third step of repeating the first step and the second step when an ARP request signal is received from the virus distribution computer.

상기 두 가지 방법 실시예에서, 상기 차단단계는 미리 설정되어 있는 차단정책을 만족하면 상기 바이러스 유포 컴퓨터를 차단시키는 것을 특징으로 한다.In the two method embodiments, the blocking step is characterized in that the virus distribution computer is blocked when a predetermined blocking policy is satisfied.

그리고, 상기 차단단계는 시간, 바이러스 유포 컴퓨터의 IP, 바이러스 감염 컴퓨터의 IP, 바이러스명을 포함하는 바이러스 유포 컴퓨터 차단정보를 출력하는 것을 특징으로 한다.The blocking step may output virus distribution computer blocking information including time, IP of a virus distribution computer, IP of a virus infected computer, and a virus name.

본 발명의 또 다른 실시예는 네트워크 상의 패킷을 수집하는 모니터링 프로세스; 상기 패킷을 파싱하는 분석 프로세스; 상기 파싱된 패킷에 바이러스가 존재하는지 검사하는 바이러스 탐지 프로세스; 및 바이러스가 탐지되면 바이러스 유포 컴퓨터를 차단시키는 차단 프로세스를 포함하는 네트워크 바이러스 차단 프로그램을 기록한 기록매체를 제공한다.Yet another embodiment of the present invention provides a monitoring process for collecting packets on a network; An analysis process for parsing the packet; A virus detection process that checks for the presence of a virus in the parsed packet; And a recording medium recording a network virus protection program including a blocking process for blocking a virus spreading computer when a virus is detected.

상기 바이러스 탐지프로세스는 상기 파싱된 패킷을 미리 지정된 패턴코드와 비교하여 웜바이러스가 존재하는지 검사하는 것을 특징으로 한다.The virus detection process checks whether a worm virus exists by comparing the parsed packet with a predetermined pattern code.

상기 차단프로세스는 바이러스 유포 컴퓨터에 FIN 신호 또는 ICMP 패킷을 전송하여 네트워크 연결을 차단하는 것을 특징으로 한다.The blocking process is characterized by blocking the network connection by transmitting a FIN signal or ICMP packet to the virus distribution computer.

본 발명의 또 다른 실시예에서, 상기 분석프로세스는 상기 패킷을 파싱하여 파일변경이나 복사 또는 생성과 관련된 명령이 포함되어 있는지 분석하고, 상기 바이러스 탐지프로세스는 상기 패킷에 파일변경이나 복사 또는 생성과 관련된 명령이 포함되어 있으면 해당 네트워크 경로의 파일이 바이러스에 감염되었는지 검사하고, 상기 차단프로세스는 바이러스 감염이 탐지되면 바이러스 유포 컴퓨터를 차단시키는 것을 특징으로 하는 네트워크 바이러스 차단 프로그램을 기록한 기록매체를 제공한다.In another embodiment of the present invention, the analysis process parses the packet and analyzes whether it contains a command related to a file change, a copy or a creation, and the virus detection process is related to a file change, a copy or a creation in the packet. If a command is included, the file of the corresponding network path is scanned for a virus infection, and the blocking process provides a recording medium for recording a network virus blocking program, characterized in that the virus distribution computer is blocked when a virus infection is detected.

상기 바이러스 탐지프로세스는 상기 네트워크 경로에 해당하는 파일을 읽고 바이러스 패턴과 매칭하는 코드가 있는지 검색하여 바이러스를 탐지하는 것을 특징으로 한다.The virus detection process detects a virus by reading a file corresponding to the network path and searching for a code matching a virus pattern.

상기 바이러스 탐지프로세스는 해당 네트워크 경로의 파일을 치료하는 것을 특징으로 한다.The virus detection process is characterized in that the file of the network path to be treated.

상기 차단프로세스는 상기 바이러스 유포 컴퓨터와 동일한 중복IP를 사용하여 ARP(Address Resolution Protocol ; 주소결정 프로토콜) 요청신호를 브로드캐스팅 하는 제 1 프로세스; 상기 네트워크상의 다른 컴퓨터로부터 수신한 응답신호를 폐기하는 제 2 프로세스; 및 상기 바이러스 유포 컴퓨터로부터 ARP 요청신호가 수신되면 상기 제 1 프로세스와 상기 제 2 프로세스를 반복하는 제 3 프로세스를 포함하는 것을 특징으로 한다.The blocking process includes a first process of broadcasting an ARP (Address Resolution Protocol) request signal using the same redundant IP as the virus spreading computer; A second process of discarding a response signal received from another computer on the network; And a third process of repeating the first process and the second process when an ARP request signal is received from the virus distributing computer.

상기 두 가지 기록매체 실시예에서, 상기 차단프로세스는 미리 설정되어 있는 차단정책을 만족하면 상기 바이러스 유포 컴퓨터를 차단시키는 것을 특징으로 한다.In the two recording medium embodiments, the blocking process blocks the virus distributing computer when a predetermined blocking policy is satisfied.

그리고, 상기 차단프로세스는 시간, 바이러스 유포 컴퓨터의 IP, 바이러스 감염 컴퓨터의 IP, 바이러스명을 포함하는 바이러스 유포 컴퓨터 차단정보를 출력하는 것을 특징으로 한다.The blocking process may output virus distribution computer blocking information including a time, an IP of a virus distribution computer, an IP of a virus infected computer, and a virus name.

본 발명의 또 다른 실시예는 네트워크 상의 패킷을 수집하는 모니터링 수단; 상기 모니터링 수단에서 수집한 패킷을 파싱하는 분석수단; 상기 파싱된 패킷에 바이러스가 존재하는지 검사하는 바이러스 탐지수단; 및 바이러스가 탐지되면 바이러스 유포 컴퓨터를 차단시키는 네트워크 차단수단을 포함하는 네트워크 바이러스 차단장치를 제공한다.Yet another embodiment of the present invention provides an apparatus for monitoring a network, comprising: monitoring means for collecting a packet on a network; Analysis means for parsing the packets collected by the monitoring means; Virus detection means for examining whether a virus exists in the parsed packet; And a network blocking means for blocking the virus spreading computer when a virus is detected.

상기 바이러스 탐지수단은 상기 파싱된 패킷을 미리 지정된 패턴코드와 비교하여 웜바이러스가 존재하는지 검사하는 것을 특징으로 한다.The virus detecting means checks whether a worm virus exists by comparing the parsed packet with a predetermined pattern code.

상기 차단수단은 바이러스 유포 컴퓨터에 FIN 신호 또는 ICMP 패킷을 전송하여 네트워크 연결을 차단하는 것을 특징으로 한다.The blocking means is characterized by blocking the network connection by transmitting a FIN signal or ICMP packet to the virus distribution computer.

본 발명의 또 다른 실시예에서는, 상기 분석수단이 상기 패킷을 파싱하여 파일변경이나 복사 또는 생성과 관련된 명령이 포함되어 있는지 분석하고, 상기 패킷에 파일변경이나 복사 또는 생성과 관련된 명령이 포함되어 있으면 상기 바이러스 탐지수단이 해당 네트워크 경로의 파일이 바이러스에 감염되었는지 검사하고, 바이러스 감염이 탐지되면 상기 차단수단이 바이러스 유포 컴퓨터를 차단시키는 것을 특징으로 하는 네트워크 바이러스 차단장치를 제공한다.In another embodiment of the present invention, the analyzing means parses the packet and analyzes whether it contains a command related to a file change or a copy or a generation, and if the packet includes a command related to a file change, a copy or a generation, The virus detecting means checks whether a file in the corresponding network path is infected with a virus, and if a virus infection is detected, the blocking means blocks a virus distributing computer.

상기 바이러스 탐지수단은 상기 네트워크 경로에 해당하는 파일을 읽고 바이러스 패턴과 매칭하는 코드가 있는지 검색하여 바이러스를 탐지하며, 해당 네트워크 경로의 파일을 치료하는 것을 특징으로 한다.The virus detecting means detects a virus by reading a file corresponding to the network path, searching for a code matching a virus pattern, and treating a file of the corresponding network path.

상기 차단수단은 미리 설정되어 있는 차단정책을 만족하면 상기 바이러스 유포 컴퓨터를 차단시키는 것을 특징으로 한다.The blocking means may block the virus distributing computer if the blocking policy is set in advance.

상기 차단수단은 시간, 바이러스 유포 컴퓨터의 IP, 바이러스 감염 컴퓨터의 IP, 바이러스명을 포함하는 바이러스 유포 컴퓨터 차단정보를 출력하는 것을 특징으로 한다.The blocking means may output virus distribution computer blocking information including a time, an IP of a virus distribution computer, an IP of a virus infected computer, and a virus name.

상기 차단수단은 상기 바이러스 유포 컴퓨터와 동일한 중복IP를 사용하여 ARP(Address Resolution Protocol ; 주소결정 프로토콜) 요청신호를 브로드캐스팅 한 후, 상기 네트워크상의 다른 컴퓨터로부터 수신한 응답신호를 폐기하고, 상기 바이러스 유포 컴퓨터로부터 ARP 요청신호가 수신되면 상기 중복IP를 사용한 브로드캐스팅과 응답신호의 폐기를 반복하는 것을 특징으로 한다.The blocking means broadcasts an ARP (Address Resolution Protocol) request signal using the same duplicate IP as the virus distribution computer, discards the response signal received from another computer on the network, and distributes the virus. When the ARP request signal is received from the computer, it is characterized by repeating the broadcasting using the redundant IP and discarding the response signal.

본 발명의 목적과 특징 및 장점은 첨부 도면 및 다음의 상세한 설명을 참조함으로써 더욱 쉽게 이해될 수 있을 것이다.The objects, features and advantages of the present invention will be more readily understood by reference to the accompanying drawings and the following detailed description.

본 발명은 네트워크망 내에서 바이러스를 유포하는 컴퓨터를 차단하기 위한 방법 및 그를 지원하도록 구현되는 시스템을 바람직한 실시예로 제안한다.The present invention proposes as a preferred embodiment a method for blocking a computer spreading a virus in a network and a system implemented to support the same.

이하의 설명에서는 특정 프로그램이 원격설치 대상인 경우를 예로 들어 설명하기로 한다.In the following description, a case where a specific program is a remote installation target will be described as an example.

본 발명의 바람직한 실시예는 본 발명방법을 컴퓨터 시스템에서 실행할 수 있도록 구현된 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 포함한다. 이러한 기록매체에는 자기 저장매체(예를 들면, 플로피 디스크, 하드 디스크 등)와 광학 저장매체(예를 들면, CD, DVD 등) 등이 포함된다.A preferred embodiment of the present invention includes a computer readable recording medium having recorded thereon a program implemented to execute the method of the present invention on a computer system. Such recording media include magnetic storage media (e.g., floppy disks, hard disks, etc.) and optical storage media (e.g., CDs, DVDs, etc.).

도 1은 본 발명에 따른 네트워크 바이러스 차단 시스템을 개괄적으로 설명하기 위한 구성도이다. 이하의 설명에서는 바이러스에 감염된 A 컴퓨터가 네트워크 공유접근을 통해서 B 컴퓨터를 감염시키려는 경우를 예로 들어 설명하기로 한다.1 is a configuration diagram for schematically explaining a network virus blocking system according to the present invention. In the following description, a case where computer A infected with a virus attempts to infect computer B through a network sharing access will be described as an example.

네트워크 바이러스 차단장치(100)는 스위치단(S/W)에 연결되어 있는 컴퓨터(10) 내부에 설치되어 있거나, 또는 독립적으로 스위치단에 연결될 수 있다. 이 때, 스위치단은 모든 패킷을 읽어 들일 수 있도록 세팅되어 있는 것이 바람직하다.The network virus protection device 100 may be installed inside the computer 10 connected to the switch stage S / W, or may be independently connected to the switch stage. At this time, it is preferable that the switch stage is set to read all packets.

도면에 도시하지는 않았지만, 네트워크 바이러스 차단 시스템은 네트워크 바이러스 차단장치(100)를 관리하기 위한 관리서버를 더 포함할 수 있다.Although not shown, the network virus protection system may further include a management server for managing the network virus protection device 100.

도 2는 네트워크 바이러스 차단장치의 일실시예를 나타낸 블록 구성도이다.Figure 2 is a block diagram showing an embodiment of a network virus protection device.

네트워크 바이러스 차단장치(100)는 네트워크 상의 패킷을 수집하는 모니터링 수단(110)과, 모니터링 수단(100)에서 수집한 패킷을 파싱하는 분석수단(120)과, 파싱된 패킷에 바이러스가 존재하는지 검사하는 바이러스 탐지수단(130)과, 바이러스가 탐지되면 바이러스 유포 컴퓨터를 차단시키는 네트워크 차단수단(140)을 포함한다.The network virus protection device 100 includes a monitoring means 110 for collecting packets on a network, an analysis means 120 for parsing packets collected by the monitoring means 100, and a test for checking whether a virus exists in the parsed packet. Virus detection means 130, and a network blocking means 140 for blocking the virus distribution computer when a virus is detected.

도 3a는 모니터링 수단의 일실시예를 나타낸 블록 구성도이다.Figure 3a is a block diagram showing an embodiment of the monitoring means.

모니터링 수단(110)은 네트워크상의 모든 패킷을 덤프하는 덤프부(112)와, 덤프된 패킷 중에서 일부 패킷만을 필터링하는 필터부(114)와, 필터링된 패킷을 저장하는 큐잉부(116)를 포함한다.The monitoring means 110 includes a dump unit 112 for dumping all packets on the network, a filter unit 114 for filtering only some packets among the dumped packets, and a queuing unit 116 for storing the filtered packets. .

본 발명에서는 웜바이러스와 네트워크 공유를 통한 바이러스 모두를 차단하도록 구성한 경우를 설명하기로 하며, 각각 독립적인 장치로 구현할 수도 있다.In the present invention, a case in which both the worm virus and the virus through a network share are configured to be described will be described, and each may be implemented as an independent device.

도 3b는 분석수단의 일실시예를 나타낸 블록 구성도이다.Figure 3b is a block diagram showing an embodiment of the analysis means.

도 3을 참조하면, 분석수단(120)은 기본적으로 TCP/IP 파서부(122)를 포함하며, 네트워크의 공유를 통한 바이러스 분석을 위해서 네트워크 공유 파서부(128)를 더 포함한다. 네트워크 공유 파서부(128)는 SMB(Server Message Block; 파일 공유 프로토콜)와 CIFS(Common Internet File System)와 같은 네트워크 공유 프로토콜을 파싱할 수 있도록 구성되는 것이 바람직하다.Referring to FIG. 3, the analyzing means 120 basically includes a TCP / IP parser 122, and further includes a network sharing parser 128 for virus analysis through sharing of a network. The network share parser unit 128 is preferably configured to parse network sharing protocols such as Server Message Block (SMB) and Common Internet File System (CIFS).

그리고, 세션별 파싱을 확장하기 위해서 IPX/SPX 파서부(124)와 NetBios(126)를 더 포함할 수 있다.The IPX / SPX parser 124 and the NetBios 126 may be further included to extend parsing per session.

도 3c는 바이러스 탐지수단과 네트워크 차단수단의 일실시예를 나타낸 블록 구성도이다.Figure 3c is a block diagram showing an embodiment of the virus detection means and network blocking means.

도 4는 본 발명에 따른 네트워크 바이러스 차단방법의 일실시예를 나타낸 순서도로서, 네트워크 공유를 통한 바이러스 유포 컴퓨터의 차단과정을 나타낸 것이다.Figure 4 is a flow chart showing an embodiment of a network virus blocking method according to the present invention, showing a process of blocking the virus distribution computer via a network share.

이상과 같이 구성된 본 발명에서 네트워크 바이러스 차단 시스템이 네트워크상의 패킷을 모니터링하여 바이러스에 감염된 파일이 발견되면 해당 파일을 치료 하고, 바이러스를 유포한 컴퓨터를 차단하는 과정을 도 1 내지 도 4를 참조하여 자세히 설명하면 다음과 같다.In the present invention configured as described above, when the network virus blocking system monitors a packet on a network and detects a file infected with a virus, the process of treating the corresponding file and blocking the computer spreading the virus is described in detail with reference to FIGS. 1 to 4. The explanation is as follows.

먼저, 네트워크 공유를 통한 바이러스 유포 컴퓨터의 차단과정을 설명한다.First, the process of blocking the virus distribution computer through the network share will be described.

네트워크 바이러스 차단장치(100)의 모니터링 수단(110)은 네트워크상의 패킷을 수집하여 임시로 저장한다(S200). 덤프부(112)가 네트워크 카드(11)로부터 네트워크상의 모든 패킷을 덤프하고, 필터부(114)가 덤프된 패킷 중에서 일부 패킷만을 통과시킨다.The monitoring means 110 of the network virus protection device 100 collects and temporarily stores packets on the network (S200). The dump unit 112 dumps all packets on the network from the network card 11, and the filter unit 114 passes only some packets among the dumped packets.

제 1 필터부(114a)는 이더넷(ethernet) 기반의 패킷을 통과시키며, 제 1 필터부(114a)를 통과한 패킷은 제 1 큐잉부(116a)에 임시 저장된다. 그리고, 제 2 필터부(114b)는 제 1 필터부(114a)에서 필터링된 패킷 중 네트워크 공유 포트를 사용하는 패킷을 필터링하여 제 2 큐잉부(116b)에 임시 저장한다.The first filter unit 114a passes an Ethernet-based packet, and the packet passing through the first filter unit 114a is temporarily stored in the first queuing unit 116a. The second filter 114b filters the packets using the network sharing port among the packets filtered by the first filter 114a and temporarily stores them in the second queuing unit 116b.

분석수단(120)의 파서부(122,124,126)는 제 2 큐잉부(116b)에 저장된 패킷을 세션(TCP/IP, IPX/SPX, NetBios)별로 1차 파싱하고, 네트워크 공유 파서부(128)에서 2차 파싱한다(S210).The parser units 122, 124, and 126 of the analysis unit 120 parse the packets stored in the second queuing unit 116b for each session (TCP / IP, IPX / SPX, NetBios), and the network share parser unit 128 parses them. Parse the car (S210).

그 다음, 네트워크 공유 파서부(128)는 파일변경이나 복사 또는 생성과 관련된 명령이 패킷에 포함되어 있는지 검색한다(S220). 이와 같은 명령이 패킷에 포함되어 있지 않으면 세션종료 명령이 포함되어 있는지 검색하고(S222), 세션종료 명령이 검색되면 세션 정보를 삭제(S224)한 후 종료한다. S222 단계에서 세션종료 명령이 포함되어 있지 않으면, 다시 S220 단계부터 진행한다.Next, the network sharing parser unit 128 searches whether the packet includes instructions related to file change, copy, or creation (S220). If such a command is not included in the packet, it is searched if a session end command is included (S222). If a session end command is found, the session information is deleted (S224) and terminated. If the session termination command is not included in step S222, the process proceeds from step S220 again.

S220 단계에서 파일변경이나 복사 또는 생성과 관련된 명령이 검색되면, 분석수단(120)은 파일공유 네트워크 경로를 바이러스 탐지수단(130)에 알려준다.When a command related to changing or copying or creating a file is searched for in step S220, the analyzing unit 120 notifies the virus detecting unit 130 of the file sharing network path.

바이러스 탐지수단(130)의 네트워크 바이러스 탐지부(132)는 해당 네트워크 경로에 접근하여 파일이 바이러스에 감염되었는지 검사한다(S240). 본 실시예의 경우, 네트워크 바이러스 탐지부(132)가 B 컴퓨터에 접근하여 해당 파일을 읽고 바이러스 패턴과 매칭하는 코드가 있는지 검색함으로써 가능하다.The network virus detection unit 132 of the virus detection unit 130 accesses the corresponding network path and checks whether the file is infected with a virus (S240). In the present embodiment, the network virus detection unit 132 may access the computer B, read the file, and search for a code that matches the virus pattern.

S240 단계에서 검사한 결과, 바이러스에 감염되지 않았으면 S220 단계부터 반복하고, 바이러스에 감염되었으면 관리서버에 세션정보와 바이러스 정보를 전송한 다음 해당 파일을 치료한다(S250).As a result of the check in step S240, if the virus is not infected, the process is repeated from step S220. If the virus is infected, the session information and the virus information are transmitted to the management server and then the file is cured (S250).

바이러스에 감염된 B 컴퓨터는 모든 네트워크상의 컴퓨터에게 쓰기권한을 준 상태이기 때문에, 바이러스 탐지수단(130)이 해당 파일을 원상태로 복구하거나 삭제하여 치료할 수 있는 것이다. 그 다음, 바이러스 탐지수단(130)은 세션정보와 바이러스 정보를 네트워크 차단수단(140)에 전달한다.Since the computer B infected with the virus has been given write permission to all the computers on the network, the virus detecting means 130 can recover the original file or delete the file. Then, the virus detecting means 130 transmits the session information and virus information to the network blocking means 140.

네트워크 차단수단(140)의 접근 차단부(142)는 바이러스 탐지수단(130)으로부터 수신한 세션정보와 바이러스 정보가 미리 설정되어 있는 차단정책을 만족하는지 판단한다(S260).The access blocking unit 142 of the network blocking unit 140 determines whether the session information received from the virus detecting unit 130 and the virus information satisfy a predetermined blocking policy (S260).

접근 차단부(142)는 바이러스 탐지수단(130)으로부터 전달받은 바이러스 정보가 이전에 전달받은 바이러스 정보와 중복되는지 확인한 후에, 동일한 바이러스가 존재하면 세션의 바이러스 유포자 IP가 동일한 횟수를 확인한다. 그래서, 미리 지정한 횟수 이상이 되면 차단정책을 만족하는 것으로 판단한다.The access blocking unit 142 checks whether the virus information received from the virus detection unit 130 is duplicated with the previously transmitted virus information, and if the same virus exists, the virus distributor IP of the session checks the same number of times. Therefore, when more than the predetermined number of times, it is determined that the blocking policy is satisfied.

예를 들면, A 컴퓨터가 다른 컴퓨터들을 계속 감염시켜서, A 컴퓨터에 의해 감염된 바이러스가 10회 이상 발견될 때 차단정책을 만족하게 된다.For example, computer A continues to infect other computers, so that when the virus infected by computer A is found 10 times or more, the blocking policy is satisfied.

차단정책을 만족하는 것으로 판단되면, 접근 차단부(142)는 바이러스 유포 컴퓨터 차단정보(시간, 바이러스 유포 컴퓨터의 IP, 바이러스 감염 컴퓨터의 IP, 바이러스명을 포함)를 관리서버에 전송하고 바이러스 유포 컴퓨터를 차단시킨다(S270).If it is determined that the blocking policy is satisfied, the access blocking unit 142 transmits the virus distributing computer blocking information (including time, IP of the virus distributing computer, IP of the virus infected computer, and virus name) to the management server, and sends the virus distributing computer. Blocks (S270).

본 발명에서는 다음과 같은 방식으로 바이러스 유포 컴퓨터를 차단시킨다.In the present invention, the virus distribution computer is blocked in the following manner.

먼저, 네트워크 차단수단(140)이 A 컴퓨터와 동일한 중복IP를 이용하여 ARP(Address Resolution Protocol ; 주소결정 프로토콜) 요청신호를 네트워크에 브로드캐스팅 한다. 그러면, 네트워크에는 A 컴퓨터의 IP를 이용하고 있는 또 하나의 컴퓨터가 존재하는 것처럼 된다.First, the network blocking means 140 broadcasts an ARP (Address Resolution Protocol) request signal to the network using the same redundant IP as the computer A. Then, it is as if there is another computer in the network using the IP of computer A.

A 컴퓨터의 네트워크 접근에 대한 다른 컴퓨터의 응답신호는 분석수단(120)을 통해서 네트워크 바이러스 차단장치(100)로 수신된다. 응답신호를 수신한 네트워크 바이러스 차단장치(100)는 바로 응답신호를 폐기하므로, A 컴퓨터는 응답시간 내에 응답신호를 수신할 수 없다. 따라서, A 컴퓨터는 네트워크 연결을 종료해야 하고, 일시적으로 네트워크 접근이 불가능한 상태가 된다.The response signal of the other computer to the network access of the computer A is received by the network virus protection device 100 through the analysis means 120. Since the network virus blocking device 100 receiving the response signal immediately discards the response signal, the computer A cannot receive the response signal within the response time. Therefore, computer A must terminate the network connection and become temporarily inaccessible to the network.

그리고, 일정한 시간이 지나면 A 컴퓨터가 연결 재설정을 위해서 네트워크에 ARP 요청신호를 다시 브로드캐스팅 한다.After a certain time, computer A broadcasts an ARP request signal back to the network to reestablish the connection.

이 때, 네트워크 바이러스 차단장치(100)가 A 컴퓨터의 연결 재설정 신호를 수신하면, A 컴퓨터의 ARP 요청신호를 다시 네트워크에 전송하고 위와 같이 응답신호를 페기함으로써, A 컴퓨터는 다시 네트워크에 접근이 불가능한 상태가 된다.At this time, when the network virus protection device 100 receives the connection reset signal of the computer A, by transmitting the ARP request signal of the computer A to the network again and discards the response signal as described above, computer A is unable to access the network again. It becomes a state.

이와 같은 방식으로 접근 차단부(142)는 바이러스를 유포한 A 컴퓨터를 일정한 시간동안 차단시키며, 미리 정한 기준시간 이상이 되면 차단을 해제한다. 기준시간은 시스템 관리자가 변경설정 할 수 있는 것이 바람직하다.In this manner, the access blocking unit 142 blocks the A computer that spreads the virus for a predetermined time, and releases the block when the predetermined time exceeds the predetermined reference time. The reference time can be changed and set by the system administrator.

S260 단계에서 차단정책을 만족하지 않거나 S270 단계 다음에는, 바이러스 탐지수단(130)으로부터 수신한 세션정보와 바이러스 정보를 저장(S280)하고 종료한다.If the blocking policy is not satisfied at step S260 or at step S270, the session information and virus information received from the virus detection unit 130 are stored (S280) and the process ends.

위에서는 차단정책을 만족하는지 여부를 판단하고 바이러스 유포 컴퓨터를 차단했지만, 차단정책 만족여부에 상관없이 네트워크 바이러스 탐지부(132)로부터 세션정보와 바이러스 정보를 전달받으면 해당 컴퓨터를 차단하도록 할 수도 있다.In the above, it is determined whether the blocking policy is satisfied and the virus distribution computer is blocked. However, regardless of whether the blocking policy is satisfied, when the session information and virus information are received from the network virus detection unit 132, the computer may be blocked.

관리서버는 바이러스 탐지수단(130)으로부터 수신한 세션정보와 바이러스 정보와 네트워크 차단수단(140)이 전송한 바이러스 유포 컴퓨터 차단정보를 저장 및 관리한다.The management server stores and manages the session information received from the virus detection means 130, the virus information, and the virus distribution computer blocking information transmitted by the network blocking means 140.

한편, TCP/IP 파서부(122)는 제 1 큐잉부(116a)에 수집된 패킷을 1차로 파싱하여 웜바이러스 탐지부(134)에 출력한다. 웜바이러스 탐지부(134)는 파싱된 패킷을 미리 지정된 패턴코드와 비교하여 웜 바이러스를 검사하고, 웜바이러스가 발견되면 연결 차단부(144)에 알려준다. 연결 차단부(144)는 차단정책에 따라 바이러스 유포 컴퓨터에 TCP의 FIN 신호나 ICMP(Internet Control Message Protocol) 패킷을 전송하는 방법으로 네트워크 연결을 차단한다. 물론, 차단정책 만족여부에 상관없이 바이러스 유포 컴퓨터를 차단하도록 구성할 수도 있다.Meanwhile, the TCP / IP parser 122 parses the packets collected by the first queuing unit 116a firstly and outputs them to the worm virus detection unit 134. The worm virus detection unit 134 checks the worm virus by comparing the parsed packet with a predetermined pattern code, and notifies the connection blocking unit 144 if a worm virus is found. The connection blocking unit 144 blocks the network connection by transmitting a TCP FIN signal or an ICMP (Internet Control Message Protocol) packet to the virus distributing computer according to the blocking policy. Of course, it can be configured to block the virus distribution computer regardless of whether the blocking policy is satisfied.

예를 들면, FIN 신호는 A 컴퓨터에게 데이터 전송이 종료되었다는 허위신호를 알림으로써 B 컴퓨터로의 연결을 차단한다. 또, ICMP는 B 컴퓨터로의 데이터 전달이 불가능하다는 메시지를 A 컴퓨터에게 알려 줌으로써 B 컴퓨터로의 연결을 차단한다.For example, the FIN signal blocks the connection to computer B by informing the computer A of a false signal that data transmission has ended. ICMP also blocks the connection to computer B by notifying computer A that a data transfer to computer B is not possible.

이상의 본 발명은 상기에 기술된 실시예들에 의해 한정되지 않고, 당업자들에 의해 다양한 변형 및 변경을 가져올 수 있으며, 이는 첨부된 청구항에서 정의되는 본 발명의 취지와 범위에 포함된다.The present invention is not limited to the embodiments described above, and various modifications and changes can be made by those skilled in the art, which are included in the spirit and scope of the present invention as defined in the appended claims.

이상에서 살펴본 바와 같이 본 발명은, 네트워크망 내에서 바이러스를 유포하는 컴퓨터를 차단하고, 네트워크 공유를 통해 바이러스에 감염된 컴퓨터를 치료할 수 있다.As described above, the present invention can block a computer spreading a virus in a network and treat a computer infected with a virus through network sharing.

또, 네트워크 내부의 컴퓨터 전체에 백신 프로그램이 설치되어 있지 않더라도 바이러스로부터의 피해를 최소화 하는 등의 이점이 있다.In addition, there is an advantage such as minimizing the damage from viruses even if the antivirus program is not installed in the entire computer inside the network.

도 1은 본 발명에 따른 네트워크 바이러스 차단 시스템을 개괄적으로 설명하기 위한 구성도이고,1 is a configuration diagram for schematically explaining a network virus blocking system according to the present invention,

도 2는 네트워크 바이러스 차단장치의 일실시예를 나타낸 블록 구성도이고,Figure 2 is a block diagram showing an embodiment of a network virus blocking device,

도 3a는 모니터링 수단의 일실시예를 나타낸 블록 구성도이고,Figure 3a is a block diagram showing an embodiment of the monitoring means,

도 3b는 분석수단의 일실시예를 나타낸 블록 구성도이고,Figure 3b is a block diagram showing an embodiment of the analysis means,

도 3c는 바이러스 탐지수단과 네트워크 차단수단의 일실시예를 나타낸 블록 구성도이고,Figure 3c is a block diagram showing an embodiment of the virus detection means and network blocking means,

도 4는 본 발명에 따른 네트워크 바이러스 차단방법의 일실시예를 나타낸 순서도이다.Figure 4 is a flow chart showing an embodiment of a network virus blocking method according to the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

100: 네트워크 바이러스 차단장치 110: 모니터링 수단100: network virus protection device 110: monitoring means

120: 분석수단 130: 바이러스 탐지수단120: analysis means 130: virus detection means

140: 네트워크 차단수단140: network blocking means

Claims (9)

네트워크 상의 패킷을 수집하는 모니터링 단계;A monitoring step of collecting packets on a network; 상기 패킷을 파싱하는 분석단계;Parsing the packet; 상기 파싱된 패킷에 바이러스가 존재하는지 검사하는 바이러스 탐지단계; 및A virus detection step of checking whether a virus exists in the parsed packet; And 바이러스가 탐지되면 바이러스 유포 컴퓨터를 차단시키는 차단단계를 포함하는 네트워크 바이러스 차단 방법.A network virus protection method that includes a blocking step that blocks a virus spreading computer when a virus is detected. 제 1항에 있어서, 상기 바이러스 탐지단계는,The method of claim 1, wherein the virus detection step, 상기 파싱된 패킷을 미리 지정된 패턴코드와 비교하여 웜바이러스가 존재하는지 검사하는 것을 특징으로 하는 네트워크 바이러스 차단방법.And comparing the parsed packet with a predetermined pattern code to check whether a worm virus exists. 제 1항에 있어서, 상기 차단단계는,The method of claim 1, wherein the blocking step, 바이러스 유포 컴퓨터에 FIN 신호 또는 ICMP(Internet Control Message Protocol) 패킷을 전송하여 네트워크 연결을 차단하는 것을 특징으로 하는 네트워크 바이러스 차단방법.Virus distribution A network virus blocking method characterized by blocking a network connection by transmitting a FIN signal or ICMP (Internet Control Message Protocol) packet to a computer. 제 1항에 있어서,The method of claim 1, 상기 분석단계는 상기 패킷을 파싱하여 파일변경이나 복사 또는 생성과 관련된 명령이 포함되어 있는지 분석하고,The analyzing step parses the packet and analyzes whether a command related to file change, copy or creation is included. 상기 바이러스 탐지단계는 상기 패킷에 파일변경이나 복사 또는 생성과 관련된 명령이 포함되어 있으면 해당 네트워크 경로의 파일이 바이러스에 감염되었는지 검사하고,The virus detection step checks whether a file in the corresponding network path is infected with a virus if the packet includes a command related to a file change, copy or creation, 상기 차단단계는 바이러스 감염이 탐지되면 바이러스 유포 컴퓨터를 차단시키는 것을 특징으로 하는 네트워크 바이러스 차단방법.The blocking step is a network virus blocking method characterized in that to block the virus distribution computer when a virus infection is detected. 제 4항에 있어서, 상기 바이러스 탐지단계는,The method of claim 4, wherein the virus detection step, 상기 네트워크 경로에 해당하는 파일을 읽고 바이러스 패턴과 매칭하는 코드가 있는지 검색하여 바이러스를 탐지하는 것을 특징으로 하는 네트워크 바이러스 차단방법.The network virus blocking method of detecting a virus by reading a file corresponding to the network path and searching for a code matching a virus pattern. 제 4항에 있어서, 상기 바이러스 탐지단계는,The method of claim 4, wherein the virus detection step, 해당 네트워크 경로의 파일을 치료하는 것을 특징으로 하는 네트워크 바이러스 차단방법.Network virus blocking method, characterized in that for treating the file of the network path. 제 4항에 있어서, 상기 차단단계는,The method of claim 4, wherein the blocking step, 상기 바이러스 유포 컴퓨터와 동일한 중복IP를 사용하여 ARP(Address Resolution Protocol ; 주소결정 프로토콜) 요청신호를 브로드캐스팅 하는 제 1 단계;A first step of broadcasting an ARP (Address Resolution Protocol) request signal using the same redundant IP as the virus spreading computer; 상기 네트워크상의 다른 컴퓨터로부터 수신한 응답신호를 폐기하는 제 2 단계; 및Discarding a response signal received from another computer on the network; And 상기 바이러스 유포 컴퓨터로부터 ARP 요청신호가 수신되면 상기 제 1 단계와 상기 제 2 단계를 반복하는 제 3 단계를 포함하는 것을 특징으로 하는 네트워크 바이러스 차단방법.And a third step of repeating the first step and the second step when an ARP request signal is received from the virus distribution computer. 제 1항 내지 제 7항 중 어느 한 항에 있어서, 상기 차단단계는,The method according to any one of claims 1 to 7, wherein the blocking step, 미리 설정되어 있는 차단정책을 만족하면 상기 바이러스 유포 컴퓨터를 차단시키는 것을 특징으로 하는 네트워크 바이러스 차단방법.The network virus blocking method characterized in that the virus distribution computer is blocked if a predetermined blocking policy is satisfied. 제 1항 내지 제 7항 중 어느 한 항에 있어서, 상기 차단단계는The method according to any one of claims 1 to 7, wherein the blocking step 시간, 바이러스 유포 컴퓨터의 IP, 바이러스 감염 컴퓨터의 IP, 바이러스명을 포함하는 바이러스 유포 컴퓨터 차단정보를 출력하는 것을 특징으로 하는 네트워크 바이러스 차단방법.A network virus screening method comprising outputting virus distribution computer blocking information including time, IP of a virus-distributing computer, IP of a virus-infected computer, and virus name.
KR1020040032646A 2004-05-10 2004-05-10 Network virus protection system and method and recording medium recording the program Expired - Fee Related KR100602147B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040032646A KR100602147B1 (en) 2004-05-10 2004-05-10 Network virus protection system and method and recording medium recording the program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040032646A KR100602147B1 (en) 2004-05-10 2004-05-10 Network virus protection system and method and recording medium recording the program

Publications (2)

Publication Number Publication Date
KR20050107651A true KR20050107651A (en) 2005-11-15
KR100602147B1 KR100602147B1 (en) 2006-07-19

Family

ID=37284030

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040032646A Expired - Fee Related KR100602147B1 (en) 2004-05-10 2004-05-10 Network virus protection system and method and recording medium recording the program

Country Status (1)

Country Link
KR (1) KR100602147B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100688604B1 (en) * 2004-11-18 2007-03-02 고려대학교 산학협력단 Network malicious code blocking device and method
KR100789722B1 (en) * 2006-09-26 2008-01-02 한국정보보호진흥원 System and method for preventing malicious code spreading using web technology
KR100897543B1 (en) * 2007-02-16 2009-05-14 주식회사 아이앤아이맥스 Communication control based virus treatment and patching method and system thereof for networked computer devices
WO2009020611A3 (en) * 2007-08-06 2009-08-13 Univ Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
KR100916324B1 (en) * 2007-11-08 2009-09-11 한국전자통신연구원 Method, device and system for managing malicious code distribution site using firewall
WO2015088133A1 (en) * 2013-12-09 2015-06-18 주식회사 시큐아이 Security apparatus for selectively performing security check and operating method therefor

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100688604B1 (en) * 2004-11-18 2007-03-02 고려대학교 산학협력단 Network malicious code blocking device and method
KR100789722B1 (en) * 2006-09-26 2008-01-02 한국정보보호진흥원 System and method for preventing malicious code spreading using web technology
KR100897543B1 (en) * 2007-02-16 2009-05-14 주식회사 아이앤아이맥스 Communication control based virus treatment and patching method and system thereof for networked computer devices
WO2009020611A3 (en) * 2007-08-06 2009-08-13 Univ Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
US8621610B2 (en) 2007-08-06 2013-12-31 The Regents Of The University Of Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
KR100916324B1 (en) * 2007-11-08 2009-09-11 한국전자통신연구원 Method, device and system for managing malicious code distribution site using firewall
WO2015088133A1 (en) * 2013-12-09 2015-06-18 주식회사 시큐아이 Security apparatus for selectively performing security check and operating method therefor

Also Published As

Publication number Publication date
KR100602147B1 (en) 2006-07-19

Similar Documents

Publication Publication Date Title
CN108701187B (en) Apparatus and method for hybrid hardware-software distributed threat analysis
US7334264B2 (en) Computer virus generation detection apparatus and method
CN100530208C (en) Network isolation techniques suitable for virus protection
CN1841397B (en) Aggregating the knowledge base of computer systems to proactively protect a computer from malware
US7188366B2 (en) Distributed denial of service attack defense method and device
US20120005743A1 (en) Internal network management system, internal network management method, and program
EP1983717A1 (en) Network attack detection using partial deterministic finite automaton pattern matching
JP2004304752A (en) System and method of defending attack
US7684339B2 (en) Communication control system
JP2006135963A (en) Malicious code detection device and detection method
CN1885765A (en) Packet transmission equipment and packet transmission system
CN101460983A (en) Malicious attack detection system and an associated method of use
TW201603529A (en) Packet login technology
KR20070087198A (en) Network Interfaces and Firewall Devices
JP4680931B2 (en) Unauthorized access program monitoring processing method, unauthorized access program monitoring program, and unauthorized access program monitoring apparatus
JP2007325293A (en) System and method for attack detection
KR100602147B1 (en) Network virus protection system and method and recording medium recording the program
US20090276852A1 (en) Statistical worm discovery within a security information management architecture
CN112583845A (en) Access detection method and device, electronic equipment and computer storage medium
CN100590615C (en) Data processing system
US7774847B2 (en) Tracking computer infections
JP2003263376A (en) Firewall security management method and its management program
RU2358395C2 (en) Method of reducing transmission time of run file through test point
CN114189390A (en) Domain name detection method, system, equipment and computer readable storage medium
KR20050051223A (en) Integrity management system enhancing security of network, integrity network system having the same and method thereof

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

N231 Notification of change of applicant
PN2301 Change of applicant

St.27 status event code: A-3-3-R10-R13-asn-PN2301

St.27 status event code: A-3-3-R10-R11-asn-PN2301

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

T11-X000 Administrative time limit extension requested

St.27 status event code: U-3-3-T10-T11-oth-X000

E13-X000 Pre-grant limitation requested

St.27 status event code: A-2-3-E10-E13-lim-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-3-3-R10-R18-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-3-3-R10-R18-oth-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R13-asn-PN2301

St.27 status event code: A-5-5-R10-R11-asn-PN2301

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 4

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 5

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 6

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 7

FPAY Annual fee payment

Payment date: 20130708

Year of fee payment: 8

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 8

FPAY Annual fee payment

Payment date: 20140708

Year of fee payment: 9

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 9

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

FPAY Annual fee payment

Payment date: 20150710

Year of fee payment: 10

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 10

FPAY Annual fee payment

Payment date: 20160708

Year of fee payment: 11

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 11

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20170711

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20170711

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000