KR101899149B1 - 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체 - Google Patents

비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체 Download PDF

Info

Publication number
KR101899149B1
KR101899149B1 KR1020180050255A KR20180050255A KR101899149B1 KR 101899149 B1 KR101899149 B1 KR 101899149B1 KR 1020180050255 A KR1020180050255 A KR 1020180050255A KR 20180050255 A KR20180050255 A KR 20180050255A KR 101899149 B1 KR101899149 B1 KR 101899149B1
Authority
KR
South Korea
Prior art keywords
group
file
monitoring
points
list
Prior art date
Application number
KR1020180050255A
Other languages
English (en)
Inventor
김성기
안순용
서승완
강정호
Original Assignee
에스엠테크놀러지(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스엠테크놀러지(주) filed Critical 에스엠테크놀러지(주)
Priority to KR1020180050255A priority Critical patent/KR101899149B1/ko
Application granted granted Critical
Publication of KR101899149B1 publication Critical patent/KR101899149B1/ko
Priority to PCT/KR2018/013998 priority patent/WO2019212111A1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 사용자 컴퓨터에 비정상 프로세스가 잠입하는 것을 원천적으로 봉쇄하면서도 실행 파일의 실행 경로에 따라 효율적인 차단을 구현할 수 있는 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체에 관한 것으로, PC에 새로운 프로세스가 활성화되면 활성화된 프로세스의 부모 프로세스가 감시대상 프로세스에 해당하거나 화이트리스트 프로세스에 해당하지 않을 경우 감시대상 리스트에 등록하는 단계; PC의 프로세스 상황 모니터링 중 프로세스 중지 이벤트가 발생하면, 중지 이벤트가 발생된 프로세스가 감시대상 리스트에 기 등록되어 있으면 감시대상 리스트에서 해당 중지 이벤트가 발생된 프로세스를 삭제하는 단계; 보호대상 파일에 접근하는 프로세스가 발생할 경우, 발생한 프로세스가 감시대상 리스트에 기 등록되어 있거나 화이트리스트 프로세스에 해당하지 않을 경우 해당 발생한 프로세스를 블록하고 외부의 비정상 프로세스 감시 및 통제 서버로 전송하는 단계; 및 PC가 시작되면 비정상 프로세스 감시 및 통제 서버에 접속하여 업데이트한 보호대상 파일 유형 리스트 또는 기 등록해 둔 보호대상 파일 유형 리스트를 통해 PC 상에서 실행 중인 실행파일과 연결된 레지스트리 정보를 추출한 후, 추출된 레지스트리 정보로부터 추출한 실행파일 경로를 탐색하여 파일 정보를 추출하며, 해당 파일이 화이트리스트 프로세스에 해당하지 않을 경우 실행된 파일의 정보를 비정상 프로세스 감시 및 통제 서버로 전송하는 단계를 포함한다.

Description

비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체{Abnormal Process Monitoring and Controlling System and Method, Recording Medium for Performing the Method}
본 발명은 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체에 관한 것으로, 더욱 상세하게는 사용자 컴퓨터에 비정상 프로세스가 잠입하는 것을 원천적으로 봉쇄하면서도, 실행파일의 실행경로에 따라 효율적인 차단을 구현할 수 있는 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체에 관한 것이다.
모든 프로그램은 실행될 때 프로그램에 대응하는 코드가 메모리에 로드 되어 특정 프로세스명으로 동작하게 된다. 예를 들어, Internet Explorer 프로그램이 실행되면, Internet Explorer 프로그램에 대응하는 iexplorer.exe가 메모리에 로드 되어 프로세스로 실행되고, iexplorer.exe의 프로세스명으로 동작한다.
일반적인 프로세스의 실행 여부는 프로세스명을 통해 사용자가 인지할 수 있지만, 악성 프로그램(malicious code, 악의적인 목적을 위해 작성된 실행 가능한 코드의 통칭으로, 자기 복제 능력과 감염 대상 유무에 따라 바이러스, 웜 또는 트로이목마 등으로 분류됨)의 경우에는 프로세스명을 위조하는 방법 등을 통해 구현되는 바 사용자가 해당 악성 프로그램의 실행 여부를 쉽게 인지할 수 없는 것이 일반적이다.
따라서, 급격하게 증가하는 악성 프로그램(예를 들어, 악성 코드 또는 악성 바이러스 등)에 대응하기 위해 효율적으로 악성 프로그램을 탐지할 수 있는 방법이 요구된다.
한국공개특허 제10-2015-0056244호 한국공개특허 제10-2015-0076231호
본 발명의 일측면은 PC에 새로운 프로세스가 활성화되는 순간 해당 프로세스의 부모 프로세스를 확인하고, 프로세스 중지 이벤트가 발생하면 해당 프로세스와 감시의 대상인 감시대상 리스트를 비교하며, 보호대상 파일에 접근하는 프로세스를 탐지하여 서버로 전송하여 별도로 관리하며, 접속이 허용되는 화이트리스트 프로세스를 실시간으로 업데이트하여 관리할 수 있는 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체를 제공한다.
본 발명의 기술적 과제는 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 비정상 프로세스 감시 및 통제 시스템은, PC에 새로운 프로세스가 활성화되면 활성화된 프로세스의 부모 프로세스가 감시대상 프로세스에 해당하거나 화이트리스트 프로세스에 해당하지 않을 경우 감시대상 리스트에 등록하는 감시대상 추가 모듈; PC의 프로세스 상황 모니터링 중 프로세스 중지 이벤트가 발생하면, 중지 이벤트가 발생된 프로세스가 상기 감시대상 추가 모듈의 감시대상 리스트에 기 등록되어 있으면 감시대상 리스트에서 해당 중지 이벤트가 발생된 프로세스를 삭제하는 감시대상 삭제 모듈; 보호대상 파일에 접근하는 프로세스가 발생할 경우, 발생한 프로세스가 감시대상 리스트에 기 등록되어 있거나 화이트리스트 프로세스에 해당하지 않을 경우 해당 발생한 프로세스를 블록하고 외부의 비정상 프로세스 감시 및 통제 서버로 전송하는 접근프로세스 차단 모듈; 및 PC가 시작되면 비정상 프로세스 감시 및 통제 서버에 접속하여 업데이트한 보호대상 파일 유형 리스트 또는 기 등록해 둔 보호대상 파일 유형 리스트를 통해 PC 상에서 실행 중인 실행파일과 연결된 레지스트리 정보를 추출한 후, 추출된 레지스트리 정보로부터 추출한 실행파일 경로를 탐색하여 파일 정보를 추출하며, 해당 파일이 화이트리스트 프로세스에 해당하지 않을 경우 실행된 파일의 정보를 비정상 프로세스 감시 및 통제 서버로 전송하는 화이트리스트 추출 모듈을 포함한다.
일 실시예에서, 상기 감시대상 추가 모듈은, 감시대상 리스트에 등록할 프로세스가 이미 감시대상 리스트에 등록되어 있는 경우 해당 프로세스를 종료 시키며, 등록되어 있지 아니한 프로세스인 경우 감시대상 리스트에 추가시킬 수 있다.
본 발명의 일 실시예에 따른 비정상 프로세스 감시 및 통제 방법은, PC에 새로운 프로세스가 활성화되면 활성화된 프로세스의 부모 프로세스가 감시대상 프로세스에 해당하거나 화이트리스트 프로세스에 해당하지 않을 경우 감시대상 리스트에 등록하는 단계; PC의 프로세스 상황 모니터링 중 프로세스 중지 이벤트가 발생하면, 중지 이벤트가 발생된 프로세스가 감시대상 리스트에 기 등록되어 있으면 감시대상 리스트에서 해당 중지 이벤트가 발생된 프로세스를 삭제하는 단계; 보호대상 파일에 접근하는 프로세스가 발생할 경우, 발생한 프로세스가 감시대상 리스트에 기 등록되어 있거나 화이트리스트 프로세스에 해당하지 않을 경우 해당 발생한 프로세스를 블록하고 외부의 비정상 프로세스 감시 및 통제 서버로 전송하는 단계; 및 PC가 시작되면 비정상 프로세스 감시 및 통제 서버에 접속하여 업데이트한 보호대상 파일 유형 리스트 또는 기 등록해 둔 보호대상 파일 유형 리스트를 통해 PC 상에서 실행 중인 실행파일과 연결된 레지스트리 정보를 추출한 후, 추출된 레지스트리 정보로부터 추출한 실행파일 경로를 탐색하여 파일 정보를 추출하며, 해당 파일이 화이트리스트 프로세스에 해당하지 않을 경우 실행된 파일의 정보를 비정상 프로세스 감시 및 통제 서버로 전송하는 단계를 포함한다.
본 발명의 다른 실시예에 따른 컴퓨터로 판독 가능한 저장 매체에는, 비정상 프로세스 감시 및 통제 방법을 수행하기 위한 컴퓨터 프로그램이 기록되어 있다.
상술한 본 발명의 일측면에 따르면, 보호대상 파일에 악성 프로그램의 접근 유무와 상관없이 PC 상에 실행되는 모든 프로세스에 대한 감시가 가능하도록 하며, 악성코드가 윈도우에 내장된 정상 프로세스 여러 개를 순차적으로 호출한 후 악성 행위를 하는 행위를 미연에 차단할 수 있다.
도 1은 본 발명의 일 실시예에 따른 비정상 프로세스 감시 및 통제 시스템의 개략적인 구성이 도시된 도면이다.
도 2는 본 발명의 일 실시예에 따른 비정상 프로세스 감시 및 통제 방법을 설명하는 순서도이다.
도 3은 도 2에 있는 감시대상 리스트에 등록하는 단계를 설명하는 순서도이다.
도 4를 도 2에 있는 중지 이벤트가 발생된 프로세스를 삭제하는 단계를 설명하는 순서도이다.
도 5는 도 2에 있는 프로세스를 블록하고 외부의 비정상 프로세스 감시 및 통제 서버로 전송하는 단계를 설명하는 순서도이다.
도 6은 도 2에 있는 실행된 파일의 정보를 비정상 프로세스 감시 및 통제 서버로 전송하는 단계를 설명하는 순서도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 비정상 프로세스 감시 및 통제 시스템의 개략적인 구성이 도시된 도면이다.
도 1을 참조하면, 비정상 프로세스 감시 및 통제 시스템(10)은, 감시대상 추가 모듈(100), 감시대상 삭제 모듈(200), 접근프로세스 차단 모듈(300) 및 화이트리스트 추출 모듈(400)을 포함한다.
감시대상 추가 모듈(100)은, PC에 새로운 프로세스가 활성화되면 활성화된 프로세스의 부모 프로세스가 감시대상 프로세스에 해당하거나, 해당 PC로의 접근이 허용된 프로세스를 나열한 화이트리스트 프로세스(White List Process)에 해당하지 않을 경우 감시대상 리스트에 등록한다.
일 실시예에서, 감시대상 추가 모듈(100)은, 감시대상 리스트에 등록할 프로세스가 이미 감시대상 리스트에 등록되어 있는 경우 해당 프로세스를 종료 시키며, 등록되어 있지 아니한 프로세스인 경우 감시대상 리스트에 추가시킬 수 있다.
일 실시예에서, 감시대상 추가 모듈(100)는, 우선 PC에 새로운 프로세스(PID)가 활성화되면, 해당 프로세스의 부모 프로세스(PPID)를 확인하며, 부모 프로세스가 감시대상 프로세스라면 해당 프로세스는 감시대상 리스트로 등록하여 둔다.
그리고, 감시대상 리스트로 넘어간 프로세스가 기존 감시대상 리스트와 비교하여 이미 존재하는 프로세스일 경우 별도의 과정 없이 절차를 종료하게 되고, 기존 감시대상 리스트에 등록되지 아니한 새로운 프로세스인 경우 감시대상 리스트에 등록해 둔다.
그러나, 활성화된 프로세스의 부모 프로세스가 감시대상 프로세스가 아닌 경우 해당 프로세스의 부모 프로세스가 화이트리스트 프로세스(White List Process)인가 확인한다.
만일, 활성화된 프로세스의 부모 프로세스가 화이트리스트 프로세스가 아니라면 해당 프로세스를 감시대상 리스트로 넘겨 상술한 과정을 반복하며, 해당 프로세스의 부모 프로세스가 화이트리스트 프로세스인 경우라면 절차를 종료하게 된다.
감시대상 삭제 모듈(200)은, PC의 프로세스 상황 모니터링 중 악성 프로그램 등의 차단 등으로 인해 프로세스 중지 이벤트가 발생하면, 중지 이벤트가 발생된 프로세스가 감시대상 추가 모듈(100)의 감시대상 리스트에 기 등록되어 있으면 감시대상 리스트에서 해당 중지 이벤트가 발생된 프로세스를 삭제한다.
일 실시예에서, 감시대상 삭제 모듈(200)은, PC의 프로세스 상황을 모니터링 중, 프로세스 중지 이벤트가 발생하면 해당 프로세스의 아이디와 감시대상 리스트를 비교한 후, 중지된 프로세스가 감시대상 리스트에 존재하면 감시대상 리스트에서 해당 중지된 프로세스를 삭제하게 된다. 이때, 중지된 프로세스가 감시대상 리스트에 존재하지 않는다면 절차를 바로 종료하게 된다.
접근프로세스 차단 모듈(300)은, 보호대상 파일에 접근하는 프로세스가 발생할 경우, 발생한 프로세스가 감시대상 리스트에 기 등록되어 있거나, 화이트리스트 프로세스에 해당하지 않을 경우 해당 발생한 프로세스를 블록하고 외부의 비정상 프로세스 감시 및 통제 서버(500)로 전송한다.
일 실시예에서, 보호대상 파일에 접근하는 프로세스가 발생할 경우, 해당 프로세스가 예외 프로세스(Batch Process)인 경우 실행을 허용하고, 예외 프로세스에 해당하지 않는다면 감시대상 리스트와 비교하여 리스트에 존재하는 감시대상의 프로세스 아이디와 해당 프로세스의 아이디가 동일하다면 해당 프로세스의 접근을 불허하고, 해당 내용을 비정상 프로세스 감시 및 통제 서버(500)로 전송하며, 감시대상 프로세스 아이디에 존재하지 않지만 화이트리스트 프로세스가 아닌 경우 역시 해당 프로세스의 접근을 불허하고 내용을 비정상 프로세스 감시 및 통제 서버(500)로 전송하게 된다.
화이트리스트 추출 모듈(400)은, PC가 시작되면 비정상 프로세스 감시 및 통제 서버(500)에 접속하여 업데이트한 보호대상 파일 유형 리스트, 또는 기 등록해 둔 보호대상 파일 유형 리스트를 통해 PC 상에서 실행 중인 실행파일과 연결된 레지스트리 정보를 추출한 후, 추출된 레지스트리 정보로부터 추출한 실행파일 경로를 탐색하여 파일 정보를 추출하며, 해당 파일이 화이트리스트 프로세스에 해당하지 않을 경우 실행된 파일의 정보를 비정상 프로세스 감시 및 통제 서버(500)로 전송한다.
일 실시예에서, 화이트리스트 추출 모듈(400)은, PC가 시작하면 비정상 프로세스 감시 및 통제 서버(500)로의 접속을 시도하며, 서버 접속에 성공하면 비정상 프로세스 감시 및 통제 서버(500)로부터 정책을 수신 받고, 보호대상 파일 유형 리스트를 수신 받아 최신 호보대상으로 데이터베이스를 업데이트 하고, 서버 접속에 실패하면 기존 보호대상 파일 유형 리스트를 메모리에 로딩 한다.
리스트가 로딩되거나 서버를 통해 보호대상이 최신으로 업데이트되면, 보호대상 파일을 확인한 후 관련된 실행파일과 연결된 레지스트리 정보를 추출한 후, 레지스트리 정보에서 추출한 실행파일 경로를 검색한 후 파일 정보를 추출하여 경로실행파일을 확인한다.
해당 실행파일이 화이트리스트 프로세스가 아닌 경우 해당 실행파일 정보를 비정상 프로세스 감시 및 통제 서버(500)로 전송하게 된다.
상술한 바와 같은 구성을 가지는 비정상 프로세스 감시 및 통제 시스템(10)은, 랜섬웨어 차단 모듈(설명의 편의상 도면에는 도시하지 않음)을 더 포함할 수 있다.
랜섬웨어 차단 모듈은, 차단이 불가능한 랜섬웨어(ransomware, 몸값(ransom)과 소프트웨어(software)의 합성어로, 사용자 컴퓨터 시스템을 잠그거나 데이터를 암호화해서 사용할 수 없도록 만든 다음 사용하고 싶다면 돈을 내라고 요구하는 악성 프로그램)의 침입이 감지되면, PC의 성능을 조절하여 랜섬웨어의 설치 및 실행 속도를 저하시킨 후, 해당 랜섬웨어가 설치되고 실행되는 동안 클라우드 서비스(예를 들어, 드롭박스 또는 네이버 클라우드 등)에 동기화 되어 사용자에 의해 미리 선택된 파일을 업로드 하며, 파일의 업로드가 완료되면 클라우드 서비스와의 연결 및 모든 네트워크의 연결을 종료 시킨다.
일 실시예에서, 랜섬웨어 차단 모듈은, 침입이 감지된 랜섬웨어의 차단이 가능할 경우 우선적으로 해당 랜섬웨어를 차단하며, 차단이 불가능하다고 판단되는 경우에 한하여 상술한 클라우드 서비스와의 동기화 과정을 실행할 수 있다.
일 실시예에서, 랜섬웨어 차단 모듈은, PC의 CPU의 클럭 수를 비정상적으로 저하(예를 들어, 정상 클럭의 1 내지 3% 등)시켜 컴퓨터의 연산 속도를 비정상적으로 줄임으로써, 랜섬웨어의 설치 및 실행 속도를 저하시킬 수 있다.
이때, 동기화 프로그램을 위한 PC의 자원은 미리 독립적으로 확보해 두었다가, 랜섬웨어의 침입이 감지되면, 다른 자원과는 별도로 활용하여 클럭 수의 저하에도 지장 없이 동기화를 수행하도록 함이 바람직하다.
일 실시예에서, 랜섬웨어 차단 모듈은, 사용자로부터 미리 지정을 받은 동기화 순서에 따라 동기화를 수행하거나, 최대한 많은 파일을 랜섬웨어로부터 효율적인 파일 보호를 위해 용량이 적은 파일로부터 클라우드에 업로드 하거나, 사용자로부터 지정 받은 전체 파일을 일괄하여 업로드 하기 위해 전체 파일에 대한 압축 파일을 생성시킨 후 한 번에 업로드 할 수 있다.
상기 랜섬웨어 차단 모듈은 파일의 용량, 사용자로부터 지정된 파일인지 여부 및 사용자가 파일을 실행한 횟수에 기초하여 클라우드에 업로드 하는 순서를 결정한다.
상기 랜섬웨어 차단 모듈은 모든 파일을 크기별로 10개의 그룹으로 분류한다. 각각의 그룹에 포함된 파일의 개수는 모든 파일의 개수를 그룹수로 나눈 값과 동일하다. 즉 모든 파일이 1000개라면, 그룹의 개수는 10개이기 때문에 각 그룹에는 100개의 파일이 포함된다. 상기 랜섬웨어 차단모듈은 파일의 용량의 크기가 작은 순서로 10개의 그룹으로 분류한다.
상기 랜섬웨어 차단모듈은 용량의 크기가 가장 작은 파일들이 속한 그룹을 그룹 1로 정의 하고, 용량의 크기가 두번째로 작은 파일들이 속한 그룹을 그룹 2로 정의 하고, 용량의 크기가 세번째로 작은 파일들이 속한 그룹을 그룹 3으로 정의 하고, 용량의 크기가 네번째로 작은 파일들이 속한 그룹을 그룹 4로 정의 하고, 용량의 크기가 다섯번째로 작은 파일들이 속한 그룹을 그룹 5로 정의 하고, 용량의 크기가 여섯번째로 작은 파일들이 속한 그룹을 그룹 6으로 정의 하고, 용량의 크기가 일곱번째로 작은 파일들이 속한 그룹을 그룹 7로 정의 하고, 용량의 크기가 여덟번째로 작은 파일들이 속한 그룹을 그룹 8로 정의 하고, 용량의 크기가 아홉번째로 작은 파일들이 속한 그룹을 그룹 9로 정의 하고, 용량의 크기가 열번째로 작은 파일들이 속한 그룹을 그룹 10으로 정의 한다. 그리고 그룹 1에는 10점, 그룹2 에는 9점, 그룹 3에는 8점, 그룹 4에는 7점, 그룹 5에는 6점, 그룹 6에는 5점, 그룹 7에는 4점, 그룹 8에는 3점, 그룹 9에는 2점 그룹 10에는 1점을 부여한다. 짧은 시간에 최대한 많은 파일을 보호하기 위해 용량이 작은 파일에 더 큰 점수를 부여한다.
상기 랜섬웨어 차단모듈은 사용자가 지정한 파일에는 5점을 부여하고, 그렇지 않은 파일에는 0점을 부여한다. 사용자가 중요시한 파일을 빨리 업로드 할수 있도록 더 큰 점수를 부여한다.
따라서, PC에 저장되어 있는 모든 파일을 클라우드 서비스에 업로드 하기 해서는 많은 시간이 걸리기때문에 랜섬웨어로부터 효율적으로 파일들을 보호하기 어려운 바, 사용자는 랜섬웨어의 침입에 대비하여 최소한의 중요 파일을 미리 선택하여 지정해 둠이 바람직하다.
또한, 상기 랜섬웨어 차단모듈은 랜섬웨어의 침입이 감지된 시점으로부터 1달 이내에 실행된 횟수에 기초하여 10개의 그룹으로 분류한다. 각각의 그룹에 포함된 파일의 개수는 모든 파일의 개수를 그룹수로 나눈 값과 동일하다. 즉 모든 파일이 1000개라면, 그룹의 개수는 10개이기 때문에 각 그룹에는 100개의 파일이 포함된다. 상기 랜섬웨어 차단모듈은 실행 횟수가 큰 순서로 10개의 그룹으로 분류한다.
상기 랜섬웨어 차단모듈은 실행된 횟수가 가장 많은 파일이 속한 그룹을 그룹 1로 정의 하고, 실행된 횟수가 두번째로 많은 파일이 속한 그룹을 그룹 2로 정의 하고, 실행된 횟수가 세번째로 많은 파일이 속한 그룹을 그룹 3으로 정의 하고, 실행된 횟수가 네번째로 많은 파일이 속한 그룹을 그룹 4로 정의 하고, 실행된 횟수가 다섯번째로 많은 파일이 속한 그룹을 그룹 5로 정의 하고, 실행된 횟수가 여섯번째로 많은 파일이 속한 그룹을 그룹 6으로 정의 하고, 실행된 횟수가 일곱번째로 많은 파일이 속한 그룹을 그룹 7로 정의 하고, 실행된 횟수가 여덟번째로 많은 파일이 속한 그룹을 그룹 8로 정의 하고, 실행된 횟수가 아홉번째로 많은 파일이 속한 그룹을 그룹 9로 정의 하고, 실행된 횟수가 가장 적은 파일이 속한 그룹을 그룹 10로 정의 한다. 실행된 횟수에 따라 구분된 그룹 1내지10은 용량의 크기에 따라 구분된 그룹과 상이함은 자명하다.
그리고 실행된 횟수에 따라 구분된 그룹 1내지10에 대하여, 그룹 1에는 10점, 그룹2 에는 9점, 그룹 3에는 8점, 그룹 4에는 7점, 그룹 5에는 6점, 그룹 6에는 5점, 그룹 7에는 4점, 그룹 8에는 3점, 그룹 9에는 2점 그룹 10에는 1점을 부여한다. 사용자가 지정하지 않았더라도, 실행된 횟수가 많다는 것은 사용자가 필요로하는 파일인 것으로 추정하여 실행 횟수가 많은 파일에 더 큰 점수를 부여한다.
그리고, 상기 랜섬웨어 차단 모듈은 파일의 용량, 사용자로부터 지정된 파일인지 여부 및 사용자가 파일을 실행한 횟수에 따라 부여된 점수가 높은 순으로 클라우드에 업로드한다.
상기 랜섬웨어 차단모듈은 파일의 용량, 사용자로부터 지정된 파일인지 여부 및 사용자가 파일을 실행한 횟수에 더 나아가, 파일의 설치 날짜 및 유료 파일인지 여부를 더 고려하여 클라우드에 업로드 하는 순서를 결정한다.
상기 랜섬웨어 차단 모듈은 모든 파일을 설치 날짜별로 4개의 그룹으로 분류한다. 각각의 그룹에 포함된 파일의 개수는 모든 파일의 개수를 그룹수로 나눈 값과 동일하다. 즉 모든 파일이 1000개라면, 그룹의 개수는 4개이기 때문에 각 그룹에는 250개의 파일이 포함된다. 상기 랜섬웨어 차단모듈은 파일의 용량의 크기가 작은 순서로 4개의 그룹으로 분류한다.
상기 랜섬웨어 차단모듈은 설치 날짜가 가장 늦은 파일들이 속한 그룹을 그룹 1로 정의 하고, 설치 날짜가 두번째로 늦은 파일들이 속한 그룹을 그룹 2로 정의 하고, 설치 날짜가 세번째로 늦은 파일들이 속한 그룹을 그룹 3으로 정의 하고, 설치 날짜가 네번째로 늦은 파일들이 속한 그룹을 그룹 4로 정의 한다. 그리고 그룹 1에는 10점, 그룹2 에는 9점, 그룹 3에는 8점, 그룹 4에는 7점을 부여한다. 설치 날짜에 따라 구분된 그룹 1내지4는 전술한 그룹들과 상이함은 자명하다.
최근에 설치된 파일일수록 사용자에게 더 필요할 가능성이 크기 때문에 설치 날짜가 늦은 파일일수록 더 높은 점수를 부여한다.
그리고, 랜섬웨어 차단 모듈은 파일이 유료 파일인지 여부를 판단하여, 유료 파일인 경우에는 5점을 부여하고, 무료 파일인 경우에는 0점을 부여한다. 유료 파일이 손상된 경우에는 다시 비용을 지불하고 파일을 구입해야 하는 만큼 유료 파일에 더 큰 점수를 부여한다. 무료 파일인지 여부는 사용자가 미리 유료 및 무료 여부를 구분하여 판단할 수 있다. 이에 한정되는 것은 아니고, 랜섬웨어 차단 모듈이 사용자의 과거 결재 내역을 확인하여 무료 파일인지 유료 파일인지 여부를 판단할 수 도 있다.
상기 랜섬웨어 차단 모듈은 파일의 용량, 사용자로부터 지정된 파일인지 여부 및 사용자가 파일을 실행한 횟수, 파일의 설치 날짜 및 유료 파일인지 여부에 따라 부여된 점수가 높은 순으로 클라우드에 업로드한다.
일 실시예에서, 랜섬웨어 차단 모듈은, PC의 데이터 즉, 파일들을 주기적(예를 들어, 하루 또는 격일 등)으로 백업하여 별도로 형성되는 저장장치 등에 저장해 두며, 랜섬웨어의 침입이 감지되면 상술한 바와 같이 PC의 성능을 조절하여 랜섬웨어의 설치 및 실행 속도를 저하시킨 후 PC의 모든 데이터를 일시에 삭제하며, 침입한 랜섬웨어의 치료가 완료된 후 백업해 둔 자료를 이용하여 랜섬웨어의 침입 이전 시기의 상태로 롤백(Roll Back, 현재의 데이터가 유효하지 않거나 망가졌을 때 기존 데이터로 되돌리는 행위)할 수 있다.
자세하게는, 랜섬웨어 차단 모듈은, PC에 저장된 파일들을 주기적 클라우드에 업로드 하되, 파일의 용량, 사용자로부터 지정된 파일인지 여부 및 사용자가 파일을 실행한 횟수, 파일의 설치 날짜 및 유료 파일인지 여부에 따라 부여된 점수가 낮은순서로 클라우드에 우선적으로 업로드한다. 랜섬웨어가 침입되면, 상기 점수가 높은 순서로 클라우드에 업로드 되기 때문에, 랜섬웨어가 침입되기 이전에는 주기적으로 파일을 업로드 하되, 상기 점수가 낮은 순서로 업로드한다.
이때, 랜섬웨어 차단 모듈 스스로 랜섬웨어를 치료하거나, 별도로 설치된 백신 프로그램을 통해 랜섬웨어를 치료하여도 무방하다.
상술한 바와 같은 구성을 가지는 비정상 프로세스 감시 및 통제 시스템(10)은, 네트워크(600), 인터페이스(700) 및 비정상 프로세스 감시 및 통제 서버(500)를 더 포함할 수 있다.
네트워크(600)는, 유선 통신망 또는 무선 통신망을 포함하며, 인터페이스(700)를 통해 비정상 프로세스 감시 및 통제 서버(500)와 각각의 모듈 사이를 유선 또는 무선 통신으로 연결하며, 서로 간의 데이터 송수신하도록 한다.
인터페이스(700)는, 감시대상 추가 모듈(100), 감시대상 삭제 모듈(200), 접근프로세스 차단 모듈(300) 및 화이트리스트 추출 모듈(400)과 네트워크(600) 사이를 연결하며, 비정상 프로세스 감시 및 통제 서버(500)와 각각의 모듈간의 데이터 송수신을 연결한다.
상술한 바와 같은 구성을 가지는 비정상 프로세스 감시 및 통제 시스템(10)은, 보호대상 파일 접근 유무와 상관없이 PC 상에 실행되는 모든 프로세스에 대한 감시가 가능하도록 하며, 악성코드가 윈도우에 내장된 정상 프로세스 여러 개를 순차적으로 호출한 후 악성 행위를 하는 행위를 미연에 차단할 수 있다.
상술한 바와 같은 구성을 가지는 비정상 프로세스 감시 및 통제 시스템 는, 운영체제(Operation System; OS), 즉 시스템을 기반으로 다양한 소프트웨어를 실행하거나 제작할 수 있다. 상기 운영체제는 소프트웨어가 장치의 하드웨어를 사용할 수 있도록 하기 위한 시스템 프로그램으로서, 안드로이드 OS, iOS, 윈도우 모바일 OS, 바다 OS, 심비안 OS, 블랙베리 OS 등 모바일 컴퓨터 운영체제 및 윈도우 계열, 리눅스 계열, 유닉스 계열, MAC, AIX, HP-UX 등 컴퓨터 운영체제를 모두 포함할 수 있다.
상술한 바와 같은 구성을 가지는 개인별 고유 인지 주파수 동조 장치의 각 구성에 의한 뇌파 동조 방법은 도 2 이하의 방법 설명에서 후술한다.
도 2는 본 발명의 일 실시예에 따른 비정상 프로세스 감시 및 통제 방법을 설명하는 순서도이다.
도 2 내지 도 6을 참조하면, 비정상 프로세스 감시 및 통제 방법은, PC에 새로운 프로세스가 활성화되면 활성화된 프로세스의 부모 프로세스가 감시대상 프로세스에 해당하거나 화이트리스트 프로세스에 해당하지 않을 경우 감시대상 리스트에 등록한다(S210).
도 3을 참조하면, 상술한 단계 S210에서, 우선 PC에 새로운 프로세스(PID)가 활성화되면(S211), 해당 프로세스의 부모 프로세스(PPID)를 확인하며(S212), 부모 프로세스가 감시대상 프로세스라면(S213의 Yes의 경우) 해당 프로세스는 감시대상 리스트로 등록하여 둔다(S214).
그리고, 감시대상 리스트로 넘어간 프로세스가 기존 감시대상 리스트와 비교하여 이미 존재하는 프로세스일 경우(S215의 Yes의 경우) 별도의 과정 없이 절차를 종료하게 되고, 기존 감시대상 리스트에 등록되지 아니한 새로운 프로세스인 경우(S215의 No의 경우) 감시대상 리스트에 등록해 둔다(S216).
그러나, 활성화된 프로세스의 부모 프로세스가 감시대상 프로세스가 아닌 경우(S213의 No의 경우) 해당 프로세스의 부모 프로세스가 화이트리스트 프로세스(White List Process)인가 확인한다(S217).
만일, 활성화된 프로세스의 부모 프로세스가 화이트리스트 프로세스가 아니라면(S217의 No의 경우) 해당 프로세스를 감시대상 리스트로 넘겨 상술한 S214 내지 S216의 과정을 반복하며, 해당 프로세스의 부모 프로세스가 화이트리스트 프로세스인 경우라면(S217의 Yes의 경우) 절차를 종료하게 된다.
상술한 바와 같이, 본 발명에서는 새롭게 활성화된 프로세스의 부모 프로세스가 감시대상 프로세스이면 자식 프로세스도 감시대상이 되도록 추가함으로써, 보호대상 파일로의 접근 유무와 상관없이 PC 상에 실행되는 모든 프로세스(즉, 프로세스 자신뿐만 아니라 자신의 부모 프로세스까지)에 대한 감시를 수행할 수 있다.
이에 따라, 본 발명에 의하면, 일부 악성코드가 정상 프로세스를 여러 번 호출한 후 악성 행위를 하는 경우에도 PC를 해당 악성코드로부터 효율적으로 보호할 수 있다.
이를 위해 본 발명에서는, 악성코드가 PC에 내장된 정상 프로세스 여러 개를 순차적으로 호출한 후에 악성 행위를 하는 경우를 차단하기 위해, 부모인 부모 프로세스가 감시대상 프로세스일 경우, 자식 프로세스도 감시대상이 되도록 추가할 수 있다.
즉, 악성코드의 PC 침입, 정상 프로세스 호출, 정상 프로세스 호출 및 보호대상 파일 암호화 하는 등의 일련의 과정을 미리 파악하고자, 정상이 아닌 프로세스의 경로를 추적하기 위해 부모 프로세스의 실행 허용/차단 및 보안 정보에 기초하여 자식 프로세스를 관리할 수 있다.
PC의 프로세스 상황 모니터링 중 프로세스 중지 이벤트가 발생하면, 중지 이벤트가 발생된 프로세스가 감시대상 리스트에 기 등록되어 있으면 감시대상 리스트에서 해당 중지 이벤트가 발생된 프로세스를 삭제한다(S220).
도 4를 참조하면, 상술한 단계 S220에서는, PC의 프로세스 상황을 모니터링 중, 프로세스 중지 이벤트가 발생하면(S221) 해당 프로세스의 아이디와 감시대상 리스트를 비교한 후, 중지된 프로세스가 감시대상 리스트에 존재하면(S222의 Yes의 경우) 감시대상 리스트에서 해당 중지된 프로세스를 삭제하게 된다(S223). 이때, 중지된 프로세스가 감시대상 리스트에 존재하지 않는다면(S222의 No의 경우), 절차를 바로 종료하게 된다.
종래에는 실행중인 프로세스가 중지되든 실행되든 상관 없이 보호대상 파일에 접근하는 프로세스인가만을 확인하였으나, 본 발명에서는 중지된 프로세스를 감시대상 리스트에서 제거할 수 있다.
사용자가 아무것도 하지 않고 있더라도 PC는 백그라운드에서 수 많은 프로세스들이 실행되기도 하고 중지되기도 하는데, 이미 중지된 프로세스 리스트를 가지고 있는 것만 해도 그 양이 적지 않기 때문에 불필요한 정보를 바로 삭제하는 것이 바람직한데, 이를 위해 본 발명에서는 감시대상 리스트에서 중지된 프로세스를 제거할 수 있다.
보호대상 파일에 접근하는 프로세스가 발생할 경우, 발생한 프로세스가 감시대상 리스트에 기 등록되어 있거나 화이트리스트 프로세스에 해당하지 않을 경우 해당 발생한 프로세스를 블록하고 외부의 비정상 프로세스 감시 및 통제 서버(500)로 전송한다(S230).
도 5를 참조하면, 상술한 단계 S230에서는, 보호대상 파일에 접근하는 프로세스가 발생할 경우(S231), 해당 프로세스가 예외 프로세스(Batch Process)인 경우(S232의 Yes의 경우) 실행을 허용하고, 예외 프로세스에 해당하지 않는다면(S232의 No의 경우) 감시대상 리스트와 비교하여 리스트에 존재하는 감시대상의 프로세스 아이디와 해당 프로세스의 아이디가 동일하다면(S233의 Yes의 경우) 해당 프로세스의 접근을 불허하고(S234), 해당 내용을 비정상 프로세스 감시 및 통제 서버(500)로 전송하며(S235), 감시대상 프로세스 아이디에 존재하지 않지만(S233의 No의 경우) 화이트리스트 프로세스가 아니라면(S236의 No의 경우) 해당 프로세스의 접근을 불허(S234)하고 내용을 비정상 프로세스 감시 및 통제 서버(500)로 전송하게 된다(S235).
기존의 기술은 보호대상 파일에 접근하는 프로세스와 그 부모 프로세스만을 체크 하지만, 본 발명에서는 보호대상 파일에 접근하는 프로세스 이전 경로를 모두 체크하는 것으로, 이를 위해서 해당 프로세스의 히스토리(즉, 부모 프로세스)를 관리할 수 있다.
PC가 시작되면 비정상 프로세스 감시 및 통제 서버(500)에 접속하여 업데이트한 보호대상 파일 유형 리스트 또는 기 등록해 둔 보호대상 파일 유형 리스트를 통해 PC 상에서 실행 중인 실행파일과 연결된 레지스트리 정보를 추출한 후, 추출된 레지스트리 정보로부터 추출한 실행파일 경로를 탐색하여 파일 정보를 추출하며, 해당 파일이 화이트리스트 프로세스에 해당하지 않을 경우 실행된 파일의 정보를 비정상 프로세스 감시 및 통제 서버(500)로 한다(S240).
도 6을 참조하면, 상술한 단계 S240에서는, PC가 시작하면 비정상 프로세스 감시 및 통제 서버(500)로의 접속을 시도하며, 서버 접속에 성공하면(S241의 Yes의 경우) 비정상 프로세스 감시 및 통제 서버(500)로부터 정책을 수신 받고(S242), 보호대상 파일 유형 리스트를 수신 받아 최신 호보대상으로 데이터베이스를 업데이트 하고(S243), 서버 접속에 실패하면(S241의 No의 경우) 기존 보호대상 파일 유형 리스트를 메모리에 로딩 한다(S244).
리스트가 로딩 되거나 서버를 통해 보호대상이 최신으로 업데이트 되면, 보호대상 파일을 확인한 후(S245) 관련된 실행파일과 연결된 레지스트리 정보를 추출한 후(S246), 레지스트리 정보에서 추출한 실행파일 경로를 검색한 후 파일 정보를 추출하여 경로실행파일을 확인한다(S247).
해당 실행파일이 화이트리스트 프로세스가 아닌 경우(S248의 No의 경우) 해당 실행파일 정보를 비정상 프로세스 감시 및 통제 서버(500)로 전송하게 된다(S249).
네트워크를 차단하고 운영되는 악성코드의 침입을 대비하거나, 또는 네트워크 장애가 발생된 경우에도 PC는 운용되어야 하기때문에, 본 발명에서는 비정상 프로세스 감시 및 통제 서버(500)로의 접속에 실패하는 경우에도(S241의 No의 경우) 기존 보호대상 파일 유형 리스트를 메모리에 로딩 함으로써(S244), 해당 장애를 미연에 대비할 수 있다.
화이트리스트 프로세스가 아닌 실행파일은 비정상 프로세스 감시 및 통제 서버(500)로 전송된 후, 관리자의 판단에 따라 관리되도록 할 수 있다.
관리자에게 전송된 파일 정보는, 보안 정책상 조직 내부에서 허용되어 있는 프로세스라면 화이트리스트로 구분하겠고, 그렇지 않다면 현재 관리 중인 클라이언트 PC들 중에 해당 프로세스를 얼마나 많은 사용자가 사용하고 있는지 확인할 수 있는 정보로 활용될 수 있다.
상술한 바와 같은 비정상 프로세스 감시 및 통제 방법은, 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CDROM, DVD 와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
10: 비정상 프로세스 감시 및 통제 시스템
100: 감시대상 추가 모듈
200: 감시대상 삭제 모듈
300: 접근프로세스 차단 모듈
400: 화이트리스트 추출 모듈
500: 비정상 프로세스 감시 및 통제 서버
600: 네트워크
700: 인터페이스

Claims (4)

  1. PC에 새로운 프로세스가 활성화되면 활성화된 프로세스의 부모 프로세스가 감시대상 프로세스에 해당하는 경우 감시대상 리스트에 등록하는 감시대상 추가 모듈;
    PC의 프로세스 상황 모니터링 중 프로세스 중지 이벤트가 발생하면, 중지 이벤트가 발생된 프로세스가 상기 감시대상 추가 모듈의 감시대상 리스트에 기 등록되어 있으면 감시대상 리스트에서 해당 중지 이벤트가 발생된 프로세스를 삭제하는 감시대상 삭제 모듈;
    보호대상 파일에 접근하는 프로세스가 발생할 경우, 발생한 프로세스가 감시대상 리스트에 기 등록되어 있는 경우 해당 발생한 프로세스를 블록하고 외부의 비정상 프로세스 감시 및 통제 서버로 전송하는 접근프로세스 차단 모듈; 및
    PC가 시작되면 비정상 프로세스 감시 및 통제 서버에 접속하여 업데이트한 보호대상 파일 유형 리스트 또는 기 등록해 둔 보호대상 파일 유형 리스트를 통해 PC 상에서 실행 중인 실행파일과 연결된 레지스트리 정보를 추출한 후, 추출된 레지스트리 정보로부터 추출한 실행파일 경로를 탐색하여 파일 정보를 추출하며, 해당 파일이 화이트리스트 프로세스에 해당하지 않을 경우 실행된 파일의 정보를 비정상 프로세스 감시 및 통제 서버로 전송하는 화이트리스트 추출 모듈을 포함하는, 비정상 프로세스 감시 및 통제 시스템.
  2. 제1항에 있어서, 상기 감시대상 추가 모듈은,
    감시대상 리스트에 등록할 프로세스가 이미 감시대상 리스트에 등록되어 있는 경우 해당 프로세스를 종료시키며, 등록되어 있지 아니한 프로세스인 경우 감시대상 리스트에 추가시키되,
    랜섬웨어 차단 모듈을 더 포함하고,
    상기 랜섬웨어 차단 모듈은 랜섬웨어의 침입이 감지되면, PC의 성능을 조절하여 랜섬웨어의 설치 및 실행 속도를 저하시킨 후, 상기 랜섬웨어가 설치되고 실행되는 동안 클라우드 서비스에 동기화 되어 미리 선택된 파일을 업로드 하며, 파일의 업로드가 완료되면 클라우드 서비스와의 연결 및 모든 네트워크의 연결을 종료하며,
    상기 랜섬웨어 차단 모듈은 랜섬웨어의 침입이 감지되면, PC의 CPU의 클럭 수를 정상 클럭의 1 내지 3%로 저하시키고,
    상기 랜섬웨어 차단 모듈은 파일의 용량, 사용자로부터 지정된 파일인지 여부 및 사용자가 파일을 실행한 횟수에 기초하여 클라우드에 업로드 하는 순서를 결정하며,
    상기 랜섬웨어 차단모듈은 모든 파일을 크기별로 10개의 그룹으로 분류 하고, 용량의 크기가 가장 작은 파일들이 속한 그룹을 그룹 1로 정의 하고, 용량의 크기가 두번째로 작은 파일들이 속한 그룹을 그룹 2로 정의 하고, 용량의 크기가 세번째로 작은 파일들이 속한 그룹을 그룹 3으로 정의하고, 용량의 크기가 네번째로 작은 파일들이 속한 그룹을 그룹 4로 정의 하고, 용량의 크기가 다섯번째로 작은 파일들이 속한 그룹을 그룹 5로 정의 하고, 용량의 크기가 여섯번째로 작은 파일들이 속한 그룹을 그룹 6으로 정의 하고, 용량의 크기가 일곱번째로 작은 파일들이 속한 그룹을 그룹 7로 정의 하고, 용량의 크기가 여덟번째로 작은 파일들이 속한 그룹을 그룹 8로 정의 하고, 용량의 크기가 아홉번째로 작은 파일들이 속한 그룹을 그룹 9로 정의 하고, 용량의 크기가 열번째로 작은파일들이 속한 그룹을 그룹 10으로 정의 하고 그룹 1에는 10점, 그룹2 에는 9점, 그룹 3에는 8점, 그룹 4에는 7점, 그룹 5에는 6점, 그룹 6에는 5점, 그룹 7에는 4점, 그룹 8에는 3점, 그룹 9에는 2점 그룹 10에는 1점을 부여하며,
    상기 랜섬웨어 차단모듈은 사용자가 지정한 파일에는 5점을 부여하고, 그렇지 않은 파일에는 0점을 부여하고,
    상기 랜섬웨어 차단모듈은 랜섬웨어의 침입이 감지된 시점으로부터 1달 이내에 실행된 횟수에 기초하여 10개의 그룹으로 분류하며, 상기 랜섬웨어 차단모듈은 실행된 횟수가 가장 많은 파일이 속한 그룹을 그룹 1로 정의 하고, 실행된 횟수가 두번째로 많은 파일이 속한 그룹을 그룹 2로 정의 하고, 실행된 횟수가 세번째로 많은 파일이 속한 그룹을 그룹 3으로 정의 하고, 실행된 횟수가 네번째로 많은 파일이 속한 그룹을 그룹 4로 정의 하고, 실행된 횟수가 다섯번째로 많은 파일이 속한 그룹을 그룹 5로 정의 하고, 실행된 횟수가 여섯번째로 많은 파일이 속한 그룹을 그룹 6으로 정의 하고, 실행된 횟수가 일곱번째로 많은 파일이 속한 그룹을 그룹 7로 정의 하고, 실행된 횟수가 여덟번째로 많은 파일이 속한 그룹을 그룹 8로 정의 하고, 실행된 횟수가 아홉번째로 많은 파일이 속한 그룹을 그룹 9로 정의 하고, 실행된 횟수가 가장 적은 파일이 속한 그룹을 그룹 10으로 정의하며, 실행된 횟수에 따라 구분된 그룹 1내지10에 대하여, 그룹 1에는 10점, 그룹2 에는 9점, 그룹 3에는 8점, 그룹 4에는 7점, 그룹 5에는 6점, 그룹 6에는 5점, 그룹 7에는 4점, 그룹 8에는 3점, 그룹 9에는 2점 그룹 10에는 1점을 부여하고,
    상기 랜섬웨어 차단 모듈은 파일의 용량, 사용자로부터 지정된 파일인지 여부 및 사용자가 파일을 실행한 횟수에 따라 부여된 점수가 높은 순으로 클라우드에 업로드하
    는, 비정상 프로세스 감시 및 통제 시스템.
  3. PC에 새로운 프로세스가 활성화되면 활성화된 프로세스의 부모 프로세스가 감시대상 프로세스에 해당하는 경우 감시대상 리스트에 등록하는 단계;
    PC의 프로세스 상황 모니터링 중 프로세스 중지 이벤트가 발생하면, 중지 이벤트가 발생된 프로세스가 감시대상 리스트에 기 등록되어 있으면 감시대상 리스트에서 해당 중지 이벤트가 발생된 프로세스를 삭제하는 단계;
    보호대상 파일에 접근하는 프로세스가 발생할 경우, 발생한 프로세스가 감시대상 리스트에 기 등록되어 있는 경우 해당 발생한 프로세스를 블록하고 외부의 비정상 프로세스 감시 및 통제 서버로 전송하는 단계; 및
    PC가 시작되면, 비정상 프로세스 감시 및 통제 서버에 접속하여 업데이트한 보호대상 파일 유형 리스트, 또는 기 등록해 둔 보호대상 파일 유형 리스트를 통해 PC 상에서 실행 중인 실행파일과 연결된 레지스트리 정보를 추출한 후, 추출된 레지스트리 정보로부터 추출한 실행파일 경로를 탐색하여 파일 정보를 추출하며, 해당 파일이 화이트리스트 프로세스에 해당하지 않을 경우 실행된 파일의 정보를 비정상 프로세스 감시 및 통제 서버로 전송하는 단계를 포함하는, 비정상 프로세스 감시 및 통제 방법.
  4. 제3항에 따른 비정상 프로세스 감시 및 통제 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체.
KR1020180050255A 2018-04-30 2018-04-30 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체 KR101899149B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180050255A KR101899149B1 (ko) 2018-04-30 2018-04-30 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체
PCT/KR2018/013998 WO2019212111A1 (ko) 2018-04-30 2018-11-15 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180050255A KR101899149B1 (ko) 2018-04-30 2018-04-30 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체

Publications (1)

Publication Number Publication Date
KR101899149B1 true KR101899149B1 (ko) 2018-09-14

Family

ID=63599658

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180050255A KR101899149B1 (ko) 2018-04-30 2018-04-30 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체

Country Status (2)

Country Link
KR (1) KR101899149B1 (ko)
WO (1) WO2019212111A1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101956725B1 (ko) * 2018-12-06 2019-03-11 주식회사 아신아이 인가된 실행 파일 및 동적 라이브러리 파일 기반 서버 접근 통제 시스템
KR102254283B1 (ko) * 2020-11-12 2021-05-21 주식회사 시큐브 멀티프로세스 클러스터링 기반 랜섬웨어 공격 탐지 장치, 방법 및 그 방법을 실현하기 위한 프로그램을 기록한 기록매체
KR20210067899A (ko) 2019-11-29 2021-06-08 (주) 앤앤에스피 자동화 제어 시스템의 리소스 플로우 기반 보안 감시 시스템
CN114257573A (zh) * 2020-09-22 2022-03-29 中国移动通信集团广东有限公司 一种检测volte语音功能异常的方法和装置
WO2024063171A1 (ko) * 2022-09-21 2024-03-28 시큐레터 주식회사 자식 프로세스의 악성 행위를 검사하기 위한 방법 및 이를 위한 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150056244A (ko) 2013-11-15 2015-05-26 (주)닥터소프트 단말 장치 및 단말 장치의 소프트웨어 관리 방법
KR20150076231A (ko) 2013-04-08 2015-07-06 시아오미 아이엔씨. 애플리케이션의 상태를 설정하기 위한 방법, 장치, 프로그램 및 기록매체
KR20150107061A (ko) * 2014-03-13 2015-09-23 (주)닥터소프트 소프트웨어 프로세스 관리 추적 알고리즘에 기초한 소프트웨어 관리 방법 및 그 기록매체
KR20180032409A (ko) * 2016-09-22 2018-03-30 주식회사 위드네트웍스 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100918626B1 (ko) * 2007-08-02 2009-09-25 주식회사 플랜티넷 어플리케이션 프로그램 검증 및 실행 제어 방법
KR20160019615A (ko) * 2014-08-11 2016-02-22 노틸러스효성 주식회사 화이트리스트와 블랙리스트 혼용 기반의 보안장치 및 방법
KR101585342B1 (ko) * 2014-09-30 2016-01-14 한국전력공사 이상행위 탐지 장치 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150076231A (ko) 2013-04-08 2015-07-06 시아오미 아이엔씨. 애플리케이션의 상태를 설정하기 위한 방법, 장치, 프로그램 및 기록매체
KR20150056244A (ko) 2013-11-15 2015-05-26 (주)닥터소프트 단말 장치 및 단말 장치의 소프트웨어 관리 방법
KR20150107061A (ko) * 2014-03-13 2015-09-23 (주)닥터소프트 소프트웨어 프로세스 관리 추적 알고리즘에 기초한 소프트웨어 관리 방법 및 그 기록매체
KR20180032409A (ko) * 2016-09-22 2018-03-30 주식회사 위드네트웍스 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101956725B1 (ko) * 2018-12-06 2019-03-11 주식회사 아신아이 인가된 실행 파일 및 동적 라이브러리 파일 기반 서버 접근 통제 시스템
KR20210067899A (ko) 2019-11-29 2021-06-08 (주) 앤앤에스피 자동화 제어 시스템의 리소스 플로우 기반 보안 감시 시스템
CN114257573A (zh) * 2020-09-22 2022-03-29 中国移动通信集团广东有限公司 一种检测volte语音功能异常的方法和装置
CN114257573B (zh) * 2020-09-22 2023-09-19 中国移动通信集团广东有限公司 一种检测volte语音功能异常的方法和装置
KR102254283B1 (ko) * 2020-11-12 2021-05-21 주식회사 시큐브 멀티프로세스 클러스터링 기반 랜섬웨어 공격 탐지 장치, 방법 및 그 방법을 실현하기 위한 프로그램을 기록한 기록매체
WO2022102854A1 (ko) * 2020-11-12 2022-05-19 주식회사 시큐브 멀티프로세스 클러스터링 기반 랜섬웨어 공격 탐지 장치, 방법 및 그 방법을 실현하기 위한 프로그램을 기록한 기록매체
JP2023506101A (ja) * 2020-11-12 2023-02-15 シキューブ カンパニー,リミテッド マルチプロセスクラスタリングに基づくランサムウェア攻撃検知装置、方法、およびその方法を実現するためのプログラムを記録した記録媒体
JP7315180B2 (ja) 2020-11-12 2023-07-26 シキューブ カンパニー,リミテッド マルチプロセスクラスタリングに基づくランサムウェア攻撃検知装置、方法、およびその方法を実現するためのプログラムを記録した記録媒体
WO2024063171A1 (ko) * 2022-09-21 2024-03-28 시큐레터 주식회사 자식 프로세스의 악성 행위를 검사하기 위한 방법 및 이를 위한 장치

Also Published As

Publication number Publication date
WO2019212111A1 (ko) 2019-11-07

Similar Documents

Publication Publication Date Title
KR101899149B1 (ko) 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체
EP3479280B1 (en) Ransomware protection for cloud file storage
US10394492B2 (en) Securing a media storage device using write restriction mechanisms
US8181247B1 (en) System and method for protecting a computer system from the activity of malicious objects
US11449623B2 (en) File access control based on analysis of user behavior patterns
US7555645B2 (en) Reactive audit protection in the database (RAPID)
US11625488B2 (en) Continuous risk assessment for electronic protected health information
JP6139028B2 (ja) アプリケーションの更新を指示するためのシステム及び方法
US12001555B1 (en) System, method, and apparatus for preventing ransomware
US11477232B2 (en) Method and system for antivirus scanning of backup data at a centralized storage
WO2021121382A1 (en) Security management of an autonomous vehicle
CN106228078A (zh) 一种Linux下基于增强型ROST的安全运行方法
KR20190002241A (ko) 랜섬웨어를 방지하는 방법
CN106997435B (zh) 一种操作系统安全防控的方法、装置及系统
US20220159034A1 (en) Method and system for determining an automated incident response
CN111090857B (zh) 防御恶意软件攻击文件的方法、计算机系统以及记录介质
CN103430153B (zh) 用于计算机安全的接种器和抗体
EP3831031B1 (en) Listen mode for application operation whitelisting mechanisms
US11762806B2 (en) Hardening system clock for retention lock compliance enabled systems
EP2584484B1 (en) System and method for protecting a computer system from the activity of malicious objects
US20220150241A1 (en) Permissions for backup-related operations
CN114915473B (zh) 一种服务器入侵处理方法及相关装置
CN117436079B (zh) 一种Linux系统的完整性保护方法及系统
KR102681668B1 (ko) 랜섬웨어 감염율 검증 백업 서버 및 시스템
CN115168908B (zh) 文件保护方法、装置、设备及存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant