KR101783159B1 - Apparatus and method of detecting intrusion of into files on computer network - Google Patents

Apparatus and method of detecting intrusion of into files on computer network Download PDF

Info

Publication number
KR101783159B1
KR101783159B1 KR1020160182010A KR20160182010A KR101783159B1 KR 101783159 B1 KR101783159 B1 KR 101783159B1 KR 1020160182010 A KR1020160182010 A KR 1020160182010A KR 20160182010 A KR20160182010 A KR 20160182010A KR 101783159 B1 KR101783159 B1 KR 101783159B1
Authority
KR
South Korea
Prior art keywords
file
executable
executable file
unit
folder
Prior art date
Application number
KR1020160182010A
Other languages
Korean (ko)
Inventor
남승철
Original Assignee
남승리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 남승리 filed Critical 남승리
Application granted granted Critical
Publication of KR101783159B1 publication Critical patent/KR101783159B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/3223
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 프로세스의 실행 파일(hosts 파일)의 실행 전에 실행 파일의 정당성을 먼저 탐지하여 실행 파일이 변조되었거나 의심스러운 파일은 프로세스에서 실행을 차단시켜 컴퓨터 네트워크 상에서 파일 속으로의 침입을 방지하기 위한 장치 및 방법을 제공하기 위한 것으로서, 특정한 타겟을 갖는 실행 파일이 폴더에서 실행된 후, 해당 폴더내의 파일목록이 조사됨을 인지되어 파일목록이 조사된 폴더에서 상기 실행된 실행 파일의 파일읽기 동작이 발생할 때, 해당 폴더에 접근하는 실행 파일에 의한 파일의 손상이 감지되면, 프로세스의 실행파일 및 동적 연결 파일이 메모리에 로딩되기 이전에 실행 요청 입력 신호를 후킹(hooking)하는 후킹부와, 프로세스의 헤더, 해쉬(MD5 hash) 및 인증서 중 적어도 하나를 이용하여 실행 파일의 변조 및 악성 여부를 검사하는 파일 검사부와, 상기 파일 검사부의 검사결과 무결점 파일이 입증된 경우에 상기 프로세스의 실행 요청을 실행하고, 파일의 손상이 감지된 경우에 손상전 원본파일을 백업하며, 악성행위로 인식된 실행 프로세스에 대한 후속처리를 통해 컴퓨터 사용을 제한하여 변조된 프로세스 파일이 구동되는 것을 방지하는 실행 처리부를 포함하여 구성되는데 있다.The present invention relates to a device for preventing an intrusion into a file on a computer network by first detecting the validity of an executable file before execution of a process executable file (hosts file), blocking an execution file from being tampered with, When an executable file having a specific target is executed in a folder and then a list of files in the folder is examined and a file reading operation of the executed executable file occurs in a folder in which a file list is examined A hooking unit for hooking an execution request input signal before the executable file and the dynamic connection file of the process are loaded into the memory when the file is damaged by the executable file accessing the folder, Use at least one of the hash (MD5 hash) and certificate to check whether the executable file is tampered with or malicious. A file checking unit for checking whether a malfunctioning file has been verified as a result of the file checking unit, a request for execution of the process is executed when a malfunctioning file is verified as a result of the file checking unit, And an execution processing unit for limiting the use of the computer through subsequent processing to prevent the modulated process file from being run.

Description

컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치 및 방법{Apparatus and method of detecting intrusion of into files on computer network}[0001] Apparatus and method for detecting intrusion into files on a computer network [0002]

본 발명은 컴퓨터 프로세스의 보안 분야에 관한 것으로, 특히 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치 및 방법에 관한 것이다.FIELD OF THE INVENTION The present invention relates to the security field of computer processes, and more particularly, to an apparatus and method for preventing intrusion into a file on a computer network.

통신 네트워크 보안 시스템들에 있어서 두 알려진 보안 모델이 있는데, 침입방지 및 침입감지이다. 침입방지는 전형적으로 능동적인 반면, 침입감지는 예를 들면 보고에 사용되고 수동적이다. 네트워크에 근거한 그리고 호스트에 근거한 것을 포함하는 여러 종류의 침입방지 시스템들이 있다.There are two known security models in communication network security systems: intrusion prevention and intrusion detection. Intrusion prevention is typically active, while intrusion detection is used for reporting, for example, and is passive. There are several types of intrusion prevention systems, including network based and host based.

침입감지 시스템들은 일정하게 네트워크 내를 흐르는 통신들을 모니터하고, 이것은 그들이 의심스러운 네트워크 통신을 보호하고 차단 또는 드롭하며, 뿐만 아니라 네트워크 관리자에게 경고를 발생한다. 의심스러운 트래픽(traffic)을 차단 또는 드롭하는 과정은 네트워크의 보안을 보장한다.Intrusion detection systems constantly monitor communications through the network, which protects and blocks or drops suspicious network communications, as well as alerts the network administrator. The process of blocking or dropping suspicious traffic ensures the security of the network.

그 중, 악성 봇(Bot) 및 웜(Worm)은 원도우 시스템의 쉬운 비밀번호 설정, 원도우 취약점, 원도우 공유폴더 등을 통하여 전파되며, 특히 악성 봇은 기타 다른 웜 바이러스가 사용하는 백도어 포트를 통하여도 전파된다. 이러한 악성 봇 및 웜에 감염된 시스템은 악성 봇 및 웜의 유포자가 지정한 특정 서버에 접속되며 악성 봇(Bot)에 감염된 시스템은 유포자의 명령에 따라 추가 감염을 위한 특정 IP 대역 공격, 사용자 정보 등을 유출한다. 특히 악성 봇은 감염된 호스트들을 공격자가 중앙에서 일괄 관리하여 DoS 등 다양한 공격 명령을 수행토록 하고, 주변의 호스트들을 또다시 감염시키기 위하여 웜 공격을 수행하기도 한다.Among them, malicious bots and worms are spread through easy password setting of windows system, window vulnerability, Windows shared folder, etc. Especially, malicious bots can spread through backdoor ports used by other worm viruses do. These malicious bots and worm infected systems are connected to a specific server designated by the malicious bot and worm spreader. Infected systems infiltrate specific IP band attacks, user information, etc. for additional infection according to the distributor's instructions do. In particular, malicious bots can manage infected hosts centrally by an attacker to perform various attack commands such as DoS, and perform worm attacks to infect hosts around them again.

이러한 악성 봇 및 웜의 전파방식은 공유폴더, 비밀번호의 유출, 윈도우즈 자체의 보안상의 취약성 등에 근거해 전파된다. 예컨대 원도우즈 계열의 운영체제에서 기본적으로 설정된 관리목적의 공유 폴더는 관리자가 원격지에서 시스템에 접근하는데 필요한 것으로 시스템 설치 시 기본적으로 설정된다. 이 폴더들은 [드라이브]$ 식으로 표현되며 일반적으로 C$, D$등의 폴더 명으로 되어 있다. 관리자 비밀번호가 설정되지 않았거나, 추측하기 쉬운 비밀번호로 설정되었을 경우 원격지로부터 여러 가지 공격에 노출 될 수 있다. 이러한 취약성을 이용하여 악성 봇 및 웜이 전파된다.The propagation methods of these malicious bots and worms are based on shared folders, leakage of passwords, and security vulnerabilities of Windows itself. For example, Shared Folders for management purposes, which are basically set in a Windows operating system, are necessary for administrators to access the system from a remote place, and are set by default when the system is installed. These folders are represented by the [drive] $ expression and are usually named C $, D $, and so on. If an administrator password is not set or is set to a password that is easy to guess, it can be exposed to various attacks from remote sites. These vulnerabilities exploit malicious bots and worms to spread.

또한 원도우 시스템의 관리자 (Administrator)의 계정 비밀번호가 없거나 유추하기 쉬운 비밀번호를 사용할 경우 악성 봇(Bot)의 공격에 취약할 수 있다. 쉽게 유추가 가능한 사용자 계정(ID)과 비밀번호(Password)를 사용하는 시스템을 찾기 위해 악성 봇 및 웜에 감염된 시스템은 관리목적의 공유 IPC$ (TCP 445 포트)를 통해 자신을 전파시킨다. 즉, 악성 봇 및 웜은 원도우 폴더 나 원도우 시스템 폴더에 관련 파일을 복사하고, 원도우 자동 시작 시 실행되기 위해 레지스트리에 자신을 추가한 후, 보안 프로그램 및 바이러스 백신 프로그램 종료를 통하여 악성 봇 및 웜 이 원활하게 동작하기 위하여 보안 프로그램 및 바이러스 백신 프로그램의 프로세스를 강제 종료하고 바이러스 백신 프로그램이 새로 추가되는 바이러스 패턴에 대하여 업데이트를 하지 못하도록 hosts 파일을 변조한 다음 원도우 사용자의 운영체제 등록번호 (CD Key), Game CD Key, 개인 자료 등의 유출을 통해 개인 정보를 수집한다.Also, if there is no administrator password of the administrator of the window system or password that is easy to guess, it may be vulnerable to attack by malicious bot. Systems that are infected with malicious bots and worms spread themselves through a shared IPC $ (TCP port 445) for administrative purposes in order to find a system that uses an easily identifiable user account (ID) and password. In other words, malicious bots and worms copy related files to the Windows folder or Windows system folder, add themselves to the registry to run when Windows starts automatically, and then the malicious bots and worms The antivirus program modifies the hosts file so that the antivirus program can not update the newly added virus pattern, and then the operating system registration number (CD Key) of the user of the window, the game CD Keys, personal data, etc.

이렇게 악성 봇과 웜에 감염된 시스템은 추가적인 감염을 위하여 불필요한 네트워크 연결 시도를 하며, 이러한 감염을 위한 추가적인 공격 및 서비스 공격으로 인하여 과도한 네트워크 트래픽이 유발되고, 악성 봇과 웜에 감염된 시스템은 특정 프로세서에 의하여 CPU가 점유됨으로 인하여 시스템이 느려지는 경우가 발생한다.The system infected by malicious bots and worms makes an unnecessary network connection attempt for additional infection. The additional attack and service attack for this infection causes excessive network traffic. The system infected by malicious bots and worms is executed by a specific processor The system may be slowed down because the CPU is occupied.

이러한 악성 봇(Bot) 및 웜(Worm)의 탐지에 이용될 척도 선정을 위하여 종래 많은 방법들이 제안되어 왔는바, 공격 시그니처 기반으로 악성 봇(Bot) 또는 웜(Worm) 탐지 방법과 상기 악성 봇(Bot) 또는 웜(Worm)이 발생시키는 트래픽의 패턴을 분석하여 이들 행위모델을 이용하는 방법, 트래픽의 증가를 일으키는 추이를 분석하여 척도로서 이용하는 방법 등이 종래 사용되어져 왔던 방법들이다.Many methods have conventionally been proposed for selecting scales to be used for detection of such malicious bots and worms and it has been proposed that malicious bots or worm detection methods based on attack signatures and malicious bots A method of using these behavior models by analyzing patterns of traffic generated by a bot or a worm, and a method of using the behavior as an indicator by analyzing a trend causing an increase in traffic have been conventionally used.

이중 상용 백신과 대부분의 침입탐지시스템에서 사용하는 시그니처 기반의 악성 봇 또는 웜 탐지방법은 웜(Worm) 또는 악성 봇(Bot)의 데이터 영역에 수록되어 있는 시그니처를 탐색하여 해당 시그니처가 발견되는 트래픽을 공격으로 분류해 내는 방식이다.A signature-based malicious bot or worm detection method used in dual-commercial vaccines and most intrusion detection systems exploits the signatures contained in the data area of a worm or malicious bot, It is classified as an attack.

그러나 이러한 척도를 이용하여 탐지하는 방식은 패킷의 데이터영역을 직접 탐색해야 하는 것으로서, 네트워크상에서 전달되는 패킷의 데이터영역을 탐색하기 위해서는 탐색시간이 많이 소요된다는 문제가 있었고, 이로 인한 네트워크 트래픽의 부하 등의 문제가 있었다.However, the detection method using such a scale requires a direct search of the data area of the packet. In order to search the data area of the packet transmitted on the network, there is a problem that the search time is long. There was a problem of.

또한 수학적인 알고리즘인 TRW(Threshold Random Walk)을 이용해서 트래픽 패턴을 분석해서 웜을 찾아내는 방식의 경우 주된 척도로는 TCP 헤더의 SYN flag와 3-way handshake 성공 여부에 대한 정보가 이용된다. 이는 TCP 프로토콜을 사용한 웜에 대해서는 빠르게 찾아낼 수 있는 반면 스캐닝을 수행하는 웜에 대해서는 탐지가 불가능하다는 문제가 있었다. 그리고 네트워크상에 유입되는 트래픽들을 특정 패턴들로 분류하여 웜을 탐지하는 방식인 DEWP(Detecting Early Worm Propagation through Packet Matching)방식의 경우 접속 포트를 척도로 이용하여 그 접속 빈도수에 기반하므로 TCP와 UDP 모두 쉽고 간편하게 탐지가 가능하나, 갑자기 외부 접속자가 많아지는 사이트의 경우 웜과 일반 사용자의 빈도가 비슷해지는 경우가 발생하기 때문에 이에 대한 탐지를 잘못하는 경우가 발생한다는 단점이 있다.Also, information on the SYN flag of the TCP header and the success of the 3-way handshake is used as a main measure in the case of detecting the worm by analyzing the traffic pattern using the mathematical algorithm TRW (Threshold Random Walk). It can detect worms using TCP protocol quickly, but can not detect worms that scan worms. In the case of Detecting Early Worm Propagation through Packet Matching (DEWP), which is a method of detecting worms by classifying the traffic flowing into the network into specific patterns, the access port is used as a scale and based on the frequency of access, Although it is easy and easy to detect, the frequency of worms and general users may become similar in case of a site which suddenly increases the number of external users, so that there is a disadvantage in that detection is wrong.

공개특허공보 제10-2013-0117728호 (공개일자 2013.10.28)Japanese Patent Application Laid-Open No. 10-2013-0117728 (published on October 20, 2013) 등록특허공보 제10-0602920호 (등록일자 2006.07.12)Patent Registration No. 10-0602920 (registered date 2006.07.12)

따라서 본 발명은 상기와 같은 문제점을 해결하기 위해 안출한 것으로서, 프로세스의 실행 파일(hosts 파일)의 실행 전에 실행 파일의 정당성을 먼저 탐지하여 실행 파일이 변조되었거나 의심스러운 파일은 프로세스에서 실행을 차단시켜 컴퓨터 네트워크 상에서 파일 속으로의 침입을 방지하기 위한 장치 및 방법을 제공하는데 그 목적이 있다.SUMMARY OF THE INVENTION Accordingly, the present invention has been made to solve the above problems, and it is an object of the present invention to provide a method and system for detecting a legitimacy of an executable file before execution of a process executable file (hosts file) It is an object of the present invention to provide an apparatus and method for preventing intrusion into a file on a computer network.

본 발명의 다른 목적은 저장되어 있는 모든 실행 파일에 대해서 바이러스 침입을 방지하기 위한 구성이 아니라, 사용자 데이터 파일을 보호하기 위한 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치 및 방법을 제공하는데 있다.It is another object of the present invention to provide an apparatus and method for preventing intrusion into a file on a computer network for protecting a user data file, not a configuration for preventing virus infiltration of all stored executable files.

본 발명의 다른 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.Other objects of the present invention are not limited to the above-mentioned objects, and other objects not mentioned can be clearly understood by those skilled in the art from the following description.

상기와 같은 목적을 달성하기 위한 본 발명에 따른 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치의 특징은 특정한 타겟을 갖는 실행 파일이 폴더에서 실행된 후, 해당 폴더내의 파일목록이 조사됨을 인지되어 파일목록이 조사된 폴더에서 상기 실행된 실행 파일의 파일읽기 동작이 발생할 때, 해당 폴더에 접근하는 실행 파일에 의한 파일의 손상이 감지되면, 프로세스의 실행파일 및 동적 연결 파일이 메모리에 로딩되기 이전에 실행 요청 입력 신호를 후킹(hooking)하는 후킹부와, 프로세스의 헤더, 해쉬(MD5 hash) 및 인증서 중 적어도 하나를 이용하여 실행 파일의 변조 및 악성 여부를 검사하는 파일 검사부와, 상기 파일 검사부의 검사결과 무결점 파일이 입증된 경우에 상기 프로세스의 실행 요청을 실행하고, 파일의 손상이 감지된 경우에 손상전 원본파일을 백업하며, 악성행위로 인식된 실행 프로세스에 대한 후속처리를 통해 컴퓨터 사용을 제한하여 변조된 프로세스 파일이 구동되는 것을 방지하는 실행 처리부를 포함하여 구성되는데 있다.According to another aspect of the present invention, there is provided an apparatus for preventing intrusion into a file on a computer network, the apparatus comprising: an execution file having a specific target executed in a folder; When the file reading operation of the executed executable file is performed in the inspected folder, if the file is damaged by the executable file accessing the corresponding folder, A hooking unit for hooking an execution request input signal before the executable file and the dynamic connection file of the process are loaded into the memory, and a modulating unit for modifying executable files using at least one of a header, a hash (MD5 hash) And a file checking unit for checking whether a malicious file is malicious. When a malfunction file is verified as a result of the file checking unit, a request for execution of the process is executed. When a file is damaged, And an execution processing unit for limiting the use of the computer through subsequent processing for the execution process recognized as the execution process and preventing the modulated process file from being executed.

바람직하게 상기 후킹부는 덮어쓰기에 의한 파일손상, 새로운 파일 생성 후 원본삭제에 의한 파일손상 및 새로운 파일 생성 후 원본파일 이름 변경에 의한 파일손상을 상기 실행 파일에 의한 파일의 손상으로 감지하는 것을 특징으로 한다.Preferably, the hooking unit detects a file corruption due to overwriting, a file corruption due to deletion of an original after a new file is created, and a file corruption due to the renaming of the original file after a new file is created. do.

바람직하게 상기 파일 검사부는 실행 파일의 헤더, 해쉬(MD5 hash) 및 인증서 중 적어도 하나의 검증 정보를 검출하는 검출부와, 기 설정된 규칙에 따른 암호화 테이블을 이용하여 프로세스 파일의 고유 정보를 저장하는 저장부와, 상기 검출부에서 검출된 검증 정보와 저장부에 저장된 고유 정보를 비교하여 일치 여부에 따라 무결성을 검사하는 비교부를 포함하여 구성되는 것을 특징으로 한다.Preferably, the file checking unit includes a detecting unit detecting at least one of a header, a hash (MD5 hash) and a certificate of an executable file, a storage unit storing unique information of the process file using an encryption table according to a predetermined rule, And a comparison unit comparing the verification information detected by the detection unit and the unique information stored in the storage unit and checking the integrity according to the match.

바람직하게 상기 검출부는 프로세스가 보호된 폴더에 실행 파일이 접근하면, 실행 파일에서 검증을 위한 헤더를 검출하는 헤더 검출부와, 프로세스가 보호된 폴더에 실행 파일이 접근하면, 실행 파일에서 검증을 위한 해쉬값을 계산하여 검출하는 해쉬 검출부와, 프로세스가 보호된 폴더에 실행 파일이 접근하면, 실행 파일에서 검증을 위한 인증서 내용을 검출하는 인증서 검출부를 포함하여 구성되는 것을 특징으로 한다.Preferably, the detecting unit includes a header detecting unit for detecting a header for verification in an executable file when an executable file accesses a protected folder of the process, a hash function for verifying in the executable file when the executable file accesses the protected folder, And a certificate detection unit for detecting the content of the certificate for verification in the executable file when the executable file is accessed by the protected folder.

바람직하게 상기 실행 처리부는 파일 검사부의 검사결과 무결점 파일이 입증된 경우에만 컴퓨터 사용을 허가하여 입력된 프로세스의 실행 요청을 실행하고, 입증되지 않은 경우에는 더 이상의 파일 손상을 방지하기 위해 모든 파일접근을 차단한 후 프로세스를 강제 종료하고, 악성행위 파일이 다시 실행되지 못하도록 검역서 영역으로 이동하고, 손상전 백업되었던 파일을 원래의 위치로 복원하는 것을 특징으로 한다.Preferably, the execution processing unit permits the use of the computer only when the integrity check file is verified as a result of checking the file checking unit to execute the execution request of the input process, and if not verified, executes all the file accesses The process is terminated, the process moves to the quarantine area so that the malicious action file can not be executed again, and the previously backed up file is restored to its original position .

상기와 같은 목적을 달성하기 위한 본 발명에 따른 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 방법의 특징은 (A) 특정한 타겟을 갖는 실행 파일이 폴더에서 실행된 후, 해당 폴더내의 파일목록이 조사됨을 인지되어 파일목록이 조사된 폴더에서 상기 실행된 실행 파일의 파일읽기 동작이 발생할 때, 해당 폴더에 접근하는 실행 파일에 의한 파일의 손상이 감지되면, 후킹부를 통해 프로세스의 실행파일 및 동적 연결 파일이 메모리에 로딩되기 이전에 실행 요청 입력 신호를 후킹(hooking)하는 단계와, (B) 파일 검사부를 통해 프로세스의 헤더, 해쉬 및 인증서 중 적어도 하나를 이용하여 실행 파일의 변조 및 악성 여부를 검사하는 단계와, (C) 실행 처리부를 통해 상기 검사결과 무결점 파일이 입증된 경우에 상기 프로세스의 실행 요청을 실행하고, 입증되지 않은 경우에는 실행프로세스에 대한 후속처리를 통해 컴퓨터 사용을 제한하여 변조된 프로세스 파일이 구동되는 것을 미연에 방지하는 단계를 포함하여 이루어지는데 있다.According to another aspect of the present invention, there is provided a method of preventing intrusion into a file on a computer network, the method comprising: (A) detecting execution of a file having a specific target in a folder, When a file reading operation of the executed executable file is performed in a folder in which a file list is examined, if a file is damaged by an executable file accessing the corresponding folder, the executable file and the dynamic link file of the process are stored in the memory (B) examining whether the executable file is tampered with and malicious using at least one of a header, a hash and a certificate of the process through a file checker, and (C) executing an execution request of the process when the integrity check file is verified through the execution processing unit, and If not, there makin comprises the step of preventing in advance that a modulation process by limiting the file using the computer via the drive of the subsequent processing execution process.

바람직하게 상기 (A) 단계는 덮어쓰기에 의한 파일손상, 새로운 파일 생성 후 원본삭제에 의한 파일손상 및 새로운 파일 생성 후 원본파일 이름 변경에 의한 파일손상을 상기 실행 파일에 의한 파일의 손상으로 감지하는 것을 특징으로 한다.Preferably, the step (A) includes detecting a file corruption due to overwriting, a file corruption due to the deletion of the original after creation of a new file, and a file corruption due to the renaming of the original file after the creation of a new file, .

바람직하게 상기 (B) 단계는 실행 파일의 헤더, 해쉬 및 인증서 중 적어도 하나의 검증 정보를 검출하는 단계와, 상기 검출된 검증 정보를 저장부에 미리 저장하고 있는 프로세스 파일의 고유 정보와 비교하여 일치 여부에 따라 무결성을 검사하는 단계를 포함하여 이루어지며, 이때, 상기 프로세스 파일의 고유 정보는 기 설정된 규칙에 따라 암호화하여 저장부에 저장하는 것을 특징으로 한다.Preferably, the step (B) includes the steps of: detecting verification information of at least one of a header, a hash and a certificate of an executable file; and comparing the detected verification information with unique information of a process file And checking the integrity according to whether or not the process file is encrypted. At this time, the unique information of the process file is encrypted according to a predetermined rule and stored in the storage unit.

바람직하게 상기 (B) 단계는 사용자가 인증한 프로세스의 헤더 값의 일부 또는 전체를 암호화하여 저장부에 저장하는 단계와, 프로세스가 보호된 폴더에 실행 파일이 접근하면, 상기 실행 파일에서 검증 헤더를 읽는 단계와, 상기 읽은 검증 헤더를 저장부에 저장된 고유 헤더와 비교하는 단계와, 상기 비교결과, 동일하면 실행 파일을 무결점 파일로 인증하고, 틀리면 실행 파일을 악성 파일로 추정하는 단계와, 상기 악성 파일로 추정되면 컴퓨터의 사용자에게 알림 등을 수행하는 단계를 포함하여 이루어지는 것을 특징으로 한다.Preferably, the step (B) encrypts part or all of the header value of the process authenticated by the user and stores the encrypted partial or entire header value in the storage unit. When the process accesses the protected folder with the executable file, Comparing the read verification header with a unique header stored in the storage unit; authenticating the executable file as a zero-defect file if it is the same as the comparison result, and estimating the executable file as a malicious file if the comparison is not successful; And a step of informing a user of the computer if it is estimated as a file.

바람직하게 상기 (B) 단계는 사용자가 인증한 프로세스의 해쉬(Hash)값을 계산해서 암호화하여 저장부에 저장하는 단계와, 프로세스가 보호된 폴더에 실행 파일이 접근하면, 상기 실행 파일에서 검증 해쉬값을 계산하는 단계와, 상기 계산된 검증 해쉬값과 저장부에 저장된 고유 해쉬값을 서로 비교하는 단계와, 상기 비교결과, 동일하면 실행 파일을 무결점 파일로 인증하고, 틀리면 실행 파일을 악성 파일로 추정하는 단계와, 상기 악성 파일로 추정되면 컴퓨터의 사용자에게 알림 등을 수행하는 단계를 포함하여 이루어지는 것을 특징으로 한다.Preferably, the step (B) may include calculating and encrypting a hash value of a process authenticated by the user, storing the hash value in a storage unit, and, when the executable file accesses the protected folder, Comparing the computed verification hash value with a unique hash value stored in the storage unit; and if the comparison result indicates that the executable file is authenticated as a non-integrity file, And a step of notifying a user of the computer if the malicious file is estimated.

바람직하게 상기 (B) 단계는 사용자가 인증한 프로세스 인증서의 이름 또는 상세내용을 포함하는 특정값을 암호화하여 저장부에 저장하는 단계와, 프로세스가 보호된 폴더에 실행 파일이 접근하면, 상기 실행 파일에서 인증서 내용을 추출하는 단계와, 상기 추출된 인증서 내용과 저장부에 저장된 고유 인증서 특정값을 서로 비교하는 단계와, 상기 비교결과, 동일하면 실행 파일을 무결점 파일로 인증하고, 틀리면 실행 파일을 악성 파일로 추정하는 단계와, 상기 악성 파일로 추정되면 컴퓨터의 사용자에게 알림 등을 수행하는 단계를 포함하여 이루어지는 것을 특징으로 한다.Preferably, the step (B) includes encrypting a specific value including a name or a detailed content of the process certificate authenticated by the user and storing the encrypted specific value in a storage unit, and when the executable file accesses the protected folder, Comparing the extracted certificate contents with a unique certificate specific value stored in the storage unit, and if the same is the result of the comparison, authenticating the executable file as a zero-integrity file, Estimating the file as a malicious file, and notifying a user of the computer when the malicious file is estimated.

바람직하게 상기 (C) 단계의 후속처리는 더 이상의 파일 손상을 방지하기 위해 모든 파일접근을 차단한 후 프로세스를 강제 종료하는 단계와, 악성행위 파일이 다시 실행되지 못하도록 검역서 영역으로 이동하는 단계와, 손상전 백업되었던 파일을 원래의 위치로 복원하는 단계를 포함하여 이루어지는 것을 특징으로 한다.Preferably, the subsequent process of step (C) further comprises: blocking all file accesses to prevent further file corruption, forcibly terminating the process, moving to the quarantine station area to prevent the malicious action file from being executed again, , And restoring the file backed up before the damage to the original location.

이상에서 설명한 바와 같은 본 발명에 따른 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치 및 방법은 다음과 같은 효과가 있다.The apparatus and method for preventing intrusion into a file on a computer network according to the present invention as described above have the following effects.

첫째, 실행 파일이 변조되었거나 의심스러운 파일의 프로세스 실행을 차단시킴으로써, 프로세스의 중요한 패킷의 손실로 이어질 수 있는 문제를 해결할 수 있다는 효과가 있다.First, there is an effect that the executable file is prevented from executing the process of the modulated or suspicious file, thereby solving the problem that the important packet of the process may be lost.

둘째, 컴퓨터에 설치되는 각종 소프트웨어가 바이러스 또는 해킹 툴에 의하여 변형될 경우, 이를 프로세스 실행 전에 발견하는 것이 용이하여 안정적인 PC환경을 제공할 수 있다.Second, when various software installed in a computer is modified by a virus or a hacking tool, it is easy to detect it before execution of a process, thereby providing a stable PC environment.

셋째, 특정한 타겟을 갖는 실행 파일이 폴더에서 실행된 후, 해당 폴더에 접근하는 실행 파일만을 한정적으로 후킹부, 파일 검사부, 실행 처리부에서 후킹, 검사 및 실행 처리하도록 구성함으로써, 바이러스 침입 방지를 위한 탐색 시간을 보다 빠르게 처리할 수 있는 효과가 있다.Thirdly, after an executable file having a specific target is executed in a folder, only an executable file that accesses the folder is hooked, inspected, and executed in a hooking unit, a file checking unit, and an execution processing unit, The time can be processed more quickly.

도 1 은 본 발명의 실시예에 따른 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치의 구성을 나타낸 블록도
도 2 는 도 1에서 파일 검사부의 구성을 상세히 나타낸 블록도
도 3 은 본 발명의 실시예에 따른 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 방법을 설명하기 위한 흐름도
도 4 는 도 3에서 실행 파일의 변조 및 악성 여부의 검사 방법 중 프로세스 헤더를 검증 정보로 검출하는 과정을 설명하기 위한 흐름도
도 5 는 도 4에서 실제 동작중인 프로세스가 저장된 파일을 Hex Viewer를 이용해서 표시되는 화면
도 6 은 도 3에서 실행 파일의 변조 및 악성 여부의 검사 방법 중 프로세스 해쉬를 검증 정보로 검출하는 과정을 설명하기 위한 흐름도
도 7 은 도 6에서 프로세스의 MD5 해쉬값을 나타낸 도면
도 8 은 도 3에서 실행 파일의 변조 및 악성 여부의 검사 방법 중 프로세스 인증서를 검증 정보로 검출하는 과정을 설명하기 위한 흐름도
도 9 는 도 8에서 프로세스의 인증서를 나타낸 도면BRIEF DESCRIPTION OF THE DRAWINGS FIG. 1 is a block diagram illustrating a configuration of an intrusion prevention apparatus into a file on a computer network according to an embodiment of the present invention; FIG.
FIG. 2 is a block diagram showing in detail the configuration of the file checking unit in FIG.
3 is a flowchart illustrating a method for preventing intrusion into a file on a computer network according to an embodiment of the present invention.
FIG. 4 is a flowchart for explaining a process of detecting a process header as verification information in the method of checking the modulation and maliciousness of an executable file in FIG.
FIG. 5 is a view illustrating a screen in which a file in which a process currently in operation is stored is displayed using the Hex Viewer
FIG. 6 is a flowchart for explaining the process of detecting a process hash as verification information in the method of checking the modulation and maliciousness of an executable file in FIG.
FIG. 7 is a diagram showing the MD5 hash value of the process in FIG. 6
FIG. 8 is a flow chart for explaining a process of detecting a process certificate as verification information in the method of checking the modulation and maliciousness of an executable file in FIG. 3
Figure 9 is a view of the certificate of the process in Figure 8;

본 발명의 다른 목적, 특성 및 이점들은 첨부한 도면을 참조한 실시예들의 상세한 설명을 통해 명백해질 것이다.Other objects, features and advantages of the present invention will become apparent from the detailed description of the embodiments with reference to the accompanying drawings.

본 발명에 따른 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치 및 방법의 바람직한 실시예에 대하여 첨부한 도면을 참조하여 설명하면 다음과 같다. 그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예는 본 발명의 개시가 완전하도록하며 통상의 지식을 가진자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 따라서 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Preferred embodiments of an apparatus and method for preventing intrusion into a file on a computer network according to the present invention will now be described with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. It is provided to let you know. Therefore, the embodiments described in the present specification and the configurations shown in the drawings are merely the most preferred embodiments of the present invention and are not intended to represent all of the technical ideas of the present invention. Therefore, various equivalents It should be understood that water and variations may be present.

도 1 은 본 발명의 실시예에 따른 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치의 구성을 나타낸 블록도이다.1 is a block diagram showing a configuration of an intrusion prevention device into a file on a computer network according to an embodiment of the present invention.

도 1에서 도시하고 있는 것과 같이, 특정한 타겟을 갖는 실행 파일이 폴더에서 실행된 후, 해당 폴더내의 파일목록이 조사됨을 인지되어 파일목록이 조사된 폴더에서 상기 실행된 실행 파일의 파일읽기 동작이 발생할 때, 해당 폴더에 접근하는 실행 파일에 의한 파일의 손상이 감지되면, 프로세스의 실행파일 및 동적 연결 파일이 메모리에 로딩되기 이전에 실행 요청 입력 신호를 후킹(hooking)하는 후킹부(100)와, 프로세스의 헤더, 해쉬(MD5 hash) 및 인증서 중 적어도 하나를 이용하여 실행 파일의 변조 및 악성 여부를 검사하는 파일 검사부(200)와, 상기 파일 검사부(200)의 검사결과 무결점 파일이 입증된 경우에 상기 프로세스의 실행 요청을 실행하고, 파일의 손상이 감지된 경우에 손상전 원본파일을 백업하며, 악성행위로 인식된 실행 프로세스에 대한 후속처리를 실행하는 실행 처리부(300)로 구성된다.As shown in FIG. 1, after an executable file having a specific target is executed in the folder, it is recognized that the file list in the corresponding folder is examined, and the file read operation of the executed executable file occurs in the folder in which the file list is examined A hooking unit 100 for hooking an execution request input signal before the executable file and the dynamic connection file of the process are loaded into the memory when the file is damaged by the executable file accessing the folder, A file inspecting unit 200 for inspecting whether an executable file has been tampered with or malicious using at least one of a header, a hash (MD5 hash) and a certificate of the process; and a file checking unit Executes the process execution request, backs up the original file before the damage if the file is damaged, Consists of the execution processing section 300 executes a process.

참고로 특정한 타겟이 되는 파일은, 사용자 데이터을 갖는 파일(.doc) 만을 타겟으로 하여 변조 및 악성 파일 공격이 이루어지고 있음에 따라, 이러한 변조 및 악성 파일 공격을 당하는 파일을 말한다.For reference, a specific target file refers to a file that is subject to such a tampering and malicious file attack because only the file (.doc) having user data is targeted and a malicious file attack is being performed.

이때, 상기 후킹부(100)는 다음의 세 가지 경우에 파일의 손상으로 감지한다.At this time, the hooking unit 100 detects that the file is damaged in the following three cases.

첫째, 덮어쓰기에 의한 파일손상이다. 즉, 파일읽기 동작이 발생한 파일에 변형된 내용으로 쓰기동작이 발생된 경우이다(예로서, 파일 A 읽기 -> 파일 A 쓰기).First, file corruption due to overwriting. That is, a write operation is generated with the modified contents of the file in which the file read operation occurred (for example, reading the file A -> writing the file A).

둘째, 새로운 파일 생성 후 원본삭제에 의한 파일손상이다. 즉, 파일읽기 동작이 발생한 폴더에 다른 이름의 파일이 생성되고, 파일읽기 동작이 발생한 파일이 삭제되는 경우이다.(예로서, 파일 A 읽기 -> 파일 B 생성 -> 파일 A 삭제) Second, file corruption due to deletion of original after creation of new file. That is, a file having a different name is created in the folder where the file reading operation is performed, and the file in which the file reading operation is performed is deleted (for example, reading the file A -> creating the file B -> deleting the file A)

셋째, 새로운 파일 생성 후 원본파일 이름 변경에 의한 파일손상이다. 즉, 파일일기 동작이 발생한 폴더에 다른 이름의 파일이 생성되고, 파일읽기 동작이 발생한 파일의 경로가 변경되는 경우이다.(예로서, 파일 A 읽기 -> 파일 B 생성 -> 파일 A 이름변경)Third, file corruption caused by renaming the original file after creating a new file. That is, a file with a different name is created in the folder in which the file diary operation has occurred, and the path of the file in which the file read operation occurred is changed (for example, reading file A -> creating file B -> changing file A name)

한편, 상기 후킹부(100)는 실행 요청된 프로세스가 사용하는 API(Application Programming Interface)를 후킹(Hooking)할 수 있다. API 후킹이란 프로세스가 사용하는 명령을 중간에 가로채어 사용된 명령어나 파라메터를 보거나 조작하는 기술을 말한다. 즉, 상기 파일 검사부(200)의 동작은 후킹 루틴에 포함된 것일 수 있다.Meanwhile, the hooking unit 100 may hook an application programming interface (API) used by a process requested to be executed. API hooking refers to the technique of intercepting the commands used by a process to view or manipulate the commands or parameters used. That is, the operation of the file checking unit 200 may be included in the hooking routine.

실행 프로세스 또는 응용 애플리케이션이라 불리는 EXE 파일 말고도 프로세스 실행을 위한 동적 링크 라이브러리라는 DLL파일도 프로그램 실행 시에 같이 물려 메모리상에 로드된다. 이러한 EXE 파일과 관련 DLL 파일들이 메모리상에 로드되면서 비로소 프로세스가 사용가능하게 되고, 이렇게 로드된 하나의 EXE와 여러 개의 관련 DLL들이 하나의 프로세스(process)를 구성한다. 본 발명은 실행 액션에 의한 후킹 기술을 이용함으로써 실제 프로세스가 구동되기 이전에 프로그램 파일에 대한 무결성을 검사할 수 있다.In addition to EXE files called executable processes or application applications, DLL files called dynamic link libraries for process execution are loaded into memory at the time of program execution. These EXE files and related DLL files are loaded into the memory so that the process becomes available, and one EXE and several related DLLs thus constitute one process. The present invention can check the integrity of the program file before the actual process is started by using the hooking technique by the action action.

그러나 이에 한정되지 않고 후킹부(100)는 컴퓨터에 전원이 공급될 경우 즉, 부팅시, 혹은 새로운 프로세스 파일을 다운로드 받을 경우에 무결성 검사를 수행하기 위해 후킹 신호를 발생시키도록 구현될 수도 있다. However, the present invention is not limited to this, and the hooking unit 100 may be configured to generate a hooking signal to perform an integrity check when power is supplied to the computer, that is, when booting up or when downloading a new process file.

그리고 상기 파일 검사부(200)는 프로세스의 헤더, 해쉬(MD5 hash) 및 인증서 중 적어도 하나를 이용하여 실행 파일의 변조 및 악성 파일 여부를 검사함에 따라, 실행 파일의 헤더, 해쉬(MD5 hash) 및 인증서 중 적어도 하나의 검증 정보를 검출하는 검출부(210)와, 기 설정된 규칙에 따른 암호화 테이블을 이용하여 프로세스 파일의 고유 정보(헤더, 해쉬, 인증서 등)를 저장하는 저장부(220)와, 상기 검출부(210)에서 검출된 검증 정보와 저장부(220)에 저장된 고유 정보를 비교하여 일치 여부에 따라 무결성을 검사하는 비교부(230)로 구성된다.The file checking unit 200 checks at least one of a header, a hash (MD5 hash) and a certificate of the process to check whether the executable file is a malicious file or not, A storage unit 220 for storing unique information (a header, a hash, a certificate, and the like) of the process file using an encryption table according to a predetermined rule; (230) for comparing the verification information detected by the verification unit (210) with the unique information stored in the storage unit (220) and checking the integrity according to whether the verification information matches or not.

이때, 상기 검출부(210)는 프로세스가 보호된 폴더에 실행 파일이 접근하면, 실행 파일에서 검증을 위한 헤더를 검출하는 헤더 검출부(211)와, 프로세스가 보호된 폴더에 실행 파일이 접근하면, 실행 파일에서 검증을 위한 해쉬값을 계산하여 검출하는 해쉬 검출부(212)와, 프로세스가 보호된 폴더에 실행 파일이 접근하면, 실행 파일에서 검증을 위한 인증서 내용을 검출하는 인증서 검출부(213)로 구성된다. In this case, the detection unit 210 includes a header detection unit 211 for detecting a header for verification in an executable file when an executable file accesses a protected folder of the process, A hash detection unit 212 for calculating and detecting a hash value for verification in a file, and a certificate detection unit 213 for detecting the contents of a certificate for verification in an executable file when an executable file accesses a folder protected by the process .

이어 상기 실행 처리부(300)는 파일 검사부(200)의 검사결과 무결점 파일이 입증된 경우에만 컴퓨터 사용을 허가하여 입력된 프로세스의 실행 요청을 실행하고, 파일의 손상이 감지된 경우에 손상전 원본파일을 백업하며, 악성행위로 인식된 실행 프로세스에 대한 후속처리를 통해 컴퓨터 사용을 제한하여 변조된 프로세스 파일이 구동되는 것을 미연에 방지한다.The execution processing unit 300 permits the use of the computer only when the integrity check file of the file checking unit 200 is verified to execute the execution request of the input process, and when the file is damaged, And restricting the use of the computer through subsequent processing of the execution process recognized as malicious action, thereby preventing the process file from being tampered.

상기 후속처리는 첫째, 더 이상의 파일 손상을 방지하기 위해 모든 파일접근을 차단한 후 프로세스를 강제 종료한다. 둘째, 악성행위 파일이 다시 실행되지 못하도록 검역서 영역으로 이동한다. 셋째, 손상전 백업되었던 파일을 원래의 위치로 복원한다. The subsequent processing firstly blocks all file accesses to prevent further file corruption, and then forcibly terminates the process. Second, it moves to the quarantine area so that malicious file can not be executed again. Third, restore the files that were backed up before the damage to the original location.

이와 같이 구성된 본 발명에 따른 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치의 동작을 첨부한 도면을 참조하여 상세히 설명하면 다음과 같다. 도 1 또는 도 2와 동일한 참조부호는 동일한 기능을 수행하는 동일한 부재를 지칭한다. Hereinafter, the operation of the intrusion prevention device in a file on the computer network according to the present invention will be described in detail with reference to the accompanying drawings. Like reference numerals in FIG. 1 or FIG. 2 denote the same members performing the same function.

도 3 은 본 발명의 실시예에 따른 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a method for preventing intrusion into a file on a computer network according to an embodiment of the present invention.

도 3을 참조하여 설명하면, 특정한 타겟을 갖는 실행 파일이 폴더에서 실행된 후, 해당 폴더내의 파일목록이 조사됨을 인지되어 파일목록이 조사된 폴더에서 상기 실행된 실행 파일의 파일읽기 동작이 발생할 때, 해당 폴더에 접근하는 실행 파일에 의한 파일의 손상이 감지되면(S100), 후킹부(100)를 통해 프로세스의 실행파일 및 동적 연결 파일이 메모리에 로딩되기 이전에 실행 요청 입력 신호를 후킹(hooking)한다(S200).Referring to FIG. 3, when an executable file having a specific target is executed in a folder, it is recognized that a list of files in the folder is inspected and a file reading operation of the executed executable file occurs in a folder in which a file list is examined , And if the file is damaged by the executable file accessing the folder (S100) The execution request input signal is hooked (S200) before the execution file of the process and the dynamic connection file are loaded into the memory through the hooking unit 100. [

상기 파일의 손상으로의 감지는 다음 세 가지 경우를 말한다.The detection of the damage of the file refers to the following three cases.

첫째, 덮어쓰기에 의한 파일손상이다. 즉, 파일읽기 동작이 발생한 파일에 변형된 내용으로 쓰기동작이 발생된 경우이다(예로서, 파일 A 읽기 -> 파일 A 쓰기).First, file corruption due to overwriting. That is, a write operation is generated with the modified contents of the file in which the file read operation occurred (for example, reading the file A -> writing the file A).

둘째, 새로운 파일 생성 후 원본삭제에 의한 파일손상이다. 즉, 파일읽기 동작이 발생한 폴더에 다른 이름의 파일이 생성되고, 파일읽기 동작이 발생한 파일이 삭제되는 경우이다.(예로서, 파일 A 읽기 -> 파일 B 생성 -> 파일 A 삭제)Second, file corruption due to deletion of original after creation of new file. That is, a file having a different name is created in the folder where the file reading operation is performed, and the file in which the file reading operation is performed is deleted (for example, reading the file A -> creating the file B -> deleting the file A)

셋째, 새로운 파일 생성 후 원본파일 이름 변경에 의한 파일손상이다. 즉, 파일일기 동작이 발생한 폴더에 다른 이름의 파일이 생성되고, 파일읽기 동작이 발생한 파일의 경로가 변경되는 경우이다.(예로서, 파일 A 읽기 -> 파일 B 생성 -> 파일 A 이름변경)Third, file corruption caused by renaming the original file after creating a new file. That is, a file with a different name is created in the folder in which the file diary operation has occurred, and the path of the file in which the file read operation occurred is changed (for example, reading file A -> creating file B -> changing file A name)

이어, 파일 검사부(200)를 통해 프로세스의 헤더, 해쉬(MD5 hash) 및 인증서 중 적어도 하나를 이용하여 실행 파일의 변조 및 악성 여부를 검사한다(S300).Then, at least one of the header, the hash (MD5 hash) and the certificate of the process is used by the file checking unit 200 to check whether the executable file is malfunctioning or not (S300).

상기 실행 파일의 변조 및 악성 여부의 검사 방법으로 검출부(210)를 통해 헤더 검출부(211), 해쉬 검출부(212), 인증서 검출부(213)로 구성되어 실행 파일의 헤더, 해쉬(MD5 hash) 및 인증서 중 적어도 하나의 검증 정보를 검출한 후, 저장부(220)에 미리 저장하고 있는 프로세스 파일의 고유 정보(헤더, 해쉬, 인증서 등)와 상기 검출된 검증 정보를 비교하여 일치 여부에 따라 무결성을 검사한다. 이때, 상기 프로세스 파일의 고유 정보는 기 설정된 규칙에 따른 암호화 테이블을 이용하여 저장부(220)에 저장된다.A header detection unit 211, a hash detection unit 212 and a certificate detection unit 213 through a detection unit 210 as a method of checking whether the executable file is modulated and malicious, and outputs a header of the executable file, a hash (MD5 hash) (Header, hash, certificate, etc.) of the process file stored in advance in the storage unit 220 and the detected verification information, and checks the integrity of the process file according to the match do. At this time, the unique information of the process file is stored in the storage unit 220 using an encryption table according to predetermined rules.

이에 따라 보다 상세한 설명은 도 4 내지 도 9를 참조하여 아래에서 좀 더 상세히 설명하도록 한다.Accordingly, a more detailed description will be described in more detail below with reference to FIGS. 4 to 9. FIG.

다음으로 실행 처리부(300)를 통해 상기 검사결과 무결점 파일이 입증된 경우에 상기 프로세스의 실행 요청을 실행한다(S400). 이처럼 파일 검사부(200)의 검사결과 무결점 파일이 입증된 경우에만 컴퓨터 사용을 허가하여 입력된 프로세스의 실행 요청을 실행하고, 입증되지 않은 경우에는 실행프로세스에 대한 후속처리를 통해 컴퓨터 사용을 제한하여 변조된 프로세스 파일이 구동되는 것을 미연에 방지한다.Next, when the integrity check file is verified through the execution processing unit 300, the execution request of the process is executed (S400). As a result of checking the file checking unit 200, only when the integrity file is verified, the use of the computer is permitted and the execution request of the inputted process is executed. If the file is not verified, the use of the computer is restricted through the subsequent process for the execution process, Thereby preventing the process file from being driven.

상기 후속처리는 첫째, 더 이상의 파일 손상을 방지하기 위해 모든 파일접근을 차단한 후 프로세스를 강제 종료한다. 둘째, 악성행위 파일이 다시 실행되지 못하도록 검역서 영역으로 이동한다. 셋째, 손상전 백업되었던 파일을 원래의 위치로 복원한다. The subsequent processing firstly blocks all file accesses to prevent further file corruption, and then forcibly terminates the process. Second, it moves to the quarantine area so that malicious file can not be executed again. Third, restore the files that were backed up before the damage to the original location.

도 4 는 도 3에서 실행 파일의 변조 및 악성 여부의 검사 방법 중 프로세스 헤더를 검증 정보로 검출하는 과정을 설명하기 위한 흐름도이다.FIG. 4 is a flowchart for explaining a process of detecting a process header as verification information in the method of checking the modulation and maliciousness of an executable file in FIG.

도 4를 참조하여 설명하면, 먼저 사용자가 인증한 프로세스의 헤더 값의 일부 또는 전체를 암호화하여 저장부(220)에 저장한다(S310). 이때, 프로세스의 헤더는 도 5에서 도시하고 있는 것과 같이, Hex(16진수)값으로 보면 도 5에서 도시하고 있는 것과 같은 내용을 확인할 수 있다. 도 5 는 실제 동작중인 프로세스가 저장된 파일을 Hex Viewer를 이용해서 표시되는 화면이다.Referring to FIG. 4, first, a part or all of the header value of the process authenticated by the user is encrypted and stored in the storage unit 220 (S310). At this time, as shown in FIG. 5, the header of the process is as shown in FIG. 5 by looking at the Hex (hexadecimal) value. 5 is a screen in which a file in which an actual process is stored is displayed using the Hex Viewer.

이어, 프로세스가 보호된 폴더에 실행 파일이 접근하면, 상기 실행 파일에서 검증 헤더를 읽는다(S311).When the process accesses the protected folder, the verification header is read from the executable file (S311).

그리고 상기 읽은 검증 헤더를 저장부(220)에 저장된 고유 헤더와 비교하여(S312), 동일하면 실행 파일을 무결점 파일로 인증하여 이후 프로세스가 수행하는 동작을 차단하지 않도록 하고(S313), 틀린 경우에는 실행 파일을 악성 파일로 추정하여, 이후 프로세스가 보호된 폴더에 접근하지 못하도록 한 후(S314) 컴퓨터의 사용자에게 알림 등을 수행한다(S315).The verification header is compared with the unique header stored in the storage unit 220 in step S312. If the same is true, the execution file is authenticated as a non-integrity file and the operation for performing the subsequent process is not blocked in step S313. The executable file is estimated as a malicious file, and the process is prevented from accessing the protected folder (S314), and then the user of the computer is notified (S315).

한편, 사용자가 악성 프로세스에 대한 처리를 지정한 경우(프로세스 종료, 삭제 등) 사용자가 설명한 내용에 따라 해당 프로세스가 처리된다.On the other hand, if the user specifies a process for a malicious process (process termination, deletion, etc.), the process is processed according to the description of the user.

도 6 은 도 3에서 실행 파일의 변조 및 악성 여부의 검사 방법 중 프로세스 해쉬를 검증 정보로 검출하는 과정을 설명하기 위한 흐름도이다.FIG. 6 is a flowchart for explaining a process of detecting a process hash as verification information in the method of checking the modulation and maliciousness of an executable file in FIG.

도 5를 참조하여 설명하면, 먼저 사용자가 인증한 프로세스의 해쉬(Hash)값을 계산해서 암호화하여 저장부(220)에 저장한다(S320). 이때, 도 7 은 프로세스의 MD5 해쉬값을 나타낸 도면으로, 해당 프로세스가 저장된 파일을 읽어 들여서 계산한 값을 나타낸다.Referring to FIG. 5, first, a hash value of a process authenticated by the user is calculated, encrypted, and stored in the storage unit 220 (S320). 7 is a diagram showing the MD5 hash value of the process, and shows a value calculated by reading the file in which the process is stored.

이어, 프로세스가 보호된 폴더에 실행 파일이 접근하면, 상기 실행 파일에서 검증 해쉬값을 계산한다(S321).If the process accesses the protected folder, the verification hash value is calculated in the executable file (S321).

그리고 상기 계산된 검증 해쉬값과 저장부(220)에 저장된 고유 해쉬값을 서로 비교하여(S322), 동일하면 실행 파일을 무결점 파일로 인증하여 이후 프로세스가 수행하는 동작을 차단하지 않도록 하고(S323), 틀린 경우에는 실행 파일을 악성 파일로 추정하여, 이후 프로세스가 보호된 폴더에 접근하지 못하도록 한 후(S324) 컴퓨터의 사용자에게 알림 등을 수행한다(S325).In step S322, the computed verification hash value is compared with the unique hash value stored in the storage unit 220. If they are the same, the execution file is authenticated as a non-integrity file, If the file is not correct, the executable file is estimated as a malicious file, and the process is prevented from accessing the protected folder (S324), and then the user of the computer is notified (S325).

한편, 사용자가 악성 프로세스에 대한 처리를 지정한 경우(프로세스 종료, 삭제 등) 사용자가 설명한 내용에 따라 해당 프로세스가 처리된다.On the other hand, if the user specifies a process for a malicious process (process termination, deletion, etc.), the process is processed according to the description of the user.

도 8 은 도 3에서 실행 파일의 변조 및 악성 여부의 검사 방법 중 프로세스 인증서를 검증 정보로 검출하는 과정을 설명하기 위한 흐름도이다.FIG. 8 is a flowchart for explaining a process of detecting a process certificate as verification information in the method of checking the modulation and maliciousness of an executable file in FIG.

먼저 사용자가 인증한 프로세스 인증서의 특정값(인증서 이름, 인증서 상세내용)을 암호화하여 저장부(220)에 저장한다(S330). 이때, 도 9 는 프로세스의 인증서를 나타낸 도면이다.First, the specific value (certificate name, certificate details) of the process certificate authenticated by the user is encrypted and stored in the storage unit 220 (S330). 9 is a view showing a certificate of the process.

이어, 프로세스가 보호된 폴더에 실행 파일이 접근하면, 상기 실행 파일에서 인증서 내용을 추출한다(S331).When the executable file accesses the protected folder, the content of the certificate is extracted from the executable file (S331).

그리고 상기 추출된 인증서 내용과 저장부(220)에 저장된 고유 인증서 특정값을 서로 비교하여(S332), 동일하면 실행 파일을 무결점 파일로 인증하여 이후 프로세스가 수행하는 동작을 차단하지 않도록 하고(S333), 틀린 경우에는 실행 파일을 악성 파일로 추정하여, 이후 프로세스가 보호된 폴더에 접근하지 못하도록 한 후(S334) 컴퓨터의 사용자에게 알림 등을 수행한다(S335).In step S332, the extracted certificate content is compared with the unique certificate specific value stored in the storage unit 220. If the same is true, the execution file is authenticated as a non-integrity file, . If it is not correct, the executable file is estimated as a malicious file, and the process is prevented from accessing the protected folder (S334), and the user of the computer is notified (S335).

한편, 사용자가 악성 프로세스에 대한 처리를 지정한 경우(프로세스 종료, 삭제 등) 사용자가 설명한 내용에 따라 해당 프로세스가 처리된다.On the other hand, if the user specifies a process for a malicious process (process termination, deletion, etc.), the process is processed according to the description of the user.

참고로, 인증서 기반의 인증은 다음의 기능을 사용할 수 있다. 즉, 인증서 정보가 미리 저장되어 있지 않더라도 인증기관을 통해서 인증된 프로세스 전체 또는 이미 잘 알려진 회사(Microsoft, Adobe, 안랩 등)의 경우에는 미리 지정 및 등록해서 프로세스의 이름이 달라도 안전한 프로세스로 판단할 수도 있다.For reference, certificate-based authentication can use the following functions. In other words, even if the certificate information is not stored in advance, it can be judged as a safe process even if the entire process authenticated through the certification authority or a well-known company (Microsoft, Adobe, have.

예로서, 인증 이름이 Microsoft인 경우에는 모든 프로세스를 안전한 프로세스로 판단(제한적인 집합)하거나, 또는 인증기관으로부터 부여받은 인증서가 있는 모든 프로세스에 대해서는 안전하다고 판단(가장 광범위한 집합)한다.For example, if the authentication name is Microsoft, judge every process as a safe process (limited aggregation), or judge it as safe (the most extensive set) for all processes that have a certificate granted by the certification authority.

상기에서 설명한 본 발명의 기술적 사상은 바람직한 실시예에서 구체적으로 기술되었으나, 상기한 실시예는 그 설명을 위한 것이며 그 제한을 위한 것이 아님을 주의하여야 한다. 또한, 본 발명의 기술적 분야의 통상의 지식을 가진자라면 본 발명의 기술적 사상의 범위 내에서 다양한 실시예가 가능함을 이해할 수 있을 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다. While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. It will be apparent to those skilled in the art that various modifications may be made without departing from the scope of the present invention. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

Claims (12)

특정한 타겟을 갖는 실행 파일이 폴더에서 실행된 후, 해당 폴더내의 파일목록이 조사됨을 인지되어 파일목록이 조사된 폴더에서 상기 실행된 실행 파일의 파일읽기 동작이 발생할 때, 해당 폴더에 접근하는 실행 파일에 의한 파일의 손상이 감지되면, 프로세스의 실행파일 및 동적 연결 파일이 메모리에 로딩되기 이전에 실행 요청 입력 신호를 후킹(hooking)하는 후킹부와,
프로세스의 헤더, 해쉬(MD5 hash) 및 인증서 중 적어도 하나를 이용하여 실행 파일의 변조 및 악성 여부를 검사하는 파일 검사부와,
상기 파일 검사부의 검사결과 무결점 파일이 입증된 경우에 상기 프로세스의 실행 요청을 실행하고, 파일의 손상이 감지된 경우에 손상전 원본파일을 백업하며, 악성행위로 인식된 실행 프로세스에 대한 후속처리를 통해 컴퓨터 사용을 제한하여 변조된 프로세스 파일이 구동되는 것을 방지하는 실행 처리부를 포함하여 구성되고,
이때, 상기 파일 검사부는
실행 파일의 헤더, 해쉬(MD5 hash) 및 인증서 중 적어도 하나의 검증 정보를 검출하는 검출부와,
설정된 규칙에 따른 암호화 테이블을 이용하여 프로세스 파일의 고유 정보를 저장하는 저장부와,
상기 검출부에서 검출된 검증 정보와 저장부에 저장된 고유 정보를 비교하여 일치 여부에 따라 무결성을 검사하는 비교부를 포함하여 구성되며,
상기 검출부는
프로세스가 보호된 폴더에 실행 파일이 접근하면, 실행 파일에서 검증을 위한 헤더를 검출하는 헤더 검출부와,
프로세스가 보호된 폴더에 실행 파일이 접근하면, 실행 파일에서 검증을 위한 해쉬값을 계산하여 검출하는 해쉬 검출부와,
프로세스가 보호된 폴더에 실행 파일이 접근하면, 실행 파일에서 검증을 위한 인증서 내용을 검출하는 인증서 검출부를 포함하여 구성되는 것을 특징으로 하는 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치.When an executable file having a specific target is executed in a folder and a list of files in the folder is examined and a file reading operation of the executed executable file occurs in a folder in which a file list is examined, A hooking unit for hooking an execution request input signal before the executable file and the dynamic connection file of the process are loaded into the memory,
A file checking unit for checking whether the execution file is tampered with or malicious using at least one of a header, a hash (MD5 hash) and a certificate of the process;
A file execution unit configured to execute a process execution request when a defect-free file is verified as a result of the file checking unit; back up the original file before a damage is detected if a file is damaged; And an execution processing unit for restricting the use of the computer through the network and preventing the modulated process file from being driven,
At this time, the file checking unit
A detection unit for detecting verification information of at least one of a header, a hash (MD5 hash) and a certificate of an executable file;
A storage unit for storing unique information of a process file using an encryption table according to a set rule;
And a comparison unit comparing the verification information detected by the detection unit and the unique information stored in the storage unit and checking the integrity according to whether the verification information matches or not.
The detection unit
A header detecting unit for detecting a header for verification in an executable file when the executable file accesses the protected folder of the process;
A hash detector for calculating and detecting a hash value for verification in an executable file when an executable file accesses a protected folder of the process,
And a certificate detection unit for detecting the contents of the certificate for verification in the executable file when the executable file accesses the protected folder of the process. 제 1 항에 있어서,
상기 후킹부는 덮어쓰기에 의한 파일손상, 새로운 파일 생성 후 원본삭제에 의한 파일손상 및 새로운 파일 생성 후 원본파일 이름 변경에 의한 파일손상을 상기 실행 파일에 의한 파일의 손상으로 감지하는 것을 특징으로 하는 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치.The method according to claim 1,
Wherein the hooking unit detects a file corruption due to overwriting, a file corruption due to deletion of an original after a new file is created, and a file corruption due to a change of the original file name after a new file is created, Intrusion prevention device into file on network. 삭제delete 삭제delete 제 1 항에 있어서,
상기 실행 처리부는 파일 검사부의 검사결과 무결점 파일이 입증된 경우에만 컴퓨터 사용을 허가하여 입력된 프로세스의 실행 요청을 실행하고, 입증되지 않은 경우에는 더 이상의 파일 손상을 방지하기 위해 모든 파일접근을 차단한 후 프로세스를 강제 종료하고, 악성행위 파일이 다시 실행되지 못하도록 검역서 영역으로 이동하고, 손상전 백업되었던 파일을 원래의 위치로 복원하는 것을 특징으로 하는 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 장치.The method according to claim 1,
The execution processing unit permits the use of the computer only when the integrity check file of the file checking unit is verified and executes the execution request of the input process, and if not verified, blocks all file access to prevent further file damage The process is forcibly terminated, the malicious action file is moved to the quarantine station area so as not to be executed again, and the file backed up before the damage is restored to the original location. (A) 특정한 타겟을 갖는 실행 파일이 폴더에서 실행된 후, 해당 폴더내의 파일목록이 조사됨을 인지되어 파일목록이 조사된 폴더에서 상기 실행된 실행 파일의 파일읽기 동작이 발생할 때, 해당 폴더에 접근하는 실행 파일에 의한 파일의 손상이 감지되면, 후킹부를 통해 프로세스의 실행파일 및 동적 연결 파일이 메모리에 로딩되기 이전에 실행 요청 입력 신호를 후킹(hooking)하는 단계와,
(B) 파일 검사부를 통해 프로세스의 헤더, 해쉬 및 인증서 중 적어도 하나를 이용하여 실행 파일의 변조 및 악성 여부를 검사하는 단계와,
(C) 실행 처리부를 통해 상기 검사결과 무결점 파일이 입증된 경우에 상기 프로세스의 실행 요청을 실행하고, 입증되지 않은 경우에는 실행프로세스에 대한 후속처리를 통해 컴퓨터 사용을 제한하여 변조된 프로세스 파일이 구동되는 것을 미연에 방지하는 단계를 포함하여 이루어지고,
이때, 상기 (B) 단계는
사용자가 인증한 프로세스의 해쉬(Hash)값을 계산해서 암호화하여 저장부에 저장하는 단계와,
프로세스가 보호된 폴더에 실행 파일이 접근하면, 상기 실행 파일에서 검증 해쉬값을 계산하는 단계와,
상기 계산된 검증 해쉬값과 저장부에 저장된 고유 해쉬값을 서로 비교하는 단계와,
상기 비교결과, 동일하면 실행 파일을 무결점 파일로 인증하고, 틀리면 실행 파일을 악성 파일로 추정하는 단계와,
상기 악성 파일로 추정되면 컴퓨터의 사용자에게 알림 등을 수행하는 단계를 포함하여 이루어지는 것을 특징으로 하는 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 방법.(A) When an executable file having a specific target is executed in a folder, it is recognized that a file list in the folder is examined, and when a file reading operation of the executed executable file occurs in a folder in which a file list is examined, Hooking the execution request input signal before the execution file and the dynamic connection file of the process are loaded into the memory through the hooking unit when the file is damaged by the executable file,
(B) checking whether the executable file is tampered with and malicious using at least one of a header, a hash and a certificate of the process through a file checking unit;
(C) executing an execution request of the process in the case where the defect-free file is verified through the execution processing unit through the execution processing unit, and if not verified, restricting the use of the computer through subsequent processing for the execution process, In advance,
At this time, the step (B)
Calculating and encrypting a hash value of a process authenticated by a user and storing the encrypted hash value in a storage unit;
When the process accesses the protected folder with the executable file, calculating a verification hash value in the executable file;
Comparing the calculated verification hash value with a unique hash value stored in a storage unit,
Authenticating the executable file as a zero-defect file if the result of the comparison is the same; estimating an executable file as a malicious file if it is not correct;
And notifying a user of the computer if the malicious file is estimated as malicious file. 제 6 항에 있어서, 상기 (A) 단계는
덮어쓰기에 의한 파일손상, 새로운 파일 생성 후 원본삭제에 의한 파일손상 및 새로운 파일 생성 후 원본파일 이름 변경에 의한 파일손상을 상기 실행 파일에 의한 파일의 손상으로 감지하는 것을 특징으로 하는 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 방법.7. The method of claim 6, wherein step (A)
A file damage due to overwriting, a file damage due to deletion of an original after creation of a new file, and a file damage due to a change of the original file name after generation of a new file are detected as a damage of the file by the executable file. A method for preventing intrusion into a vehicle. 제 6 항에 있어서, 상기 (B) 단계는
실행 파일의 헤더, 해쉬 및 인증서 중 적어도 하나의 검증 정보를 검출하는 단계와,
상기 검출된 검증 정보를 저장부에 미리 저장하고 있는 프로세스 파일의 고유 정보와 비교하여 일치 여부에 따라 무결성을 검사하는 단계를 포함하여 이루어지며,
이때, 상기 프로세스 파일의 고유 정보는 기 설정된 규칙에 따라 암호화하여 저장부에 저장하는 것을 특징으로 하는 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 방법.7. The method of claim 6, wherein step (B)
Detecting verification information of at least one of a header, a hash and a certificate of an executable file;
Comparing the detected verification information with the unique information of the process file stored in advance in the storage unit, and checking the integrity according to whether the verification information matches or not,
Wherein the unique information of the process file is encrypted according to a predetermined rule and stored in the storage unit. 제 6 항에 있어서, 상기 (B) 단계는
사용자가 인증한 프로세스의 헤더 값의 일부 또는 전체를 암호화하여 저장부에 저장하는 단계와,
프로세스가 보호된 폴더에 실행 파일이 접근하면, 상기 실행 파일에서 검증 헤더를 읽는 단계와,
상기 읽은 검증 헤더를 저장부에 저장된 고유 헤더와 비교하는 단계와,
상기 비교결과, 동일하면 실행 파일을 무결점 파일로 인증하고, 틀리면 실행 파일을 악성 파일로 추정하는 단계와,
상기 악성 파일로 추정되면 컴퓨터의 사용자에게 알림 등을 수행하는 단계를 포함하여 이루어지는 것을 특징으로 하는 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 방법.7. The method of claim 6, wherein step (B)
Encrypting a part or all of a header value of a process authenticated by a user and storing the encrypted header value in a storage unit;
Reading a verification header from the executable file when the process accesses the protected folder with the executable file;
Comparing the read verification header with a unique header stored in a storage unit;
Authenticating the executable file as a zero-defect file if the result of the comparison is the same; estimating an executable file as a malicious file if it is not correct;
And notifying a user of the computer if the malicious file is estimated as malicious file. 삭제delete 제 6 항에 있어서, 상기 (B) 단계는
사용자가 인증한 프로세스 인증서의 이름 또는 상세내용을 포함하는 특정값을 암호화하여 저장부에 저장하는 단계와,
프로세스가 보호된 폴더에 실행 파일이 접근하면, 상기 실행 파일에서 인증서 내용을 추출하는 단계와,
상기 추출된 인증서 내용과 저장부에 저장된 고유 인증서 특정값을 서로 비교하는 단계와,
상기 비교결과, 동일하면 실행 파일을 무결점 파일로 인증하고, 틀리면 실행 파일을 악성 파일로 추정하는 단계와,
상기 악성 파일로 추정되면 컴퓨터의 사용자에게 알림 등을 수행하는 단계를 포함하여 이루어지는 것을 특징으로 하는 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 방법.7. The method of claim 6, wherein step (B)
Encrypting a specific value including a name or detail of a process certificate authenticated by the user and storing the encrypted specific value in a storage unit;
Extracting certificate contents from the executable file when the executable file accesses the protected folder,
Comparing the extracted certificate content with a unique certificate specific value stored in a storage unit,
Authenticating the executable file as a zero-defect file if the result of the comparison is the same; estimating an executable file as a malicious file if it is not correct;
And notifying a user of the computer if the malicious file is estimated as malicious file. 제 6 항에 있어서, 상기 (C) 단계의 후속처리는
더 이상의 파일 손상을 방지하기 위해 모든 파일접근을 차단한 후 프로세스를 강제 종료하는 단계와,
악성행위 파일이 다시 실행되지 못하도록 검역서 영역으로 이동하는 단계와,
손상전 백업되었던 파일을 원래의 위치로 복원하는 단계를 포함하여 이루어지는 것을 특징으로 하는 컴퓨터 네트워크 상에서 파일 속으로의 침입 방지 방법.7. The method of claim 6, wherein the subsequent processing of step (C)
Blocking all file accesses to prevent further file corruption and forcing the process to terminate;
Moving to the quarantine station area to prevent the malicious action file from being executed again,
And restoring the file that was backed up before the damage to the original location.
KR1020160182010A 2016-05-04 2016-12-29 Apparatus and method of detecting intrusion of into files on computer network KR101783159B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20160055089 2016-05-04
KR1020160055089 2016-05-04

Publications (1)

Publication Number Publication Date
KR101783159B1 true KR101783159B1 (en) 2017-10-23

Family

ID=60298785

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160182010A KR101783159B1 (en) 2016-05-04 2016-12-29 Apparatus and method of detecting intrusion of into files on computer network

Country Status (1)

Country Link
KR (1) KR101783159B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101320680B1 (en) * 2011-10-26 2013-11-21 (주)유성글로벌 Method and apparatus for integrity check of software

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101320680B1 (en) * 2011-10-26 2013-11-21 (주)유성글로벌 Method and apparatus for integrity check of software

Similar Documents

Publication Publication Date Title
AU2018204262B2 (en) Automated code lockdown to reduce attack surface for software
US10607009B2 (en) System and method for blocking ransomware infections
US9846776B1 (en) System and method for detecting file altering behaviors pertaining to a malicious attack
CN109923548B (en) Method, system and computer program product for implementing data protection by supervising process access to encrypted data
US10291634B2 (en) System and method for determining summary events of an attack
JP6370747B2 (en) System and method for virtual machine monitor based anti-malware security
US9467465B2 (en) Systems and methods of risk based rules for application control
US8713631B1 (en) System and method for detecting malicious code executed by virtual machine
US9058504B1 (en) Anti-malware digital-signature verification
CA2902110C (en) Systems and methods of risk based rules for application control
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
KR101137128B1 (en) Containment of worms
JP2023534502A (en) Advanced ransomware detection
Alzahrani et al. Ransomware in windows and android platforms
KR20100054940A (en) Apparatus and method for preventing malware using signature verification for embedded linux
KR20180060819A (en) Apparatus and method for blocking attack of ransom ware
US8640242B2 (en) Preventing and detecting print-provider startup malware
KR101783159B1 (en) Apparatus and method of detecting intrusion of into files on computer network
Sheikh Trojans, Backdoors, Viruses, and Worms
US20230229792A1 (en) Runtime risk assessment to protect storage systems from data loss
US20050262565A1 (en) Method and systems for computer security
da Silveira Serafim et al. Restraining and repairing file system damage through file integrity control
WO2002084939A1 (en) System and method for securely executing a executable to preserve the integrity of files from unauthorized access for network security

Legal Events

Date Code Title Description
N231 Notification of change of applicant
GRNT Written decision to grant