KR101039551B1 - 은닉 프로세스 모니터링 방법 및 시스템 - Google Patents

은닉 프로세스 모니터링 방법 및 시스템 Download PDF

Info

Publication number
KR101039551B1
KR101039551B1 KR1020080101044A KR20080101044A KR101039551B1 KR 101039551 B1 KR101039551 B1 KR 101039551B1 KR 1020080101044 A KR1020080101044 A KR 1020080101044A KR 20080101044 A KR20080101044 A KR 20080101044A KR 101039551 B1 KR101039551 B1 KR 101039551B1
Authority
KR
South Korea
Prior art keywords
information
work window
detected
application layer
hidden
Prior art date
Application number
KR1020080101044A
Other languages
English (en)
Other versions
KR20100041971A (ko
Inventor
김치겸
Original Assignee
(주)씨디네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)씨디네트웍스 filed Critical (주)씨디네트웍스
Priority to KR1020080101044A priority Critical patent/KR101039551B1/ko
Priority to PCT/KR2009/005931 priority patent/WO2010044616A2/ko
Publication of KR20100041971A publication Critical patent/KR20100041971A/ko
Application granted granted Critical
Publication of KR101039551B1 publication Critical patent/KR101039551B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

은닉 프로세스 모니터링 방법 및 시스템이 개시된다. 본 발명의 바람직한 일 실시예에 따르면, 응용 계층에서의 프로세스를 검출하고, 응용 계층에서의 작업창 정보를 검출하여, 검출된 응용 계층에서의 프로세스 정보와 작업창 정보를 비교하여 작업창 정보만이 검출된 프로세스를 은닉 프로세스로 판단한다.
본 발명에 따르면, 커널 계층으로부터 정보를 획득하지 않고도 은닉 프로세스를 검출할 수 있는 장점이 있다.
은닉, 프로세스, 응용계층, 어플리케이션, 커널, 윈도우, 작업창

Description

은닉 프로세스 모니터링 방법 및 시스템{Method and system for monitoring hidden process}
본 발명은 은닉 프로세스 모니터링 방법 및 시스템에 관한 것으로서, 보다 상세하게는 해킹 등의 불순한 목적으로 사용자 컴퓨터 등의 시스템 내에서 실행되고 있는 은닉 프로세스의 존재 여부를 알아낼 수 있는 은닉 프로세스 모니터링 방법 및 시스템에 관한 것이다.
은닉 프로세스(hidden process)는 해킹 등의 불순한 목적으로 사용자 컴퓨터 등의 시스템 내에서 사용자가 인식할 수 없도록 실행되고 있는 프로세스이다.
그러나 은닉 프로세스는 응용(application) 계층에서 어떠한 정보도 나타나지 않기 때문에 사용자는 프로세스 정보 프로그램인 작업 관리자를 통해서 은닉 프로세스의 존재 여부를 알 수 없다.
이러한 문제점을 해결하기 종래에는 응용 계층에서 나타내는 프로세스 정보와 커널(kernel) 계층에서 나타내는 프로세스 정보를 비교하여 은닉 프로세스를 검출 하는 은닉 프로세스 모니터링 방법이 사용되었다.
이러한 종래의 은닉 프로세스 모니터링 방법을 도 1을 참조하여 살펴보기로 한다.
도 1에 도시된 바와 같이 종래의 은닉 프로세스 모니터링 방법은 먼저 커널 계층에서의 프로세스를 모니터링 한다(S100).
커널 계층의 프로세스를 모니터링하는 것은 은닉 프로세스가 응용 계층에서 어떠한 정보를 제공하지 않지만, 해당 프로세스를 실행하기 위해 시스템의 커널 계층에서 시스템의 자원을 할당받아야 하기 때문에 일반 프로세스와 같이 시스템의 커널 계층에서는 그 정보를 공개할 수밖에 없기 때문에 커널 계층의 프로세스를 모니터링하는 것이다.
그리고 응용 계층에서의 프로세스를 모니터링하여(S102) 커널 계층의 프로세스와 응용 계층의 프로세스를 비교한다(S104).
비교 결과 커널 계층에서는 검출되었으나 응용 계층에서는 검출되지 않는 프로세스가 은닉 프로세스가 되므로 이를 이용하여 은닉 프로세스를 검출하게 되는 것이다(S106).
응용 계층에서의 프로세스를 검출하는 것은 우리가 널리 사용하는 윈도우 운영체제의 작업 관리자 등을 통해 용이하게 획득할 수 있다.
그러나, 커널 계층은 컴퓨터의 운영체계(OS: Operating System)의 중요한 부분으로서 운용체계의 다른 모든 부분들의 기능에 중요한 역할을 수행하는 부분이므로 철저하게 보호되어 있다.
종래의 은닉 프로세스의 탐지를 위한 다양한 기술들은 커널 계층과 응용 계층의 프로세스의 비교라는 특징을 그대로 이용하되, 커널 계층의 프로세스를 탐지하는 것은 용이하지 않으므로 보다 효과적으로 커널 계층의 프로세스를 탐지하는 방법을 중심으로 개발되고 있다.
예를 들면, 은닉 프로세스를 탐지하기 위해 커널 계층에서 제공되는 실시간 시스템 자원 접근시 제공되는 시스템 이벤트 정보를 이용하거나 커널 계층에 접근할 수 있는 프로세스 링크 정보를 이용하는 방법 등을 제안하고 있다.
그러나 이러한 종래의 은닉 프로세스 모니터링 방법들도 커널 계층에 접근하여 커널 계층으로부터 프로세스 정보 등을 검출하여야만 한다.
따라서 커널 계층에 접근하여 커널 계층으로부터 프로세스 정보 등의 정보를 획득하는 것 자체가 용이하지 않은 문제점이 있다.
상기한 바와 같은 종래의 문제점을 해결하기 위해, 본 발명은 커널 계층으로부터 정보를 획득하지 않고도 은닉 프로세스를 검출할 수 있는 은닉 프로세스 모니터링 방법 및 시스템을 제안하는 것이다.
본 발명의 또 다른 목적들은 이하의 실시예에 대한 설명을 통해 쉽게 이해될 수 있을 것이다.
상기한 바와 같은 목적을 달성하기 위해, 본 발명의 일 측면에 따르면 은닉 프로세스 모니터링 방법이 제공된다.
본 발명의 바람직한 일 실시예에 따르면, 은닉 프로세스의 모니터링 방법에 있어서, 응용 계층에서의 프로세스를 검출하는 단계(a); 상기 응용 계층에서의 작업창 정보를 검출하는 단계(b); 및 상기 검출된 응용 계층에서의 프로세스 정보와 작업창 정보를 비교하여 상기 작업창 정보만이 검출된 프로세스를 은닉 프로세스로 판단하는 단계(c)를 포함하는 것을 특징으로 하는 은닉 프로세스 모니터링 방법이 제공된다.
상기 단계(b)는 작업창 검출 API(Application Program Interface)를 이용하여 수행될 수 있으며, 상기 작업창 검출 API는 어플리케이션(application)과 연관된 모든 트리 구조의 정보를 검색함으로써 작업창 정보를 검출할 수 있다.
상기 작업창 검출 API는 프로그램 관련 모든 루틴 정보를 검색함으로써 작업창 정보를 검출할 수 있다.
상기 단계(a) 및 상기 단계(b)는 상기 응용 계층에서의 프로세스 리스트 및 상기 응용 계층에서의 작업창 정보에 대한 각각의 리스트를 생성하고, 상기 단계(c)는 상기 생성된 각각의 리스트를 비교하여 수행될 수 있다.
상기 단계(c)는 은닉 프로세스로 판단된 프로세스를 중단시키는 단계를 더 포함할 수 있다.
본 발명의 바람직한 다른 일 실시예에 따르면, 은닉 프로세스의 모니터링 방법에 있어서, 응용 계층에서의 작업창 정보를 검출하는 단계(a); 상기 검출된 작업창 정보에 상응하는 프로세스 정보가 검출되는지 판단하는 단계(b); 및 상기 프로세스 정보가 검출되지 않는 경우 상기 프로세스 정보가 검출되지 않는 작업창 정보와 관련된 프로세스를 은닉 프로세스로 판단하는 단계(c)를 포함하는 것을 특징으로 하는 은닉 프로세스 모니터링 방법이 제공된다.
상기 단계(b)는 작업창 검출 API(Application Program Interface)를 이용하여 수행될 수 있으며, 상기 작업창 검출 API는 어플리케이션(application)과 연관된 모든 트리 구조의 정보를 검색함으로써 작업창 정보를 검출할 수 있다.
상기 작업창 검출 API는 프로그램 관련 모든 루틴 정보를 검색함으로써 작업창 정보를 검출할 수 있다.
상기 단계(c)는 은닉 프로세스로 판단된 프로세스를 중단시키는 단계를 더 포함할 수 있다.
본 발명의 다른 측면에 의하면, 은닉 프로세스 모니터링 시스템이 제공된다.
본 발명의 바람직한 일 실시예에 따르면, 은닉 프로세스의 모니터링 시스템에 있어서, 응용 계층에서의 프로세스를 검출하는 프로세스 모니터링부; 상기 응용 계층에서의 작업창 정보를 검출하는 작업창 모니터링부; 및 상기 검출된 응용 계층에서의 프로세스 정보와 작업창 정보를 비교하는 비교부를 포함하여, 상기 작업창 정보만이 검출된 프로세스를 은닉 프로세스로 판단하는 것을 특징으로 하는 은닉 프 로세스 모니터링 시스템이 제공된다.
상기 작업창 모니터링부는 작업창 검출 API(Application Program Interface)를 이용하여 상기 응용 계층에서의 작업창 정보를 검출할 수 있으며, 상기 작업창 검출 API는 어플리케이션(application)과 연관된 모든 트리 구조의 정보를 검색함으로써 작업창 정보를 검출할 수 있다.
상기 프로세스 모니터링부 및 상기 작업창 모니터링부는 상기 응용 계층에서의 프로세스 리스트 및 상기 응용 계층에서의 작업창 정보에 대한 각각의 리스트를 생성하고, 상기 비교부는 상기 생성된 각각의 리스트를 이용하여 상기 응용 계층에서의 프로세스 정보와 작업창 정보를 비교할 수 있다.
상기 은닉 프로세스 모니터링 시스템은, 상기 비교부의 비교에 의해 은닉 프로세스로 판단된 프로세스를 중단시키는 은닉 프로세스 차단부를 더 포함할 수 있다.
본 발명의 바람직한 다른 일 실시예에 따르면, 은닉 프로세스의 모니터링 시스템에 있어서, 상기 응용 계층에서의 작업창 정보를 검출하는 작업창 모니터링부; 및 상기 검출된 작업창 정보에 상응하는 프로세스 정보가 검출하는 프로세스 모니터링부를 포함하여, 상기 프로세스 모니터링부에서 상기 검출된 작업창 정보에 상응하는 프로세스 정보가 검출되지 않는 경우 상기 프로세스 정보가 검출되지 않는 작업창 정보와 관련된 프로세스를 은닉 프로세스로 판단하는 것을 특징으로 하는 은닉 프로세스 모니터링 시스템이 제공된다.
상기 작업창 모니터링부는 작업창 검출 API(Application Program Interface)를 이용하여 상기 응용 계층에서의 작업창 정보를 검출할 수 있으며, 상기 작업창 검출 API는 어플리케이션(application)과 연관된 모든 트리 구조의 정보를 검색함으로써 작업창 정보를 검출할 수 있다.
상기 은닉 프로세스 모니터링 시스템은, 상기 비교부의 비교에 의해 은닉 프로세스로 판단된 프로세스를 중단시키는 은닉 프로세스 차단부를 더 포함할 수 있다.
본 발명의 다른 측면에 의하면, 은닉 프로세스 모니터링 방법을 구현하기 위한 프로그램을 기록한 기록매체가 제공된다.
본 발명의 바람직한 일 실시예에 따르면, 은닉 프로세스의 모니터링 방법이 구현되도록, 디지털 처리 장치에 의해 실행될 수 있는 명령어들의 프로그램이 구현되어 있으며 상기 디지털 처리 장치에 의해 판독될 수 있는 프로그램을 기록한 기록매체에 있어서, 응용 계층에서의 프로세스를 검출하는 단계(a); 상기 응용 계층에서의 작업창 정보를 검출하는 단계(b); 및 상기 검출된 응용 계층에서의 프로세스 정보와 작업창 정보를 비교하여 상기 작업창 정보만이 검출된 프로세스를 은닉 프로세스로 판단하는 단계(c)를 포함하는 것을 특징으로 하는 은닉 프로세스 모니터링 방법을 구현하기 위한 프로그램을 기록한 기록매체가 제공된다.
상기 단계(b)는 작업창 검출 API(Application Program Interface)를 이용하여 수행될 수 있으며, 상기 작업창 검출 API는 어플리케이션(application)과 연관된 모든 트리 구조의 정보를 검색함으로써 작업창 정보를 검출할 수 있다.
상기 단계(a) 및 상기 단계(b)는 상기 응용 계층에서의 프로세스 리스트 및 상기 응용 계층에서의 작업창 정보에 대한 각각의 리스트를 생성하고, 상기 단계(c)는 상기 생성된 각각의 리스트를 비교하여 수행될 수 있다.
상기 단계(c)는 은닉 프로세스로 판단된 프로세스를 중단시키는 단계를 더 포함할 수 있다.
본 발명의 바람직한 다른 일 실시예에 따르면, 은닉 프로세스의 모니터링 방법이 구현되도록, 디지털 처리 시스템에 의해 실행될 수 있는 명령어들의 프로그램이 구현되어 있으며 상기 디지털 처리 시스템에 의해 판독될 수 있는 프로그램을 기록한 기록매체에 있어서, 응용 계층에서의 작업창 정보를 검출하는 단계(a); 상기 검출된 작업창 정보에 상응하는 프로세스 정보가 검출되는지 판단하는 단계(b); 및 상기 프로세스 정보가 검출되지 않는 경우 상기 프로세스 정보가 검출되지 않는 작업창 정보와 관련된 프로세스를 은닉 프로세스로 판단하는 단계(c)를 포함하는 것을 특징으로 하는 은닉 프로세스 모니터링 방법을 구현하기 위한 프로그램을 기록한 기록매체가 제공된다.
상기 단계(b)는 작업창 검출 API(Application Program Interface)를 이용하여 수행될 수 있으며, 상기 작업창 검출 API는 어플리케이션(application)과 연관된 모든 트리 구조의 정보를 검색함으로써 작업창 정보를 검출할 수 있다.
상기 단계(c)는 은닉 프로세스로 판단된 프로세스를 중단시키는 단계를 더 포 함할 수 있다.
이상에서 설명한 바와 같이, 본 발명에 의한 은닉 프로세스 모니터링 방법 및 시스템에 의하면 커널 계층으로부터 정보를 획득하지 않고도 은닉 프로세스를 검출할 수 있는 장점이 있다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구 성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.
반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다.
일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
먼저 도 2를 참조하여 본 발명의 바람직한 일 실시예에 따른 은닉 프로세스 모니터링 방법이 구현되는 순서를 살펴본다.
도 2는 본 발명의 바람직한 일 실시예에 따른 은닉 프로세스 모니터링 방법이 구현되는 순서를 도시한 순서도이다.
도 2에 도시된 바와 같이, 본 발명에 의한 은닉 프로세스 모니터링 방법은 먼저 응용 계층에서의 프로세스를 모니터링한다(S200).
한편, 이하의 설명에서는 모니터링(monitoring)과 검출은 프로세스나 작업창 등의 특정 정보를 알아내는 것으로 일반적으로 일정한 시간적 주기를 가지고 검출을 수행하는 것을 모니터링이라 하나 본 명세서서는 동일한 의미로 사용한다.
응용 계층의 프로세스 모니터링은 전술한 바와 같이 우리가 널리 사용하는 윈도우(Window)와 같은 운영체제에서의 작업 관리자 등을 통해 용이하게 이루어질 수 있다.
그리고 도 1에서 도시한 종래의 은닉 프로세스 모니터링 방법과 비교하여 커널 계층에서의 프로세스 모니터링을 수행하지 않고, 응용 계층에서의 작업창을 모니터링한다(S102).
작업창은 프로세스가 동작하여 응용 계층에서 작업을 수행하는 경우 작업이 진행되는 과정 등이 표시되는 정보이다.
이러한 작업창은 사용자가 시각적으로 인식할 수 있도록 사용자 인터페이스(User Interface)의 형태로 제공되는 것이 일반적이나 사용자가 수행하고자 하는 작업과 무관하게 컴퓨터 시스템의 운영이나 관리 등을 위한 작업창은 시각적으로 표시되지는 않으나 이러한 작업창 즉 작업을 수행하고 있음을 나타내는 정보가 생성되고 해당 작업을 수행하게 된다.
한편, 이러한 작업창 정보의 검출은 작업창 정보를 검출하는 API(Application Program Interface)를 이용하여 수행될 수 있다.
API는 일반적으로 특정 서브 루틴에 연결을 제공하는 함수의 호출에 의해 구현된다.
이러한 작업창 정보의 검출을 위해 본 발명에 의한 작업창 정보 검출에 이용되는 API는 시스템 내의 프로그램 즉 어플리케이션(application)과 연관된 모든 트리 구조의 정보를 검색함으로써 작업창 정보를 검출할 수 있다.
이러한 어플리케이션(application)과 연관된 모든 트리 구조의 정보를 검색하는 것은 예를 들어, 특정 어플리케이션에 포함된 은닉 프로세스의 경우 특정 어플 리케이션의 작업과 관련된 본래의 작업창과는 다른 별도의 작업창을 생성하고 별도로 생성된 작업창을 통해 은닉 프로세스와 관련된 작업을 수행할 수 있으므로 어플리케이션(application)과 연관된 모든 트리 구조의 정보를 검색하여 작업창 정보를 검출하는 것이다.
예를 들어, 웹 브라우저를 현재 사용자가 동작하고 있고 웹 브라우저상에 포함되어 동작하는 은닉 프로세스가 있다고 가정한다.
사용자가 시각적으로 인지하는 화면상이나 어플리케이션 프로세스 상에서는 웹 브라우저가 작업을 수행하는 것으로 보이지만 은닉 프로세스는 웹 브라우저에서 시각적으로 인지하는 화면상으로 인지할 수 없고 어플리케이션 프로세스 상에서도 검출되지 않는 별도의 작업창을 통해 불순의 목적의 프로세스를 수행하고 있게 된다.
이러한 점을 방지하기 위해 본 발명에서는 예를 들면, 작업창 정보를 검색함에 있어서 단순히 웹 브라우저와 관련된 작업창 정보가 존재한다는 것만을 검출하는 것이 아니라 웹 브라우저와 관련된 트리 구조까지 작업창 정보를 검색함으로써 보다 정확하게 은닉 프로세스를 검출할 수 있게 하는 것이다.
한편, 이러한 작업창 정보의 검출 즉 모니터링이 수행되면 응용 계층의 프로세스와 응용 계층에서의 작업창 정보를 비교한다(S204).
비교 결과 작업창 정보에서는 검출되었으나 응용 계층의 프로세스 정보에서는 검출되지 않는 해당 작업창에서 수행되고 있는 작업 즉 프로세스는 은닉 프로세스로 판단할 수 있어 용이하게 은닉 프로세스를 검출할 수 있게 되는 것이다(S206).
또한, 커널 계층까지 프로세스 정보를 검출하지 않아도 되므로 보다 용이하게 은닉 프로세스를 검출하는 방법을 구현하는 것이 가능하게 된다.
도 2에서는 미도시하였으나 이러한 은닉 프로세스로 판단되는 프로세스가 검출되는 경우 해당 프로세스를 중단시키도록 하는 것도 가능하다.
도 2에서는 응용 계층의 프로세스와 응용 계층의 작업창 정보를 각각 검출하여 비교함으로써 은닉 프로세스를 검출하는 경우를 도시하였다.
한편, 이러한 응용 계층의 프로세스 정보는 응용 계층의 작업창 정보로부터 검출하는 것도 가능하다.
즉 작업창 정보를 이용하여 해당 작업창과 관련된 프로세스 정보를 역으로 찾아내는 것이다. 이러한 경우 본 발명에 의한 은닉 프로세스 모니터링 방법을 도 3을 참조하여 살펴본다.
도 3은 본 발명의 바람직한 다른 일 실시예에 따른 은닉 프로세스 모니터링 방법이 구현되는 순서를 도시한 순서도이다.
도 3에 도시된 바와 같이 응용 계층의 프로세스 정보를 응용 계층의 작업창 정보로부터 검출하여 이를 이용하여 은닉 프로세스를 검출하는 경우 먼저 응용 계층에서 작업창 정보를 획득하고(S300), 획득된 작업창 정보를 이용하여 작업창 정보와 관련된 응용 계층에서의 프로세스 정보의 획득을 시도한다(S302).
한편 프로세스 정보의 획득되는지 판단하여(S304) 프로세스 정보가 획득되는 경우라면 은닉 프로세스가 아닌 것으로 판단할 수 있다(S306).
그러나 프로세스 정보가 획득되지 않는 경우라면 응용 계층에서의 작업창 정보는 존재하는데 프로세스 정보는 검출되지 않는 경우이므로 은닉프로세스로 판단한다(S308).
도 3에서는 미도시하였으나 이러한 은닉 프로세스로 판단되는 프로세스가 검출되는 경우 해당 프로세스를 중단시키도록 하는 것도 가능하다.
한편, 이러한 본 발명에 의한 스트리밍 서비스의 제공 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드디스크, 광자기디스크 등)에 저장될 수 있다.
이하에서는 도 5를 참조하여 본 발명의 바람직한 일 실시예에 다른 은닉 프로세스 모니터링 시스템에 대해 살펴보기로 한다.
본 발명에 의한 은닉 프로세스 모니터링 시스템을 도시한 도 5를 중심으로 종래의 은닉 프로세스 모니터링 시스템을 도시한 도 4와 비교하여 살펴보기로 한다.
도 4는 종래의 은닉 프로세스 모니터링 시스템의 구성을 도시한 구성도이고, 도 5는 본 발명의 바람직한 일 실시예에 따른 은닉 프로세스 모니터링 시스템의 구성을 도시한 구성도이다.
먼저 도 4에 도시된 바와 같이, 종래의 은닉 프로세스 모니터링 시스템은 프로세스 모니터링 및 비교부(420)에서 먼저 커널 계층의 커널(430)과의 링크를 통해 커널 계층의 프로세스 정보를 획득한다.
그리고 응용 계층에서의 응용 프로그램(410) 즉 어플리케이션과의 링크를 통 해 응용 계층의 프로세스 정보를 획득하여 이를 서로 비교하여 은닉 프로세스를 검출하게 된다.
도 4에서는 설명의 편의를 위해 프로세스 모니터 및 비교부(420)를 하나로 도시하였으나 기능 등에 따라 구분하여 별개의 모듈 등으로 구현가능하다.
한편, 본 발명에서는 도 5에 도시된 바와 같이 커널 계층으로의 링크는 이루어지지 않는다.
다만 응용 계층에서의 응용 프로그램(500) 즉 어플리케이션(500)과의 링크를 통해 응용 계층의 프로세스 정보를 획득하는 프로세스 모니터링부(510)와 어플케이션이 동작하는 경우 생성되는 작업창(520)과의 링크를 통해 작업창 정보를 획득하는 작업창 모니터링부(530)를 포함한다.
그리고 작업창 모니터링부(530)에서의 감지된 작업창 정보와 프로세스 모니터링부(510)에서 감지된 프로세스 특히 응용 계층의 프로세스 정보만을 획득하여 비교부(540)에서 비교함으로써 은닉 프로세스를 검출하게 된다.
한편, 도 5에서는 미도시하였으나 이러한 은닉 프로세스로 판단되는 프로세스가 검출되는 경우 해당 프로세스를 중단시키는 은닉 프로세스 차단부(미도시)를 더 포함할 수 있다.
한편, 전술한 바와 같이 응용 계층의 프로세스 정보를 응용 계층의 작업창 정보로부터 검출하는 경우 본 발명에 의한 은닉 프로세스 모니터링 시스템은 응용 계층에서의 작업창 정보를 검출하는 작업창 모니터링부(530)와 검출된 작업창 정보에 상응하는 프로세스 정보를 검출하는 프로세스 모니터링부(510)만을 포함하여, 프로 세스 모니터링부(510)에서 작업창 모니터링부(530)에서 검출된 작업창 정보에 상응하는 프로세스 정보가 검출되지 않는 경우 프로세스 정보가 검출되지 않는 작업창 정보와 관련된 프로세스를 은닉 프로세스로 판단하도록 하는 것도 가능하다.
한편, 이러한 본 발명에 의한 은닉 프로세스 모니터링 방법은 응용 계층에서만 수행되므로 프로그램의 작성이나 응용 등이 용이하다.
또한, 커널 계층까지 프로세스 정보를 검출하지 않아도 되므로 보다 용이하게 은닉 프로세스를 검출하는 방법을 구현하는 것이 가능하게 되는 것이다.
한편, 이러한 본 발명에 의한 은닉 프로세스 검출 시스템은 전술한 은닉 프로세스를 검출하는 방법을 구현하기 위한 프로그램이 컴퓨터와 같은 디지털 처리 장치에 설치된 형태로 구현될 수 있음은 자명하다.
상기한 본 발명의 바람직한 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대해 통상의 지식을 가진 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경, 부가가 가능할 것이며, 이러한 수정, 변경 및 부가는 하기의 특허청구범위에 속하는 것으로 보아야 할 것이다.
도 1은 종래의 은닉 프로세스 모니터링 방법이 구현되는 순서를 도시한 순서도.
도 2는 본 발명의 바람직한 일 실시예에 따른 은닉 프로세스 모니터링 방법이 구현되는 순서를 도시한 순서도.
도 3은 본 발명의 바람직한 다른 일 실시예에 따른 은닉 프로세스 모니터링 방법이 구현되는 순서를 도시한 순서도.
도 4는 종래의 은닉 프로세스 모니터링 시스템의 구성을 도시한 구성도.
도 5는 본 발명의 바람직한 일 실시예에 따른 은닉 프로세스 모니터링 시스템의 구성을 도시한 구성도.

Claims (16)

  1. 은닉 프로세스의 모니터링 방법에 있어서,
    응용 계층에서의 프로세스를 검출하는 단계(a);
    작업창 검출 API(Application Program Interface)를 이용하여 상기 응용 계층에서의 작업창 정보를 검출하는 단계(b); 및
    상기 검출된 응용 계층에서의 프로세스 정보와 작업창 정보를 비교하여 상기 작업창 정보만이 검출된 프로세스를 은닉 프로세스로 판단하는 단계(c)를 포함하는 것을 특징으로 하는 은닉 프로세스 모니터링 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 단계(a) 및 상기 단계(b)는 상기 응용 계층에서의 프로세스 리스트 및 상기 응용 계층에서의 작업창 정보에 대한 각각의 리스트를 생성하고,
    상기 단계(c)는 상기 생성된 각각의 리스트를 비교하여 수행되는 것을 특징으 로 하는 은닉 프로세스 모니터링 방법.
  4. 은닉 프로세스의 모니터링 방법에 있어서,
    작업창 검출 API(Application Program Interface)를 이용하여 응용 계층에서의 작업창 정보를 검출하는 단계(a);
    상기 검출된 작업창 정보에 상응하는 프로세스 정보가 검출되는지 판단하는 단계(b); 및
    상기 프로세스 정보가 검출되지 않는 경우 상기 프로세스 정보가 검출되지 않는 작업창 정보와 관련된 프로세스를 은닉 프로세스로 판단하는 단계(c)를 포함하는 것을 특징으로 하는 은닉 프로세스 모니터링 방법.
  5. 삭제
  6. 제1항 또는 제4항에 있어서,
    상기 단계(c)는,
    은닉 프로세스로 판단된 프로세스를 중단시키는 단계를 더 포함하는 것을 특 징으로 하는 은닉 프로세스 모니터링 방법.
  7. 제1항 또는 제4항에 있어서,
    상기 작업창 검출 API는 어플리케이션(application)과 연관된 모든 트리 구조의 정보를 검색함으로써 작업창 정보를 검출하는 것을 특징으로 하는 은닉 프로세스 모니터링 방법.
  8. 은닉 프로세스의 모니터링 시스템에 있어서,
    응용 계층에서의 프로세스를 검출하는 프로세스 모니터링부;
    작업창 검출 API(Application Program Interface)를 이용하여 상기 응용 계층에서의 작업창 정보를 검출하는 작업창 모니터링부; 및
    상기 검출된 응용 계층에서의 프로세스 정보와 작업창 정보를 비교하는 비교부를 포함하여,
    상기 작업창 정보만이 검출된 프로세스를 은닉 프로세스로 판단하는 것을 특징으로 하는 은닉 프로세스 모니터링 시스템.
  9. 삭제
  10. 제8항에 있어서,
    상기 프로세스 모니터링부 및 상기 작업창 모니터링부는 상기 응용 계층에서의 프로세스 리스트 및 상기 응용 계층에서의 작업창 정보에 대한 각각의 리스트를 생성하고,
    상기 비교부는 상기 생성된 각각의 리스트를 이용하여 상기 응용 계층에서의 프로세스 정보와 작업창 정보를 비교하는 것을 특징으로 하는 은닉 프로세스 모니터링 시스템.
  11. 은닉 프로세스의 모니터링 시스템에 있어서,
    작업창 검출 API(Application Program Interface)를 이용하여 응용 계층에서의 작업창 정보를 검출하는 작업창 모니터링부; 및
    상기 검출된 작업창 정보에 상응하는 프로세스 정보가 검출하는 프로세스 모니터링부를 포함하여,
    상기 프로세스 모니터링부에서 상기 검출된 작업창 정보에 상응하는 프로세스 정보가 검출되지 않는 경우 상기 프로세스 정보가 검출되지 않는 작업창 정보와 관련된 프로세스를 은닉 프로세스로 판단하는 것을 특징으로 하는 은닉 프로세스 모니터링 시스템.
  12. 삭제
  13. 제8항 또는 제11항에 있어서,
    상기 은닉 프로세스 모니터링 시스템은,
    상기 은닉 프로세스로 판단된 프로세스를 중단시키는 은닉 프로세스 차단부를 더 포함하는 것을 특징으로 하는 은닉 프로세스 모니터링 시스템.
  14. 제8항 또는 제11항에 있어서,
    상기 작업창 검출 API는 어플리케이션(application)과 연관된 모든 트리 구조의 정보를 검색함으로써 작업창 정보를 검출하는 것을 특징으로 하는 은닉 프로세스 모니터링 시스템.
  15. 은닉 프로세스의 모니터링 방법이 구현되도록, 디지털 처리 시스템에 의해 실행될 수 있는 명령어들의 프로그램이 구현되어 있으며 상기 디지털 처리 시스템에 의해 판독될 수 있는 프로그램을 기록한 기록매체에 있어서,
    응용 계층에서의 프로세스를 검출하는 단계(a);
    작업창 검출 API(Application Program Interface)를 이용하여 상기 응용 계층에서의 작업창 정보를 검출하는 단계(b); 및
    상기 검출된 응용 계층에서의 프로세스 정보와 작업창 정보를 비교하여 상기 작업창 정보만이 검출된 프로세스를 은닉 프로세스로 판단하는 단계(c)를 포함하는 것을 특징으로 하는 은닉 프로세스 모니터링 방법을 구현하기 위한 프로그램을 기록한 기록매체.
  16. 은닉 프로세스의 모니터링 방법이 구현되도록, 디지털 처리 시스템에 의해 실행될 수 있는 명령어들의 프로그램이 구현되어 있으며 상기 디지털 처리 시스템에 의해 판독될 수 있는 프로그램을 기록한 기록매체에 있어서,
    작업창 검출 API(Application Program Interface)를 이용하여 응용 계층에서의 작업창 정보를 검출하는 단계(a);
    상기 검출된 작업창 정보에 상응하는 프로세스 정보가 검출되는지 판단하는 단계(b); 및
    상기 프로세스 정보가 검출되지 않는 경우 상기 프로세스 정보가 검출되지 않는 작업창 정보와 관련된 프로세스를 은닉 프로세스로 판단하는 단계(c)를 포함하는 것을 특징으로 하는 은닉 프로세스 모니터링 방법을 구현하기 위한 프로그램을 기록한 기록매체.
KR1020080101044A 2008-10-15 2008-10-15 은닉 프로세스 모니터링 방법 및 시스템 KR101039551B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020080101044A KR101039551B1 (ko) 2008-10-15 2008-10-15 은닉 프로세스 모니터링 방법 및 시스템
PCT/KR2009/005931 WO2010044616A2 (ko) 2008-10-15 2009-10-15 은닉 프로세스 모니터링 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080101044A KR101039551B1 (ko) 2008-10-15 2008-10-15 은닉 프로세스 모니터링 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20100041971A KR20100041971A (ko) 2010-04-23
KR101039551B1 true KR101039551B1 (ko) 2011-06-09

Family

ID=42107061

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080101044A KR101039551B1 (ko) 2008-10-15 2008-10-15 은닉 프로세스 모니터링 방법 및 시스템

Country Status (2)

Country Link
KR (1) KR101039551B1 (ko)
WO (1) WO2010044616A2 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2700185C1 (ru) * 2018-07-27 2019-09-13 Закрытое акционерное общество "Перспективный мониторинг" Способ обнаружения скрытого программного обеспечения в вычислительной системе, работающей под управлением POSIX-совместимой операционной системы

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070076935A (ko) * 2006-01-20 2007-07-25 엔에이치엔(주) 은닉 프로세스 모니터링 방법 및 모니터링 시스템

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100745639B1 (ko) * 2005-08-11 2007-08-02 주식회사 웨어플러스 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치
KR100786725B1 (ko) * 2005-11-08 2007-12-21 한국정보보호진흥원 악성코드 분석 시스템 및 방법
US20070250927A1 (en) * 2006-04-21 2007-10-25 Wintutis, Inc. Application protection
KR100799302B1 (ko) * 2006-06-21 2008-01-29 한국전자통신연구원 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템및 방법
US7996903B2 (en) * 2006-07-07 2011-08-09 Webroot Software, Inc. Method and system for detecting and removing hidden pestware files
US20080016571A1 (en) * 2006-07-11 2008-01-17 Larry Chung Yao Chang Rootkit detection system and method
KR100870140B1 (ko) * 2006-11-13 2008-11-24 한국전자통신연구원 악성 코드가 숨겨진 파일 탐지 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070076935A (ko) * 2006-01-20 2007-07-25 엔에이치엔(주) 은닉 프로세스 모니터링 방법 및 모니터링 시스템

Also Published As

Publication number Publication date
KR20100041971A (ko) 2010-04-23
WO2010044616A3 (ko) 2010-07-29
WO2010044616A2 (ko) 2010-04-22

Similar Documents

Publication Publication Date Title
US8621624B2 (en) Apparatus and method for preventing anomaly of application program
Lee et al. Intrusion detection in real-time database systems via time signatures
US8578504B2 (en) System and method for data leakage prevention
WO2016150313A1 (zh) 一种可疑进程的探测方法及装置
TWI234707B (en) Method and system for responding to a computer intrusion
US8205260B2 (en) Detection of window replacement by a malicious software program
US20170076094A1 (en) System and method for analyzing patch file
GB2465240A (en) Detecting malware by monitoring executed processes
WO2014177044A1 (en) File system level data protection during potential security breach
US10262139B2 (en) System and method for detection and prevention of data breach and ransomware attacks
CN111181918B (zh) 基于ttp的高风险资产发现和网络攻击溯源方法
CN109409087B (zh) 防提权检测方法及设备
JP2008257577A (ja) セキュリティ診断システム、方法およびプログラム
CN111191248B (zh) 针对Android车载终端系统的漏洞检测系统及方法
CN110580234A (zh) 适用于微服务器与外部系统之间的熔断方法
KR101444250B1 (ko) 개인정보 접근감시 시스템 및 그 방법
CN109120634A (zh) 一种端口扫描检测的方法、装置、计算机设备和存储介质
JP2009075940A (ja) ログ分析装置およびプログラム
KR101039551B1 (ko) 은닉 프로세스 모니터링 방법 및 시스템
CN110012000B (zh) 命令检测方法、装置、计算机设备以及存储介质
US20080174427A1 (en) Intelligent automated method for securing confidential and sensitive information displayed on a computer monitor
KR101180092B1 (ko) 보안이벤트 분석방법 및 분석시스템, 그 기록매체
CN106354773A (zh) 应用程序存储数据的方法及装置
KR20180013270A (ko) 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템
CN112182581A (zh) 应用测试方法、装置、应用测试设备和存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140415

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150515

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180521

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190522

Year of fee payment: 9