KR101490052B1 - System and method for monitoring illegal remote access of user's terminal - Google Patents

System and method for monitoring illegal remote access of user's terminal Download PDF

Info

Publication number
KR101490052B1
KR101490052B1 KR20130122032A KR20130122032A KR101490052B1 KR 101490052 B1 KR101490052 B1 KR 101490052B1 KR 20130122032 A KR20130122032 A KR 20130122032A KR 20130122032 A KR20130122032 A KR 20130122032A KR 101490052 B1 KR101490052 B1 KR 101490052B1
Authority
KR
South Korea
Prior art keywords
information
web service
pattern information
static pattern
unit
Prior art date
Application number
KR20130122032A
Other languages
Korean (ko)
Inventor
김태봉
정영만
홍성구
Original Assignee
케이티비솔루션 주식회사
주식회사 대구은행
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 케이티비솔루션 주식회사, 주식회사 대구은행 filed Critical 케이티비솔루션 주식회사
Priority to KR20130122032A priority Critical patent/KR101490052B1/en
Application granted granted Critical
Publication of KR101490052B1 publication Critical patent/KR101490052B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications

Abstract

The present invention relates to a web security system and method and, more specifically, to a system and method in which a web service server providing an arbitrary web service determines whether a user using a user terminal requesting a web service is a legal user or a remote intruder using a remote access terminal, which accesses to the user terminal from a remote place, and provides the web service only to the legal user. The system comprises: a web service server which provides an agent, when the arbitrary web service is requested, receives and transmits static pattern information including network connection information related to the provision of the agent and executed process information, receives an intrusion determination result according to the static pattern information, and provides or blocks the requested web service according to the result of the intrusion determination; a user terminal which connects to the web service server to request the web service, receives and installs the agent according to the web service request, collects the static pattern information by the agent, and provides the information to the web service server; and a remote connection monitoring server which includes a dynamic pattern information database storing dynamic pattern information on at least one of a legal remote accessor or an intruder. and, when the static pattern information is received from the web service server, compares the dynamic pattern information with the received static pattern information to determine whether the user requesting the web service through the user terminal is a legal user or an intruder, and transmits the determination result to the web service server.

Description

사용자 단말 원격 접속 감지 시스템 및 방법{System and method for monitoring illegal remote access of user's terminal}SYSTEM AND METHOD FOR MONITORING < RTI ID = 0.0 > and /

본 발명은 웹(Web) 보안 시스템 및 방법에 관한 것으로, 더욱 상세하게는 임의의 웹 서비스를 제공하는 웹 서비스 서버에서 웹 서비스를 요청한 사용자 단말기를 이용하는 사용자가 정당한 사용자인지 원격지에서 사용자 단말에 접속한 원격 접속 단말기를 이용한 원격 침입자인지를 판단하여 정당한 사용자에게만 웹 서비스를 제공할 수 있는 사용자 단말 원격 접속 감지 시스템 및 방법에 관한 것이다.
The present invention relates to a web security system and method, and more particularly, to a Web security system and method in which a user using a user terminal requesting a web service in a web service server providing an arbitrary web service is a legitimate user, To a user terminal remote access detection system and method capable of determining whether a remote intruder is a remote intruder and providing a web service only to a legitimate user.

최근 유무선 인터넷 통신 기술의 급속한 발달로 인하여 사용자의 컴퓨터 및 사용자가 회원으로 가입한 웹사이트들을 통해 개인정보들이 유출되고 있다. 이러한 개인정보의 유출은 명의 도용에 따른 공인인증서 재발급 및 전자이체 등과 같은 금융 위험을 발생시키고 있다. 그리고 무단 유출된 개인정보는 각종 금융 및 전자상거래 등의 사기에 이용되며, 개인정보를 이용한 오프라인 상에서의 각종 대포폰, 대포계좌 개설 등에 악용되고 있다. 또한, 개인정보 유출은 기업의 내부 기밀 유출 사고 시 기업 생존과 직결될 것으로 예상된다.Recently, due to the rapid development of wired / wireless internet communication technology, personal information is being leaked through the websites of users' computers and users. Such leakage of personal information is causing financial risks such as reissuance of accredited certificates according to impersonation and electronic transfer. Also, personal information that is leaked is used for fraudulent transactions such as finance and e-commerce, and is being exploited to open various cannon phones and cannon accounts in offline using personal information. In addition, leakage of personal information is expected to lead directly to the survival of companies in case of internal confidential leakage.

이러한 종래의 개인정보 유출을 방지하기 위한 방법으로는 최근 주민등록번호를 대신하여 인터넷 개인 식별번호(Internet Personal Identification Number: i-Pin)(이하 "아이핀"이라 함)를 이용하는 주민등록번호 대체 이용 방법, 개인 컴퓨터의 바이러스와 스파이웨어 등과 같은 악성코드를 검출 및 삭제하여 바이러스를 통한 정보 유출을 방지하는 보안 프로그램 이용 방법, 결제 시 안심결제 및 간편 결제 방법, 및 공인인증서 이용 방법 등이 있을 수 있다.As a method for preventing the leakage of personal information, there is a method of replacing a resident registration number using an Internet Personal Identification Number (i-Pin) (hereinafter referred to as an "i-pin") instead of a resident registration number, A method of using a security program for preventing information leakage through a virus by detecting and deleting malicious codes such as viruses and spyware, a secure settlement method and a simple settlement method at the time of settlement, and a method of using an authorized certificate.

아이핀 방식은 아이핀 제공 보안회사의 웹사이트에서 주민등록번호에 대해 주민등록번호를 대신할 아이핀과 그 아이핀에 대한 비밀번호를 설정하여 등록하고, 온라인상에서 주민등록번호 대신 등록된 아이핀과 비밀번호를 사용하여 서비스 가입 등을 수행할 수 있도록 하고, 상기 등록하고자 하는 온라인의 웹사이트는 아이핀과 비밀번호에 의해 상기 아이핀 제공 보안 회사를 통해 본인인증을 수행하는 것이다.The Ipin method is to set a password for Ipin and its Ipin to replace the resident registration number for the resident registration number on the security company website provided by Ipin, and to register the service using the registered IP address and password instead of the resident registration number And the on-line web site to be registered is authenticated through the Ipin provided security company by IP pin and password.

그리고 공인인증서 방식은 공인인증기관에서 비밀번호 등을 설정한 공인인증서를 발급받아 컴퓨터, USB 등과 같은 휴대용 저장장치, 휴대폰 등에 저장해 놓고 인증 및 결제 시마다 공인인증서를 불러와 상기 공인인증서에 대한 비밀번호를 입력하여 인증하는 방식이다.And, in the public certificate system, a public certificate that a password is set by a public certification authority is issued and stored in a portable storage device such as a computer, a USB, or a mobile phone, and a public certificate is called for each authentication and payment, Authentication.

그러나 상술한 아이핀 방식의 경우도, 아이핀과 비밀번호가 노출되면 동일하게 개인정보가 노출될 수 있었으며, 공인인증서 방식 또한 공인인증서의 복사가 가능하고 비밀번호만 노출되면 온라인상에서 이용될 수 있는 문제점이 있었다.However, even in the case of the above-described IP-PIN method, personal information can be exposed when the IP-PIN and the password are exposed, and the authorized certificate system can also copy the authorized certificate and can be used online only if the password is exposed.

또한, 이러한 개인정보 보호 방안들은 3자의 개인정보를 이용한 온라인상의 로그인, 결제 및 인증 시 해당 개인이 이를 알 수 없고, 시간이 지난 후에나 개인정보의 도용이 발생했음을 인지함으로써 피해를 방지하거나, 피해에 따른 빠른 대처를 할 수 없는 문제점이 있었다.In addition, these personal information protection schemes can not prevent the victim from knowing that the individual is unaware of the login, payment and authentication of the online information using the personal information of the three persons, There is a problem that it is not possible to cope quickly.

이러한 문제점을 해결하기 위해 최근에는 웹 서비스 서버에서 사용자가 웹 서비스를 받기 위해 사용할 사용자의 컴퓨터 등의 장치를 등록하고 등록된 장치 이외의 장치에서 로그인 등의 접속이 발생되면 차단하고, 미리 등록된 메일 등으로 등록된 장치 이외의 장치를 통한 제3자의 접속을 알리는 디바이스 지정 등록 보안 시스템이 개발되어 적용되고 있다.In order to solve such a problem, recently, a web service server registers a device such as a user's computer to be used for receiving a web service, blocks a connection such as login from a device other than the registered device, A device designation registration security system for notifying a third party connection through a device other than the registered device has been developed and applied.

그러나 제3자가 원격 접속 단말기를 이용하여 임의의 웹 서비스 서버에 기기 지정 등록을 완료한 사용자 단말기를 해킹하여 접속하고 상기 해킹한 사용자 단말기를 통해 웹 서비스 서버에 접속하거나, 악성 코드 등을 심어 놓고, 상기 사용자 단말기를 통해 웹 서비스 서버에 로그인 접속하는 경우, 종래 디바이스 지정 등록 보안 시스템은 제3자가 사용자 단말기를 통해 접근하므로 상기 제3자에 의한 접근임을 감지할 수 없는 문제점이 있었다. However, when a third party hacked and accesses a user terminal that has completed device registration with a certain web service server using a remote access terminal, accesses a web service server through the hacked user terminal, installs malicious code, When accessing the Web service server through the user terminal, the conventional device-designated registration security system can not detect that the third party has accessed the third party because the third party is accessing through the user terminal.

특허공개 제10-2007-0028549호Patent Publication No. 10-2007-0028549

따라서 본 발명의 목적은 임의의 웹 서비스를 제공하는 웹 서비스 서버에서 웹 서비스 요청 시 웹 서비스를 요청한 사용자 단말기를 이용하는 사용자가 정당한 사용자인지 원격지에서 사용자 단말에 접속한 원격 접속 단말기를 이용한 원격 침입자인지를 판단하여 정당한 사용자에게만 웹 서비스를 제공할 수 있는 사용자 단말 원격 접속 감지 시스템 및 방법을 제공함에 있다.
Accordingly, it is an object of the present invention to provide a method and apparatus for detecting a remote intruder using a remote access terminal connected to a user terminal in a remote place or a user using a user terminal requesting a web service in a web service server, And to provide a web service to a legitimate user based on the determination result.

상기와 같은 목적을 달성하기 위한 본 발명의 사용자 단말 원격 접속 감지 시스템은: 임의의 웹 서비스 요청 시 에이전트를 제공하고, 상기 에이전트 제공에 따른 네트워크 연결 정보 및 실행된 프로세스 정보를 포함하는 정적 패턴 정보를 수신받아 전송하며, 상기 정적 패턴 정보에 따른 침입 판단 결과를 수신받고 그 결과에 따라 상기 요청된 웹 서비스를 제공하거나 차단하는 웹 서비스 서버부; 상기 웹 서비스 서버부에 접속하여 상기 웹 서비스를 요청하고, 상기 웹 서비스 요청에 따른 에이전트를 수신받아 설치한 후, 상기 에이전트에 의해 정적 패턴 정보를 수집하여 상기 웹 서비스 서버부로 제공하는 사용자 단말기: 및 정당한 원격 접근자 및 침입자 중 적어도 하나 이상에 대한 정보인 동적 패턴 정보를 저장하는 동적 패턴 정보 데이터베이스를 포함하고, 상기 웹 서비스 서버부로부터 정적 패턴 정보의 수신 시 상기 동적 패턴 정보와 수신된 정적 패턴 정보를 비교하여 상기 사용자 단말기를 통해 상기 웹 서비스를 요청한 사용자가 정당한 사용자인지 침입자인지를 판단하여 그 판단 결과를 상기 웹 서비스 서버부로 전송하는 원격 접속 감시 서버부를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a user terminal remote access detection system, comprising: an agent for providing an arbitrary web service request; static pattern information including network connection information and executed process information; A web service server unit receiving and transmitting an intrusion detection result according to the static pattern information and providing or blocking the requested web service according to a result of the intrusion detection; A user terminal accessing the web service server unit, requesting the web service, receiving and installing an agent according to the web service request, collecting static pattern information by the agent, and providing the collected static pattern information to the web service server unit; And a dynamic pattern information database for storing dynamic pattern information that is information on at least one of a legitimate remote accessor and an intruder, wherein when receiving the static pattern information from the web service server unit, the dynamic pattern information and the received static pattern information And a remote access monitoring server unit for determining whether a user requesting the web service through the user terminal is a legitimate user or an intruder and transmitting the determination result to the web service server unit.

상기 사용자 단말기는, 유무선 데이터 통신망에 접속하고, 상기 유무선 데이터 통신망에 접속된 다른 장치들과 데이터 통신을 수행하는 통신부; 상기 에이전트를 저장하는 저장부; 및 상기 에이전트에 의해 정적 패턴 정보를 수집하고 상기 통신부를 통해 상기 웹 서비스 서버부로 제공하는 제어부를 포함하는 것을 특징으로 한다.The user terminal includes: a communication unit connecting to a wire / wireless data communication network and performing data communication with other devices connected to the wire / wireless data communication network; A storage unit for storing the agent; And a control unit for collecting static pattern information by the agent and providing the static pattern information to the web service server unit through the communication unit.

상기 제어부는, 외부에서 상기 통신부를 통해 접속한 네트워크 연결 중 상태정보가 지속 연결 상태(Established)인 네트워크 연결 정보를 수집하는 네트워크 연결 검사부; 상기 수집된 네트워크 연결 정보를 생성한 프로세스를 검출하고 검출된 프로세스 정보를 생성하는 프로세스 검출부; 및 상기 네트워크 연결 정보 및 프로세스 정보를 포함하는 정적 패턴 정보를 생성하고 통신부를 통해 상기 웹 서비스 서버부로 송신하는 정적 패턴 정보 생성부를 포함하는 것을 특징으로 한다.Wherein the control unit comprises: a network connection check unit for collecting network connection information in which state information of a network connection connected from the outside through the communication unit is a connected state; A process detecting unit detecting a process that generates the collected network connection information and generating detected process information; And a static pattern information generating unit for generating static pattern information including the network connection information and the process information and transmitting the generated static pattern information to the web service server unit through a communication unit.

상기 제어부는, 상기 네트워크 연결 검사부 및 프로세스 검출부에서 검출 및 수집된 정보들을 특정 오픈 포트별로 재분류하는 포트 분석부; 미리 저장된 예외 연결, 예외 프로세스 및 예외 포트를 포함하는 예외 정보를 저장하고 있으며, 상기 오픈 포트별로 재분류된 상기 네트워크 연결 검사부, 프로세스 검출부에서 검출된 정보들 중 상기 예외 정보에 포함된 네트워크 연결, 프로세스를 가지는 네트워크 연결 및 프로세스 정보를 상기 정보들에서 제외하는 예외 분석부; 및 상기 네트워크 연결 및 프로세스의 출발지 IP를 검출하는 IP 분석부를 더 포함하되, 상기 정적 패턴 정보 생성부는 상기 정적 패턴 정보에 상기 예외 정보에 포함된 정보에 대응하는 정보 및 상기 예외 정보가 제외된 상기 정보들 및 출발지 IP 정보를 포함하는 정적 패턴 정보를 생성하는 것을 특징으로 한다.Wherein the control unit comprises: a port analyzing unit for reclassifying information detected and collected by the network connection checking unit and the process detecting unit by a specific open port; Wherein the exception information includes exception information including an exception connection, an exception process, and an exception port, which are stored in advance, and a network connection included in the exception information among the information detected by the network connection checking unit and the process detecting unit, An exception analysis unit that excludes network connection and process information having the network connection and the process information from the information; And an IP analysis unit for detecting a source IP address of the network connection and a process, wherein the static pattern information generation unit generates the static pattern information based on the information corresponding to the information included in the exception information and the information And static IP address information, and source IP information.

상기 웹 서비스 서버부는, 상기 원격 접속 감시 서버부로부터 침입 판단 결과를 수신 받고, 그 결과가 침입 판단 정보이면 미리 등록된 상기 사용자의 전화번호의 통신단말기로 본인 확인 요청 메시지를 송신하고, 이에 대한 응답 메시지의 수신 여부에 따라 상기 웹 서비스를 제공하는 것을 특징으로 한다.Wherein the web service server unit receives an intrusion determination result from the remote access monitoring server unit and transmits an identity confirmation request message to the communication terminal of the telephone number of the user registered in advance if the result is intrusion determination information, And provides the web service according to whether the message is received or not.

상기 통신단말기는 이동통신단말기이고, 상기 본인 확인 요청 메시지 및 응답 메시지는 단문 메시지 서비스 메시지인 것을 특징으로 한다.The communication terminal is a mobile communication terminal, and the identity verification request message and the response message are short message service messages.

상기 웹 서비스 서버부는, 자동응답시스템(ARS)을 포함하고, 상기 자동응답시스템을 통해 상기 사용자에 대해 미리 등록되어 있는 전화번호의 통신단말기로 아웃바운딩 호를 발신하여 통화로 형성 시 자동응답시스템의 시나리오에 따른 본인 확인 요청 메시지를 음성으로 송신하고, 이에 대한 응답 메시지를 음성 또는 통신단말기의 버튼 신호로 입력받고 상기 응답 메시지의 수신 여부에 따라 상기 웹 서비스를 제공하는 것을 특징으로 한다.Wherein the web service server unit includes an automatic response system (ARS), wherein the web service server unit transmits an outbound call to a communication terminal of a telephone number registered in advance with respect to the user through the automatic response system, And transmits a response message to the voice or communication terminal as a button signal and provides the web service according to whether the response message is received.

상기와 같은 목적을 달성하기 위한 본 발명의 사용자 단말 원격 접속 감지 방법은: 사용자 단말기가 웹 서비스 서버부에 접속하여 임의의 웹 서비스의 요청 시 에이전트 설치 여부에 따라 웹 서비스 서버부로부터 에이전트를 다운로드 받아 설치하는 에이전트 설치 과정; 임의의 웹 서비스 요청 시 상기 설치된 에이전트에 의해 사용자 단말기가 자신에게 접속한 원격 접속에 대한 정보인 정적 패턴 정보를 수집하여 원격 접속 감시 서버부로 전송하는 정적 패턴 수집 과정; 원격 접속 감시 서버부가 수신된 상기 정적 패턴 정보와 미리 등록된 정당한 원격 접근자 및 침입자 중 적어도 하나 이상에 대한 정보인 동작 패턴 정보를 비교하여 상기 사용자 단말기를 통해 상기 웹 서비스를 요청한 사용자가 정당한 사용자인지 침입자인지를 판단하여 그 결과를 송신하는 침입 감시 과정; 및 상기 웹 서비스 서버부가 상기 결과를 수신받아 상기 웹 서비스의 제공하거나 차단하는 서비스 제공 과정을 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a method for detecting a remote access to a user terminal, comprising the steps of: when a user terminal accesses a web service server unit and requests an arbitrary web service, Installing agent installation process; A static pattern collecting step of collecting static pattern information, which is information on a remote connection made by the user terminal, to the remote access monitoring server part by the installed agent when requesting an arbitrary web service; The remote access monitoring server compares the received static pattern information with operation pattern information, which is information on at least one of legitimate remote accessors and intruders registered in advance, and determines whether the user requesting the web service through the user terminal is a legitimate user Detecting an intruder and transmitting the result; And a service providing step in which the web service server receives the result and provides or blocks the web service.

상기 정적 패턴 수집 과정은, 외부에서 통신부를 통해 접속한 네트워크 연결 중 지속 연결 상태(Established)인 네트워크 연결 정보를 수집하는 네트워크 연결 검사 단계; 상기 수집된 네트워크 연결 정보를 생성한 프로세서를 검출하고 검출된 프로세스 정보를 생성하는 프로세스 정보 생성 단계; 상기 네트워크 연결 정보 및 프로세서 정보를 포함하는 정적 패턴 정보를 생성하는 정적 패턴 정보 생성 단계; 및 상기 정적 패턴 정보를 통신부를 통해 상기 웹 서비스 서버부로 송신하는 정적 패턴 정보 전송 단계를 포함하는 것을 특징으로 한다.The static pattern collecting step may include: a network connection inspecting step of collecting network connection information that is established in a network connection externally connected through a communication unit; A process information generation step of detecting a processor that has generated the collected network connection information and generating detected process information; A static pattern information generation step of generating static pattern information including the network connection information and the processor information; And a static pattern information transmission step of transmitting the static pattern information to the web service server unit through a communication unit.

상기 정적 패턴 수집 과정은, 상기 네트워크 연결 정보 및 프로세스 정보들을 특정 오픈 포트별로 재분류하는 포트 분석 단계; 미리 저장된 예외 연결, 예외 프로세스 및 예외 포트를 포함하는 예외 정보를 참조하여 상기 재분류된 네트워크 연결 정보, 프로세스 정보들 중 상기 예외 정보에 포함된 정보를 제외하는 예외 분석 단계; 및 상기 검출된 네트워크 연결 및 프로세스의 출발지 IP를 검출하는 IP 분석 단계를 더 포함하되, 상기 정적 패턴 정보 생성 단계는, 상기 정적 패턴 정보에 상기 포트 정보를 포함하되 상기 예외 정보에 포함된 정보들을 제외한 정적 패턴 정보를 생성하는 것을 특징으로 한다.Wherein the static pattern collection step comprises: a port analysis step of reclassifying the network connection information and the process information for each specific open port; An exception analysis step of excluding information included in the exception information among the reclassified network connection information and process information with reference to exception information including a previously stored exception connection, an exception process and an exception port; And an IP analysis step of detecting a source IP of the detected network connection and a process, wherein the generating of the static pattern information includes generating the static pattern information including the port information and excluding the information included in the exception information And generates static pattern information.

프로세스 정보 생성 단계는, 상기 수집된 네트워크 연결 정보를 생성한 프로세서를 검출하는 프로세스 검출 단계; 검출된 상기 프로세스가 동작되고 있는 권한을 검출하고, 검출된 권한과 미리 정의된 권한 규칙들과 비교하여 정상적인 권한인지를 판단하고, 그 판단 결과를 생성하는 프로세스 권한 판단 단계;The process information generating step may include: a process detecting step of detecting a processor that has generated the collected network connection information; Judging whether or not the detected right is a normal right by comparing the detected right with the predefined right rules and generating a result of the judgment;

검출된 상기 프로세스가 설치된 경로 정보를 검출하고 검출된 경로가 정상 설치 경로인지를 판단하고, 그 판단 결과를 생성하는 정상 설치 경로 판단 단계; 검출된 상기 프로세스의 소유자 정보를 검출하고 소유자 정보의 존재 여부를 판단하고 미리 설정된 정당한 소유자들에 대한 정보와 비교하여 허위 여부를 판단하고, 그 결과정보를 생성하는 프로세스 소유자 검증 단계;A normal installation path determination step of detecting path information in which the detected process is installed, determining whether the detected path is a normal installation path, and generating a determination result; A process owner verification step of detecting owner information of the detected process, determining whether or not the owner information exists, comparing the information with information on legitimate owners, determining whether the owner is false, and generating the result information;

검출된 상기 프로세스의 속성이 은닉인지를 판단하고, 그 결과정보를 생성하는 프로세스 은닉 판단 단계; 및 상기 검출된 프로세스 정보, 프로세스 권한 판단 결과 정보, 정상 설치 경로 판단 정보, 소유자 검증 정보, 프로세스 은닉 판단 정보를 포함하는 프로세스 정보를 생성하는 프로세스 정보 생성 단계를 포함하는 것을 특징으로 한다.Determining whether an attribute of the detected process is hidden, and generating a result information; And a process information generating step of generating process information including the detected process information, process authorization determination result information, normal installation path determination information, owner verification information, and process hiding determination information.

상기 서비스 제공 과정은, 상기 원격 접속 감시 서버부로부터 침입 판단 결과를 수신 받는 침입 판단 결과 수신 단계; 상기 수신된 침입 판단 결과가 침입 판단 정보이면 상기 사용자의 미리 등록된 전화번호를 로드하는 전화번호 로딩 단계; 상기 사용자의 전화번호의 통신단말기로 본인 확인 요청 메시지를 송신하는 본인 확인 요청 단계; 및 상기 본인 확인 요청 메시지에 대한 응답 메시지의 수신 여부에 따라 상기 웹 서비스를 제공하는 웹 서비스 제공 단계를 포함하는 것을 특징으로 한다.The service providing process may include receiving an intrusion determination result from the remote access monitoring server unit; A telephone number loading step of loading a previously registered telephone number of the user if the received intrusion determination result is intrusion determination information; A personal identification request step of transmitting a personal identification request message to the communication terminal of the user's telephone number; And a web service providing step of providing the web service according to whether or not a response message to the identity confirmation request message is received.

상기 에이전트 설치 과정에서의 요청된 웹 서비스는 로그인 서비스이고, 정적 패턴 수집 과정의 웹 서비스는 로그인 서비스를 포함하는 웹 서비스 서버부에서 제공하는 임의의 웹 서비스인 것을 특징으로 한다.The requested web service in the agent installation process is a login service and the web service in the static pattern collection process is an arbitrary web service provided by a web service server unit including a login service.

본 발명은 사용자 단말기의 네트워크 연결 정보 및 실행된 프로세스 정보들을 포함하는 정적 패턴 정보를 수집하고, 수집된 정적 패턴 정보와 미리 설정되어 있는 동적 패턴 정보를 비교하여 사용자 단말기를 통해 임의의 웹 서비스 서버에 접속하여 서비스를 받고자 하는 사용자가 정당한 사용자인지 사용자 단말기에 불법으로 원격 접속한 침입자인지를 판단할 수 있는 효과를 갖는다.The present invention collects static pattern information including network connection information and executed process information of a user terminal, compares the collected static pattern information with predetermined dynamic pattern information, and transmits the static pattern information to an arbitrary web service server It is possible to judge whether the user who is connected to receive the service is a legitimate user or an intruder who illegally remotely accesses the user terminal.

이에 따라 본 발명은 사용자가 웹 서비스 서버에 접속하는 것만으로도 사용자 단말기에 접속한 원격 접속 단말기의 정보를 확인할 수 있으므로 사용자 단말기를 통한 개인정보 유출 및 웹 서비스 서버를 통한 제3자의 불법적인 서비스 이용을 차단하므로 웹 서비스 서버를 통한 사용자의 개인정보 유출을 차단할 수 있는 효과를 갖는다.
Accordingly, the present invention can confirm the information of the remote access terminal connected to the user terminal by simply connecting the user to the web service server, so that leakage of personal information through the user terminal and unauthorized use of the third party through the web service server It is possible to prevent the leakage of the user's personal information through the web service server.

도 1은 본 발명에 따른 사용자 단말 원격 접속 감지 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명에 따른 에이전트가 구동된 사용자 단말 원격 접속 감지 시스템의 사용자 단말기 구성을 나타낸 도면이다.
도 3은 본 발명에 따른 사용자 단말 원격 접속 감지 시스템의 사용자 단말기에서의 정적 패턴 정보 수집 방법을 나타낸 흐름도이다.
도 4는 본 발명에 따른 사용자 단말 원격 접속 감지 시스템의 사용자 단말 원격 접속 감지 방법을 나타낸 절차도이다.1 is a block diagram of a system for detecting a remote access to a user terminal according to the present invention.
2 is a diagram illustrating a configuration of a user terminal of a user terminal remote access detection system in which an agent according to the present invention is activated.
3 is a flowchart illustrating a method for collecting static pattern information in a user terminal of the user terminal remote access detection system according to the present invention.
FIG. 4 is a flowchart illustrating a method for detecting a user terminal remote access in a user terminal remote access detection system according to the present invention.

이하 첨부된 도면을 참조하여 본 발명의 사용자 단말 원격 접속 감지 시스템 및 에이전트가 실행된 사용자 단말기의 구성 및 동작을 설명하고, 그 사용자단말기에서 정적 패턴 정보 수집 방법 및 그 시스템에서의 사용자 단말 원격 접속 감지 방법을 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to the embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to the like elements throughout. Explain the method.

도 1은 본 발명에 따른 사용자 단말 원격 접속 감지 시스템의 구성을 나타낸 도면이다.1 is a block diagram of a system for detecting a remote access to a user terminal according to the present invention.

도 1을 참조하면 본 발명에 따른 사용자 단말 원격 접속 감지 시스템은 사용자 단말기(200), 통신단말기(400), 웹 서비스 서버부(500) 및 원격 접속 감시 서버부(600)를 포함한다. 도면의 참조된 부호 100은 상기 사용자 단말기(200)에 원격 접속하는 원격 접속 단말기이다.Referring to FIG. 1, a user terminal remote access detection system according to the present invention includes a user terminal 200, a communication terminal 400, a web service server unit 500, and a remote access monitoring server unit 600. Reference numeral 100 denotes a remote access terminal that remotely accesses the user terminal 200.

상기 유무선 데이터 통신망(150)은 유무선 인터넷망과 3세대 이동통신망(3G망), 및 4세대 이동통신망(Long Term Evolution: LTE)이 결합된 망일 수 있다.The wired / wireless data communication network 150 may be a network combining a wired / wireless Internet network, a third generation mobile communication network (3G network), and a fourth generation mobile communication network (LTE).

상기 사용자 단말기(200)는 유무선 데이터 통신망(150)을 통해 웹 서비스 서버부(500)와 연결되어 데이터 통신을 수행하고, 웹 서비스 서버부(500)는 유무선 데이터 통신망(150)을 통해 원격 접속 감시 서버부(600)와 데이터 통신을 수행한다.The user terminal 200 is connected to the web service server unit 500 via the wired or wireless data communication network 150 to perform data communication and the web service server unit 500 can access the wired / And performs data communication with the server unit 600.

통신단말기(400)는 유무선 데이터 통신망(150)을 통해 웹 서비스 서버부(500)로부터 단문메시지서비스(Short Message Service: SMS) 메시지, 멀티미디어메시지서비스(Multimedia Message Service: MMS) 메시지 또는 에이전트를 통해 푸시 메시지를 수신하거나 유무선 데이터 통신망(150)의 이동통신망을 통해 음성 메시지를 수신할 수 있는 이동통신단말기(410) 및 일반공중전화망(Public Switched Telephony Network: PSTN)을 통해 웹 서비스 서버부(500)로부터 음성 메시지를 수신할 수 있는 일반 유선전화기(420)를 포함한다.The communication terminal 400 receives a Short Message Service (SMS) message, a Multimedia Message Service (MMS) message from the web service server unit 500 via the wire / wireless data communication network 150, The mobile communication terminal 410 and the public switched telephone network (PSTN) capable of receiving a voice message through the mobile communication network of the wire / wireless data communication network 150 and receiving the voice message from the web service server unit 500 And a general wired telephone 420 capable of receiving a voice message.

그리고 웹 서비스 서버부(500)는 본 발명의 실시예에 따라 일반공중전화망(PSTN)을 통해 사용자의 통신단말기(400)와 연결되어 음성 통신을 수행하거나 유무선 데이터 통신망(150)의 이동통신망을 통해 데이터 메시지 통신을 수행한다.The web service server unit 500 is connected to the communication terminal 400 of the user through the public switched telephone network (PSTN) according to the present invention and performs voice communication or transmits the voice communication through the mobile communication network of the wired / wireless data communication network 150 And performs data message communication.

사용자 단말기(200)는 사용자가 웹 서비스 서버부(500)에 미리 등록해 놓은 지정 단말기일 수도 있고, 미등록한 일반 단말기일 수도 있을 것이다. 상기 사용자 단말기(200)는 유무선 데이터 통신망(150)을 통해 웹 서비스 서버부(500)에 접속할 수 있는 단말기로 개인용 컴퓨터(PC) 및 노트북 등과 같은 컴퓨터 단말기(300)가 될 수도 있고, 스마트폰 및 스마트패드 등과 같은 음성 통신 및 데이터 통신이 모두 가능한 스마트 단말기(410)가 될 수 있을 것이다. 사용자 단말기(200)는 웹 서비스 서버부(500)가 제공되는 에이전트를 설치하고 있으며, 상기 에이전트에 의해 외부에서 자신에게 접속하거나 접속을 유도하는 네트워크 연결 정보, 프로세스 정보, IP 정보 중 적어도 하나 이상을 포함하는 정적 패턴 정보를 수집하여 웹 서비스 서버부(500)로 제공한다. 그러나 상기 정적 패턴 정보는 최소한 네트워크 연결 정보 및 프로세스 정보를 포함하는 것이 바람직할 것이다. The user terminal 200 may be a designated terminal registered in advance by the user in the web service server unit 500 or may be an unregistered general terminal. The user terminal 200 is a terminal capable of accessing the web service server unit 500 through the wire / wireless data communication network 150. The terminal 200 may be a personal computer (PC), a computer terminal 300 such as a notebook computer, A smart terminal 410 capable of both voice communication and data communication such as a smart pad. The user terminal 200 is installed with an agent provided with the web service server unit 500. At least one of the network connection information, the process information, and the IP information, And provides the collected static pattern information to the web service server unit 500. However, the static pattern information preferably includes at least network connection information and process information.

웹 서비스 서버부(500)는 다수의 사용자들에 대한 아이디(ID) 및 패스워드를 포함하는 로그인 정보 및 전화번호를 포함하는 사용자 정보들을 저장하고 있으며, 로그인 서비스, 사용자 정보 변경/수정 서비스, 구매 서비스 및 결제 서비스 등과 같은 다양한 웹 서비스를 로그인 한 사용자의 사용자 단말기(200)로 제공한다. 특히 웹 서비스 서버부(500)는 에이전트 프로그램을 저장하고 있으며, 임의의 사용자가 로그인 시 상기 사용자의 사용자 단말기에 에이전트가 설치되어 있는지를 판단하고, 설치되어 있지 않은 경우 에이전트를 제공하여 에이전트를 설치할 수 있도록 한다. 웹 서비스 서버부(500)는 상기 에이전트를 통해 사용자 단말기(200)로부터 정적 패턴 정보가 수신되면 원격 접속 감시 서버부(600)로 제공하고, 원격 접속 감시 서버부(600)로부터 정적 패턴 정보에 대한 침입 여부 판단 정보가 수신되면 판단된 침입 여부에 따라 해당 서비스를 제공하거나 차단한다. 상기 웹 서비스 서버부(500)는 서비스를 제공 및 차단하기 전에 사용자에 대해 미리 등록된 사용자의 전화번호에 대응하는 통신단말기(400)로 본인 확인 요청 메시지를 전송하고 이에 대한 응답 여부에 따라 해당 서비스를 제공하거나 차단하도록 구성될 수 있을 것이다. 상기 본인 확인 요청 메시지는 음성 메시지, 또는 단문메시지서비스(SMS) 메시지, 멀티미디어서비스(MMS) 메시지 또는 푸시 메시지 등과 같은 데이터 메시지가 될 수 있을 것이다. 즉 웹 서비스 서버부(500)는 상기 본인 확인 요청 메시지를 음성 메시지로 송신하기 위해 자동응답시스템(Auto Response System: ARS)을 포함하거나 단문메시지서비스(SMS) 메시지, 멀티미디어메시지서비스(MMS) 메시지 등을 송수신하는 메시지 송수신 서버를 포함하거나 푸시 메시지를 송신할 수 있도록 에이전트에 대응하는 어플리케이션 서버를 포함하도록 구성될 수 있을 것이다.The web service server unit 500 stores user information including login information and a telephone number including an ID and a password for a plurality of users. The web service server unit 500 includes a login service, a user information change / And a payment service to the user terminal 200 of the logged-in user. In particular, the web service server unit 500 stores an agent program. When an arbitrary user logs in, it is determined whether an agent is installed in the user terminal of the user. If the agent is not installed, . When the static pattern information is received from the user terminal 200 through the agent, the web service server unit 500 provides the static pattern information to the remote access monitoring server unit 600. The web access server unit 500 receives the static pattern information from the remote access monitoring server unit 600, When the intrusion determination information is received, the service is provided or blocked according to the determined intrusion. The web service server unit 500 transmits a personal identification request message to the communication terminal 400 corresponding to the telephone number of the user registered in advance with respect to the user before providing and blocking the service, Or to block or block the < / RTI > The identity confirmation request message may be a voice message or a data message such as a short message service (SMS) message, a multimedia service (MMS) message, or a push message. That is, the web service server unit 500 includes an ARS (Auto Response System) or a short message service (SMS) message, a multimedia message service (MMS) message, and the like in order to transmit the identity confirmation request message as a voice message And an application server corresponding to the agent so as to be able to transmit a push message.

원격 접속 감시 서버부(600)는 2가지 형태의 동적 패턴 정보를 저장하고 있는 동적 패턴 정보 데이터베이스(Database: DB)(610)를 포함하고, 웹 서비스 서버부(500)로부터 정적 패턴 정보의 수신 시 동적 패턴 정보 DB(610)에 미리 등록되어 있는 동적 패턴 정보와 비교하여 상기 정적 패턴 정보의 네트워크 연결 및 프로세스들의 침입 판단을 수행한다. 구체적으로, 상기 동적 패턴 정보는 블랙리스트 정보와 화이트리스트 정보를 포함한다. 블랙리스트 정보는 원격 접속 차단 악성코드(좀비/백도어) 정보들을 포함하고, 화이트 리스트 정보는 원격접속 허용 악성코드와 무관하게 "예외 처리"할 정보로 사전에 정의한 정상적인 프로세스에 대한 프로세스 정보를 포함한다. 상기 블랙리스트의 원격 접속 차단 악성코드 정보는 프로세스 명, MD5 해쉬값 등을 포함한다.
The remote access monitoring server unit 600 includes a dynamic pattern information database (DB) 610 that stores two types of dynamic pattern information, and when receiving static pattern information from the web service server unit 500, And compares the static pattern information with the dynamic pattern information registered in advance in the dynamic pattern information DB 610 to determine the network connection of the static pattern information and the invasion of the processes. Specifically, the dynamic pattern information includes black list information and white list information. The blacklist information includes remote access blocking malicious codes (zombie / backdoor) information, and the whitelist information includes process information on normal processes previously defined as information to be "exceptionally processed " . The remote access blocking malicious code information of the black list includes a process name, an MD5 hash value, and the like.

도 2는 본 발명에 따른 에이전트가 구동된 사용자 단말 원격 접속 감지 시스템의 사용자 단말기 구성을 나타낸 도면으로 에이전트 설치 및 실행에 따른 구성을 나타낸 도면이다.FIG. 2 is a diagram illustrating a configuration of a user terminal of a user terminal remote access detection system in which an agent is driven according to an embodiment of the present invention.

도 2를 참조하면, 본 발명에 따른 사용자 단말기(200)는 제어부(210), 저장부(220), 입력부(230) 및 디스플레이부(240) 및 통신부(250)를 포함한다.2, a user terminal 200 according to the present invention includes a control unit 210, a storage unit 220, an input unit 230, a display unit 240, and a communication unit 250.

저장부(220)는 본 발명에 따른 에이전트를 포함하는 사용자 단말기의 동작을 제어하기 위한 제어프로그램을 저장하는 프로그램 저장 영역, 상기 제어프로그램 수행 중에 발생되는 데이터를 일시 저장하는 임시 영역, 에이전트에 의해 수집된 정보들 및 정적 패턴 정보를 저장하는 데이터 영역을 포함한다.The storage unit 220 includes a program storage area for storing a control program for controlling the operation of the user terminal including the agent according to the present invention, a temporary area for temporarily storing data generated during the execution of the control program, And a data area for storing static information and pattern information.

입력부(230)는 숫자 및 문자를 입력할 수 있는 다수의 키들을 구비하고 눌린 키에 대응하는 키 신호를 출력하는 키입력 장치 및 디스플레이부(240)와 일체로 구성되어 터치된 위치의 좌표 데이터를 제어부(210)로 출력하는 터치패드 중 적어도 하나 이상을 포함한다.The input unit 230 includes a key input device having a plurality of keys for inputting numbers and characters and outputting a key signal corresponding to the pressed key, and a display unit 240, And a touch pad for outputting the data to the control unit 210.

디스플레이부(240)는 본 발명에 따른 사용자 단말기의 다양한 정보들을 표시한다.The display unit 240 displays various information of the user terminal according to the present invention.

통신부(250)는 유무선 데이터 통신망(150)에 접속하여 유무선 데이터 통신망(150)에 접속한 원격 접속 단말기(100), 웹 서비스 서버부(500) 및 원격 접속 감시 서버부(600) 등과 같은 장치들과 제어부 간 데이터 통신을 제공한다. 상기 장치들과 제어부 간의 데이터 통신을 위해 상기 통신부(250)는 무선으로 유무선 데이터 통신망(150)의 무선 인터넷망에 접속하는 무선 인터넷 통신부 및 상기 유무선 데이터 통신망(150)의 유선 인터넷망에 유선으로 접속하는 유선 인터넷 통신부, 유무선 데이터 통신망(150)의 이동통신망에 무선으로 접속하는 이동통신부 중 적어도 하나 이상을 포함한다.The communication unit 250 includes devices such as a remote access terminal 100, a web service server unit 500, and a remote access monitoring server unit 600 connected to a wired / wireless data communication network 150 and connected to a wired / wireless data communication network 150 And data communication between the control unit and the control unit. The communication unit 250 includes a wireless Internet communication unit for wirelessly connecting to the wireless Internet network of the wire / wireless data communication network 150 and a wired Internet connection unit for connecting the wired Internet network of the wired / And a mobile communication unit for wirelessly connecting to a mobile communication network of the wire / wireless data communication network 150. [

제어부(210)는 본 발명에 따른 사용자 단말기의 전반적인 동작을 제어한다. 특히 제어부(210)는 에이전트 구동 시 통신부(250)를 통해 외부에서 접속하거나 내부의 프로세스 및 서비스(서비스도 프로세스에 의해 수행되는 것이므로 이하 통칭하여 "프로세스"라 함)에 의해 외부 접속을 유도하는 네트워크 연결 정보 및 네트워크 연결을 생성한 프로세스 정보를 수집하고 네트워크 연결 정보 및 프로세스 정보를 포함하는 정적 패턴 정보를 생성하여 웹 서비스 서버부(500)로 제공한다. 상기 네트워크 연결 정보는 프로토콜 정보, 로컬 어드레스(Local Address) 정보, 외부 어드레스(Foreign Address) 정보, 상태 정보 등의 정보가 될 수 있고, 상기 프로세스 정보는 프로세스 명, MD5 해시(Hash) 값, 프로세스 소유자(또는 발행자) 정보, 프로세스 용량 정보, 프로세스 속성 정보 등이 될 수 있을 것이다. 상기 네트워크 연결 정보 및 프로세스 정보 자체는 이 기술분야의 통상의 기술을 가진 자에게 잘 알려진 것이므로 그 상세한 설명을 생략한다. The control unit 210 controls the overall operation of the user terminal according to the present invention. Particularly, the control unit 210 is connected to the network 210 through the communication unit 250 during the operation of the agent, or to a network (hereinafter, referred to as "process" Generates connection information and process information for creating a network connection, generates static pattern information including network connection information and process information, and provides the generated static pattern information to the web service server unit 500. The network connection information may be information such as protocol information, local address information, foreign address information, and status information. The process information includes a process name, an MD5 hash value, (Or issuer) information, process capacity information, process attribute information, and the like. The network connection information and process information themselves are well known to those having ordinary skill in the art, and a detailed description thereof will be omitted.

구체적으로 설명하면, 제어부(210)는 네트워크 연결 검사부(211), 프로세스 검출부(212), 포트 분석부(213), 예외 분석부(214), IP 분석부(215) 및 정적 패턴 정보 생성부(216)를 포함한다.More specifically, the control unit 210 includes a network connection checking unit 211, a process detecting unit 212, a port analyzing unit 213, an exception analyzing unit 214, an IP analyzing unit 215 and a static pattern information generating unit 216).

네트워크 연결 검사부(211)는 외부에서 상기 통신부(250)를 통해 접속한 네트워크 연결 중 상태정보가 지속 연결 상태(Established)인 네트워크 연결 정보를 수집한다.The network connection checking unit 211 collects network connection information in which the state information of the connected network through the communication unit 250 is continuously established.

프로세스 검출부(212)는 상기 수집된 네트워크 연결 정보를 생성한 프로세스를 검출하고 검출된 프로세스 정보를 생성한다.The process detection unit 212 detects the process of generating the collected network connection information and generates the detected process information.

포트 분석부(213)는 상기 네트워크 연결 검사부(211) 및 프로세스 검출부(212)에서 검출 및 수집된 정보들을 특정 오픈(Open) 포트별로 재분류하여 출력한다. 상기 특정 오픈 포트란 현재 접근할 수 있도록 열려 있고, 접근이 용이하며 해킹에 자주 이용되는 포트로 미리 정의된 포트이다. The port analyzing unit 213 reclassifies the information detected and collected by the network connection checking unit 211 and the process detecting unit 212 for each specific open port. The specific open port is a predefined port that is currently open for access, is easily accessible, and is often used for hacking.

예외 분석부(214)는 미리 저장된 예외 연결, 예외 프로세스 및 예외 포트를 포함하는 예외 정보를 저장하고 있으며, 상기 네트워크 연결 검사부(211), 프로세스 검출부(212) 및 포트 분석부(213)에서 검출 및 분류된 정보들 중 상기 예외 정보에 포함된 네트워크 연결, 프로세스 및 포트정보에 대응하는 네트워크 연결 및 프로세스 정보들에서 제외한다.The exception analysis unit 214 stores exception information including exception connection, exception process, and exception port that are stored in advance. The exception analysis unit 214 detects exception information including exception connection, exception process, From the network connection and process information corresponding to the network connection, process and port information included in the exception information among the classified information.

IP 분석부(215)는 상기 예외 분석부(214)에 의해 제외된 네트워크 연결, 프로세스 및 포트 정보를 제외한 네트워크 연결, 프로세스에 대한 출발지 IP를 검출하고 IP 분석 정보를 생성한다.The IP analysis unit 215 detects a source IP address for a network connection, a process excluding network connection, process and port information excluded by the exception analysis unit 214, and generates IP analysis information.

상기 설명에서는 예외 분석을 먼저 수행하고 IP 분석을 수행하는 경우를 설명하였으나, 모든 네트워크 연결 및 프로세스에 대한 출발지 IP를 분석하고, 예외 연결, 예외 프로세스, 예외 포트 및 예외 IP를 포함하는 예외정보를 참조하여 생성된 네트워크 연결, 프로세스, 포트 및 IP 중 제외 대상 정보들을 제거하도록 구성될 수도 있을 것이다.In the above description, the exception analysis is first performed and the IP analysis is performed. However, the source IP of all the network connections and processes is analyzed and the exception information including the exception connection, exception process, exception port and exception IP is referred to And to remove the exclusion target information of the network connection, the process, the port, and the IP created by the network connection.

정적 패턴 정보 생성부(216)는 상기 네트워크 연결 정보, 프로세스 정보, IP 분석 정보들 중 적어도 하나 이상을 포함하는 정적 패턴 정보를 생성하고, 통신부를 통해 상기 웹 서비스 서버부(500)로 송신한다. 그러나 상기 정적 패턴 정보는 상기 정보들 중 적어도 네트워크 연결 정보 및 프로세스 정보를 포함하는 것이 바람직할 것이다.
The static pattern information generating unit 216 generates static pattern information including at least one of the network connection information, the process information, and the IP analysis information, and transmits the generated static pattern information to the web service server unit 500 through the communication unit. However, the static pattern information may include at least network connection information and process information among the information.

도 3은 본 발명에 따른 사용자 단말 원격 접속 감지 시스템의 사용자 단말기에서의 정적 패턴 정보 수집 방법을 나타낸 흐름도이다.3 is a flowchart illustrating a method for collecting static pattern information in a user terminal of the user terminal remote access detection system according to the present invention.

도 3을 참조하면, 사용자가 사용자 단말기(200)를 통해 웹 서비스 서버부(500)에 접속하여 웹 서비스를 요청 시 웹 서비스 서버부(500)로부터 에이전트 설치 프로그램을 다운로드 받아 에이전트를 설치한다(S311). 상기 에이전트를 설치하도록 유도하는 상기 웹 서비스는 로그인 서비스, 결제 서비스, 사용자 정보 변경 서비스 등이 될 수 있으나, 로그인 서비스인 것이 바람직할 것이다. 즉, 에이전트가 설치 안 된 상태에서 로그인 시 에이전트를 설치하도록 유도하는 것이 바람직할 것이다.3, when a user accesses the web service server unit 500 through the user terminal 200 and requests a web service, the agent installation program is downloaded from the web service server unit 500 to install the agent (S311 ). The web service that induces the agent to install may be a login service, a payment service, a user information change service, or the like, but it is preferably a login service. In other words, it would be desirable to induce the agent to install at login when the agent is not installed.

에이전트가 설치되면, 사용자 단말기(200)의 제어부(210)는 네트워크 연결 검사부(211)를 통해 통신부(250)에 접속한 네트워크 연결을 검출하고 검출된 네트워크 연결에 대한 네트워크 연결정보를 수집한다(S311). 네트워크 연결정보가 수집되면 제어부(210)는 네트워크 연결 검사부(211)를 통해 검출된 네트워크 연결들 중 지속 연결 상태(Established)인 네트워크 연결을 검출하고, 검출된 네트워크 연결에 대한 네트워크 연결 정보를 생성하여 저장한다(S315).When the agent is installed, the control unit 210 of the user terminal 200 detects a network connection connected to the communication unit 250 through the network connection checking unit 211 and collects network connection information about the detected network connection ). When the network connection information is collected, the control unit 210 detects a network connection that is established in the network connections detected through the network connection checking unit 211, generates network connection information for the detected network connection (S315).

상기 네트워크 연결 정보가 생성되면 제어부(210)는 프로세스 검출부(212)를 통해 상기 네트워크 연결을 설정한 프로세스들을 검출하고, 검출된 프로세스들에 대한 프로세스 정보를 수집한다(S317).When the network connection information is generated, the control unit 210 detects the processes establishing the network connection through the process detection unit 212 and collects process information on the detected processes (S317).

프로세스 정보가 수신되면 제어부(210)는 미리 정의된 권한 규칙들과 비교하여 상기 검출된 프로세스가 적정한 권한을 가지고 있는지를 판단하고, 그 판단 결과에 대한 프로세스 권한 판단 정보를 생성한다(S319). 상기 프로세스 권한이란 프로세스들 각각이 가지고 있는 권한으로, 관리자(Administrator), 일반 사용자(User), 시스템 네트워크 워킹 그룹 권한, 시스템 권한 등이 있을 수 있을 것이다. 프로세스 권한 판단은 실행된 프로세스가 가지고 있으면 안되는 권한을 가지고 있는 경우 부적합한 권한을 가진 것으로 판단할 수 있을 것이다. 예를 들어, 프로세서가 관리자 권한을 가지고 있는 경우 제어부(210)는 부적합한 권한으로 판단할 수 있을 것이다.When the process information is received, the control unit 210 determines whether the detected process has an appropriate privilege by comparing with the predefined rights rules, and generates process privilege determination information on the determination result (S319). The process privilege may be an administrator, a general user, a system network working group privilege, a system privilege, or the like. Process authorization can be judged to be inadequate if the executed process has rights that it should not have. For example, if the processor has an administrator authority, the controller 210 may determine that the processor 210 has an unauthorized authority.

상기 프로세스 권한 판단 후 제어부(210)는 프로세스 검출부(212)를 통해 프로세스 설치 경로를 추출하고, 추출된 경로가 정상적인 설치 경로에 설치되었는지를 판단하고, 그 판단 결과 정보인 프로세스 설치 경로 판단 정보를 생성한다(S321). 통상적으로 설치 경로는 프로그램 파일명으로 된 디렉토리에 설치된다. 그러나 프로그램 파일명의 디렉토리가 아닌 시스템 디렉토리 아래에 설치된 경우 비정상적인 설치 경로로 판단할 수 있을 것이다. 또한, 설치 경로의 적법 여부는 프로세스 권한과도 연관된다. 프로세스 권한이 시스템 권한인 경우 시스템 디렉토리 아래에 설치경로를 가져야할 것이다. 그러나 시스템 권한을 가진 프로세스임에도 불구하고 시스템 디렉토리가 아닌 임의의 경로에 설치된 경우 비정상적인 설치 경로에 설치된 것으로 판단할 수 있을 것이다.After determining the process rights, the control unit 210 extracts a process installation path through the process detection unit 212, determines whether the extracted path is installed in a normal installation path, and generates process installation path determination information (S321). Typically, the installation path is installed in a directory with a program file name. However, if it is installed under the system directory rather than the directory of the program file name, it can be judged as an abnormal installation path. Also, the legitimacy of the installation path is also associated with the process rights. If the process rights are system privileges, you will need to have an installation path under the system directory. However, if it is installed in any path other than the system directory in spite of the process having the system privilege, it can be judged that it is installed in an abnormal installation path.

상기 프로세스 설치 경로 판단 후, 제어부(210)는 프로세스 검출부(212)를 통해 프로세스 소유자 정보를 추출하고, 소유자 정보가 없거나 허위 표시되었는지를 판단하고, 그 판단 결과 정보인 프로세스 소유자 검증 정보를 생성하여 저장한다(S323). 이를 위해 프로세스 검출부(212)는 정상적인 소유자들에 대한 정보를 가지고 있어야 할 것이다.After determining the process installation path, the control unit 210 extracts the process owner information through the process detection unit 212, determines whether the owner information is missing or false, generates the process owner verification information, (S323). For this, the process detection unit 212 should have information on the normal owners.

상기 프로세스 소유자 검증 후 제어부(210)는 상기 프로세스의 속성이 은닉 속성인지를 판단하고, 그 결과 정보인 프로세스 속성 정보를 생성하여 저장한다(S325).After the process owner verification, the controller 210 determines whether the attribute of the process is a hidden attribute, and generates and stores process attribute information, which is the result of the determination, in operation S325.

상기 프로세스 권한 판단 정보, 프로세스 설치 경로 판단 정보, 프로세스 소유자 검증 정보 및 프로세스 속성 정보를 상기 프로세스 정보에 포함하여 저장한다(S327).The process authorization information, the process installation path determination information, the process owner verification information, and the process attribute information are stored in the process information (S327).

상기 프로세스 정보가 수집되면 제어부(210)는 상기 수집된 네트워크 연결 정보 및 프로세스 정보들을 특정 오픈 포트별로 정보를 재분류한다. 상기 특정 오픈 포트란 해킹 등에 자주 이용되는 포트를 의미하며, 이에 대한 포트 정의가 에이전트에 미리 되어 있어야 할 것이다(S329).When the process information is collected, the controller 210 reclassifies the collected network connection information and process information for each specific open port. Means a port frequently used in the specific open port hacking and the like, and the port definition for the specific open port hack should be made in advance in the agent (S329).

상기 특정 포트별로 상기 네트워크 연결정보 및 프로세스 정보가 재분류되면 제어부(210)는 저장부(220)에 미리 저장된 예외 연결, 예외 프로세스 및 예외 포트를 포함하는 예외 정보를 참조하여 상기 분류된 네트워크 연결정보 및 프로세스 정보들 중 상기 예외 정보에 포함된 정보를 제외한다(S331).If the network connection information and the process information are reclassified for each specific port, the controller 210 refers to the exception information including the exception connection, the exception process, and the exception port stored in advance in the storage unit 220, And information included in the exception information among process information (S331).

상기 예외정보의 제거 후 제어부(210)는 상기 포트별로 재분류되고 예외정보가 제거된 네트워크 연결 정보 및 프로세스 정보를 포함하는 정적 패턴 정보를 생성한(S333) 후, 통신부(250)를 통해 웹 서비스 서버부(500)로 송신한다(S335).After the removal of the exception information, the control unit 210 generates static pattern information including network connection information and process information that are reclassified by the port and the exception information is removed (S333) To the server unit 500 (S335).

이외도 제어부(210)는 IP 분석부(215)를 통해 상기 네트워크 연결 및 프로세스의 출발지 IP를 검출하고, 이에 대한 IP 정보를 상기 정적 패턴 정보에 더 포함하여 전송할 수 있을 것이다(미도시).
In addition, the control unit 210 may detect the source IP of the network connection and the process through the IP analysis unit 215, and may transmit the IP information to the static pattern information (not shown).

도 4는 본 발명에 따른 사용자 단말 원격 접속 감지 시스템의 사용자 단말 원격 접속 감시 방법을 나타낸 절차도로서, 로그인 요청 웹 서비스 시 에이전트 설치를 진행하는 경우의 사용자 단말 원격 접속 감시 방법을 나타낸 절차도이다.FIG. 4 is a flowchart illustrating a user terminal remote access monitoring method of a user terminal remote access detection system according to the present invention, and is a flowchart illustrating a method of monitoring a user terminal remote access in the case of proceeding with agent installation in a login request web service.

도 4를 참조하면, 사용자 단말기(200)가 웹 서비스 서버부(500)에 접속하여 로그인 요청 시(S411), 웹 서비스 서버부(500)는 사용자 단말기(200)에 에이전트가 설치되어 있는지를 판단하고 에이전트 설치 요청 메시지를 전송한다(S413).Referring to FIG. 4, when the user terminal 200 accesses the web service server unit 500 and requests a login (S411), the web service server unit 500 determines whether an agent is installed in the user terminal 200 And transmits an agent installation request message (S413).

에이전트 설치 요청 메시지를 수신한 사용자 단말기(200)는 에이전트 설치 요청 메시지를 수신하고 사용자에 의해 설치 수락이 이루어지는 경우 설치 수락 신호를 웹 서비스 서버부(500)로 전송한다(S415). 그러면 웹 서비스 서버부(500)는 에이전트 설치 프로그램을 사용자 단말기(200)로 제공한다(S417).Upon receiving the agent installation request message, the user terminal 200 receives the agent installation request message and transmits an installation acceptance signal to the web service server unit 500 when the installation acceptance is performed by the user (S415). Then, the web service server unit 500 provides the agent installation program to the user terminal 200 (S417).

사용자 단말기(200)는 웹 서비스 서버부(500)로부터 에이전트 설치 프로그램이 다운로드 완료되면 에이전트 설치 프로그램을 구동하여 에이전트를 설치한 후 구동한다(S419).When the downloading of the agent install program from the web service server unit 500 is completed, the user terminal 200 drives the agent install program to install the agent and then drives it (S419).

에이전트가 설치되면 사용자 단말기(200)는 도 2 및 도 3에서 설명한 바와 같이 정적 패턴 정보를 생성하고(S421), 생성된 정적 패턴 정보를 웹 서비스 서버부(500)로 송신한다(S423).When the agent is installed, the user terminal 200 generates static pattern information as described with reference to FIGS. 2 and 3 (S421), and transmits the generated static pattern information to the web service server unit 500 (S423).

웹 서비스 서버부(500)는 사용자 단말기(200)로부터 정적 패턴 정보가 전송되면 자신의 고유 식별정보를 포함하여 원격 접속 감시 서버부(600)로 재전송한다(S425).When the static pattern information is transmitted from the user terminal 200, the web service server unit 500 retransmits the static pattern information including the unique identification information to the remote access monitoring server unit 600 (S425).

서비스 정적 패턴 정보를 수신한 원격 접속 감시 서버부(600)는 수신된 서비스 정적 패턴 정보의 네트워크 연결 정보 및 프로세스 정보와 미리 정의되어 있는 동적 패턴 정보를 비교하여 상기 사용자 단말기(200)에 원격 접속한 원격 접속 단말기가 있는지, 원격 접속한 원격 접속 단말기가 있다면 적법하게 원격 접속한 단말기인지 아님 불법 침입자인지를 판단한다(S427).Upon receiving the service static pattern information, the remote access monitoring server unit 600 compares the network connection information and the process information of the received service static pattern information with the predetermined dynamic pattern information, and then remotely accesses the user terminal 200 If there is a remote access terminal or a remotely accessed terminal, it is determined whether the terminal is a legitimate remote access terminal or an illegal intruder (S427).

원격 침입이 아닌 것으로 판단되면 원격 접속 감시 서버부(600)는 비침입 판단 정보를 웹 서비스 서버부(500)로 송신하고(S431), 원격 침입이 있는 것으로 판단되면 침입 판단 정보를 웹 서비스 서버부(500)로 전송한다(S433).The remote access monitoring server unit 600 transmits non-intrusion determination information to the web service server unit 500 (S431). If it is determined that there is a remote intrusion, the remote access monitoring server unit 600 transmits the intrusion determination information to the web service server unit 500 (Step S433).

웹 서비스 서버부(500)는 상기 서비스 정적 패턴 정보의 전송 후 원격 접속 감시 서버부(600)로부터 침입 여부 판단 정보가 수신되면 침입 여부 판단 정보가 비침입 판단 정보인지 침입 판단 정보인지를 검사하여 임의의 웹 서비스를 요청한 사용자 단말기(200)에 원격 침입자가 있는지를 판단한다(S435).Upon receipt of the invasion determination information from the remote access monitoring server unit 600 after the transmission of the service static pattern information, the web service server unit 500 checks whether the invasion determination information is non-invasion determination information or invasion determination information, It is determined whether there is a remote intruder in the user terminal 200 requesting the web service of step S435.

원격 침입자가 없으면 웹 서비스 서버부(500)는 사용자 단말기(200)로 요청한 웹 서비스를 제공한다(S447).If there is no remote intruder, the web service server unit 500 provides the requested web service to the user terminal 200 (S447).

반면, 원격 침입자가 있는 것으로 판단되면 웹 서비스 서버부(500)는 상기 로그인한 사용자에 대해 미리 등록되어 있는 전화번호를 로드하고, 상기 전화번호의 사용자의 통신단말기(400)로 본인 확인 요청 메시지를 전송한다(S437).On the other hand, if it is determined that there is a remote intruder, the web service server unit 500 loads a telephone number registered in advance for the logged-in user, and sends a personal identification request message to the communication terminal 400 of the user of the telephone number (S437).

상기 본인 확이 요청 메시지의 송신 후 웹 서비스 서버부(500)는 상기 통신단말기(400)로부터 응답 메시지가 수신되는지를 판단하고(S445). 응답 메시지가 수신되는 경우 상기 사용자 단말기(200)를 통해 요청한 웹 서비스를 제공하고(S447), 응답이 없는 경우 상기 사용자가 요청한 웹 서비스를 차단한다(S449). 즉, 응답이 없는 경우 웹 서비스 서버부(500)는 사용자 단말기(200)로 웹 서비스를 제공하지 않는다.After transmitting the request message, the web service server unit 500 determines whether a response message is received from the communication terminal 400 in step S445. If a response message is received, the web service requested by the user terminal 200 is provided (S447). If there is no response, the web service requested by the user is blocked (S449). That is, if there is no response, the web service server unit 500 does not provide the web service to the user terminal 200.

상기 설명에서는 웹 서비스 서버부(500)가 사용자의 통신단말기(400)로 본인 확인 요청 메시지를 송신하고 상기 통신단말기(400)로부터 응답 메시지가 수신되는 경우를 설명하였으나, 현재 본인 인증과 같이 통신단말기(400)로 본인 확인 요청 메시지를 전송한(S437) 후 사용자 단말기(200)로 본인 확인 정보의 입력을 요청하는 본인 확인 정보 입력 요청 메시지를 전송하고(S439), 사용자 단말기(200)를 통해 본인 확인 정보를 수신받아(S443) 본인 확인을 수행할 수도 있을 것이다. 상술한 바와 같이 상기 본인 확인 요청 메시지는 음성 메시지일 수도 있고, 단문메시지서비스(SMS) 메시지 또는 멀티미디어메시지서비스(MMS) 메시지일 수도 있을 것이다. 통신단말기(400)가 스마트폰인 경우, 상기 본인 확이 요청 메시지는 에이전트를 통한 푸시 메시지일 수도 있을 것이다. 상기 본인 확인 요청 메시지가 SMS 메시지 또는 MMS 메시지인 경우 응답메시지는 동일한 SMS/MMS 메시지가 될 수도 있고, ARS 시스템의 시나리오를 통한 음성 메시지 또는 전화번호 버튼 누름에 의한 버튼 신호일 수도 있을 것이다.In the above description, the web service server unit 500 transmits the identity confirmation request message to the communication terminal 400 of the user and receives the response message from the communication terminal 400. However, (S437) after transmitting the identity confirmation request message to the user terminal 400 (S437), and transmits the identity verification information input request message to the user terminal 200 through the user terminal 200 It may receive confirmation information (S443) and perform identity verification. As described above, the identity verification request message may be a voice message, a short message service (SMS) message, or a multimedia message service (MMS) message. If the communication terminal 400 is a smart phone, the request message may be a push message through the agent. If the identity verification request message is an SMS message or an MMS message, the response message may be the same SMS / MMS message, or a voice message via a scenario of the ARS system or a button signal by pressing a telephone number button.

한편, 본 발명은 전술한 전형적인 바람직한 실시예에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술분야에서 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다.
While the present invention has been described with reference to exemplary embodiments, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, is intended to cover various modifications and equivalent arrangements included within the spirit and scope of the appended claims. It will be easily understood. It is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, it is intended to cover various modifications within the scope of the appended claims.

100: 원격 접속 단말기 110, 300: 컴퓨터 단말기
120, 410: 이동통신단말기 200: 사용자 단말기
210: 제어부 211: 네트워크 연결 검사부
212: 프로세스 검출부 213: 포트 분석부
214: 예외 분석부 215: IP 분석부
216: 정적 패턴 정보 생성부 220: 저장부
230: 입력부 240: 디스플레이부
250: 통신부 400: 통신단말기
420: 유선전화 단말기 500: 웹 서비스 서버부
600: 원격 접속 관리 서버부 610: 동적 패턴 정보 DB100: remote access terminal 110, 300: computer terminal
120, 410: mobile communication terminal 200: user terminal
210: control unit 211: network connection inspection unit
212: Process detection unit 213: Port analysis unit
214: exception analysis unit 215: IP analysis unit
216: static pattern information generation unit 220:
230: input unit 240: display unit
250: communication unit 400: communication terminal
420: wired telephone terminal 500: web service server unit
600: remote access management server unit 610: dynamic pattern information DB

Claims (13)

삭제delete 임의의 웹 서비스 요청 시 에이전트를 제공하고, 상기 에이전트 제공에 따른 네트워크 연결 정보 및 실행된 프로세스 정보를 포함하는 정적 패턴 정보를 수신받아 전송하며, 상기 정적 패턴 정보에 따른 침입 판단 결과를 수신받고 그 결과에 따라 상기 요청된 웹 서비스를 제공하거나 차단하는 웹 서비스 서버부;
상기 웹 서비스 서버부에 접속하여 상기 웹 서비스를 요청하고, 상기 웹 서비스 요청에 따른 에이전트를 수신받아 설치한 후, 상기 에이전트에 의해 정적 패턴 정보를 수집하여 상기 웹 서비스 서버부로 제공하는 사용자 단말기: 및
정당한 원격 접근자 및 침입자 중 적어도 하나 이상에 대한 정보인 동적 패턴 정보를 저장하는 동적 패턴 정보 데이터베이스를 포함하고, 상기 웹 서비스 서버부로부터 정적 패턴 정보의 수신 시 상기 동적 패턴 정보와 수신된 정적 패턴 정보를 비교하여 상기 사용자 단말기를 통해 상기 웹 서비스를 요청한 사용자가 정당한 사용자인지 침입자인지를 판단하여 그 판단 결과를 상기 웹 서비스 서버부로 전송하는 원격 접속 감시 서버부를 포함하되,
상기 사용자 단말기는,
유무선 데이터 통신망에 접속하고, 상기 유무선 데이터 통신망에 접속된 다른 장치들과 데이터 통신을 수행하는 통신부;
상기 에이전트를 저장하는 저장부; 및
상기 에이전트에 의해 정적 패턴 정보를 수집하고 상기 통신부를 통해 상기 웹 서비스 서버부로 제공하는 제어부를 포함하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 시스템.
Receiving an arbitrary web service request agent, receiving static pattern information including network connection information according to the agent provision and executed process information, and transmitting the static pattern information, receiving an intrusion determination result according to the static pattern information, A web service server unit for providing or blocking the requested web service according to the request;
A user terminal accessing the web service server unit, requesting the web service, receiving and installing an agent according to the web service request, collecting static pattern information by the agent, and providing the collected static pattern information to the web service server unit;
And a dynamic pattern information database for storing dynamic pattern information that is information on at least one of a legitimate remote accessor and an intruder, wherein when receiving the static pattern information from the web service server unit, the dynamic pattern information and the received static pattern information And a remote access monitoring server unit for determining whether a user requesting the web service through the user terminal is a legitimate user or an intruder and transmitting the determination result to the web service server unit,
The user terminal comprises:
A communication unit connecting to a wire / wireless data communication network and performing data communication with other devices connected to the wire / wireless data communication network;
A storage unit for storing the agent; And
And a control unit for collecting static pattern information by the agent and providing the static pattern information to the web service server unit through the communication unit.
제2항에 있어서,
상기 제어부는,
외부에서 상기 통신부를 통해 접속한 네트워크 연결 중 상태정보가 지속 연결 상태(Established)인 네트워크 연결 정보를 수집하는 네트워크 연결 검사부;
상기 수집된 네트워크 연결 정보를 생성한 프로세스를 검출하고 검출된 프로세스 정보를 생성하는 프로세스 검출부; 및
상기 네트워크 연결 정보 및 프로세스 정보를 포함하는 정적 패턴 정보를 생성하고 통신부를 통해 상기 웹 서비스 서버부로 송신하는 정적 패턴 정보 생성부를 포함하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 시스템.
3. The method of claim 2,
Wherein,
A network connection check unit for collecting network connection information in which state information of a network connection connected from the outside through the communication unit is a connected state;
A process detecting unit detecting a process that generates the collected network connection information and generating detected process information; And
And a static pattern information generating unit for generating static pattern information including the network connection information and the process information and transmitting the generated static pattern information to the web service server unit through a communication unit.
제3항에 있어서,
상기 제어부는,
상기 네트워크 연결 검사부 및 프로세스 검출부에서 검출 및 수집된 정보들을 특정 오픈 포트별로 재분류하는 포트 분석부;
미리 저장된 예외 연결, 예외 프로세스 및 예외 포트를 포함하는 예외 정보를 저장하고 있으며, 상기 오픈 포트별로 재분류된 상기 네트워크 연결 검사부, 프로세스 검출부에서 검출된 정보들 중 상기 예외 정보에 포함된 네트워크 연결, 프로세스를 가지는 네트워크 연결 및 프로세스 정보를 상기 정보들에서 제외하는 예외 분석부; 및
상기 네트워크 연결 및 프로세스의 출발지 IP를 검출하는 IP 분석부를 더 포함하되,
상기 정적 패턴 정보 생성부는 상기 정적 패턴 정보에 상기 예외 정보에 포함된 정보에 대응하는 정보 및 상기 예외 정보가 제외된 상기 정보들 및 출발지 IP 정보를 포함하는 정적 패턴 정보를 생성하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 시스템.
The method of claim 3,
Wherein,
A port analyzing unit for reclassifying the information detected and collected by the network connection checking unit and the process detecting unit by specific open ports;
Wherein the exception information includes exception information including an exception connection, an exception process, and an exception port, which are stored in advance, and a network connection included in the exception information among the information detected by the network connection checking unit and the process detecting unit, An exception analysis unit that excludes network connection and process information having the network connection and the process information from the information; And
Further comprising an IP analysis unit for detecting the network connection and the source IP of the process,
Wherein the static pattern information generation unit generates static pattern information including the information corresponding to the information included in the exception information and the information on which the exception information is excluded and the source IP information in the static pattern information. Terminal remote access detection system.
임의의 웹 서비스 요청 시 에이전트를 제공하고, 상기 에이전트 제공에 따른 네트워크 연결 정보 및 실행된 프로세스 정보를 포함하는 정적 패턴 정보를 수신받아 전송하며, 상기 정적 패턴 정보에 따른 침입 판단 결과를 수신받고 그 결과에 따라 상기 요청된 웹 서비스를 제공하거나 차단하는 웹 서비스 서버부;
상기 웹 서비스 서버부에 접속하여 상기 웹 서비스를 요청하고, 상기 웹 서비스 요청에 따른 에이전트를 수신받아 설치한 후, 상기 에이전트에 의해 정적 패턴 정보를 수집하여 상기 웹 서비스 서버부로 제공하는 사용자 단말기: 및
정당한 원격 접근자 및 침입자 중 적어도 하나 이상에 대한 정보인 동적 패턴 정보를 저장하는 동적 패턴 정보 데이터베이스를 포함하고, 상기 웹 서비스 서버부로부터 정적 패턴 정보의 수신 시 상기 동적 패턴 정보와 수신된 정적 패턴 정보를 비교하여 상기 사용자 단말기를 통해 상기 웹 서비스를 요청한 사용자가 정당한 사용자인지 침입자인지를 판단하여 그 판단 결과를 상기 웹 서비스 서버부로 전송하는 원격 접속 감시 서버부를 포함하되,
상기 웹 서비스 서버부는,
상기 원격 접속 감시 서버부로부터 침입 판단 결과를 수신 받고, 그 결과가 침입 판단 정보이면 미리 등록된 상기 사용자의 전화번호의 통신단말기로 본인 확인 요청 메시지를 송신하고, 이에 대한 응답 메시지의 수신 여부에 따라 상기 웹 서비스를 제공하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 시스템.
Receiving an arbitrary web service request agent, receiving static pattern information including network connection information according to the agent provision and executed process information, and transmitting the static pattern information, receiving an intrusion determination result according to the static pattern information, A web service server unit for providing or blocking the requested web service according to the request;
A user terminal accessing the web service server unit, requesting the web service, receiving and installing an agent according to the web service request, collecting static pattern information by the agent, and providing the collected static pattern information to the web service server unit;
And a dynamic pattern information database for storing dynamic pattern information that is information on at least one of a legitimate remote accessor and an intruder, wherein when receiving the static pattern information from the web service server unit, the dynamic pattern information and the received static pattern information And a remote access monitoring server unit for determining whether a user requesting the web service through the user terminal is a legitimate user or an intruder and transmitting the determination result to the web service server unit,
The web service server unit,
And transmits the identity confirmation request message to the communication terminal of the telephone number of the user registered in advance if the result of the determination is the intrusion determination information from the remote access monitoring server unit, And providing the web service.
제5항에 있어서,
상기 통신단말기는 이동통신단말기이고,
상기 본인 확인 요청 메시지 및 응답 메시지는 단문 메시지 서비스 메시지인 것을 특징으로 하는 사용자 단말 원격 접속 감지 시스템.
6. The method of claim 5,
Wherein the communication terminal is a mobile communication terminal,
Wherein the identity confirmation request message and the response message are short message service messages.
제5항에 있어서,
상기 웹 서비스 서버부는,
자동응답시스템(ARS)을 포함하고,
상기 자동응답시스템을 통해 상기 사용자에 대해 미리 등록되어 있는 전화번호의 통신단말기로 아웃바운딩 호를 발신하여 통화로 형성 시 자동응답시스템의 시나리오에 따른 본인 확인 요청 메시지를 음성으로 송신하고, 이에 대한 응답 메시지를 음성 또는 통신단말기의 버튼 신호로 입력받고 상기 응답 메시지의 수신 여부에 따라 상기 웹 서비스를 제공하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 시스템.
6. The method of claim 5,
The web service server unit,
An automatic response system (ARS)
When an outbound call is originated to a communication terminal of a telephone number registered in advance for the user through the automatic answering system, a personal identification request message according to a scenario of the automatic answering system is voice- Message is input as a button signal of a voice or communication terminal, and the web service is provided according to whether or not the response message is received.
삭제delete 사용자 단말기가 웹 서비스 서버부에 접속하여 임의의 웹 서비스의 요청 시 에이전트 설치 여부에 따라 웹 서비스 서버부로부터 에이전트를 다운로드 받아 설치하는 에이전트 설치 과정;
임의의 웹 서비스 요청 시 상기 설치된 에이전트에 의해 사용자 단말기가 자신에게 접속한 원격 접속에 대한 정보인 정적 패턴 정보를 수집하여 원격 접속 감시 서버부로 전송하는 정적 패턴 수집 과정;
원격 접속 감시 서버부가 수신된 상기 정적 패턴 정보와 미리 등록된 정당한 원격 접근자 및 침입자 중 적어도 하나 이상에 대한 정보인 동작 패턴 정보를 비교하여 상기 사용자 단말기를 통해 상기 웹 서비스를 요청한 사용자가 정당한 사용자인지 침입자인지를 판단하여 그 결과를 송신하는 침입 감시 과정; 및
상기 웹 서비스 서버부가 상기 결과를 수신받아 상기 웹 서비스의 제공하거나 차단하는 서비스 제공 과정을 포함하되,
상기 정적 패턴 수집 과정은,
외부에서 통신부를 통해 접속한 네트워크 연결 중 지속 연결 상태(Established)인 네트워크 연결 정보를 수집하는 네트워크 연결 검사 단계;
상기 수집된 네트워크 연결 정보를 생성한 프로세서를 검출하고 검출된 프로세스 정보를 생성하는 프로세스 정보 생성 단계;
상기 네트워크 연결 정보 및 프로세서 정보를 포함하는 정적 패턴 정보를 생성하는 정적 패턴 정보 생성 단계; 및
상기 정적 패턴 정보를 통신부를 통해 상기 웹 서비스 서버부로 송신하는 정적 패턴 정보 전송 단계를 포함하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 방법.
An agent installing process of downloading an agent from a web service server unit according to whether a user terminal accesses a web service server unit and installing an agent upon request of an arbitrary web service;
A static pattern collecting step of collecting static pattern information, which is information on a remote connection made by the user terminal, to the remote access monitoring server part by the installed agent when requesting an arbitrary web service;
The remote access monitoring server compares the received static pattern information with operation pattern information, which is information on at least one of legitimate remote accessors and intruders registered in advance, and determines whether the user requesting the web service through the user terminal is a legitimate user Detecting an intruder and transmitting the result; And
Wherein the web service server receives the result and provides or blocks the web service,
The static pattern collection process includes:
A network connection inspecting step of collecting network connection information which is established in a network connection externally connected through a communication unit;
A process information generation step of detecting a processor that has generated the collected network connection information and generating detected process information;
A static pattern information generation step of generating static pattern information including the network connection information and the processor information; And
And transmitting the static pattern information to the web service server unit through the communication unit.
제9항에 있어서,
상기 정적 패턴 수집 과정은,
상기 네트워크 연결 정보 및 프로세스 정보들을 특정 오픈 포트별로 재분류하는 포트 분석 단계;
미리 저장된 예외 연결, 예외 프로세스 및 예외 포트를 포함하는 예외 정보를 참조하여 상기 재분류된 네트워크 연결 정보, 프로세스 정보들 중 상기 예외 정보에 포함된 정보를 제외하는 예외 분석 단계; 및
상기 검출된 네트워크 연결 및 프로세스의 출발지 IP를 검출하는 IP 분석 단계를 더 포함하되,
상기 정적 패턴 정보 생성 단계는,
상기 정적 패턴 정보에 상기 포트 정보를 포함하되 상기 예외 정보에 포함된 정보들을 제외한 정적 패턴 정보를 생성하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 방법.
10. The method of claim 9,
The static pattern collection process includes:
A port analyzing step of reclassifying the network connection information and the process information for each specific open port;
An exception analysis step of excluding information included in the exception information among the reclassified network connection information and process information with reference to exception information including a previously stored exception connection, an exception process and an exception port; And
Further comprising an IP analysis step of detecting a source IP of the detected network connection and a process,
The static pattern information generation step includes:
Wherein the static pattern information includes the port information and generates static pattern information excluding information included in the exception information.
제9항 또는 제10항에 있어서,
프로세스 정보 생성 단계는,
상기 수집된 네트워크 연결 정보를 생성한 프로세서를 검출하는 프로세스 검출 단계;
검출된 상기 프로세스가 동작되고 있는 권한을 검출하고, 검출된 권한과 미리 정의된 권한 규칙들과 비교하여 정상적인 권한인지를 판단하고, 그 판단 결과를 생성하는 프로세스 권한 판단 단계;
검출된 상기 프로세스가 설치된 경로 정보를 검출하고 검출된 경로가 정상 설치 경로인지를 판단하고, 그 판단 결과를 생성하는 정상 설치 경로 판단 단계;
검출된 상기 프로세스의 소유자 정보를 검출하고 소유자 정보의 존재 여부를 판단하고 미리 설정된 정당한 소유자들에 대한 정보와 비교하여 허위 여부를 판단하고, 그 결과정보를 생성하는 프로세스 소유자 검증 단계;
검출된 상기 프로세스의 속성이 은닉인지를 판단하고, 그 결과정보를 생성하는 프로세스 은닉 판단 단계; 및
상기 검출된 프로세스 정보, 프로세스 권한 판단 결과 정보, 정상 설치 경로 판단 정보, 소유자 검증 정보, 프로세스 은닉 판단 정보를 포함하는 프로세스 정보를 생성하는 프로세스 정보 생성 단계를 포함하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 방법.
11. The method according to claim 9 or 10,
In the process information generation step,
A process detecting step of detecting a processor that has generated the collected network connection information;
Judging whether or not the detected right is a normal right by comparing the detected right with the predefined right rules and generating a result of the judgment;
A normal installation path determination step of detecting path information in which the detected process is installed, determining whether the detected path is a normal installation path, and generating a determination result;
A process owner verification step of detecting owner information of the detected process, determining whether or not the owner information exists, comparing the information with information on legitimate owners, determining whether the owner is false, and generating the result information;
Determining whether an attribute of the detected process is hidden, and generating a result information; And
And a process information generating step of generating process information including the detected process information, process authorization determination result information, normal installation path determination information, owner verification information, and process hiding determination information. Way.
사용자 단말기가 웹 서비스 서버부에 접속하여 임의의 웹 서비스의 요청 시 에이전트 설치 여부에 따라 웹 서비스 서버부로부터 에이전트를 다운로드 받아 설치하는 에이전트 설치 과정;
임의의 웹 서비스 요청 시 상기 설치된 에이전트에 의해 사용자 단말기가 자신에게 접속한 원격 접속에 대한 정보인 정적 패턴 정보를 수집하여 원격 접속 감시 서버부로 전송하는 정적 패턴 수집 과정;
원격 접속 감시 서버부가 수신된 상기 정적 패턴 정보와 미리 등록된 정당한 원격 접근자 및 침입자 중 적어도 하나 이상에 대한 정보인 동작 패턴 정보를 비교하여 상기 사용자 단말기를 통해 상기 웹 서비스를 요청한 사용자가 정당한 사용자인지 침입자인지를 판단하여 그 결과를 송신하는 침입 감시 과정; 및
상기 웹 서비스 서버부가 상기 결과를 수신받아 상기 웹 서비스의 제공하거나 차단하는 서비스 제공 과정을 포함하되,
상기 서비스 제공 과정은,
상기 원격 접속 감시 서버부로부터 침입 판단 결과를 수신 받는 침입 판단 결과 수신 단계;
상기 수신된 침입 판단 결과가 침입 판단 정보이면 상기 사용자의 미리 등록된 전화번호를 로드하는 전화번호 로딩 단계;
상기 사용자의 전화번호의 통신단말기로 본인 확인 요청 메시지를 송신하는 본인 확인 요청 단계; 및
상기 본인 확인 요청 메시지에 대한 응답 메시지의 수신 여부에 따라 상기 웹 서비스를 제공하는 웹 서비스 제공 단계를 포함하는 것을 특징으로 하는 사용자 단말 원격 접속 감지 방법.
An agent installing process of downloading an agent from a web service server unit according to whether a user terminal accesses a web service server unit and installing an agent upon request of an arbitrary web service;
A static pattern collecting step of collecting static pattern information, which is information on a remote connection made by the user terminal, to the remote access monitoring server part by the installed agent when requesting an arbitrary web service;
The remote access monitoring server compares the received static pattern information with operation pattern information, which is information on at least one of legitimate remote accessors and intruders registered in advance, and determines whether the user requesting the web service through the user terminal is a legitimate user Detecting an intruder and transmitting the result; And
Wherein the web service server receives the result and provides or blocks the web service,
The service providing process includes:
Receiving an intrusion determination result from the remote access monitoring server unit;
A telephone number loading step of loading a previously registered telephone number of the user if the received intrusion determination result is intrusion determination information;
A personal identification request step of transmitting a personal identification request message to the communication terminal of the user's telephone number; And
And a web service providing step of providing the web service according to whether or not a response message to the identity confirmation request message is received.
제9항 또는 제12항에 있어서,
상기 에이전트 설치 과정에서의 요청된 웹 서비스는 로그인 서비스이고, 정적 패턴 수집 과정의 웹 서비스는 로그인 서비스를 포함하는 웹 서비스 서버부에서 제공하는 임의의 웹 서비스인 것을 특징으로 하는 사용자 단말 원격 접속 감지 방법.The method according to claim 9 or 12,
Wherein the requested web service in the agent installation process is a login service and the web service in the static pattern collection process is an arbitrary web service provided by a web service server unit including a login service. .
KR20130122032A 2013-10-14 2013-10-14 System and method for monitoring illegal remote access of user's terminal KR101490052B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20130122032A KR101490052B1 (en) 2013-10-14 2013-10-14 System and method for monitoring illegal remote access of user's terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130122032A KR101490052B1 (en) 2013-10-14 2013-10-14 System and method for monitoring illegal remote access of user's terminal

Publications (1)

Publication Number Publication Date
KR101490052B1 true KR101490052B1 (en) 2015-02-04

Family

ID=52590319

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130122032A KR101490052B1 (en) 2013-10-14 2013-10-14 System and method for monitoring illegal remote access of user's terminal

Country Status (1)

Country Link
KR (1) KR101490052B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100401088B1 (en) 2000-05-12 2003-10-10 시큐아이닷컴 주식회사 Union security service system using internet
KR20050055996A (en) * 2003-12-09 2005-06-14 주식회사데이콤 Security information management and vulnerability analysis system
KR100867864B1 (en) 2008-07-09 2008-11-07 인터컴 소프트웨어(주) Ubiquitous sensor network unity control system and method thereof
KR101282297B1 (en) * 2012-03-20 2013-07-10 박상현 The apparatus and method of unity security with transaction pattern analysis and monitoring in network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100401088B1 (en) 2000-05-12 2003-10-10 시큐아이닷컴 주식회사 Union security service system using internet
KR20050055996A (en) * 2003-12-09 2005-06-14 주식회사데이콤 Security information management and vulnerability analysis system
KR100867864B1 (en) 2008-07-09 2008-11-07 인터컴 소프트웨어(주) Ubiquitous sensor network unity control system and method thereof
KR101282297B1 (en) * 2012-03-20 2013-07-10 박상현 The apparatus and method of unity security with transaction pattern analysis and monitoring in network

Similar Documents

Publication Publication Date Title
US20230245092A1 (en) Terminal for conducting electronic transactions
RU2595511C2 (en) System and method of trusted applications operation in the presence of suspicious applications
US7818800B1 (en) Method, system, and computer program product for blocking malicious program behaviors
US7779062B2 (en) System for preventing keystroke logging software from accessing or identifying keystrokes
US8219496B2 (en) Method of and apparatus for ascertaining the status of a data processing environment
KR100835820B1 (en) Total internet security system and method the same
US20160036849A1 (en) Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies
CN113315637B (en) Security authentication method, device and storage medium
JP6564841B2 (en) Verification server, verification method and computer program
KR20120084184A (en) A smartphone malicious code blocking method based on white list and the recording medium thereof
Sikder et al. A survey on android security: development and deployment hindrance and best practices
Xing et al. Unauthorized cross-app resource access on mac os x and ios
CN110087238B (en) Information security protection system of mobile electronic equipment
KR101586048B1 (en) System, Server, Method and Recording Medium for Blocking Illegal Applications, and Communication Terminal Therefor
CN101308700A (en) Divulging secret prevention U disk
KR101879843B1 (en) Authentication mehtod and system using ip address and short message service
US20150172310A1 (en) Method and system to identify key logging activities
CN106022096A (en) Information processing method and device and terminal
JP6842951B2 (en) Unauthorized access detectors, programs and methods
KR101490052B1 (en) System and method for monitoring illegal remote access of user's terminal
Zeybek et al. A study on security awareness in mobile devices
KR20220121744A (en) IoT device monitoring method based on Big Data and Artificial intelligence and IoT device monitoring system performing the same
KR20100085459A (en) Personal information protecting device for using filtering network transferring data method thereof
Saha et al. Review of considerations for mobile device based secure access to financial services and risk handling strategy for CIOs, CISOs and CTOs
Ham et al. DroidVulMon--Android Based Mobile Device Vulnerability Analysis and Monitoring System

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180105

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191022

Year of fee payment: 6