KR101410445B1 - 스크립트에 의한 서버작업 식별시스템과 이를 이용한 식별방법 - Google Patents
스크립트에 의한 서버작업 식별시스템과 이를 이용한 식별방법 Download PDFInfo
- Publication number
- KR101410445B1 KR101410445B1 KR1020140014915A KR20140014915A KR101410445B1 KR 101410445 B1 KR101410445 B1 KR 101410445B1 KR 1020140014915 A KR1020140014915 A KR 1020140014915A KR 20140014915 A KR20140014915 A KR 20140014915A KR 101410445 B1 KR101410445 B1 KR 101410445B1
- Authority
- KR
- South Korea
- Prior art keywords
- session
- communication session
- module
- identification
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1076—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 단말기와 서버 간의 발생 세션을 확인해서 상기 세션이 상기 단말기에 배치된 스크립트에 의한 것인지 여부를 식별하고, 상기 세션에 의한 통신을 선택적으로 차단하는 보안 기술인 스크립트에 의한 서버작업 식별시스템과 이를 이용한 식별방법에 관한 것으로, 단말기의 통신 세션 발생 여부와 해당 통신 세션의 프로세스 PID(Process Identifier)를 확인해서 프로세스 감시모듈로 전달하고, 상기 프로세스 감시모듈로부터 수신한 상기 프로세스의 프로세스 정보를 세션별로 재편성한 세션분류정보를 생성해서 세션식별모듈로 전달하는 통신세션 분류모듈; 상기 통신세션 분류모듈로부터 수신한 상기 프로세스 PID의 관련 프로세스 정보를 상기 단말기의 OS에서 확인해서 상기 통신세션 분류모듈로 전달하는 프로세스 감시모듈; 및 상기 세션분류정보에 구성된 통신 세션의 발생 방식을, 제1식별기준에 적용해서 자동처리와 수동처리로 분류한 세션식별정보를 생성하는 세션식별모듈;을 포함하는 것이다.
Description
본 발명은 단말기와 서버 간의 발생 세션을 확인해서 상기 세션이 상기 단말기에 배치된 스크립트에 의한 것인지 여부를 식별하고, 상기 세션에 의한 통신을 선택적으로 차단하는 보안 기술인 스크립트에 의한 서버작업 식별시스템과 이를 이용한 식별방법에 관한 것이다.
최근 몇 차례 발생한 전산망 마비사태에서와 같이, 일반 접속자 또는 관리자 등(이하 '접속자')의 단말기가 인터넷 또는 USB 등을 통해 악성코드에 감염되었거나 해커에 의해 장악된 경우에는, 서버에 접속하는 상기 단말기가 상기 서버를 악의적으로 제어하거나 저장정보 및 프로세스 등을 파괴할 수 있는 상태가 된다.
이러한 상태에 놓인 상기 단말기는 서버에 접속할 때 입력되는 접속자의 ID/PW 등의 접속자 계정이 그대로 노출될 수 있고, 서버에 접속된 상태에서 접속자가 직접 제어하지 않는 작업이 백그라운드 방식 등을 통해 수행될 수 있었다.
그런데, 전술한 무단 작업은 해당 서버의 방화벽과 침입탐지시스템 및 단말기에 설치된 백신이 효과적으로 탐지해서 이를 차단하지 못했다. 결국, 상기 단말기에 설치된 배치 스크립트 등의 해당 악성코드는 접속자의 단말기를 장악하여 원하는 작업을 무단으로 수행할 수 있었다.
이러한 문제를 해결하기 위해서 종래에는 2차 인증과 같은 부가적인 결재 방식을 채택하여 보완했다. 그러나, 2차 인증은 명령어를 실행하거나 서버에 접속할 때마다 해당 접속자에게 인증을 일일이 요청해서 후속처리를 진행하는 프로세스이므로, 접속자가 작업의 불편과 번거로움을 갖게 했고, 서버의 통신부하 또한 증가시켜서 작업의 처리효율을 감소시키는 문제가 되었다.
한편, 서버와 단말기 간의 통신내용에는 악성코드에 의해 무단 수행되는 작업뿐만 아니라 서버에서 인증한 특정 프로그램이나 배치 스크립트에 의해 정상 수행되는 작업도 포함한다. 따라서, 악성코드에 의한 무단 작업과, 인증된 특정 프로그램 또는 배치 스크립트에 의한 정상 작업과, 접속자의 명령에 의한 수동작업을 식별해서 이를 제한적으로 차단하는 보안 프로세스가 요구되었다.
그러나, 종래 보안시스템은 접속자의 수동작업과 스크립트 또는 프로그램 등(이하 '스크립트')에 의한 자동작업을 구분하는 기능이 없었다. 결국, 종래 서버에서 이루어지는 단말기의 모든 작업이 제제없이 정상적으로 이루어지고, 단지 작업 로그만이 기록되어서, 사고발생시 사후적으로만 처리할 수 있었다.
이러한 문제점을 보완하기 위해서, 종래에는 앞서 언급한 통상적인 2차 인증기술을 이용했다. 그러나, 상기 2차 인증기술은 접속자의 핸드폰에 메시지나 메일 등을 보내서 작업 인증 코드를 요구하는 방식이므로, 서버는 2차 인증기술에 대한 프로그램 및 관련 장치를 보강해야 하고, 접속자는 2차 인증에 따른 번거로움을 감수해야 했다.
결국, 서버와 단말기 간의 통신 보안성과, 접속자의 편의성을 높일 수 있는 보안기술이 시급히 요구되었다.
선행기술문헌 1. 특허공개번호 제10-2013-0004172호(2013.01.09 공개)
이에 본 발명은 상기의 문제를 해소하기 위해 발명된 것으로서, 서버에서 인가한 단말기와의 통신 중에 접속자가 인가하지 않은 배치 스크립트가 백그라운드 기술 등을 통해 무단으로 서버와 통신하면서 접속자의 개인정보를 포함한 각종 데이터 유출과, 서버 내 악성코드 등의 무단 설치를 방지할 수 있는 스크립트에 의한 서버작업 식별시스템과 이를 이용한 식별방법의 제공을 해결하고자 하는 과제로 한다.
상기의 기술적 과제를 달성하기 위하여 본 발명은,
단말기의 통신 세션 발생 여부와 해당 통신 세션의 프로세스 PID(Process Identifier)를 확인해서 프로세스 감시모듈로 전달하고, 상기 프로세스 감시모듈로부터 수신한 상기 프로세스의 프로세스 정보를 세션별로 재편성한 세션분류정보를 생성해서 세션식별모듈로 전달하는 통신세션 분류모듈;
상기 통신세션 분류모듈로부터 수신한 상기 프로세스 PID의 관련 프로세스 정보를 상기 단말기의 OS에서 확인해서 상기 통신세션 분류모듈로 전달하는 프로세스 감시모듈; 및
상기 세션분류정보에 구성된 통신 세션의 발생 방식을, 제1식별기준에 적용해서 자동처리와 수동처리로 분류한 세션식별정보를 생성하는 세션식별모듈;
을 포함하는 스크립트에 의한 서버작업 식별시스템이다.
상기의 본 발명은, 악성코드 등에 의해서 접속자가 의도하지 않은 접속과 명령어 전송을 원천적으로 차단하므로, 서버로부터 접속자의 개인정보 유출과 무단 처리에 따른 피해를 방지할 수 있고, 이를 통해서 안전한 온라인 통신환경을 지향할 수 있는 효과가 있다.
도 1은 본 발명에 따른 식별방법의 실시를 위한 식별시스템 구성을 도시한 블록도이고,
도 2는 본 발명에 따른 식별방법을 순차 도시한 플로차트이고,
도 3은 본 발명에 따른 식별시스템 적용 이전의 모니터링 화면 창을 보인 이미지이고,
도 4는 본 발명에 따른 식별시스템을 적용한 상태에서 자동처리 프로세스와 수동처리 프로세스를 진행하는 모습을 보인 이미지이고,
도 5는 도 4에서 보인 테스트를 통해 최종 식별 결과를 보인 모니터링 화면창 이미지이다.
도 2는 본 발명에 따른 식별방법을 순차 도시한 플로차트이고,
도 3은 본 발명에 따른 식별시스템 적용 이전의 모니터링 화면 창을 보인 이미지이고,
도 4는 본 발명에 따른 식별시스템을 적용한 상태에서 자동처리 프로세스와 수동처리 프로세스를 진행하는 모습을 보인 이미지이고,
도 5는 도 4에서 보인 테스트를 통해 최종 식별 결과를 보인 모니터링 화면창 이미지이다.
상술한 본 발명의 특징 및 효과는 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시 예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 개시형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 출원에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.
이하, 본 발명을 실시하기 위한 구체적인 내용이 첨부된 도면에 의거하여 상세히 설명한다.
도 1은 본 발명에 따른 식별방법의 실시를 위한 식별시스템 구성을 도시한 블록도인 바, 이를 참조해 설명한다.
본 발명에 따른 실시방법은 단말기(10)와 서버(30) 간의 직접 데이터 통신이 이루어지는 통신환경에서 이루어지거나, 단말기(10)와 서버(30)가 보안 프록시(20)를 중개로 데이터 통신이 이루어지는 통신환경에서 이루어진다. 본 발명에 따른 실시 예에서는 보안 프록시(20)를 중개로 데이터 통신이 이루어지는 통신환경을 실시 예로서 설명한다.
단말기(10)는 통상적인 네트워크 통신이 가능한 장치로서, 네트워크에 접속해서 통신하기 위한 일반적인 웹브라우저를 갖추고 서버(30)와 통신한다.
보안 프록시(20)는 단말기(10)와 서버(30) 간의 데이터 통신을 중개하고, 서버(30)의 보안을 위한 다양한 보안기능을 수행한다. 참고로, 보안 프록시(20)의 보안기능을 서버(30)에 구성시켜서 단말기(10)와 서버(30) 간의 직접 통신환경에서도 본 발명에 따른 식별방법을 수행할 수 있다.
서버(30)는 특정 목적을 위한 다양한 보안정보를 저장하고, 단말기(10)의 접속자가 요구하는 각종 기능을 수행한다. 일반적으로 서버(30)는 접속을 시도하는 접속자의 식별정보(ID/PW) 등을 확인해서 상기 접속자의 로그인을 인가하고, 로그인한 접속자가 요구하는 각종 데이터를 허용범위 내에서 상기 접속자의 단말기(10)로 전송한다.
단말기(10)는 접속자의 물리적 조작을 감지해서 전기신호로 변환 전송하는 입력수단(11)과, 단말기(10)의 구동을 제어 및 총괄하는 OS(Operating System; 12)와, 통신 세션의 현황 및 해당 통신 세션의 프로세스 PID(Process Identifier)를 OS(12)에서 확인 후 프로세스 감시모듈(14)로 전달하고 상기 프로세스 정보에 따라 상기 통신 세션을 분류한 세션분류정보를 생성하는 통신세션 분류모듈(13)과, 상기 PID에 해당하는 프로세스의 실행프로그램 또는 스크립트 파일에 대한 정보와 상기 프로세스의 동작 속성에 대한 정보로 된 프로세스 정보를 수집하는 프로세스 감시모듈(14)과, OS(12)에 입력된 입력수단(11)의 입력정보를 확인해서 입력수단(11)의 이벤트정보를 확인하는 입력이벤트 수집모듈(15)과, 상기 세션분류정보와 이벤트정보를 기초로 스크립트에 의한 자동실행 여부가 확인된 세션식별정보를 보안 프록시(20)로 전송하는 세션식별모듈(16)을 포함한다.
입력수단(11)과 OS(12)는 단말기(10) 구동을 위해 필수적으로 설치되는 공지,공용의 기술이므로, 이에 대한 구체적인 설명은 생략한다.
통신세션 분류모듈(13)은 실행 중인 통신 세션과 해당 PID를 OS(12)로부터 확인해서 프로세스 감시모듈(14)로 전달하고, 프로세스 감시모듈(14)로부터 수신한 프로세스 정보를 기초로 통신 세션을 세션별로 분류한 세션분류정보를 생성한다. 상기 세션분류정보는 세션의 발신자인 단말기(10) IP와, 목적지인 서버(30) IP와, 패킷 내용과 패킷발생 간격 등의 구체 정보를 포함한다.
프로세스 감시모듈(14)은 통신세션 분류모듈(13)로부터 PID를 수신하고, 단말기(10)에서 실행 중이면서 상기 PID에 해당하는 프로그램 또는 스크립트 파일 등의 프로세스 정보를 추출해서 통신세션 분류모듈(13)로 전달한다. 상기 프로세스 정보는 실행시간, 해당 파일 이름, 파일의 설치 위치(경로), 화면출력상태와 위치, 타입 등을 포함해서, 세션식별모듈(16)이 단말기(10) 화면에서 해당 프로세스의 창 출력상태 등을 파악할 수 있도록 한다.
입력이벤트 수집모듈(15)은 키보드 또는 마우스 등의 입력수단(11)으로부터 입력된 입력신호를 후킹해서 이벤트정보를 확인한다. 여기서, 이벤트정보는 마우스 및 키보드의 이동과 버튼 클릭 정보, 입력시간, 입력타입, 입력코드, 입력데이터 등이 포함된다.
세션식별모듈(16)은 통신세션 분류모듈(13)로부터 수신한 세션분류정보와, 입력이벤트 수집모듈(15)로부터 수신한 이벤트정보를 확인해서, 해당 세션이 접속자의 수작업에 의한 수동처리인지, 아니면 단말기(10)에 설치된 스크립트에 의한 자동처리인지를 판별하고, 이렇게 판별된 관련 정보인 세션식별정보를 보안 프록시(20)로 전송한다.
이를 좀 더 구체적으로 설명하면, 세션식별모듈(16)은 상기 세션분류정보로부터 특정 프로세스 수행을 위해서 발생하는 패킷 간격 및 발생 시간 차 등을 확인하고, 상기 간격 및 발생 시간 차가 수동처리가 가능한 범위를 벗어났는지 여부를 확인한다. 즉, 패킷 발생 간격 등의 수동처리 범위를 수치적으로 설정해서, 상기 수동처리 범위 수치를 벗어나면 자동처리로 추정하고, 상기 수동처리 범위 내이면 수동처리로 추정하는 것이다. 물론, 이러한 추정은 프로세스별로 구분돼 이루어지고, 상기 수동처리 범위 수치 또한 프로세스별로 구분돼 설정될 수 있다.
또한, 세션식별모듈(16)은 상기 세션분류정보로부터 프로세스 정보를 확인하고, 프로세스 처리를 위한 관련 창의 출력 위치 및 출력 상태 등을 확인해서, 현재 실행 중인 프로세스가 작업자에 의해 지정된 창과 관련한 프로세스 인지 여부를 확인한다. 작업자가 지정한 창과 관련한 프로세스인 경우에는 수동처리로 추정하고, 작업자가 지정한 창과 무관한 프로세스인 경우에는 자동처리로 추정한다.
또한, 세션식별모듈(16)은 상기 이벤트정보로부터 마우스 또는 키보드 등의 입력수단(11) 조작여부를 확인하고 상기 세션분류정보로부터 발생 세션을 확인해서, 입력수단(11)에 의한 이벤트 없이 세션이 발생하거나 지속적으로 다량의 패킷이 송출될 경우에는 수동처리로 추정한다.
세션식별모듈(16)은 이러한 식별처리 방식을 통해서 해당 세션의 자동처리와 수동처리를 구분하고, 구분된 관련정보인 세션식별정보를 보안 프록시(20)로 전송한다.
보안 프록시(20)는 필터링모듈(21)과 관리모듈(22)을 포함한다.
필터링모듈(21)은 단말기(10)로부터 전송된 세션식별정보에 따라 수신된 세션을 분석하고, 명령어를 확인하면 명령어의 입력간격 또는 입력박자를 분석해서, 현재 수신되는 세션이 자동처리인지 수동처리인지 여부를 최종 판단하고, 서버관리자가 설정한 차단기준에 따라 해당 세션의 차단 여부를 결정한다.
관리모듈(22)은 필터링모듈(21)의 차단기준을 서버관리자의 조작에 따라 제어한다.
이상 설명한 본 발명에 따른 식별시스템을 참고해서 본 발명에 따른 식별방법을 순차로 설명한다.
도 2는 본 발명에 따른 식별방법을 순차 도시한 플로차트인 바, 이를 참조해 설명한다.
S10; 통신 세션 확인단계
통신세션 분류모듈(13)은 단말기(10)가 서버(30) 접속 및 통신을 위해 생성한 통신 세션과 프로세스 PID를 OS(12)에서 확인한다.
주지된 바와 같이, OS(12)는 단말기(10)의 동작을 제어하는 장치로서, 각종 세션을 생성하고, 세션 처리에 대한 해당 프로세스의 PID를 생성한다. OS(12)와 링크된 통신세션 분류모듈(13)은 현재 생성된 통신 세션과 프로세스 PID를 확인하고, 프로세스 감시모듈(14)로 전달한다.
S20; 프로세스 확인단계
프로세스 감시모듈(14)은 통신세션 분류모듈(13)로부터 수신한 통신 세션과 프로세스 PID를 확인해서, 해당하는 프로세스의 실행시간, 이름, 경로, 실행 창에 대한 화면출력상태와 위치, 프로세스 타입 등의 프로세스 정보를 확인한다. 통상적인 OS(12) 환경에서는 세션 및 PID 확인과, 프로세스 정보 확인이 서로 다른 방식으로 이루어지므로, 본 발명에 따른 실시 예는 통상적인 단말기(10)의 OS(12) 환경에 맞춰서 세션 및 PID와 프로세스 정보 확인 주체를 구분해 적용한다. 그러나, 통신세션 분류모듈(13)에서 통신 세션 및 PID 확인과, 프로세스 정보 확인이 모두 이루어지도록 설계할 수도 있다.
S30; 세션 분류단계
통신세션 분류모듈(13)은 프로세스 감시모듈(14)로부터 프로세스 정보를 수신 및 수집하고, 상기 프로세스 정보를 세션별로 분류해서 세션분류정보를 생성한다.
이를 좀 더 구체적으로 설명하면, 통신세션 분류모듈(13)은 프로세스 감시모듈(14)이 확인한 프로세스 정보를 규격화해서 일정한 형식의 정보로 재편성하고, 이렇게 편성된 프로세스 정보를 해당 세션별로 분류한다. 일 예를 들면, 프로세스A가 2013년 01월 20일 15시25분55초(2013.01.20.15.25.55)에 생성되어, 단말기(10)의 '1031' 포트에서 서버(30)의 '23' 포트로 패킷을 전송(SEND-PORT1031, RECEIVE-PORT23)하고, 단말기(10)의 디스플레이되는 해당 실행 창이 포커싱되어서 최상위로 활성화되며(Y), 해당 패킷의 평균발생간격이 3초(3s)라면, 통신세션 분류모듈(13)은 해당 세션을 "SessionA, Process-A, 2013.01.20.15.25.55, SEND-PORT1031, RECEIVE-PORT23, Y, 3s"로 간단히 정리해 분류한다. 같은 방식으로, 프로세스B가 2013년 01월 20일 15시28분12초(2013.01.20.15.28.12)에 생성되어, 단말기(10)의 '1044' 포트에서 서버(30)의 '23' 포트로 패킷을 전송(SEND-PORT1044, RECEIVE-PORT23)하고, 단말기(10)의 디스플레이되는 해당 실행 창이 포커스되어서 최상위로 활성화되지 않으며(N), 해당 패킷의 평균발생간격이 0.01초(0.01s)라면, 통신세션 분류모듈(13)은 해당 세션을 "SessionB, Process-B, 2013.01.20.15.28.12, SEND-PORT1044, RECEIVE-PORT23, N, 0.01s"로 간단히 정리해 분류한다.
앞서 예시한 바와 같이, 통신세션 분류모듈(13)이 프로세스 정보를 일정한 형식으로 재편성해서 세션분류정보를 생성하면, 세션식별모듈(16)과 보안 프록시(20)는 상기 세션분류정보를 기반으로 세션의 수동처리 또는 자동처리 여부를 판단한다.
참고로, 앞서 예시한 프로세스 정보의 편성 형식은 프로세스 정보의 내용과 기재방식에 따라 다양하게 변형될 수 있으므로, 앞서 예시한 형식에 한정하는 것은 아니다.
S40; 입력이벤트 확인단계
접속자가 단말기(10)의 키보드 또는 마우스 등의 입력수단(11)을 조작하면, 입력이벤트가 발생하고, 입력이벤트 수집모듈(15)은 상기 입력이벤트를 후킹 등을 통해 수집해서 접속자가 조작한 입력정보를 확인한다.
통상적으로 입력이벤트는 접속자가 터치한 키보드의 버튼 정보, 키보드의 버튼을 터치한 시간정보, 접속자가 터치한 마우스의 버튼 정보, 스크롤 조작정보, 마우스의 드래그 여부에 대한 정보, 마우스의 버튼을 터치한 시간정보, 스크롤 조작 시간정보, 드래그 시간정보 등이 포함될 수 있다.
입력이벤트 수집모듈(15)은 수집한 상기 입력이벤트를 실시간으로 세션식별모듈(16)에 전달한다.
S50; 세션식별단계
세션식별모듈(16)은 통신세션 분류모듈(13)로부터 수신한 세션분류정보와, 입력이벤트 수집모듈(15)로부터 수신한 입력이벤트를 확인하고, 세션분류정보의 각 세션을 접속자의 조작에 의한 수동처리와, 스크립트의 동작에 의한 자동처리로 구분한 세션식별정보를 생성하고, 상기 세션식별정보를 보안 프록시(20)로 전송한다.
세션식별모듈(16)의 세션식별은 다음과 같은 기준으로 진행될 수 있다.
A. 1차 세션분류
A-1) 세션이 발생한 시점에 입력이벤트가 발생하지 않았다면, 해당 세션을 스크립트 동작에 의한 자동처리로 간주
A-2) 입력수단(11)에 의한 입력이벤트 없이 지속적으로 다량의 패킷이 송출되는 것을 확인되면, 해당 세션을 스크립트 동작에 의한 자동처리로 추정
B. 2차 세션분류
B-1) 세션이 발생한 시점에 동작 프로세스의 화면보기 모드가 비활성화되어 있는 것으로 확인되면, 해당 세션을 스크립트 동작에 의한 자동처리로 추정
B-2) 동작 프로세스의 원본 프로그램이 *.exe 등과 같은 실행파일로 구성된 문자열 리스트 형태의 스크립트 파일인 것으로 확인되면, 해당 세션을 스크립트 동작에 의한 자동처리로 추정
B-3) 동작 프로세스의 해당 실행 창이 최상위에 비활성화된 상태에서 세션이 시작되었거나 의미있는 신규 패킷이 발생하면, 해당 세션을 스크립트 동작에 의한 자동처리로 추정
세션식별모듈(16)은 이벤트정보와 세션분류정보 및 1,2차 세션분류에서 확인한 정보(이하 '세션식별정보')를 취합해서 보안 프록시(20)로 전송한다.
참고로, 1,2차 세션분류에서 예시한 각각의 제1식별기준은 세션식별모듈(16)이 모두 적용할 수도 있으나, 이에 한정하지 않고 하나 이상만을 적용할 수도 있다. 또한, 본 발명에 따른 실시 예에서는 세션식별모듈(16)이 상기 제1식별기준의 1,2차 세션분류 순서에 따라 통신 세션을 분류할 수도 있고, 다른 순서를 정해 상기 통신 세션을 분류할 수도 있다.
상기 1,2차 세션분류의 각 구성 기준을 순서에 따라 적용할 경우, 특정 기준에서 세션이 자동처리로 간주되면 세션식별모듈(16)은 이후 기준은 적용하지 않고 세션의 식별 작업을 종료하며, 후속 단계를 속행할 수 있다.
S60; 차단대상 세션 분류단계
보안 프록시(20)의 필터링모듈(21)은 상기 세션식별정보를 기초해서 차단 대상 세션인지를 최종 판단하고, 차단대상 세션으로 판단된 명령어를 무시하거나 관련 경고정보를 단말기(10)로 전송한다.
일 예를 들어서, 상기 세션식별정보에서 자동처리로 간주된 세션은 그 처리를 분리해서 대응한다.
상기 식별정보에서 자동처리로 추정된 세션은 해당 세션 연결 후 입력되는 명령어의 속도 및 박자를 기반으로 3차 세션분류를 진행한다.
C. 3차 세션분류
C-1) 세션에서 다수의 명령신호가 1초 안에 N개 이상 전송된 경우에는 상기 세션은 자동처리로 간주
C-2) 세션에서 명령신호 전송이 오차 범위 내에서 일정한 주기를 갖는 간격으로 입력되는 경우에는 해당 세션은 자동처리로 추정
C-3) 세션을 발생시킨 원본 프로그램의 파일 이름이나 파일의 설치위치를 상기 세션분류정보에서 확인해서, 'C-1'과 'C-2'에서 해당 세션의 자동처리 간주 또는 추정을 무시
상기 C-3) 기준의 경우, 특정 파일은 접속자에 의한 정당한 수동처리와 연동해서 자동처리되도록 프로그램된 것일 수 있으므로, 필터링모듈(21)에 해당 정보를 입력해서 이를 필터링모듈(21)의 제2식별기준에 고려하도록 할 수 있다. 결국, 상기 제2식별기준을 적용한다면, 공인된 프로그램에 의한 자동처리는 필터링모듈(21)이 별도로 제한하지 않고 정상처리하고, 이를 통해서 통신속도와 접속자의 만족도를 높일 수 있다.
계속해서, 필터링모듈(21)은 자동처리로 간주한 세션을 설정된 정책에 따라서 차단, 허용, 2차인증, 경고 또는 감사로그에 기록한다.
참고로, 보안 프록시(20)의 관리모듈(22)은 필터링모듈(21)의 제2식별기준을 사후 편집하는 장치로서, 공인된 프로그램이 확인되면 해당 프로세스 등에 대한 정보를 상기 제2식별기준에 보완한다.
도 3은 본 발명에 따른 식별시스템 적용 이전의 모니터링 화면 창을 보인 이미지이고, 도 4는 본 발명에 따른 식별시스템을 적용한 상태에서 자동처리 프로세스와 수동처리 프로세스를 진행하는 모습을 보인 이미지이고, 도 5는 도 4에서 보인 테스트를 통해 최종 식별 결과를 보인 모니터링 화면창 이미지인 바, 이를 참조해 설명한다.
본 발명에 따른 식별시스템을 설치한 단말기와 서버 간의 통신상황을 테스트한 결과 다음과 같은 결과를 확인했다.
도 3에서 보인 바와 같이, 해당 단말기는 "192.168.3.223"의 IP를 갖는 서버에 접속을 시도한다. 이때, 모니터링 화면 창의 좌측에 확인되는 11가지 타입의 명령어 리스트는 자동처리로 서버에 전송된다. 그 결과, 상기 서버는 상기 단말기가 전송한 모든 명령어를 정상적으로 수신했고, 아울러 상기 서버는 해당 명령어에 따라 후속 처리를 정상적으로 진행했다.
한편, 도 4에서 보인 바와 같이, 단말기와 보안 프록시에 본 발명에 따른 식별시스템을 설치하고, 상기 명령어 리스트에서 1 내지 10번째의 명령어는 자동처리로 서버에 전송하고, 마지막 11번째 명령어는 해당 실행 창을 통해 수동처리해서 서버에 전송했다.
그 결과, 도 5에서 보인 바와 같이, 1 내지 10번째까지의 명령어는 그 접속이 차단되고, 수동처리한 11번째의 명령어는 정상적으로 후속 처리되었음이 확인됐다. 결국, 본 발명에 따른 식별방법 및 식별시스템은 단말기에서 발생한 세션의 종류를 정확히 확인해서 자동처리 여부를 효과적으로 판단하고, 이를 통해서 서버는 악성코드 등에 의한 무단접속 및 처리를 원천적으로 차단할 수 있다.
앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예들을 참조해 설명했지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
10; 단말기 11; 입력수단 12; OS
13; 통신세션 분류모듈 14; 프로세스 감시모듈 15; 입력이벤트 수집모듈
16; 세션식별모듈 20; 보안 프록시 21; 필터링모듈
22; 관리모듈 30; 서버
13; 통신세션 분류모듈 14; 프로세스 감시모듈 15; 입력이벤트 수집모듈
16; 세션식별모듈 20; 보안 프록시 21; 필터링모듈
22; 관리모듈 30; 서버
Claims (7)
- 단말기의 통신 세션 발생 여부와 해당 통신 세션의 프로세스 PID(Process Identifier)를 확인해서 프로세스 감시모듈로 전달하고, 상기 프로세스 감시모듈로부터 수신한 상기 프로세스의 프로세스 정보를 세션별로 재편성한 세션분류정보를 생성해서 세션식별모듈로 전달하는 통신세션 분류모듈; 상기 통신세션 분류모듈로부터 수신한 상기 프로세스 PID의 관련 프로세스 정보를 상기 단말기의 OS에서 확인해서 상기 통신세션 분류모듈로 전달하는 프로세스 감시모듈; 및, 상기 세션분류정보에 구성된 통신 세션의 발생 방식을, 제1식별기준에 적용해서 자동처리와 수동처리로 분류한 세션식별정보를 생성하는 세션식별모듈;을 포함하는 스크립트에 의한 서버작업 식별시스템에 있어서,
상기 통신 세션이 자동처리인 경우에는 정책에 따라 후속처리하는 필터링모듈이 구성된 보안 프록시를 더 포함하는 것을 특징으로 하는 스크립트에 의한 서버작업 식별시스템. - 제 1 항에 있어서,
상기 세션식별모듈은 상기 세션식별정보를 상기 보안 프록시로 전송하고;
상기 필터링모듈은 상기 세션식별정보에 구성된 통신 세션의 발생을 제2식별기준을 기반으로 자동처리와 수동처리로 분류하는 것;
을 특징으로 하는 스크립트에 의한 서버작업 식별시스템. - 제 2 항에 있어서,
상기 단말기 내 입력수단의 입력이벤트를 수집해서 상기 세션식별모듈로 전달하는 입력이벤트 수집모듈을 더 포함하고;
상기 세션식별모듈은 상기 입력이벤트를 상기 제1식별기준에 적용해서 상기 통신 세션을 분류하며;
상기 필터링모듈은 상기 입력이벤트를 상기 제2식별기준에 적용해서 상기 통신 세션을 분류하는 것;
을 특징으로 하는 스크립트에 의한 서버작업 식별시스템. - 제 3 항에 있어서,
상기 제1식별기준은, 통신 세션이 발생한 시점에 입력이벤트가 발생하지 않은 통신 세션을 자동처리로 간주하는 제1기준, 입력이벤트의 발생 없이 지속적으로 다량의 패킷이 전송되는 통신 세션을 자동처리로 추정하는 제2기준, 통신 세션 발생시 화면 보기 모드가 비활성화된 통신 세션을 자동처리로 간주하는 제3기준, 통신 세션 관련 원본 프로그램이 문자열 리스트 형태의 스크립트 파일이면 자동처리로 추정하는 제4기준, 해당 실행 창이 최상위에 비활성화된 상태에서 통신 세션이 시작되거나 신규 패킷이 발생하면 자동처리로 추정하는 제5기준, 중 선택된 하나 이상을 포함하는 것;
을 특징으로 하는 스크립트에 의한 서버작업 식별시스템. - 제 4 항에 있어서,
상기 세션식별모듈은 통신 세션 분류시 상기 제1식별기준의 제1 내지 제5기준을 순서대로 적용하고, 상기 제1기준 또는 제3기준에서 해당 통신 세션을 자동처리로 간주하면 이후 기준은 적용하지 않는 것;
을 특징으로 하는 스크립트에 의한 서버작업 식별시스템. - 제 2 항 내지 제 5 항 중 어느 한 항에 있어서,
상기 제2식별기준은, 통신 세션에서 다수의 명령신호가 1초 안에 N개 이상 전송된 경우에는 상기 통신 세션을 자동처리로 간주하는 제6기준, 통신 세션에서 명령신호 전송이 오차 범위 내에서 일정한 주기를 갖는 간격으로 입력되는 경우에는 상기 통신 세션을 자동처리로 추정하는 제7기준, 중 선택된 하나 이상을 포함하는 것;
을 특징으로 하는 스크립트에 의한 서버작업 식별시스템. - 제 6 항에 있어서,
상기 필터링모듈은 통신 세션을 발생시킨 원본 프로그램의 파일 이름이나 파일의 설치위치를 상기 세션분류정보에서 확인해서, 상기 제6기준 또는 제7기준에서 상기 통신 세션의 자동처리 간주 또는 추정을 무시하는 것;
을 특징으로 하는 스크립트에 의한 서버작업 식별시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140014915A KR101410445B1 (ko) | 2014-02-10 | 2014-02-10 | 스크립트에 의한 서버작업 식별시스템과 이를 이용한 식별방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140014915A KR101410445B1 (ko) | 2014-02-10 | 2014-02-10 | 스크립트에 의한 서버작업 식별시스템과 이를 이용한 식별방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101410445B1 true KR101410445B1 (ko) | 2014-06-20 |
Family
ID=51133646
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020140014915A KR101410445B1 (ko) | 2014-02-10 | 2014-02-10 | 스크립트에 의한 서버작업 식별시스템과 이를 이용한 식별방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101410445B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101843161B1 (ko) * | 2017-09-15 | 2018-03-29 | 주식회사 피앤피시큐어 | 원격서버작업 식별을 통한 서버 보안시스템과 이를 이용한 보안방법 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130096565A (ko) * | 2012-02-22 | 2013-08-30 | 주식회사 더존정보보호서비스 | 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 |
-
2014
- 2014-02-10 KR KR1020140014915A patent/KR101410445B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130096565A (ko) * | 2012-02-22 | 2013-08-30 | 주식회사 더존정보보호서비스 | 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101843161B1 (ko) * | 2017-09-15 | 2018-03-29 | 주식회사 피앤피시큐어 | 원격서버작업 식별을 통한 서버 보안시스템과 이를 이용한 보안방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10666686B1 (en) | Virtualized exploit detection system | |
| KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
| US9628357B2 (en) | Service compliance enforcement using user activity monitoring and work request verification | |
| US8677472B1 (en) | Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server | |
| US8437021B2 (en) | Printing system and program for processing secure print jobs using a security-unaware printer | |
| US8832680B2 (en) | Installation event counting apparatus and package creation method | |
| US9712536B2 (en) | Access control device, access control method, and program | |
| CN108351807B (zh) | 维持对云计算环境中的受限数据的控制的事件管理 | |
| US11182163B1 (en) | Customizable courses of action for responding to incidents in information technology environments | |
| JP2006252256A (ja) | ネットワーク管理システム、方法およびプログラム | |
| CN111314381A (zh) | 安全隔离网关 | |
| JP2015142166A (ja) | 画像形成装置及びその制御方法、並びにプログラム | |
| US10848491B2 (en) | Automatically detecting a violation in a privileged access session | |
| US20080184368A1 (en) | Preventing False Positive Detections in an Intrusion Detection System | |
| KR101410445B1 (ko) | 스크립트에 의한 서버작업 식별시스템과 이를 이용한 식별방법 | |
| KR20110060847A (ko) | 전자상거래 불법 침입 감시 및 차단 방법과 시스템 | |
| JP4249174B2 (ja) | スパイウェア通信管理装置およびスパイウェア通信管理プログラム | |
| US9246902B1 (en) | Device-agnostic user authentication | |
| KR101843161B1 (ko) | 원격서버작업 식별을 통한 서버 보안시스템과 이를 이용한 보안방법 | |
| KR20150119598A (ko) | 사물인터넷 보안시스템 및 방법 | |
| CN114050916A (zh) | 混合云管理系统和方法 | |
| KR101869027B1 (ko) | 보안서비스 제공 시스템 | |
| CN112041840A (zh) | 认证设备 | |
| KR101856720B1 (ko) | 보안서비스 제공방법 | |
| CN116436668B (zh) | 信息安全管控方法、装置,计算机设备,存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20180403 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20190329 Year of fee payment: 6 |