KR101515493B1 - 프로세스 모니터링과 키보드 잠금을 이용한 프로세스 관리 방법 및 프로세스 관리 장치 - Google Patents

프로세스 모니터링과 키보드 잠금을 이용한 프로세스 관리 방법 및 프로세스 관리 장치 Download PDF

Info

Publication number
KR101515493B1
KR101515493B1 KR1020130108587A KR20130108587A KR101515493B1 KR 101515493 B1 KR101515493 B1 KR 101515493B1 KR 1020130108587 A KR1020130108587 A KR 1020130108587A KR 20130108587 A KR20130108587 A KR 20130108587A KR 101515493 B1 KR101515493 B1 KR 101515493B1
Authority
KR
South Korea
Prior art keywords
list
execution
information
process information
risk
Prior art date
Application number
KR1020130108587A
Other languages
English (en)
Other versions
KR20150029840A (ko
Inventor
고석주
박진호
이재휘
Original Assignee
경북대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 경북대학교 산학협력단 filed Critical 경북대학교 산학협력단
Priority to KR1020130108587A priority Critical patent/KR101515493B1/ko
Publication of KR20150029840A publication Critical patent/KR20150029840A/ko
Application granted granted Critical
Publication of KR101515493B1 publication Critical patent/KR101515493B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/83Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 프로세스의 이프로세스(EPROCESS) 구조체로부터 프로세스 정보를 획득하는 단계, 획득한 프로세스 정보와 클라이언트에 저장된 프로세스 목록과 비교하는 단계 및 비교 결과에 기초하여 사용자의 키보드 입력 차단 여부를 결정하는 단계를 포함하는 프로세스 관리 방법에 관한 것이다.

Description

프로세스 모니터링과 키보드 잠금을 이용한 프로세스 관리 방법 및 프로세스 관리 장치{METHOD AND APPARATUS FOR PROCESS MANAGEMENT USING PROCESS MONITORING AND KEYBOARD LOCKING}
본 발명은 프로세스 모니터링과 키보드 잠금을 이용한 프로세스 관리 방법 및 프로세스 관리 장치에 관한 것이다.
클라이언트에 설치되어 개인 정보를 유출시키는 악성코드와 악의적인 해커의 공격이 급격하게 증가함에 따라 다양한 보안 솔루션이 개발되고 있다. 기존의 보안 솔루션들은 주로 각종 공격에 대한 시그니처를 분석하여 시그니처를 감지할 수 있는 패턴 형태로 만들고, 네트워크 패킷을 실시간으로 관찰하여 공격에 해당하는 패턴이 발견되면 침입사실을 알리는 전문가 기반의 오용탐지가 주류를 이루고 있다. 이 방식은 정확도는 비교적 높지만, 각종 공격을 분석하여 패턴을 만들기 위한 숙련된 전문가가 필요하고, 기존 패턴을 약간 변형시킨 공격을 탐지하기 어렵다는 단점이 존재한다.
본 발명의 목적은 보다 안전한 컴퓨팅 환경을 제공할 수 있는 프로세스 관리 방법 및 프로세스 관리 장치를 제공하는 데 있다.
본 발명의 기술적 과제는 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 실시예에 따른 프로세스 관리 방법은 프로세스의 이프로세스(EPROCESS) 구조체로부터 프로세스 정보를 획득하는 단계, 상기 획득한 프로세스 정보와 클라이언트에 저장된 프로세스 목록과 비교하는 단계 및 상기 비교 결과에 기초하여 사용자의 키보드 입력 차단 여부를 결정하는 단계를 포함할 수 있다.
실시예에서, 상기 프로세스 정보를 획득하는 단계는 상기 이프로세스 구조체로부터 상기 프로세스의 이미지 경로 이름 및 상기 프로세스의 이미지 이름 중 적어도 어느 하나를 획득하는 단계를 포함할 수 있다.
실시예에서, 상기 프로세스 정보를 획득하는 단계는 상기 획득한 이미지 경로 이름 및 상기 획득한 이미지 이름의 해시값을 획득하는 단계를 더 포함할 수 있다.
실시예에서, 상기 비교하는 단계는 상기 획득한 프로세스 정보를 저장된 실행 허가 목록과 비교하는 단계; 및 상기 획득한 프로세스 정보를 저장된 실행 위험 목록과 비교하는 단계를 포함할 수 있다.
실시예에서, 상기 프로세스가 상기 실행 허가 목록에 포함되는 경우, 다음 이프로세스 구조체로부터 다음 프로세스 정보를 획득하는 단계를 더 포함할 수 있다.
실시예에서, 상기 프로세스가 상기 실행 위험 목록에 포함되는 경우, 상기 사용자의 키보드 입력 차단 여부를 결정하는 단계는 키보드 입력 잠금을 설정하는 단계, 상기 사용자에게 위험한 프로세스가 탐지되었다는 메시지를 제공하는 단계 및 상기 위험한 프로세스의 실행을 종료시키는 단계를 포함할 수 있다.
실시예에서, 상기 프로세스가 상기 실행 허가 목록 및 상기 실행 위험 목록 중 어디에도 포함되지 않는 경우, 상기 프로세스의 이미지를 바이러스 토탈 서버로 전송하는 단계를 더 포함할 수 있다.
실시예에서, 상기 바이러스 토탈 서버로부터 상기 프로세스의 위험성 판단 결과를 전송 받는 단계 및 상기 위험성 판단 결과에 따라 상기 실행 허가 목록 또는 상기 실행 위험 목록 중 어느 하나에 상기 프로세스를 업데이트하는 단계를 더 포함할 수 있다.
본 발명의 실시예에 따르면, 상기 프로세스 관리 방법을 기록한 컴퓨터에서 실행되기 위한 프로그램으로 제작되어 컴퓨터가 읽을 수 있는 기록 매체일 수 있다.
본 발명의 실시예에 따른 프로세스 관리 장치는 프로세스의 이프로세스 구조체로부터 프로세스 정보를 획득하고, 상기 획득한 프로세스 정보와 저장된 프로세스 목록을 비교하며, 상기 비교 결과에 기초하여 사용자의 키보드 입력 차단 여부를 결정하는 제어부를 포함할 수 있다.
실시예에서, 상기 프로세스 정보는 상기 프로세스의 이미지 경로 이름, 상기 프로세스의 이미지 이름 중 적어도 어느 하나인 것을 특징으로 할 수 있다.
실시예에서, 상기 제어부는 상기 프로세스의 이미지 경로 이름의 해시값 및 상기 프로세스의 이미지 이름의 해시값을 이용하여 상기 저장된 프로세스 목록과 비교할 수 있다.
실시예에서, 상기 제어부는 상기 프로세스 정보를 상기 클라이언트에 저장된 실행 허가 목록과 비교하고 상기 프로세스 정보가 상기 실행 허가 목록에 존재하면 다음 이프로세스 구조체로부터 다음 프로세스 정보를 획득할 수 있다.
실시예에서, 상기 제어부는 상기 프로세스 정보가 상기 클라이언트에 저장된 실행 허가 목록에 존재하지 않으면 상기 프로세스 정보를 상기 클라이언트에 저장된 실행 위험 목록과 비교하고, 상기 프로세스 정보가 상기 실행 위험 목록에 존재하면 사용자의 키보드 입력을 차단할 수 있다.
실시예에서, 상기 제어부는 상기 프로세스 정보가 상기 클라이언트에 저장된 실행 위험 목록에 존재하지 않으면 상기 프로세스 정보를 바이러스 토탈 서버에 전송하고, 상기 바이러스 토탈 서버로부터 상기 프로세스의 위험 여부를 전송받을 수 있다.
실시예에서, 상기 제어부는 상기 바이러스 토탈 서버로부터 전송 받은 결과에 따라 상기 실행 허가 목록 및 상기 실행 위험 목록을 업데이트할 수 있다.
본 발명의 일측면에 따르면 기존 시그니처 기반의 보안 솔루션이 새로운 형태의 악성 코드에 즉각 대처하지 못하는 단점을 보완하여, 보다 안전한 컴퓨팅 환경을 제공할 수 있다.
본 발명의 다른 측면에 따르면, 기존 시그니처 보안 솔루션이 악성코드를 분석하여 검색 엔진에 탑재하기 전에 보다 신속하게 악성코드를 탐지하여 사용자의 정보 유출을 방지할 수 있다.
도 1은 본 발명의 실시예에 따른 프로세스 관리 방법을 설명하기 위한 도면이다.
도 2는 본 발명의 실시예에 따른 획득한 프로세스 정보를 저장된 프로세스 목록과 비교하는 단계를 보다 상세히 설명하기 위한 도면이다.
도 3은 본 발명의 실시예에 따른 프로세스의 위험성 판단 여부를 결정하는 단계를 보다 상세히 설명하기 위한 도면이다.
도 4는 본 발명의 실시예에 따른 키보드 차단 여부를 결정하는 단계를 보다 상세히 설명하기 위한 도면이다.
도 5는 본 발명의 실시예에 따른 프로세스 관리 장치를 설명하기 위한 도면이다.
본 발명의 다른 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술 되는 실시 예를 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예는 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
만일 정의되지 않더라도, 여기서 사용되는 모든 용어들(기술 혹은 과학 용어들을 포함)은 이 발명이 속한 종래 기술에서 보편적 기술에 의해 일반적으로 수용되는 것과 동일한 의미를 가진다. 일반적인 사전들에 의해 정의된 용어들은 관련된 기술 그리고/혹은 본 출원의 본문에 의미하는 것과 동일한 의미를 갖는 것으로 해석될 수 있고, 그리고 여기서 명확하게 정의된 표현이 아니더라도 개념화되거나 혹은 과도하게 형식적으로 해석되지 않을 것이다.
본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다' 및/또는 이 동사의 다양한 활용형들 예를 들어, '포함', '포함하는', '포함하고', '포함하며' 등은 언급된 조성, 성분, 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 조성, 성분, 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
본 명세서에서 '및/또는' 이라는 용어는 나열된 구성들 각각 또는 이들의 다양한 조합을 가리킨다.
한편, 본 명세서 전체에서 사용되는 '~부', '~기', '~블록', '~모듈' 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미할 수 있다. 예를 들어 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미할 수 있다. 그렇지만 '~부', '~기', '~블록', '~모듈' 등이 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부', '~기', '~블록', '~모듈'은 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부', '~기', '~블록', '~모듈'은 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부', '~기', '~블록', '~모듈'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부', '~기', '~블록', '~모듈'들로 결합되거나 추가적인 구성요소들과 '~부', '~기', '~블록', '~모듈'들로 더 분리될 수 있다.
본 발명은 클라이언트에서 실행 중인 프로세스를 검사하여 위험 요소가 탐지될 경우 사용자의 키보드를 잠금 설정하여 정보 유출을 방지하는 방법에 관한 것이다. 본 발명에서 클라이언트는 저장된 프로세스 목록을 실행 위험 목록과 실행 허가 목록으로 분류한다. 현재 검사 중인 프로세스가 실행 위험 목록에 포함되면 클라이언트는 키보드 입력을 차단하고 사용자에게 알린 뒤 프로세스를 종료시킨다. 또한, 현재 검사 중인 프로세스가 실행 위험 목록과 실행 허가 목록 어디에도 포함되지 않은 경우에는 클라이언트는 서버로 프로세스 정보를 전송하여 프로세스의 위험성 여부를 판단 받는다. 프로세스가 위험한 것으로 판단되면 클라이언트는 키보드 입력을 차단하고 사용자에게 알린 뒤 프로세스를 종료시킨다. 클라이언트가 서버로부터 판단 결과를 수신하면, 판단 결과에 따라 프로세스 목록을 업데이트한다. 이하 첨부된 도면을 참조하여 상세히 설명한다.
도 1은 본 발명의 실시예에 따른 프로세스 관리 방법을 설명하기 위한 도면이다. 본 발명의 실시예에 따른 프로세스 관리 방법은 클라이언트의 제어부 또는 처리 장치 등에 의해 수행되며, 이프로세스(EPROCESS) 구조체로부터 프로세스 정보를 획득하는 단계(S10), 획득한 프로세스 정보를 저장된 프로세스 목록과 비교하는 단계(S20) 및 비교 결과에 기초하여 키보드 입력 차단 여부를 결정하는 단계(S30)를 포함할 수 있다.
본 발명의 실시예에 따른 이프로세스 구조체로부터 프로세스 정보를 획득하는 단계(S10)는 제어부가 프로세스의 이프로세스 구조체를 읽어들이고, 이 프로세스 구조체로부터 이미지 경로 이름(ImagePathName)과 이미지 이름을 획득함으로써 수행될 수 있다. 실시예에서, 제어부는 획득한 이미지 경로 이름과 이미지 이름에 대한 해시값을 획득할 수 있다.
본 발명의 실시예에 따른 획득한 프로세스 정보를 저장된 프로세스 목록과 비교하는 단계(S20)는 제어부가 이프로세스 구조체로부터 획득한 이미지 경로 이름과 이미지 이름을 미리 저장된 프로세스 목록과 비교함으로써 수행될 수 있다.
실시예에서 프로세스 목록은 프로세스의 이미지 경로 이름, 이미지 이름, 위험 여부 등을 포함하거나, 실행 허가 목록과 실행 위험 목록을 각각 포함할 수 있다. 실시예에서 프로세스 목록은 이미지 경로 이름에 대한 해시값과 이미지 이름에 대한 해시값을 더 포함할 수 있다. 실시예에서, 저장된 프로세스 목록과의 비교는 이미지 경로 이름과 이미지 이름을 비교하거나 이미지 경로 이름의 해시값과 이미지 이름의 해시값을 이용하여 수행될 수 있다.
실시예에서, 최초의 프로세스 목록은 외부 서버로부터 위험 여부가 판단된 프로세스 목록을 수신하여 생성될 수 있다. 최초의 프로세스 목록에 포함되지 않은 프로세스는 위험성 판단 여부를 거쳐 프로세스 목록에 추가될 수 있다.
획득한 프로세스 정보를 저장된 프로세스 목록과 비교하는 단계(S20)에 대해서는 도 2 및 도 3을 참조하여 보다 상세히 설명할 것이다.
본 발명의 실시예에 따른 비교 결과에 기초하여 키보드 입력 차단 여부를 결정하는 단계(S30)는 제어부가 S20 단계의 비교 결과에 기초하여 결정할 수 있다. 프로세스가 실행 허가 목록에 포함되는 경우, 키보드 입력 차단을 하지 않고 다음 프로세스에 대한 검사를 실시할 수 있다. 제어부는 프로세스가 실행 위험 목록에 포함되는 경우, 키보드 입력을 차단하고, 사용자에게 위험한 프로세스가 실행 중임을 알린 후 프로세스의 실행을 종료할 수 있다. 제어부는 프로세스가 실행 허가 목록과 실행 위험 목록 중 어느 목록에도 포함되지 않은 경우에는 프로세스의 위험성 여부가 판단될 때까지 키보드 입력을 차단할 수 있다. 제어부는 위험성 여부가 판단되지 않은 상태에서 키보드를 입력을 차단하는 경우, 사용자에게 키보드 입력 차단을 해제할 수 있는 수단을 제공할 수 있다.
비교 결과에 기초하여 키보드 입력 차단 여부를 결정하는 단계(S30)에 대해서는 도 4를 참조하여 보다 상세히 설명할 것이다.
도 2는 본 발명의 실시예에 따른 획득한 프로세스 정보를 저장된 프로세스 목록과 비교하는 단계(S20)를 보다 상세히 설명하기 위한 도면이다.
본 발명의 실시예에 따른 획득한 프로세스 정보를 저장된 프로세스 목록과 비교하는 단계(S20)는 프로세스가 실행 허가 목록에 존재하는지 확인하는 단계(S22) 및 프로세스가 실행 위험 목록에 존재하는지 확인하는 단계(S24)를 포함할 수 있다. 도 2는 저장된 프로세스 목록이 실행 허가 목록과 실행 위험 목록을 포함하는 경우를 가정하여 설명하고 있으나, 프로세스의 위험성 여부 판단은 하나의 프로세스 목록에 실행 위험 여부에 대한 플래그를 포함하는 경우에는 프로세스가 목록에 존재하는지 탐색하고, 존재하는 경우 그 위험 여부를 확인함으로써 수행될 수 있다.
프로세스가 실행 허가 목록에 존재하는지 확인하여(S22) 프로세스가 실행 허가 목록에 존재하면, 현재 프로세스는 안전성이 검증된 프로세스이므로, 다음 이프로세스 구조체를 읽어들이고, 읽어들인 이프로세스(EPROCESS) 구조체로부터 프로세스 정보를 획득하는 단계(S10)가 실행된다.
프로세스가 실행 허가 목록에 존재하지 않으면, 프로세스가 실행 위험 목록에 존재하는지 확인하고(S24), 실행 위험 목록에 존재하는 경우에는 키보드 입력 차단 여부를 결정하는 단계(S30)가 수행된다.
프로세스가 실행 위험 목록에도 존재하지 않으면, 이 프로세스는 실행 허가 목록과 실행 위험 목록 어디에도 존재하지 않는 새로운 프로세스이므로, 프로세스의 위험성 판단 여부를 결정하는 단계(S40)가 수행된다. 제어부는 프로세스에 대한 정보를 서버로 전송하고 서버로부터 프로세스의 위험성 판단 결과를 수신할 때까지 키보드 입력을 차단할 수 있다. 프로세스의 위험성 판단 여부를 결정하는 단계(S40)에 대해서는 도 3을 참조하여 보다 상세히 설명할 것이다.
도 3은 본 발명의 실시예에 따른 프로세스의 위험성 판단 여부를 결정하는 단계(S40)를 보다 상세히 설명하기 위한 도면이다.
본 발명의 실시예에 따른 프로세스의 위험성 판단 여부를 결정하는 단계(S40)는 프로세스 정보를 바이러스 토탈 서버로 전송하는 단계(S41), 바이러스 토탈 서버로부터 위험성 판단 결과를 수신하는 단계(S42), 위험성 여부에 따라(S43) 프로세스를 실행 위험 목록에 추가하거나(S44) 프로세스를 실행 허가 목록에 추가하는 단계(S45)를 포함할 수 있다. 본 발명의 실시예에서 바이러스 토탈 서버는 상용 백신에서 검출되지 않는 악성코드 파일이나 기타 사이트에 있는 파일을 검사하여 사용자에게 진단 결과를 제공하는 사이트를 의미한다. 본 발명의 실시예에서 바이러스 토탈 서버는 예시적인 것이며, 유사한 기능을 하는 사이트가 서버로 이용될 수 있다.
제어부는 통신부를 통해 프로세스 정보를 바이러스 토탈 서버로 전송할 수 있고, 통신부는 프로세스의 위험성 판단 결과를 바이러스 토탈 서버로부터 수신할 수 있다. 제어부는 프로세스가 안전한 것으로 판단되면, 프로세스 검사를 종료하거나 다음 이프로세스 구조체를 읽어들여 다음 프로세스를 검사할 수 있다. 제어부는 프로세스가 위험한 것으로 판단되면, 프로세스를 실행 위험 목록에 추가하고 키보드 입력을 차단할 수 있다. 키보드 입력 차단 여부를 결정하는 단계(S30)는 도 4를 참조하여 보다 상세히 설명할 것이다.
도 4는 본 발명의 실시예에 따른 키보드 차단 여부를 결정하는 단계(S30)를 보다 상세히 설명하기 위한 도면이다.
본 발명의 실시예에 따른 키보드 차단 여부를 결정하는 단계(S30)는 키보드 입력 잠금 설정 단계(S32), 실행 위험 프로세스가 탐지되었음을 사용자에게 경고하는 단계(S34), 실행 위험 프로세스의 실행을 종료하는 단계(S36)를 포함할 수 있다.
프로세스가 실행 위험 목록에 존재하거나(S24) 바이러스 토탈 서버로부터 프로세스가 위험한 것으로 판단된 경우(S44), 제어부는 키보드 입력을 차단할 수 있다. 제어부는 사용자의 키보드 입력을 차단하는 경우에도 실행 위험 프로세스가 탐지되었음을 사용자에게 알린 후, 키보드 입력 차단을 해제할 수 있는 수단을 제공함으로써 사용자가 원하는 경우 키보드의 입력 차단을 해제할 수 있다.
제어부는 사용자의 키보드 입력을 차단한 후 실행 위험 프로세스의 실행을 강제로 종료할 수 있다. 나아가, 제어부는 실행 위험 프로세스의 이미지 경로 이름에서 획득한 프로세스의 설치 경로를 통해, 실행 위험 프로세스를 클라이언트에서 삭제하거나 실행이 되지 않도록 격리할 수 있다.
도 5는 본 발명의 실시예에 따른 프로세스 관리 장치(100)를 설명하기 위한 도면이다.
본 발명의 실시예에 따른 프로세스 관리 장치(100)는 제어부(10) 및 통신부(20)를 포함할 수 있다. 제어부(10)는 도 1 내지 도 4에서 설명한 프로세스 관리 방법을 통해 프로세스를 관리할 수 있다. 통신부(20)는 프로세스 정보를 서버에 전송하여 서버가 프로세스의 위험성 여부를 판단하게 할 수 있고, 서버가 판단한 프로세스의 위험성 정보를 수신하여 제어부(10)가 적절한 조치를 취할 수 있도록 할 수 있다. 본 발명의 실시예에서, 프로세스 관리 장치(100)는 클라이언트에 포함될 수 있다.
전술한 본 발명의 실시예에 따른 프로세스 관리 방법은 컴퓨터에서 실행되기 위한 프로그램으로 제작되어 컴퓨터가 읽을 수 있는 기록 매체에 저장될 수 있다. 상기 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 저장 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장 장치 등이 있다.
이상의 실시예들은 본 발명의 이해를 돕기 위하여 제시된 것으로, 본 발명의 범위를 제한하지 않으며, 이로부터 다양한 변형 가능한 실시예들도 본 발명의 범위에 속할 수 있음을 이해하여야 한다. 예를 들어, 본 발명의 실시예에 도시된 각 구성 요소는 분산되어 실시될 수도 있으며, 반대로 여러 개로 분산된 구성 요소들은 결합되어 실시될 수 있다. 따라서, 본 발명의 기술적 보호범위는 특허청구범위의 기술적 사상에 의해 정해져야 할 것이며, 본 발명의 기술적 보호범위는 특허청구범위의 문언적 기재 그 자체로 한정되는 것이 아니라 실질적으로는 기술적 가치가 균등한 범주의 발명에 대하여까지 미치는 것임을 이해하여야 한다.
10: 제어부
20: 통신부
100: 프로세스 관리 장치

Claims (16)

  1. 프로세스의 이프로세스(EPROCESS) 구조체로부터 프로세스 정보를 획득하는 단계;
    상기 획득한 프로세스 정보와 클라이언트에 저장된 프로세스 목록과 비교하는 단계; 및
    상기 비교 결과에 기초하여 사용자의 키보드 입력 차단 여부를 결정하는 단계;
    를 포함하며,
    상기 비교하는 단계는:
    상기 획득한 프로세스 정보를 저장된 실행 허가 목록과 비교하는 단계; 및
    상기 획득한 프로세스 정보를 저장된 실행 위험 목록과 비교하는 단계;
    를 포함하고,
    상기 프로세스가 상기 실행 위험 목록에 포함되는 경우,
    상기 사용자의 키보드 입력 차단 여부를 결정하는 단계는:
    키보드 입력 잠금을 설정하여 사용자 정보 유출을 방지하는 단계;
    상기 사용자에게 위험한 프로세스가 탐지되었다는 메시지를 제공하는 단계;
    상기 사용자에게 상기 키보드 입력 잠금을 해제할 수 있는 수단을 제공하는 단계; 및
    상기 위험한 프로세스의 실행을 종료시키는 단계;
    를 포함하는 프로세스 관리 방법.
  2. 제1항에 있어서,
    상기 프로세스 정보를 획득하는 단계는
    상기 이프로세스 구조체로부터 상기 프로세스의 이미지 경로 이름 및 상기 프로세스의 이미지 이름 중 적어도 하나를 획득하는 단계;
    를 포함하는 프로세스 관리 방법.
  3. 제2항에 있어서,
    상기 프로세스 정보를 획득하는 단계는
    상기 획득한 이미지 경로 이름 또는 상기 획득한 이미지 이름의 해시값을 획득하는 단계;
    를 더 포함하는 프로세스 관리 방법.
  4. 삭제
  5. 제1항에 있어서,
    상기 프로세스가 상기 실행 허가 목록에 포함되는 경우,
    다음 이프로세스 구조체로부터 다음 프로세스 정보를 획득하는 단계;
    를 더 포함하는 프로세스 관리 방법.
  6. 삭제
  7. 제1항에 있어서,
    상기 프로세스가 상기 실행 허가 목록 및 상기 실행 위험 목록 중 어디에도 포함되지 않는 경우,
    상기 프로세스의 이미지를 바이러스 토탈 서버로 전송하는 단계;
    를 더 포함하는 프로세스 관리 방법.
  8. 제7항에 있어서,
    상기 바이러스 토탈 서버로부터 상기 프로세스의 위험성 판단 결과를 전송 받는 단계; 및
    상기 위험성 판단 결과에 따라 상기 실행 허가 목록 또는 상기 실행 위험 목록 중 어느 하나에 상기 프로세스를 업데이트하는 단계;
    를 더 포함하는 프로세스 관리 방법.
  9. 제1항 내지 제3항, 제5항, 제7항, 제8항 중 어느 한 항의 프로세스 관리 방법을 컴퓨터에서 실행되기 위한 프로그램으로 제작되어 기록한 컴퓨터가 읽을 수 있는 기록 매체.
  10. 프로세스의 이프로세스 구조체로부터 프로세스 정보를 획득하고,
    상기 획득한 프로세스 정보와 저장된 프로세스 목록을 비교하며,
    상기 비교 결과에 기초하여 사용자의 키보드 입력 차단 여부를 결정하는 제어부;
    를 포함하며,
    상기 제어부는,
    상기 프로세스 정보를 상기 저장된 프로세스 목록에 포함된 실행 허가 목록과 비교하고, 상기 프로세스 정보가 상기 실행 허가 목록에 존재하면 다음 이프로세스 구조체로부터 다음 프로세스 정보를 획득하며,
    상기 프로세스 정보가 상기 실행 허가 목록에 존재하지 않으면 상기 프로세스 정보를 상기 저장된 프로세스 목록에 포함된 실행 위험 목록과 비교하고, 상기 프로세스 정보가 상기 실행 위험 목록에 존재하면 사용자의 키보드 입력을 차단하여 사용자 정보 유출을 방지하고, 상기 사용자에게 키보드 입력 차단을 해제할 수 있는 수단을 제공하는 프로세스 관리 장치.
  11. 제10항에 있어서,
    상기 프로세스 정보는 상기 프로세스의 이미지 경로 이름, 상기 프로세스의 이미지 이름 중 적어도 하나인 것을 특징으로 하는 프로세스 관리 장치
  12. 제11항에 있어서,
    상기 제어부는 상기 프로세스의 이미지 경로 이름의 해시값 또는 상기 프로세스의 이미지 이름의 해시값을 이용하여 상기 저장된 프로세스 목록과 비교하는 프로세스 관리 장치
  13. 삭제
  14. 삭제
  15. 제10항에 있어서,
    상기 제어부는 상기 프로세스 정보가 상기 실행 위험 목록에 존재하지 않으면 상기 프로세스 정보를 바이러스 토탈 서버에 전송하고, 상기 바이러스 토탈 서버로부터 상기 프로세스의 위험 여부를 전송받는 프로세스 관리 장치
  16. 제15항에 있어서,
    상기 제어부는 상기 바이러스 토탈 서버로부터 전송받은 결과에 따라 상기 실행 허가 목록 및 상기 실행 위험 목록을 업데이트하는 프로세스 관리 장치
KR1020130108587A 2013-09-10 2013-09-10 프로세스 모니터링과 키보드 잠금을 이용한 프로세스 관리 방법 및 프로세스 관리 장치 KR101515493B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130108587A KR101515493B1 (ko) 2013-09-10 2013-09-10 프로세스 모니터링과 키보드 잠금을 이용한 프로세스 관리 방법 및 프로세스 관리 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130108587A KR101515493B1 (ko) 2013-09-10 2013-09-10 프로세스 모니터링과 키보드 잠금을 이용한 프로세스 관리 방법 및 프로세스 관리 장치

Publications (2)

Publication Number Publication Date
KR20150029840A KR20150029840A (ko) 2015-03-19
KR101515493B1 true KR101515493B1 (ko) 2015-05-11

Family

ID=53024078

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130108587A KR101515493B1 (ko) 2013-09-10 2013-09-10 프로세스 모니터링과 키보드 잠금을 이용한 프로세스 관리 방법 및 프로세스 관리 장치

Country Status (1)

Country Link
KR (1) KR101515493B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100501724B1 (ko) 2003-08-28 2005-07-18 최백준 윈도우즈 터미널 기반의 서버 베이스 컴퓨팅 시스템에서클라이언트의 마우스와 키보드 동작을 서버 편에서제어하여 사용자 화면 잠금 및 작업 중지와 화면풀기 및작업 개시 기능을 구현하는 방법과 이를 수록한 기록 매체
KR101042857B1 (ko) * 2009-09-03 2011-06-20 주식회사 잉카인터넷 해킹 프로세스의 실행 차단방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100501724B1 (ko) 2003-08-28 2005-07-18 최백준 윈도우즈 터미널 기반의 서버 베이스 컴퓨팅 시스템에서클라이언트의 마우스와 키보드 동작을 서버 편에서제어하여 사용자 화면 잠금 및 작업 중지와 화면풀기 및작업 개시 기능을 구현하는 방법과 이를 수록한 기록 매체
KR101042857B1 (ko) * 2009-09-03 2011-06-20 주식회사 잉카인터넷 해킹 프로세스의 실행 차단방법

Also Published As

Publication number Publication date
KR20150029840A (ko) 2015-03-19

Similar Documents

Publication Publication Date Title
EP3225010B1 (en) Systems and methods for malicious code detection accuracy assurance
KR102210627B1 (ko) 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템
WO2017152742A1 (zh) 一种网络安全设备的风险评估方法和装置
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
US10839074B2 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
KR101951730B1 (ko) 지능형 지속위협 환경에서의 통합 보안 시스템
CN113660224A (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
CN109074448B (zh) 计算装置的安全状态与额定安全状态的偏差的检测
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
CN109784055B (zh) 一种快速检测和防范恶意软件的方法和系统
CN102184371B (zh) Sql语句的数据库操作权限检测方法与系统
CN108429746B (zh) 一种面向云租户的隐私数据保护方法及系统
Farhaoui How to secure web servers by the intrusion prevention system (IPS)?
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及系统
Supriya et al. Malware detection techniques: a survey
JP4843546B2 (ja) 情報漏洩監視システムおよび情報漏洩監視方法
CN110086812B (zh) 一种安全可控的内网安全巡警系统及方法
CN106899977B (zh) 异常流量检验方法和装置
KR101614809B1 (ko) 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법
KR101515493B1 (ko) 프로세스 모니터링과 키보드 잠금을 이용한 프로세스 관리 방법 및 프로세스 관리 장치
US9075991B1 (en) Looting detection and remediation
KR101725670B1 (ko) 웹 서버 점검을 이용해서 악성 코드를 탐지하고 차단하는 시스템 및 방법
KR102211846B1 (ko) 랜섬웨어 탐지 시스템 및 그의 동작 방법
CN114238279A (zh) 数据库安全防护方法、装置、系统、存储介质和电子设备
JP7150425B2 (ja) 通信システム、制御装置、通信制御方法、及びプログラム

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180404

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 5