KR101956290B1 - Security apparatus and driving method thereof - Google Patents
Security apparatus and driving method thereof Download PDFInfo
- Publication number
- KR101956290B1 KR101956290B1 KR1020160120609A KR20160120609A KR101956290B1 KR 101956290 B1 KR101956290 B1 KR 101956290B1 KR 1020160120609 A KR1020160120609 A KR 1020160120609A KR 20160120609 A KR20160120609 A KR 20160120609A KR 101956290 B1 KR101956290 B1 KR 101956290B1
- Authority
- KR
- South Korea
- Prior art keywords
- monitoring file
- file
- client computer
- comparison
- abnormality
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Abstract
본 발명의 일 실시예에 따른 보안 장치는, 비교 감시 파일을 저장하는 감시 파일 저장소 및 클라이언트 컴퓨터의 이상 여부를 판단하는 감시 파일 판단기를 포함하고, 상기 감시 파일 판단기는, 상기 클라이언트 컴퓨터의 감시 파일이 삭제되었거나 상기 감시 파일에서 삭제된 내용이 존재하는 경우, 상기 클라이언트 컴퓨터에 이상이 발생하였다고 판단한다.The security device according to an exemplary embodiment of the present invention may include a monitoring file storage for storing a comparison monitoring file and a monitoring file determining unit for determining whether the client computer is abnormal, The client computer determines that an error has occurred in the client computer.
Description
본 발명의 실시예는 보안 장치 및 그의 구동 방법에 관한 것이다.An embodiment of the present invention relates to a security device and a driving method thereof.
최근, 컴퓨터가 널리 보급되면서 컴퓨터에 대한 해킹도 빈번히 발생하였다. 해킹을 방지하는 것도 중요하지만 해킹을 빠르게 인지하고 해킹의 증거 및 해킹 시 접속 정보를 획득하는 것도 중요하다.Recently, as computers have become widespread, computer hacking has occurred frequently. While it is important to prevent hacking, it is also important to be aware of hacking quickly and to obtain evidence of hacking and access information when hacking.
특히, 해커들이 컴퓨터를 해킹하는 경우, 해커는 해킹이 완료된 이후 자신의 접속이 남은 해킹의 증거 및 해킹 시 접속 정보가 기록된 로그 파일을 변경하거나 삭제할 수 있다. 이 경우, 해킹을 인지하는 것, 해킹의 증거를 획득하는 것, 및 해킹 시 접속 정보를 획득하는 것이 쉽지 않다.In particular, when a hacker hacks a computer, the hacker can change or delete the log file in which the connection information at the time of hacking and the evidence of the hacking remaining after the hacking is completed. In this case, it is not easy to recognize hacking, to acquire evidence of hacking, and to obtain access information upon hacking.
본 발명의 실시예는 감시 파일이 삭제되었는지 여부 및 감시 파일에서 삭제된 내용이 존재하는지 여부를 판단하므로, 해킹을 빠르게 인지하고, 해킹의 증거 및 해킹 시 접속 정보를 용이하게 획득할 수 있는 보안 장치 및 그의 구동 방법을 제공하는 것을 목적으로 한다.Since the embodiment of the present invention determines whether the monitoring file has been deleted and whether the deleted content exists in the monitoring file, it is possible to recognize the hacking quickly, and to provide evidence of hacking and security information And a driving method thereof.
본 발명의 일 실시예에 따른 보안 장치는, 비교 감시 파일을 저장하는 감시 파일 저장소 및 클라이언트 컴퓨터의 이상 여부를 판단하는 감시 파일 판단기를 포함할 수 있고, 상기 감시 파일 판단기는, 상기 클라이언트 컴퓨터의 감시 파일이 삭제되었거나 상기 감시 파일에서 삭제된 내용이 존재하는 경우, 상기 클라이언트 컴퓨터에 이상이 발생하였다고 판단할 수 있다.The security device according to an embodiment of the present invention may include a monitoring file storage for storing a comparison monitoring file and a monitoring file determiner for determining whether a client computer is abnormal, If the file is deleted or the deleted contents exist in the monitoring file, it can be determined that an abnormality has occurred in the client computer.
실시예에 따라, 상기 보안 장치는 상기 클라이언트 컴퓨터에 이상이 발생한 경우, 이상 알림 신호를 외부로 송신하는 이상 여부 송신기를 더 포함할 수 있다.According to an exemplary embodiment, the security device may further include an abnormality transmitter that transmits an abnormality notification signal to the outside when an abnormality occurs in the client computer.
실시예에 따라, 상기 감시 파일은 메시지스 로그(messages log), 시큐어 로그(secure log), 에이치티티피디 로그(httpd log), 및 마이시퀄 로그(mysql log) 중 적어도 하나를 포함할 수 있고, 상기 이상 알림 신호는 상기 비교 감시 파일 또는 상기 삭제된 내용에 대한 정보를 포함할 수 있다.According to an embodiment, the monitoring file may include at least one of a message log, a secure log, an httpd log, and a mysql log, The abnormal notification signal may include information on the comparison monitoring file or the deleted content.
실시예에 따라, 상기 이상 여부 송신기는 이메일, 문자, 및 그래픽 유저 인터페이스(GUI) 중 적어도 하나의 수단을 사용하여 상기 이상 알림 신호를 외부에 송신할 수 있다.According to an embodiment, the anomaly transmitter may transmit the anomaly notification signal to the outside using at least one of e-mail, text, and a graphical user interface (GUI).
실시예에 따라, 상기 감시 파일의 정보와 상기 비교 감시 파일의 정보가 다른 경우, 상기 감시 파일과 상기 비교 감시 파일의 비교 결과를 기반으로 이상 여부를 판단할 수 있으며, 상기 정보는 해시 값 및 업데이트 시간 중 적어도 하나를 포함할 수 있다.According to an embodiment of the present invention, if the information of the monitoring file is different from the information of the comparison monitoring file, it may be determined based on a result of comparison between the monitoring file and the comparison monitoring file, And < / RTI > time.
실시예에 따라, 상기 감시 파일 저장소는, 상기 감시 파일에서 상기 삭제된 내용이 존재하지 않는 경우, 상기 감시 파일을 암호화한 후 상기 비교 감시 파일로 저장할 수 있다.According to an embodiment, if the deleted content does not exist in the monitoring file, the monitoring file repository may encrypt the monitoring file and store the monitoring file as the comparison monitoring file.
실시예에 따라, 상기 삭제된 내용은 상기 비교 감시 파일의 내용 중 상기 감시 파일에 포함되지 않은 부분일 수 있다.According to an embodiment, the deleted content may be a part of the content of the comparison monitoring file that is not included in the monitoring file.
또한, 본 발명의 다른 보안 장치의 구동 방법이라는 다른 측면이 있다. 본 발명의 일 실시예에 따른 보안 장치의 구동 방법은, 클라이언트 컴퓨터의 감시 파일이 존재하는 경우, 상기 감시 파일을 비교 감시 파일로 저장하는 단계, 상기 클라이언트 컴퓨터에 이상이 발생하였는지 여부를 판단하는 단계 및 상기 클라이언트 컴퓨터에 이상이 발생한 경우, 이상 알림 신호를 송신하는 단계를 포함할 수 있고, 상기 클라이언트 컴퓨터에 이상이 발생하였는지 여부를 판단하는 단계는, 상기 감시 파일이 존재하지 않고 상기 비교 감시 파일이 존재하지 않는 경우, 상기 감시 파일이 삭제되었다고 판단하는 단계 및 상기 감시 파일에 삭제된 내용이 존재하는 경우, 상기 감시 파일의 내용이 삭제되었다고 판단하는 단계를 포함할 수 있으며, 상기 감시 파일이 삭제되었다고 판단하는 단계 및 상기 감시 파일의 내용이 삭제되었다고 판단하는 단계에서, 상기 클라이언트 컴퓨터에 이상이 발생하였다고 판단일 수 있다.There is another aspect of the driving method of another security device of the present invention. A method of operating a security device according to an embodiment of the present invention includes the steps of storing a monitoring file as a comparison monitoring file when a monitoring file of the client computer exists, determining whether an abnormality has occurred in the client computer And transmitting an abnormality notification signal when an abnormality has occurred in the client computer, wherein the step of determining whether or not an abnormality has occurred in the client computer includes the steps of: Determining that the monitoring file has been deleted if the monitoring file is deleted, and determining that the contents of the monitoring file have been deleted when the deleted file exists in the monitoring file, Determining that the content of the monitoring file has been deleted; In the step of, it can be determined that an error occurs in the client computer.
실시예에 따라, 상기 클라이언트 컴퓨터에 이상이 발생하지 않은 경우, 상기 감시 파일을 상기 비교 감시 파일로 저장하는 단계가 수행될 수 있다.According to an embodiment of the present invention, when the abnormality does not occur in the client computer, the step of storing the monitoring file as the comparison monitoring file may be performed.
실시예에 따라, 상기 클라이언트 컴퓨터에 이상이 발생하였는지 여부를 판단하는 단계는, 상기 감시 파일 및 상기 비교 감시 파일이 존재하지 않는 경우, 상기 클라이언트 컴퓨터가 액세스되지 않았다고 판단하는 단계를 더 포함할 수 있다.According to an embodiment of the present invention, the step of determining whether or not an abnormality has occurred in the client computer may further include a step of determining that the client computer is not accessed if the monitoring file and the comparison monitoring file do not exist .
실시예에 따라, 상기 클라이언트 컴퓨터에 이상이 발생하였는지 여부를 판단하는 단계에서, 상기 감시 파일의 정보와 상기 비교 감시 파일의 정보가 동일한 경우, 상기 클라이언트 컴퓨터가 액세스되지 않았다고 판단하는 단계가 수행될 수 있다.According to an embodiment of the present invention, in the step of determining whether an abnormality has occurred in the client computer, if the information of the monitoring file and the information of the comparison monitoring file are the same, a step of determining that the client computer is not accessed may be performed have.
실시예에 따라, 상기 정보는 해시 값 및 업데이트 시간 중 적어도 하나를 포함 수 있다.According to an embodiment, the information may include at least one of a hash value and an update time.
본 발명의 실시예는 감시 파일이 삭제되었는지 여부 및 감시 파일에서 삭제된 내용이 존재하는지 여부를 판단하므로, 해킹을 빠르게 인지하고, 해킹의 증거 및 해킹 시 접속 정보를 용이하게 획득할 수 있는 보안 장치 및 그의 구동 방법을 제공하는 효과가 있다.Since the embodiment of the present invention determines whether the monitoring file has been deleted and whether the deleted content exists in the monitoring file, it is possible to recognize the hacking quickly, and to provide evidence of hacking and security information And a driving method thereof.
도 1a은 본 발명의 일 실시예에 따른 보안 장치를 설명하기 위한 도면이다.
도 1b는 본 발명의 다른 실시예에 따른 보안 장치를 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 보안 장치 중 감시 파일 저장소에 저장된 비교 감시 파일의 일 실시예를 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 보안 장치 중 감시 파일 판단기에 수신된 감시 파일의 일 실시예를 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 보안 장치의 구동 방법을 설명하기 위한 도면이다.
도 5는 도 4의 클라이언트 컴퓨터에 이상이 발생하였는지 여부를 판단하는 단계를 설명하기 위한 도면이다.1A is a diagram for explaining a security apparatus according to an embodiment of the present invention.
1B is a view for explaining a security apparatus according to another embodiment of the present invention.
2 is a view for explaining an embodiment of a comparison monitoring file stored in a monitoring file storage among security devices according to an embodiment of the present invention.
3 is a view for explaining an embodiment of a monitoring file received by the monitoring file determiner in the security apparatus according to an embodiment of the present invention.
4 is a diagram for explaining a method of driving a security device according to an embodiment of the present invention.
5 is a diagram for explaining a step of determining whether or not an abnormality has occurred in the client computer of FIG.
이하 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예들을 상세히 설명한다. 명세서 전체에 걸쳐서 동일한 참조번호들은 실질적으로 동일한 구성요소들을 의미한다. 이하의 설명에서, 본 발명과 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우, 그 상세한 설명을 생략한다. 또한, 이하의 설명에서 사용되는 구성요소 명칭은 명세서 작성의 용이함을 고려하여 선택된 것일 수 있는 것으로서, 실제 제품의 부품 명칭과는 상이할 수 있다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to the preferred embodiments of the present invention, examples of which are illustrated in the accompanying drawings. Like reference numerals throughout the specification denote substantially identical components. In the following description, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. In addition, the component names used in the following description may be selected in consideration of easiness of specification, and may be different from the parts names of actual products.
본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, components, parts, or combinations thereof.
도 1a은 본 발명의 일 실시예에 따른 보안 장치를 설명하기 위한 도면이고, 도 1b는 본 발명의 다른 실시예에 따른 보안 장치를 설명하기 위한 도면이며, 도 2는 본 발명의 일 실시예에 따른 보안 장치 중 감시 파일 저장소에 저장된 비교 감시 파일의 일 실시예를 설명하기 위한 도면이고, 도 3은 본 발명의 일 실시예에 따른 보안 장치 중 감시 파일 판단기에 수신된 감시 파일의 일 실시예를 설명하기 위한 도면이다.FIG. 1A is a view for explaining a security apparatus according to an embodiment of the present invention, FIG. 1B is a view for explaining a security apparatus according to another embodiment of the present invention, FIG. FIG. 3 is a view for explaining an embodiment of the monitoring file received by the monitoring file determiner in the security apparatus according to an embodiment of the present invention. FIG. Fig.
도 1a을 참조하면, 보안 장치(200)는 감시 파일 판단기(210), 감시 파일 저장소(220), 및 이상 여부 송신기(230)를 포함한다. 도 1a에서, 보안 장치(200)는 클라이언트 컴퓨터(100)에 포함되는 것처럼 도시되었으나, 본 발명은 이에 한정되지 않는다. 예를 들어, 도 1b를 참조하면, 보안 장치(200')는 클라이언트 컴퓨터(100')와 별도로 배치되고, 보안 장치(200')와 클라이언트 컴퓨터(100')가 각각 다른 하드웨어(메모리, 하드디스크 등)를 사용할 수도 있다.Referring to FIG. 1A, the
설명의 편의를 위해, 클라이언트 컴퓨터(100)는 감시 파일 생성기(110)를 포함하고, 외부로부터 액세스될 수 있다고 가정할 수 있다. 클라이언트 컴퓨터(100)가 외부에 의해 액세스되는 경우, 감시 파일 생성기(110)는 액세스에 대한 정보를 포함하는 감시 파일을 생성한다. 클라이언트 컴퓨터(100)에 기저장된 감시 파일이 있는 경우, 감시 파일 생성기(110)는 기저장된 감시 파일에 액세스된 정보를 추가하는 것을 통해 감시 파일을 생성할 수 있다.For convenience of explanation, it is assumed that the
감시 파일 판단기(210)는 감시 파일 생성기(110)로부터의 감시 파일(MF)의 정보의 존재 여부, 감시 파일 저장소(220)에 저장된 비교 감시 파일(CMF)의 정보의 존재 여부를 판단한다. 감시 파일(MF)은 메시지스 로그(messages log), 시큐어 로그(secure log), 에이치티티피디 로그(httpd log), 및 마이시퀄 로그(mysql log) 중 적어도 하나를 포함할 수 있다. 감시 파일(MF)의 종류는 사용자에 의해 등록될 수 있고, 클라이언트 컴퓨터(100)가 액세스되지 않는 경우 감시 파일(MF)이 존재하지 않을 수 있다.The monitoring file determiner 210 determines whether or not the information of the monitoring file MF from the
감시 파일(MF)이 존재하는 경우, 수집 신호(COL)에 응답하여 감시 파일(MF)의 정보가 감시 파일 판단기(210)에 수신된다. 감시 파일(MF)이 존재하지 않는 경우, 수집 신호(COL)의 송신에도 불구하고 감시 파일(MF)의 정보가 감시 파일 판단기(210)에 수신되지 않는다. 감시 파일(MF)의 존재 여부는 감시 파일(MF)의 정보의 존재 여부를 기반으로 판단될 수 있다.When the monitoring file MF exists, the
감시 파일 저장소(220)에 비교 감시 파일(CMF)이 존재하는 경우, 비교 감시 파일(CMF)의 정보가 감시 파일 판단기(210)에 수신된다. 감시 파일 저장소(220)에 비교 감시 파일(CMF)이 존재하지 않는 경우, 비교 감시 파일(CMF)의 정보가 감시 파일 판단기(210)에 수신되지 않는다. 비교 감시 파일(CMF)의 존재 여부는 비교 감시 파일(CMF)의 정보의 존재 여부를 기반으로 판단될 수 있다.When the comparison monitoring file CMF exists in the
감시 파일 판단기(210)는 감시 파일(MF)의 정보 및 비교 감시 파일(CMF)의 정보가 존재하는 경우, 감시 파일(MF)의 정보와 비교 감시 파일(CMF)의 정보를 비교한다. 정보는 해시 값 및 업데이트 시간 중 적어도 하나를 포함할 수 있다. 감시 파일(MF)과 비교 감시 파일(CMF)의 동일 여부는 감시 파일(MF)의 정보와 비교 감시 파일(CMF)의 정보의 동일 여부를 기반으로 판단될 수 있다.The monitoring file determiner 210 compares the information of the monitoring file MF with the information of the comparison monitoring file CMF when the information of the monitoring file MF and the information of the comparison monitoring file CMF exist. The information may include at least one of a hash value and an update time. Whether the monitoring file (MF) and the comparison monitoring file (CMF) are the same can be determined based on whether the information of the monitoring file (MF) is the same as the information of the comparison monitoring file (CMF).
감시 파일(MF)이 존재하고 비교 감시 파일(CMF)이 존재하지 않거나 감시 파일(MF)과 비교 감시 파일(CMF)이 동일하지 않은 경우, 감시 파일 판단기(210)는 수집 신호(COL)를 감시 파일 생성기(110)에 송신한다. 수집 신호(COL)의 송신에 응답하여, 감시 파일 생성기(110)는 감시 파일(MF)을 감시 파일 판단기(210)에 송신할 수 있다.If the monitoring file MF exists and the comparison monitoring file CMF does not exist or the monitoring file MF and the comparison monitoring file CMF are not the same, the monitoring file determiner 210 sets the collection signal COL To the supervisory file generator (110). In response to the transmission of the collection signal COL, the
감시 파일 저장소(220)는 감시 파일 판단기(210)로부터의 감시 파일(MF)을 암호화한 후 비교 감시 파일(CMF)로 저장할 수 있다. 비교 감시 파일(CMF)은 이후에 감시 파일 판단기(210)로 송신될 수 있다. 실시예에 따라, 감시 파일 저장소(220)만을 위한 하드웨어(하드 디스크 드라이브, 솔리드 스테이트 드라이브 등)가 구비될 수도 있다.The
감시 파일 판단기(210)는 감시 파일(MF)의 존재 여부, 비교 감시 파일(CMF)의 존재 여부, 감시 파일(MF)에서 변조된 내용이 존재하는지 여부, 및 감시 파일(MF)에서 삭제된 내용이 존재하는지 여부 중 적어도 하나를 기반으로 클라이언트 컴퓨터(100)에 이상이 발생하였는지 여부를 판단할 수 있다.The
감시 파일 판단기(210)는, 감시 파일(MF)은 존재하지 않고 비교 감시 파일(CMF)이 존재하는 경우, 감시 파일(MF)이 해킹에 의해 삭제되었고, 클라이언트 컴퓨터(100)에 이상이 발생하였다고 판단할 수 있다.If the monitoring file MF does not exist and the comparison monitoring file CMF exists, the
또한, 감시 파일 판단기(210)는, 감시 파일(MF)에서 삭제된 내용이 존재하는 경우, 감시 파일(MF)의 내용 중 적어도 일부가 해킹에 의해 삭제되었고, 클라이언트 컴퓨터(100)에 이상이 발생하였다고 판단할 수 있다. 삭제된 내용은 비교 감시 파일(CMF)의 내용 중 감시 파일(MF)의 내용에 포함되지 않는 부분으로 정의될 수 있다.The
통상적인 경우, 감시 파일 생성기(110)는 기저장된 감시 파일에 내용을 추가하는 것을 통해 감시 파일을 생성하고, 기저장된 감시 파일의 내용을 변경하거나 삭제하지 않는다. 클라이언트 컴퓨터(100)가 정상적으로 동작하는 경우, 감시 파일(MF)이 비교 감시 파일(CMF)보다 늦게 생성되었으므로 비교 감시 파일(CMF)의 내용이 감시 파일(MF)의 내용에 모두 포함된다. 해킹에 의해 감시 파일(MF)의 내용 중 일부가 변경되거나 삭제된 경우, 감시 파일(MF)이 생성된 시점이 비교 감시 파일(CMF)이 생성된 시점보다 늦더라도 비교 감시 파일(CMF)의 내용 중 감시 파일(MF)의 내용에 포함되지 않는 부분이 존재할 수 있다. In a typical case, the
도 2를 참조하면, 감시 파일 저장소(220)에 저장된 비교 감시 파일(CMF)은 5개의 라인들을 가진다. 설명의 편의를 위해, 사각형으로 표시된 IP 주소(1.1.1.1)로부터의 액세스에 의해 클라이언트 컴퓨터(100)가 해킹되었다고 가정할 수 있다. 또한, 감시 파일 저장소(220)이 비교 감시 파일(CMF)이 저장된 시점에는 해킹이 완료되지 않았고, 해킹에 사용된 IP 주소(1.1.1.1)가 아직 삭제되지 않았다고 가정할 수 있다.Referring to FIG. 2, the comparison monitoring file (CMF) stored in the
도 3을 참조하면, 감시 파일 판단기(210)에 의해 수신된 감시 파일(MF)은 3개의 라인들을 가진다. 설명의 편의를 위해, 감시 파일 판단기(210)에 의해 감시 파일(MF)이 수집된 시점에는 해킹이 완료되었다고 가정할 수 있다. 따라서, 해킹에 사용된 IP 주소(1.1.1.1)가 감시 파일(MF) 내에 존재하지 않는다.Referring to FIG. 3, the monitoring file MF received by the
도 2에 도시된 비교 감시 파일(CMF) 중 첫번째 내지 세번째 라인은 도 3에 도시된 감시 파일(MF)에 포함되나, 도 2에 도시된 비교 감시 파일(CMF) 중 네번째 내지 다섯번째 라인은 도 3에 도시된 감시 파일(MF)에 포함되지 않는다. 즉, 감시 파일 판단기(210)는 도 2에 도시된 비교 감시 파일(CMF) 중 네번째 내지 다섯번째 라인이 삭제된 내용이라고 판단할 수 있다.The first to third lines of the comparison monitoring file CMF shown in FIG. 2 are included in the monitoring file MF shown in FIG. 3, but the fourth to fifth lines of the comparison monitoring file CMF shown in FIG. 3 are not included in the monitoring file MF shown in Fig. That is, the
감시 파일 판단기(210)는, 비교 감시 파일(CMF)은 존재하지 않고 감시 파일(MF)은 존재하는 경우, 감시 파일(MF)을 감시 파일 저장소(220)에 송신한다. 감시 파일 판단기(210)는 감시 파일(MF)과 비교 감시 파일(CMF)이 동일하지 않고 감시 파일(MF)에서 삭제된 내용이 존재하지 않는 경우에도, 감시 파일(MF)을 감시 파일 저장소(220)에 송신한다. The
감시 파일 판단기(210)는, 감시 파일(MF)이 존재하지 않고 비교 감시 파일(CMF)이 존재하지 않는 경우, 감시 파일(MF)을 감시 파일 저장소(220)에 송신하지 않는다. 감시 파일 판단기(210)는, 감시 파일(MF)의 정보가 비교 감시 파일(CMF)의 정보와 동일한 경우에도, 감시 파일(MF)을 감시 파일 저장소(220)에 송신하지 않는다.The
감시 파일 판단기(210)는, 감시 파일(MF)은 존재하지 않고 비교 감시 파일(CMF)이 존재하는 경우, 이상 알림(AA)을 생성한다. 감시 파일 판단기(210)는, 감시 파일(MF)에 삭제된 내용이 존재하는 경우에도, 이상 알림(AA)을 생성한다. 이상 알림(AA)은 감시 파일(MF)이 삭제되었는지 여부, 감시 파일(MF)에서 삭제된 내용, 및 감시 파일(MF)에서 삭제된 내용의 비교 감시 파일(CMF) 내 위치 중 적어도 하나에 대한 정보를 포함할 수 있다. 실시예에 따라, 감시 파일 판단기(210)는 이상 알림(AA)을 생성한 후 감시 파일 저장소(220)에 감시 파일(MF)을 송신할 수 있다.The
이상 여부 송신기(230)는, 감시 파일 판단기(210)로부터의 이상 알림(AA)이 감시 파일(MF)이 삭제되었다는 정보를 포함하는 경우, 감시 파일 저장소(220)로부터 비교 감시 파일(CMF)을 수신하고, 비교 감시 파일(CMF)을 포함하는 이상 알림 신호(AAS)를 외부로 송신한다.The
이상 여부 송신기(230)는, 감시 파일 판단기(210)로부터의 이상 알림(AA)이 감시 파일(MF)에서 삭제된 내용에 대한 정보를 포함하는 경우, 삭제된 내용에 대한 정보를 포함하는 이상 알림 신호(AAS)를 외부로 송신한다.When the abnormality notification AA from the
이상 여부 송신기(230)는, 감시 파일 판단기(210)로부터의 이상 알림(AA)이 감시 파일(MF)에서 삭제된 내용의 비교 감시 파일(CMF) 내 위치에 대한 정보를 포함하는 경우, 감시 파일 저장소(220)로부터 비교 감시 파일(CMF)을 수신한다. 비교 감시 파일(CMF) 및 위치에 대한 정보를 기반으로 삭제된 내용을 생성하고, 삭제된 내용에 대한 정보를 포함하는 이상 알림 신호(AAS)를 외부로 송신한다. 이상 여부 송신기(230)는 이메일, 문자, 및 그래픽 유저 인터페이스(GUI) 중 적어도 하나의 수단을 사용하여 이상 알림 신호(AAS)를 외부에 송신할 수 있다.When the abnormality notification AA from the
실시예에 따라, 이상 여부 송신기(230)는, 감시 파일(MF)에 이상이 없는 경우에도, 이상이 없다는 정보를 포함하는 이상 알림 신호(AAS)를 외부로 송신할 수 있다.According to the embodiment, even when there is no abnormality in the monitoring file MF, the
본 발명에 따른 보안 장치(200)는, 감시 파일(MF)의 존재 여부, 비교 감시 파일(CMF)의 존재 여부, 감시 파일(MF)과 비교 감시 파일(CMF)의 동일 여부 중 적어도 하나를 판단한다. 감시 파일(MF)이 존재하지 않고 비교 감시 파일(CMF)이 존재하거나 감시 파일(MF)에서 삭제된 내용이 존재하는 경우, 보안 장치(200)는 클라이언트 컴퓨터(100)에 이상이 발생하였다고 판단하고 삭제된 내용을 외부로 송신할 수 있다. 본 발명에 따른 보안 장치는 저장된 감시 파일과 수집된 감시 파일을 비교하여 해킹을 빠르게 인지하고, 해킹의 증거 및 해킹 시 접속 정보를 용이하게 획득할 수 있다.The
도 4는 본 발명의 일 실시예에 따른 보안 장치의 구동 방법을 설명하기 위한 도면이다. 이하에서, 보안 장치의 구동 방법이 도 1a, 도 1b, 도 2, 도 3, 및 도 4를 참조하여 설명될 것이다.4 is a diagram for explaining a method of driving a security device according to an embodiment of the present invention. Hereinafter, a method of driving the security device will be described with reference to Figs. 1A, 1B, 2, 3, and 4. Fig.
S100 단계에서, 감시 파일 판단기(210)는 클라이언트 컴퓨터(100)의 감시 파일(MF)을 비교 감시 파일(CMF)로 저장한다.In step S100, the
클라이언트 컴퓨터(100)의 감시 파일(MF)이 존재하는 경우, 감시 파일 판단기(210)는 감시 파일 생성기(110)로부터의 감시 파일(MF)을 감시 파일 저장소(220)로 송신한다.The
클라이언트 컴퓨터(100)의 감시 파일(MF)이 존재하지 않는 경우에는 보안 장치(200)가 별다른 동작을 수행하지 않는다.If the monitoring file (MF) of the
S200 단계에서, 감시 파일 판단기(210)는 클라이언트 컴퓨터(100)에 이상이 발생하였는지 여부를 판단한다. S200 단계에서, 감시 파일 판단기(210)는 감시 파일(MF)의 정보의 존재 여부를 기반으로 감시 파일(MF)의 존재 여부를 판단할 수 있고, 비교 감시 파일(CMF)의 정보의 존재 여부를 기반으로 비교 감시 파일(CMF)의 존재 여부를 판단할 수 있다. 감시 파일 판단기(210)는, 감시 파일(MF)의 정보가 존재하고 비교 감시 파일(CMF)의 정보가 존재하는 경우, 감시 파일(MF)의 정보와 비교 감시 파일(CMF)의 정보를 비교하여 감시 파일(MF)과 비교 감시 파일(CMF)이 동일한지 판단할 수 있다.In step S200, the
클라이언트 컴퓨터(100)에 이상이 발생한 경우, S300 단계가 수행된다. 클라이언트 컴퓨터(100)에 이상이 발생하지 않은 경우, S100 단계가 수행된다. S200 단계의 상세한 내용은 도 5를 참조하여 이후에 설명될 것이다.If an abnormality occurs in the
S300 단계에서, 이상 여부 송신기(230)는 이상 알림 신호(AAS)를 송신한다. S300 단계 이후, S100 단계가 수행된다.In step S300, the
도 5는 도 4의 클라이언트 컴퓨터에 이상이 발생하였는지 여부를 판단하는 단계를 설명하기 위한 도면이다. 이하에서, 클라이언트 컴퓨터에 이상이 발생하였는지 여부를 판단하는 단계(S200)가 도 1a, 도 1b, 도 2, 도 3, 도 4, 및 도 5를 참조하여 설명될 것이다.5 is a diagram for explaining a step of determining whether or not an abnormality has occurred in the client computer of FIG. Hereinafter, a step S200 of determining whether or not an abnormality has occurred in the client computer will be described with reference to Figs. 1A, 1B, 2, 3, 4, and 5.
S210 단계에서, 감시 파일(MF)이 존재하지 않고 비교 감시 파일(CMF)이 존재하지 않는지 여부가 판단된다. 감시 파일(MF)이 존재하지 않고 비교 감시 파일(CMF)이 존재하지 않는 경우, S215 단계가 수행된다. 감시 파일(MF) 및 비교 감시 파일(CMF) 중 적어도 하나가 존재하는 경우, S220 단계가 수행된다.In step S210, it is determined whether the monitoring file MF does not exist and the comparison monitoring file CMF does not exist. If the monitoring file MF does not exist and the comparison monitoring file CMF does not exist, step S215 is performed. If at least one of the monitoring file (MF) and the comparison monitoring file (CMF) exists, step S220 is performed.
S215 단계에서, 감시 파일(MF)이 존재하지 않고 비교 감시 파일(CMF)이 존재하지 않으므로, 감시 파일 판단기(210)는 클라이언트 컴퓨터(100)가 외부로부터 액세스되지 않았다고 판단한다. 감시 파일(MF)의 정보와 비교 감시 파일(CMF)의 정보가 동일한 경우에도, 감시 파일 판단기(210)는 비교 감시 파일(CMF)이 감시 파일 저장소(220)에 저장된 이후로 외부로부터 액세스되지 않았다고 판단한다. S215 단계 이후, 클라이언트 컴퓨터(100)가 액세스되지 않았으므로 S200 단계가 종료되지 않고, 기설정된 조건을 만족할 때까지 대기한 후 S210 단계가 수행될 수 있다. 기설정된 조건은 S215 단계가 수행되고 기설정된 시간이 경과되는 것일 수 있다.In step S215, since the monitoring file MF does not exist and the comparison monitoring file CMF does not exist, the
S220 단계에서, 감시 파일(MF)이 존재하지 않고 비교 감시 파일(CMF)이 존재하는지 여부가 판단된다. 감시 파일(MF)이 존재하지 않고 비교 감시 파일(CMF)이 존재하는 경우, S225 단계가 수행된다. 감시 파일(MF)이 존재하는 경우, S230 단계가 수행된다.In step S220, it is determined whether the monitoring file MF does not exist and the comparison monitoring file CMF exists. If the monitoring file MF does not exist and the comparison monitoring file CMF exists, step S225 is performed. If the monitoring file MF exists, step S230 is performed.
S225 단계에서, 감시 파일(MF)이 존재하지 않고 비교 감시 파일(CMF)이 존재하므로, 감시 파일 판단기(210)는 감시 파일(MF)이 삭제되었다고 판단한다. S225 단계가 수행되는 경우, 감시 파일 판단기(210)는 클라이언트 컴퓨터(100)에 이상이 발생하였다고 판단한다.In step S225, since the monitoring file MF does not exist and the comparison monitoring file CMF exists, the
S230 단계에서, 감시 파일(MF)이 존재하고 비교 감시 파일(CMF)이 존재하지 않는지 여부가 판단된다. 감시 파일(MF)이 존재하고 비교 감시 파일(CMF)이 존재하지 않는 경우, S235 단계가 수행된다. 감시 파일(MF)이 존재하고 비교 감시 파일(CMF)이 존재하는 경우, S240 단계가 수행된다.In step S230, it is determined whether the monitoring file MF exists and the comparison monitoring file CMF does not exist. If the monitoring file MF exists and the comparison monitoring file CMF does not exist, step S235 is performed. If the monitoring file MF exists and the comparison monitoring file CMF exists, step S240 is performed.
S235 단계에서, 감시 파일(MF)이 존재하고 비교 감시 파일(CMF)이 존재하지 않으므로, 감시 파일 판단기(210)는 감시 파일 생성기(110)에서 감시 파일(MF)이 생성되었다고 판단한다. S235 단계가 수행되는 경우, 감시 파일 판단기(210)는 클라이언트 컴퓨터(100)에 이상이 발생하지 않았다고 판단한다.In step S235, since the monitoring file MF exists and the comparison monitoring file CMF does not exist, the
S240 단계에서, 감시 파일(MF)이 존재하고 비교 감시 파일(CMF)이 존재하므로, 감시 파일 판단기(210)는 감시 파일(MF)의 정보와 비교 감시 파일(CMF)의 정보를 비교한다. 감시 파일(MF)의 정보와 비교 감시 파일(CMF)의 정보가 동일한 경우, S215 단계가 수행된다. 감시 파일(MF)의 정보와 비교 감시 파일(CMF)의 정보가 다른 경우, S245 단계가 수행된다.In step S240, since the monitoring file MF exists and the comparison monitoring file CMF exists, the
S245 단계에서, 감시 파일 판단기(210)는 감시 파일(MF)에서 삭제된 내용이 존재하는지 판단한다. 삭제된 내용은 비교 감시 파일(CMF)의 내용 중 감시 파일(MF)의 내용에 포함되지 않는 부분으로 정의될 수 있다.In step S245, the
삭제된 내용이 존재하는 경우, S250 단계가 수행된다. 삭제된 내용이 존재하지 않는 경우, S255 단계가 수행된다.If the deleted content exists, step S250 is performed. If the deleted content does not exist, step S255 is performed.
S250 단계에서, 삭제된 내용이 존재하므로, 감시 파일 판단기(210)는, 감시 파일(MF)의 내용이 삭제되었다고 판단한다. S250 단계가 수행되는 경우, 감시 파일 판단기(210)는 클라이언트 컴퓨터(100)에 이상이 발생하였다고 판단한다.In step S250, since the deleted contents exist, the
S255 단계에서, 삭제된 내용이 존재하지 않고 감시 파일(MF)와 비교 감시 파일(CMF)이 다르므로, 감시 파일 판단기(210)는 감시 파일(MF)의 내용이 비교 감시 파일(CMF)에 비해 추가되었다고 판단한다. S255 단계가 수행되는 경우, 감시 파일 판단기(210)는 클라이언트 컴퓨터(100)에 이상이 발생하지 않았다고 판단한다.Since the deleted content does not exist and the monitoring file MF is different from the comparison monitoring file CMF in step S255, the
이상 설명한 내용을 통해 당업자라면 본 발명의 기술사상을 일탈하지 아니하는 범위에서 다양한 변경 및 수정이 가능함을 알 수 있을 것이다. 따라서, 본 발명의 기술적 범위는 명세서의 상세한 설명에 기재된 내용으로 한정되는 것이 아니라 특허 청구의 범위에 의해 정하여져야만 할 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention. Therefore, the technical scope of the present invention should not be limited to the contents described in the detailed description of the specification, but should be defined by the claims.
100, 100': 클라이언트 컴퓨터 110: 감시 파일 생성기
200, 200': 보안 장치 210: 감시 파일 판단기
220: 감시 파일 저장소 230: 이상 여부 송신기 100, 100 ': client computer 110: surveillance file generator
200, 200 ': security device 210:
220: Surveillance File Storage 230: Abnormal Transmitter
Claims (12)
상기 클라이언트 컴퓨터로부터 새로운 감시 파일이 획득되는지 여부, 및 상기 새로운 감시 파일이 획득되면 상기 새로운 감시 파일을 상기 비교 감시 파일과 비교하여 클라이언트 컴퓨터의 이상 여부를 판단하는 감시 파일 판단기를 포함하고,
상기 감시 파일 판단기는,
상기 새로운 감시 파일이 획득되지 않거나, 상기 비교 결과 상기 새로운 감시 파일에 대한 추가, 변경 또는 삭제가 존재하면, 상기 클라이언트 컴퓨터에 대한 공격자의 공격에 의해 상기 클라이언트 컴퓨터에 이상이 발생하였다고 판단하되,
상기 감시 파일은,
상기 클라이언트 컴퓨터에 대한 액세스 관련 정보를 포함하는 로그 파일이고,
상기 감시 파일 판단기는,
상기 새로운 감시 파일이 획득되지 않는 경우에, 상기 비교 감시 파일이 존재하면 상기 클라이언트 컴퓨터에 이상이 발생하였다고 판단하고, 상기 비교 감시 파일이 존재하지 않으면 수집 신호를 통해 상기 감시 파일을 요청하는 보안 장치.A surveillance file storage for storing surveillance files obtained from client computers using different hardware of remote sites as comparison surveillance files; And
And a monitoring file determiner for comparing the new monitoring file with the comparison monitoring file to determine whether a new monitoring file is obtained from the client computer and if the new monitoring file is acquired,
The surveillance file judging device comprises:
If the new monitoring file is not acquired or if there is addition, modification or deletion of the new monitoring file as a result of the comparison, it is determined that an abnormality has occurred in the client computer due to an attack by the attacker on the client computer,
The monitoring file includes:
A log file containing access-related information for the client computer,
The surveillance file judging device comprises:
If the new monitoring file is not acquired, determines that an abnormality has occurred in the client computer if the comparison monitoring file exists, and requests the monitoring file through the collecting signal if the comparison monitoring file does not exist.
상기 클라이언트 컴퓨터에 이상이 발생한 경우, 이상 알림 신호를 외부로 송신하는 이상 여부 송신기를 더 포함하는 보안 장치.The method according to claim 1,
And an abnormality transmitter that transmits an abnormality notification signal to the outside when an abnormality occurs in the client computer.
상기 감시 파일은 메시지스 로그(messages log), 시큐어 로그(secure log), 에이치티티피디 로그(httpd log), 및 마이에스큐엘 로그(mysql log) 중 적어도 하나를 포함하고,
상기 이상 알림 신호는 상기 비교 감시 파일 또는 상기 새로운 감시 파일의 삭제된 내용에 대한 정보를 포함하는 보안 장치.3. The method of claim 2,
The monitoring file includes at least one of a message log, a secure log, an httpd log, and a mysql log,
Wherein the abnormality notification signal includes information on the deleted content of the comparison monitoring file or the new monitoring file.
상기 이상 여부 송신기는 이메일, 문자, 및 그래픽 유저 인터페이스(GUI) 중 적어도 하나의 수단을 사용하여 상기 이상 알림 신호를 외부에 송신하는 보안 장치.The method of claim 3,
Wherein the abnormality transmitter transmits the abnormality notification signal to the outside using at least one of e-mail, text, and a graphical user interface (GUI).
상기 감시 파일 판단기는, 상기 새로운 감시 파일이 획득되는 경우에, 상기 새로운 감시 파일의 정보와 상기 비교 감시 파일의 정보를 비교하고 상기 비교 결과를 기반으로 이상 여부를 판단하며,
상기 정보는 해시 값 및 업데이트 시간 중 적어도 하나를 포함하는 보안 장치.The method according to claim 1,
Wherein the monitoring file determiner compares information of the new monitoring file with information of the comparison monitoring file when the new monitoring file is acquired and determines whether the new monitoring file is abnormal based on the comparison result,
Wherein the information comprises at least one of a hash value and an update time.
상기 감시 파일 저장소는, 상기 감시 파일을 암호화한 후 상기 비교 감시 파일로 저장하는 보안 장치.The method according to claim 1,
Wherein the monitoring file repository encrypts the monitoring file and stores the same in the comparison monitoring file.
상기 클라이언트 컴퓨터에 이상이 발생하였는지 여부를 판단하는 단계; 및
상기 클라이언트 컴퓨터에 이상이 발생한 경우, 이상 알림 신호를 송신하는 단계를 포함하고,
상기 클라이언트 컴퓨터에 이상이 발생하였는지 여부를 판단하는 단계는,
상기 클라이언트 컴퓨터로부터 새로운 감시 파일이 획득되었는지 판단하는 단계;
상기 새로운 감시 파일이 획득되었으면, 상기 새로운 감시 파일을 상기 비교 감시 파일과 비교하는 단계; 및
상기 새로운 감시 파일이 획득되지 않았거나, 상기 비교 결과 상기 새로운 감시 파일에 대한 추가, 변경 또는 삭제가 존재하면, 상기 클라이언트 컴퓨터에 대한 공격자의 공격에 의해 상기 클라이언트 컴퓨터에 이상이 발생하였다고 판단하는 단계를 포함하되,
상기 감시 파일은,
상기 상기 클라이언트 컴퓨터에 대한 액세스 관련 정보를 포함하는 로그 파일이고,
상기 클라이언트 컴퓨터에 이상이 발생하였다고 판단하는 단계는,
상기 새로운 감시 파일이 획득되지 않고, 상기 비교 감시 파일이 존재하면, 상기 클라이언트 컴퓨터에 이상이 발생하였다고 판단하는 단계; 및
상기 새로운 감시 파일이 획득되지 않고, 상기 비교 감시 파일이 존재하지 않으면, 상수집 신호를 외부로 전송하여 상기 감시 파일을 요청하는 단계를 포함하는 보안 장치의 구동 방법.Storing the monitoring file as a comparison monitoring file when a monitoring file is acquired from a client computer using different hardware at a remote site;
Determining whether an abnormality has occurred in the client computer; And
And transmitting an abnormality notification signal when an abnormality occurs in the client computer,
Wherein the step of determining whether an abnormality has occurred in the client computer comprises:
Determining whether a new monitoring file has been obtained from the client computer;
Comparing the new monitoring file with the comparison monitoring file if the new monitoring file is obtained; And
If the new monitoring file is not acquired or if there is addition, modification or deletion of the new monitoring file as a result of the comparison, it is determined that an abnormality has occurred in the client computer due to an attack by the attacker on the client computer Including,
The monitoring file includes:
A log file including access-related information for the client computer,
Wherein the step of determining that an abnormality has occurred in the client computer,
Determining that an abnormality has occurred in the client computer if the new monitoring file is not acquired and the comparison monitoring file exists; And
And if the new monitoring file is not acquired and the comparison monitoring file does not exist, transmitting the image collecting signal to the outside and requesting the monitoring file.
상기 클라이언트 컴퓨터에 이상이 발생하지 않은 경우, 상기 새로운 감시 파일을 상기 비교 감시 파일로 저장하는 단계가 수행되는 보안 장치의 구동 방법.9. The method of claim 8,
And storing the new monitoring file as the comparison monitoring file if an abnormality does not occur in the client computer.
상기 클라이언트 컴퓨터에 이상이 발생하였는지 여부를 판단하는 단계는, 상기 감시 파일 및 상기 비교 감시 파일이 존재하지 않는 경우, 상기 클라이언트 컴퓨터에 대한 외부의 액세스가 발생하지 않았다고 판단하는 단계를 더 포함하는 보안 장치의 구동 방법. 9. The method of claim 8,
Wherein the step of determining whether or not an abnormality has occurred in the client computer includes the step of determining that no external access to the client computer has occurred when the monitoring file and the comparison monitoring file do not exist .
상기 클라이언트 컴퓨터에 이상이 발생하였는지 여부를 판단하는 단계에서, 상기 감시 파일의 정보와 상기 비교 감시 파일의 정보가 동일한 경우, 상기 클라이언트 컴퓨터에 대한 외부의 액세스가 발생하지 않았다고 판단하는 단계가 수행되는 보안 장치의 구동 방법.11. The method of claim 10,
Wherein the step of determining whether an external access to the client computer has not occurred is performed when the information of the monitoring file and the information of the comparison monitoring file are identical in the step of determining whether or not an abnormality has occurred in the client computer, A method of driving a device.
상기 정보는 해시 값 및 업데이트 시간 중 적어도 하나를 포함하는 보안 장치의 구동 방법.12. The method of claim 11,
Wherein the information includes at least one of a hash value and an update time.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160120609A KR101956290B1 (en) | 2016-09-21 | 2016-09-21 | Security apparatus and driving method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160120609A KR101956290B1 (en) | 2016-09-21 | 2016-09-21 | Security apparatus and driving method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20180032004A KR20180032004A (en) | 2018-03-29 |
KR101956290B1 true KR101956290B1 (en) | 2019-03-11 |
Family
ID=61907038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160120609A KR101956290B1 (en) | 2016-09-21 | 2016-09-21 | Security apparatus and driving method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101956290B1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5659614A (en) | 1994-11-28 | 1997-08-19 | Bailey, Iii; John E. | Method and system for creating and storing a backup copy of file data stored on a computer |
KR100451888B1 (en) * | 2003-10-10 | 2004-10-08 | 주식회사 나음정보기술 | Method for making information in server and client terminal same and system therefor |
JP2005149380A (en) | 2003-11-19 | 2005-06-09 | Fuji Xerox Co Ltd | File management system, file server, file management method and file management program |
JP2008225638A (en) * | 2007-03-09 | 2008-09-25 | Sky Kk | File management system, file management method and file management program |
-
2016
- 2016-09-21 KR KR1020160120609A patent/KR101956290B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5659614A (en) | 1994-11-28 | 1997-08-19 | Bailey, Iii; John E. | Method and system for creating and storing a backup copy of file data stored on a computer |
KR100451888B1 (en) * | 2003-10-10 | 2004-10-08 | 주식회사 나음정보기술 | Method for making information in server and client terminal same and system therefor |
JP2005149380A (en) | 2003-11-19 | 2005-06-09 | Fuji Xerox Co Ltd | File management system, file server, file management method and file management program |
JP2008225638A (en) * | 2007-03-09 | 2008-09-25 | Sky Kk | File management system, file management method and file management program |
Non-Patent Citations (1)
Title |
---|
"파일시스템 감시", 네이버블로그 게시물 (2007.04.22.), https://blog.naver.com/hothit/80037144929* |
Also Published As
Publication number | Publication date |
---|---|
KR20180032004A (en) | 2018-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10999300B2 (en) | Method and system for forensic data tracking | |
US11700112B2 (en) | Distributed key caching for encrypted keys | |
CN109829297B (en) | Monitoring device, method and computer storage medium thereof | |
US20180276389A1 (en) | Determining malware prevention based on retrospective content scan | |
US9747455B1 (en) | Data protection using active data | |
CN109922062B (en) | Source code leakage monitoring method and related equipment | |
US9734094B2 (en) | Computer security system and method | |
US9614826B1 (en) | Sensitive data protection | |
US8595497B2 (en) | Electronic file sending method | |
US8886961B2 (en) | Application installing method | |
CN103631678A (en) | Backup method, restoring method and device for client software | |
US11128588B2 (en) | Apparatus, method and computer-readable recording medium storing computer program for restricting electronic file viewing utilizing antivirus software | |
US11089061B1 (en) | Threat isolation for documents using distributed storage mechanisms | |
KR101956290B1 (en) | Security apparatus and driving method thereof | |
CN111901229A (en) | Mail withdrawing method and device, electronic equipment and readable storage medium | |
KR20180001907A (en) | Method of transmitting secure message through system for classifying hazardous url | |
CN112136119A (en) | Data processing system, data processing method, and program | |
KR20150140227A (en) | Apparatus and method for data taint tracking | |
US20180293382A1 (en) | Infected File Detection and Quarantine System | |
JP4607023B2 (en) | Log collection system and log collection method | |
US20220083646A1 (en) | Context Based Authorized External Device Copy Detection | |
KR101482508B1 (en) | Browsing method for preventing file outflow and recording-medium recorded program thereof | |
US10235541B2 (en) | System and method for confidential data management | |
US20190182198A1 (en) | Method and system for managing duplicate recipients of an electronic communication | |
KR20150019663A (en) | System and method processing e-mail attaching files |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant |