KR101790761B1 - Process evaluation method based on user actions - Google Patents

Process evaluation method based on user actions Download PDF

Info

Publication number
KR101790761B1
KR101790761B1 KR1020170068572A KR20170068572A KR101790761B1 KR 101790761 B1 KR101790761 B1 KR 101790761B1 KR 1020170068572 A KR1020170068572 A KR 1020170068572A KR 20170068572 A KR20170068572 A KR 20170068572A KR 101790761 B1 KR101790761 B1 KR 101790761B1
Authority
KR
South Korea
Prior art keywords
user
score
evaluation
execution
action
Prior art date
Application number
KR1020170068572A
Other languages
Korean (ko)
Inventor
박상호
오호성
정원희
Original Assignee
(주)지란지교소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)지란지교소프트 filed Critical (주)지란지교소프트
Priority to KR1020170068572A priority Critical patent/KR101790761B1/en
Application granted granted Critical
Publication of KR101790761B1 publication Critical patent/KR101790761B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)

Abstract

사용자 행위에 기반한 프로세스 평가 방법이 개시된다. 본 발명의 일측면에 따른 컴퓨터 장치에서 수행되는 보안을 위한 프로세스 평가 방법은 실행된 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하는 단계; 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단 및 사용자에게 문의하여 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인을 수행하는 단계; 및 행위 판단에 따른 행위 점수와 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하는 단계를 포함한다. A process evaluation method based on user behavior is disclosed. A method for evaluating security for a process performed in a computer device according to an aspect of the present invention includes: confirming that an executed process is not registered in a preset whitelist; Performing a user action determination for determining whether or not the execution process is executed by a user action, and a user confirmation for checking whether the execution process is an intended execution by inquiring the user; And calculating the process evaluation score using the action score according to the action judgment and the feedback score according to the user's confirmation.

Description

사용자 행위에 기반한 프로세스 평가 방법{Process evaluation method based on user actions}[0001] The present invention relates to a process evaluation method based on user actions,

본 발명은 악의적인 프로세스를 선별하기 위한 사용자 행위에 기반한 프로세스 평가 방법에 관한 것이다. The present invention relates to a process evaluation method based on user behavior for selecting a malicious process.

최근, 개인 사용자의 컴퓨터가 대용량화됨과 동시에 처리 속도가 향상됨에 따라, 예를 들어 기술자료, 설계도면, 개발자료, 시험자료, 영업자료, 생산정보, 군기밀자료 및 개인정보와 같은 사적인 작업내용 및 공적인 업무자료가 개인컴퓨터에 저장되어 관리되고 있다.In recent years, personal users' computers have become large-capacity as well as processing speeds have increased, resulting in personal work such as technical data, design drawings, development data, test data, sales data, production data, military classified data, Public work data are stored and managed on personal computers.

그런데, 최근에는 컴퓨팅 장치의 일부 소프트웨어 또는 하드웨어를 제대로 작동하지 못하게 하는 악성코드뿐 아니라, 보안상 중요한 데이터를 외부로 유출시키거나 파일을 암호화하여 사용자가 사용하지 못하게 하거나 문서 파일의 경우 내용을 위조 또는 변조하는 악성 코드가 문제가 되고 있다. 이러한 악성코드는 사용자의 명령과는 상관없이 자체적으로 프로세스를 구동시켜 파일을 위변조하거나 외부로 유출하는데, 이로 인해 개인정보뿐 아니라 업무상 중요한 데이터까지도 훼손 또는 유출되어 그 피해가 커지고 있다.However, in recent years, not only malicious codes that prevent some of the computing devices or hardware of the computing device from functioning properly, but also to prevent leakage of important data to the outside or to encrypt the files, Modifying malicious code is becoming a problem. Such a malicious code, regardless of the user's command, drives the process itself and forge or leaks the file. As a result, not only personal information but also business-critical data is damaged or leaked.

대한민국 공개특허 제10-2016-0030385 (공개일자 2016년03월17일) 가상 머신에서 멀웨어 탐지를 위한 프로세스 평가Korean Patent Publication No. 10-2016-0030385 (Published Date March 17, 2016) Process evaluation for detecting malware in a virtual machine

따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 정보의 유출 또는 훼손을 수행하는 악성 프로세스를 선별하기 위해 사용자의 행위에 기반한 프로세스 평가 방법을 제공하기 위한 것이다.SUMMARY OF THE INVENTION Accordingly, the present invention has been made keeping in mind the above problems occurring in the prior art, and an object of the present invention is to provide a process evaluation method based on a user's behavior in order to select a malicious process that performs leakage or corruption of information.

본 발명의 다른 목적들은 이하에 서술되는 바람직한 실시예를 통하여 보다 명확해질 것이다.Other objects of the present invention will become more apparent through the following preferred embodiments.

본 발명의 일 측면에 따르면, 컴퓨터 장치에서 수행되는 보안을 위한 프로세스 평가 방법에 있어서, 실행된 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하는 단계; 상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인을 수행하는 단계; 및 상기 행위 판단에 따른 행위 점수와 상기 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하는 단계를 포함하는 프로세스 평가 방법 및 방법을 수행하기 위한 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록 매체가 제공된다.According to an aspect of the present invention, there is provided a method for evaluating security for a process performed in a computer device, comprising: confirming that an executed process is not registered in a preset whitelist; Performing a user action determination to determine whether the execution process is executed by a user action and a user confirmation to inquire a user to confirm whether the execution process is an intended execution; And calculating a process evaluation score using an action score in accordance with the action judgment and a feedback score in accordance with the user's confirmation, and a program for performing the process evaluation method and method, / RTI >

여기서, 상기 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 상기 행위 점수를 산출할 수 있다.Here, the action score can be calculated by checking whether the execution process is executed by at least one of a UI interaction, a window sub-process, or a predetermined automatic connection program.

또한, 상기 피드백 점수의 산출은, 상기 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하는 단계; 및 사용자로부터의 입력정보에 따라 상기 피드백 점수를 산출하는 단계를 포함하되, 상기 인터페이스 화면을 출력한 이후 상기 입력정보의 입력까지의 소요시간을 상기 피드백 점수의 산출에 이용할 수 있다.Further, the calculation of the feedback score may include: outputting an interface screen for confirming the user including information on the execution process; And calculating the feedback score according to input information from a user. The time required until the input information is input after outputting the interface screen can be used to calculate the feedback score.

또한, 미리 설정된 관리서버로부터 수신되는 사용자 등급에 따라 상기 피드백 점수에 가중치를 부여할 수 있다.In addition, the feedback score may be weighted according to a user class received from a preset management server.

또한, 상기 사용자 등급은 평가이력을 기반으로 산출되는 정확도에 따라 결정될 수 있다.Furthermore, the user rating can be determined according to the accuracy calculated based on the evaluation history.

또한, 상기 실행프로세스가 미리 설정된 대상파일에 대해 접근 또는 위변조를 수행했는지에 따른 위험도를 산출하여 상기 프로세스 평가점수에 반영할 수 있다.In addition, the risk degree according to whether the execution process has accessed or forged the predetermined object file can be calculated and reflected in the process evaluation score.

그리고, 관리 서버에서 수행되는 프로세스 평가 방법에 있어서, 안전 프로세스에 대한 화이트리스트를 관리하여 관련 정보를 미리 설정된 컴퓨팅 장치들로 제공하는 단계; 상기 컴퓨팅 장치들 각각이 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하고, 상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단에 따른 행위 점수 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하면, 상시 실행프로세스 정보 및 상기 프로세스 평가점수를 포함하는 평가정보를 수신하는 단계; 상기 컴퓨팅 장치들로부터 수신된 상기 평가정보를 기반으로, 평가대상 프로세스에 따른 최종 평가점수를 산출하는 단계; 및 상기 최종 평가점수에 따라 상기 평가대상 프로세스에 대한 상기 화이트리스트로의 등록 여부를 결정하는 단계를 포함하는 프로세스 평가 방법 방법을 수행하기 위한 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록 매체가 제공된다.In addition, the present invention provides a method for evaluating a process performed by a management server, the method comprising: managing a whitelist for a safety process and providing related information to predetermined computing devices; Each of the computing devices confirms that the execution process is not registered in the preset whitelist, and judges whether the execution process is executed by the user action, Receiving evaluation information including the normally executed process information and the process evaluation score when the process evaluation score is calculated using the feedback score according to the user confirmation for confirming whether or not the process execution score is an intended execution; Calculating a final evaluation score according to the evaluation target process based on the evaluation information received from the computing devices; And determining whether to register the evaluation subject process in the whitelist according to the final evaluation score. A computer-readable recording medium on which a program for performing the process evaluation method is provided is provided.

여기서, 상기 평가대상 프로세스에 대한 평가정보를 제공한 복수 컴퓨팅 장치의 각 사용자 정보의 사용자 등급에 따른 가중치를 각 프로세스 평가점수에 반영함으로써 상기 최종 평가점수를 산출할 수 있다.Here, the final evaluation score can be calculated by reflecting the weight of each user information of the plurality of computing devices providing evaluation information on the process to be evaluated to the respective process evaluation scores.

또한, 평가이력을 기반으로 산출되는 정확도에 따라 상기 사용자 등급을 결정할 수 있다.In addition, the user class can be determined according to the accuracy calculated based on the evaluation history.

또한, 상기 컴퓨팅 장치는, 상기 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 상기 행위 점수를 산출할 수 있다.In addition, the computing device may calculate the action score by checking whether the execution process is executed by at least one of a UI interaction, a window shell subprocess, or a predetermined automatic connection program.

또한, 상기 컴퓨팅 장치는, 상기 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하고, 사용자로부터의 입력정보에 따라 상기 피드백 점수를 산출하되, 상기 인터페이스 화면을 출력한 이후 상기 입력정보의 입력까지의 소요시간을 상기 피드백 점수의 산출에 이용할 수 있다.The computing device outputs an interface screen for confirming the user including information on the execution process, calculates the feedback score according to input information from the user, and outputs the interface screen, The time required until the input of the information can be used for calculating the feedback score.

본 발명에 따르면, 사용자의 행위에 기반하여 프로세스를 평가함으로써, 효율적으로 화이트리스트를 구축할 수 있는 효과가 있으며, 또한 복수 사용자의 행위를 기반으로 함으로써 보다 정확한 평가를 수행할 수 있다. According to the present invention, it is possible to efficiently construct a whitelist by evaluating a process based on a user's behavior, and more accurate evaluation can be performed based on the behavior of a plurality of users.

도 1 및 도 2는 본 발명의 각 실시예에 따른 컴퓨팅 장치에서 수행되는 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도들.
도 3은 본 발명의 일 실시예에 따른 복수 사용자의 행위에 기반한 프로세스 평가를 위한 전체 시스템을 개략적으로 도시한 구성도.
도 4는 본 발명의 일 실시예에 사용자 등급을 도시한 예시도.
도 5는 본 발명의 일 실시예에 따른 복수 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도.FIG. 1 and FIG. 2 are flowcharts illustrating a process of evaluating a process using a user action performed in a computing device according to each embodiment of the present invention.
3 is a schematic diagram illustrating an overall system for process evaluation based on the behavior of a plurality of users according to an embodiment of the present invention;
4 is an exemplary diagram illustrating a user rating in an embodiment of the present invention;
5 is a flowchart illustrating a process of evaluating a process using a plurality of user actions according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It is to be understood, however, that the invention is not to be limited to the specific embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 후술될 제1 임계값, 제2 임계값 등의 용어는 실질적으로는 각각 상이하거나 일부는 동일한 값인 임계값들로 미리 지정될 수 있으나, 임계값이라는 동일한 단어로 표현될 때 혼동의 여지가 있으므로 구분의 편의상 제1, 제2 등의 용어를 병기하기로 한다. The terms first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, terms such as a first threshold value, a second threshold value, and the like which will be described later may be previously designated with threshold values that are substantially different from each other or some of which are the same value, Because there is room, the terms such as the first and the second are to be mentioned for convenience of division.

본 명세서에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In this specification, the terms "comprises" or "having" and the like refer to the presence of stated features, integers, steps, operations, elements, components, or combinations thereof, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.

또한, 각 도면을 참조하여 설명하는 실시예의 구성 요소가 해당 실시예에만 제한적으로 적용되는 것은 아니며, 본 발명의 기술적 사상이 유지되는 범위 내에서 다른 실시예에 포함되도록 구현될 수 있으며, 또한 별도의 설명이 생략될지라도 복수의 실시예가 통합된 하나의 실시예로 다시 구현될 수도 있음은 당연하다.It is to be understood that the components of the embodiments described with reference to the drawings are not limited to the embodiments and may be embodied in other embodiments without departing from the spirit of the invention. It is to be understood that although the description is omitted, multiple embodiments may be implemented again in one integrated embodiment.

또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일하거나 관련된 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to the preferred embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to the like elements throughout. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail.

도 1 및 도 2는 본 발명의 각 실시예에 따른 컴퓨팅 장치에서 수행되는 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도들이다.FIG. 1 and FIG. 2 are flowcharts illustrating a process of evaluating a process using a user action performed in a computing device according to each embodiment of the present invention.

먼저 도 1을 참조하면, 컴퓨팅 장치는 임의의 프로세스 실행되면 해당 프로세스(이하에서는 실행프로세스라 칭함)의 실행을 인식하고(S110), 실행프로세스가 미리 설정된 화이트리스트에 등록되어 있는지 여부를 확인한다(S120). 즉 보안상 위험이 없는 프로세스들에 대한 정보를 리스트화하여 화이트리스트로서 관리하는 것이며, 실행된 프로세스가 존재하면 해당 실행프로세스가 화이트리스트에 등록되어 있는지 여부를 확인하는 것이다.First, referring to FIG. 1, when a certain process is executed, the computing device recognizes execution of a corresponding process (hereinafter referred to as an execution process) (S110) and checks whether the execution process is registered in a preset white list S120). In other words, the information about the processes without security risk is listed and managed as a whitelist. If there is an executed process, it is checked whether the execution process is registered in the whitelist.

만일 실행프로세스가 화이트리스트에 등록된 것이라면, 프로세스 평가를 진행하지 않고 실행을 허용한다(S130).If the execution process is registered in the whitelist, execution is allowed without proceeding with the process evaluation (S130).

이와 달리 실행프로세스가 화이트리스트에 등록되지 않은(즉 알려지지 않은) 프로세스인 경우, 사용자 행위에 의한 실행인지에 대한 행위 판단 및 사용자로의 문의에 의한 사용자 확인을 수행하고, 이를 점수화한다(S140).Otherwise, when the execution process is not registered in the whitelist (i.e., unknown process), the user performs an action determination based on the user action and an inquiry to the user, and scored them.

행위 판단에 의한 점수(이하 행위 점수라 칭함)는 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 산출할 수 있다. 보다 상세히 설명하자면, 마우스의 더블클릭에 의한 실행, 우클릭 메뉴에 의한 실행 또는 시작메뉴에 의한 실행 등인지에 대한 사용자 UI(User Interface) 인터렉션(interaction)을 모니터링하여 사용자의 의도된 행위인지 여부를 판단할 수 있다. 또한 운영체제가 MS Windows인 경우 윈도우 쉘(예를 들어 사용자 그래픽 인터페이스를 위한 것)인 explorer.exe의 하위 프로세스(child proess)는 모두 사용자의 의도된 행위라 간주할 수 있으므로, 실행프로세스가 상술한 바와 같은 윈도우 쉘의 하위 프로세스인지 여부를 확인함으로써 행위 판단 및 그에 따른 행위 점수를 산출한다. 또한, [*.hwp -> hwp.exe], [*xlsx -> excel.exe], [*.pptx -> powerpoint.exe] 등과 같이 윈도우에서 미리 지정된 자동 연결 프로그램에 따른 실행프로세스는 사용자의 의도된 프로세스라 간주하는 것이다. 상술한 바와 같은 세가지 타입이 모두 아니라면 행위 점수는 낮게 산출될 것이며, 또한 세가지 중 어느 것 또는 몇 가지에 해당하느냐에 따라 행위 점수가 다르게 산출될 것이다.The score of the action judgment (hereinafter referred to as the action score) can be calculated by checking whether the execution process is executed by at least one of a UI interaction, a window shell subprocess or a predetermined automatic connection program. More specifically, the user interface (UI) interaction is monitored to determine whether the user's intention is an action, such as a double-click of the mouse, a right-click menu, or a start menu. can do. In addition, if the operating system is MS Windows, all the child processes of explorer.exe, which are windows shells (for user graphical interface, for example), can be regarded as user's intended actions, And determines whether or not it is a sub-process of the same window shell, thereby calculating the action judgment and the action score corresponding thereto. In addition, the execution process according to the predefined autoconnect program in Windows, such as [* .hwp -> hwp.exe], [* xlsx -> excel.exe], [* .pptx -> powerpoint.exe] Process. If none of the three types mentioned above is true, the action score will be calculated to be low, and the action score will be calculated differently depending on which one or few of the three.

그리고, 사용자 확인에 의한 점수(이하 피드백 점수라 칭함)는 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하고, 사용자로부터 입력되는 입력정보에 따라 산출할 수 있다. 예를 들어, 실행프로세스에 대한 명칭, 실행 내용(파일 첨부, 파일 수정, 파일 외부로의 전송 등), 관련 파일정보(예를 들어 접근 또는 수정하는 파일에 대한 명칭, 유형, 포맷, 저장경로 등) 등에 대한 실행프로세스 정보를 표시하고 또한 사용자가 실행 허용, 불가, 대기 등을 선택할 수 있는 인터페이스화면을 출력함으로써 사용자의 피드백을 받을 수 있다. 문의하는 내용 갖는 중 사용자의 입력에 의해 선택된 내용을 기반으로 피드백 점수를 산출할 수 있다.The score obtained by the user confirmation (hereinafter referred to as the feedback score) may be output on the interface screen for confirming the user including the information on the execution process, and may be calculated according to the input information input from the user. For example, the name of the execution process, execution contents (file attachment, modification of file, transmission out of file, etc.), related file information (for example, name, type, format, ), And displays the interface screen on which the user can select execution permission, disable, wait, and the like, thereby receiving user feedback. The feedback score can be calculated on the basis of the content selected by the user's input during the inquiry.

일례에 따르면, 인터페이스 화면을 출력한 이후 사용자로부터의 입력정보의 입력까지의 소요시간을 피드백 점수에 산출할 수 있다. 예를 들어, 실행프로세스의 정보를 표시한 이후 사용자의 피드백(예를 들어 허용, 불가, 대기 중 어느 하나를 선택하는 것)이 입력될 때까지 소요되는 시간이 길수록 사용자의 고민이 길어진다는 것을 의미할 수 있으므로, 이때에는 피드백 점수를 낮게 산출할 수 있다.According to the example, it is possible to calculate the time required from the output of the interface screen to the input of the input information from the user to the feedback score. For example, the longer the time it takes to display the information of the execution process and until the user's feedback (for example, selecting one of the allowable, unavailable, or standby) is input, Therefore, at this time, the feedback score can be calculated to be low.

정리하자면, 행위 점수는 실행프로세스 자체에 의한 또는 실행프로세스를 실행시킨 것이 사용자의 입력인지 여부에 의한 점수라 말할 수 있으며, 피드백 점수는 사용자에게 실용프로세스에 대해 문의하여 수신되는 사용자 피드백에 따른 점수라 말할 수 있다.To summarize, the action score may be a score according to the execution process itself or whether the execution process was executed by the user, and the feedback score is a score according to the user feedback received by inquiring the user about the practical process. I can tell.

산출된 행위 점수와 피드백 점수를 이용하여 프로세스 평가점수를 산출한다(S150). 일례에 따르면, 행위 점수와 피드백 점수를 합산한 값을 프로세스 평가점수로 이용할 수 있다.The process evaluation score is calculated using the calculated action score and feedback score (S150). According to one example, the sum of the action score and the feedback score can be used as the process score.

다른 일례에 따르면, 단순 합산이 아닌 행위 점수 및/또는 피드백 점수에 가중치를 두어 합산할 수도 있다. According to another example, weights may be added to the action scores and / or the feedback scores rather than simple summation.

이에 대한 일례를 도시한 도 2를 참조하면, 컴퓨팅 장치는 화이트리스트에 등록되지 않은 실행프로세스를 확인하면(S210). 실행프로세스가 미리 설정된 대상파일과 관련되었는지 여부를 판단한다. 대상파일이란 운영체제 시스템 파일, 또는 개인정보와 같은 보안산 중요하여 사용자에 의해 설정된 보안파일 등일 수 있다. 실행프로세스가 이러한 대상파일에 접근하거나 또는 위변조와 같은 수정을 행하는지에 대한 대상파일 관련 여부를 판단하는 것이다. 대상 파일과 관련이 없다면 도 1을 참조하여 설명한 바와 같은 일반적인 평가를 수행한다(S230).Referring to FIG. 2 showing an example of this, when the computing device confirms an execution process not registered in the whitelist (S210). It is determined whether the execution process is associated with a preset target file. The target file may be an operating system file, a security file such as personal information, or a security file set by the user, which is important. And judges whether the target file is related to whether the execution process accesses the target file or makes a modification such as forgery or modification. If it is not related to the target file, a general evaluation as described with reference to FIG. 1 is performed (S230).

이와 달리, 대상 파일과 관련이 있다면, 위험도를 산출한다(S240). 위험도는 대상 파일을 단순히 실행시키는 것인지, 수정을 하는지, 외부로 유출하는지 등에 따라 산출될 수 있다. 단순 실행에 비해 위변조가 더 높은 위험도 수치를 가질 수 있으며, 또한 대상파일이 보안상 중요한 파일이고 실행프로세스가 해당 대상파일을 외부로 유출하는 시도를 하는 경우 위험도는 높게 산출될 것이다. Alternatively, if the file is related to the target file, the risk is calculated (S240). The risk can be calculated according to whether the target file is simply executed, modified, or leaked to the outside. The risk may be higher if the forgery or falsification has a higher risk value than the simple execution and the target file is a security-critical file and the execution process attempts to leak the target file to the outside.

산출된 위험도를 프로세스 평가점수에 반영하는데(S250), 일례에 따르면 행위 점수에 위험도에 따른 가중치가 부여되는 형태로 적용될 수 있다. 예를 들어, 위험도가 2인 경우 행위 점수에 2가 곱해지는 형태일 수 있다.The calculated risk is reflected in the process score (S250). According to an example, the score may be applied in a form in which the risk score is weighted. For example, if the risk is 2, the action score may be multiplied by 2.

피드백 점수에도 가중치가 적용될 수 있는데, 일례에 따르면 컴퓨팅 사용자의 사용자 등급을 이용할 수 있다. 사용자 등급은 차후 보다 상세히 설명하기로 한다.Weights may also be applied to the feedback score, which, according to one example, may utilize the user rating of the computing user. The user class will be described in more detail later.

따라서, 일례에 따르면 프로세스 평가점수는 다음과 같은 수학식에 의해 산출될 수 있다.Thus, according to one example, the process score can be calculated by the following equation.

[수학식 1][Equation 1]

프로세스 평가점수 = (행위 점수)*a + (피드백 점수)*b, Process Score = (Act Score) * a + (Feedback Score) * b,

{a : 위험도, b : 사용자 등급}{a: risk, b: user class}

도 3은 본 발명의 일 실시예에 따른 복수 사용자의 행위에 기반한 프로세스 평가를 위한 전체 시스템을 개략적으로 도시한 구성도이고, 도 4는 본 발명의 일 실시예에 사용자 등급을 도시한 예시도이고, 도 5는 본 발명의 일 실시예에 따른 복수 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도이다.FIG. 3 is a schematic diagram illustrating an overall system for evaluating a process based on an action of a plurality of users according to an embodiment of the present invention. FIG. 4 is an exemplary view showing a user class in an embodiment of the present invention And FIG. 5 is a flowchart illustrating a process of evaluating a process using a plurality of user actions according to an embodiment of the present invention.

도 3을 참조하면, 복수 사용자의 사용자 행위를 이용한 프로세스 평가를 위한 전체 시스템은 복수의 사용자가 사용하는 컴퓨팅 장치들(10-1, 10-2, ..., 10-n, 이하 10으로 통칭) 및 관리 서버(30)를 포함한다.Referring to FIG. 3, an overall system for evaluating a process using user behavior of a plurality of users includes a plurality of computing devices 10-1, 10-2, ..., 10-n, And a management server 30.

관리 서버(30)는 화이트리스트를 DB화하여 관리하고, 각 컴퓨팅 장치(10)들로 화이트리스트를 제공한다. 그리고, 관리 서버(30)는 각 컴퓨팅 장치(10)들로부터 실행프로세스 및 그에 따른 평가점수인 프로세스 평가점수에 대한 정보(이하 평가정보라 칭함)를 등록받아 각 프로세스에 대한 최종 평가점수를 산출하며, 산출된 최종 평가점수를 기반으로 화이트리스트로의 등록 여부를 결정한다. 즉, 관리 서버(30)는 각 컴퓨팅 장치(10)들로부터 수신되는 평가정보를 이용하여 화이트리스트(또는 블랙리스트를 관리할 수도 있음)를 갱신하는 것이다. 이에 따르면, 실제 컴퓨팅 장치(10)들의 평가에 의해 화이트리스트를 DB화해감으로 인해 최초 화이트리스트를 수집하기 위한 작업이 수월하여 구축이 용이해지는 효과를 제공한다.The management server 30 DBizes and manages the whitelist, and provides the whitelist to each computing device 10. Then, the management server 30 registers the execution process and information (hereinafter referred to as evaluation information) on the process evaluation score, which is an evaluation score, from each computing device 10, and calculates a final evaluation score for each process , And determines whether or not to register in the white list based on the calculated final evaluation score. That is, the management server 30 updates the whitelist (or may manage the blacklist) using the evaluation information received from each of the computing devices 10. According to this, the work for acquiring the initial white list is easy because the white list is converted into the DB by the evaluation of the actual computing devices 10, thereby facilitating the construction.

그리고, 상술한 바와 같이 각 컴퓨팅 장치(10)의 사용자에 대한 사용자 정보를 관리 서버(30)에서 관리하며, 사용자 정보로서 각 사용자들을 등급화할 수 있다. 여기서 말하는 등급의 개념은 사용자의 직책 등을 이용할 수도 있으나, 기본적으로 각 사용자가 평가하는 사용자 평가의 신뢰도에 따라 사용자 등급이 결정될 수 있다. 다시 말해 사용자의 평가 이력을 이용하여 사용자 등급을 설정하는 것이며, 이에 추가적으로 사용자의 컴퓨팅 장치 사용 이력(사용시간, 사용횟수 등)을 평가에 활용할 수도 있다. As described above, the management server 30 manages user information about users of each computing device 10, and can rank each user as user information. The concept of the rating referred to herein may be based on the user's position, but basically, the user's rating can be determined according to the reliability of the user's evaluation evaluated by each user. In other words, the user's rating is set by using the user's evaluation history. In addition, the history of the user's computing device usage (the use time, the number of times of use, etc.)

이에 따른 예시를 도시한 도 4를 참조하면, 관리 서버(30)는 도시된 바와 같은 테이블과 같이 사용자 등급에 대한 사용자 정보를 저장할 수 있다. 사용자 0001의 경우 한달간 컴퓨팅 장치(10)의 사용시간이 121시간(H)인데 비해 사용자 0002는 사용시간이 78시간으로 상대적으로 적어 사용자 평가의 신뢰도가 다소 낮다 판단될 수 있는 것이다. 그리고, 사용자 0001의 경우 기존 실행프로세스에 대해 악성 프로세스를 식별한 정확도(예를 들어, 악성프로세스에 대해 [실행 불가]를 선택하는 사용자 확인을 수행한 비율일 수 있음)가 92%인데 비해 사용자 0002는 61%에 불과하여 사용자 등급이 낮게 책정된 것이다.Referring to FIG. 4 illustrating an example according to this, the management server 30 may store user information on a user class as shown in the table. In the case of the user 0001, the usage time of the computing device 10 is 121 hours (H) for one month, whereas the usage time of the user 0002 is relatively short as 78 hours, which means that the reliability of the user evaluation is somewhat low. In the case of the user 0001, 92% is the accuracy with which the malicious process has been identified for the existing execution process (for example, it may be the rate of performing the user identification that selects [not executable] for malicious processes) Is only 61%, so the user grade is set low.

이와 같이, 관리 서버(30)는 사용자의 사용자 등급에 대한 정보를 각 컴퓨팅 장치(10)로 제공하며, 컴퓨팅 장치(10)는 프로세스 평가점수를 산출할 때 사용자 등급을 이용하여 가중치를 부여할 수 있다.In this manner, the management server 30 provides information on the user class of the user to each computing device 10, and the computing device 10 can assign a weight using the user class when calculating the process evaluation score have.

이하 이러한 전체 시스템서의 프로세스 평가 과정에 대해 설명하기로 한다.Hereinafter, the process evaluation process of the whole system will be described.

도 5를 참조하면, 컴퓨팅 장치(10)가 실행프로세스의 프로세스 평가점수를 산출하여(S510), 관리 서버(30)로 실행프로세스 정보, 프로세스 평가점수를 포함하는 평가정보(평가항목, 평가 내용 등이 더 포함될 수 있음)를 제공한다(S520). 이러한 방식으로 각 컴퓨팅 장치(10)들은 실행프로세스의 평가를 수행하면, 관리 서버(30)로 그 내용을 보고한다.5, the computing device 10 calculates the process evaluation score of the execution process (S510), and transmits the evaluation information including the execution process information and the process evaluation score (evaluation items, evaluation contents, etc.) to the management server 30 (S520). In this way, each computing device 10 reports its contents to the management server 30 when performing evaluation of the execution process.

관리 서버(30)는 이렇게 복수의 컴퓨팅 장치(10)들로부터 수신되는 평가정보를 평가대상 프로세스별로 저장한다(S530). 다시 말해, 프로세스a에 대응되는 평가정보를 저장하고, 또한 프로세스b에 대응되는 평가정보를 각각 저장하는 것이다.The management server 30 stores the evaluation information received from the plurality of computing devices 10 for each evaluation target process (S530). In other words, the evaluation information corresponding to the process a is stored, and the evaluation information corresponding to the process b is stored.

관리 서버(30)는 임의의 평가대상 프로세스에 대해 컴퓨팅 장치(10)들로부터 수신된 관련 평가정보를 이용하여 평가점수를 산출한다(S540). 일례에 따르면, 각 평가대상 프로세스의 최종 평가 시점은 미리 설정된 개수(예를 들어, 5개 등) 이상의 평가정보가 수신된 경우, 또는 최초 평가정보가 수신된 시점 이후 일정 시간이 경과된 시점(예를 들어, 12시간 등) 등일 수 있으며, 또한 평가대상 프로세스의 유형 등에 따라 그 시점은 달라질 수 있다.The management server 30 calculates the evaluation score using the related evaluation information received from the computing devices 10 for an arbitrary evaluation target process (S540). According to an example, the final evaluation time of each evaluation target process is a time when evaluation information of a predetermined number (for example, five, etc.) is received, or when a predetermined time has elapsed after the initial evaluation information is received For example, 12 hours, etc.), and the time may vary depending on the type of process being evaluated.

최종 평가점수를 산출하는 방식으로는, 각 프로세스 평가점수의 평균값을 이용할 수 있으며, 또는 상술한 바와 같은 사용자 등급을 이용하는 방식과 같이 해당하는 컴퓨팅 장치(10)의 사용자 정보에 따른 사용자 등급을 이용한 가중치를 적용할 수도 있다. As a method for calculating the final evaluation score, an average value of each process evaluation score may be used, or a weight using a user class according to user information of the corresponding computing device 10, such as a method using the above- May be applied.

관리 서버(30)는 최종 평가점수에 따라 평가대상 프로세스를 화이트리스트로의 등록 여부를 결정하고 처리한다(S550). 일례에 따르면 평가점수가 100점 만점에 90점 이상인 경우 화이트리스트로 평가대상 프로세스를 등록한다. 또는 도면에 도시된 바와 같이 미리 설정된 점수(예를 들어 50점) 이하인 경우 평가대상 프로세스를 블랙리스트로 등록할 수도 있다. 블랙리스트로 등록된 프로세스에 대해서는 차후 컴퓨팅 장치(10)에서 실행이 시도되면 평가 절차 없이도 실행차단 또는 실행중지 처리될 수 있을 것이다.The management server 30 determines whether or not to register the evaluation target process as a whitelist according to the final evaluation score (S550). According to one example, if the score is more than 90 out of 100 points, the process to be evaluated is registered as a whitelist. Or a predetermined score (for example, 50 points) as shown in the figure, the evaluation target process may be registered as a black list. If a process registered in the black list is attempted to be executed in the computing device 10 in the future, the process may be blocked or suspended without evaluation.

관리 서버(30)는 S550에서의 처리 결과를 컴퓨팅 장치(10)로 제공하고(S560), 컴퓨팅 장치(10)는 수신된 결과를 차후 실행되는 실행프로세스의 제어에 이용한다(S570). 예를 들어 화이트리스트에 추가된 경우라면, 컴퓨팅 장치(10)는 수신된 결과에 따라 보유한 화이트리스트를 해당 평가대상 프로세스가 추가되도록 갱신할 수 있을 것이다. The management server 30 provides the processing result at S550 to the computing device 10 (S560), and the computing device 10 uses the received result for controlling the execution process to be executed at a later time (S570). For example, if the white list is added to the whitelist, the computing device 10 may update the white list held in accordance with the received result so that the evaluation target process is added.

상술한 본 발명에 따른 프로세스 평가 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. The above-described process evaluation method according to the present invention can be implemented as computer-readable code on a computer-readable recording medium. The computer-readable recording medium includes all kinds of recording media storing data that can be decoded by a computer system. For example, it may be a ROM (Read Only Memory), a RAM (Random Access Memory), a magnetic tape, a magnetic disk, a flash memory, an optical data storage device, or the like. In addition, the computer-readable recording medium may be distributed and executed in a computer system connected to a computer network, and may be stored and executed as a code readable in a distributed manner.

또한, 상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention as defined in the appended claims. It will be understood that various modifications and changes may be made.

10-1, 10-2, ..., 10-n : 컴퓨팅 장치
30 : 관리 서버10-1, 10-2, ..., 10-n:
30: Management server

Claims (8)

컴퓨터 장치에서 수행되는 보안을 위한 프로세스 평가 방법에 있어서,
실행된 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하는 단계;
상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인을 수행하는 단계; 및
상기 행위 판단에 따른 행위 점수와 상기 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하되, 상기 실행프로세스가 미리 설정된 대상파일에 대해 접근 또는 위변조를 수행했는지에 따른 위험도를 산출하여 상기 프로세스 평가점수에 반영하는 단계를 포함하는 프로세스 평가 방법.
1. A process evaluation method for security performed in a computer device,
Confirming that the executed execution process is not registered in the preset white list;
Performing a user action determination to determine whether the execution process is executed by a user action and a user confirmation to inquire a user to confirm whether the execution process is an intended execution; And
Calculating a process evaluation score using the action score according to the action judgment and the feedback score according to the user confirmation, calculating a risk according to whether the execution process has accessed or forged the predetermined target file, 0.0 > a < / RTI > score.
청구항 1에 있어서,
상기 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 상기 행위 점수를 산출하는, 프로세스 평가 방법.
The method according to claim 1,
Wherein the action score is calculated by checking whether the execution process is executed by at least one of a UI interaction, a window shell subprocess, and a predetermined automatic connection program.
컴퓨터 장치에서 수행되는 보안을 위한 프로세스 평가 방법에 있어서,
실행된 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하는 단계;
상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인을 수행하는 단계; 및
상기 행위 판단에 따른 행위 점수와 상기 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하는 단계를 포함하되,
상기 피드백 점수의 산출은,
상기 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하는 단계; 및
사용자로부터의 입력정보에 따라 상기 피드백 점수를 산출하는 단계를 포함하되,
상기 인터페이스 화면을 출력한 이후 상기 입력정보의 입력까지의 소요시간을 상기 피드백 점수의 산출에 이용하는, 프로세스 평가 방법.
1. A process evaluation method for security performed in a computer device,
Confirming that the executed execution process is not registered in the preset white list;
Performing a user action determination to determine whether the execution process is executed by a user action and a user confirmation to inquire a user to confirm whether the execution process is an intended execution; And
And calculating a process evaluation score using an action score according to the action judgment and a feedback score according to the user's confirmation,
The calculation of the feedback score includes:
Outputting an interface screen for confirmation of the user including information on the execution process; And
And calculating the feedback score according to input information from a user,
Wherein the time required until the input information is input after outputting the interface screen is used for calculating the feedback score.
삭제delete 관리 서버에서 수행되는 프로세스 평가 방법에 있어서,
안전 프로세스에 대한 화이트리스트를 관리하여 관련 정보를 미리 설정된 컴퓨팅 장치들로 제공하는 단계;
상기 컴퓨팅 장치들 각각이 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하고, 상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단에 따른 행위 점수 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하면, 상시 실행프로세스 정보 및 상기 프로세스 평가점수를 포함하는 평가정보를 수신하는 단계;
상기 컴퓨팅 장치들로부터 수신된 상기 평가정보를 기반으로, 평가대상 프로세스에 따른 최종 평가점수를 산출하는 단계; 및
상기 최종 평가점수에 따라 상기 평가대상 프로세스에 대한 상기 화이트리스트로의 등록 여부를 결정하는 단계를 포함하되,
상기 컴퓨팅 장치는,
상기 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하고, 사용자로부터의 입력정보에 따라 상기 피드백 점수를 산출하되, 상기 인터페이스 화면을 출력한 이후 상기 입력정보의 입력까지의 소요시간을 상기 피드백 점수의 산출에 이용하는, 프로세스 평가 방법.
A method for evaluating a process performed by a management server,
Managing the whitelist for the safety process and providing related information to the pre-established computing devices;
Each of the computing devices confirms that the execution process is not registered in the preset whitelist, and judges whether the execution process is executed by the user action, Receiving evaluation information including the normally executed process information and the process evaluation score when the process evaluation score is calculated using the feedback score according to the user confirmation for confirming whether or not the process execution score is an intended execution;
Calculating a final evaluation score according to the evaluation target process based on the evaluation information received from the computing devices; And
And determining whether to register the evaluation subject process in the whitelist according to the final evaluation score,
The computing device comprising:
Outputting an interface screen for confirming a user including information on the execution process, calculating the feedback score according to input information from the user, calculating a feedback time from the output of the interface screen to the input of the input information Is used for calculation of the feedback score.
청구항 5에 있어서,
상기 컴퓨팅 장치는,
상기 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 상기 행위 점수를 산출하는, 프로세스 평가 방법.
The method of claim 5,
The computing device comprising:
Wherein the action score is calculated by checking whether the execution process is executed by at least one of a UI interaction, a window shell subprocess, and a predetermined automatic connection program.
삭제delete 제 1항 내지 제 3항, 제 5항, 제 6항 중 어느 한 항의 방법을 수행하기 위한 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록 매체.
A computer-readable recording medium on which a program for carrying out the method according to any one of claims 1 to 3, 5 and 6 is recorded.
KR1020170068572A 2017-06-01 2017-06-01 Process evaluation method based on user actions KR101790761B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170068572A KR101790761B1 (en) 2017-06-01 2017-06-01 Process evaluation method based on user actions

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170068572A KR101790761B1 (en) 2017-06-01 2017-06-01 Process evaluation method based on user actions

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020170010816A Division KR101766847B1 (en) 2017-01-24 2017-01-24 Process evaluation method based on user actions

Publications (1)

Publication Number Publication Date
KR101790761B1 true KR101790761B1 (en) 2017-10-31

Family

ID=60301556

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170068572A KR101790761B1 (en) 2017-06-01 2017-06-01 Process evaluation method based on user actions

Country Status (1)

Country Link
KR (1) KR101790761B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11809550B2 (en) 2018-11-19 2023-11-07 Samsung Electronics Co., Ltd. Electronic device and control method therefor

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100968003B1 (en) * 2003-05-17 2010-07-07 마이크로소프트 코포레이션 Mechanism for evaluating security risks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100968003B1 (en) * 2003-05-17 2010-07-07 마이크로소프트 코포레이션 Mechanism for evaluating security risks

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11809550B2 (en) 2018-11-19 2023-11-07 Samsung Electronics Co., Ltd. Electronic device and control method therefor

Similar Documents

Publication Publication Date Title
EP3490215B1 (en) Method and device for controlling service operation risk
US9614867B2 (en) System and method for detection of malware on a user device using corrected antivirus records
CN102682235B (en) The prestige inspection of executable program
US9443082B2 (en) User evaluation
CN110348188B (en) Core body checking method and device
CN103679031A (en) File virus immunizing method and device
CN103019868A (en) Testing access policies
CN109302423B (en) Vulnerability scanning capability testing method and device
KR101790761B1 (en) Process evaluation method based on user actions
KR101766847B1 (en) Process evaluation method based on user actions
US11461503B2 (en) Service processing method and apparatus
CN106203148B (en) Unauthorized data access blocking method and computing device with unauthorized data access blocking function
CN110955842A (en) Abnormal access behavior identification method and device
CN103366115A (en) Safety detecting method and device
US11218493B2 (en) Identity verification
KR20160052045A (en) A method for preventing hacking using memory monitoring in online games
US10915977B1 (en) Customer incapacity management
CN103761243A (en) Detection method and device for target document
JP2018147444A (en) Computer system for executing analysis program and method for monitoring execution of analysis program
CN111784359A (en) Multi-mode wind control grading disaster recovery method and device
WO2019185343A1 (en) Access control
CN112765598A (en) Method, device and equipment for identifying abnormal operation instruction
US8156501B2 (en) Implementing dynamic authority to perform tasks on a resource
KR102657620B1 (en) Independently driven, always-on detection in-app control method and system to prevent financial fraud
KR102625864B1 (en) Voice phishing prevention method and system using an independent, always-on detection in-app

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant