KR102024053B1 - 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법 - Google Patents

행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법 Download PDF

Info

Publication number
KR102024053B1
KR102024053B1 KR1020170183136A KR20170183136A KR102024053B1 KR 102024053 B1 KR102024053 B1 KR 102024053B1 KR 1020170183136 A KR1020170183136 A KR 1020170183136A KR 20170183136 A KR20170183136 A KR 20170183136A KR 102024053 B1 KR102024053 B1 KR 102024053B1
Authority
KR
South Korea
Prior art keywords
verification
access
file
behavior
white
Prior art date
Application number
KR1020170183136A
Other languages
English (en)
Other versions
KR20190080591A (ko
Inventor
홍성진
양도겸
정윤성
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020170183136A priority Critical patent/KR102024053B1/ko
Publication of KR20190080591A publication Critical patent/KR20190080591A/ko
Application granted granted Critical
Publication of KR102024053B1 publication Critical patent/KR102024053B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은, 새로운 악성코드(예: 랜섬웨어)까지도 실시간으로 진단하여 차단할 수 있기 때문에 악성코드(예: 랜섬웨어) 차단율을 높일 수 있고, 정상 프로세스에 대한 오탐 가능성을 현저히 낮출 수 있기 때문에 사용성을 높일 수 있는 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법에 관한 것이다.

Description

행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법{BEHAVIOR BASED REAL- TIME ACCESS CONTROL SYSTEM AND CONTROL METHOD}
본 발명은 악성코드로부터 파일을 보호하는 기술에 관한 것으로, 더욱 상세하게는 파일을 임의로 변조시켜 사용 불가능 상태로 만드는 형태의 공격을 감행하는 악성코드를 진단 및 차단하는 차단율을 높이고 오탐을 줄여 사용성을 높일 수 있는 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법에 관한 것이다.
랜섬웨어는, 정보(파일)를 외부로 유출시키는 형태의 공격을 감행하는 악성코드와는 달리, 정보(파일)를 암호화하거나 압축하는 등 임의로 변조시켜 사용자가 다시 보기 어려운 상태 즉 사용 불가능 상태로 만드는 형태의 공격을 감행한다.
이러한 랜섬웨어는, 정보(파일)를 사용 불가능 상태로만 만든 후 정보(파일) 공격 사실을 사용자에게 알려, 정보(파일) 복원의 대가로 금전을 갈취하는 악의적 목적으로 주로 사용되고 있다.
이때, 랜섬웨어는, 금전 갈취의 목적 달성을 위해, 정보(파일)를 사용 불가능 상태로 변조시킬 뿐 완전히 파괴하지는 않기 때문에, 랜섬웨어의 공격을 사전에 명백하게 인지하는 것이 쉽지 않고 따라서 공격 자체를 차단하는 것이 어려운 실정이다.
이에, 기존에는 다양한 형태의 랜섬웨어들의 행위를 분석하여 위협 행위를 기반으로 랜섬웨어 진단을 위한 랜섬웨어 행위 룰을 작성해두고, 랜섬웨어 행위 룰과 일치하는 행위의 프로세스를 랜섬웨어로 진단하여 차단하는, 랜섬웨어 행위 룰 기반의 차단 기술이 사용되고 있다.
헌데, 실제로는 줄어들지 않고 계속해서 이러한 기존 차단 기술(기법)들을 회피하는 다양한 형태의 랜섬웨어가 새롭게 생겨나고 있기 때문에, 기존 차단 기술(기법)들의 경우, 이렇게 새로운 랜섬웨어가 생겨나는 속도 보다 대응 속도가 느려서 새로운 랜섬웨어를 탐지하는 못할 가능성이 높다.
또한, 기존 차단 기술(기법)들의 경우, 랜섬웨어 행위 룰과 일치하는 행위로 동작하는 정상적인 프로세스도 랜섬웨어로 진단하게 되는 오탐의 가능성이 존재한다.
한편, 랜섬웨어의 주요 공격 대상은, 금전 갈취의 목적 달성을 위해, 재 설치 및 다운로드 등이 가능한 프로그램 파일이나 시스템 파일이 아닌, 사용자에게 복원의 의미가 큰 사용자 저작 파일이 주를 이루고 있다.
이에, 본 발명에서는, 시스템의 모든 정보(파일)을 대상으로 하는 기존 차단 기술(기법) 대비, 특정 정보(파일) 만을 보호대상으로 하여 새로운 랜섬웨어까지도 실시간으로 차단할 수 있고 오탐 가능성을 현저히 낮출 수 있는 차단 기술(기법)을 제안하고자 한다.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은 새로운 악성코드(예: 랜섬웨어)까지도 실시간으로 차단할 수 있고 오탐 가능성을 현저히 낮출 수 있는 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 행위 기반 실시간 접근 제어 방법은, 기 지정된 보호대상 파일에 수정 권한으로 접근하는 프로세스를 확인하는 프로세스 확인단계; 상기 보호대상 파일에 대하여 기 정의된 운영체제 행위 규칙을 기반으로, 상기 접근 프로세스가 상기 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증하는 프로세스 검증단계: 및 상기 검증 결과, 상기 접근 프로세스가 화이트 프로세스인 경우에만 상기 보호대상 파일에 대한 상기 접근을 허용하고, 그 외에는 위협 행위로 규정하고 상기 접근을 차단하는 프로세스 접근제어단계를 포함한다.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 행위 기반 실시간 접근 제어 시스템은, 기 지정된 보호대상 파일에 수정 권한으로 접근하는 프로세스를 확인하는 프로세스 확인부; 상기 보호대상 파일에 대하여 기 정의된 운영체제 행위 규칙을 기반으로, 상기 접근 프로세스가 상기 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증하는 프로세스 검증부; 및 상기 검증 결과, 상기 접근 프로세스가 화이트 프로세스인 경우에만 상기 보호대상 파일에 대한 상기 접근을 허용하고, 그 외에는 위협 행위로 규정하고 상기 접근을 차단하는 프로세스 접근제어부를 포함한다.
본 발명의 실시예들에 따르면, 새로운 악성코드(예: 랜섬웨어)까지도 실시간으로 차단함으로써 악성코드(예: 랜섬웨어) 진단 및 차단율을 높이고, 정상 프로세스에 대한 오탐 가능성을 현저히 낮춤으로써 사용성을 높일 수 있는 효과를 도출한다.
도 1은 본 발명의 바람직한 실시예에 따른 행위 기반 실시간 접근 제어 시스템의 구성을 보여주는 구성도이다.
도 2 는 본 발명의 바람직한 실시예에 따른 행위 기반 실시간 접근 제어 방법을 보여주는 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.
먼저, 도 1을 참조하여 본 발명을 설명하면 다음과 같다. 여기서, 도 1은 본 발명의 바람직한 실시예에 따른 행위 기반 실시간 접근 제어 시스템의 구성을 보여주고 있다.
도 1에 도시된 바와 같이, 본 발명에 따른 행위 기반 실시간 접근 제어 시스템(100)은, 독립된 사용자 디바이스(200)에 탑재되는 것이 바람직하다. 이러한 본 발명의 행위 기반 실시간 접근 제어 시스템(100)은, 사용자 디바이스(200)에 설치되는 어플리케이션, 또는 진단 엔진 형태일 수도 있다.
도 1에서는, 설명의 편의를 위해, 사용자 디바이스(200)에서 레지스트리, 파일, 네트워크, 프로세스 관련 행위를 수행하는 주체인 다수의 프로세스(1,2,...N)와, 사용자 디바이스(200, 메모리 공간)에 저장되어 있는 정보(파일) 및 다수의 프로세스(1,2,...N) 사이에서 정보(파일)에 대한 I/O를 제어하는 파일시스템(210)의 구성을 도시하였다.
도 1에 도시된 바와 같이 본 발명에 따른 행위 기반 실시간 접근 제어 시스템(100)은, 기 지정된 보호대상 파일에 수정 권한으로 접근하는 프로세스를 확인하는 확인부(110)와, 상기 보호대상 파일에 대하여 기 정의된 운영체제 행위 규칙을 기반으로, 상기 접근 프로세스가 상기 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증하는 검증부(120)와, 상기 검증 결과, 상기 접근 프로세스가 화이트 프로세스인 경우에만 상기 보호대상 파일에 대한 상기 접근을 허용하고, 그 외에는 위협 행위로 규정하고 상기 접근을 차단하는 접근제어부(130)를 포함한다.
더 나아가 본 발명에 따른 행위 기반 실시간 접근 제어 시스템(100)은, 룰작성부(140)를 더 포함할 수도 있다.
확인부(110)는, 기 지정된 보호대상 파일에 수정 권한으로 접근하는 프로세스를 확인한다.
구체적으로, 보호대상 파일은, 기 지정된 폴더 내의 모든 파일, 또는 기 지정된 폴더 내의 기 지정된 종류의 파일, 또는 폴더 제한 없이 기 지정된 종류의 파일을 의미할 수 있다.
다만, 본 발명은, 랜섬웨어와 같이 정보(파일)을 임의로 변조시켜 사용 불가능 상태로 만드는 형태의 공격을 감행하는 악성코드를 감안하고 있으며, 이러한 악성코드의 주요 공격 대상은, 금전 갈취의 목적 달성을 위해, 재 설치 및 다운로드 등이 가능한 프로그램 파일이나 시스템 파일이 아닌, 사용자에게 복원의 의미가 큰 사용자 저작 파일이 주를 이루고 있다.
따라서, 보호대상 파일은, 주로 저작 파일이 저장되는 특정 폴더가 보호대상으로 지정됨에 따라, 보호대상의 특정 폴더 내의 모든 파일을 의미할 수 있다.
또는, 보호대상 파일은, 주로 저작 파일이 저장되는 특정 폴더 및 주로 저작 파일로 사용되는 파일 종류(예: HWP, DOC, PPT 등)가 보호대상으로 지정됨에 따라, 보호대상의 특정 폴더 내에 저장된 보호대상의 파일 종류에 해당하는 파일을 의미할 수 있다.
또는, 보호대상 파일은, 주로 저작 파일로 사용되는 파일 종류(예: HWP, DOC, PPT 등)가 보호대상으로 지정됨에 따라, 폴더 제한 없이 보호대상의 파일 종류에 해당하는 파일을 의미할 수 있다.
보다 구체적으로 예를 들면, 본 발명에서 보호대상의 파일 종류를 지정하는 경우, 아래의 표1과 같이 확장자, 파일 포맷, 파일 크기 등으로 보호대상 파일을 지정할 수 있다.
확장자 파일 포맷 크기 비고
HWP OLE 10KB~2GB 아래아 한글 파일 포멧
HWPX XML 10KB~2GB 아래아 한글 XML 파일 포멧
DOC/XLS/PPT OLE 10KB~2GB OFFICE 2003 이하 문서 포멧
DOCX/XLSX/PPTX ZIP 10KB~2GB XML 기반 OFFICE 문서 포멧
PDF OLE 10KB~2GB Acrobat PDF 파일
JPG JPG 1MB~40MB 사진 파일
PSD PSD 5MB~400MB 포토샵 저작파일
RAW RAW 10MB~100MB 사진 파일
ACD.DWG OLE 5MB~2GB AUTOCAD 도면파일
이하에서는, 설명의 편의를 위해, 보호대상 파일로서 기 지정된 폴더 내에 저장된 기 지정된 표1의 종류에 따른 파일을 가정하여 설명하겠다.
다수의 프로세스(1,2,...N) 중 임의의 프로세스(예: 프로세스1)가 사용자 디바이스(200, 메모리 공간)에 저장되어 있는 정보(파일)에 대한 접근(행위)을 시도하게 되면, 파일시스템(210)은 해당되는 파일에 대하여 프로세스1의 시도된 접근(행위)에 따른 I/O를 처리하게 될 것이다.
이에, 확인부(110)는, 파일시스템(210)에서 처리되는 I/O를 확인하여, 전술과 같이 기 지정된 보호대상 파일에 수정 권한으로 접근하는 프로세스가 어떤 프로세스인지를 확인할 수 있다.
이하에서는 설명의 편의를 위해, 보호대상 파일에 수정 권한으로 전근하는 프로세스2가 확인된 경우로 가정하여 설명하겠다.
검증부(120)는, 보호대상 파일에 수정 권한으로 접근하는 프로세스 예컨대 프로세스2가 확인되면, 보호대상 파일에 대하여 기 정의된 운영체제 행위 규칙을 기반으로, 금번 확인한 접근 프로세스2가 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증한다.
이를 위해, 본 발명에서는, 운영체제 행위 규칙을 정의(작성)해야 한다.
구체적으로, 본 발명에서 기 정의하는 운영체제 행위 규칙은, 프로세스의 파일 정보 및 해시 정보를 근거로, 프로세스 파일의 변조 여부를 검증하는 프로세스 검증, 프로세스의 메모리 내 상태값을 근거로, 프로세스 파일 기반의 변조 여부를 검증하는 메모리 검증, 프로세스의 스택 경로를 검증하고 메모리 검증 상태로 화이트 주소 영역을 검증하는 스택 검증, 프로세스를 구성하는 스레드 단위로 각 시스템 정보에 근거하여 화이트 스레드가 맞는지 여부를 검증하는 스레드 검증, 프로세스를 구성하는 스레드 단위로 디버그 모드 여부를 검증하는 디버그 검증을 포함할 수 있다.
프로세스 검증은, 프로세스의 파일 정보 및 해시 정보를 근거로, 프로세스 파일의 변조 여부를 검증하는 것이다.
전술한 예시의 경우라면, 검증부(120)는, 보호대상 파일에 수정 권한으로 접근하는 프로세스 예컨대 프로세스2가 확인되면, 금번 확인한 접근 프로세스2에 대한 각종 시스템 정보를 사용자 디바이스(200)의 운영체제(OS)로부터 획득할 수 있다.
예를 들면, 운영체제(OS)는 사용자 디바이스(200)에서 실행되는 모든 프로세스에 대하여 정보구조체를 가지고 있는데, 프로세스 핸들은 프로세스 정보구조체에 접근하여 필요한 각종 시스템 정보를 얻기 위해 사용되는 열쇠역할을 수행한다.
따라서, 검증부(120)는, 보호대상 파일에 수정 권한으로 접근하는 프로세스 예컨대 접근 프로세스2가 확인되면, 금번 확인한 접근 프로세스2에 대한 프로세스 핸들을 통해, 운영체제(OS)로부터 실행 중인 접근 프로세스2에 대하여 운영체제 행위 규칙 기반의 검증을 진행하기 위한 각종 시스템 정보를 획득할 수 있다.
물론, 검증부(120)는, 프로세스 핸들을 통해 운영체제(OS)로부터 획득하는 방식 외에도, 다양한 방식으로 접근 프로세스2에 대하여 운영체제 행위 규칙 기반의 검증을 진행하기 위한 각종 시스템 정보를 획득할 수 있을 것이다.
이에, 검증부(120)는, 금번 확인한 접근 프로세스2에 대하여 획득한 각종 시스템 정보 중 파일 정보 및 해시 정보를 근거로 프로세스2 파일의 변조 여부를 검증하는 프로세스 검증을 수행하여, 프로세스2가 변조되었는지 여부를 검증한다.
메모리 검증은, 프로세스의 메모리 내 상태값으로 변조 여부를 검증하는 것이다.
전술한 예시의 경우라면, 검증부(120)는, 금번 확인한 접근 프로세스2에 대하여 획득한 각종 시스템 정보 중 프로세스2의 메모리주소정보를 근거로 프로세스2의 메모리 내 상태값을 확인하여, 메모리 내 상태값을 근거로 프로세스2 파일 기반의 변조 여부를 검증하는 메모리 검증을 수행하여, 프로세스2에 의한 변조가 발생하였는지 여부를 검증한다.
스택 검증은, 프로세스 별 스레드 별의 스택 경로를 검증하고 메모리 검증 상태로 화이트 주소 영역을 검증하는 것이다.
전술한 예시의 경우라면, 검증부(120)는, 금번 확인한 접근 프로세스2에 대하여 획득한 각종 시스템 정보 중 프로세스2의 메모리주소정보를 근거로 스택영역에 존재하는 스택 경로를 검증하고, 아울러 전술의 메모리 검증 수행에 따른 상태값을 근거로 주소정보가 순차 할당된 화이트 주소 영역인지 여부를 검증하는 스택 검증을 수행하여, 프로세스2에 대하여 프로세스 수행과 관련된 코드를 검증한다.
스레드 검증은, 프로세스를 구성하는 스레드 단위로 각 시스템 정보에 근거하여 화이트 스레드가 맞는지 여부를 검증하는 것이다.
전술한 예시의 경우라면, 검증부(120)는, 금번 확인한 접근 프로세스2에 대하여 획득한 각종 시스템 정보 중 필요한 시스템 정보(예: 파일 속성, OS에 의한 설치 여부, 정당한 인증서인지 여부 등)을 근거로, 프로세스2를 구성하는 스레드 단위로 정당한 화이트 스레드인지 여부를 검증하는 스레드 검증을 수행하여, 프로세스2에 대하여 수행과 관련된 행위를 검증한다.
디버그 검증은, 프로세스를 구성하는 스레드 단위로 디버그 모드 여부를 검증하는 것이다.
전술한 예시의 경우라면, 검증부(120)는, 금번 확인한 접근 프로세스2에 대하여 획득한 각종 시스템 정보 중 필요한 시스템 정보(예: 모드 정보)을 근거로, 프로세스2를 구성하는 스레드 단위로 위험 요소가 내재되는 디버그 모드인지 여부를 검증하는 디버그 검증을 수행하여, 프로세스2에 대하여 내재된 위험 요소를 검증한다.
이에, 검증부(120)는, 보호대상 파일에 수정 권한으로 접근하는 프로세스 예컨대 프로세스2가 확인되면, 전술과 같이 다수의 검증들로 정의된 운영체제 행위 규칙에 포함되는 모든 검증 과정에서 접근 프로세스2가 정상 검증되는 경우에만, 접근 프로세스2를 운영체제 행위 규칙으로 접근하는 화이트 프로세스로 판단할 수 있다.
그리고, 검증부(120)는, 운영체제 행위 규칙에 포함되는 모든 검증 과정 중 어느 하나의 검증이라도 접근 프로세스2가 정상 검증에 실패하면, 접근 프로세스2를 화이트 프로세스가 아닌 것으로 판단한다.
접근제어부(130)는, 검증부(120)의 검증 결과, 접근 프로세스2가 화이트 프로세스인 경우에만 금번 보호대상 파일에 대한 접근을 허용한다.
반면, 접근제어부(130)는, 검증부(120)의 검증 결과, 그 외의 경우 즉 접근 프로세스2가 화이트 프로세스가 아닌 경우에는, 위협 행위로 규정하고 접근 프로세스2에 의한 금번 수정 권한의 접근을 접근을 차단한다.
더 나아가, 일 실시예에 따르면, 검증부(120)는, 접근 프로세스가 화이트 프로세스로서 기 검증된 이력이 있는 경우, 운영체제 행위 규칙에 포함되는 모든 검증 중 프로세스 검증을 제외한 나머지 검증 만을 적용하는 운영체제 행위 규칙을 기반으로, 접근 프로세스가 나머지 검증 과정의 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증하는 것도 가능할 것이다.
구체적으로 검증부(120)는, 전술의 검증 결과 접근 프로세스2를 운영체제 행위 규칙으로 접근하는 화이트 프로세스로 판단(검증)한 경우, 프로세스2에 대하여 화이트 프로세스 검증 이력을 생성/관리할 수 있다.
이후, 보호대상 파일에 수정 권한으로 접근하는 프로세스2가 확인되는 경우, 검증부(120)는, 화이트 프로세스 검증 이력을 근거로 접근 프로세스2가 화이트 프로세스로서 기 검증된 이력이 있으면, 운영체제 행위 규칙에 포함되는 모든 검증 중 프로세스 검증을 제외한 나머지 검증 만을 적용하는 운영체제 행위 규칙(메모리 검증, 스택 검증, 스레드 검증, 디버그 검증)을 기반으로, 접근 프로세스2가 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증할 수 있다.
이는, 운영체제 행위 규칙에 포함되는 모든 검증이 적용된 운영체제 행위 규칙(프로세스 검증, 메모리 검증, 스택 검증, 스레드 검증, 디버그 검증)을 기반으로 화이트 프로세스로 검증된 바 있는 프로세스의 경우라면, 변경될 가능성이 없다고 보아도 무방한 파일 정보 및 해시 정보를 근거로 수행되는 프로세스 검증 과정은 다시 수행하여도 검증 결과가 바뀌지 않을 것임에 기인한다.
더 나아가, 일 실시예에 따르면, 검증부(120)는, 접근 프로세스의 프로세스 파일이 시스템에 저장된 시점이 기 설정된 특정 기간 이전인 경우, 모든 검증 중 프로세스 검증 외의 나머지 검증을 제외한 운영체제 행위 규칙을 기반으로, 접근 프로세스가 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증하는 것도 가능하다.
구체적으로, 검증부(120)는, 보호대상 파일에 수정 권한으로 접근하는 프로세스2가 확인되며, 프로세스2 파일이 시스템 즉 사용자 디바이스(200)에 저장된 시점이 기 설정된 특정 기간(예: 3년) 이전인 경우라면, 운영체제 행위 규칙에 포함되는 모든 검증 중 프로세스 검증 외의 나머지 검증을 제외한 운영체제 행위 규칙(프로세스 검증)을 기반으로, 접근 프로세스2가 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증할 수 있다.
이는, 시스템 즉 사용자 디바이스(200)에 저장된 이후 특정 기간(예: 3년)이 경과하도록 악성코드로 진단되지 않거나 또는 삭제되지 않고 지속적으로 실행된 프로세스 파일인 경우라면, 변경될 가능성이 없다고 보아도 무방한 파일 정보 및 해시 정보를 근거로 수행되는 프로세스 검증 과정에서만 정상 진단되더라도 화이트 프로세스로 보아도 무방할 것임에 기인한다.
이에, 전술의 실시예들을 종합해 보면, 만약 보호대상 파일에 수정 권한으로 접근하는 프로세스2가 확인되는 경우, 프로세스2가 화이트 프로세스로서 기 검증된 이력이 있고 프로세스2 파일이 시스템 즉 사용자 디바이스(200)에 저장된 시점이 기 설정된 특정 기간(예: 3년) 이전인 경우라면, 검증부(120)는, 프로세스2를 운영체제 행위 규칙 기반의 검증 없이도 화이트 프로세스인 것으로 검증(판단)할 수도 있을 것이다.
더 나아가, 룰작성부(140)는, 접근제어부(130)에서 위협 행위로 규정하고 차단한 접근 프로세스의 접근 행위를 분석하여, 악성코드 진단을 위한 악성행위 룰 작성에 활용할 수 있다.
전술한 바와 같이 본 발명의 행위 기반 실시간 접근 제어 시스템은, 시스템의 모든 정보(파일)을 대상으로 기 작성한 랜섬웨어 행위 룰을 기반으로 프로세스를 진단 및 차단하는 기존의 차단 기술(기법)과 달리, 특정한 보호대상 파일(폴더, 파일 종류)에 대해서만 허용되는 정형화된 규칙(운영체제 행위 규칙) 이외의 형태로 접근하는 프로세서를 모두 차단하는 방식의 차단 기술(기법)을 실현하고 있다.
이렇게 되면, 본 발명에서는, 파일을 임의로 변조시켜 사용 불가능 상태로 만드는 형태의 공격을 감행하는 악성코드(예: 랜섬웨어)를 진단하는데 있어서, 새로운 악성코드(예: 랜섬웨어)까지도 실시간으로 진단하여 차단할 수 있기 때문에 악성코드(예: 랜섬웨어) 차단율을 높일 수 있고, 정상 프로세스에 대한 오탐 가능성을 현저히 낮출 수 있기 때문에 사용성을 높일 수 있는 효과를 도출한다.
이하에서는, 도 2를 참조하여, 본 발명의 바람직한 실시예에 따른 행위 기반 실시간 접근 제어 방법을 보다 구체적으로 설명하도록 한다. 여기서, 설명의 편의를 위해 전술한 도 1에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다.
본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 본 발명이 적용될 보호대상 파일을 지정한다(S110).
구체적으로, 보호대상 파일은, 기 지정된 폴더 내의 모든 파일, 또는 기 지정된 폴더 내의 기 지정된 종류의 파일, 또는 폴더 제한 없이 기 지정된 종류의 파일을 의미할 수 있다.
이하에서는, 설명의 편의를 위해, 보호대상 파일로서 기 지정된 폴더 내에 저장된 기 지정된 표1의 종류에 따른 파일을 가정하여 설명하겠다.
아울러, 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 본 발명에서 활용할 운영체제 행위 규칙을 정의(작성)한다(S120).
구체적으로, 본 발명에서 기 정의하는 운영체제 행위 규칙은, 프로세스의 파일 정보 및 해시 정보를 근거로, 프로세스 파일의 변조 여부를 검증하는 프로세스 검증, 프로세스의 메모리 내 상태값을 근거로, 프로세스 파일 기반의 변조 여부를 검증하는 메모리 검증, 프로세스의 스택 경로를 검증하고 메모리 검증 상태로 화이트 주소 영역을 검증하는 스택 검증, 프로세스를 구성하는 스레드 단위로 각 시스템 정보에 근거하여 화이트 스레드가 맞는지 여부를 검증하는 스레드 검증, 프로세스를 구성하는 스레드 단위로 디버그 모드 여부를 검증하는 디버그 검증을 포함할 수 있다.
본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 파일시스템(210)에서 처리되는 I/O를 확인하여, 전술과 같이 기 지정된 보호대상 파일에 수정 권한으로 접근하는 프로세스가 어떤 프로세스인지를 확인할 수 있다(S130).
이하에서는 설명의 편의를 위해, 보호대상 파일에 수정 권한으로 전근하는 프로세스2가 확인된 경우로 가정하여 설명하겠다.
본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 보호대상 파일에 수정 권한으로 접근하는 프로세스 예컨대 프로세스2가 확인되면(S130), 보호대상 파일에 대하여 기 정의된 운영체제 행위 규칙을 기반으로, 금번 확인한 접근 프로세스2가 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증한다(S140~S180).
구체적으로 설명하면, 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 보호대상 파일에 수정 권한으로 접근하는 프로세스 예컨대 프로세스2가 확인되면(S130), 화이트 프로세스 검증 이력을 근거로 접근 프로세스2가 화이트 프로세스로서 기 검증된 이력이 있는지 확인한다(S140).
만약 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 접근 프로세스2가 화이트 프로세스로서 기 검증된 이력이 있는 경우(S140 Yes), 운영체제 행위 규칙에 포함되는 모든 검증 중 프로세스 검증을 제외할 수 있다(S150).
한편 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 접근 프로세스2가 화이트 프로세스로서 기 검증된 이력이 없는 경우(S140 No), 프로세스2 파일이 시스템 즉 사용자 디바이스(200)에 저장된 시점이 기 설정된 특정 기간(예: 3년) 이전인지 여부를 확인한다(S160).
물론, 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, S150단계 이후에도 프로세스2 파일이 시스템 즉 사용자 디바이스(200)에 저장된 시점이 기 설정된 특정 기간(예: 3년) 이전인지 여부를 확인한다(S160).
만약 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 프로세스2 파일이 시스템 즉 사용자 디바이스(200)에 저장된 시점이 기 설정된 특정 기간(예: 3년) 이전인 경우(S160 Yes), 운영체제 행위 규칙에 포함되는 모든 검증 중 프로세스 검증 외의 나머지 검증을 제외할 수 있다(S170).
이후, 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 운영체제 행위 규칙에 포함되는 모든 검증 과정에서 접근 프로세스2가 정상 검증되는 경우에만(S180 Yes), 접근 프로세스2를 운영체제 행위 규칙으로 접근하는 화이트 프로세스로 판단(진단)할 수 있다(S190).
구체적으로, 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 접근 프로세스2가 화이트 프로세스로서 기 검증된 이력이 없고(S140 No) 프로세스2 파일이 시스템 즉 사용자 디바이스(200)에 저장된 시점이 기 설정된 특정 기간(예: 3년) 이전이 아닌 경우(S160 No), 규칙 작성 시의 모든 검증 즉 프로세스 검증, 메모리 검증, 스택 검증, 스레드 검증, 디버그 검증이 포함된 운영체제 행위 규칙을 기반으로, 모든 검증 과정에서 접근 프로세스2가 정상 검증되는 경우에만(S180 Yes), 접근 프로세스2를 운영체제 행위 규칙으로 접근하는 화이트 프로세스로 판단(진단)할 수 있다(S190).
반면, 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 접근 프로세스2가 화이트 프로세스로서 기 검증된 이력이 있고(S140 Yes) 프로세스2 파일이 시스템 즉 사용자 디바이스(200)에 저장된 시점이 기 설정된 특정 기간(예: 3년) 이전이 아닌 경우(S160 No), 규칙 작성 시의 모든 검증 중 프로세스 검증이 제외되고 메모리 검증, 스택 검증, 스레드 검증, 디버그 검증이 포함되어 있는 운영체제 행위 규칙을 기반으로, 모든 검증 과정에서 접근 프로세스2가 정상 검증되는 경우에만(S180 Yes), 접근 프로세스2를 운영체제 행위 규칙으로 접근하는 화이트 프로세스로 판단(진단)할 수 있다(S190).
반면, 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 접근 프로세스2가 화이트 프로세스로서 기 검증된 이력이 없고(S140 No) 프로세스2 파일이 시스템 즉 사용자 디바이스(200)에 저장된 시점이 기 설정된 특정 기간(예: 3년) 이전인 경우(S160 Yes), 규칙 작성 시의 모든 검증 중 프로세스 검증 만이 포함되어 포함되어 있는 운영체제 행위 규칙을 기반으로, 프로세스 검증 과정에서 접근 프로세스2가 정상 검증되는 경우(S180 Yes), 접근 프로세스2를 운영체제 행위 규칙으로 접근하는 화이트 프로세스로 판단(진단)할 수 있다(S190).
반면, 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 접근 프로세스2가 화이트 프로세스로서 기 검증된 이력이 있고(S140 Yes) 프로세스2 파일이 시스템 즉 사용자 디바이스(200)에 저장된 시점이 기 설정된 특정 기간(예: 3년) 이전인 경우(S160 Yes), 활용할 운영체제 행위 규칙에는 규칙 작성 시의 모든 검증이 제외된 상태이므로, 프로세스2를 운영체제 행위 규칙 기반의 검증 없이도 화이트 프로세스인 것으로 검증(판단)할 수도 있을 것이다(S190).
본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, S190단계에서 접근 프로세스2가 화이트 프로세스인 경우에만, 금번 보호대상 파일에 대한 접근을 허용한다(S200).
한편, 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, S180단계에서 하나의 검증이라도 접근 프로세스2가 정상 검증에 실패하면(X180 No), 접근 프로세스2를 화이트 프로세스가 아닌 것으로 판단 및 위협 행위로 규정하고 접근 프로세스2에 의한 금번 수정 권한의 접근을 접근을 차단한다(S210).
그리고, 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 위협 행위로 규정하고 차단한 접근 프로세스2의 접근 행위를 분석하여, 악성코드 진단을 위한 악성행위 룰 작성에 활용할 수 있다(S220).
이상에서 설명한 바와 같이, 본 발명의 행위 기반 실시간 접근 제어 방법에 따르면, 파일을 임의로 변조시켜 사용 불가능 상태로 만드는 형태의 공격을 감행하는 악성코드(예: 랜섬웨어)를 진단하는데 있어서, 새로운 악성코드(예: 랜섬웨어)까지도 실시간으로 진단하여 차단할 수 있기 때문에 악성코드(예: 랜섬웨어) 차단율을 높일 수 있고, 정상 프로세스에 대한 오탐 가능성을 현저히 낮출 수 있기 때문에 사용성을 높일 수 있는 효과를 도출한다.
본 발명의 일 실시예에 따른 행위 기반 실시간 접근 제어 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 행위 기반 실시간 접근 제어 시스템
110 : 확인부 120 : 검증부
130 : 접근제어부 140 : 룰작성부
200 : 사용자 디바이스
210 : 파일시스템

Claims (12)

  1. 접근 제어 시스템에 의해 수행되는 행위 기반 실시간 접근 제어 방법에 있어서,
    기 지정된 보호대상 파일에 수정 권한으로 접근하는 프로세스를 확인하는 프로세스 확인단계;
    상기 보호대상 파일에 대하여 기 정의된 운영체제 행위 규칙을 기반으로, 상기 접근 프로세스가 상기 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증하는 프로세스 검증단계: 및
    상기 검증 결과, 상기 접근 프로세스가 화이트 프로세스인 경우에만 상기 보호대상 파일에 대한 상기 접근을 허용하고, 그 외에는 위협 행위로 규정하고 상기 접근을 차단하는 프로세스 접근제어단계를 포함하며;
    상기 프로세스 검증단계는,
    상기 운영체제 행위 규칙에 포함되는 모든 검증 중, 상기 접근 프로세스가 화이트 프로세스로서 기 검증된 이력이 있는지 여부 및 상기 접근 프로세스의 프로세스 파일이 시스템에 저장된 시점이 기 설정된 특정 기간 이전인지 여부 중 적어도 하나에 따른 특정 검증을 제외한 나머지 검증 만을 적용하는 운영체제 행위 규칙을 기반으로, 상기 접근 프로세스가 화이트 프로세스인지 여부를 검증하는 것을 특징으로 하는 행위 기반 실시간 접근 제어 방법.
  2. 제 1 항에 있어서,
    상기 운영체제 행위 규칙은,
    프로세스의 파일 정보 및 해시 정보를 근거로, 프로세스 파일의 변조 여부를 검증하는 프로세스 검증,
    프로세스의 메모리 내 상태값을 근거로, 프로세스 파일 기반의 변조 여부를 검증하는 메모리 검증,
    프로세스의 스택 경로를 검증하고 메모리 검증 상태로 화이트 주소 영역을 검증하는 스택 검증,
    프로세스를 구성하는 스레드 단위로 각 시스템 정보에 근거하여 화이트 스레드가 맞는지 여부를 검증하는 스레드 검증,
    프로세스를 구성하는 스레드 단위로 디버그 모드 여부를 검증하는 디버그 검증을 포함하는 것을 특징으로 하는 행위 기반 실시간 접근 제어 방법.
  3. 삭제
  4. 제 1 항에 있어서,
    상기 보호대상 파일은,
    기 지정된 폴더 내의 모든 파일, 또는 기 지정된 폴더 내의 기 지정된 종류의 파일, 또는 기 지정된 종류의 파일인 것을 특징으로 하는 행위 기반 실시간 접근 제어 방법.
  5. 제 2 항에 있어서,
    상기 프로세스 검증단계는,
    상기 접근 프로세스가 화이트 프로세스로서 기 검증된 이력이 있는 경우,
    상기 모든 검증 중 상기 프로세스 검증을 제외한 나머지 검증 만을 적용하는 운영체제 행위 규칙을 기반으로, 상기 접근 프로세스가 상기 나머지 검증 과정의 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증하는 것을 특징으로 하는 행위 기반 실시간 접근 제어 방법.
  6. 제 2 항에 있어서,
    상기 프로세스 검증단계는,
    상기 접근 프로세스의 프로세스 파일이 시스템에 저장된 시점이 기 설정된 특정 기간 이전인 경우,
    상기 모든 검증 중 상기 프로세스 검증 외의 나머지 검증을 제외한 운영체제 행위 규칙을 기반으로, 상기 접근 프로세스가 상기 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증하는 것을 특징으로 하는 행위 기반 실시간 접근 제어 방법.
  7. 제 1 항에 있어서,
    상기 접근 제어 시스템에 의해서, 상기 위협 행위로 규정하고 차단한 접근 프로세스의 접근 행위를 분석하여, 악성코드 진단을 위한 악성행위 룰 작성에 활용하는 룰 작성단계를 더 포함하는 것을 특징으로 하는 행위 기반 실시간 접근 제어 방법.
  8. 기 지정된 보호대상 파일에 수정 권한으로 접근하는 프로세스를 확인하는 확인부;
    상기 보호대상 파일에 대하여 기 정의된 운영체제 행위 규칙을 기반으로, 상기 접근 프로세스가 상기 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증하는 검증부; 및
    상기 검증 결과, 상기 접근 프로세스가 화이트 프로세스인 경우에만 상기 보호대상 파일에 대한 상기 접근을 허용하고, 그 외에는 위협 행위로 규정하고 상기 접근을 차단하는 접근제어부를 포함하며;
    상기 검증부는,
    상기 운영체제 행위 규칙에 포함되는 모든 검증 중, 상기 접근 프로세스가 화이트 프로세스로서 기 검증된 이력이 있는지 여부 및 상기 접근 프로세스의 프로세스 파일이 시스템에 저장된 시점이 기 설정된 특정 기간 이전인지 여부 중 적어도 하나에 따른 특정 검증을 제외한 나머지 검증 만을 적용하는 운영체제 행위 규칙을 기반으로, 상기 접근 프로세스가 화이트 프로세스인지 여부를 검증하는 것을 특징으로 하는 행위 기반 실시간 접근 제어 시스템.
  9. 제 8 항에 있어서,
    상기 운영체제 행위 규칙은,
    프로세스의 파일 정보 및 해시 정보를 근거로, 프로세스 파일의 변조 여부를 검증하는 프로세스 검증,
    프로세스의 메모리 내 상태값을 근거로, 프로세스 파일 기반의 변조 여부를 검증하는 메모리 검증,
    프로세스의 스택 경로를 검증하고 메모리 검증 상태로 화이트 주소 영역을 검증하는 스택 검증,
    프로세스를 구성하는 스레드 단위로 각 시스템 정보에 근거하여 화이트 스레드가 맞는지 여부를 검증하는 스레드 검증,
    프로세스를 구성하는 스레드 단위로 디버그 모드 여부를 검증하는 디버그 검증을 포함하는 것을 특징으로 하는 행위 기반 실시간 접근 제어 시스템.
  10. 삭제
  11. 제 9 항에 있어서,
    상기 검증부는,
    상기 접근 프로세스가 화이트 프로세스로서 기 검증된 이력이 있는 경우,
    상기 모든 검증 중 상기 프로세스 검증을 제외한 나머지 검증 만을 적용하는 운영체제 행위 규칙을 기반으로, 상기 접근 프로세스가 상기 나머지 검증 과정의 운영체제 행위 규칙으로 접근하는 화이트 프로세스인지 여부를 검증하는 것을 특징으로 하는 행위 기반 실시간 접근 제어 시스템.
  12. 제 1 항 내지 제 2항, 제 4 항 내지 제 7 항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.
KR1020170183136A 2017-12-28 2017-12-28 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법 KR102024053B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170183136A KR102024053B1 (ko) 2017-12-28 2017-12-28 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170183136A KR102024053B1 (ko) 2017-12-28 2017-12-28 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법

Publications (2)

Publication Number Publication Date
KR20190080591A KR20190080591A (ko) 2019-07-08
KR102024053B1 true KR102024053B1 (ko) 2019-09-24

Family

ID=67256793

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170183136A KR102024053B1 (ko) 2017-12-28 2017-12-28 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법

Country Status (1)

Country Link
KR (1) KR102024053B1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102311997B1 (ko) * 2019-08-27 2021-10-14 (주)하몬소프트 인공지능 행위분석 기반의 edr 장치 및 방법
KR102101250B1 (ko) 2019-09-11 2020-04-20 주식회사 아신아이 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템
KR102355868B1 (ko) * 2020-03-17 2022-01-27 주식회사 안랩 스레드에 의해 실행되는 동작의 실행 제한 여부를 결정하는 방법 및 상기 방법을 수행하는 사용자 장치
KR102343406B1 (ko) * 2020-05-06 2021-12-24 원유준 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램
KR102627064B1 (ko) * 2021-12-27 2024-01-23 (주)하몬소프트 인공지능 행위분석 기반의 엔드포인트 위협탐지 및 대응 장치

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8635705B2 (en) * 2009-09-25 2014-01-21 Intel Corporation Computer system and method with anti-malware
CN103620613B (zh) * 2011-03-28 2018-06-12 迈克菲股份有限公司 用于基于虚拟机监视器的反恶意软件安全的系统和方法
KR101337217B1 (ko) * 2012-02-21 2013-12-05 주식회사 안랩 컴퓨터 시스템과, 파일 및 행위 기반 복합룰 작성 시스템
KR20170119903A (ko) * 2016-04-20 2017-10-30 닉스테크 주식회사 랜섬웨어를 포함한 멀웨어 제어 방법 및 그 제어 장치

Also Published As

Publication number Publication date
KR20190080591A (ko) 2019-07-08

Similar Documents

Publication Publication Date Title
KR102024053B1 (ko) 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법
US11244051B2 (en) System and methods for detection of cryptoware
KR101804996B1 (ko) 집중형 동작 관리
KR101382222B1 (ko) 파일 시스템 가상화를 이용한 모바일 정보유출방지 시스템 및 방법
US9208315B2 (en) Identification of telemetry data
US20030221115A1 (en) Data protection system
JP2009259160A (ja) プログラムの不正起動防止システム及び方法
CN105637486A (zh) 内存完整性检查
CN107315973B (zh) 用于安全元数据修改的一般化验证方案
TWI659328B (zh) Computer system and file access control method
US9516031B2 (en) Assignment of security contexts to define access permissions for file system objects
JP5293151B2 (ja) コンテンツ保護装置及びコンテンツ保護プログラム
JP2008305377A (ja) ネットワーク記憶装置の侵入保護システムおよび方法
Kaczmarek et al. Operating system security by integrity checking and recovery using write‐protected storage
KR102034678B1 (ko) 데이터파일 접근 제어 기반의 악성 차단 시스템 및 악성 차단 방법
KR102518980B1 (ko) 컨테이너 이미지에 대한 악성 코드를 분석 및 처리하는 방법, 장치 및 컴퓨터-판독 가능 기록 매체
CN111538972A (zh) 用于验证文件的数字签名中的攻击复原的系统和方法
JP6123350B2 (ja) 検証装置、検証方法、及びプログラム
JP5126495B2 (ja) 安全度評価と連動するセキュリティの方針設定装置、そのプログラムおよびその方法
Beri et al. Dynamic software component authentication for autonomous systems using slack space
CN104751069A (zh) 数据安全存取方法及其系统
JP4710232B2 (ja) 電子データの証拠性を保証しながら同データを保管する電子データ保管システム
JP6697038B2 (ja) 情報処理装置、検証方法および検証プログラム
CN111538971B (zh) 用于验证文件的数字签名的系统和方法
KR102542007B1 (ko) 외부 저장소에 저장된 파일을 보호하는 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant