KR101766847B1 - 사용자 행위에 기반한 프로세스 평가 방법 - Google Patents

사용자 행위에 기반한 프로세스 평가 방법 Download PDF

Info

Publication number
KR101766847B1
KR101766847B1 KR1020170010816A KR20170010816A KR101766847B1 KR 101766847 B1 KR101766847 B1 KR 101766847B1 KR 1020170010816 A KR1020170010816 A KR 1020170010816A KR 20170010816 A KR20170010816 A KR 20170010816A KR 101766847 B1 KR101766847 B1 KR 101766847B1
Authority
KR
South Korea
Prior art keywords
user
score
evaluation
execution
information
Prior art date
Application number
KR1020170010816A
Other languages
English (en)
Inventor
박상호
오호성
정원희
Original Assignee
(주)지란지교소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)지란지교소프트 filed Critical (주)지란지교소프트
Priority to KR1020170010816A priority Critical patent/KR101766847B1/ko
Application granted granted Critical
Publication of KR101766847B1 publication Critical patent/KR101766847B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)

Abstract

사용자 행위에 기반한 프로세스 평가 방법이 개시된다. 본 발명의 일측면에 따른 컴퓨터 장치에서 수행되는 보안을 위한 프로세스 평가 방법은 실행된 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하는 단계; 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단 및 사용자에게 문의하여 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인을 수행하는 단계; 및 행위 판단에 따른 행위 점수와 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하는 단계를 포함한다.

Description

사용자 행위에 기반한 프로세스 평가 방법{Process evaluation method based on user actions}
본 발명은 악의적인 프로세스를 선별하기 위한 사용자 행위에 기반한 프로세스 평가 방법에 관한 것이다.
최근, 개인 사용자의 컴퓨터가 대용량화됨과 동시에 처리 속도가 향상됨에 따라, 예를 들어 기술자료, 설계도면, 개발자료, 시험자료, 영업자료, 생산정보, 군기밀자료 및 개인정보와 같은 사적인 작업내용 및 공적인 업무자료가 개인컴퓨터에 저장되어 관리되고 있다.
그런데, 최근에는 컴퓨팅 장치의 일부 소프트웨어 또는 하드웨어를 제대로 작동하지 못하게 하는 악성코드뿐 아니라, 보안상 중요한 데이터를 외부로 유출시키거나 파일을 암호화하여 사용자가 사용하지 못하게 하거나 문서 파일의 경우 내용을 위조 또는 변조하는 악성 코드가 문제가 되고 있다. 이러한 악성코드는 사용자의 명령과는 상관없이 자체적으로 프로세스를 구동시켜 파일을 위변조하거나 외부로 유출하는데, 이로 인해 개인정보뿐 아니라 업무상 중요한 데이터까지도 훼손 또는 유출되어 그 피해가 커지고 있다.
대한민국 공개특허 제10-2016-0030385 (공개일자 2016년03월17일) 가상 머신에서 멀웨어 탐지를 위한 프로세스 평가
따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 정보의 유출 또는 훼손을 수행하는 악성 프로세스를 선별하기 위해 사용자의 행위에 기반한 프로세스 평가 방법을 제공하기 위한 것이다.
본 발명의 다른 목적들은 이하에 서술되는 바람직한 실시예를 통하여 보다 명확해질 것이다.
본 발명의 일 측면에 따르면, 컴퓨터 장치에서 수행되는 보안을 위한 프로세스 평가 방법에 있어서, 실행된 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하는 단계; 상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인을 수행하는 단계; 및 상기 행위 판단에 따른 행위 점수와 상기 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하는 단계를 포함하는 프로세스 평가 방법 및 방법을 수행하기 위한 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록 매체가 제공된다.
여기서, 상기 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 상기 행위 점수를 산출할 수 있다.
또한, 상기 피드백 점수의 산출은, 상기 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하는 단계; 및 사용자로부터의 입력정보에 따라 상기 피드백 점수를 산출하는 단계를 포함하되, 상기 인터페이스 화면을 출력한 이후 상기 입력정보의 입력까지의 소요시간을 상기 피드백 점수의 산출에 이용할 수 있다.
또한, 미리 설정된 관리서버로부터 수신되는 사용자 등급에 따라 상기 피드백 점수에 가중치를 부여할 수 있다.
또한, 상기 사용자 등급은 평가이력을 기반으로 산출되는 정확도에 따라 결정될 수 있다.
또한, 상기 실행프로세스가 미리 설정된 대상파일에 대해 접근 또는 위변조를 수행했는지에 따른 위험도를 산출하여 상기 프로세스 평가점수에 반영할 수 있다.
그리고, 관리 서버에서 수행되는 프로세스 평가 방법에 있어서, 안전 프로세스에 대한 화이트리스트를 관리하여 관련 정보를 미리 설정된 컴퓨팅 장치들로 제공하는 단계; 상기 컴퓨팅 장치들 각각이 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하고, 상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단에 따른 행위 점수 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하면, 상시 실행프로세스 정보 및 상기 프로세스 평가점수를 포함하는 평가정보를 수신하는 단계; 상기 컴퓨팅 장치들로부터 수신된 상기 평가정보를 기반으로, 평가대상 프로세스에 따른 최종 평가점수를 산출하는 단계; 및 상기 최종 평가점수에 따라 상기 평가대상 프로세스에 대한 상기 화이트리스트로의 등록 여부를 결정하는 단계를 포함하는 프로세스 평가 방법 방법을 수행하기 위한 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록 매체가 제공된다.
여기서, 상기 평가대상 프로세스에 대한 평가정보를 제공한 복수 컴퓨팅 장치의 각 사용자 정보의 사용자 등급에 따른 가중치를 각 프로세스 평가점수에 반영함으로써 상기 최종 평가점수를 산출할 수 있다.
또한, 평가이력을 기반으로 산출되는 정확도에 따라 상기 사용자 등급을 결정할 수 있다.
또한, 상기 컴퓨팅 장치는, 상기 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 상기 행위 점수를 산출할 수 있다.
또한, 상기 컴퓨팅 장치는, 상기 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하고, 사용자로부터의 입력정보에 따라 상기 피드백 점수를 산출하되, 상기 인터페이스 화면을 출력한 이후 상기 입력정보의 입력까지의 소요시간을 상기 피드백 점수의 산출에 이용할 수 있다.
본 발명에 따르면, 사용자의 행위에 기반하여 프로세스를 평가함으로써, 효율적으로 화이트리스트를 구축할 수 있는 효과가 있으며, 또한 복수 사용자의 행위를 기반으로 함으로써 보다 정확한 평가를 수행할 수 있다.
도 1 및 도 2는 본 발명의 각 실시예에 따른 컴퓨팅 장치에서 수행되는 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도들.
도 3은 본 발명의 일 실시예에 따른 복수 사용자의 행위에 기반한 프로세스 평가를 위한 전체 시스템을 개략적으로 도시한 구성도.
도 4는 본 발명의 일 실시예에 사용자 등급을 도시한 예시도.
도 5는 본 발명의 일 실시예에 따른 복수 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 후술될 제1 임계값, 제2 임계값 등의 용어는 실질적으로는 각각 상이하거나 일부는 동일한 값인 임계값들로 미리 지정될 수 있으나, 임계값이라는 동일한 단어로 표현될 때 혼동의 여지가 있으므로 구분의 편의상 제1, 제2 등의 용어를 병기하기로 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 각 도면을 참조하여 설명하는 실시예의 구성 요소가 해당 실시예에만 제한적으로 적용되는 것은 아니며, 본 발명의 기술적 사상이 유지되는 범위 내에서 다른 실시예에 포함되도록 구현될 수 있으며, 또한 별도의 설명이 생략될지라도 복수의 실시예가 통합된 하나의 실시예로 다시 구현될 수도 있음은 당연하다.
또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일하거나 관련된 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
도 1 및 도 2는 본 발명의 각 실시예에 따른 컴퓨팅 장치에서 수행되는 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도들이다.
먼저 도 1을 참조하면, 컴퓨팅 장치는 임의의 프로세스 실행되면 해당 프로세스(이하에서는 실행프로세스라 칭함)의 실행을 인식하고(S110), 실행프로세스가 미리 설정된 화이트리스트에 등록되어 있는지 여부를 확인한다(S120). 즉 보안상 위험이 없는 프로세스들에 대한 정보를 리스트화하여 화이트리스트로서 관리하는 것이며, 실행된 프로세스가 존재하면 해당 실행프로세스가 화이트리스트에 등록되어 있는지 여부를 확인하는 것이다.
만일 실행프로세스가 화이트리스트에 등록된 것이라면, 프로세스 평가를 진행하지 않고 실행을 허용한다(S130).
이와 달리 실행프로세스가 화이트리스트에 등록되지 않은(즉 알려지지 않은) 프로세스인 경우, 사용자 행위에 의한 실행인지에 대한 행위 판단 및 사용자로의 문의에 의한 사용자 확인을 수행하고, 이를 점수화한다(S140).
행위 판단에 의한 점수(이하 행위 점수라 칭함)는 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 산출할 수 있다. 보다 상세히 설명하자면, 마우스의 더블클릭에 의한 실행, 우클릭 메뉴에 의한 실행 또는 시작메뉴에 의한 실행 등인지에 대한 사용자 UI(User Interface) 인터렉션(interaction)을 모니터링하여 사용자의 의도된 행위인지 여부를 판단할 수 있다. 또한 운영체제가 MS Windows인 경우 윈도우 쉘(예를 들어 사용자 그래픽 인터페이스를 위한 것)인 explorer.exe의 하위 프로세스(child proess)는 모두 사용자의 의도된 행위라 간주할 수 있으므로, 실행프로세스가 상술한 바와 같은 윈도우 쉘의 하위 프로세스인지 여부를 확인함으로써 행위 판단 및 그에 따른 행위 점수를 산출한다. 또한, [*.hwp -> hwp.exe], [*xlsx -> excel.exe], [*.pptx -> powerpoint.exe] 등과 같이 윈도우에서 미리 지정된 자동 연결 프로그램에 따른 실행프로세스는 사용자의 의도된 프로세스라 간주하는 것이다. 상술한 바와 같은 세가지 타입이 모두 아니라면 행위 점수는 낮게 산출될 것이며, 또한 세가지 중 어느 것 또는 몇 가지에 해당하느냐에 따라 행위 점수가 다르게 산출될 것이다.
그리고, 사용자 확인에 의한 점수(이하 피드백 점수라 칭함)는 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하고, 사용자로부터 입력되는 입력정보에 따라 산출할 수 있다. 예를 들어, 실행프로세스에 대한 명칭, 실행 내용(파일 첨부, 파일 수정, 파일 외부로의 전송 등), 관련 파일정보(예를 들어 접근 또는 수정하는 파일에 대한 명칭, 유형, 포맷, 저장경로 등) 등에 대한 실행프로세스 정보를 표시하고 또한 사용자가 실행 허용, 불가, 대기 등을 선택할 수 있는 인터페이스화면을 출력함으로써 사용자의 피드백을 받을 수 있다. 문의하는 내용 갖는 중 사용자의 입력에 의해 선택된 내용을 기반으로 피드백 점수를 산출할 수 있다.
일례에 따르면, 인터페이스 화면을 출력한 이후 사용자로부터의 입력정보의 입력까지의 소요시간을 피드백 점수에 산출할 수 있다. 예를 들어, 실행프로세스의 정보를 표시한 이후 사용자의 피드백(예를 들어 허용, 불가, 대기 중 어느 하나를 선택하는 것)이 입력될 때까지 소요되는 시간이 길수록 사용자의 고민이 길어진다는 것을 의미할 수 있으므로, 이때에는 피드백 점수를 낮게 산출할 수 있다.
정리하자면, 행위 점수는 실행프로세스 자체에 의한 또는 실행프로세스를 실행시킨 것이 사용자의 입력인지 여부에 의한 점수라 말할 수 있으며, 피드백 점수는 사용자에게 실용프로세스에 대해 문의하여 수신되는 사용자 피드백에 따른 점수라 말할 수 있다.
산출된 행위 점수와 피드백 점수를 이용하여 프로세스 평가점수를 산출한다(S150). 일례에 따르면, 행위 점수와 피드백 점수를 합산한 값을 프로세스 평가점수로 이용할 수 있다.
다른 일례에 따르면, 단순 합산이 아닌 행위 점수 및/또는 피드백 점수에 가중치를 두어 합산할 수도 있다.
이에 대한 일례를 도시한 도 2를 참조하면, 컴퓨팅 장치는 화이트리스트에 등록되지 않은 실행프로세스를 확인하면(S210). 실행프로세스가 미리 설정된 대상파일과 관련되었는지 여부를 판단한다. 대상파일이란 운영체제 시스템 파일, 또는 개인정보와 같은 보안산 중요하여 사용자에 의해 설정된 보안파일 등일 수 있다. 실행프로세스가 이러한 대상파일에 접근하거나 또는 위변조와 같은 수정을 행하는지에 대한 대상파일 관련 여부를 판단하는 것이다. 대상 파일과 관련이 없다면 도 1을 참조하여 설명한 바와 같은 일반적인 평가를 수행한다(S230).
이와 달리, 대상 파일과 관련이 있다면, 위험도를 산출한다(S240). 위험도는 대상 파일을 단순히 실행시키는 것인지, 수정을 하는지, 외부로 유출하는지 등에 따라 산출될 수 있다. 단순 실행에 비해 위변조가 더 높은 위험도 수치를 가질 수 있으며, 또한 대상파일이 보안상 중요한 파일이고 실행프로세스가 해당 대상파일을 외부로 유출하는 시도를 하는 경우 위험도는 높게 산출될 것이다.
산출된 위험도를 프로세스 평가점수에 반영하는데(S250), 일례에 따르면 행위 점수에 위험도에 따른 가중치가 부여되는 형태로 적용될 수 있다. 예를 들어, 위험도가 2인 경우 행위 점수에 2가 곱해지는 형태일 수 있다.
피드백 점수에도 가중치가 적용될 수 있는데, 일례에 따르면 컴퓨팅 사용자의 사용자 등급을 이용할 수 있다. 사용자 등급은 차후 보다 상세히 설명하기로 한다.
따라서, 일례에 따르면 프로세스 평가점수는 다음과 같은 수학식에 의해 산출될 수 있다.
[수학식 1]
프로세스 평가점수 = (행위 점수)*a + (피드백 점수)*b,
{a : 위험도, b : 사용자 등급}
도 3은 본 발명의 일 실시예에 따른 복수 사용자의 행위에 기반한 프로세스 평가를 위한 전체 시스템을 개략적으로 도시한 구성도이고, 도 4는 본 발명의 일 실시예에 사용자 등급을 도시한 예시도이고, 도 5는 본 발명의 일 실시예에 따른 복수 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도이다.
도 3을 참조하면, 복수 사용자의 사용자 행위를 이용한 프로세스 평가를 위한 전체 시스템은 복수의 사용자가 사용하는 컴퓨팅 장치들(10-1, 10-2, ..., 10-n, 이하 10으로 통칭) 및 관리 서버(30)를 포함한다.
관리 서버(30)는 화이트리스트를 DB화하여 관리하고, 각 컴퓨팅 장치(10)들로 화이트리스트를 제공한다. 그리고, 관리 서버(30)는 각 컴퓨팅 장치(10)들로부터 실행프로세스 및 그에 따른 평가점수인 프로세스 평가점수에 대한 정보(이하 평가정보라 칭함)를 등록받아 각 프로세스에 대한 최종 평가점수를 산출하며, 산출된 최종 평가점수를 기반으로 화이트리스트로의 등록 여부를 결정한다. 즉, 관리 서버(30)는 각 컴퓨팅 장치(10)들로부터 수신되는 평가정보를 이용하여 화이트리스트(또는 블랙리스트를 관리할 수도 있음)를 갱신하는 것이다. 이에 따르면, 실제 컴퓨팅 장치(10)들의 평가에 의해 화이트리스트를 DB화해감으로 인해 최초 화이트리스트를 수집하기 위한 작업이 수월하여 구축이 용이해지는 효과를 제공한다.
그리고, 상술한 바와 같이 각 컴퓨팅 장치(10)의 사용자에 대한 사용자 정보를 관리 서버(30)에서 관리하며, 사용자 정보로서 각 사용자들을 등급화할 수 있다. 여기서 말하는 등급의 개념은 사용자의 직책 등을 이용할 수도 있으나, 기본적으로 각 사용자가 평가하는 사용자 평가의 신뢰도에 따라 사용자 등급이 결정될 수 있다. 다시 말해 사용자의 평가 이력을 이용하여 사용자 등급을 설정하는 것이며, 이에 추가적으로 사용자의 컴퓨팅 장치 사용 이력(사용시간, 사용횟수 등)을 평가에 활용할 수도 있다.
이에 따른 예시를 도시한 도 4를 참조하면, 관리 서버(30)는 도시된 바와 같은 테이블과 같이 사용자 등급에 대한 사용자 정보를 저장할 수 있다. 사용자 0001의 경우 한달간 컴퓨팅 장치(10)의 사용시간이 121시간(H)인데 비해 사용자 0002는 사용시간이 78시간으로 상대적으로 적어 사용자 평가의 신뢰도가 다소 낮다 판단될 수 있는 것이다. 그리고, 사용자 0001의 경우 기존 실행프로세스에 대해 악성 프로세스를 식별한 정확도(예를 들어, 악성프로세스에 대해 [실행 불가]를 선택하는 사용자 확인을 수행한 비율일 수 있음)가 92%인데 비해 사용자 0002는 61%에 불과하여 사용자 등급이 낮게 책정된 것이다.
이와 같이, 관리 서버(30)는 사용자의 사용자 등급에 대한 정보를 각 컴퓨팅 장치(10)로 제공하며, 컴퓨팅 장치(10)는 프로세스 평가점수를 산출할 때 사용자 등급을 이용하여 가중치를 부여할 수 있다.
이하 이러한 전체 시스템서의 프로세스 평가 과정에 대해 설명하기로 한다.
도 5를 참조하면, 컴퓨팅 장치(10)가 실행프로세스의 프로세스 평가점수를 산출하여(S510), 관리 서버(30)로 실행프로세스 정보, 프로세스 평가점수를 포함하는 평가정보(평가항목, 평가 내용 등이 더 포함될 수 있음)를 제공한다(S520). 이러한 방식으로 각 컴퓨팅 장치(10)들은 실행프로세스의 평가를 수행하면, 관리 서버(30)로 그 내용을 보고한다.
관리 서버(30)는 이렇게 복수의 컴퓨팅 장치(10)들로부터 수신되는 평가정보를 평가대상 프로세스별로 저장한다(S530). 다시 말해, 프로세스a에 대응되는 평가정보를 저장하고, 또한 프로세스b에 대응되는 평가정보를 각각 저장하는 것이다.
관리 서버(30)는 임의의 평가대상 프로세스에 대해 컴퓨팅 장치(10)들로부터 수신된 관련 평가정보를 이용하여 평가점수를 산출한다(S540). 일례에 따르면, 각 평가대상 프로세스의 최종 평가 시점은 미리 설정된 개수(예를 들어, 5개 등) 이상의 평가정보가 수신된 경우, 또는 최초 평가정보가 수신된 시점 이후 일정 시간이 경과된 시점(예를 들어, 12시간 등) 등일 수 있으며, 또한 평가대상 프로세스의 유형 등에 따라 그 시점은 달라질 수 있다.
최종 평가점수를 산출하는 방식으로는, 각 프로세스 평가점수의 평균값을 이용할 수 있으며, 또는 상술한 바와 같은 사용자 등급을 이용하는 방식과 같이 해당하는 컴퓨팅 장치(10)의 사용자 정보에 따른 사용자 등급을 이용한 가중치를 적용할 수도 있다.
관리 서버(30)는 최종 평가점수에 따라 평가대상 프로세스를 화이트리스트로의 등록 여부를 결정하고 처리한다(S550). 일례에 따르면 평가점수가 100점 만점에 90점 이상인 경우 화이트리스트로 평가대상 프로세스를 등록한다. 또는 도면에 도시된 바와 같이 미리 설정된 점수(예를 들어 50점) 이하인 경우 평가대상 프로세스를 블랙리스트로 등록할 수도 있다. 블랙리스트로 등록된 프로세스에 대해서는 차후 컴퓨팅 장치(10)에서 실행이 시도되면 평가 절차 없이도 실행차단 또는 실행중지 처리될 수 있을 것이다.
관리 서버(30)는 S550에서의 처리 결과를 컴퓨팅 장치(10)로 제공하고(S560), 컴퓨팅 장치(10)는 수신된 결과를 차후 실행되는 실행프로세스의 제어에 이용한다(S570). 예를 들어 화이트리스트에 추가된 경우라면, 컴퓨팅 장치(10)는 수신된 결과에 따라 보유한 화이트리스트를 해당 평가대상 프로세스가 추가되도록 갱신할 수 있을 것이다.
상술한 본 발명에 따른 프로세스 평가 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다.
또한, 상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
10-1, 10-2, ..., 10-n : 컴퓨팅 장치
30 : 관리 서버

Claims (12)

  1. 컴퓨터 장치에서 수행되는 보안을 위한 프로세스 평가 방법에 있어서,
    실행된 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하는 단계;
    상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인을 수행하는 단계; 및
    상기 행위 판단에 따른 행위 점수와 상기 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하는 단계를 포함하되,
    미리 설정된 관리서버로부터 수신되는 사용자 등급에 따라 상기 피드백 점수에 가중치를 부여하는, 프로세스 평가 방법.
  2. 청구항 1에 있어서,
    상기 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 상기 행위 점수를 산출하는, 프로세스 평가 방법.
  3. 청구항 1에 있어서,
    상기 피드백 점수의 산출은,
    상기 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하는 단계; 및
    사용자로부터의 입력정보에 따라 상기 피드백 점수를 산출하는 단계를 포함하되,
    상기 인터페이스 화면을 출력한 이후 상기 입력정보의 입력까지의 소요시간을 상기 피드백 점수의 산출에 이용하는, 프로세스 평가 방법.
  4. 삭제
  5. 청구항 1에 있어서,
    상기 사용자 등급은 평가이력을 기반으로 산출되는 정확도에 따라 결정되는, 프로세스 평가 방법.
  6. 청구항 1에 있어서,
    상기 실행프로세스가 미리 설정된 대상파일에 대해 접근 또는 위변조를 수행했는지에 따른 위험도를 산출하여 상기 프로세스 평가점수에 반영하는, 프로세스 평가 방법.
  7. 관리 서버에서 수행되는 프로세스 평가 방법에 있어서,
    안전 프로세스에 대한 화이트리스트를 관리하여 관련 정보를 미리 설정된 컴퓨팅 장치들로 제공하는 단계;
    상기 컴퓨팅 장치들 각각이 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하고, 상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단에 따른 행위 점수 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하면, 상시 실행프로세스 정보 및 상기 프로세스 평가점수를 포함하는 평가정보를 수신하는 단계;
    상기 컴퓨팅 장치들로부터 수신된 상기 평가정보를 기반으로, 평가대상 프로세스에 따른 최종 평가점수를 산출하는 단계; 및
    상기 최종 평가점수에 따라 상기 평가대상 프로세스에 대한 상기 화이트리스트로의 등록 여부를 결정하는 단계를 포함하되,
    상기 평가대상 프로세스에 대한 평가정보를 제공한 복수 컴퓨팅 장치의 각 사용자 정보의 사용자 등급에 따른 가중치를 각 프로세스 평가점수에 반영함으로써 상기 최종 평가점수를 산출하는, 프로세스 평가 방법.
  8. 삭제
  9. 청구항 7에 있어서,
    평가이력을 기반으로 산출되는 정확도에 따라 상기 사용자 등급을 결정하는, 프로세스 평가 방법.
  10. 청구항 7에 있어서,
    상기 컴퓨팅 장치는,
    상기 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 상기 행위 점수를 산출하는, 프로세스 평가 방법.
  11. 청구항 7에 있어서,
    상기 컴퓨팅 장치는,
    상기 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하고, 사용자로부터의 입력정보에 따라 상기 피드백 점수를 산출하되, 상기 인터페이스 화면을 출력한 이후 상기 입력정보의 입력까지의 소요시간을 상기 피드백 점수의 산출에 이용하는, 프로세스 평가 방법.
  12. 제 1항 내지 제 3항, 제 5항 내지 제 7항, 제 9항 내지 제 11항 중 어느 한 항의 방법을 수행하기 위한 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록 매체.
KR1020170010816A 2017-01-24 2017-01-24 사용자 행위에 기반한 프로세스 평가 방법 KR101766847B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170010816A KR101766847B1 (ko) 2017-01-24 2017-01-24 사용자 행위에 기반한 프로세스 평가 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170010816A KR101766847B1 (ko) 2017-01-24 2017-01-24 사용자 행위에 기반한 프로세스 평가 방법

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020170068572A Division KR101790761B1 (ko) 2017-06-01 2017-06-01 사용자 행위에 기반한 프로세스 평가 방법

Publications (1)

Publication Number Publication Date
KR101766847B1 true KR101766847B1 (ko) 2017-08-11

Family

ID=59651347

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170010816A KR101766847B1 (ko) 2017-01-24 2017-01-24 사용자 행위에 기반한 프로세스 평가 방법

Country Status (1)

Country Link
KR (1) KR101766847B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023128701A1 (ko) * 2021-12-31 2023-07-06 삼성전자 주식회사 전자 장치 및 그의 동작 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100968003B1 (ko) * 2003-05-17 2010-07-07 마이크로소프트 코포레이션 보안 위험을 평가하는 메카니즘

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100968003B1 (ko) * 2003-05-17 2010-07-07 마이크로소프트 코포레이션 보안 위험을 평가하는 메카니즘

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023128701A1 (ko) * 2021-12-31 2023-07-06 삼성전자 주식회사 전자 장치 및 그의 동작 방법

Similar Documents

Publication Publication Date Title
KR102220083B1 (ko) 서비스 작업 위험성을 제어하기 위한 방법 및 디바이스
US9614867B2 (en) System and method for detection of malware on a user device using corrected antivirus records
US9443082B2 (en) User evaluation
CN102682235B (zh) 可执行程序的信誉检查
CN110348188B (zh) 一种核身校验方法及装置
CN103679031A (zh) 一种文件病毒免疫的方法和装置
CN111416811A (zh) 越权漏洞检测方法、系统、设备及存储介质
CN109302423B (zh) 一种漏洞扫描能力测试方法和装置
JP6518297B2 (ja) ウェブページのアンチウィルススキャンを実行するためのシステム及び方法
US11947678B2 (en) Systems and methods for evaluating data access signature of third-party applications
US20230274004A1 (en) Subject Level Privacy Attack Analysis for Federated Learning
KR101790761B1 (ko) 사용자 행위에 기반한 프로세스 평가 방법
KR101766847B1 (ko) 사용자 행위에 기반한 프로세스 평가 방법
CN106203148B (zh) 未经授权的数据访问阻断方法及具备该功能的计算装置
CN110955842A (zh) 一种异常访问行为识别方法及装置
US12052251B1 (en) Compliance management system
CN115374430A (zh) 信息泄露检测方法及装置、存储介质和电子设备
CN103366115A (zh) 安全性检测方法和装置
US11218493B2 (en) Identity verification
US10915977B1 (en) Customer incapacity management
CN103761243A (zh) 目标文档检测方法和设备
JP2018147444A (ja) 分析プログラムを実行する計算機システム、及び、分析プログラムの実行を監視する方法
US20210044589A1 (en) Access control
US8156501B2 (en) Implementing dynamic authority to perform tasks on a resource
KR102230438B1 (ko) 대시보드를 활용한 취약 자산 실시간 점검 시스템 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant