본문 바로가기
HOME> 보고서 > 보고서 검색상세

보고서 상세정보

네트웍 바이러스에 대한 차단 및 보호시스템의 개발
The Development of Network Virus Detection and Protection system

  • 사업명

    정보통신산업기술개발(기금)

  • 과제명

    네트웍 바이러스에 대한 차단 및 보호시스템의 개발

  • 주관연구기관

    하우리(주)

  • 연구책임자

    권석철

  • 참여연구자

    백석철   김남욱   백동현   송의   권오현   이창환   김재희   김성준   최원혁   김대희   신영일   ...  

  • 보고서유형

    최종보고서

  • 발행국가

    대한민국

  • 언어

    한국어

  • 발행년월

    2004-05

  • 과제시작년도

    2003

  • 주관부처

    정보통신부

  • 사업 관리 기관

    정보통신연구진흥원
    Institute for Information Technology Advancement

  • 등록번호

    TRKO201000015450

  • 과제고유번호

    1440000944

  • DB 구축일자

    2013-04-18

  • 초록 


    A. Development contents
    (1) Blocking and repairing Network virus attacks
    (a) Detecting Network virus attacks
    . Monitorin...

    A. Development contents
    (1) Blocking and repairing Network virus attacks
    (a) Detecting Network virus attacks
    . Monitoring based on SMB(Server Message Block) protocol, CIFS(Common Internet File System) protocol
    . Analyzing Network virus attacking type and generating signature
    . Detecting Network virus attacks based on signature
    (b) Blocking Network virus attacks
    . Blocking Network virus attacking packet
    Blocking session using ICMP packet transfer
    Blocking session using TCP FIN, Reset packet transfer
    . Blocking Network of attacking host containing Network virus
    One-way Attack Protection
    Automatic-block using ARP imitated packet transfer and response
    (c) Repair of Network virus
    . Access of attacking target host using imitated packet
    . Detect and repair of the infected file of target host using imitated packet
    (2) Blocking Internet worm attacks
    (a) Detecting Internet worm attacks
    . Monitoring based on IP protocol
    . Analyzing Internet worm attacking type and creating signature
    . Detecting Internet worm attacks based on signature
    (b) Blocking Internet worm attacks
    . Blocking Network of attacking host containing Internet worm
    One-way Attack protection
    Automatic block using ARP imitated packet transfer and response
    (3) Heuristic detection and block
    (a) Creating detection pattern based on regular model
    . Sorting irregular pattern, not Network activity based on regular model
    . Creating heuristic detection signature for the irregular pattern
    (b) Automatic update and distribution of heuristic detection pattern
    . Reporting heuristic detection signature created on sensor agent network to main server
    . Distributing heuristic detection signature to sensor agents connected to main server
    (c) Detecting dangerous attacks
    . Monitoring based on IP protocol
    . Detecting attacks based on signature
    (d) Blocking dangerous attacking host
    . Blocking Network of attacking host containing heuristic detection signature
    One-way Attack protection
    Automatic-block using ARP imitated packet transfer and response
    B. Development range
    (1) Based on MS Windows
    . Based on MS Windows OS
    . Based on MS Network driver (NDIS)
    2) Based on share-Network of MS area
    . Based share-Network using SMB(Server Message Block) protocol, CIFS(Common Internet
    File System) protocol
    . Based on Network virus
    (3) Based on Intranet of IP protocol
    . Based on Internet worm attacking security hole of MS products


    가. 연구개발의 내용
    (1) 네트워크 바이러스의 공격 차단 및 치료
    (가) 네트워크 바이러스의 공격 탐지
    . SMB(Server Message Block) 프로토콜, CIFS(Common Internet File S...

    가. 연구개발의 내용
    (1) 네트워크 바이러스의 공격 차단 및 치료
    (가) 네트워크 바이러스의 공격 탐지
    . SMB(Server Message Block) 프로토콜, CIFS(Common Internet File System) 프로토콜 기반의 모니터링
    . 네트워크 바이러스의 공격 형태 분석 및 시그너춰 생성
    . 시그너춰 기반의 네트워크 바이러스 공격 탐지
    (나) 네트워크 바이러스의 공격 차단
    . 네트워크 바이러스의 공격 패킷 차단
    ICMP 패킷전송을 이용한 세션 차단
    TCP FIN, Reset 패킷전송을 이용한 세션 차단
    . 네트워크 바이러스를 보유한 공격 호스트의 네트워크 차단
    One-way Attack (단방향 공격) 방어
    ARP 모조 패킷 전송과 응답을 이용한 자동 차단
    (다) 네트워크 바이러스의 치료
    . 모조 패킷을 이용한 공격대상 호스트의 접근
    . 모조 패킷을 이용한 대상 호스트의 바이러스 감염 파일 진단 및 치료
    (2) 인터넷 웜의 공격 차단
    (가) 인터넷 웜의 공격 탐지
    . IP 프로토콜 기반의 모니터링
    . 인터넷 웜의 공격 형태 분석 및 시그너춰 생성
    . 시그너춰 기반의 인터넷 웜의 공격 탐지
    (나) 인터넷 웜의 공격 차단
    . 인터넷 웜을 보유한 공격 호스트의 네트워크 차단
    One-way Attack (단방향 공격) 방어
    ARP 모조 패킷 전송과 응답을 이용한 자동 차단
    (3) 휴리스틱 탐지 및 차단
    (가) 정상 모델 기반의 탐지 패턴 생성
    . 정상 모델 기반의 네트워크 활동이 아닌 오용 패턴 분류
    . 오용 패턴에 대한 휴리스틱 탐지 시그너춰 생성
    (나) 휴리스틱 탐지 패턴 자동 업데이트 및 배포
    . 센서 에이전트 망에서 생성된 휴리스틱 탐지 시그너춰를 중앙 서버로 보고
    . 중앙 서버로부터 연결된 센서 에이전트들에 휴리스틱 탐지 시그너춰 배포
    (다) 위험공격 탐지
    . IP 프로토콜 기반의 모니터링
    . 시그너춰 기반의 공격 탐지
    (라) 위험공격 호스트 차단
    . 휴리스틱 탐지 시그너춰를 보유한 공격 호스트의 네트워크 차단
    One-way Attack (단방향 공격) 방어
    ARP 모조 패킷 전송과 응답을 이용한 자동 차단
    나. 연구개발의 범위
    (1) 마이크로 소프트 윈도우 기반
    .마이크로 소프트 윈도우OS 사용 기반
    .마이크로 소프트 네트워크 드라이버(NDIS) 기반
    (2) 마이크로 소프트 지역 공유 네트워크 기반
    . SMB(Server Message Block) 프로토콜, CIFS(Common Internet File System) 프로토콜을 이용한 지역 공유 네트워크 기반
    . 네트워크 바이러스 대상
    (3) IP 프로토콜의 인트라넷 기반
    . 마이크로 소프트 제품군의 보안 취약점을 공격하는 인터넷 웜 대상


  • 목차(Contents) 

    1. 표지 ...1
    2. 제출문 ...3
    3. 요약문 ...4
    4. SUMMARY ...10
    5. CONTENTS ...16
    6. 목차 ...19
    7. 제1장 서 론 ...22
    8. 제1절 기술 개발의 배경 ...22
    9. 1. 기술적 측면 ...22
    10. 2. 기업적 측면...
    1. 표지 ...1
    2. 제출문 ...3
    3. 요약문 ...4
    4. SUMMARY ...10
    5. CONTENTS ...16
    6. 목차 ...19
    7. 제1장 서 론 ...22
    8. 제1절 기술 개발의 배경 ...22
    9. 1. 기술적 측면 ...22
    10. 2. 기업적 측면 ...23
    11. 3. 네트워크 바이러스의 심각성 ...23
    12. 4. 인터넷 웜의 심각성 ...24
    13. 5. 부족한 보안인식 ...29
    14. 제2절 기술개발의 목적 및 중요성 ...30
    15. 1. 기술개발의 목적 ...30
    16. 2. 기술개발의 중요성 ...31
    17. 제2장 바이러스 유형 및 분석 ...33
    18. 제1절 네트워크 바이러스의 분석 ...33
    19. 1. 네트워크 바이러스의 정의 ...33
    20. 2. 네트워크 바이러스 분석 소개 ...33
    21. 3. E-mail을 통한 확산 유형 ...34
    22. 4. 공유폴더를 통한 확산 유형 ...40
    23. 제2절 인터넷 웜의 분석 ...45
    24. 1. 인터넷 웜의 정의 ...45
    25. 2. 주요 인터넷 웜의 분석 ...46
    26. 제3장 차단 센서(Blocking Sensor) ...64
    27. 제1절 차단 센서 기반기술 ...64
    28. 1. 네트워크 프로토콜 드라이버 ...64
    29. 2. NDIS 패킷 자료구조 ...72
    30. 3. Berkeley Packet Filter ...74
    31. 제2절 유해 트래픽 분석 ...75
    32. 1.네트워크 공유 프로토콜 분석 ...75
    33. 2. 시그너처 기반 탐지 ...99
    34. 제3절 유해 트래픽 차단 ...103
    35. 1. 모조패킷의 정의 ...103
    36. 2. 모조패킷의 기술적 배경...104
    37. 3. 모조패킷의 종류 및 구현 ...119
    38. 제4장 네트워크 바이러스의 탐지 및 치료 ...132
    39. 제1절 네트워크 바이러스 탐지 ...132
    40. 1. 네트워크 공유를 이용한 바이러스의 확산 ...132
    41. 2. SMB/CIFS 에서의 탐지 방법 ...134
    42. 제2절 인터넷 웜 탐지 ...138
    43. 1. 웜 바이러스의 동향 ...138
    44. 2. OS 취약성에 대하여 ...138
    45. 3. 바이러스 공격 Signature 연구 ...139
    46. 제3절 바이러스 대응 ...139
    47. 1. 안티 바이러스 백신 엔진을 이용한 대응 ...139
    48. 2. 네트워크 차단을 이용한 대응 ...141
    49. 3. 네트워크 고립을 이용한 대응 ...143
    50. 제5장 휴리스틱(Heuristic) 탐지 및 스키마 ...146
    51. 제1절 바이러스의 휴리스틱 탐지 엔진 ...146
    52. 1. 서론 ...146
    53. 2. 최근 윔의 감염형태 및 확산 형태 분류 ...147
    54. 제2절 휴리스틱 탐지 ...149
    55. 1. 네트워크 트래픽 휴리스틱 분석 모형의 종류 ...149
    56. 2. Agobot 웜의 휴리스틱 탐지 방법 접근 ...153
    57. 3. 휴리스틱 탐지 방법 ...153
    58. 4. 휴리스틱 탐지 엔진 구성 ...154
    59. 제3절 스키마 자동생성 ...159
    60. 1. 스키마 자동생성 ...159
    61. 2. 스키마 자동 배포 ...159
    62. 제6장 NVDPS 시스템 구성 및 설명 ...160
    63. 제1절 NVDPS 시스템 구성 ...160
    64. 1. NVDPS ...160
    65. 2. 센서 에이전트 ...167
    66. 3. CMS (Central Management System) ...175
    67. 제2절 탐지 및 차단 결과보고 ...178
    68. 1. 탐지 및 차단 결과보고 과정 ...178
    69. 제7장 기존 기술과의 비교 ...186
    70. 제1절 IDS ...186
    71. 1. IDS (침입탐지시스템) 개요 ...186
    72. 2. IDS (Intrusion Detection System)의 종류 ...193
    73. 제2절 IPS ...194
    74. 1.IPS (침입방지시스템) 개요 ...194
    75. 제3절 기술적 차이 및 우수성 ...199
    76. 1. 기존 기술의 한계 ...199
    77. 2. 기술적 차이 및 우수성 ...200
    78. 제8장 성능평가 ...201
    79. 제1절 네트워크 및 시스템 구성 ...201
    80. 1. 네트워크 장비 및 구성도 ...201
    81. 2. 시스템 정보 ...202
    82. 제2절 차단센서 성능 분석 ...203
    83. 1. 유해 트래픽 분석 ...203
    84. 2. 유해 트래픽 차단 ...210
    85. 제3절 네트워크 바이러스 탐지 및 치료 ...216
    86. 1. 네트워크 바이러스 탐지 ...216
    87. 2. 네트워크 바이러스 치료 ...218
    88. 제9장 결론 ...219
    89. 제1절 기술개발 결론 ...219
    90. 제2절 활용방안 및 기대효과 ...221
    91. 1. 활용방안 및 기대효과 ...221
    92. 제3절 향후계획 ...222
    93. 1. 시장성 ...223
    94. 2. 상용화 계획 ...225
    95. 참고문헌 ...226
    96. 부록 1 용어정리 ...227
    97. 기술개발결과 요약표 ...229
  • 참고문헌

    1. 전체(0)
    2. 논문(0)
    3. 특허(0)
    4. 보고서(0)

 활용도 분석

  • 상세보기

    amChart 영역
  • 원문보기

    amChart 영역