KR101766847B1 - 사용자 행위에 기반한 프로세스 평가 방법 - Google Patents
사용자 행위에 기반한 프로세스 평가 방법 Download PDFInfo
- Publication number
- KR101766847B1 KR101766847B1 KR1020170010816A KR20170010816A KR101766847B1 KR 101766847 B1 KR101766847 B1 KR 101766847B1 KR 1020170010816 A KR1020170010816 A KR 1020170010816A KR 20170010816 A KR20170010816 A KR 20170010816A KR 101766847 B1 KR101766847 B1 KR 101766847B1
- Authority
- KR
- South Korea
- Prior art keywords
- user
- score
- evaluation
- execution
- information
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 149
- 230000008569 process Effects 0.000 title claims abstract description 131
- 238000011156 evaluation Methods 0.000 title claims abstract description 80
- 230000009471 action Effects 0.000 title claims abstract description 39
- 238000012790 confirmation Methods 0.000 claims abstract description 10
- 230000003993 interaction Effects 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 16
- 238000012986 modification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 230000006399 behavior Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
사용자 행위에 기반한 프로세스 평가 방법이 개시된다. 본 발명의 일측면에 따른 컴퓨터 장치에서 수행되는 보안을 위한 프로세스 평가 방법은 실행된 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하는 단계; 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단 및 사용자에게 문의하여 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인을 수행하는 단계; 및 행위 판단에 따른 행위 점수와 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하는 단계를 포함한다.
Description
본 발명은 악의적인 프로세스를 선별하기 위한 사용자 행위에 기반한 프로세스 평가 방법에 관한 것이다.
최근, 개인 사용자의 컴퓨터가 대용량화됨과 동시에 처리 속도가 향상됨에 따라, 예를 들어 기술자료, 설계도면, 개발자료, 시험자료, 영업자료, 생산정보, 군기밀자료 및 개인정보와 같은 사적인 작업내용 및 공적인 업무자료가 개인컴퓨터에 저장되어 관리되고 있다.
그런데, 최근에는 컴퓨팅 장치의 일부 소프트웨어 또는 하드웨어를 제대로 작동하지 못하게 하는 악성코드뿐 아니라, 보안상 중요한 데이터를 외부로 유출시키거나 파일을 암호화하여 사용자가 사용하지 못하게 하거나 문서 파일의 경우 내용을 위조 또는 변조하는 악성 코드가 문제가 되고 있다. 이러한 악성코드는 사용자의 명령과는 상관없이 자체적으로 프로세스를 구동시켜 파일을 위변조하거나 외부로 유출하는데, 이로 인해 개인정보뿐 아니라 업무상 중요한 데이터까지도 훼손 또는 유출되어 그 피해가 커지고 있다.
따라서, 본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 정보의 유출 또는 훼손을 수행하는 악성 프로세스를 선별하기 위해 사용자의 행위에 기반한 프로세스 평가 방법을 제공하기 위한 것이다.
본 발명의 다른 목적들은 이하에 서술되는 바람직한 실시예를 통하여 보다 명확해질 것이다.
본 발명의 일 측면에 따르면, 컴퓨터 장치에서 수행되는 보안을 위한 프로세스 평가 방법에 있어서, 실행된 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하는 단계; 상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인을 수행하는 단계; 및 상기 행위 판단에 따른 행위 점수와 상기 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하는 단계를 포함하는 프로세스 평가 방법 및 방법을 수행하기 위한 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록 매체가 제공된다.
여기서, 상기 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 상기 행위 점수를 산출할 수 있다.
또한, 상기 피드백 점수의 산출은, 상기 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하는 단계; 및 사용자로부터의 입력정보에 따라 상기 피드백 점수를 산출하는 단계를 포함하되, 상기 인터페이스 화면을 출력한 이후 상기 입력정보의 입력까지의 소요시간을 상기 피드백 점수의 산출에 이용할 수 있다.
또한, 미리 설정된 관리서버로부터 수신되는 사용자 등급에 따라 상기 피드백 점수에 가중치를 부여할 수 있다.
또한, 상기 사용자 등급은 평가이력을 기반으로 산출되는 정확도에 따라 결정될 수 있다.
또한, 상기 실행프로세스가 미리 설정된 대상파일에 대해 접근 또는 위변조를 수행했는지에 따른 위험도를 산출하여 상기 프로세스 평가점수에 반영할 수 있다.
그리고, 관리 서버에서 수행되는 프로세스 평가 방법에 있어서, 안전 프로세스에 대한 화이트리스트를 관리하여 관련 정보를 미리 설정된 컴퓨팅 장치들로 제공하는 단계; 상기 컴퓨팅 장치들 각각이 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하고, 상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단에 따른 행위 점수 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하면, 상시 실행프로세스 정보 및 상기 프로세스 평가점수를 포함하는 평가정보를 수신하는 단계; 상기 컴퓨팅 장치들로부터 수신된 상기 평가정보를 기반으로, 평가대상 프로세스에 따른 최종 평가점수를 산출하는 단계; 및 상기 최종 평가점수에 따라 상기 평가대상 프로세스에 대한 상기 화이트리스트로의 등록 여부를 결정하는 단계를 포함하는 프로세스 평가 방법 방법을 수행하기 위한 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록 매체가 제공된다.
여기서, 상기 평가대상 프로세스에 대한 평가정보를 제공한 복수 컴퓨팅 장치의 각 사용자 정보의 사용자 등급에 따른 가중치를 각 프로세스 평가점수에 반영함으로써 상기 최종 평가점수를 산출할 수 있다.
또한, 평가이력을 기반으로 산출되는 정확도에 따라 상기 사용자 등급을 결정할 수 있다.
또한, 상기 컴퓨팅 장치는, 상기 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 상기 행위 점수를 산출할 수 있다.
또한, 상기 컴퓨팅 장치는, 상기 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하고, 사용자로부터의 입력정보에 따라 상기 피드백 점수를 산출하되, 상기 인터페이스 화면을 출력한 이후 상기 입력정보의 입력까지의 소요시간을 상기 피드백 점수의 산출에 이용할 수 있다.
본 발명에 따르면, 사용자의 행위에 기반하여 프로세스를 평가함으로써, 효율적으로 화이트리스트를 구축할 수 있는 효과가 있으며, 또한 복수 사용자의 행위를 기반으로 함으로써 보다 정확한 평가를 수행할 수 있다.
도 1 및 도 2는 본 발명의 각 실시예에 따른 컴퓨팅 장치에서 수행되는 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도들.
도 3은 본 발명의 일 실시예에 따른 복수 사용자의 행위에 기반한 프로세스 평가를 위한 전체 시스템을 개략적으로 도시한 구성도.
도 4는 본 발명의 일 실시예에 사용자 등급을 도시한 예시도.
도 5는 본 발명의 일 실시예에 따른 복수 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도.
도 3은 본 발명의 일 실시예에 따른 복수 사용자의 행위에 기반한 프로세스 평가를 위한 전체 시스템을 개략적으로 도시한 구성도.
도 4는 본 발명의 일 실시예에 사용자 등급을 도시한 예시도.
도 5는 본 발명의 일 실시예에 따른 복수 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 후술될 제1 임계값, 제2 임계값 등의 용어는 실질적으로는 각각 상이하거나 일부는 동일한 값인 임계값들로 미리 지정될 수 있으나, 임계값이라는 동일한 단어로 표현될 때 혼동의 여지가 있으므로 구분의 편의상 제1, 제2 등의 용어를 병기하기로 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 각 도면을 참조하여 설명하는 실시예의 구성 요소가 해당 실시예에만 제한적으로 적용되는 것은 아니며, 본 발명의 기술적 사상이 유지되는 범위 내에서 다른 실시예에 포함되도록 구현될 수 있으며, 또한 별도의 설명이 생략될지라도 복수의 실시예가 통합된 하나의 실시예로 다시 구현될 수도 있음은 당연하다.
또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일하거나 관련된 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
도 1 및 도 2는 본 발명의 각 실시예에 따른 컴퓨팅 장치에서 수행되는 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도들이다.
먼저 도 1을 참조하면, 컴퓨팅 장치는 임의의 프로세스 실행되면 해당 프로세스(이하에서는 실행프로세스라 칭함)의 실행을 인식하고(S110), 실행프로세스가 미리 설정된 화이트리스트에 등록되어 있는지 여부를 확인한다(S120). 즉 보안상 위험이 없는 프로세스들에 대한 정보를 리스트화하여 화이트리스트로서 관리하는 것이며, 실행된 프로세스가 존재하면 해당 실행프로세스가 화이트리스트에 등록되어 있는지 여부를 확인하는 것이다.
만일 실행프로세스가 화이트리스트에 등록된 것이라면, 프로세스 평가를 진행하지 않고 실행을 허용한다(S130).
이와 달리 실행프로세스가 화이트리스트에 등록되지 않은(즉 알려지지 않은) 프로세스인 경우, 사용자 행위에 의한 실행인지에 대한 행위 판단 및 사용자로의 문의에 의한 사용자 확인을 수행하고, 이를 점수화한다(S140).
행위 판단에 의한 점수(이하 행위 점수라 칭함)는 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 산출할 수 있다. 보다 상세히 설명하자면, 마우스의 더블클릭에 의한 실행, 우클릭 메뉴에 의한 실행 또는 시작메뉴에 의한 실행 등인지에 대한 사용자 UI(User Interface) 인터렉션(interaction)을 모니터링하여 사용자의 의도된 행위인지 여부를 판단할 수 있다. 또한 운영체제가 MS Windows인 경우 윈도우 쉘(예를 들어 사용자 그래픽 인터페이스를 위한 것)인 explorer.exe의 하위 프로세스(child proess)는 모두 사용자의 의도된 행위라 간주할 수 있으므로, 실행프로세스가 상술한 바와 같은 윈도우 쉘의 하위 프로세스인지 여부를 확인함으로써 행위 판단 및 그에 따른 행위 점수를 산출한다. 또한, [*.hwp -> hwp.exe], [*xlsx -> excel.exe], [*.pptx -> powerpoint.exe] 등과 같이 윈도우에서 미리 지정된 자동 연결 프로그램에 따른 실행프로세스는 사용자의 의도된 프로세스라 간주하는 것이다. 상술한 바와 같은 세가지 타입이 모두 아니라면 행위 점수는 낮게 산출될 것이며, 또한 세가지 중 어느 것 또는 몇 가지에 해당하느냐에 따라 행위 점수가 다르게 산출될 것이다.
그리고, 사용자 확인에 의한 점수(이하 피드백 점수라 칭함)는 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하고, 사용자로부터 입력되는 입력정보에 따라 산출할 수 있다. 예를 들어, 실행프로세스에 대한 명칭, 실행 내용(파일 첨부, 파일 수정, 파일 외부로의 전송 등), 관련 파일정보(예를 들어 접근 또는 수정하는 파일에 대한 명칭, 유형, 포맷, 저장경로 등) 등에 대한 실행프로세스 정보를 표시하고 또한 사용자가 실행 허용, 불가, 대기 등을 선택할 수 있는 인터페이스화면을 출력함으로써 사용자의 피드백을 받을 수 있다. 문의하는 내용 갖는 중 사용자의 입력에 의해 선택된 내용을 기반으로 피드백 점수를 산출할 수 있다.
일례에 따르면, 인터페이스 화면을 출력한 이후 사용자로부터의 입력정보의 입력까지의 소요시간을 피드백 점수에 산출할 수 있다. 예를 들어, 실행프로세스의 정보를 표시한 이후 사용자의 피드백(예를 들어 허용, 불가, 대기 중 어느 하나를 선택하는 것)이 입력될 때까지 소요되는 시간이 길수록 사용자의 고민이 길어진다는 것을 의미할 수 있으므로, 이때에는 피드백 점수를 낮게 산출할 수 있다.
정리하자면, 행위 점수는 실행프로세스 자체에 의한 또는 실행프로세스를 실행시킨 것이 사용자의 입력인지 여부에 의한 점수라 말할 수 있으며, 피드백 점수는 사용자에게 실용프로세스에 대해 문의하여 수신되는 사용자 피드백에 따른 점수라 말할 수 있다.
산출된 행위 점수와 피드백 점수를 이용하여 프로세스 평가점수를 산출한다(S150). 일례에 따르면, 행위 점수와 피드백 점수를 합산한 값을 프로세스 평가점수로 이용할 수 있다.
다른 일례에 따르면, 단순 합산이 아닌 행위 점수 및/또는 피드백 점수에 가중치를 두어 합산할 수도 있다.
이에 대한 일례를 도시한 도 2를 참조하면, 컴퓨팅 장치는 화이트리스트에 등록되지 않은 실행프로세스를 확인하면(S210). 실행프로세스가 미리 설정된 대상파일과 관련되었는지 여부를 판단한다. 대상파일이란 운영체제 시스템 파일, 또는 개인정보와 같은 보안산 중요하여 사용자에 의해 설정된 보안파일 등일 수 있다. 실행프로세스가 이러한 대상파일에 접근하거나 또는 위변조와 같은 수정을 행하는지에 대한 대상파일 관련 여부를 판단하는 것이다. 대상 파일과 관련이 없다면 도 1을 참조하여 설명한 바와 같은 일반적인 평가를 수행한다(S230).
이와 달리, 대상 파일과 관련이 있다면, 위험도를 산출한다(S240). 위험도는 대상 파일을 단순히 실행시키는 것인지, 수정을 하는지, 외부로 유출하는지 등에 따라 산출될 수 있다. 단순 실행에 비해 위변조가 더 높은 위험도 수치를 가질 수 있으며, 또한 대상파일이 보안상 중요한 파일이고 실행프로세스가 해당 대상파일을 외부로 유출하는 시도를 하는 경우 위험도는 높게 산출될 것이다.
산출된 위험도를 프로세스 평가점수에 반영하는데(S250), 일례에 따르면 행위 점수에 위험도에 따른 가중치가 부여되는 형태로 적용될 수 있다. 예를 들어, 위험도가 2인 경우 행위 점수에 2가 곱해지는 형태일 수 있다.
피드백 점수에도 가중치가 적용될 수 있는데, 일례에 따르면 컴퓨팅 사용자의 사용자 등급을 이용할 수 있다. 사용자 등급은 차후 보다 상세히 설명하기로 한다.
따라서, 일례에 따르면 프로세스 평가점수는 다음과 같은 수학식에 의해 산출될 수 있다.
[수학식 1]
프로세스 평가점수 = (행위 점수)*a + (피드백 점수)*b,
{a : 위험도, b : 사용자 등급}
도 3은 본 발명의 일 실시예에 따른 복수 사용자의 행위에 기반한 프로세스 평가를 위한 전체 시스템을 개략적으로 도시한 구성도이고, 도 4는 본 발명의 일 실시예에 사용자 등급을 도시한 예시도이고, 도 5는 본 발명의 일 실시예에 따른 복수 사용자 행위를 이용한 프로세스 평가 과정을 도시한 흐름도이다.
도 3을 참조하면, 복수 사용자의 사용자 행위를 이용한 프로세스 평가를 위한 전체 시스템은 복수의 사용자가 사용하는 컴퓨팅 장치들(10-1, 10-2, ..., 10-n, 이하 10으로 통칭) 및 관리 서버(30)를 포함한다.
관리 서버(30)는 화이트리스트를 DB화하여 관리하고, 각 컴퓨팅 장치(10)들로 화이트리스트를 제공한다. 그리고, 관리 서버(30)는 각 컴퓨팅 장치(10)들로부터 실행프로세스 및 그에 따른 평가점수인 프로세스 평가점수에 대한 정보(이하 평가정보라 칭함)를 등록받아 각 프로세스에 대한 최종 평가점수를 산출하며, 산출된 최종 평가점수를 기반으로 화이트리스트로의 등록 여부를 결정한다. 즉, 관리 서버(30)는 각 컴퓨팅 장치(10)들로부터 수신되는 평가정보를 이용하여 화이트리스트(또는 블랙리스트를 관리할 수도 있음)를 갱신하는 것이다. 이에 따르면, 실제 컴퓨팅 장치(10)들의 평가에 의해 화이트리스트를 DB화해감으로 인해 최초 화이트리스트를 수집하기 위한 작업이 수월하여 구축이 용이해지는 효과를 제공한다.
그리고, 상술한 바와 같이 각 컴퓨팅 장치(10)의 사용자에 대한 사용자 정보를 관리 서버(30)에서 관리하며, 사용자 정보로서 각 사용자들을 등급화할 수 있다. 여기서 말하는 등급의 개념은 사용자의 직책 등을 이용할 수도 있으나, 기본적으로 각 사용자가 평가하는 사용자 평가의 신뢰도에 따라 사용자 등급이 결정될 수 있다. 다시 말해 사용자의 평가 이력을 이용하여 사용자 등급을 설정하는 것이며, 이에 추가적으로 사용자의 컴퓨팅 장치 사용 이력(사용시간, 사용횟수 등)을 평가에 활용할 수도 있다.
이에 따른 예시를 도시한 도 4를 참조하면, 관리 서버(30)는 도시된 바와 같은 테이블과 같이 사용자 등급에 대한 사용자 정보를 저장할 수 있다. 사용자 0001의 경우 한달간 컴퓨팅 장치(10)의 사용시간이 121시간(H)인데 비해 사용자 0002는 사용시간이 78시간으로 상대적으로 적어 사용자 평가의 신뢰도가 다소 낮다 판단될 수 있는 것이다. 그리고, 사용자 0001의 경우 기존 실행프로세스에 대해 악성 프로세스를 식별한 정확도(예를 들어, 악성프로세스에 대해 [실행 불가]를 선택하는 사용자 확인을 수행한 비율일 수 있음)가 92%인데 비해 사용자 0002는 61%에 불과하여 사용자 등급이 낮게 책정된 것이다.
이와 같이, 관리 서버(30)는 사용자의 사용자 등급에 대한 정보를 각 컴퓨팅 장치(10)로 제공하며, 컴퓨팅 장치(10)는 프로세스 평가점수를 산출할 때 사용자 등급을 이용하여 가중치를 부여할 수 있다.
이하 이러한 전체 시스템서의 프로세스 평가 과정에 대해 설명하기로 한다.
도 5를 참조하면, 컴퓨팅 장치(10)가 실행프로세스의 프로세스 평가점수를 산출하여(S510), 관리 서버(30)로 실행프로세스 정보, 프로세스 평가점수를 포함하는 평가정보(평가항목, 평가 내용 등이 더 포함될 수 있음)를 제공한다(S520). 이러한 방식으로 각 컴퓨팅 장치(10)들은 실행프로세스의 평가를 수행하면, 관리 서버(30)로 그 내용을 보고한다.
관리 서버(30)는 이렇게 복수의 컴퓨팅 장치(10)들로부터 수신되는 평가정보를 평가대상 프로세스별로 저장한다(S530). 다시 말해, 프로세스a에 대응되는 평가정보를 저장하고, 또한 프로세스b에 대응되는 평가정보를 각각 저장하는 것이다.
관리 서버(30)는 임의의 평가대상 프로세스에 대해 컴퓨팅 장치(10)들로부터 수신된 관련 평가정보를 이용하여 평가점수를 산출한다(S540). 일례에 따르면, 각 평가대상 프로세스의 최종 평가 시점은 미리 설정된 개수(예를 들어, 5개 등) 이상의 평가정보가 수신된 경우, 또는 최초 평가정보가 수신된 시점 이후 일정 시간이 경과된 시점(예를 들어, 12시간 등) 등일 수 있으며, 또한 평가대상 프로세스의 유형 등에 따라 그 시점은 달라질 수 있다.
최종 평가점수를 산출하는 방식으로는, 각 프로세스 평가점수의 평균값을 이용할 수 있으며, 또는 상술한 바와 같은 사용자 등급을 이용하는 방식과 같이 해당하는 컴퓨팅 장치(10)의 사용자 정보에 따른 사용자 등급을 이용한 가중치를 적용할 수도 있다.
관리 서버(30)는 최종 평가점수에 따라 평가대상 프로세스를 화이트리스트로의 등록 여부를 결정하고 처리한다(S550). 일례에 따르면 평가점수가 100점 만점에 90점 이상인 경우 화이트리스트로 평가대상 프로세스를 등록한다. 또는 도면에 도시된 바와 같이 미리 설정된 점수(예를 들어 50점) 이하인 경우 평가대상 프로세스를 블랙리스트로 등록할 수도 있다. 블랙리스트로 등록된 프로세스에 대해서는 차후 컴퓨팅 장치(10)에서 실행이 시도되면 평가 절차 없이도 실행차단 또는 실행중지 처리될 수 있을 것이다.
관리 서버(30)는 S550에서의 처리 결과를 컴퓨팅 장치(10)로 제공하고(S560), 컴퓨팅 장치(10)는 수신된 결과를 차후 실행되는 실행프로세스의 제어에 이용한다(S570). 예를 들어 화이트리스트에 추가된 경우라면, 컴퓨팅 장치(10)는 수신된 결과에 따라 보유한 화이트리스트를 해당 평가대상 프로세스가 추가되도록 갱신할 수 있을 것이다.
상술한 본 발명에 따른 프로세스 평가 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다.
또한, 상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
10-1, 10-2, ..., 10-n : 컴퓨팅 장치
30 : 관리 서버
30 : 관리 서버
Claims (12)
- 컴퓨터 장치에서 수행되는 보안을 위한 프로세스 평가 방법에 있어서,
실행된 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하는 단계;
상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인을 수행하는 단계; 및
상기 행위 판단에 따른 행위 점수와 상기 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하는 단계를 포함하되,
미리 설정된 관리서버로부터 수신되는 사용자 등급에 따라 상기 피드백 점수에 가중치를 부여하는, 프로세스 평가 방법.
- 청구항 1에 있어서,
상기 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 상기 행위 점수를 산출하는, 프로세스 평가 방법.
- 청구항 1에 있어서,
상기 피드백 점수의 산출은,
상기 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하는 단계; 및
사용자로부터의 입력정보에 따라 상기 피드백 점수를 산출하는 단계를 포함하되,
상기 인터페이스 화면을 출력한 이후 상기 입력정보의 입력까지의 소요시간을 상기 피드백 점수의 산출에 이용하는, 프로세스 평가 방법.
- 삭제
- 청구항 1에 있어서,
상기 사용자 등급은 평가이력을 기반으로 산출되는 정확도에 따라 결정되는, 프로세스 평가 방법.
- 청구항 1에 있어서,
상기 실행프로세스가 미리 설정된 대상파일에 대해 접근 또는 위변조를 수행했는지에 따른 위험도를 산출하여 상기 프로세스 평가점수에 반영하는, 프로세스 평가 방법.
- 관리 서버에서 수행되는 프로세스 평가 방법에 있어서,
안전 프로세스에 대한 화이트리스트를 관리하여 관련 정보를 미리 설정된 컴퓨팅 장치들로 제공하는 단계;
상기 컴퓨팅 장치들 각각이 실행프로세스가 미리 설정된 화이트리스트에 등록되어 않음을 확인하고, 상기 실행프로세스가 사용자 행위에 의해 실행되었는지 여부를 판단하는 사용 행위 판단에 따른 행위 점수 및 사용자에게 문의하여 상기 실행프로세스가 의도된 실행인지 여부를 확인하는 사용자 확인에 따른 피드백 점수를 이용하여 프로세스 평가점수를 산출하면, 상시 실행프로세스 정보 및 상기 프로세스 평가점수를 포함하는 평가정보를 수신하는 단계;
상기 컴퓨팅 장치들로부터 수신된 상기 평가정보를 기반으로, 평가대상 프로세스에 따른 최종 평가점수를 산출하는 단계; 및
상기 최종 평가점수에 따라 상기 평가대상 프로세스에 대한 상기 화이트리스트로의 등록 여부를 결정하는 단계를 포함하되,
상기 평가대상 프로세스에 대한 평가정보를 제공한 복수 컴퓨팅 장치의 각 사용자 정보의 사용자 등급에 따른 가중치를 각 프로세스 평가점수에 반영함으로써 상기 최종 평가점수를 산출하는, 프로세스 평가 방법.
- 삭제
- 청구항 7에 있어서,
평가이력을 기반으로 산출되는 정확도에 따라 상기 사용자 등급을 결정하는, 프로세스 평가 방법.
- 청구항 7에 있어서,
상기 컴퓨팅 장치는,
상기 실행프로세스가 UI 인터렉션 또는 윈도우 쉘(shell) 하위 프로세스 또는 미리 지정된 자동연결프로그램 중 적어도 어느 하나에 의해 실행되었는지 여부를 확인하여 상기 행위 점수를 산출하는, 프로세스 평가 방법.
- 청구항 7에 있어서,
상기 컴퓨팅 장치는,
상기 실행프로세스에 대한 정보를 포함하는 사용자의 확인을 위한 인터페이스 화면을 출력하고, 사용자로부터의 입력정보에 따라 상기 피드백 점수를 산출하되, 상기 인터페이스 화면을 출력한 이후 상기 입력정보의 입력까지의 소요시간을 상기 피드백 점수의 산출에 이용하는, 프로세스 평가 방법.
- 제 1항 내지 제 3항, 제 5항 내지 제 7항, 제 9항 내지 제 11항 중 어느 한 항의 방법을 수행하기 위한 프로그램이 컴퓨터가 읽을 수 있도록 기록된 기록 매체.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170010816A KR101766847B1 (ko) | 2017-01-24 | 2017-01-24 | 사용자 행위에 기반한 프로세스 평가 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170010816A KR101766847B1 (ko) | 2017-01-24 | 2017-01-24 | 사용자 행위에 기반한 프로세스 평가 방법 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170068572A Division KR101790761B1 (ko) | 2017-06-01 | 2017-06-01 | 사용자 행위에 기반한 프로세스 평가 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101766847B1 true KR101766847B1 (ko) | 2017-08-11 |
Family
ID=59651347
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170010816A KR101766847B1 (ko) | 2017-01-24 | 2017-01-24 | 사용자 행위에 기반한 프로세스 평가 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101766847B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023128701A1 (ko) * | 2021-12-31 | 2023-07-06 | 삼성전자 주식회사 | 전자 장치 및 그의 동작 방법 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100968003B1 (ko) * | 2003-05-17 | 2010-07-07 | 마이크로소프트 코포레이션 | 보안 위험을 평가하는 메카니즘 |
-
2017
- 2017-01-24 KR KR1020170010816A patent/KR101766847B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100968003B1 (ko) * | 2003-05-17 | 2010-07-07 | 마이크로소프트 코포레이션 | 보안 위험을 평가하는 메카니즘 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023128701A1 (ko) * | 2021-12-31 | 2023-07-06 | 삼성전자 주식회사 | 전자 장치 및 그의 동작 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10924514B1 (en) | Machine learning detection of fraudulent validation of financial institution credentials | |
| EP3490215B1 (en) | Method and device for controlling service operation risk | |
| US9443082B2 (en) | User evaluation | |
| US9614867B2 (en) | System and method for detection of malware on a user device using corrected antivirus records | |
| TWI743656B (zh) | 核身校驗方法及裝置 | |
| CN103019868A (zh) | 测试访问策略 | |
| KR102143510B1 (ko) | 정보 보안 위험 관리 시스템 | |
| US11461503B2 (en) | Service processing method and apparatus | |
| US20180103019A1 (en) | Method and system for authenticating a user based on location data | |
| KR101790761B1 (ko) | 사용자 행위에 기반한 프로세스 평가 방법 | |
| KR101766847B1 (ko) | 사용자 행위에 기반한 프로세스 평가 방법 | |
| KR102213460B1 (ko) | 머신러닝을 이용한 소프트웨어 화이트리스트 생성 시스템 및 방법 | |
| US12130929B2 (en) | Subject level privacy attack analysis for federated learning | |
| CN106502887A (zh) | 一种稳定性测试方法、测试控制器及系统 | |
| KR102728804B1 (ko) | 사용자에 대한 신뢰 점수를 산출해 중앙 인가 서버에 대한 접속 여부와 사내 자원 접근을 관리하는 방법, 장치 및 컴퓨터-판독 가능 기록 매체 | |
| CN106203148B (zh) | 未经授权的数据访问阻断方法及具备该功能的计算装置 | |
| US12052251B1 (en) | Compliance management system | |
| CN103366115A (zh) | 安全性检测方法和装置 | |
| CN115374430A (zh) | 信息泄露检测方法及装置、存储介质和电子设备 | |
| CN111784359B (zh) | 多模式风控分级容灾方法及装置 | |
| US10915977B1 (en) | Customer incapacity management | |
| JP2018147444A (ja) | 分析プログラムを実行する計算機システム、及び、分析プログラムの実行を監視する方法 | |
| US20200382522A1 (en) | Identity verification | |
| US20210044589A1 (en) | Access control | |
| KR102657620B1 (ko) | 금융사기 방지를 위한 독립구동형 상시감지 인앱 제어 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20170124 |
|
| PA0201 | Request for examination | ||
| PA0302 | Request for accelerated examination |
Patent event date: 20170124 Patent event code: PA03022R01D Comment text: Request for Accelerated Examination |
|
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20170410 Patent event code: PE09021S01D |
|
| PA0107 | Divisional application |
Comment text: Divisional Application of Patent Patent event date: 20170601 Patent event code: PA01071R01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20170801 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20170803 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20170804 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| PR1001 | Payment of annual fee |
Payment date: 20200511 Start annual number: 4 End annual number: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20240614 Start annual number: 8 End annual number: 8 |