KR102101250B1 - 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템 - Google Patents

파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템 Download PDF

Info

Publication number
KR102101250B1
KR102101250B1 KR1020190113122A KR20190113122A KR102101250B1 KR 102101250 B1 KR102101250 B1 KR 102101250B1 KR 1020190113122 A KR1020190113122 A KR 1020190113122A KR 20190113122 A KR20190113122 A KR 20190113122A KR 102101250 B1 KR102101250 B1 KR 102101250B1
Authority
KR
South Korea
Prior art keywords
file
folder
document
role
monitoring
Prior art date
Application number
KR1020190113122A
Other languages
English (en)
Inventor
권진현
나상국
육성수
김진일
이창식
Original Assignee
주식회사 아신아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아신아이 filed Critical 주식회사 아신아이
Priority to KR1020190113122A priority Critical patent/KR102101250B1/ko
Application granted granted Critical
Publication of KR102101250B1 publication Critical patent/KR102101250B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

시작 감시 파일과 마지막 감시 파일을 포함하는 적어도 2개의 감시 파일이 사전에 정해진 감시 폴더에 저장되고, 감시 파일의 접근 여부로 감시 폴더의 접근을 감지하여 감시 폴더 내의 파일 변조 여부를 판단하고, 해당 프로세스를 역할로 통제하는, 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 관한 것으로서, 프로세스 역할이 없는 경우, 시작 감시 파일을 접근할 때 감시 폴더에 대한 감시 시작을 요청하고, 감시 폴더 내의 파일(이하 폴더 파일)을 접근할 때 해당 폴더 파일의 문서 파일 여부 또는 생성 여부를 판단하도록 요청하고, 마지막 감시 파일을 접근할 때 감시 폴더의 폴더 파일의 문서 파일 여부 또는 생성 여부를 이용하여 해당 프로세스의 역할 통제 여부를 결정하는, 문서접근 감시부; 감시 폴더의 감시가 시작되면, 감시 폴더 내의 감시파일 외 파일(이하 폴더 파일)의 문서파일 여부 및 생성 여부를 판단하고, 생성된 파일이 아니고 문서파일인 경우 문서파일 리스트로 관리하고, 생성된 파일이고 문서파일이 아닌 경우 일반파일 리스트로 관리하고, 감시 폴더의 감시가 종료될 때 문서파일 리스트의 파일 변조 여부 또는 일반파일 리스트의 파일 수를 이용하여 해당 프로세스의 변조 역할 여부를 판단하고, 변조 역할인 경우 해당 프로세스에 역할 통제를 부여하는, 프로세스 역할 판단부; 상기 프로세스 역할 판단부로부터 프로세스 역할 및 역할 통제 정책을 전달받아, 해당 프로세스에 부여하는 역할정책 저장부; 및, 프로세스가 파일을 접근하려 할 때, 해당 프로세스의 역할 및 역할 통제 정책을 적용하여 파일의 접근을 차단하는 역할정책 통제부를 포함하는 구성을 마련한다.
상기와 같은 접근 통제 시스템에 의하여, 감시 파일에 대한 변조가 발생하지 않더라도 감시 폴더의 파일을 접근하면 파일의 시그니처를 분석하고, 문서 포맷 파일이면 최종적으로 등록된 문서 파일 파일의 경로를 분석하고 문서 시그니처를 가지고 있는지 판단함으로써, 감시 파일 변조를 회피하는 방식을 사용하여도 문서 변조 행위를 탐지할 수 있다.

Description

파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템 { A document file access control system based on role of process via file signature analysis }
본 발명은 랜섬웨어와 같은 악성코드가 문서를 암호화하여 변조하는 행위를 분석하기 위한 것으로서, 문서 시그니처를 가지는 문서 포맷 파일이 암호화되어 문서 시그니처가 변조된 경우 문서 변조 프로세스 역할을 부여하고 역할 통제 정책을 설정하여 추가적인 문서의 변조 행위를 통제하는, 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 관한 것이다.
특히, 본 발명은 사용자가 로그인하면 기본 감시 폴더와 사용자 감시 폴더에 감시 파일을 추가하고, 감시 폴더의 파일을 변조하기 위하여 문서 파일을 접근할 때 파일의 시그니처 값을 분석하고, 문서 포맷 파일인 경우 이를 감시 폴더의 문서 파일 리스트에 저장하고, 감시 폴더에 생성된 파일의 시그니처 값을 분석한 결과 문서 포맷 파일이 아닌 경우 이를 감시 폴더의 일반 파일 리스트에 저장하고, 마지막 감시 파일을 접근할 때 문서 파일 리스트에 등록된 문서 파일이 문서 포맷이 아닌 파일로 변조되었거나, 삭제된 문서 파일의 수와 생성된 일반 파일의 수가 일치하는 경우 프로세스가 문서를 암호화하여 저장한 것으로 판단하고, 문서 변조 역할을 프로세스 정보 목록에 설정하고, 역할 통제 정책을 커널 계층의 드라이버에 설정하여, 추가적으로 프로세스에 의하여 다른 폴더에 있는 문서 파일의 변조를 통제한다.
또한, 종래기술은 악성코드의 문서 변조 행위를 차단할 때, 감시 파일에 대한 변조 여부만을 판단하므로, 프로세스가 알려진 감시 폴더의 파일 변조를 회피하고 일반 문서만 변조하면 문서 파일을 변조하는 행위를 전혀 통제할 수 없었다. 본 발명은 감시 파일에 대한 변조가 발생하지 않더라도 감시 폴더의 파일을 접근하면 파일의 시그니처를 분석하고, 문서 포맷 파일이면 이를 감시 폴더의 문서 파일 리스트에 저장하여, 최종적으로 등록된 문서 파일 파일의 경로를 분석하고 문서 시그니처를 가지고 있는지 판단하기 때문에, 감시 파일 변조를 회피하는 방식을 사용하여도 문서 변조 행위를 탐지할 수 있다.
또한 본 발명은 단순한 파일의 변조 행위를 탐지하는 방식이 아니라 암호화 변조만 탐지하기 때문에, 정상적인 문서 저장 행위를 악성코드에 의한 파일 변조로 오탐하는 경우를 방지할 수 있다.
또한 본 발명은 문서 암호화를 통한 변조라고 판단하면, 프로세스의 정보 목록에 문서 변조 역할을 설정하고 역할 통제 정책도 설정하여, 역할이 설정된 프로세스가 문서 파일을 접근하여 문서 파일을 쓰기, 삭제, 파일명 변경에 대하여 역할 통제 정책에 따라 접근을 차단할 수 있다.
현재 랜섬웨어, 지능형 지속 위협, 정보 유출 등 사이버 위협은 나날이 증가하고 있고, 알려진 공격방식은 물론 알려지지 않은 새로운 위협들이 속속 출현하고 있다. 따라서 엔드포인트 단말 보호를 위해, 알려져 있는 악성코드를 탐지하는 솔루션만을 의존할 수 없게 되었다. 알려지지 않은 악성코드에 의해서 엔드포인트 단말의 자료들을 암호화해서 사용할 수 없도록 한 후, 암호를 풀어주는 대가로 돈을 요구하는 행위도 급증하고 있다.
따라서 알려지지 않은 악성코드 중 특히 랜섬웨어로 인한 피해가 증가함에 따라 이를 탐지 및 차단하기 위하여 엔트포인트 보안 솔루션에서 다양한 차단 기능들이 적용되고 있다. 엔드포인트 보안 솔루션의 랜섬웨어 탐지 및 차단 방법으로는 미끼 파일을 이용한 탐지 기능[특허문헌 1], 파일 확장자 모니터링을 이용한 탐지 기능[특허문헌 2], 랜섬웨어의 파일 접근 패턴을 모니터링을 이용한 탐지 기능[특허문헌 3] 등이 있다.
그러나 이러한 종래 기술은 미끼파일 등 감시 파일만을 감시하여, 악성코드가 파일을 암호화하기 위하여 미끼파일 등을 변조하면 랜섬웨어 프로세스로 판단한다. 따라서 랜섬웨어 프로세스가 알려진 감시 파일을 회피하여 문서 파일을 암호화 변조하면, 종래 기술은 이러한 악성 행위를 탐지할 수 없는 문제점이 있다.
한국등록특허 제10-2000369호(2019.07.15.공고) 한국공개특허 제10-2019-0091696호(2019.08.07.공개) 한국공개특허 제10-2019-0080591호(2019.07.08.공개)
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 시작 감시파일 접근 시부터 마지막 감시파일 접근 시까지 접근하는 파일을 분석하고, 감시 폴더에서 접근하는 파일 시그니처 값을 분석하고, 문서 포맷 파일인 경우 해당 파일을 저장하고, 최종적으로 파일 시그니처 값이 문서 파일 시그니처 값이 아닌 파일로 변경되거나 삭제된 문서 파일의 수와 생성된 일반 파일 수가 동일하면, 암호화를 통한 변조 행위로 판단하여, 프로세스 정보 구조체에 문서 변조 역할을 설정하고, 역할 통제 정책을 설정하고, 역할이 설정된 프로세스는 추가적인 파일의 쓰기, 파일명 변경, 삭제 행위를 차단하는, 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템을 제공하는 것이다.
특히, 본 발명의 목적은 문서 파일에 대한 변조 행위 여부를 판단할 때 파일에 대한 단순한 변경 행위를 판단하는 것이 아니라 파일의 시그니처 값이 문서 시그니처가 아닌 값을 가진 파일로 변경되었는지 여부를 판단하고, 판단 결과 프로세스가 암호화를 통한 문서 변조 행위를 하는 프로세스이면 프로세스 역할과 역할 통제 정책을 커널 계층의 드라이버 모듈에 설정하는, 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템을 제공하는 것이다.
또한, 본 발명은 역할이 부여된 프로세스가 다른 문서 파일을 변조하기 위하여 접근할 때, 역할 통제 정책을 적용하여 파일에 대한 쓰기, 파일명 변경, 삭제의 행위를 차단하고, 역할이 부여되지 않은 일반 프로세스는 역할 통제 정책이 존재하지 않기 때문에 문서 파일에 대한 접근이 허용되게 된다.
즉, 본 발명의 목적은 파일의 시그니처 값이 문서 파일 시그니처 값이 아닌 파일로 변경되었는지 여부에 따라 암호화를 통한 문서 변조 행위로 판단하여, 프로세스 역할 및 역할 통제 정책을 적용하고, 다음 문서 파일에 대한 변조 행위를 시도하는 경우 이 행위를 차단하는, 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명은 시작 감시 파일과 마지막 감시 파일을 포함하는 적어도 2개의 감시 파일이 사전에 정해진 감시 폴더에 저장되고, 감시 파일의 접근 여부로 감시 폴더의 접근을 감지하여 감시 폴더 내의 파일 변조 여부를 판단하고, 해당 프로세스를 역할로 통제하는, 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 관한 것으로서, 프로세스 역할이 없는 경우, 시작 감시 파일을 접근할 때 감시 폴더에 대한 감시 시작을 요청하고, 감시 폴더 내의 파일(이하 폴더 파일)을 접근할 때 해당 폴더 파일의 문서 파일 여부 또는 생성 여부를 판단하도록 요청하고, 마지막 감시 파일을 접근할 때 감시 폴더의 폴더 파일의 문서 파일 여부 또는 생성 여부를 이용하여 해당 프로세스의 역할 통제 여부를 결정하는, 문서접근 감시부; 감시 폴더의 감시가 시작되면, 감시 폴더 내의 감시파일 외 파일(이하 폴더 파일)의 문서파일 여부 및 생성 여부를 판단하고, 생성된 파일이 아니고 문서파일인 경우 문서파일 리스트로 관리하고, 생성된 파일이고 문서파일이 아닌 경우 일반파일 리스트로 관리하고, 감시 폴더의 감시가 종료될 때 문서파일 리스트의 파일 변조 여부 또는 일반파일 리스트의 파일 수를 이용하여 해당 프로세스의 변조 역할 여부를 판단하고, 변조 역할인 경우 해당 프로세스에 역할 통제를 부여하는, 프로세스 역할 판단부; 상기 프로세스 역할 판단부로부터 프로세스 역할 및 역할 통제 정책을 전달받아, 해당 프로세스에 부여하는 역할정책 저장부; 및, 프로세스가 파일을 접근하려 할 때, 해당 프로세스의 역할 및 역할 통제 정책을 적용하여 파일의 접근을 차단하는 역할정책 통제부를 포함하는 것을 특징으로 한다.
또, 본 발명은 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 있어서, 상기 감시 파일의 파일명은 맨 앞부분의 문자열(이하 접두어)을 사전에 정해진 범위 내의 문자열로 설정되고, 상기 감시 파일의 접두어는 사전에 정해진 길이로 설정되고, 상기 감시 파일의 접두어는 파일명으로 사용가능한 문자열 중에서 이름 순으로 순위가 높은 순의 범위 내 또는 순위가 낮은 순의 범위 내에서 랜덤하게 설정되고, 시작 감시 파일은 가장 높은 범위의 이름 순위를 가지는 파일명의 접두어를 가지고, 마지막 감시 파일은 가장 낮은 범위의 이름 순위를 가지는 파일명의 접두어를 가지는 것을 특징으로 한다.
또, 본 발명은 상기 문서접근 감시부는, 프로세스가 시작 감시 파일을 접근하는 경우, 감시 파일의 폴더(이하 감시 폴더)의 경로와, 감시 파일의 경로를, 감시폴더 목록에 추가하여 저장하고, 감시 폴더의 경로를 전달하면서 상기 프로세스 역할 판단부를 호출하고, 해당 감시 폴더에 대한 감시 시작을 요청하고, 프로세스가 폴더 파일을 접근하는 경우, 폴더 파일의 경로, 파일 행위 정보를 전달하면서 상기 프로세스 역할 판단부를 호출하고, 해당 감시 폴더의 폴더 파일들의 감시를 요청하고, 프로세스가 마지막 감시 파일을 접근하는 경우, 마지막 감시 파일의 감시 폴더를 감시폴더 목록에서 삭제하고, 감시 폴더의 경로를 전달하면서 상기 프로세스 역할 판단부를 호출하고, 해당 감시 폴더에 대한 감시 종료를 요청하는 것을 특징으로 한다.
또, 본 발명은 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 있어서, 상기 문서접근 감시부는, 접근 파일의 경로가 감시파일 목록에는 존재하나 접근 파일의 폴더 경로가 감시폴더 목록에 존재하지 않으면, 시작 감시 파일의 접근의 경우로 판단하고, 접근 파일의 경로가 감시파일 목록에는 존재하지 않으나 접근 파일의 폴더 경로가 감시폴더 목록에 존재하면, 폴더 파일의 접근의 경우로 판단하고, 접근 파일의 경로가 감시파일 목록에 존재하고 접근 파일의 폴더 경로가 감시폴더 목록에 존재하나 접근 파일의 경로가 감시폴더 목록에 존재하지 않으면, 마지막 감시 파일의 접근의 경우로 판단하는 것을 특징으로 한다.
또, 본 발명은 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 있어서, 상기 프로세스 역할 판단부는, 상기 문서접근 감시부의 요청에 따라 수행되고, 감시 시작 요청을 받으면, 해당 감시 폴더에 대한 문서파일 리스트 및 일반파일 리스트를 생성하여 폴더파일 목록에 추가하여 등록하고, 감시 폴더의 폴더 파일의 감시 요청을 받으면, 폴더 파일의 시그니처 값을 분석하여, 그 결과에 따라 폴더파일 목록의 문서파일 리스트 또는 일반파일 리스트에 등록하고, 감시 폴더의 종료 요청을 받으면, 폴더파일 목록에 저장된 해당 감시 폴더의 문서파일 리스트 및 일반파일 리스트의 파일들을 분석하여 문서 변조 여부를 판단하고, 변조된 경우 해당 프로세스에 대한 문서 변조 역할 및 문서 변조 역할 정책을 상기 역할정책 저장부에 전달하는 것을 특징으로 한다.
또, 본 발명은 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 있어서, 상기 프로세스 역할 판단부는, 감시 폴더의 폴더 파일을 접근할 때, 해당 파일의 시그니처 값을 분석하여 문서 시그니처 값과 일치하는 파일인 경우 문서 포맷 파일로 판단하여 폴더파일 목록의 문서 파일 리스트에 파일 경로를 추가하고, 감시 폴더에서 파일이 생성되면 해당 파일의 시그니처 값을 분석하고 문서 시그니처 값과 일치하지 않으면 문서 파일이 아닌 파일로 판단하여 폴더파일 목록의 일반 파일 리스트에 파일 경로를 추가하고, 문서파일 리스트에 등록된 문서 파일이 있는 경우 등록된 문서 파일의 시그니처 값을 추출하여 문서 포맷 파일 여부를 판단하여 폴더 파일이 문서 포맷이 아닌 파일로 변조되어 있거나, 삭제된 문서 파일의 수와 일반파일 리스트에 등록된 파일의 수를 비교하여 일치하면, 문서 변조 역할 프로세스라 판단하는 것을 특징으로 한다.
또, 본 발명은 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 있어서, 상기 서버 접근 통제 시스템은, 사용자가 로그인 하면, 감시정보 목록에 기본 감시 폴더와 사용자 감시 폴더에 감시 파일이 존재하는지 확인하고, 존재하지 않으면 감시 파일을 생성하고, 생성된 감시 파일의 경로를 감시정보 목록에 추가하고, 감시정보 목록의 감시폴더 경로를 상기 문서접근 감시부로 전달하여 감시파일 목록에 추가하도록 하는 사용자 로그인 감시부를 더 포함하는 것을 특징으로 한다.
또, 본 발명은 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 있어서, 상기 문서접근 감시부, 상기 역할정책 저장부, 및, 상기 역할정책 통제부는 상기 운영체제의 커널 계층에 구성되고, 상기 프로세스 역할 판단부는 상기 운영체제의 사용자 계층에 구성되는 것을 특징으로 한다.
또한, 본 발명은 랜섬웨어와 같이 암호화를 통하여 문서 변조 행위를 하는 악성코드를 탐지하기 위하여 사용자가 로그인한 경우 악성코드가 파일을 변조하기 위하여 우선적으로 접근하는 기본 감시 폴더와 사용자 감시 폴더에 파일 접근 행위를 탐지하기 위한 감시 파일을 자동으로 생성한다.
또한, 본 발명은 프로세스가 감시 파일을 접근할 때 파일이 포함되어 있는 폴더를 감시폴더로 추가하여 감시폴더 내의 다른 파일을 접근할 때 파일의 시그니처 값이 문서 시그니처 값인지 분석하고, 문서 포맷 파일인 경우 접근한 파일의 경로를 감시폴더 목록의 문서 파일 리스트에 저장하고, 감시폴더에 생성된 파일의 시그니처 값이 문서 시그니처 값이 아닌 경우 생성된 파일의 경로를 감시폴더 목록의 일반 파일 리스트에 저장한다. 그리고 프로세스가 감시 폴더에 등록된 감시 파일 외 파일을 접근할 때 폴더파일 목록에 저장된 문서 구조 파일과 생성된 문서 구조가 아닌 파일을 분석하여 문서 변조 역할을 하는 프로세스로 판단한다. 이 경우, 해당 프로세스에 대해 프로세스 역할 및 역할 통제 정책을 설정하고, 역할이 설정된 프로세스가 다음 문서 파일을 접근할 때 역할 통제 정책을 적용하여 문서 파일의 변조를 차단한다.
또한, 본 발명은 상기 컴퓨터 단말에서 사용자 로그인 여부를 판단하여 사용자가 로그인 하면 기본 감시 폴더와 사용자 감시 폴더에 감시 파일을 생성한 다음 생성한 감시 파일 목록을 문서 접근 감시부에 추가하고 사용자가 로그오프하면 감시 폴더에서 감시 파일을 삭제하고 문서 접근 감시부에서 감시 파일을 삭제하는 사용자 로그인 감시부; 상기 프로세스 역할을 조회하여 프로세스 역할이 존재하는 경우 역할 기반 정책 통제부에 프로세스 역할을 전달하고, 프로세스가 접근하는 파일의 경로가 최초 감시 파일 목록에 존재하는 경우 감시폴더 목록에 폴더 경로를 추가하여 감시 기능을 활성화하고 다른 경로의 감시 파일을 접근할 때까지 감시 폴더의 경로와 상위 폴더의 경로가 일치하는 파일의 경로를 프로세스 역할 판단부에 전달하는 문서 접근 감시부; 상기 감시 폴더의 파일을 접근할 때 접근하는 파일의 시그니처 값이 문서 파일 시그니처 값이면 감시 폴더의 문서 파일 리스트에 파일 경로를 저장하고 감시 폴더에 생성된 파일의 시그니처 값이 문서파일 시그니처 값이 아닌 파일이면 감시 폴더의 일반 파일 리스트에 경로를 저장한 다음 감시 폴더에 등록된 감시 파일과 다른 경로의 파일을 접근하면 감시 폴더에 등록된 문서 파일 리스트의 파일의 시그니처 값이 문서 시그니처 값이 아닌 파일로 변경되어 있거나, 삭제된 문서 파일의 수와 생성된 일반 파일의 수가 일치하는 경우 이를 암호화를 통한 문서 파일 변조라고 판단하여 문서 변조 역할 및 역할 통제 정책을 역할 정책 저장부에 저장하는 프로세스 역할 판단부; 프로세스 역할 판단부에서 전달된 프로세스 역할을 프로세스 정보 목록에 저장하고, 역할 통제 정책을 역할 통제 정책 목록에 저장하는 역할 정책 저장부; 및, 상기 컴퓨터 단말에서 역할이 부여된 프로세스가 문서 파일을 접근할 때 역할 통제 정책을 적용하여 문서 파일에 대한 쓰기, 삭제, 파일명 변조 행위를 차단하는 역할 정책 통제부를 포함한다.
또한, 본 발명은 상기 프로세스 역할 판단부가 감시 폴더에 존재하는 파일을 접근할 때 파일의 시그니처 값과 문서 파일 시그니처 값을 비교하여 일치하는 값이 있으면 문서 포맷 파일의 경로를 폴더파일 목록의 감시폴더의 문서 파일 리스트에 저장하고, 감시 폴더에 생성된 파일의 시그니처 값이 문서 파일의 시그니처 값과 일치하지 않으면 생성된 파일의 경로를 폴더파일 목록의 일반 파일 리스트에 저장하고, 감시 폴더에 저장된 감시 파일과 다른 감시 경로의 파일을 접근할 때 저장된 문서 파일 리스트의 파일 시그니처 값이 문서 시그니처 값이 아닌 파일로 변경되었거나 삭제된 문서 파일 리스트의 수와 생성된 일반 파일의 수가 일치하면, 암호화를 통한 문서 변조 행위로 판단하여 문서 변조 프로세스 역할을 설정하고 문서 변조 행위를 차단하기 위하여 역할 통제 정책을 설정한다.
또한, 본 발명은 상기 사용자 로그인 감시부가 컴퓨터 단말에 사용자가 로그인 할 때, 로그인 사용자 명을 조회하여 기본 감시 폴더와 사용자 감시 폴더에 최초로 조회되기 위한 감시 파일을 생성하고 마지막으로 조회되기 위한 감시 파일을 생성한 후 파일에 숨김 설정을 하여 감시 파일에 대한 생성을 최소화하면서 효율적으로 문서 접근 행위를 감시할 수 있도록 파일을 배치한다.
또한, 본 발명은 상기 역할 정책 통제부가 문서 변조 역할 프로세스가 문서 파일을 접근할 때, 역할 통제 정책을 조회하고, 조회된 역할 정책을 기반으로 문서 파일의 쓰기, 삭제, 파일명 변경 차단하여 문서 파일에 대한 변조를 차단한다.
상술한 바와 같이, 본 발명에 따른 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 의하면, 알려지지 않은 악성코드가 탐지 회피를 위하여 감시 파일을 변조하지 않더라도 접근과 동시에 감시 기능이 활성화되고, 감시 폴더에 존재하는 파일을 접근할 때 접근하는 파일 시그니처 값과 문서 시그니처 값이 일치하면 폴더파일 목록의 문서 파일 리스트에 파일 경로를 추가하고, 감시 폴더에 생성된 파일의 시그니처 값이 문서 시그니처 값이 아니면 폴더파일 목록의 일반 파일 리스트에 파일 경로를 추가한 다음, 폴더파일 목록의 설정된 감시 파일과 다른 경로의 감시 파일을 접근할 때, 감시 폴더 목록의 문서 파일 리스트의 파일 시그니처 값이 문서 파일 시그니처 값이 아닌 파일로 변경되었거나 삭제된 문서 파일의 수와 생성된 일반 파일의 수가 일치하는 경우, 이를 암호화를 통한 문서 변조 행위로 판단하여 문서 변조 역할을 프로세스 정보 목록에 설정하고 역할 통제 정책을 설정하여 추후 접근하는 문서 파일에 대하여 쓰기, 삭제, 파일명 변경 행위를 차단한다.
즉, 프로세스가 문서 파일의 내용을 단순하게 변경하거나 문서 파일을 삭제하는 행위는 암호화를 통한 문서 변조 행위로 판단하지 않지만 문서 파일이 가지고 있는 시그니처 값이 변경되거나 삭제된 문서 파일의 수와 생성된 일반 파일의 수가 동일한 경우, 이를 암호화에 의한 문서 변조라 판단하고, 문서 변조 프로세스 역할 및 역할 통제 정책을 설정하여, 역할이 설정된 프로세스가 추후 다른 문서 파일들을 암호화하기 위하여 쓰기, 삭제, 파일명 변경 행위를 시도하는 경우 이를 차단한다. 즉, 암호화를 통한 문서 변조 행위를 차단할 수 있는 효과가 얻어진다.
또한, 본 발명에 따른 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 의하면, 감시 파일의 변조 여부를 기반으로 프로세스의 랜섬웨어 여부를 판단하는 것이 아니라 감시 폴더 내의 파일의 시그니처 값이 문서 시그니처 값에서 문서 시그니처 값이 아닌 파일로 변조된 경우만, 즉, 암호화를 통한 문서 변조 행위를 한 경우에만, 랜섬웨어로 판단하기 때문에, 감시 파일 변조 여부만 분석하는 기존의 기술에 비하여, 프로세스가 단순하게 감시 파일을 변조하거나 삭제하는 행위만으로 랜섬웨어로 오판하는 문제점을 해결하고, 알려진 감시 파일은 변조하지 않고 일반 문서 파일만을 변조하려는 랜섬웨어의 분석 회피 노력을 차단할 수 있는 효과가 얻어진다.
또한, 본 발명에 따른 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 의하면, 랜섬웨어를 탐지하기 위하여 고정된 위치에 미끼 파일(감시 파일)을 배치하여 문서 변조 행위를 분석하는 기존의 기술에 비하여, 사용자 로그인 행위를 감시하여 사용자가 로그인하면 사용자가 문서를 저장하기 위한 폴더와 파일을 조회하기 위하여 먼저 접근하는 기본 폴더에 감시 파일을 배치하고, 사용자가 로그오프 하면 필요 없는 사용자 문서 폴더의 감시 파일을 제거함으로써, 불필요한 감시 파일의 증가를 방지하는 동시에, 효율적으로 감시 파일을 배치하여 랜섬웨어의 문서 변조 행위를 신속하게 판단할 수 있는 효과가 얻어진다.
도 1은 본 발명을 실시하기 위한 전체 시스템에 대한 구성도.
도 2는 본 발명의 일실시예에 따른 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템의 구성에 대한 블록도.
도 3은 본 발명의 일실시예에 따른 사용자 로그인 감시부의 구성에 대한 블록도.
도 4는 본 발명의 일실시예에 따른 문서 접근 감시부의 구성에 대한 블록도.
도 5는 본 발명의 일실시예에 따른 프로세스 역할 판단부의 구성에 대한 블록도.
도 6은 본 발명의 일실시예에 따른 역할 정책 저장부의 구성에 대한 블록도.
도 7은 본 발명의 일실시예에 따른 역할 정책 통제부의 구성에 대한 블록도.
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
먼저, 본 발명을 구현하기 위한 전체 시스템의 구성의 예에 대하여 도 1을 참조하여 설명한다.
도 1에서 보는 바와 같이, 본 발명은 통상의 서버 시스템 내에서 구현된다. 즉, 본 발명의 실시를 위한 전체 시스템은 서버 시스템 상에서의 하드웨어 장치(80), 운영체제(OS, 20), 상기 운영체제 상에서 수행되는 프로세스(10), 문서통제 모듈(30), 문서분석 모듈(40), 및, 감시 파일이나 역할통제 정책을 저장하기 위한 데이터베이스(50)로 구성된다.
먼저, 하드웨어 장치(80)는 하드디스크, USB와 같은 저장장치 자원을 말한다. 프로세스(10)가 문서 파일에 접근하여 문서 파일에 생성, 쓰기, 삭제, 파일명 변경 행위를 하는 경우, 커널 계층을 통하여 생성된 파일 또는 변조된 내용이 하드웨어(80)에 저장된다. 즉, 하드웨어(80)의 저장장치에 파일이 생성되어 저장되거나, 프로세스(10)에 의해 변조된 내용이 파일에 반영되어 저장된다.
또한, 운영체제(20)는 서버 시스템에서 구동되는 통상의 운영체제(operating system)이다. 운영체제(20)는 사용자 계층과 커널 계층으로 구분하여 작업을 처리하며, 통상의 실행파일을 사용자 계층에서 프로세스로 실행시켜준다. 운영체제(20)의 커널계층은 사용자 계층에서 실행되는 프로세스의 시스템콜을 처리하는 시스템 처리모듈, 하드웨어 장치(80)을 제어하기 위한 드라이버 등으로 구성된다. 호출된 시스템콜은 커널계층의 시스템 처리모듈에서 처리되어, 필요한 경우 드라이버에 의해 시스템 자원 또는 하드웨어 장치(80)에 접근한다.
다음으로, 프로세스(10)는 실행 파일이 서버의 운영체제 상에서 실행되어 운영되고 있는 상태를 말하는 것으로서, 프로그램이라 부르기도 한다.
프로세스(10)는 하드웨어 장치(80)에 저장된 파일에 접근하기 위하여 시스템콜을 호출하고, 커널 계층의 시스템콜 함수는 프로세스(10)의 요청에 따라 하드웨어 장치(80)에 저장된 파일을 생성, 쓰기, 삭제, 파일명 변경 등의 행위(또는 파일 작업)를 수행한다. 필요한 경우 그 결과를 프로세스(10)로 회신한다.
또한, 프로세스(10)는 파일에 접근하여 파일 작업(또는 행위)을 수행할 수 있다. 이때, 파일에 대한 단순한 접근(또는 파일 단순 접근)은 열기(또는 읽기, read, open), 닫기(close) 등 파일 변경 없이 처리하는 파일 작업이라 부르기로 한다. 또한, 변조 작업은 쓰기(write), 삭제(delete), 파일명 변경(rename) 등 파일을 변경(변조)하는 파일 작업이라 부르기로 한다. 한편, 넓은 의미에서 파일 접근은 좁은 의미의 파일 단순 접근 작업과, 변조 작업을 포함하는 개념으로 설명한다.
또한, 프로세스(10)는 새로운 파일을 생성하는 작업을 수행할 수 있다. 랜섬웨어 등 악성 코드는 해당 문서 파일을 암호화 하여 새로운 파일을 생성하고, 원래의 문서 파일을 삭제할 수 있다. 이때, 랜섬웨어 등 악성 프로세스(10)가 새로운 파일의 생성을 요청할 수 있다.
다음으로, 문서통제 모듈(30)은 역할이 설정되지 않는 프로세스의 감시 폴더 파일의 접근 행위를 감시하고, 감시 폴더 파일이 암호화되어 변조된 것으로 판단하면 해당 프로세스에 대해 역할 및 역할통제 정책을 설정하고, 역할이 설정된 프로세스에 대해서는 해당 프로세스의 역할에 부여된 역할통제 정책에 따라 해당 프로세스의 파일 접근을 통제한다.
즉, 문서통제 모듈(30)은 역할이 설정되지 않는 프로세스가 접근하는 파일을 모니터링 하여, 해당 파일이 암호화 변조되는 것을 감시한다. 랜섬웨어는 파일을 암호화 하여 변조시키므로, 해당 파일이 암호화 변조된 것은 랜섬웨어에 의한 것으로 유추될 수 있다. 따라서 해당 파일이 암호화 변조된 것으로 판단하면, 해당 파일의 작업을 요청한 프로세스에 변조 역할 및, 변조 역할통제 정책을 부여하여, 해당 프로세스가 더 이상 변조 작업을 하지 못하도록 차단시킨다. 즉, 해당 파일의 프로세스, 즉, 랜섬웨어의 프로세스를 역할 통제시켜, 추가적인 변조 작업을 차단시킨다.
다음으로, 문서분석 모듈(40)은 감시 폴더에 존재하는 문서 포맷 파일(또는 문서 파일)에 대하여 암호화를 통한 파일 변조 여부를 판단하고, 파일이 암호화 변조된 것으로 판단되면 해당 프로세스에 대해 역할통제 정책을 설정한다.
즉, 문서분석 모듈(40)은 프로세스(10)에 의해 감시 폴더 내의 기존 파일이 최초로 접근되면, 해당 파일이 문서 파일인지 여부를 판단한다. 이때, 문서 시그니처를 이용하여 문서 파일 여부를 판단한다. 그리고 해당 파일이 문서 파일로 판단되면 문서파일 리스트로 관리한다.
그리고 문서분석 모듈(40)은 프로세스(10)에 의해 변조 작업이 수행되면, 등록된 문서파일 리스트의 문서 파일들의 시그니처를 확인하여 암호화 여부를 판단한다. 그리고 암호화된 경우, 문서 파일이 암호화 변조된 것으로 판단한다.
또한, 문서분석 모듈(40)은 문서 파일이 암호화 변조된 것으로 판단되면, 해당 파일을 요청한 프로세스가 랜섬웨어 등 악성 코드일 가능성이 높으므로, 해당 프로세스에 반영할 변조 역할과 변조에 대한 역할통제 정책을 설정한다. 해당 역할 및 역할통제 정책은 문서통제 모듈(30)로 전달되어, 해당 프로세스에 대해 역할 통제가 수행된다.
다음으로, 데이터 목록(50)은 문서통제 모듈(30)에서 필요한 데이터를 목록으로 저장하는 저장소이다. 데이터 목록(50)은 프로세스(10)가 실제 실행되고 있을 때, 해당 프로세스(10)를 감시하거나 역할 통제를 하기 위한 데이터로서, 실시간으로 갱신되는 데이터들이다. 즉, 데이터 목록(50)의 각 목록의 데이터들은 프로세스(10)와 연관된 정보이다.
다음으로, 데이터베이스(60)는 문서통제 모듈(40)에서 필요한 데이터를 DB로 저장하는 저장소이다.
다음으로, 본 발명의 일실시예에 따른 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템의 구성을 도 2를 참조하여 보다 구체적으로 설명한다.
도 2에서 보는 바와 같이, 본 발명에 따른 역할 기반 접근 통제 시스템은 커널계층에 구성된 문서통제 모듈(30) 및 데이터 목록(50)과, 사용자 계층에 구성된 문서분석 모듈(40) 및 데이터베이스(60)로 구성된다.
구체적으로, 문서통제 모듈(30)은 프로세스(10)의 감시 폴더의 접근 및, 감시 폴더 내의 감시 파일 외의 파일(이하 폴더 파일)의 접근을 감시하는 문서접근 감시부(31), 프로세스(10)에 대한 역할정책을 저장하는 역할정책 저장부(32), 및, 역할 정책에 의해 프로세스(10)의 파일 접근을 통제하는 역할정책 통제부(33)로 구성된다.
또한, 데이터 목록(50)은 감시 파일을 목록으로 저장하는 감시파일 목록(51), 감시 폴더를 목록으로 저장하는 감시폴더 목록(52), 실행 중인 프로세스 정보(또는 프로세스 속성 데이터)를 저장하는 프로세서 정보 목록(53), 프로세스의 역할통제 정책을 저장하는 역할통제 정책 목록(54)로 구성된다.
또한, 문서분석 모듈(40)은 사용자 로그인/로그오프가 감지되면 감시 파일을 생성하거나 삭제하는 사용자 로그인 감시부(41), 및, 감시 폴더 내의 감시 파일 외의 파일(또는 폴더 파일)의 변경 상태를 분석하여 해당 프로세스에 대한 역할 통제를 판단하는 프로세스 역할 판단부(42)로 구성된다.
또한, 데이터베이스(60)는 감시 파일이나 감시 폴더 등 감시 정보를 저장하는 감시정보 목록(61)와, 감시 폴더 내의 감시 파일 외의 파일(또는 폴더 파일)을 리스트로 저장하는 폴더파일 목록(62), 역할 정책을 저장하는 역할정책DB(63)로 구성된다.
먼저, 사용자 로그인 감시부(41)는 사용자 로그인/로그오프 행위를 감시하여 사용자가 로그인하면, 감시 폴더에 감시 파일을 생성/삭제 하고 생성된 감시 파일의 경로를 감시정보 목록(61)에 저장/삭제 한다.
감시 폴더는 사전에 정해진 폴더로서 감시 대상이 되는 폴더이다. 바람직하게는, 감시 폴더는 기본 감시 폴더와 사용자 감시 폴더로 구분된다. 기본 감시 폴더는 "c:\", "c:\user" 등과 같이, 특정 사용자에 한정되지 않는 전체 파일 시스템에서 감시 대상으로 선정된 폴더이다. 또한, 사용자 감시 폴더는 사용자 각각에 특정되는 감시 폴더로서, 사용자별로 다르게 설정될 수 있다. 일례로서, 사용자 감시 폴더는 "c:\user\사용자명", "c:\user\사용자명\문서"등 각 사용자별로 사전에 설정된 폴더이다.
또한, 감시 파일은 랜섬웨어 등 악의적 프로세스의 접근을 감시하기 위하여, 미끼용으로 생성되는 파일이다. 감시 파일은 사전에 정해진 시그니처 값을 포함하거나, 파일명에 사전에 정해진 시그니처 문자열을 포함하도록 생성된다. 따라서 파일의 시그니처를 통해 감시 파일 여부를 검출할 수 있다.
한편, 감시 파일의 파일명은 맨 앞부분의 문자열(이하 접두어)을 사전에 정해진 범위 내의 문자열로 설정된다. 바람직하게는, 감시 파일의 접두어는 사전에 정해진 길이로 설정된다. 또한, 감시 파일의 접두어는 파일명으로 사용가능한 문자열 중에서 이름 순으로 순위가 높은 순의 범위 내 또는 순위가 낮은 순의 범위 내에서 랜덤하게 설정된다.
예를 들어, 이름 순위가 높은 순의 범위 내의 접두어로서, 0x0021~0x002E 사이의 임의의 문자가 설정될 수 있다. 즉, 0x0021~0x002E 사이의 임의 문자를 접두어로 하는 파일명의 감시 파일은 폴더 내에서 이름 순으로 가장 앞서 파일이 될 수 있다. 또한, 이름 순위가 낮은 순의 범위 내의 접두어로서, 0xD794~0xD7A3 사이의 임의의 문자로 설정될 수 있다. 즉, 0xD794~0xD7A3 사이의 문자를 접두어로 하는 파일명의 감시 파일은 폴더 내에서 이름 순으로 가장 뒤에 위치한 파일이 될 수 있다. 위의 예에서는 접두어가 하나의 문자이나, 2 이상의 문자열일 수 있다.
하나의 감시 폴더에는 가장 높은 범위의 이름 순위를 가지는 적어도 하나의 감시 파일(이하 시작 감시 파일)과, 가장 낮은 범위의 이름 순위를 가지는 적어도 하나의 감시 파일(이하 마지막 감시 파일)이 존재하게 한다.
일반적으로, 랜섬웨어 등 악성 프로세스(10)는 폴더 내에 접근하여 폴더 내의 모든 문서 파일을 암호화한다. 이때, 악성 프로세스(10)는 폴더 내의 모든 문서파일에 대하여 이름 순에 의해 각 파일을 순차적으로 접근한다. 즉, 악성 프로세스(10)는 시작 감시 파일을 가장 먼저 접근하고, 중간에 폴더 파일(또는 비감시 파일)을 접근하고, 마지막으로 마지막 감시 파일을 접근한다.
즉, 사용자 로그인 감시부(41)는 사용자가 로그인 하면, 감시정보 목록(61)에 감시 폴더 내에 감시 파일이 존재하는지 확인한다. 감시 파일이 존재하지 않으면 해당 감시 폴더 내에 감시 파일을 생성하고, 감시 파일의 경로를 감시정보 목록(61)에 추가하여 저장한다.
이때, 바람직하게는 사용자 로그인 감시부(41)는 생성된 감시 파일을 숨김 처리한다. 숨김 처리란 통상적인 운영체제의 사용자 인터페이스 방식의 옵션으로서, 파일의 폴더나 파일의 목록을 사용자에게 표시할 때, 실제 파일은 존재하나, 해당 파일(또는 폴더)을 사용자 인터페이스 상에서 표시하지 않도록 처리하는 것을 말한다.
또한, 사용자 로그인 감시부(41)는 생성된 감시 파일의 경로 등 감시파일 정보를 문서접근 감시부(31)에 전달한다.
또한, 사용자 로그인 감시부(41)는 사용자가 로그오프하면, 감시 폴더 내의 감시 파일을 삭제하고, 삭제된 감시 파일의 경로를 감시정보 목록(61)에서 삭제한다.
구체적인 수행 방법이 도 3에 도시되고 있다.
도 3에서 보는 바와 같이, 사용자 로그인 감시부(41)는 사용자가 로그인하면, 감시정보 목록(61)을 조회하여, 기본 감시 폴더와 사용자 감시 폴더에 감시 파일이 존재하는지를 확인한다.
다음으로, 감시 폴더 내에 감시 파일이 존재하지 않으면 감시 파일을 생성하고, 생성된 감시 파일의 경로를 감시정보 목록(61)에 추가한다. 또한, 감시정보 목록(61)에는 존재하지만 실제 경로에 해당 파일이 존재하지 않는 경우, 감시 파일 경로에 해당하는 파일명으로 감시 파일을 생성한다. 바람직하게는, 생성된 감시 파일을 숨김 처리한다.
감시 파일의 생성 및, 경로의 추가 작업은 기본 감시 폴더 및 사용자 감시 폴더 각각에 대하여 모두 수행한다.
다음으로, 사용자가 로그오프하면 감시정보 목록(61)을 조회하여 사용자 감시 폴더에 감시 파일이 있는지를 확인한다. 만약 감시파일이 있으면, 감시정보 목록(61)에서 해당 감시 파일의 경로를 삭제한다. 또한, 실제 경로의 감시 파일을 삭제한다.
다음으로, 문서접근 감시부(31)는 역할이 설정되지 않은 프로세스의 감시 폴더 파일의 접근 행위를 감시한다. 역할이 설정되지 않은 프로세스는 역할통제 정책에 의해 통제되지 않는 프로세스를 말한다. 또한, 접근 파일은 감시 폴더 내에 위치한 파일로서, 감시 파일 또는 감시 파일 외의 파일(또는 비감시 파일, 폴더 파일)이다.
따라서 감시 폴더의 파일 접근 행위는 시작 감시 파일을 접근하는 경우, 시작 감시 파일을 접근한 후 감시 파일 외 파일(또는 비감시 파일)을 접근하는 경우, 마지막 감시 파일을 접근하는 경우 등 3가지 경우로 구분된다.
한편, 문서접근 감시부(31)는 사용자 로그인 감시부(41)로부터 감시 파일의 경로를 전달받아, 감시파일 목록(51)에 추가하여 저장한다. 즉, 감시파일 목록(51)은 모든 감시 파일의 경로 등 감시 파일의 정보를 목록으로 저장한다.
먼저, 프로세스(10)가 시작 감시 파일을 접근하는 경우, 문서접근 감시부(31)는 감시 파일의 폴더(또는 감시 폴더)의 경로와, 감시 파일의 경로를, 감시폴더 목록(52)에 추가하여 저장한다. 그리고 감시 폴더의 경로 등 정보를 전달하면서 프로세스 역할 판단부(42)를 호출한다. 즉, 해당 감시 폴더에 대한 감시 시작을 요청한다.
다음으로, 프로세스(10)가 폴더 파일을 접근하는 경우, 문서접근 감시부(31)는 폴더 파일의 경로, 파일 행위(프로세스의 파일에 대한 작업) 등 정보를 전달하면서 프로세스 역할 판단부(42)를 호출한다. 해당 감시 폴더의 폴더 파일들의 감시를 요청한다.
다음으로, 프로세스(10)가 마지막 감시 파일을 접근하는 경우, 마지막 감시 파일의 감시 폴더를 감시폴더 목록(52)에서 삭제하고, 감시 폴더의 경로 등 정보를 전달하면서 프로세스 역할 판단부(42)를 호출한다. 즉, 해당 감시 폴더에 대한 감시 종료를 요청한다.
한편, 위의 3가지 경우는 감시파일 목록(51) 및, 감시폴더 목록(52)에서 감시파일 또는 감시폴더의 경로가 존재하는지 여부로 판단한다.
구체적으로, 접근 파일의 경로가 감시파일 목록(51)에는 존재하나, 접근 파일의 폴더 경로가 감시폴더 목록(52)에 존재하지 않으면, 시작 감시 파일의 접근의 경우로 판단한다.
또한, 접근 파일의 경로가 감시파일 목록(51)에는 존재하지 않으나, 접근 파일의 폴더 경로가 감시폴더 목록(52)에 존재하면, 폴더 파일의 접근의 경우로 판단한다.
또한, 접근 파일의 경로가 감시파일 목록(51)에 존재하고, 접근 파일의 폴더 경로가 감시폴더 목록(52)에 존재하나 접근 파일의 경로가 감시폴더 목록(52)에 존재하지 않으면, 마지막 감시 파일의 접근의 경우로 판단한다.
한편, 문서접근 감시부(31)는 해당 프로세스(10)가 역할 통제를 받지 않는 경우에만 감시 폴더의 감시를 수행하고, 역할 통제를 받으면 바로 역할기반 통제부(33)로 전달하여 역할 통제를 받도록 한다.
구체적인 수행 방법이 도 4에 도시되고 있다.
도 4에서 보는 바와 같이, 먼저, 문서접근 감시부(31)는 프로세스(10)가 파일(접근 파일, 대상 파일)에 접근하면, 프로세스 ID를 조회한 후 프로세스 ID에 해당하는 프로세스 역할을 조회한다. 이때, 프로세스 정보 목록(53) 및, 역할통제 정책 목록(54)을 참조하여, 해당 프로세스의 역할통제 정책이 있는지를 확인한다. 프로세스 역할이 존재하는 경우, 역할정책 통제부(43)에 접근 파일의 경로, 프로세스 역할 등을 전달하여 역할 통제 정책을 수행하게 한다.
다음으로, 프로세스 역할이 존재하지 않는 경우, 감시파일 목록(51)을 조회하여, 접근 파일의 경로와 일치하는 파일 경로가 존재하는지를 확인한다. 즉, 접근 파일이 감시 파일인지를 확인한다.
감시파일 목록(51)에 없으면, 대상 파일의 폴더 경로가 감시폴더 목록(52)에 존재하는지 조회한다. 그리고 존재하면, 대상 파일의 경로와 행위 정보를 프로세스 역할 판단부(42)에 전달한다. 즉, 폴더 파일의 감시를 프로세스 역할 판단부(42)에 요청한다.
감시파일 목록(51)에 일치하는 파일 경로가 있으면(또는 대상파일이 감시 파일이면), 감시폴더 목록(52)을 조회하여, 대상 파일의 폴더 경로와 일치하는 폴더 경로가 존재하는지를 확인한다.
감시폴더 목록(52)에 폴더 경로가 존재하지 않으면, 최초 감시 파일 접근으로 판단하여, 대상 파일의 폴더 경로 및, 파일 경로를 감시폴더 목록(52)에 추가하고, 프로세스 역할 판단부(42)에 폴더 경로를 전달하고 감시 시작을 요청한다.
감시폴더 목록(52)에 폴더 경로가 존재하면, 감시폴더 목록(52)에 등록된 감시 파일과, 대상 파일이 동일한지를 비교하고(동일한 감시 파일인지 검사하고), 다르면, 마지막 감시 파일로 판단한다. 즉, 마지막 감시 파일의 접근으로 판단한다. 이때, 감시폴더 목록(52)에서 해당 감시 폴더를 제외하고, 프로세스 역할 판단부(42)에 폴더 경로를 전달하고 감시 종료를 요청한다.
다음으로, 프로세스 역할 판단부(42)는 감시 폴더에 존재하는 문서 포맷 파일에 대하여 암호화를 통한 파일 변조 여부를 판단하고, 암호화 변조로 판단되면 해당 프로세스에 대해 역할통제 정책을 설정한다.
프로세스 역할 판단부(42)는 문서접근 감시부(31)의 요청에 따라 수행된다. 문서접근 감시부(31)의 요청은 감시 폴더의 감시 시작 요청, 폴더 파일의 접근 감시 요청, 및, 감시 폴더의 감시 종료 요청으로 구분된다.
먼저, 감시 시작 요청을 받으면, 프로세스 역할 판단부(42)는 해당 감시 폴더에 대한 문서파일 리스트 및 일반파일 리스트를 생성하여 폴더파일 목록(62)에 추가하여 등록한다.
폴더파일 목록(62)은 감시 폴더(또는 감시폴더 경로)에 대응되는 문서파일 리스트 및 일반파일 리스트를 저장한다. 즉, 문서파일 리스트 및 일반파일 리스트를 각각 감시 폴더 별로 생성된다.
또한, 각 감시폴더별 문서파일 리스트는 해당 감시 폴더 내의 폴더 파일 중 문서 파일(문서파일 경로)을 목록으로 갖고, 일반파일 리스트는 해당 감시 폴더 내의 폴더 파일 중 비문서 파일(문서 파일 외 파일)을 목록으로 갖는다.
다음으로, 감시 폴더의 폴더 파일의 감시 요청을 받으면, 프로세스 역할 판단부(42)는 폴더 파일(또는 접근 파일)의 시그니처 값을 분석하여, 그 결과에 따라 폴더파일 목록(62)의 문서파일 리스트 또는 일반파일 리스트에 등록한다.
즉, 대상 파일이 생성된 파일이 아니고 그 시그니처가 문서 시그니처 값과 일치하면, 폴더파일 목록(62)의 해당 감시 폴더의 문서 파일 리스트에 파일 경로를 추가한다. 또한, 대상 파일이 생성 완료된 파일이고 그 시그니처가 문서 시그니처 값이 아니면, 폴더파일 목록(62)의 해당 감시 폴더의 일반 파일 리스트에 파일 경로를 추가한다.
다시 말하면, 프로세스 역할 판단부(42)는 감시 폴더의 폴더 파일을 접근할 때, 해당 파일의 시그니처 값을 분석하여 문서 시그니처 값과 일치하는 파일인 경우 문서 포맷 파일로 판단하여 폴더파일 목록(62)의 문서 파일 리스트에 파일 경로를 추가한다. 그리고 감시 폴더에서 파일이 생성되면 해당 파일의 시그니처 값을 분석하여 문서 시그니처 값과 일치하지 않으면 문서 파일이 아닌 파일로 판단하여 폴더파일 목록(62)의 일반 파일 리스트에 파일 경로를 추가한다.
다음으로, 감시 폴더의 종료 요청을 받으면, 프로세스 역할 판단부(42)는 폴더파일 목록(62)에 저장된 해당 감시 폴더의 문서파일 리스트 및 일반파일 리스트의 파일들을 분석하여 문서 변조 여부를 판단하고, 변조된 경우 해당 프로세스에 대한 문서 변조 역할 및 문서 변조 역할 정책을 역할정책 저장부(32)에 전달한다.
즉, 프로세스 역할 판단부(42)는 문서 파일 경로의 파일이 문서 포맷이 아닌 파일로 변조되어 있거나 삭제 후 일반 파일 생성으로 판단되면, 문서 변조 역할 프로세스라 판단하고, 문서 변조 역할 및 문서 변조 역할 정책을 역할정책 저장부(32)에 전달한다. 이것은 해당 프로세스를 문서변조 역할을 부여하고, 문서변조 역할정책에 따라 통제하기 위한 것이다.
구체적인 수행 방법이 도 5에 도시되고 있다.
도 5에서 보는 바와 같이, 프로세스 역할 판단부(42)는 문서접근 감시부(31)의 요청에 의하여 수행된다.
먼저, 프로세스 역할 판단부(42)는 감시 시작 요청을 전달 받으면, 감시폴더에 대한 문서파일 리스트 및 일반파일 리스트를 생성하여 폴더파일 목록(62)에 추가한다. 생성된 문서파일 리스트 및 일반파일 리스트는 파일 목록을 하나도 가지지 않는다. 프로세스 역할 판단부(42)는 감시 시작 요청과 함께 감시 폴더의 경로를 전달받는다.
다음으로, 프로세스 역할 판단부(42)는 폴더 파일(또는 감시폴더의 감시파일 외 파일)의 파일 접근 감시 요청을 전달받으면, 해당 파일(대상 파일)의 포맷을 분석한다. 이때, 파일 접근 감시 요청과 함께, 파일 경로 및, 파일 행위(또는 프로세스 행위)를 수신받는다. 파일 행위는 프로세스가 해당 파일에 수행한 작업을 말한다.
그리고 파일 경로의 상위 폴더 경로가 폴더파일 목록(62)에 존재하는 경우에만 파일의 포맷을 분석한다. 즉, 폴더파일 목록(62)에 파일 리스트를 가지는 감시폴더의 폴더 경로 중에서 상위 폴더 경로와 동일한 경우에, 분석 작업을 수행한다.
파일의 포맷 분석은 다음과 같이 수행된다.
먼저, 대상 파일에서 시그니처 정보를 추출하고, 추출된 시그니처 값을 문서별 시그니처 값과 비교한다. 문서별 시그니처 값과 일치하면 문서 포맷 파일로 분류하고 일치하지 않으면 일반 파일(또는 비문서 파일)로 분류한다.
즉, 프로세스가 파일 변경 시도 전에 파일의 시그니처 값만 추출하여 문서 포맷 파일 여부만 판단한다. 문서 포맷 파일이면, 해당 파일의 변경이 완료된 후 다시 해당 파일의 시그니처 값만 추출하여 문서 포맷 파일 여부를 판단한다. 따라서, 보안 프로그램이 랜섬웨어를 탐지하기 위하여 설치한 감시 파일을 단순하게 접근 또는 변조하였다는 이유로 랜섬웨어 프로세스로 판단되는 문제를 보완할 수 있다.
파일 행위(또는 프로세스 행위)가 파일 생성이면, 해당 파일의 시그니처 값을 분석하여 문서 포맷 파일이 아닌 경우 폴더파일 목록(62)의 일반 파일 리스트에 파일 경로를 추가한다. 또한, 기존 파일 접근이면서(파일 행위가 생성이 아니면서) 문서 포맷 파일인 경우, 폴더파일 목록(62)의 문서 파일 리스트에 파일 경로를 추가한다.
또한, 프로세스 역할 판단부(42)는 감시 종료 요청을 전달받으면, 해당 파일의 변조 여부를 판단하여 해당 프로세스에 역할통제 정책을 설정한다. 이때, 감시 종료 요청과 함께, 해당 파일의 폴더 경로 또는 감시폴더 경로를 전달받는다.
폴더파일 목록(62)에서 해당 폴더 경로의 문서파일 리스트에 등록된 문서 파일이 있는지 조회한다. 문서파일 리스트에 등록된 문서 파일이 있는 경우, 등록된 문서 파일의 시그니처 값을 추출하여 문서 포맷 파일 여부를 판단한다. 이때, 문서 포맷 파일이 아닌 파일로 판단되면, 문서가 암호화되어 변조되었다고 판단한다.
또한, 폴더파일 목록(62)에서 해당 폴더 경로의 일반파일 리스트를 이용하여 변조 여부를 판단한다. 즉, 삭제된 문서 파일의 수와 일반파일 리스트에 등록된 파일의 수를 비교하여 일치하면, 역시 문서가 암호화되어 변조되었다고 판단한다.
그리고 문서 파일이 암호화 되어 변조된 것으로 판단되면, 문서 변조 역할과 역할 통제 정책을 역할정책 저장부(32)에 전달한다.
또한, 문서 파일 리스트에 등록된 파일의 시그니처가 문서 포맷 파일이면, 단순한 문서 파일를 삭제하는 정상적인 프로세스 행위로 판단한다.
다음으로, 감시폴더 감시 종료 요청에 대한 작업을 모두 수행하면, 마지막으로, 폴더파일 목록(62)에서 해당 목록을 초기화한 다음 폴더파일 목록(62)에서 제외한다. 즉, 폴더파일 목록(62)에서 해당 감시폴더의 문서파일 리스트 및 일반파일 리스트를 제외한다. 즉, 폴더파일 목록(62)에서 해당 감시폴더의 항목을 삭제한다.
다음으로, 역할정책 저장부(32)로 문서 변조 역할과 역할 통제 정책이 전달되면 프로세스 정보 목록에 역할을 저장하고 역할 통제 정책을 저장한다. 역할정책 통제부(33)에서는 역할이 설정된 프로세스가 문서 파일에 접근하는 경우 역할 통제 정책을 조회하고 이 정책을 기반으로 문서 파일에 대한 쓰기, 삭제, 파일명 변경 행위를 차단한다.
즉, 역할정책 저장부(32)는 프로세스 역할 판단부(42)로부터 프로세스 역할 및 역할 접근 통제 정책을 전달받고, 프로세스 정보 목록(53) 및 역할통제 정책 목록(54)에 등록하여 저장한다.
도 6에서 보는 바와 같이, 역할정책 저장부(32)는 프로세스 ID를 기반으로 프로세스 정보 목록(53)을 조회하여, 전달받은 프로세스 역할(또는 프로세스 역할 목록)이 존재하는지를 확인한다. 프로세스 정보 목록(53)의 프로세스 역할 값이 설정되지 않은 경우, 전달된 프로세스 역할을 프로세스 정보 목록(53)에 등록하여 저장한다.
역할통제 정책 목록(54)에서, 프로세스 역할 값에 해당하는 역할 통제 정책이 존재하는지를 조회한다. 역할 값에 해당하는 역할 통제 정책이 없는 경우, 전달된 역할 정책을 역할통제 정책 목록(54)에 등록하여 저장한다.
다음으로, 역할정책 통제부(33)는 파일 작업을 요청한 프로세스에 대하여, 해당 프로세스의 역할에 대응되는 역할통제 정책에 따라, 해당 프로세스의 파일 작업을 통제한다.
특히, 도 7에서 보는 바와 같이, 바람직하게는, 역할정책 통제부(33)는 문서접근 감시부(31)로부터 프로세스(파일 작업을 요청한 프로세스)를 전달받는다.
다음으로, 전달된 프로세스의 프로세스 역할에 해당하는 역할통제 정책을 조회한다. 이때, 프로세스 정보 목록(53)와 역할통제 정책 목록(54)을 조회하여, 해당 프로세스의 역할통제 정책을 열람한다.
열람된 역할통제 정책에서, 접근하는 파일의 경로를 조회하고, 해당 경로에 일치하는 정책이 존재하는 하면, 행위 차단 여부에 따라 통제를 진행한다.
즉, 역할정책 통제부(33)는 프로세스 역할과 역할 정책이 존재하는 프로세스에 한하여 정책을 적용한다. 따라서, 프로세스 역할에 해당하는 역할 차단 정책을 적용하여 문서 변조 행위를 차단하고, 역할이 설정되어 있는 않은 프로세스의 문서 파일 접근을 자유롭게 허용한다.
이상, 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
10 : 프로세스 20 : 운영체제
30 : 문서통제 모듈 31 : 문서접근 감시부
32 : 역할정책 저장부 33 : 역할정책 통제부
40 : 문서분석 모듈 41 : 사용자 로그인 감시부
42 : 프로세스 역할 판단부
50 : 데이터 목록 51 : 감시파일 목록
52 : 감시폴더 목록 53 : 프로세스 정보 목록
54 : 역할통제 정책 목록
60 : 데이터베이스 61 : 감시정보 목록
62 : 폴더파일 목록
80 : 하드웨어 장치

Claims (8)

  1. 시작 감시 파일과 마지막 감시 파일을 포함하는 적어도 2개의 감시 파일이 사전에 정해진 감시 폴더에 저장되고, 감시 파일의 접근 여부로 감시 폴더의 접근을 감지하여 감시 폴더 내의 파일 변조 여부를 판단하고, 해당 프로세스를 역할로 통제하는, 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템에 있어서,
    프로세스 역할이 없는 경우, 시작 감시 파일을 접근할 때 감시 폴더에 대한 감시 시작을 요청하고, 감시 폴더 내의 파일(이하 폴더 파일)을 접근할 때 해당 폴더 파일의 문서 파일 여부 또는 생성 여부를 판단하도록 요청하고, 마지막 감시 파일을 접근할 때 감시 폴더의 폴더 파일의 문서 파일 여부 또는 생성 여부를 이용하여 해당 프로세스의 역할 통제 여부를 결정하는, 문서접근 감시부;
    감시 폴더의 감시가 시작되면, 감시 폴더 내의 감시파일 외 파일(이하 폴더 파일)의 문서파일 여부 및 생성 여부를 판단하고, 생성된 파일이 아니고 문서파일인 경우 문서파일 리스트로 관리하고, 생성된 파일이고 문서파일이 아닌 경우 일반파일 리스트로 관리하고, 감시 폴더의 감시가 종료될 때 문서파일 리스트의 파일 변조 여부 또는 일반파일 리스트의 파일 수를 이용하여 해당 프로세스의 변조 역할 여부를 판단하고, 변조 역할인 경우 해당 프로세스에 역할 통제를 부여하는, 프로세스 역할 판단부;
    상기 프로세스 역할 판단부로부터 프로세스 역할 및 역할 통제 정책을 전달받아, 해당 프로세스에 부여하는 역할정책 저장부; 및,
    프로세스가 파일을 접근하려 할 때, 해당 프로세스의 역할 및 역할 통제 정책을 적용하여 파일의 접근을 차단하는 역할정책 통제부를 포함하고,
    상기 감시 파일의 파일명은 맨 앞부분의 문자열(이하 접두어)을 사전에 정해진 범위 내의 문자열로 설정되고, 상기 감시 파일의 접두어는 사전에 정해진 길이로 설정되고, 상기 감시 파일의 접두어는 파일명으로 사용가능한 문자열 중에서 이름 순으로 순위가 높은 순의 범위 내 또는 순위가 낮은 순의 범위 내에서 랜덤하게 설정되고, 시작 감시 파일은 가장 높은 범위의 이름 순위를 가지는 파일명의 접두어를 가지고, 마지막 감시 파일은 가장 낮은 범위의 이름 순위를 가지는 파일명의 접두어를 가지는 것을 특징으로 하는 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템.
  2. 삭제
  3. 제1항에 있어서, 상기 문서접근 감시부는,
    프로세스가 시작 감시 파일을 접근하는 경우, 감시 파일의 폴더(이하 감시 폴더)의 경로와, 감시 파일의 경로를, 감시폴더 목록에 추가하여 저장하고, 감시 폴더의 경로를 전달하면서 상기 프로세스 역할 판단부를 호출하고, 해당 감시 폴더에 대한 감시 시작을 요청하고,
    프로세스가 폴더 파일을 접근하는 경우, 폴더 파일의 경로, 파일 행위 정보를 전달하면서 상기 프로세스 역할 판단부를 호출하고, 해당 감시 폴더의 폴더 파일들의 감시를 요청하고,
    프로세스가 마지막 감시 파일을 접근하는 경우, 마지막 감시 파일의 감시 폴더를 감시폴더 목록에서 삭제하고, 감시 폴더의 경로를 전달하면서 상기 프로세스 역할 판단부를 호출하고, 해당 감시 폴더에 대한 감시 종료를 요청하는 것을 특징으로 하는 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템.
  4. 제3항에 있어서, 상기 문서접근 감시부는,
    접근 파일의 경로가 감시파일 목록에는 존재하나 접근 파일의 폴더 경로가 감시폴더 목록에 존재하지 않으면, 시작 감시 파일의 접근의 경우로 판단하고,
    접근 파일의 경로가 감시파일 목록에는 존재하지 않으나 접근 파일의 폴더 경로가 감시폴더 목록에 존재하면, 폴더 파일의 접근의 경우로 판단하고,
    접근 파일의 경로가 감시파일 목록에 존재하고 접근 파일의 폴더 경로가 감시폴더 목록에 존재하나 접근 파일의 경로가 감시폴더 목록에 존재하지 않으면, 마지막 감시 파일의 접근의 경우로 판단하는 것을 특징으로 하는 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템.
  5. 제4항에 있어서,
    상기 프로세스 역할 판단부는, 상기 문서접근 감시부의 요청에 따라 수행되고,
    감시 시작 요청을 받으면, 해당 감시 폴더에 대한 문서파일 리스트 및 일반파일 리스트를 생성하여 폴더파일 목록에 추가하여 등록하고,
    감시 폴더의 폴더 파일의 감시 요청을 받으면, 폴더 파일의 시그니처 값을 분석하여, 그 결과에 따라 폴더파일 목록의 문서파일 리스트 또는 일반파일 리스트에 등록하고,
    감시 폴더의 종료 요청을 받으면, 폴더파일 목록에 저장된 해당 감시 폴더의 문서파일 리스트 및 일반파일 리스트의 파일들을 분석하여 문서 변조 여부를 판단하고, 변조된 경우 해당 프로세스에 대한 문서 변조 역할 및 문서 변조 역할 정책을 상기 역할정책 저장부에 전달하는 것을 특징으로 하는 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템.
  6. 제4항에 있어서, 상기 프로세스 역할 판단부는,
    감시 폴더의 폴더 파일을 접근할 때, 해당 파일의 시그니처 값을 분석하여 문서 시그니처 값과 일치하는 파일인 경우 문서 포맷 파일로 판단하여 폴더파일 목록의 문서 파일 리스트에 파일 경로를 추가하고, 감시 폴더에서 파일이 생성되면 해당 파일의 시그니처 값을 분석하고 문서 시그니처 값과 일치하지 않으면 문서 파일이 아닌 파일로 판단하여 폴더파일 목록의 일반 파일 리스트에 파일 경로를 추가하고,
    문서파일 리스트에 등록된 문서 파일이 있는 경우 등록된 문서 파일의 시그니처 값을 추출하여 문서 포맷 파일 여부를 판단하여 폴더 파일이 문서 포맷이 아닌 파일로 변조되어 있거나, 삭제된 문서 파일의 수와 일반파일 리스트에 등록된 파일의 수를 비교하여 일치하면, 문서 변조 역할 프로세스라 판단하는 것을 특징으로 하는 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템.
  7. 제1항에 있어서, 상기 문서 파일 접근 통제 시스템은,
    사용자가 로그인 하면, 감시정보 목록에 기본 감시 폴더와 사용자 감시 폴더에 감시 파일이 존재하는지 확인하고, 존재하지 않으면 감시 파일을 생성하고, 생성된 감시 파일의 경로를 감시정보 목록에 추가하고, 감시정보 목록의 감시폴더 경로를 상기 문서접근 감시부로 전달하여 감시파일 목록에 추가하도록 하는 사용자 로그인 감시부를 더 포함하는 것을 특징으로 하는 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템.
  8. 제1항에 있어서,
    상기 시스템은 서버 시스템 상에서 구동되고,
    상기 문서접근 감시부, 상기 역할정책 저장부, 및, 상기 역할정책 통제부는 상기 서버 시스템의 운영체제의 커널 계층에 구성되고,
    상기 프로세스 역할 판단부는 상기 서버 시스템의 운영체제의 사용자 계층에 구성되는 것을 특징으로 하는 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템.
KR1020190113122A 2019-09-11 2019-09-11 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템 KR102101250B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190113122A KR102101250B1 (ko) 2019-09-11 2019-09-11 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190113122A KR102101250B1 (ko) 2019-09-11 2019-09-11 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템

Publications (1)

Publication Number Publication Date
KR102101250B1 true KR102101250B1 (ko) 2020-04-20

Family

ID=70467311

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190113122A KR102101250B1 (ko) 2019-09-11 2019-09-11 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템

Country Status (1)

Country Link
KR (1) KR102101250B1 (ko)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101374239B1 (ko) * 2012-06-22 2014-03-13 대한민국(관리부서 대검찰청) 문서파일의 포렌식 분석 방법 및 시스템
KR101923054B1 (ko) * 2016-11-25 2018-11-29 (주)휴네시온 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법
KR101956725B1 (ko) * 2018-12-06 2019-03-11 주식회사 아신아이 인가된 실행 파일 및 동적 라이브러리 파일 기반 서버 접근 통제 시스템
KR101967663B1 (ko) * 2018-07-20 2019-04-11 주식회사 아신아이 인가된 프로세스의 역할 기반 접근 통제 시스템
KR20190080591A (ko) 2017-12-28 2019-07-08 주식회사 안랩 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법
KR102000369B1 (ko) 2017-12-28 2019-07-15 숭실대학교산학협력단 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템
KR20190091696A (ko) 2018-01-29 2019-08-07 주식회사 케이티 랜섬웨어 확산 차단 장치 및 그 방법

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101374239B1 (ko) * 2012-06-22 2014-03-13 대한민국(관리부서 대검찰청) 문서파일의 포렌식 분석 방법 및 시스템
KR101923054B1 (ko) * 2016-11-25 2018-11-29 (주)휴네시온 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법
KR20190080591A (ko) 2017-12-28 2019-07-08 주식회사 안랩 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법
KR102000369B1 (ko) 2017-12-28 2019-07-15 숭실대학교산학협력단 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템
KR20190091696A (ko) 2018-01-29 2019-08-07 주식회사 케이티 랜섬웨어 확산 차단 장치 및 그 방법
KR101967663B1 (ko) * 2018-07-20 2019-04-11 주식회사 아신아이 인가된 프로세스의 역할 기반 접근 통제 시스템
KR101956725B1 (ko) * 2018-12-06 2019-03-11 주식회사 아신아이 인가된 실행 파일 및 동적 라이브러리 파일 기반 서버 접근 통제 시스템

Similar Documents

Publication Publication Date Title
US11783069B2 (en) Enterprise document classification
US20210160284A1 (en) Systems and methods for detecting a suspicious process in an operating system environment using a file honeypots
Kharraz et al. Redemption: Real-time protection against ransomware at end-hosts
US11636206B2 (en) Deferred malware scanning
US10122752B1 (en) Detecting and preventing crypto-ransomware attacks against data
US11947667B2 (en) Preventing ransomware from encrypting files on a target machine
US8165078B2 (en) System and method for controlling use of a network resource
US20100122313A1 (en) Method and system for restricting file access in a computer system
KR101565590B1 (ko) 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템
KR102116573B1 (ko) 컴퓨터 보안 작동을 최적화하기 위한 동적 명성 표시자
US9928373B2 (en) Technique for data loss prevention for a cloud sync application
US11775639B2 (en) File integrity monitoring
KR101223594B1 (ko) Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체
US11636219B2 (en) System, method, and apparatus for enhanced whitelisting
KR102101250B1 (ko) 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템
US11983272B2 (en) Method and system for detecting and preventing application privilege escalation attacks
KR20030090568A (ko) 단말기 내의 자원 보호 시스템 및 방법
US20220083672A1 (en) System, Method, and Apparatus for Enhanced Whitelisting
US10747900B1 (en) Discovering and controlling sensitive data available in temporary access memory
KR102227558B1 (ko) 프로그램 보호를 기반으로 한 데이터 보안 방법
US20220188409A1 (en) System, Method, and Apparatus for Enhanced Blacklisting
US20090094459A1 (en) Method and system for associating one or more pestware-related indications with a file on a computer-readable storage medium of a computer
JP7281998B2 (ja) 情報処理装置、情報処理方法、情報処理システム及びプログラム
US20230038774A1 (en) System, Method, and Apparatus for Smart Whitelisting/Blacklisting
CN115408687A (zh) 一种勒索软件的防范方法及装置

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant