KR100874948B1 - 권한 수준 위반 프로세스 관리 장치 및 방법 - Google Patents

권한 수준 위반 프로세스 관리 장치 및 방법 Download PDF

Info

Publication number
KR100874948B1
KR100874948B1 KR1020070059544A KR20070059544A KR100874948B1 KR 100874948 B1 KR100874948 B1 KR 100874948B1 KR 1020070059544 A KR1020070059544 A KR 1020070059544A KR 20070059544 A KR20070059544 A KR 20070059544A KR 100874948 B1 KR100874948 B1 KR 100874948B1
Authority
KR
South Korea
Prior art keywords
level
information
privilege
permission
violation
Prior art date
Application number
KR1020070059544A
Other languages
English (en)
Inventor
김수용
최대식
이동현
이도훈
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070059544A priority Critical patent/KR100874948B1/ko
Priority to US12/055,381 priority patent/US8082590B2/en
Application granted granted Critical
Publication of KR100874948B1 publication Critical patent/KR100874948B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1491Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 프로세스들이 하위 권한의 객체들로부터 제공되는 정보에 의존하는지를 감시하거나 차단하기 위한 장치 및 방법에 관한 것으로서, 프로세스 내에 구성되어 프로세스가 하위 권한의 객체에 접근하는지를 감시하여 접근하는 것으로 판단되면 프로세스가 하위 권한의 객체에 접근하는 것을 경고하거나 차단하는 권한 수준 위반 프로세스 관리 장치로 구성된다. 권한 수준 위반 프로세스 관리 장치는 권한 수준 위반에 의해 발생할 수 있는 취약요소를 식별하는 역할을 수행하므로 시스템의 안전한 운영을 가능하게 하는 효과가 있다.
권한 수준 위반 프로세스 감시, 권한 수준 비교, 무결성 수준 위반(Integrity Level Violation)

Description

권한 수준 위반 프로세스 관리 장치 및 방법{APPARATUS AND METHOD TO DETECT AND CONTROL PROCESSES WHICH ACCESS LOWER PRIVILEGED OBJECT}
도 1은 본 발명의 일실시예에 따른 권한 수준 위반 프로세스 관리 장치의 구성을 나타낸 블록 구성도.
도 2는 본 발명의 일실시예에 따른 권한 수준 위반 프로세스 관리하는 과정을 나타낸 순서도.
도 3은 본 발명의 도 2에 따른 사용자 설정에 따라 위반 프로세스의 실행을 차단하거나 경고 메시지를 사용자에게 제공하는 과정을 나타낸 순서도.
<도면의 주요 부분에 대한 부호의 설명>
1000: 프로세스
1100: 권한 수준 위반 프로세스 관리 장치
1110: 프로세스 행위 감시 모듈 1120: 프로세스 정보 획득 모듈
1130: 객체 정보 획득 모듈 1140: 권한 수준 비교 모듈
1150: 위반 프로세스 처리 모듈 1200: 객체
1210: 파일 1220: 레지스트리 키
본 발명은 상위의 프로세스들이 하위 권한의 객체들로부터 제공되는 정보에 의존하는지를 감시하여 경고하거나 차단하기 위한 장치 및 방법에 관한 것이다. 여기서 프로세스라 함은 실행 중인 프로그램 혹은 그 일부를 의미하며, 객체란 프로세스가 정보의 저장, 열람, 수정, 교환 등을 위해 사용하는 매체로써 예컨대, 파일, 레지스트리 키 등이 될 수 있다.
윈도우즈 비스타(Windows Vista)가 2007년도 일반에게 공개되면서 윈도우즈 비스타의 주요 보안 메커니즘이 많은 관심을 받고 있다. 윈도우즈 비스타의 주요 보안 메커니즘 중 하나인 필수무결성제어(Mandatory Integrity Control ; MIC라 약칭함)는 파일, 폴더, 레지스트리 키와 같은 객체를 Untrusted(가장 하위 등급), Low, Medium, High, System, Installer(가장 상위 등급)로 무결성 수준(Integrity Level)을 나누고, 프로세스에도 무결성 수준을 부여한 뒤, 하위 무결성 수준의 프로세스가 상위 무결성 수준의 객체에 대한 쓰기 권한을 제한하고 있다. 물론 이와 같은 보안 메커니즘은 관점의 차이가 있을 뿐 예전부터 있어 왔다.
유닉스 환경에서도 사용자별로 등급을 나누고, 관리자 권한을 갖는 사용자는 모든 다른 사용자들의 파일에 접근 가능하지만, 일반 사용자들은 관리자 권한의 파일에 대한 접근이 제한되는 것이 일반적이다. 이와 같이 객체들을 권한 수준으로 구분하고, 프로세스는 하위 혹은 동등한 권한의 객체에 접근할 수 있도록 함으로써 객체들을 안전하게 보호하는 것은 오래된 보안 개념이다.
윈도우즈 비스타에서는 이 보안 개념에서 한 걸음 더 나아가 인터넷과 상호작용하기 때문에 보안상 큰 위협요소가 될 수 있는 웹 브라우저 등에 대해서는 웹브라우저를 실행한 사용자 권한의 객체에 대한 접근도 제한하기 위해 MIC를 도입하였다. 즉, 웹 브라우저가 어떤 취약점에 의해 공격자에게 제어권이 넘어갔다 할지라도 웹 브라우저의 무결성 수준이 Low이기 때문에 Medium 이상인 사용자 및 시스템 파일, 폴더 및 레지스트리 키에 대한 불법적인 쓰기 행위가 불가능하다.
그러나, 이런 보안 개념은 객체를 보호하기 위해 개발되었기 때문에 객체 보호에는 유용하지만 프로세스를 보호하지는 못하는 문제점이 있다. 프로세스가 접근하여 정보를 획득하는 객체들이 모두 동등한 권한의 객체들이라면 별다른 문제가 없지만, 프로세스가 하위 권한의 객체에도 접근할 수 있다는 점이 문제이다. 가령 상위 권한의 업데이트 프로세스가 업데이트 정보를 하위 권한의 파일로부터 얻어온다면, 하위 권한의 악성 프로세스가 해당 파일을 수정하여 상위 권한의 업데이트 프로세스가 악성 파일을 업데이트 파일로 오인하여 설치하도록 할 수 있다. 이를 통해 하위 권한의 악성 프로세스는 상위 권한으로 원하는 행위를 수행할 수 있으므로 불법적인 권한 상승이 발생한다. 따라서 상위 권한의 업데이트 프로세스는 하위 권한의 객체로부터 정보를 받아 올 때 반드시 정보의 유효성을 확인해야 하며, 가급적 하위 권한의 객체에 접근하지 말아야 한다. 하지만, 운영상의 미숙이나 소프트웨어 디자인상의 오류로 인해 이와 같은 문제는 항상 존재할 수 있으며, 권한 상승 취약점의 원인이 되는 문제점이 있다.
예컨대, 윈도우 비스타의 MIC는 파일, 레지스트리, 프로세스, 폴더 등 모든 주요 객체에 대해서 권한 등급을 Untrusted, Low, Medium, High, System, Installer의 등급으로 나누고, 프로세스 등급과 같거나 하위 등급의 객체에 대해 쓰기/읽기 권한을 허용한다. 즉, High 등급의 프로세스는 Untrusted, Low, Medium, High 등급의 객체에 대해서 쓰기/읽기 권한을 가진다. 하지만, Low 등급의 프로세스는 Untrusted와 Low 등급의 객체에 대해 쓰기/읽기 권한을 가지지만, Medium 이상 등급의 객체에 대해서는 읽기 권한만을 가진다.
윈도우 비스타의 MIC는 상위 등급의 객체에 대해 쓰기 권한을 제한함으로써 상위 등급의 객체를 안전하게 보호할 수 있는 장점이 있다. 그러나, 앞서 살펴본 바와 같이 읽기 권한으로 인하여 문제가 발생할 수 있다.
마찬가지로, Windows , Windows NT , Linux , Unix , OS/2 , MAC 시스템 등에서도 사용자들은 다른 수준의 권한을 가진다. 즉, 윈도우 비스타를 포함하는 모든 윈도우즈 시스템에서의 관리자(Administrator)는 유닉스 시스템에서의 루트(root)에 해당하는 최고 권한을 가지고, 윈도우즈 시스템과 유닉스 시스템에는 공통적으로 제한된 권한을 가진 일반 사용자 계정이 존재한다. 이 외에도 시스템에 따라 다양한 등급의 권한이 존재하며, 상위 권한의 사용자가 실행한 프로세스는 해당 사용자 권한으로 동작하면서 동급 혹은 하위 권한의 객체에 쓰기/읽기 등의 접근이 허용된다. 이러한 계층화된 사용자 권한 역시 하위 권한의 사용자가 실행한 프로세스로부터 상위 권한의 객체를 보호하기 위해 사용되고 있다.
그러나, 상위 권한의 프로세스가 하위 권한의 객체에 읽기 작업을 수행하는 경우에 발생하는 위험을 제거할 필요성이 있다.
한편, 본 발명에서는 상대적으로 상위 권한의 프로세스가 하위 권한의 객체에 접근하는 경우를 권한 수준 위반으로 정의하고 해당 프로세스를 권한 수준 위반 프로세서로 기술한다.
따라서 본 발명은 상술한 종래의 문제점을 해결하고 상술한 필요성을 충족시키기 위하여 제안된 것으로서, 그 목적은 프로세스가 하위 권한의 객체로부터 변조된 정보를 획득하여 악의적인 행위를 수행하는 것을 방지하기 위해서 상위 권한의 프로세스가 하위 권한의 객체에 접근하는 것을 감시하여 탐지하고, 경우에 따라서는 접근을 차단하기 위한 권한 수준 위반 프로세스 관리 장치 및 방법을 제공하는 데에 있는 것이다.
또한, 본 발명은 상위 권한의 사용자가 실행한 프로세스가 하위 권한의 객체에 읽기 작업을 수행하는지를 탐지하고, 차단함으로써 상위 권한으로 동작하는 프로세스가 하위 원한의 객체 내용을 바탕으로 특정 작업을 수행하는 위험을 제거하는 권한 수준 위반 프로세스 관리 장치 및 방법을 제공하는 데에 있는 것이다.
따라서, 상기한 목적을 달성하기 위한 권한 수준 위반 프로세스 관리 장치는, 프로세스로부터 상기 객체로의 접근을 탐지하는 프로세스 행위 감시 모듈과, 프로세스 행위 감시 모듈에 의해 구동되어 프로세스 정보를 획득하는 프로세스 정보 획득 모듈과, 프로세스 행위 감시 모듈에 의해 구동되어 객체 정보를 획득하는 객체 정보 획득 모듈과, 프로세스 정보 획득 모듈과 상기 객체 정보 획득 모듈에 의해 획득된 각각의 프로세스 정보 및 객체 정보를 취합하여 상기 프로세스와 상기 객체 간의 권한 수준을 비교하는 권한 수준 비교 모듈과, 프로세스 권한이 객체 권한보다 높을 때에 구동되어 상기 프로세스의 실행을 차단하거나 경고 메시지를 사용자에게 제공하는 위반 프로세스 처리 모듈로 구성되는 것을 특징으로 한다.
또한, 본 발명의 권한 수준 위반 프로세스 관리 방법은, 상기 프로세스가 상위 권한인 경우에 상대적으로 하위 권한의 상기 객체에 접근하는지의 여부를 판단하는 판단단계와, 객체에 접근한 상기 프로세스의 프로세스 정보를 획득하는 제1 획득단계와, 객체의 객체 정보를 획득하는 제2 획득단계와, 제1 획득단계 및 상기 제2 획득단계에서 획득한 각각의 상기 프로세스 정보 및 상기 객체 정보에서 권한 수준을 비교하여 상기 프로세스의 권한이 상기 객체의 권한보다 높은지의 여부를 판단하는 권한수준 판단단계와, 권한수준 판단단계에서 판단하여 상기 프로세스의 권한이 상기 객체의 권한보다 높은 경우에는 사용자 설정에 따라 상기 프로세스의 실행을 차단 또는 경고 메시지를 출력하는 차단단계로 구성되는 것을 특징으로 한다.
이하, 첨부된 도면을 참조하여 본 발명의 구성에 대하여 보다 상세하게 설명하기로 한다.
도 1은 본 발명의 일실시예에 따른 권한 수준 위반 프로세스 관리 장치의 구 성을 나타낸 블록 구성도이다.
도 1을 참조하여 보면, 본 발명의 구성은 크게 프로세스(1000)와 객체(1200)로 구성되며, 프로세스(1000) 내에서는 프로세스(1000)의 권한 수준 위반을 관리하는 권한 수준 위반 프로세스 관리 장치(1100)가 구성된다. 권한 수준 위반 프로세스 관리장치(1100)는 프로세스 행위 감시 모듈(1110), 프로세스 정보 획득 모듈(1120), 객체 정보 획득 모듈(1130), 권한 수준 비교 모듈(1140) 및 위반 프로세스 처리 모듈(1150)로 구성된다.
한편, 객체(1200)는 다수의 파일(1210) 및 다수의 레지스트리 키(1220)로 구성된다.
먼저, 프로세스 행위 감시 모듈(1110)은 시스템에 존재하는 특정 프로세스나 전체 프로세스(1000)가 객체(1200)에 접근하는지를 감시한다. 이때, 프로세스(1000)가 객체(1200)에 접근한다는 것은 일반적으로 프로세스(1000)가 객체(1200)를 읽기하는 것을 의미한다.
프로세스(1000)로부터 객체(1200)로의 접근을 탐지하면, 프로세스 행위 감시 모듈(1110)이 프로세스 정보 획득 모듈(1120)을 구동시켜 해당 프로세스 정보를 획득한다. 여기서 획득하는 프로세스 정보는 프로세스(1000)의 권한 수준에 관한 정보와 프로세스(1000)의 이름과 경로명 등에 관한 일반 정보를 포함한다. 프로세스 행위 감시 모듈(1110)은 객체 정보 획득 모듈(1130)도 동시에 구동시킨다. 프로세스 행위 감시 모듈(1110)에 의해 구동된 객체 정보 획득 모듈(1130)은 해당 객체(1200)의 권한 수준에 관한 정보와 객체(1200)의 이름과 경로명 등에 관한 객체 정보를 획득한다.
프로세스 정보 획득 모듈(1120)과 객체 정보 획득 모듈(1130)에 의해 획득된 각각의 프로세스 정보 및 객체 정보는 권한 수준 비교 모듈(1140)로 전송되어 취합된다. 권한 수준 비교 모듈(1140)은 프로세스 정보 및 객체 정보를 이용하여 프로세스(1000)와 객체(1200) 간의 권한 수준을 비교하여 프로세스(1000) 권한이 객체(1200) 권한보다 더 높을 때만 위반 프로세스 처리 모듈(1150)을 구동시킨다.
프로세스 권한과 객체 권한이 동일하거나 프로세스 권한이 객체 권한보다 낮다면, 권한 상승이 발생할 위험이 없기 때문에 추가적인 작업은 불필요하므로 위반 프로세스 처리 모듈(1150)은 동작하지 않는다.
위반 프로세스 처리 모듈(1150)은 프로세스 권한이 프로세스(1000)가 접근하는 객체 권한보다 높다면, 사용자 설정에 따라 위반 프로세스의 실행을 차단하거나 단순한 경고 메시지를 사용자에게 제공한다. 이때, 경고 메시지를 출력하는 경우에는 위반 프로세스 처리 모듈(1150)이 제공하는 경고 메시지에는 권한 위반 프로세스의 이름과 경로명, 접근하려는 객체의 이름과 경로명, 그리고 해당 프로세스와 객체(1200)의 권한 수준이 표시된다. 사용자는 경고 메시지를 통해 특정 프로세스가 하위 객체(1200)에 접근함을 탐지하고, 설정에 따라 프로세스(1000)가 객체(1200)에 접근하는 것을 차단 또는 허용할 수 있다.
한편, 본 발명에서 권한 수준은 윈도우즈 비스타의 MIC, Windows , Windows NT , Linux , Unix , OS/2 , MAC OS 등에서 사용되는 다중 등급의 사용자 권한 계층화를 통칭해서 사용한다. 즉, 본 발명은 모든 권한 수준이 설정된 모든 운영체제 에서 권한 수준에 따라 하위의 객체에 상위의 프로세스가 접근하여 읽기하고자 하는 모든 경우에 적용 가능하다. 여기서 객체(1200)는 파일(1210)이나 레지스트리 키(1220)와 같이 특정 정보를 저장할 수 있고 고유의 권한 수준을 가진 매체를 말한다.
도 2는 본 발명의 일실시예에 따른 권한 수준 위반 프로세스 관리하는 과정을 나타낸 순서도이다.
도 2를 참조하여 보면, 권한 수준 위반 프로세스 관리 장치(1100) 내의 프로세스 행위 감시 모듈(1110)은 시스템에 존재하는 특정 프로세스나 전체 프로세스(1000)가 객체(1200)에 접근하는지의 여부를 판단한다(S210). 여기서 접근은 읽기를 의미한다.
S210에서 판단하여 특정 프로세스나 전체 프로세스(1000) 들이 특정 객체(1200)에 접근하는 것으로 판단되면, 프로세스 행위 감시 모듈(1110)이 프로세스 정보 획득 모듈(1120) 및 객체 정보 획득 모듈(1130)을 구동시킨다(S220).
S210에서 판단하여 특정 프로세스나 전체 프로세스(1000) 들이 특정 객체(1200)에 접근하지 않는 것으로 판단되면, S210으로 리턴하여 대기상태로 있는다.
프로세스 정보 획득 모듈(1120)은 해당 객체(1200)에 접근한 해당 프로세스(1000)의 정보를 획득한다(S230). 여기서, S230에서 획득하는 프로세스 정보는 프로세스(1000)의 권한 수준에 관한 정보와 프로세스(1000)의 이름과 경로명 등에 관한 일반 정보를 포함한다.
또한, 객체 정보 획득 모듈(1130)은 해당 객체(1200)의 권한 수준에 관한 정보와 객체(1200)의 이름과 경로명 등에 관한 정보를 포함하는 객체 정보를 획득한다(S240).
S230 및 S240에서 획득한 해당 프로세스 정보 및 객체 정보를 권한 수준 비교 모듈(1140)로 전송하여 권한 수준 비교 모듈(1140)이 프로세스 정보 및 객체 정보를 취합하도록 한다(S250).
권한 수준 비교 모듈(1140)은 프로세스 정보와 객체 정보 간의 권한 수준을 비교하여 프로세스(1000)의 권한이 객체(1200)의 권한보다 높은지의 여부를 판단한다(S260).
S260에서 판단하여 프로세스(1000)의 권한이 객체(1200)의 권한보다 낮거나, 또는 동일한 경우에는 권한 상승이 발생할 위험이 없기 때문에 추가적인 작업은 불필요하며 따라서, S210으로 진행한다.
S260에서 판단하여 프로세스(1000)의 권한이 객체(1200)의 권한보다 높은 경우에는 위반 프로세스 처리 모듈(1150)을 구동한다(S270).
S270으로부터 진행하여 프로세스(1000)의 권한이 프로세스가 접근하는 객체(1200)의 권한보다 높다면, 위반 프로세스 처리 모듈(1150)은 사용자 설정에 따라 위반 프로세스(1000)의 실행을 차단하거나 경고 메시지를 사용자에게 제공한다(S280).
도 3은 본 발명의 도 2에 따른 사용자 설정에 따라 위반 프로세스의 실행을 차단하거나 경고 메시지를 사용자에게 제공하는 과정을 나타낸 순서도이다.
프로세스(1000)의 권한이 프로세스가 접근하는 객체(1200)의 권한보다 높다면, 기설정된 사용자 설정이 위반 프로세스의 차단 상태인지의 여부를 판단한다(S310).
S310에서 판단하여 기설정된 사용자 설정이 위반 프로세스의 차단 상태인 경우면, 프로세스를 차단하고(S320) 종료한다.
S310에서 판단하여 기설정된 사용자 설정이 위반 프로세스의 차단 상태가 아닌 경우면 경고 메시지 제공으로 설정되어 있는지의 여부를 판단한다(S330).
S330에서 판단하여 프로세스 위반에 대한 경고 메시지 제공으로 설정되어 있는 경우면, 해당 경고 메시지를 사용자에게 제공한다(S340).
S330에서 판단하여 프로세스 위반에 대한 경고 메시지 제공으로 설정되어 있지 않은 경우면, S350으로 진행한다.
이때, 경고 메시지를 출력하는 경우에는 위반 프로세스 처리 모듈(1150)이 제공하는 경고 메시지에는 권한 위반 프로세스의 이름과 경로명, 접근하려는 객체의 이름과 경로명, 그리고 해당 프로세스와 객체의 권한 수준이 표시된다. 사용자는 경고 메시지를 통해 특정 프로세스가 하위 객체에 접근함을 탐지하고, 설정에 따라 차단 또는 허용할 수 있다.
위반 프로세스 처리 모듈(1150)은 S340으로부터 진행하여 사용자에게 해당 프로세스(1000)가 해당 객체(1200)로의 접근을 허용할 지의 여부를 문의하고 그에 대한 허용 여부를 입력받는다(S350).
위반 프로세스 처리 모듈(1150)은 S350에서 사용자 입력 결과 해당 프로세 스(1000)가 해당 객체(1200)로의 접근을 허용하는지의 여부를 판단한다(S360).
이때, S360에서의 입력시에 사용자는 해당 객체의 위험성 및 해당 프로세스의 중요성 여부를 복합적으로 판단하여 해당 프로세스(1000)가 해당 객체로 접근을 허용할지의 여부를 판단한다. 그 판단결과 안전하다고 판단되면, 사용자는 해당 프로세스(1000)가 해당 객체로 접근, 즉 읽기를 허용하고 해당 객체가 위험하다고 판단되면, 접근, 즉 읽기를 못하도록 한다.
S360에서 판단하여 사용자가 해당 프로세스가 해당 객체로 접근을 허용한 경우면, 위반 프로세스 처리 모듈(1150)은 해당 프로세스(1000)를 객체(1200)에 접근시켜 프로세스를 실행한다(S370).
또는, S360에서 판단하여 사용자가 해당 프로세스가 해당 객체로 접근을 허용하지 않은 경우면, 위반 프로세스 처리 모듈(1150)은 해당 프로세스(1000)가 객체(1200)에 접근하는 것을 차단시킨다(S380).
이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
이상에 설명한 바와 같이 본 발명은 권한 수준 위반 프로세스 관리 장치를 이용하여 시스템 내에서 상위 권한의 프로세스가 하위 권한의 객체에 접근하는 시도를 탐지하여 상위 권한의 프로세스가 하위 권한의 객체에서 얻은 정보를 신뢰할 경우 상위 권한의 프로세스는 하위 권한의 프로세스에 의해 악용될 가능성이 있으므로, 권한 수준 위반 프로세스 관리 장치는 권한 수준 위반에 의해 발생할 수 있는 취약요소를 식별하는 역할을 수행하여 시스템의 안전한 운영을 가능하게 하는 효과가 있다.
또한, 본 발명은 식별된 권한 수준 위반 프로세스가 하위 권한의 객체에 접근하는 시도를 차단함으로써 원천적으로 취약요소들을 배제할 수 있는 효과가 있다.
또한, 본 발명은 이벤트 또는 경고를 통해 경고가 누적되어 있는 파일 또는 레지스트리 키에 대하여 위험을 인지할 수 있으므로 권한상승에 의한 공격에 대응할 수 있는 효과가 있다.

Claims (11)

  1. 프로세스가 객체에 접근하는 경우의 권한 수준을 제어하는 권한 수준 위반 프로세스 관리 장치로서,
    상기 프로세스로부터 상기 객체로의 접근을 탐지하는 프로세스 행위 감시 모듈과;
    상기 프로세스 행위 감시 모듈에 의해 구동되어 프로세스 정보를 획득하는 프로세스 정보 획득 모듈과;
    상기 프로세스 행위 감시 모듈에 의해 구동되어 객체 정보를 획득하는 객체 정보 획득 모듈과;
    상기 프로세스 정보 획득 모듈과 상기 객체 정보 획득 모듈에 의해 획득된 각각의 프로세스 정보 및 객체 정보를 취합하여 상기 프로세스와 상기 객체 간의 권한 수준을 비교하는 권한 수준 비교 모듈과;
    상기 프로세스의 권한 수준이 객체 권한 수준보다 높을 때에 구동되어 상기 프로세스의 실행을 차단하거나 경고 메시지를 사용자에게 제공하는 위반 프로세스 처리 모듈로 이루어지는 것을 특징으로 하는 권한 수준 위반 프로세스 관리 장치.
  2. 제1항에 있어서,
    권한 수준이 높은 프로세스가 권한 수준이 낮은 객체로의 접근은 읽기인 것을 특징으로 하는 권한 수준 위반 프로세스 관리 장치.
  3. 제1항에 있어서,
    상기 프로세스 정보는 상기 프로세스의 권한 수준에 관한 정보와 상기 프로세스의 이름과 경로명인 것을 특징으로 하는 권한 수준 위반 프로세스 관리 장치.
  4. 제1항에 있어서,
    상기 객체 정보는 상기 객체의 권한 수준에 관한 정보, 상기 객체의 이름 및 경로명인 것을 특징으로 하는 권한 수준 위반 프로세스 관리 장치.
  5. 제4항에 있어서,
    프로세스의 권한 수준과 객체의 권한 수준이 동일하거나 프로세스의 권한 수준과 객체의 권한 수준보다 낮은 경우에는 상기 위반 프로세스 처리 모듈을 동작시키지 않는 것을 특징으로 하는 권한 수준 위반 프로세스 관리 장치.
  6. 제1항에 있어서,
    상기 경고 메시지를 출력하는 경우에 상기 위반 프로세스 처리 모듈이 제공하는 경고 메시지에는 권한 위반 프로세스의 이름과 경로명, 접근하려는 객체의 이름과 경로명 및 상기 프로세스의 권한 수준과 상기 객체의 권한 수준을 포함하는 것을 특징으로 하는 권한 수준 위반 프로세스 관리 장치.
  7. 프로세스가 객체에 접근하는 경우의 권한 수준을 제어하는 권한 수준 위반 프로세스 관리 방법으로서,
    상기 프로세스가 상기 객체에 접근하는지의 여부를 판단하는 판단단계와;
    상기 프로세스의 프로세스 정보를 획득하는 제1 획득단계와;
    상기 객체의 객체 정보를 획득하는 제2 획득단계와;
    상기 제1 획득단계 및 상기 제2 획득단계에서 획득한 각각의 상기 프로세스 정보 및 상기 객체 정보에서 권한 수준을 비교하여 상기 프로세스의 권한 수준이 상기 객체의 권한 수준보다 높은지의 여부를 판단하는 권한수준 판단단계와;
    상기 권한수준 판단단계에서 판단하여 상기 프로세스의 권한 수준이 상기 객체의 권한 수준보다 높은 경우에는 사용자 설정에 따라 상기 프로세스의 실행을 차단 또는 경고 메시지를 출력하는 차단단계로 이루어진 것을 특징으로 하는 권한 수준 위반 프로세스 관리 방법.
  8. 제7항에 있어서,
    권한 수준이 높은 프로세스가 권한 수준이 낮은 객체에 접근은 읽기인 것을 특징으로 하는 권한 수준 위반 프로세스 관리 방법.
  9. 제7항에 있어서,
    상기 프로세스 정보는 상기 프로세스의 권한 수준에 관한 정보, 상기 프로세스의 이름 및 경로명을 포함하는 것을 특징으로 하는 권한 수준 위반 프로세스 관리 방법.
  10. 제7항에 있어서,
    상기 객체 정보는 상기 객체의 권한 수준에 관한 정보, 객체의 이름 및 경로명을 포함하는 것을 특징으로 하는 권한 수준 위반 프로세스 관리 방법.
  11. 제7항에 있어서,
    상기 경고 메시지를 출력하는 경우에 상기 경고 메시지에는 권한 위반 프로세스의 이름과 경로명, 접근하려는 객체의 이름과 경로명 및 상기 프로세스의 권한 수준와 상기 객체의 권한 수준을 포함하는 것을 특징으로 하는 권한 수준 위반 프로세스 관리 방법.
KR1020070059544A 2007-06-18 2007-06-18 권한 수준 위반 프로세스 관리 장치 및 방법 KR100874948B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070059544A KR100874948B1 (ko) 2007-06-18 2007-06-18 권한 수준 위반 프로세스 관리 장치 및 방법
US12/055,381 US8082590B2 (en) 2007-06-18 2008-03-26 Apparatus and method of detecting and controlling privilege level violation process

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070059544A KR100874948B1 (ko) 2007-06-18 2007-06-18 권한 수준 위반 프로세스 관리 장치 및 방법

Publications (1)

Publication Number Publication Date
KR100874948B1 true KR100874948B1 (ko) 2008-12-19

Family

ID=40133439

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070059544A KR100874948B1 (ko) 2007-06-18 2007-06-18 권한 수준 위반 프로세스 관리 장치 및 방법

Country Status (2)

Country Link
US (1) US8082590B2 (ko)
KR (1) KR100874948B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102251426B1 (ko) * 2021-02-18 2021-05-12 조명희 맞춤형 예산 관리 시스템

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9418219B2 (en) * 2008-04-11 2016-08-16 Microsoft Technology Licensing, Llc Inter-process message security
US8886672B2 (en) * 2009-03-12 2014-11-11 International Business Machines Corporation Providing access in a distributed filesystem
US9043877B2 (en) * 2009-10-06 2015-05-26 International Business Machines Corporation Temporarily providing higher privileges for computing system to user identifier
US20110289294A1 (en) * 2009-12-14 2011-11-24 Manabu Maeda Information processing apparatus
KR101277516B1 (ko) 2010-11-03 2013-07-30 주식회사 안랩 프로세스 외부 접근 차단 장치와 방법 및 컴퓨터 프로그램이 기록된 기록매체
US9183391B2 (en) * 2013-03-13 2015-11-10 Intel Corporation Managing device driver cross ring accesses
US9426226B2 (en) 2013-05-03 2016-08-23 Secureworks Corp. System and method for as needed connection escalation
US9876804B2 (en) 2013-10-20 2018-01-23 Cyber-Ark Software Ltd. Method and system for detecting unauthorized access to and use of network resources
US9712548B2 (en) 2013-10-27 2017-07-18 Cyber-Ark Software Ltd. Privileged analytics system
US9497206B2 (en) 2014-04-16 2016-11-15 Cyber-Ark Software Ltd. Anomaly detection in groups of network addresses
CN105224868B (zh) * 2014-06-03 2019-07-23 腾讯科技(深圳)有限公司 系统漏洞攻击的检测方法及装置
US9565203B2 (en) * 2014-11-13 2017-02-07 Cyber-Ark Software Ltd. Systems and methods for detection of anomalous network behavior
US10965622B2 (en) 2015-04-16 2021-03-30 Samsung Electronics Co., Ltd. Method and apparatus for recommending reply message
GB2539435B8 (en) 2015-06-16 2018-02-21 Advanced Risc Mach Ltd Data processing memory access control, in which an owning process for a region of memory is specified independently of privilege level
GB2539436B (en) 2015-06-16 2019-02-06 Advanced Risc Mach Ltd Secure initialisation
GB2539428B (en) 2015-06-16 2020-09-09 Advanced Risc Mach Ltd Data processing apparatus and method with ownership table
GB2539433B8 (en) * 2015-06-16 2018-02-21 Advanced Risc Mach Ltd Protected exception handling
GB2539429B (en) 2015-06-16 2017-09-06 Advanced Risc Mach Ltd Address translation
US11782713B1 (en) * 2019-08-27 2023-10-10 Amazon Technologies, Inc. Security vulnerability mitigation using address space co-execution
US11977496B1 (en) 2022-09-29 2024-05-07 Amazon Technologies, Inc. Security vulnerability mitigation using hardware-supported context-dependent address space hiding

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040143749A1 (en) * 2003-01-16 2004-07-22 Platformlogic, Inc. Behavior-based host-based intrusion prevention system
US7600117B2 (en) * 2004-09-29 2009-10-06 Panasonic Corporation Mandatory access control scheme with active objects
KR100772455B1 (ko) 2005-06-22 2007-11-01 한국전자통신연구원 Dac 강화를 위한 프로세스 분류/실행 제어 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102251426B1 (ko) * 2021-02-18 2021-05-12 조명희 맞춤형 예산 관리 시스템

Also Published As

Publication number Publication date
US8082590B2 (en) 2011-12-20
US20080313417A1 (en) 2008-12-18

Similar Documents

Publication Publication Date Title
KR100874948B1 (ko) 권한 수준 위반 프로세스 관리 장치 및 방법
CN109923548B (zh) 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品
US11947688B2 (en) Secure computing system
US9665708B2 (en) Secure system for allowing the execution of authorized computer program code
US10162975B2 (en) Secure computing system
EP3699794A1 (en) System and method for detecting exploitation of a component connected to an in-vehicle network
US9697361B2 (en) System and method of controlling opening of files by vulnerable applications
Bencsáth et al. Duqu: Analysis, detection, and lessons learned
US20100011200A1 (en) Method and system for defending security application in a user&#39;s computer
KR20140033349A (ko) 가상 머신 모니터 기반 안티 악성 소프트웨어 보안 시스템 및 방법
CN103455756B (zh) 一种基于可信计算的进程控制方法
KR20190021673A (ko) 랜섬웨어 방지 장치 및 방법
WO2020187206A1 (zh) 一种基于固态盘主控的可信计算系统实现方案
Intel
Powers et al. Whitelist malware defense for embedded control system devices
Flatley Rootkit Detection Using a Cross-View Clean Boot Method
KR101616702B1 (ko) 코드사인을 이용한 소프트웨어 관리방법
KR101482903B1 (ko) 데이터 유출 방지 방법, 서버 장치, 및 클라이언트 장치
US20200401712A1 (en) Command line interface replacement for security purposes
Treaster et al. Detection of privilege escalation for linux cluster security
Velten et al. Active File Integrity Monitoring Using Paravirtualized Filesystems
CN117235818A (zh) 基于固态硬盘的加密认证方法、装置、计算机设备及介质
Geiger et al. Hardware-based whitelisting for automated test system cybersecurity and configuration management

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121011

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130930

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140916

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20161004

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170918

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20181002

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20190925

Year of fee payment: 12