KR100577344B1 - Method and system for establishing access control - Google Patents

Method and system for establishing access control Download PDF

Info

Publication number
KR100577344B1
KR100577344B1 KR1020050002319A KR20050002319A KR100577344B1 KR 100577344 B1 KR100577344 B1 KR 100577344B1 KR 1020050002319 A KR1020050002319 A KR 1020050002319A KR 20050002319 A KR20050002319 A KR 20050002319A KR 100577344 B1 KR100577344 B1 KR 100577344B1
Authority
KR
South Korea
Prior art keywords
file
access control
access
items
control policy
Prior art date
Application number
KR1020050002319A
Other languages
Korean (ko)
Inventor
이동혁
최정현
Original Assignee
주식회사 잉카인터넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 잉카인터넷 filed Critical 주식회사 잉카인터넷
Priority to KR1020050002319A priority Critical patent/KR100577344B1/en
Application granted granted Critical
Publication of KR100577344B1 publication Critical patent/KR100577344B1/en

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65FGATHERING OR REMOVAL OF DOMESTIC OR LIKE REFUSE
    • B65F1/00Refuse receptacles; Accessories therefor
    • B65F1/14Other constructional features; Accessories
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65FGATHERING OR REMOVAL OF DOMESTIC OR LIKE REFUSE
    • B65F1/00Refuse receptacles; Accessories therefor
    • B65F1/14Other constructional features; Accessories
    • B65F1/1405Compressing means incorporated in, or specially adapted for, refuse receptacles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65FGATHERING OR REMOVAL OF DOMESTIC OR LIKE REFUSE
    • B65F1/00Refuse receptacles; Accessories therefor
    • B65F1/14Other constructional features; Accessories
    • B65F1/16Lids or covers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65DCONTAINERS FOR STORAGE OR TRANSPORT OF ARTICLES OR MATERIALS, e.g. BAGS, BARRELS, BOTTLES, BOXES, CANS, CARTONS, CRATES, DRUMS, JARS, TANKS, HOPPERS, FORWARDING CONTAINERS; ACCESSORIES, CLOSURES, OR FITTINGS THEREFOR; PACKAGING ELEMENTS; PACKAGES
    • B65D1/00Containers having bodies formed in one piece, e.g. by casting metallic material, by moulding plastics, by blowing vitreous material, by throwing ceramic material, by moulding pulped fibrous material, by deep-drawing operations performed on sheet material
    • B65D1/22Boxes or like containers with side walls of substantial depth for enclosing contents
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65DCONTAINERS FOR STORAGE OR TRANSPORT OF ARTICLES OR MATERIALS, e.g. BAGS, BARRELS, BOTTLES, BOXES, CANS, CARTONS, CRATES, DRUMS, JARS, TANKS, HOPPERS, FORWARDING CONTAINERS; ACCESSORIES, CLOSURES, OR FITTINGS THEREFOR; PACKAGING ELEMENTS; PACKAGES
    • B65D25/00Details of other kinds or types of rigid or semi-rigid containers
    • B65D25/02Internal fittings
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65DCONTAINERS FOR STORAGE OR TRANSPORT OF ARTICLES OR MATERIALS, e.g. BAGS, BARRELS, BOTTLES, BOXES, CANS, CARTONS, CRATES, DRUMS, JARS, TANKS, HOPPERS, FORWARDING CONTAINERS; ACCESSORIES, CLOSURES, OR FITTINGS THEREFOR; PACKAGING ELEMENTS; PACKAGES
    • B65D25/00Details of other kinds or types of rigid or semi-rigid containers
    • B65D25/54Inspection openings or windows
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65DCONTAINERS FOR STORAGE OR TRANSPORT OF ARTICLES OR MATERIALS, e.g. BAGS, BARRELS, BOTTLES, BOXES, CANS, CARTONS, CRATES, DRUMS, JARS, TANKS, HOPPERS, FORWARDING CONTAINERS; ACCESSORIES, CLOSURES, OR FITTINGS THEREFOR; PACKAGING ELEMENTS; PACKAGES
    • B65D2543/00Lids or covers essentially for box-like containers
    • B65D2543/00009Details of lids or covers for rigid or semi-rigid containers
    • B65D2543/00953Sealing means
    • B65D2543/0099Integral supplemental sealing lips
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65DCONTAINERS FOR STORAGE OR TRANSPORT OF ARTICLES OR MATERIALS, e.g. BAGS, BARRELS, BOTTLES, BOXES, CANS, CARTONS, CRATES, DRUMS, JARS, TANKS, HOPPERS, FORWARDING CONTAINERS; ACCESSORIES, CLOSURES, OR FITTINGS THEREFOR; PACKAGING ELEMENTS; PACKAGES
    • B65D43/00Lids or covers for rigid or semi-rigid containers
    • B65D43/02Removable lids or covers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65FGATHERING OR REMOVAL OF DOMESTIC OR LIKE REFUSE
    • B65F1/00Refuse receptacles; Accessories therefor
    • B65F1/14Other constructional features; Accessories
    • B65F2001/1653Constructional features of lids or covers
    • B65F2001/1676Constructional features of lids or covers relating to means for sealing the lid or cover, e.g. against escaping odors
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65FGATHERING OR REMOVAL OF DOMESTIC OR LIKE REFUSE
    • B65F2210/00Equipment of refuse receptacles
    • B65F2210/132Draining means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65FGATHERING OR REMOVAL OF DOMESTIC OR LIKE REFUSE
    • B65F2210/00Equipment of refuse receptacles
    • B65F2210/162Pressing means

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 접근 통제 정책을 설정하기 위한 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 제어 모드에 따라 허용되지 않은 행위 및 파일 I/O를 자동으로 허용하거나 차단하여 보다 간편하게 접근 통제 정책을 수립할 수 있도록 한 접근 통제 정책 설정시스템 및 그 방법에 관한 것이다.The present invention relates to a system and method for setting an access control policy, and more particularly, to allow or block unauthorized actions and file I / Os automatically according to a control mode to more easily establish an access control policy. The present invention relates to an access control policy setting system and a method thereof.

이를 위한, 본 발명의 접근 통제 정책 설정시스템을 달성하기 위한 구성은, 접근 통제정책을 수립하기 위한 시스템에 있어서, 상기 시스템에 설치된 파일 시스템 필터 드라이버를 통해 파일 I/O(Input/Output)를 감시하고, 상기 파일 I/O로부터 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보를 얻는 파일 시스템 I/O 감시부와; 상기 파일 시스템 I/O 감시부로부터 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보와 같은 항목들을 전달받는 한편 제어 모드 저장소로부터 현재의 제어 모드를 얻어오고, 상기 제어 모드에 따라 상기 항목들을 내부 접근 통제 정책 저장소에 추가 또는 갱신하거나, 상기 항목들을 차단 또는 허용하는 접근 통제 제어부를 포함하는 것을 특징으로 한다.To this end, the configuration for achieving the access control policy setting system of the present invention, in the system for establishing an access control policy, monitoring the file I / O (Input / Output) through the file system filter driver installed in the system A file system I / O monitoring unit for obtaining a full path of a file, a file access attribute, a user account (SID), and process information from the file I / O; Receive the current control mode from the control mode repository while receiving items such as the full path of the file, the access attributes of the file, the user account (SID), and the process information from the file system I / O monitoring unit; And an access control controller for adding or updating the items to the internal access control policy store or blocking or allowing the items according to the control mode.

또한, 본 발명의 접근 통제 정책 설정방법을 달성하기 위한 구성은, 접근 통제정책을 수립하기 위한 방법에 있어서, 상기 시스템에 설치된 파일 시스템 필터 드라이버를 통해 파일 I/O(Input/Output)를 감시하고, 상기 파일 I/O로부터 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보를 얻는 파 일 시스템 I/O 감시단계와; 상기 파일 시스템 I/O 감시단계에서 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보와 같은 항목들을 전달받는 한편 제어 모드 저장소로부터 현재의 제어 모드를 얻어오고, 상기 제어 모드에 따라 상기 항목들을 내부 접근 통제 정책 저장소에 추가 또는 갱신하거나, 상기 항목들을 차단 또는 허용하는 접근 통제 제어단계를 포함하는 것을 특징으로 한다.In addition, the configuration for achieving the access control policy setting method of the present invention, in the method for establishing an access control policy, monitoring the file I / O (Input / Output) through the file system filter driver installed in the system and A file system I / O monitoring step for obtaining a full path of a file, a file access attribute, a user account (SID), and process information from the file I / O; In the file system I / O monitoring, items such as the full path of the file, the access attribute of the file, the user account (SID), and the process information are received, and the current control mode is obtained from the control mode repository. And an access control control step of adding or updating the items to the internal access control policy repository or blocking or allowing the items according to the control mode.

상기한 구성에 따라, 제어 모드 저장소의 학습 모드 및 차단 모드에 따라 시스템에서 허용된 행위 및 파일 I/O는 저장하거나 허용하고, 시스템에서 허용되지 않은 행위 또는 파일 I/O는 자동으로 차단하게 됨으로써, 보다 손쉽고 간편하게 접근 통제 정책의 설정을 수립할 수 있는 효과가 있고, 허용되지 않는 행위를 원천적으로 차단함으로써, 해킹 및 해커의 공격을 효율적으로 예방할 수 있는 효과도 있는 것이다.According to the above configuration, according to the learning mode and the blocking mode of the control mode storage, the allowed and file I / O allowed by the system are stored or allowed, and the unacceptable actions or file I / O by the system are automatically blocked. In addition, it is effective to establish access control policy more easily and easily, and also to effectively prevent hacking and hacker attacks by blocking unacceptable behavior at the source.

접근 통제, 시스템, 파일 시스템 필터 드라이버, 학습 모드, 차단 모드Access control, system, file system filter driver, learning mode, blocking mode

Description

접근 통제 정책 설정시스템 및 그 방법{Method and system for establishing Access Control}System for establishing access control policy and method thereof {Method and system for establishing Access Control}

도 1은 일반적으로 사용되는 마이크로소프트사의 윈도우즈 엑스피의 운영체제를 도시한 개략도,1 is a schematic diagram showing an operating system of a commonly used Microsoft Windows XP,

도 2는 본 발명에 따른 접근 통제 정책 설정시스템을 나타낸 개략도,2 is a schematic diagram showing an access control policy setting system according to the present invention;

도 3은 본 발명에 따른 접근 통제 정책 설정방법을 나타낸 블록도,3 is a block diagram showing a method for setting an access control policy according to the present invention;

도 4는 본 발명에 따른 파일 시스템 I/O 감시단계를 나타낸 흐름도,4 is a flowchart illustrating a file system I / O monitoring step according to the present invention;

도 5는 본 발명에 따른 접근 통제 제어단계를 나타낸 흐름도.5 is a flowchart illustrating an access control control step according to the present invention.

*도면중 주요 부호에 대한 설명** Description of Major Symbols in Drawings *

S10 - 파일 시스템 I/O 감시단계 S20 - 접근 통제 제어단계S10-File System I / O Monitoring Phase S20-Access Control Control Phase

본 발명은 접근 통제 정책을 설정하기 위한 시스템 및 그 방법에 관한 것으로, 보다 상세하게는 제어 모드에 따라 허용되지 않은 행위 및 파일 I/O를 자동으로 허용하거나 차단하여 보다 간편하게 접근 통제 정책을 수립할 수 있도록 한 접근 통제 정책 설정시스템 및 그 방법에 관한 것이다.The present invention relates to a system and method for setting an access control policy, and more particularly, to allow or block unauthorized actions and file I / Os automatically according to a control mode to more easily establish an access control policy. The present invention relates to an access control policy setting system and a method thereof.

일반적으로, 안전한 운영체제(Secure Operating System)는 컴퓨터 운영체제상에 내재된 보안상의 결함으로 인하여 발생 가능한 각종 해킹으로부터 시스템을 보호하기 위하여 기존의 운영체제 내에 보안기능을 통합시킨 보안 커널(Security Kernel)을 추가로 이식한 운영체제이다.In general, the Secure Operating System additionally includes a Security Kernel incorporating security functions into the existing operating system in order to protect the system from various hacking that may occur due to the security flaw inherent in the computer operating system. It is a portable operating system.

이와 같이 보안 커널이 이식된 안전한 운영체제는 컴퓨터 사용자에 대한 식별 및 인증, 강제적 접근통제, 임의적 접근통제, 재사용 방지, 침입 탐지 등의 보안 기능 요소를 갖추어야 한다.As such, a secure operating system with a secure kernel port must have security functional elements such as identification and authentication of computer users, mandatory access control, discretionary access control, reuse prevention, and intrusion detection.

인터넷과 같은 네트워크 환경에서 시스템이 갖는 "개방성"은 중요한 특성이지만 컴퓨터 내의 정보보호를 향상시키기 위한 도구는 현재의 시스템에서는 매우 부족한 실정이다.The "openness" of a system in a network environment such as the Internet is an important characteristic, but tools for improving information protection in a computer are very lacking in current systems.

이에 따라, 기존 시스템의 취약점을 보완하는 패치 버전이나 업그레이드를 통한 임시방편적인 방법보다는 근래에는 원천적으로 새로운 안전한 운영체제의 필요성이 대두되고 있다.Accordingly, the necessity of a new and safe operating system is emerging in recent years, rather than a temporary method through a patch version or an upgrade that supplements a vulnerability of an existing system.

그리고, 이와 같은 안전한 운영체제에 필요한 중요한 구성 요소인 접근제어 방법론은 안전한 운영체제의 핵심을 이루며 많은 이론들이 연구되어 왔다.In addition, access control methodology, which is an important component required for such a safe operating system, forms the core of a safe operating system and many theories have been studied.

이러한, 접근제어 방법론 중 전통적인 접근통제 정책으로는 임의적 접근통제(DAC : Discretionary Access Control) 및 강제적 접근통제(MAC : Mandatory Access Control) 규칙이 적용된다.Among these access control methodologies, discretionary access control (DAC) and mandatory access control (MAC) rules are applied as a traditional access control policy.

이하 간단하게 설명하면, 임의적 접근통제는 객체에 접근을 하고자 하는 주체의 접근권한에 따라 접근통제를 하는 방법이고, 강제적 접근통제는 주체의 레이 블과 주체가 접근하고자 하는 객체의 보안레이블을 비교하여 보안정책에 합당한 접근통제 규칙에 의하여 접근통제를 하는 방법이다.Briefly described below, discretionary access control is a method of controlling access according to the subject's access right to access the object, and compulsory access control compares the label of the subject with the security label of the object that the subject wants to access. It is a method of access control based on access control rules that comply with security policy.

특히, 상기한 강제적 접근통제의 판단 기준이 되는 보안레이블은 접근통제의 대상이 되는 주체 및 객체의 중요도를 나타내는 정보인 것이다. 또한, 상기한 강제적 접근통제에서는 주체 뿐만 아니라 객체의 중요도를 고려함으로써, 높은 수준의 보안을 제공해 줄 수도 있다.In particular, the security label which is the criterion of the mandatory access control is information indicating the importance of the subject and the object of the access control. In addition, the mandatory access control may provide a high level of security by considering the importance of the object as well as the subject.

이러한, 상기 강제적 접근통제 기술의 대표 이론에는 다단계 보안정책(MLS : Multi Level Security)과 역할기반 접근통제(RBAC : Role Based Access Control)가 있다.Representative theories of such mandatory access control technologies include multi level security ( MLS ) and role based access control (RBAC).

이와 같은 접근 통제가 적용된 안전한 운영체제는 정책에서 허용되지 않은 행위를 차단시킴으로써, 해커의 공격을 효과적으로 막을 수 있다.A secure operating system with access control like this can block hacker attacks by blocking actions that are not allowed by policy.

그러나, 상기한 접근 통제 정책의 설정은 매우 어려워 보안 담당자조차 올바른 접근 통제 정책을 수립하기가 힘든 문제가 있다. 따라서, 상기한 접근 통제 정책은 안전한 운영체제의 개발회사나 보안 컨설팅 업체에서 대신 수립해 주고 있는 실정에 있는 것이다.However, the setting of the above access control policy is very difficult, so that even a security officer has difficulty in establishing a proper access control policy. Therefore, the above access control policy is being established by a security operating company or a security consulting company instead.

본 발명은 전술한 바와 같은 종래의 문제점을 해결하기 위하여 안출한 것으로, 제어 모드에 따라 허용되지 않은 행위 및 파일 I/O를 자동으로 허용하거나 차단하여 보다 간편하게 접근 통제 정책을 수립할 수 있도록 한 접근 통제 정책 설정시스템 및 그 방법을 제공하는 데 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems, and has been made to allow an easy access control policy by automatically allowing or blocking unauthorized actions and file I / Os according to a control mode. To provide a control policy setting system and method thereof.

상기와 같은 목적을 달성하기 위한 본 발명의 접근 통제 정책 설정시스템을 달성하기 위한 구성은, 접근 통제정책을 수립하기 위한 시스템에 있어서, 상기 시스템에 설치된 파일 시스템 필터 드라이버를 통해 파일 I/O(Input/Output)를 감시하고, 상기 파일 I/O로부터 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보를 얻는 파일 시스템 I/O 감시부와; 상기 파일 시스템 I/O 감시부로부터 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보와 같은 항목들을 전달받는 한편 제어 모드 저장소로부터 현재의 제어 모드를 얻어오고, 상기 제어 모드에 따라 상기 항목들을 내부 접근 통제 정책 저장소에 추가 또는 갱신하거나, 상기 항목들을 차단 또는 허용하는 접근 통제 제어부를 포함하는 것을 특징으로 한다.The configuration for achieving the access control policy setting system of the present invention for achieving the above object is, in the system for establishing an access control policy, the file I / O (Input) through a file system filter driver installed in the system File system I / O monitoring unit that monitors and obtains the full path of the file, file access attributes, user account (SID), and process information from the file I / O; Receive the current control mode from the control mode repository while receiving items such as the full path of the file, the access attributes of the file, the user account (SID), and the process information from the file system I / O monitoring unit; And an access control controller for adding or updating the items to the internal access control policy store or blocking or allowing the items according to the control mode.

또한, 본 발명의 접근 통제 정책 설정방법을 달성하기 위한 구성은, 접근 통제정책을 수립하기 위한 방법에 있어서, 상기 시스템에 설치된 파일 시스템 필터 드라이버를 통해 파일 I/O(Input/Output)를 감시하고, 상기 파일 I/O로부터 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보를 얻는 파일 시스템 I/O 감시단계와; 상기 파일 시스템 I/O 감시단계에서 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보와 같은 항목들을 전달받는 한편 제어 모드 저장소로부터 현재의 제어 모드를 얻어오고, 상기 제어 모드에 따라 상기 항목들을 내부 접근 통제 정책 저장소에 추가 또는 갱신하거나, 상기 항목들을 차단 또는 허용하는 접근 통제 제어단계를 포함하는 것을 특징으로 한 다.In addition, the configuration for achieving the access control policy setting method of the present invention, in the method for establishing an access control policy, monitoring the file I / O (Input / Output) through the file system filter driver installed in the system and A file system I / O monitoring step for obtaining a full path of a file, a file access attribute, a user account (SID), and process information from the file I / O; In the file system I / O monitoring, items such as the full path of the file, the access attribute of the file, the user account (SID), and the process information are received, and the current control mode is obtained from the control mode repository. And an access control control step of adding or updating the items to the internal access control policy repository or blocking or allowing the items according to the control mode.

본 발명의 바람직한 실시예를 첨부된 도면에 의하여 상세히 설명하면 다음과 같다.When described in detail with reference to the accompanying drawings a preferred embodiment of the present invention.

먼저 본 발명의 배경 기술을 간단하게 설명하면, 마이크로소프트사의 운영체제인 윈도우즈 엑스피(Windows XP)는 일반 응용 프로그램이 실행되는 유저모드(User Mode)와 운영체제의 커널(Kernel)과 장치 드라이버(Driver)들이 실행되는 커널모드(Kernel Mode)로 구분된다. First, the background of the present invention will be described briefly. Microsoft's operating system Windows XP includes a user mode in which a general application program is executed, a kernel and a device driver of the operating system. It is divided into Kernel Mode that is executed.

그리고, 파일 I/O(Input/Output)를 감시하기 위해서는 상기 커널모드의 파일 시스템 필터 드라이버(File System Filter Driver)를 통해 작성되고, 안전한 운영체제 역시 상기 파일 시스템 필터 드라이버를 통해 작성된다.In order to monitor file I / O (Input / Output), the kernel mode is created through a file system filter driver, and a safe operating system is also created through the file system filter driver.

도 1은 상기와 같은 마이크로소프트사의 윈도우즈 엑스피의 파일 시스템 전체 구조를 보인 것으로, 커널모드에서의 파일 시스템 I/O를 감시하기 위해서는 상기 파일 시스템 필터 드라이버를 작성해야 한다.Figure 1 shows the overall structure of the file system of Microsoft's Windows XP as described above. In order to monitor file system I / O in kernel mode, the file system filter driver must be written.

이와 같은 파일 시스템 필터 드라이버는 윈도우즈 파일 시스템 자체에 IoAttachDevice() API 나 IoAttachDeviceByPointer() API, 또는 IoAttachDeviceToDeviceStack() API 등을 사용하여 어태치(attach)함으로써, 필터 드라이버로 적용하는 방법이나, 또는 윈도우즈 파일 시스템 드라이버의 드라이버 오브젝트(Driver Object)에 있는 디스패치 테이블(Dispatch Table)을 바꿔치기해서 파일 I/O를 후킹하는 널리 알려진 방법 등을 기반으로 한다.Such a file system filter driver can be attached to the Windows file system itself using the IoAttachDevice () API, the IoAttachDeviceByPointer () API, or the IoAttachDeviceToDeviceStack () API, to be applied as a filter driver, or to the Windows file system. It is based on a well-known method of hooking file I / O by changing the dispatch table in the driver object of the driver.

이러한, 상기 파일 I/O는 파일을 생성하거나 오픈하는 IRP_MJ_CREATE, 파일 을 쓰는 IRP_MJ_WRITE, 파일을 읽는 IRP_MJ_READ와 같은 파일 I/O를 포함한다.The file I / O includes file I / O such as IRP_MJ_CREATE for creating or opening a file, IRP_MJ_WRITE for writing a file, and IRP_MJ_READ for reading a file.

도 2는 본 발명의 접근 통제 정책 설정시스템을 개략적으로 도시한 것으로, 크게 파일 시스템 I/O 감시부와, 접근 통제 제어부를 포함하여 구성된다. 2 schematically illustrates an access control policy setting system according to the present invention, and includes a file system I / O monitoring unit and an access control control unit.

먼저, 파일 시스템 I/O 감시부에서는 시스템에 설치된 파일 시스템 필터 드라이버를 통해 파일 I/O(Input/Output)를 감시하고, 감시 결과 파일 I/O가 IRP_MJ_CREATE인 경우 파일 I/O로부터 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보를 얻게 된다.First, the file system I / O monitoring unit monitors file I / O (Input / Output) through the file system filter driver installed in the system. When the monitoring result file I / O is IRP_MJ_CREATE, the entire file from the file I / O is monitored. You get the path, file access attributes, user account (SID), and process information.

이때, 상기 파일 I/O가 IRP_MJ_CREATE가 아니라면, 해당 파일 항목들을 통과시킨다.If the file I / O is not IRP_MJ_CREATE, the corresponding file items are passed.

계속해서, 접근 통제 제어부에서는 상기 파일 시스템 I/O 감시부로부터 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보와 같은 항목들을 전달받는 한편 제어 모드 저장소로부터 현재의 제어 모드를 얻어온다. 그리고, 상기 제어 모드에 따라 상기 항목들을 내부 접근 통제 정책 저장소에 추가 또는 갱신하거나, 상기 항목들을 차단 또는 허용하는 역할을 한다.Subsequently, the access control control unit receives items such as the full path of the file, the file's access attribute, the user account (SID), and the process information from the file system I / O monitoring unit, while the current mode is controlled from the control mode repository. Retrieves the control mode. And, it adds or updates the items to the internal access control policy repository or blocks or allows the items according to the control mode.

한편, 아래의 표 1은 제어 모드 저장소에 있는 제어 모드의 일예를 나타낸 것으로, 제어 모드 저장소에서의 제어 모드는 학습 모드와 차단 모드로 나뉘어짐을 알 수 있다.Meanwhile, Table 1 below shows an example of a control mode in the control mode store, and it can be seen that the control mode in the control mode store is divided into a learning mode and a blocking mode.

학습 모드Learning mode 차단 모드Blocking mode 현재의 제어 모드Current control mode OO

또한, 아래의 표 2는 내부 접근 통제 정책 저장소에 저장된 파일 I/O 항목들 의 일예를 나타낸 것으로, 상기 내부 접근 통제 정책 저장소에는 사용자 계정(SID)과, 프로세스 정보와, 파일의 접근 경로와, 파일의 접근 속성이 존재함을 알 수 있다.In addition, Table 2 below shows an example of file I / O items stored in an internal access control policy store. The internal access control policy store includes a user account (SID), process information, a file access path, Notice that the access attribute of the file exists.

주체(Subject)Subject 객체(Object)Object 권한(Access Rights)Access Rights 사용자 계정(SID)User Account (SID) 프로세스 정보Process information 접근 파일Access file 접근 속성Access properties 읽기read 쓰기writing 실행Execution AdministratorAdministrator SystemSystem C:\Windows\explorer.exeC: \ Windows \ explorer.exe OO OO AdministratorAdministrator SystemSystem C:\Windows\Notepad.exeC: \ Windows \ Notepad.exe OO OO AdministratorAdministrator NotepadNotepad C:\Log\Log.txtC: \ Log \ Log.txt OO OO AdministratorAdministrator SystemSystem C:\Windwos\services.exeC: \ Windwos \ services.exe OO OO AdministratorAdministrator SystemSystem C:\Program Files\WebServer.exeC: \ Program Files \ WebServer.exe OO OO User1User1 ExplorerExplorer Notepad.exeNotepad.exe OO OO User1User1 NotepadNotepad C:\Doc\Document.txtC: \ Doc \ Document.txt OO OO User2User2 ExplorerExplorer C:\Program Files\IE\iexplorer.exeC: \ Program Files \ IE \ iexplorer.exe OO OO User2User2 iexploreriexplorer C:\Windows\System32\msieftp.dllC: \ Windows \ System32 \ msieftp.dll OO User2User2 iexploreriexplorer C:\Windows\System32\msvcr71.dlllC: \ Windows \ System32 \ msvcr71.dlll OO OO

이와 같이 구성된 본 발명의 작용 및 효과를 상세하게 설명하면 다음과 같다.Referring to the operation and effect of the present invention configured as described in detail as follows.

본 발명의 접근 통제 정책을 설정하기 위한 방법으로는 도 3과 같이 파일 시스템 I/O 감시단계(S10)와 접근 통제 제어단계(S20)를 거치게 되는데 도 4를 통하여 설명하면, 먼저 시스템에 설치된 파일 시스템 필터 드라이버를 통해 파일 I/O를 감시하고, 감시 결과 IRP_MJ_CREATE인 경우 파일 I/O로부터 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보를 얻는 파일 시스템 I/O 감시단계(S10)를 실행한다.As a method for setting an access control policy of the present invention, the file system I / O monitoring step S10 and the access control control step S20 are performed as shown in FIG. 3. File I / O is monitored through the system filter driver, and if the monitoring result is IRP_MJ_CREATE, the file system I / O that obtains the file's full path, file access attributes, user account (SID), and process information from the file I / O. O monitoring step (S10) is executed.

이때, 상기 파일 시스템 I/O 감시단계(S10)에서 파일의 전체경로를 얻는 방법을 살펴보면, 파일 I/O시에 각각의 인자로 넘어오는 IRP(I/O Request Packet)와 IoGetCurrentIrpStackLocation() API를 통해서 IO_STACK_LOCATION 타입의 IRP Stack을 얻고 상기 IRP Stack으로부터 FILE_OBJECT 타입의 FileObject를 얻게 된다. 그리고, 상기 FileObject를 ObQueryNameString()의 파라미터로 입력함으로써, 현재 파일의 전체 경로를 얻을 수 있다. 다른 방법으로, 상기 FileObject의 FileName.Buffer 멤버를 통해 접근하려는 파일의 전체경로를 얻을 수도 있다.At this time, looking at the method to obtain the full path of the file in the file system I / O monitoring step (S10), IRP (I / O Request Packet) and IoGetCurrentIrpStackLocation () API that is passed to each parameter at the time of file I / O Through this, an IRP Stack of type IO_STACK_LOCATION is obtained, and a FileObject of type FILE_OBJECT is obtained from the IRP Stack. Then, by inputting the FileObject as a parameter of ObQueryNameString (), the full path of the current file can be obtained. Alternatively, the full path of the file to be accessed may be obtained through the FileName.Buffer member of the FileObject.

여기서, FileObject->RelatedFileObject가 존재하는 경우에는, FileObject->FileName은 FileObject->RelatedFileObject에 대한 상대로 경로가 되고, FileObject->RelatedFileObject.FileName.Buffer와 FileObject->FileName.Buffer를 합치게 됨으로써, 파일의 전체 경로를 얻게 된다.Here, if FileObject-> RelatedFileObject exists, FileObject-> FileName is a path relative to FileObject-> RelatedFileObject, and FileObject-> RelatedFileObject.FileName.Buffer and FileObject-> FileName.Buffer are combined to obtain the file. You get the full path.

계속해서, 파일의 접근 속성을 얻는 방법을 살펴보면, IRP Stack으로부터 Create.Options 필드를 얻어와 상기 Create.Options 필드의 내용을 조사함으로써 접근하려는 파일의 접근 속성을 얻게 된다.Subsequently, a method of obtaining access attributes of a file is obtained by obtaining a Create.Options field from an IRP stack and examining the contents of the Create.Options field.

이때, 상기 필드의 내용에 FILE_READ_DATA가 포함되어 있다면 읽기 속성으로, FILE_WRITE_DATA가 포함되어 있다면 쓰기 속성으로, FILE_EXECUTE가 포함되어 있다면 실행 속성으로 접근한 것이다.In this case, if FILE_READ_DATA is included in the content of the field, the read attribute is accessed. If FILE_WRITE_DATA is included, the write attribute is accessed. If FILE_EXECUTE is included, the access attribute is accessed.

다음으로, 파일 I/O 시에 현재 프로세스의 프로세스 식별자(Process Identification)와 프로세스의 전체 경로와 같은 프로세스 정보를 얻어오는 방법을 살펴보면, 먼저 프로세스 식별자는 PsGetCurrentProcess() 또는 PsGetCurrentProcessId()와 같은 API를 통해서 간단히 얻게 된다.Next, look at how to get the process information such as the process identifier of the current process and the full path of the process at the time of file I / O. First, the process identifier is obtained through an API such as PsGetCurrentProcess () or PsGetCurrentProcessId (). Simply get

그리고, 프로세스의 전체 경로를 얻어오는 방법은 살펴보면, 프로세스의 전 체 경로는 PEB(Process Environment Block)에 위치하는데, 0x7FFDF000 주소에 현재 실행되고 있는 프로세스의 PEB 정보가 위치하게 된다. 이와 같이 PEB를 얻어온 후, PEB에 있는 RTL_UESR_PROCESS_PARAMETERS 타입의 ProcessParameters에 있는 UNICODE_STRING 타입의 ImagePathName을 얻어온다. 그리고 얻어온 ImagePathName을 통해 현재 프로세스의 전체 경로를 얻게 된다.And, how to get the full path of the process, the full path of the process is located in the PEB (Process Environment Block), the PEB information of the currently running process is located at 0x7FFDF000 address. After retrieving the PEB in this manner, an ImagePathName of type UNICODE_STRING in ProcessParameters of type RTL_UESR_PROCESS_PARAMETERS in the PEB is retrieved. And the ImagePathName obtained gets the full path of the current process.

계속해서, 파일 I/O 시의 현재 사용자 계정(SID)을 얻어 오는 방법을 살펴보면, 일반적으로 현재 실행되고 있는 프로세스나 쓰레드의 보안 정보를 규정하기 위해 토큰(Token)이라 불리는 개체를 사용하게 되는데, 이때 프로세스 감시부 내에서 해당 프로세스의 토큰을 구함으로써, 현재 로그인한 사용자의 아이디(SID)를 구할 수 있다.Continuing to look at how to get the current user account (SID) for file I / O, we typically use an object called a token to define the security information of the currently running process or thread. At this time, by obtaining the token of the process in the process monitoring unit, it is possible to obtain the ID (SID) of the user currently logged in.

상기한 방법을 보다 상세하게 설명하면, 먼저 SeCaptureSubjectContext() API를 통해서 SECURITY_SUBJECT_CONTEXT 타입의 정보를 얻어오고, 상기 정보로 SeQuerySubjectContextToken() API를 호출하여 현재 프로세스의 토큰(Token)을 얻게 된다. 그리고, 상기 토큰으로 SeQueryInformationToken() API를 호출하여, 현재 로그인한 사용자 계정(SID)을 얻을 수 있게 된다. In more detail, the method first obtains information of the SECURITY_SUBJECT_CONTEXT type through the SeCaptureSubjectContext () API, and obtains the token of the current process by calling the SeQuerySubjectContextToken () API with the information. In addition, the SeQueryInformationToken () API is called with the token to obtain a currently logged in user account (SID).

또 다른 방법으로, 현재 프로세스 토큰의 핸들을 입력 파라미터로 하는 ZwQueryInformationToken() API를 호출하여도 같은 효과를 볼 수 있다.Alternatively, the same effect can be achieved by calling the ZwQueryInformationToken () API that takes the handle of the current process token as an input parameter.

한편, 상기와 같이 상기 파일 시스템 I/O 감시단계(S10)에서 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보와 같은 항목들을 전달받은 후에 제어 모드 저장소로부터 현재의 제어 모드를 얻어온다. 그리고, 상 기 제어 모드에 따라 상기 항목들을 내부 접근 통제 정책 저장소에 추가 또는 갱신하거나, 상기 항목들을 차단 또는 허용하는 접근 통제 제어단계(S20)를 실시한다.On the other hand, in the file system I / O monitoring step (S10) as described above, after receiving the items such as the full path of the file, the access attribute of the file, the user account (SID), the process information and the current from the control mode storage Retrieves the control mode of. Then, according to the control mode, the access control control step (S20) of adding or updating the items to the internal access control policy store or blocking or allowing the items is performed.

이때, 상기한 제어 모드에 따른 각 항목들의 제어 방법을 첨부도면 도 5를 통하여 보다 상세하게 설명하면, 먼저 상기 제어 모드가 학습 모드인 경우에는 파일 시스템 I/O 감시단계(S10)에서 얻어온 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보와 같은 항목들을 내부 접근 통제 정책 저장소에 미리 저장된 항목들과 비교하여 서로 동일한 항목이 있는지 찾게 된다.In this case, the control method of each item according to the control mode will be described in more detail with reference to FIG. 5. First, when the control mode is the learning mode, the file obtained in the file system I / O monitoring step (S10) is described. Items such as the full path, file access attributes, user account (SID), and process information are compared with the items previously stored in the internal access control policy store to find out if there are identical items.

만일, 상기 내부 접근 통제 정책 저장소에 동일한 항목이 없는 경우에는 파일 시스템 I/O 감시단계(S10)에서 받은 상기 항목들을 상기 내부 접근 통제 정책 저장소에 추가하게 된다. 반면, 상기 내부 접근 통제 정책 저장소에 동일한 항목이 있는 경우에는 동일한 항목에 있는 접근 속성에 현재의 접근 속성을 추가하여 갱신하게 된다.If there is no identical item in the internal access control policy store, the items received in the file system I / O monitoring step S10 are added to the internal access control policy store. On the other hand, if there is the same item in the internal access control policy store, the current access property is added to the access property in the same item and updated.

예를 들어, 내부 접근 통제 정책 저장소에서 찾은 동일한 항목의 접근 속성이 읽기로 설정되어 있고, 현재의 접근 속성이 실행이라면, 기존에 설정된 읽기 접근 속성에 실행 접근 속성을 더하여 읽기와 실행 접근 속성으로 설정한다.For example, if the access property of the same item found in the internal access control policy store is set to Read and the current access property is Execution, set the Execution Access property to the Read and Execution Access property by adding the Execution Access property to the existing Read Access property. do.

계속해서, 상기 제어 모드가 차단 모드인 경우에는 파일 시스템 I/O 감시단계(S10)에서 받은 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보와 같은 항목들을 내부 접근 통제 정책 저장소에 미리 저장된 항목들과 비교하여 서로 동일한 항목이 있는지 찾게 된다.Subsequently, when the control mode is the blocking mode, items such as the full path of the file received in the file system I / O monitoring step (S10), the access attribute of the file, the user account (SID), and the process information are internally stored. It compares with the items stored in the access control policy store and finds out whether they are identical.

여기서, 상기 내부 접근 통제 정책 저장소에 동일한 항목이 없는 경우에는 파일 시스템 I/O 감시단계(S10)에서 받은 상기 항목들을 차단하게 된다. Here, when there is no identical item in the internal access control policy store, the items received in the file system I / O monitoring step S10 are blocked.

반면, 상기 내부 접근 통제 정책 저장소에 동일한 항목이 있는 경우에는 동일한 항목에 있는 접근 속성에 현재의 접근 속성이 있는지를 비교하여 동일한 접근 속성이 있다면 파일 시스템 I/O 감시단계(S10)에서 받은 상기 항목들을 허용한다. 그리고, 동일한 접근 속성이 없다면 상기 파일 시스템 I/O 감시단계(S10)에서 받은 상기 항목들을 차단하게 된다.On the other hand, if there is an identical item in the internal access control policy store, if there is the same access property in comparison with the access property in the same item, the item received in the file system I / O monitoring step (S10) Allow them to listen. If the same access attribute is not present, the items received in the file system I / O monitoring step S10 are blocked.

이때, 상기 파일 시스템 I/O 감시단계(S10)에서 받은 상기 항목들을 차단하는 방법을 살펴보면, 리턴되는 상태 값을 STATUS_ACCESS_DENIED와 같이 접근을 제한할 수 있는 적절한 상태 값으로 설정함으로써 접근 제한을 구현할 수 있다. 또한, 호출해야 할 원본 함수를 호출하지 않거나, 함수의 접근을 제한할 수 있는 적절한 값으로 함수의 인자를 수정함으로써 접근 제한을 구현할 수도 있다.In this case, referring to the method of blocking the items received in the file system I / O monitoring step (S10), access restriction may be implemented by setting the returned status value to an appropriate status value such as STATUS_ACCESS_DENIED to restrict access. . You can also implement access restrictions by not calling the original function to call, or by modifying the arguments of the function to appropriate values that can restrict access to the function.

이상에서와 같이 본 발명은 프로세스 정보, 사용자 계정(SID), 파일의 전체 경로, 파일의 접근 속성과 같은 항목들을 학습 모드 및 차단 모드에 따라 내부 제어 정책 저장소에 있는 항목들과 비교하여 상기 항목들을 상기 내부 제어 정책 저장소에 추가 또는 갱신하거나, 차단 또는 허용하게 된다.As described above, the present invention compares the items such as the process information, the user account (SID), the full path of the file, the access property of the file with those in the internal control policy store according to the learning mode and the blocking mode. Add or update, block or allow the internal control policy repository.

따라서, 시스템에서 허용된 행위 및 파일 I/O는 저장하거나 허용하고, 시스템에서 허용되지 않은 행위 또는 파일 I/O는 자동으로 차단하게 됨으로써, 기존에서와 같이 안전한 운영 체재의 개발회사 및 보안 컨설팅 업체를 통하거나 접근 통제 정책을 수립하기 위한 복잡한 과정을 거치지 않고서도, 시스템 내부에 보다 손 쉽고 간편하게 접근 통제 정책의 설정을 수립할 수 있는 효과가 있다.Therefore, the system permits storing and allowing the behaviors and file I / Os allowed in the system, and automatically blocks the behaviors or file I / Os that are not allowed in the system. Without having to go through a complicated process for establishing an access control policy or through an access control policy, an access control policy can be easily and simply set inside the system.

또한, 상기와 같이 허용되지 않는 행위를 원천적으로 차단함으로써, 해킹 및 해커의 공격을 효율적으로 예방할 수 있는 효과도 있는 것이다.In addition, by blocking the unacceptable behavior as described above, there is also an effect that can effectively prevent hacking and hacker attacks.

Claims (6)

접근 통제정책을 수립하기 위한 시스템에 있어서,In the system for establishing an access control policy, 상기 시스템에 설치된 파일 시스템 필터 드라이버를 통해 파일 I/O(Input/Output)를 감시하고, 상기 파일 I/O로부터 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보를 얻는 파일 시스템 I/O 감시부와;Monitors file I / O (Input / Output) through the file system filter driver installed in the system, and provides the full path of the file from the file I / O, the access attribute of the file, the user account (SID), and the process information. A file system I / O monitoring unit to obtain a; 상기 파일 시스템 I/O 감시부로부터 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보와 같은 항목들을 전달받는 한편 제어 모드 저장소로부터 현재의 제어 모드를 얻어오고, 상기 제어 모드에 따라 상기 항목들을 내부 접근 통제 정책 저장소에 추가 또는 갱신하거나, 상기 항목들을 차단 또는 허용하는 접근 통제 제어부를 포함하는 것을 특징으로 하는 접근 통제 정책 설정시스템.Receive the current control mode from the control mode repository while receiving items such as the full path of the file, the access attributes of the file, the user account (SID), and the process information from the file system I / O monitoring unit; And an access control control unit for adding or updating the items to an internal access control policy store or blocking or allowing the items according to a control mode. 접근 통제정책을 수립하기 위한 방법에 있어서,In a method for establishing an access control policy, 상기 시스템에 설치된 파일 시스템 필터 드라이버를 통해 파일 I/O(Input/Output)를 감시하고, 상기 파일 I/O로부터 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보를 얻는 파일 시스템 I/O 감시단계(S10)와;Monitors file I / O (Input / Output) through the file system filter driver installed in the system, and provides the full path of the file from the file I / O, the access attribute of the file, the user account (SID), and the process information. File system I / O monitoring step (S10) to obtain; 상기 파일 시스템 I/O 감시단계(S10)에서 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보와 같은 항목들을 전달받는 한편 제어 모드 저장소로부터 현재의 제어 모드를 얻어오고, 상기 제어 모드에 따라 상기 항목들을 내부 접근 통제 정책 저장소에 추가 또는 갱신하거나, 상기 항목들을 차단 또는 허용하는 접근 통제 제어단계(S20)를 포함하는 것을 특징으로 하는 접근 통제 정책 설정방법.In the file system I / O monitoring step (S10), items such as the full path of the file, the access attribute of the file, the user account (SID), and the process information are received, and the current control mode is obtained from the control mode repository. And an access control control step (S20) of adding or updating the items to an internal access control policy store or blocking or allowing the items according to the control mode. 제 2항에 있어서, 상기 파일 시스템 I/O 감시단계(S10)는 파일 I/O시에 각각의 인자로 넘어오는 IRP(I/O Request Packet)와 IoGetCurrentIrpStackLocation() API를 통해서 IO_STACK_LOCATION 타입의 IRP Stack을 얻고 상기 IRP Stack으로부터 FILE_OBJECT 타입의 FileObject를 얻으며 상기 FileObject를 ObQueryNameString()의 파라미터로 입력함으로써 현재 파일의 전체 경로를 얻게 되거나, 상기한 FileObject의 FileName.Buffer 멤버를 통해 파일의 전체경로를 얻게 되고,3. The file system I / O monitoring step (S10) is an IRP stack of IO_STACK_LOCATION type through I / O Request Packet (IRP) and IoGetCurrentIrpStackLocation () APIs, which are passed as respective parameters at the time of file I / O. Obtain a FileObject of type FILE_OBJECT from the IRP Stack and input the FileObject as a parameter of ObQueryNameString () to obtain the full path of the current file, or the file's full path through the FileName.Buffer member of the FileObject. 상기 IRP Stack으로부터 Create.Options 필드를 얻어와 상기 Create.Options 필드의 내용을 조사함으로써 접근하려는 파일의 접근 속성을 얻게 되는 것을 특징으로 하는 접근 통제 정책 설정방법.And access property of a file to be accessed by obtaining a Create.Options field from the IRP stack and examining the contents of the Create.Options field. 제 2항에 있어서, 상기 파일 시스템 I/O 감시단계(S10)는 파일 I/O시에 PsGetCurrentProcess() 또는 PsGetCurrentProcessId()와 같은 API를 통해 프로세스 식별자(Process Identification)를 얻고, 현재 실행되고 있는 PEB를 얻어온 후 PEB에 있는 RTL_UESR_PROCESS_PARAMETERS 타입의 ProcessParameters 에 있는 UNICODE_STRING 타입의 ImagePathName를 얻되 상기 ImagePathName을 통해 현재 프로세스의 전체 경로를 얻게 됨으로써, 프로세스 정보를 얻게 되고,The method according to claim 2, wherein the file system I / O monitoring step (S10) obtains a process identifier (Process Identification) through an API such as PsGetCurrentProcess () or PsGetCurrentProcessId () at the time of file I / O, and is currently running PEB. After obtaining the, obtain the ImagePathName of the UNICODE_STRING type in the ProcessParameters of the RTL_UESR_PROCESS_PARAMETERS type in the PEB, and obtain the full path of the current process through the ImagePathName, thereby obtaining the process information. SeCaptureSubjectContext() API를 통해서 SECURITY_SUBJECT_CONTEXT 타입의 정보를 얻고, 상기 정보로 SeQuerySubjectContextToken() API를 호출하여 현재 프로세스의 토큰(Token)을 얻으며, 상기 토큰으로 SeQueryInformationToken() API를 호출하여 현재의 사용자 계정(SID)을 얻거나, 상기한 현재 프로세스의 토큰핸들을 입력 파라미터로 하는 ZwQueryInformationToken() API의 호출을 통해 현재 로그인한 사용자 계정(SID)을 얻게 되는 것을 특징으로 하는 접근 통제 정책 설정방법.Obtain the SECURITY_SUBJECT_CONTEXT type information through the SeCaptureSubjectContext () API, call the SeQuerySubjectContextToken () API with the above information to obtain the token of the current process, and call the SeQueryInformationToken () API with the token to present the current user account (SID). Or obtaining the currently logged in user account (SID) through a call to the ZwQueryInformationToken () API using the token handle of the current process as an input parameter. 제 2항에 있어서, 상기 접근 통제 제어단계(S20)에서의 제어 모드가 학습 모드인 경우에는The method of claim 2, wherein when the control mode in the access control control step (S20) is a learning mode 파일 시스템 I/O 감시단계(S10)에서 받은 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보와 같은 항목들을 내부 접근 통제 정책 저장소에 미리 저장된 항목들과 동일한 항목이 있는지 비교하고,Items such as the full path of the file received in the file system I / O monitoring step (S10), the access properties of the file, the user account (SID), and the process information are the same as those previously stored in the internal access control policy store. Compare if there is, 상기 내부 접근 통제 정책 저장소에 동일한 항목이 없는 경우, 파일 시스템 I/O 감시단계(S10)에서 받은 상기 항목들을 상기 내부 접근 통제 정책 저장소에 추가하며,If there is no identical item in the internal access control policy store, the items received in the file system I / O monitoring step (S10) are added to the internal access control policy store, 상기 내부 접근 통제 정책 저장소에 동일한 항목이 있는 경우, 동일한 항목에 있는 접근 속성에 현재의 접근 속성을 추가하여 갱신하는 것을 특징으로 하는 접근 통제 정책 설정방법.And if the same item exists in the internal access control policy store, updating and adding the current access property to the access property in the same item. 제 2항에 있어서, 상기 접근 통제 제어단계(S20)에서의 제어 모드가 차단 모드인 경우에The method of claim 2, wherein when the control mode in the access control control step (S20) is a blocking mode 파일 시스템 I/O 감시단계(S10)에서 받은 파일의 전체 경로와, 파일의 접근 속성과, 사용자 계정(SID)과, 프로세스 정보와 같은 항목들을 내부 접근 통제 정책 저장소에 미리 저장되어 있는 항목들과 동일한 항목이 있는지 비교하고,Items such as the full path of the file received in the file system I / O monitoring step (S10), the access attributes of the file, the user account (SID), and the process information are stored in the internal access control policy store. Compares for equal items, 상기 내부 접근 통제 정책 저장소에 동일한 항목이 없는 경우, 파일 시스템 I/O 감시단계(S10)에서 받은 상기 항목들을 차단하며,When there is no identical item in the internal access control policy store, the items received in the file system I / O monitoring step (S10) are blocked, 상기 내부 접근 통제 정책 저장소에 동일한 항목이 있는 경우, 동일한 항목에 있는 접근 속성에 현재의 접근 속성이 있는지를 비교하여 동일한 접근 속성이 있다면 파일 시스템 I/O 감시단계(S10)에서 받은 상기 항목들을 허용하고, If there is an identical item in the internal access control policy store, compares whether there is a current access property in the access property in the same item, and if the same access property exists, allowing the items received in the file system I / O monitoring step (S10). and, 동일한 접근 속성이 없다면 파일 시스템 I/O 감시단계(S10)에서 받은 상기 항목들을 차단하는 것을 특징으로 하는 접근 통제 정책 설정방법.If the same access attribute does not exist, the access control policy setting method characterized in that for blocking the items received in the file system I / O monitoring step (S10).
KR1020050002319A 2005-01-10 2005-01-10 Method and system for establishing access control KR100577344B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050002319A KR100577344B1 (en) 2005-01-10 2005-01-10 Method and system for establishing access control

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050002319A KR100577344B1 (en) 2005-01-10 2005-01-10 Method and system for establishing access control

Publications (1)

Publication Number Publication Date
KR100577344B1 true KR100577344B1 (en) 2006-05-10

Family

ID=37181195

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050002319A KR100577344B1 (en) 2005-01-10 2005-01-10 Method and system for establishing access control

Country Status (1)

Country Link
KR (1) KR100577344B1 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100685050B1 (en) * 2005-12-26 2007-02-22 주식회사 포스코 Method of intrusion response for control and instrumentation system network
KR100901465B1 (en) 2007-07-25 2009-06-08 주식회사 안철수연구소 Method of protecting input/output packet of usb device
KR100930018B1 (en) * 2007-12-07 2009-12-07 주식회사 마크애니 Digital Information Security System, Kernel Driver Device, and Digital Information Security Method
KR101216986B1 (en) * 2012-03-20 2012-12-31 주식회사 시큐브 Dynamic linked library and code signing based file and folder access control system and method
KR101221399B1 (en) * 2010-11-25 2013-01-14 주식회사 시큐브 File access control system and method based on file path
KR20190096686A (en) * 2018-02-09 2019-08-20 주식회사 안랩 Malware preventing system anf method based on access controlling for data file
CN112115458A (en) * 2020-08-28 2020-12-22 惠州市德赛西威智能交通技术研究院有限公司 Embedded system for automatically setting and verifying file attribute and authority
KR20230173339A (en) * 2022-06-17 2023-12-27 (주)나무소프트 Data protection system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010016802A (en) * 1999-08-04 2001-03-05 박화자 Computer file and directory protection method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010016802A (en) * 1999-08-04 2001-03-05 박화자 Computer file and directory protection method

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100685050B1 (en) * 2005-12-26 2007-02-22 주식회사 포스코 Method of intrusion response for control and instrumentation system network
KR100901465B1 (en) 2007-07-25 2009-06-08 주식회사 안철수연구소 Method of protecting input/output packet of usb device
KR100930018B1 (en) * 2007-12-07 2009-12-07 주식회사 마크애니 Digital Information Security System, Kernel Driver Device, and Digital Information Security Method
KR101221399B1 (en) * 2010-11-25 2013-01-14 주식회사 시큐브 File access control system and method based on file path
KR101216986B1 (en) * 2012-03-20 2012-12-31 주식회사 시큐브 Dynamic linked library and code signing based file and folder access control system and method
KR20190096686A (en) * 2018-02-09 2019-08-20 주식회사 안랩 Malware preventing system anf method based on access controlling for data file
KR102034678B1 (en) * 2018-02-09 2019-10-21 주식회사 안랩 Malware preventing system anf method based on access controlling for data file
CN112115458A (en) * 2020-08-28 2020-12-22 惠州市德赛西威智能交通技术研究院有限公司 Embedded system for automatically setting and verifying file attribute and authority
CN112115458B (en) * 2020-08-28 2023-11-17 惠州市德赛西威智能交通技术研究院有限公司 System for embedded automatic setting and verifying file attribute and authority
KR20230173339A (en) * 2022-06-17 2023-12-27 (주)나무소프트 Data protection system
KR102623168B1 (en) * 2022-06-17 2024-01-10 (주)나무소프트 Data protection system

Similar Documents

Publication Publication Date Title
US9665708B2 (en) Secure system for allowing the execution of authorized computer program code
US8347085B2 (en) Integrating security protection tools with computer device integrity and privacy policy
US7363493B2 (en) Method for protecting computer programs and data from hostile code
KR100577344B1 (en) Method and system for establishing access control
US7665139B1 (en) Method and apparatus to detect and prevent malicious changes to tokens
US20140373181A1 (en) Method for protecting computer programs and data from hostile code
US20070079375A1 (en) Computer Behavioral Management Using Heuristic Analysis
US20060075492A1 (en) Access authorization with anomaly detection
US20180048648A1 (en) Methods and apparatus for protecting domains of a device from unauthorized accesses
US20060026684A1 (en) Host intrusion prevention system and method
Schmid et al. Protecting data from malicious software
Sze et al. Provenance-based integrity protection for windows
US7487548B1 (en) Granular access control method and system
US20050119902A1 (en) Security descriptor verifier
US20240152610A1 (en) Methods and systems for detecting and blocking malicious actions in operating system
KR100985073B1 (en) Apparatus for controlling access to shared folders on computer networks and method thereof
EP1225512A1 (en) Method for protecting computer programs and data from hostile code
US20230198997A1 (en) Access control systems and methods
Xiao et al. Analysis on sandbox technology of adobe reader X
Sutton Windows nt security guidelines
WO2002084939A1 (en) System and method for securely executing a executable to preserve the integrity of files from unauthorized access for network security
Chen et al. A Novel server-based application execution architecture
Wurster et al. System configuration as a privilege
O'Brien et al. Kernel Loadable Wrappers for Information Assurance

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130228

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140228

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee