KR102221726B1 - Endpoint detection and response terminal device and method - Google Patents

Endpoint detection and response terminal device and method Download PDF

Info

Publication number
KR102221726B1
KR102221726B1 KR1020190105139A KR20190105139A KR102221726B1 KR 102221726 B1 KR102221726 B1 KR 102221726B1 KR 1020190105139 A KR1020190105139 A KR 1020190105139A KR 20190105139 A KR20190105139 A KR 20190105139A KR 102221726 B1 KR102221726 B1 KR 102221726B1
Authority
KR
South Korea
Prior art keywords
user
edr
behavior
identity
server
Prior art date
Application number
KR1020190105139A
Other languages
Korean (ko)
Inventor
노태상
금동하
이성기
Original Assignee
(주)하몬소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)하몬소프트 filed Critical (주)하몬소프트
Priority to KR1020190105139A priority Critical patent/KR102221726B1/en
Application granted granted Critical
Publication of KR102221726B1 publication Critical patent/KR102221726B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L67/22
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to an endpoint detection and response (EDR) technology. AN EDR terminal device capable of detecting an abnormal behavior comprises: a user identification unit receiving a user identifier from an EDR server when the user identity is successfully authenticated; a user session processing unit detecting whether the received user identifier is logged in and requesting the creation of a user identity-based session; and a user behavior processing unit tracking a behavior of a user through the user identity-based session and controlling the user behavior in advance through a security policy.

Description

EDR 단말 장치 및 방법{ENDPOINT DETECTION AND RESPONSE TERMINAL DEVICE AND METHOD}EDR terminal device and method {ENDPOINT DETECTION AND RESPONSE TERMINAL DEVICE AND METHOD}

본 발명은 EDR 기술에 관한 것으로, 더욱 상세하게는 사용자 신원 인증 기반의 세션을 통해 사용자 행위를 분석하여 이상 행위를 탐지할 수 있는 EDR 단말 장치 및 방법에 관한 것이다.The present invention relates to EDR technology, and more particularly, to an EDR terminal device and method capable of detecting an abnormal behavior by analyzing user behavior through a session based on user identity authentication.

발명은 EDR (Endpoint Detection and Response) 기술은 가트너(Gartner)에 의해 2013년 처음 소개되었다. 여기에서, EDR은 엔드포인트의 행위와 이벤트들을 기록하고, 수집된 행위와 이벤트들을 기반으로 공격을 탐지하고 대응하는 솔루션으로 정의되었다. 즉, EDR은 많은 사이버 공격의 목표이자 시작점을 엔드포인트로 규정하고, 엔드포인트에서 무슨 일이 일어나고 있는가라는 질문에서부터 출발한다.The invention is the EDR (Endpoint Detection and Response) technology was first introduced in 2013 by Gartner. Here, EDR is defined as a solution that records the behavior and events of an endpoint, and detects and responds to attacks based on the collected behavior and events. In other words, EDR defines the target and starting point of many cyber attacks as endpoints, and starts with the question of what is happening at the endpoints.

EDR은 엔드포인트에서 다양한 정보(예: 프로세스, 네트워크 트래픽, 레지스트리, 파일, 사용자)를 수집해서 엔드포인트의 가시성을 확보한 뒤, 수집된 다양한 정보를 기반으로 행위분석, 머신러닝, IOC(Indicator of Compromise) 탐지의 기술로 알려진 그리고 알려지지 않은 위협을 탐지할 수 있다. EDR은 파일 기반의 악성 코드뿐만 아니라 파일 없이 실행되는 악성 코드에 대한 공격도 탐지할 수 있다. 또한, EDR은 위협이 발견된 엔드포인트를 격리하고, 위협을 제거할 수 있도록 대응을 가능하게 할 수 있다.EDR collects various information (e.g. process, network traffic, registry, file, user) from the endpoint to ensure the visibility of the endpoint, and then based on the collected various information, behavior analysis, machine learning, IOC (Indicator of Compromise) can detect known and unknown threats with the technology of detection. EDR can detect attacks not only against file-based malicious code but also against malicious code that runs without a file. In addition, EDR can quarantine endpoints where threats are found and enable responses to eliminate threats.

EDR은 전통적인 엔드포인트 보안 플랫폼(Endpoint Protection Platform)의 방어 기술보다 악성 코드의 공격 방법과 기술을 더욱 빠르게 진화시켰다.EDR has evolved the attack method and technology of malicious code much faster than the defense technology of the traditional Endpoint Protection Platform.

한국등록특허 제10-1814368(2018.01.04)호Korean Patent Registration No. 10-1814368 (2018.01.04)

본 발명의 일 실시예는 사용자 신원 인증 기반의 세션을 통해 사용자 행위를 분석하여 이상 행위를 탐지할 수 있는 EDR 단말 장치 및 방법을 제공하고자 한다.An embodiment of the present invention is to provide an EDR terminal device and method capable of detecting an abnormal behavior by analyzing user behavior through a session based on user identity authentication.

본 발명의 일 실시예는 사용자 신원 인증 기반의 추적 사용자 세션을 생성하고 비-파일 데이터 전송과 파일 연산 과정에서 추적대상파일의 핑거프린트 데이터 전송할 수 있는 EDR 단말 장치 및 방법을 제공하고자 한다.An embodiment of the present invention is to provide an EDR terminal device and method capable of generating a tracking user session based on user identity authentication and transmitting fingerprint data of a tracking target file during non-file data transmission and file operation.

본 발명의 일 실시예는 오프라인 발생 시에도 주기적으로 갱신되는 시큐리티 정책을 기초로 사용자의 이상행위에 대해 대응할 수 있는 EDR 단말 장치 및 방법을 제공하고자 한다.An embodiment of the present invention is to provide an EDR terminal device and method capable of responding to an abnormal behavior of a user based on a security policy that is periodically updated even when offline occurs.

실시예들 중에서, EDR 단말 장치는 사용자 신원이 성공적으로 인증되면 EDR (Endpoint Detection and Response) 서버로부터 사용자 식별자를 수신하는 사용자 식별부, 상기 수신된 사용자 식별자의 로그인 여부를 검출하고 사용자 신원 기반 세션의 생성을 요청하는 사용자 세션 처리부 및 상기 사용자 신원 기반 세션을 통해 사용자의 행위를 추적하고 시큐리티(security) 정책을 통해 상기 사용자의 행위를 사전에 제어하는 사용자 행위 처리부를 포함한다.Among embodiments, the EDR terminal device is a user identification unit that receives a user identifier from an EDR (Endpoint Detection and Response) server when the user identity is successfully authenticated, detects whether the received user identifier is logged in, and performs a user identity-based session. And a user session processing unit that requests creation, and a user behavior processing unit that tracks a user's behavior through the user identity-based session and controls the user's behavior in advance through a security policy.

상기 사용자 식별부는 사용자에 의해 입력된 생체인식 정보 또는 ID 카드 정보를 기초로 상기 사용자 신원에 관한 인증을 수행하는 신원 인증 모듈을 포함할 수 있다.The user identification unit may include an identity authentication module that performs authentication on the user identity based on biometric information or ID card information input by the user.

상기 사용자 세션 처리부는 로그인 DB를 참조하여 상기 수신된 사용자 식별자의 로그인이 확인된 경우 로그인 이벤트를 생성하여 상기 수신된 사용자 식별자 및 사용자 계정과 함께 상기 EDR 서버에게 전송할 수 있다.The user session processing unit may generate a log-in event and transmit it to the EDR server together with the received user ID and user account when the log-in of the received user ID is confirmed by referring to the log-in DB.

상기 사용자 행위 처리부는 상기 사용자 신원 기반 세션이 유지된 상태에서 사용자 계정의 단말 이동이 발생한 경우 사용자 식별자, 단말 정보 및 사용자 계정을 기초로 상기 사용자 신원 기반 세션의 갱신을 요청할 수 있다.The user behavior processing unit may request an update of the user identity-based session based on a user identifier, terminal information, and a user account when a terminal movement of a user account occurs while the user identity-based session is maintained.

상기 사용자 행위 처리부는 상기 사용자의 행위와 연관된 데이터를 비-파일 데이터와 파일 데이터로 분류하고 상기 파일 데이터 중에서 비-추적대상파일 데이터를 상기 비-파일 데이터와 함께 상기 EDR 서버로 전송할 수 있다.The user behavior processing unit may classify data related to the user's behavior into non-file data and file data, and transmit non-track target file data among the file data to the EDR server together with the non-file data.

상기 사용자 행위 처리부는 상기 사용자의 행위와 연관된 파일 데이터가 추적대상파일인 경우 상기 EDR 서버로 해당 추적대상파일의 메타데이터를 전송하고 상기 EDR 서버로부터 해당 메타데이터의 변경 알림이 수신되면 SYSCALL 그래프를 생성할 수 있다.When the file data related to the user's behavior is a tracking target file, the user behavior processing unit transmits the metadata of the tracking target file to the EDR server, and generates a SYSCALL graph when a notification of the change of the metadata is received from the EDR server. can do.

상기 사용자 행위 처리부는 상기 시큐리티 정책에 따라 상기 SYSCALL 그래프의 위험패턴을 검출할 수 있다.The user behavior processing unit may detect a risk pattern of the SYSCALL graph according to the security policy.

실시예들 중에서, EDR 단말 방법은 사용자 신원이 성공적으로 인증되면 EDR (Endpoint Detection and Response) 서버로부터 사용자 식별자를 수신하는 단계, 상기 수신된 사용자 식별자의 로그인 여부를 검출하고 사용자 신원 기반 세션의 생성을 요청하는 단계 및 상기 사용자 신원 기반 세션을 통해 사용자의 행위를 추적하고 시큐리티 정책을 통해 상기 사용자의 행위를 사전에 제어하는 단계를 포함할 수 있다.Among embodiments, the EDR terminal method includes receiving a user identifier from an EDR (Endpoint Detection and Response) server when the user identity is successfully authenticated, detecting whether the received user identifier is logged in, and generating a user identity-based session. The requesting may include tracking a user's behavior through the user identity-based session and controlling the user's behavior in advance through a security policy.

개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.The disclosed technology can have the following effects. However, since it does not mean that a specific embodiment should include all of the following effects or only the following effects, it should not be understood that the scope of the rights of the disclosed technology is limited thereby.

본 발명의 일 실시예에 따른 EDR 단말 장치 및 방법은 사용자 신원 인증 기반의 추적 사용자 세션을 생성하고 비-파일 데이터 전송과 파일 연산 과정에서 추적대상파일의 핑거프린트 데이터 전송할 수 있다.The EDR terminal device and method according to an embodiment of the present invention may generate a tracking user session based on user identity authentication, and transmit fingerprint data of a tracking target file during non-file data transmission and file operation.

본 발명의 일 실시예에 따른 EDR 단말 장치 및 방법은 오프라인 발생 시에도 주기적으로 갱신되는 시큐리티 정책을 기초로 사용자의 이상행위에 대해 대응할 수 있다.The EDR terminal device and method according to an embodiment of the present invention may respond to an abnormal behavior of a user based on a security policy that is periodically updated even when offline occurs.

도 1은 본 발명의 일 실시예에 따른 EDR 시스템을 설명하는 도면이다.
도 2는 도 1에 있는 EDR 단말 장치의 물리적 구성을 설명하는 도면이다.
도 3은 도 1에 있는 EDR 단말 장치의 기능적 구성을 설명하는 블록도이다.
도 4는 도 1에 있는 EDR 단말 장치에서 수행되는 EDR 과정을 설명하는 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 EDR 시스템의 전체 프로세스를 설명하는 개념도이다.1 is a diagram illustrating an EDR system according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating a physical configuration of the EDR terminal device in FIG. 1.
3 is a block diagram illustrating a functional configuration of the EDR terminal device in FIG. 1.
4 is a flowchart illustrating an EDR process performed in the EDR terminal device of FIG. 1.
5 is a conceptual diagram illustrating an entire process of an EDR system according to an embodiment of the present invention.

본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.Since the description of the present invention is merely an embodiment for structural or functional description, the scope of the present invention should not be construed as being limited by the embodiments described in the text. That is, since the embodiments can be variously changed and have various forms, the scope of the present invention should be understood to include equivalents capable of realizing the technical idea. In addition, since the object or effect presented in the present invention does not mean that a specific embodiment should include all or only such effects, the scope of the present invention should not be understood as being limited thereto.

한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.Meanwhile, the meaning of terms described in the present application should be understood as follows.

"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.Terms such as "first" and "second" are used to distinguish one component from other components, and the scope of rights is not limited by these terms. For example, a first component may be referred to as a second component, and similarly, a second component may be referred to as a first component.

어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.When a component is referred to as being "connected" to another component, it should be understood that although it may be directly connected to the other component, another component may exist in the middle. On the other hand, when it is mentioned that a component is "directly connected" to another component, it should be understood that there is no other component in the middle. On the other hand, other expressions describing the relationship between components, that is, "between" and "just between" or "neighboring to" and "directly neighboring to" should be interpreted as well.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions are to be understood as including plural expressions unless the context clearly indicates otherwise, and terms such as "comprises" or "have" refer to implemented features, numbers, steps, actions, components, parts, or It is to be understood that it is intended to designate that a combination exists and does not preclude the presence or addition of one or more other features, numbers, steps, actions, components, parts, or combinations thereof.

각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In each step, the identification code (for example, a, b, c, etc.) is used for convenience of explanation, and the identification code does not describe the order of each step, and each step has a specific sequence clearly in context. Unless otherwise stated, it may occur differently from the stated order. That is, each of the steps may occur in the same order as the specified order, may be performed substantially simultaneously, or may be performed in the reverse order.

본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can be implemented as computer-readable code on a computer-readable recording medium, and the computer-readable recording medium includes all types of recording devices storing data that can be read by a computer system. . Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, and optical data storage devices. Further, the computer-readable recording medium is distributed over a computer system connected by a network, so that the computer-readable code can be stored and executed in a distributed manner.

여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.All terms used herein have the same meaning as commonly understood by one of ordinary skill in the field to which the present invention belongs, unless otherwise defined. Terms defined in commonly used dictionaries should be construed as having meanings in the context of related technologies, and cannot be construed as having an ideal or excessively formal meaning unless explicitly defined in the present application.

도 1은 본 발명의 일 실시예에 따른 EDR 시스템을 설명하는 도면이다.1 is a diagram illustrating an EDR system according to an embodiment of the present invention.

도 1을 참조하면, EDR 시스템(100)은 EDR 단말 장치(110), EDR 서버(130) 및 데이터베이스(150)를 포함할 수 있다.Referring to FIG. 1, the EDR system 100 may include an EDR terminal device 110, an EDR server 130, and a database 150.

EDR 단말 장치(110)는 네트워크에 접근하는 사용자의 신원을 인증하고 사용자의 행위를 추적하여 시스템에 위협이 되는 행위를 감지할 수 있는 컴퓨팅 장치에 해당할 수 있고, 스마트폰, 노트북 또는 컴퓨터로 구현될 수 있으며, 반드시 이에 한정되지 않고, 태블릿 PC 등 다양한 디바이스로도 구현될 수 있다. EDR 단말 장치(110)는 EDR 서버(130)와 네트워크를 통해 연결될 수 있고, 복수의 EDR 단말 장치(110)들은 EDR 서버(130)와 동시에 연결될 수 있다. The EDR terminal device 110 may correspond to a computing device capable of detecting an act that threatens the system by authenticating the identity of a user accessing the network and tracking the user's behavior, and implemented as a smartphone, laptop, or computer. It may be, but is not limited thereto, and may be implemented in various devices such as a tablet PC. The EDR terminal device 110 may be connected to the EDR server 130 through a network, and a plurality of EDR terminal devices 110 may be connected to the EDR server 130 at the same time.

일 실시예에서, EDR 단말 장치(110)는 엔드포인트(endpoint) 단말로서 사용자 또는 업무용 PC에 해당할 수 있고, 사용자 행위들에 관한 정보를 수집하고 이를 서버로 전송하는 동작을 수행하는 엔드포인트 에이전트의 동작을 제어할 수 있다. 또한, EDR 단말 장치(110)는 사용자의 신원을 인증할 수 있고, 엔드포인트 에이전트와 연동하여 사용자의 접근 및 이용을 제한할 수 있다.In one embodiment, the EDR terminal device 110 may correspond to a user or a work PC as an endpoint terminal, and an endpoint agent that collects information on user actions and transmits it to a server. Can control the operation of In addition, the EDR terminal device 110 may authenticate the user's identity, and may restrict the user's access and use by interworking with the endpoint agent.

여기에서, 엔드포인트 에이전트는 엔드포인트 단말 상에서 동작하는 프로그램에 해당할 수 있고, 사용자 행위를 모니터링 하는 역할을 수행할 수 있다. 엔드포인트 에이전트는 사용자 트래커(tracker), 네트워크 데이터 트래커, 파일 메타데이터 처리기 및 시큐리티 정책 집행기를 포함할 수 있다.Here, the endpoint agent may correspond to a program running on the endpoint terminal and may perform a role of monitoring user behavior. The endpoint agent may include a user tracker, a network data tracker, a file metadata handler, and a security policy enforcer.

사용자 트래커는 사용자의 행위를 추적하는 동작을 수행할 수 있고, 네트워크 데이터 트래커는 네트워크 트래픽 데이터를 수집하고 분석하는 동작을 수행할 수 있으며, 파일 메타데이터 처리기는 파일로부터 메타데이터를 추출하고 분석하는 동작을 수행할 수 있고, 시큐리티 정책 집행기는 EDR 서버(130)로부터 수신된 시큐리티 정책에 따라 사용자의 행위에 대한 허용여부를 결정하는 동작을 수행할 수 있다.User tracker can perform actions to track user behavior, network data tracker can perform actions to collect and analyze network traffic data, and file metadata handler actions to extract and analyze metadata from files. May be performed, and the security policy executor may perform an operation of determining whether to allow the user's behavior according to the security policy received from the EDR server 130.

EDR 서버(130)는 EDR 단말 장치(110)로부터 수집된 사용자의 행위에 관한 저장, 학습, 분석 및 탐지 등의 동작을 수행하는 컴퓨터 또는 프로그램에 해당하는 서버로 구현될 수 있다. EDR 서버(130)는 EDR 단말 장치(110)와 블루투스, WiFi, 통신망 등을 통해 무선으로 연결될 수 있고, 네트워크를 통해 EDR 단말 장치(110)와 데이터를 주고받을 수 있다.The EDR server 130 may be implemented as a server corresponding to a computer or program that performs operations such as storage, learning, analysis, and detection of user actions collected from the EDR terminal device 110. The EDR server 130 may be wirelessly connected to the EDR terminal device 110 through Bluetooth, WiFi, or a communication network, and may exchange data with the EDR terminal device 110 through a network.

일 실시예에서, EDR 서버(130)는 데이터베이스(150)와 연동하여 엔드포인트 단말에 대한 모니터링, 분석 및 탐지를 수행할 수 있다. 한편, EDR 서버(130)는 도 1과 달리, 데이터베이스(150)를 내부에 포함하여 구현될 수 있다. EDR 서버(130)는 프로세서, 메모리, 사용자 입출력부 및 네트워크 입출력부를 포함하여 구현될 수 있으며, 이에 대해서는 도 2에서 보다 자세히 설명한다.In one embodiment, the EDR server 130 may perform monitoring, analysis, and detection for an endpoint terminal in connection with the database 150. Meanwhile, unlike FIG. 1, the EDR server 130 may be implemented by including the database 150 therein. The EDR server 130 may be implemented including a processor, a memory, a user input/output unit, and a network input/output unit, which will be described in more detail with reference to FIG. 2.

데이터베이스(150)는 엔드포인트 단말에 대한 모니터링, 분석 및 탐지 과정에서 필요한 다양한 정보들을 저장하는 저장장치에 해당할 수 있다. 데이터베이스(150)는 EDR 단말 장치(110)로부터 수집된 사용자 행위에 관한 정보를 저장할 수 있으나, 반드시 이에 한정되지 않고, 학습 알고리즘, 보안 정책 등 엔드포인트 단말에서의 이상 행위를 탐지하고 대응하는 과정에서 다양한 형태로 수집 또는 가공된 정보들을 저장할 수 있다.The database 150 may correspond to a storage device that stores various pieces of information necessary for monitoring, analysis, and detection of an endpoint terminal. The database 150 may store information on user behavior collected from the EDR terminal device 110, but is not necessarily limited thereto, and in the process of detecting and responding to abnormal behavior in the endpoint terminal such as learning algorithms and security policies. Information collected or processed in various forms can be stored.

도 2는 도 1에 있는 EDR 단말 장치의 물리적 구성을 설명하는 도면이다.FIG. 2 is a diagram illustrating a physical configuration of the EDR terminal device in FIG. 1.

도 2를 참조하면, EDR 단말 장치(110)는 프로세서(210), 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)를 포함하여 구현될 수 있다.Referring to FIG. 2, the EDR terminal device 110 may include a processor 210, a memory 230, a user input/output unit 250, and a network input/output unit 270.

프로세서(210)는 사용자 신원 인증과 엔드포인트 에이전트의 각 동작을 처리하는 프로시저를 실행할 수 있고, 그 과정 전반에서 읽혀지거나 작성되는 메모리(230)를 관리할 수 있으며, 메모리(230)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄할 수 있다. 프로세서(210)는 EDR 단말 장치(110)의 동작 전반을 제어할 수 있고, 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(210)는 EDR 단말 장치(110)의 CPU(Central Processing Unit)로 구현될 수 있다.The processor 210 can execute a procedure that processes user identity authentication and each operation of the endpoint agent, can manage the memory 230 that is read or written throughout the process, and can be volatile in the memory 230 You can schedule the synchronization time between memory and non-volatile memory. The processor 210 can control the overall operation of the EDR terminal device 110, and is electrically connected to the memory 230, the user input/output unit 250, and the network input/output unit 270 to control data flow between them. I can. The processor 210 may be implemented as a CPU (Central Processing Unit) of the EDR terminal device 110.

메모리(230)는 SSD(Solid State Drive) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 EDR 단말 장치(110)에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다.The memory 230 may include an auxiliary memory device implemented as a nonvolatile memory such as a solid state drive (SSD) or a hard disk drive (HDD) and used to store all data required for the EDR terminal device 110, A main memory device implemented with volatile memory such as random access memory (RAM) may be included.

사용자 입출력부(250)는 사용자 입력을 수신하기 위한 환경 및 사용자에게 특정 정보를 출력하기 위한 환경을 포함할 수 있다. 예를 들어, 사용자 입출력부(250)는 터치 패드, 터치 스크린, 화상 키보드 또는 포인팅 장치와 같은 어댑터를 포함하는 입력장치 및 모니터 또는 터치스크린과 같은 어댑터를 포함하는 출력장치를 포함할 수 있다. 일 실시예에서, 사용자 입출력부(250)는 원격 접속을 통해 접속되는 컴퓨팅 장치에 해당할 수 있고, 그러한 경우, EDR 단말 장치(110)는 서버로서 수행될 수 있다.The user input/output unit 250 may include an environment for receiving a user input and an environment for outputting specific information to a user. For example, the user input/output unit 250 may include an input device including an adapter such as a touch pad, a touch screen, an on-screen keyboard, or a pointing device, and an output device including an adapter such as a monitor or a touch screen. In one embodiment, the user input/output unit 250 may correspond to a computing device accessed through a remote connection, and in that case, the EDR terminal device 110 may be performed as a server.

네트워크 입출력부(270)은 네트워크를 통해 외부 장치 또는 시스템과 연결하기 위한 환경을 포함하고, 예를 들어, LAN(Local Area Network), MAN(Metropolitan Area Network), WAN(Wide Area Network) 및 VAN(Value Added Network) 등의 통신을 위한 어댑터를 포함할 수 있다.The network input/output unit 270 includes an environment for connecting to an external device or system through a network, for example, a local area network (LAN), a metropolitan area network (MAN), a wide area network (WAN), and a VAN ( Value Added Network) may include an adapter for communication.

도 3은 도 1에 있는 EDR 단말 장치의 기능적 구성을 설명하는 블록도이다.3 is a block diagram illustrating a functional configuration of the EDR terminal device in FIG. 1.

도 3을 참조하면, EDR 단말 장치(110)는 사용자 식별부(310), 사용자 세션 처리부(330), 사용자 행위 처리부(350) 및 제어부(370)를 포함할 수 있다.Referring to FIG. 3, the EDR terminal device 110 may include a user identification unit 310, a user session processing unit 330, a user behavior processing unit 350, and a control unit 370.

사용자 식별부(310)는 사용자 신원이 성공적으로 인증되면 EDR (Endpoint Detection and Response) 서버(130)로부터 사용자 식별자를 수신할 수 있다. 즉, 사용자는 EDR 단말 장치(110)에 대한 사용 권한을 획득하기 위한 전단계로서 사용자 인증을 수행할 수 있고, 사용자 식별부(310)는 사용자 신원에 대한 인증에 성공한 경우 EDR 서버(130)로부터 해당 사용자 신원과 연관된 사용자 식별자를 요청하여 수신할 수 있다. The user identification unit 310 may receive a user identification from the endpoint detection and response (EDR) server 130 when the user identification is successfully authenticated. That is, the user may perform user authentication as a preliminary step for obtaining the use authority for the EDR terminal device 110, and the user identification unit 310 corresponds to the corresponding from the EDR server 130 when the authentication for the user identity is successful. It is possible to request and receive a user identifier associated with a user identity.

일 실시예에서, 사용자 식별부(310)는 사용자에 의해 입력된 생체인식 정보 또는 ID 카드 정보를 기초로 사용자 신원에 관한 인증을 수행하는 신원 인증 모듈을 포함할 수 있다. 신원 인증 모듈은 사용자의 신원을 인증하는 사용자 신원 인증기(User Identity Authenticator, UIA)로서 동작할 수 있다. 생체인식 정보는 사용자의 지문, 얼굴, 홍채 및 음성 등을 포함할 수 있다. ID 카드는 신용카드, 출입증 등과 같이 사용자 식별 정보를 포함하는 카드에 해당할 수 있다. 신원 인증 모듈은 사용자로부터 생체인식 정보 또는 ID 카드 정보가 수신되면, 사전에 등록된 정보와의 비교를 통해 신원 인증을 수행할 수 있다.In an embodiment, the user identification unit 310 may include an identity authentication module that performs authentication on a user identity based on biometric information or ID card information input by the user. The identity authentication module may operate as a user identity authenticator (UIA) that authenticates the identity of a user. The biometric information may include a user's fingerprint, face, iris, and voice. The ID card may correspond to a card including user identification information, such as a credit card or a pass. When biometric information or ID card information is received from a user, the identity authentication module may perform identity authentication through comparison with previously registered information.

사용자 세션 처리부(330)는 수신된 사용자 식별자의 로그인 여부를 검출하고 사용자 신원 기반 세션의 생성을 요청할 수 있다. 사용자 세션 처리부(330)는 사용자의 로그인이 검출된 경우 EDR 단말 장치(110)가 해당 사용자에 의해 사용되는 과정에서 해당 사용자의 행위를 추적하기 위하여 해당 사용자에 고유한 세션이 생성되도록 처리할 수 있다. 이 경우 사용자 세션 처리부(330)는 사용자 트래커의 역할을 수행할 수 있다.The user session processing unit 330 may detect whether or not the received user identifier is logged in and request the creation of a user identity-based session. When the user's login is detected, the user session processing unit 330 may process the EDR terminal device 110 to create a session unique to the user in order to track the user's behavior in the process of being used by the user. . In this case, the user session processing unit 330 may serve as a user tracker.

일 실시예에서, 사용자 세션 처리부(330)는 로그인 DB를 참조하여 수신된 사용자 식별자의 로그인이 확인된 경우 로그인 이벤트를 생성하여 수신된 사용자 식별자 및 사용자 계정과 함께 EDR 서버(130)에게 전송할 수 있다. 로그인 DB는 데이터베이스(150)에 포함되어 구현되거나 또는 데이터베이스(150)와 독립적인 장치로서 구현될 수 있으며, 이 경우 데이터베이스(150)와 네트워크를 통해 연결될 수 있다. 사용자 세션 처리부(330)는 로그인 DB를 통해 사용자의 로그인이 결정되면 로그인 이벤트를 생성하여 사용자 식별자 및 사용자 계정에 관한 정보를 포함하는 이벤트 메시지를 EDR 서버(130)로 전송할 수 있다.In one embodiment, the user session processing unit 330 may generate a login event and transmit it to the EDR server 130 together with the received user ID and user account when the login of the received user ID is confirmed with reference to the login DB. . The login DB may be implemented by being included in the database 150 or may be implemented as a device independent from the database 150, and in this case, it may be connected to the database 150 through a network. When the user's login is determined through the login DB, the user session processing unit 330 may generate a login event and transmit an event message including information on a user identifier and user account to the EDR server 130.

일 실시예에서, 사용자 세션 처리부(330)는 로그인 이벤트 ID, 사용자 식별자 및 사용자 계정 정보를 연결한 후 암호화하여 인코딩된 메시지를 이벤트 메시지로서 생성할 수 있다. 특히, 로그인 이벤트 ID는 사용자의 로그인 시각과 장소 정보를 기초로 이벤트 별로 고유하게 정의될 수 있다. 또한, 사용자 세션 처리부(330)는 이벤트 메시지의 처음 또는 끝에 EDR 단말 장치(110)에 관한 정보를 추가하여 이벤트 메시지를 생성할 수 있다.In an embodiment, the user session processing unit 330 may generate an encoded message as an event message by linking the login event ID, the user identifier, and the user account information, and then encrypting the message. In particular, the login event ID may be uniquely defined for each event based on the user's login time and location information. In addition, the user session processing unit 330 may generate an event message by adding information about the EDR terminal device 110 at the beginning or end of the event message.

사용자 행위 처리부(350)는 사용자 신원 기반 세션을 통해 사용자의 행위를 추적하고 시큐리티(security) 정책을 통해 사용자의 행위를 사전에 제어할 수 있다. 이 경우 사용자 행위 처리부(350)는 시큐리티 정책 집행기의 역할을 수행할 수 있다.The user behavior processing unit 350 may track a user's behavior through a user identity-based session and control the user's behavior in advance through a security policy. In this case, the user behavior processing unit 350 may serve as a security policy executor.

사용자 신원 기반 세션은 EDR 서버(130)를 통해 사용자 별로 유지될 수 있으며, 사용자가 EDR 단말 장치(110)에 로그인 한 시점에 생성되어 로그아웃 한 시점까지 유지될 수 있다. 사용자 행위 처리부(350)는 EDR 단말 장치(110)에서 수행되는 사용자의 행위로서 파일에 대한 행위와 그 이외의 행위들을 추적하고 관련 정보를 수집할 수 있다. 사용자 행위 처리부(350)는 사용자의 각 행위가 발생할 때마다 시큐리티 정책에 따라 허용 여부를 결정할 수 있고, 이를 통해 사용자의 행위를 제어할 수 있다.The user identity-based session may be maintained for each user through the EDR server 130, and may be created at the time when the user logs in to the EDR terminal device 110 and maintained until the time at which the user logs out. The user behavior processing unit 350 may track a file behavior and other behaviors as a user's behavior performed by the EDR terminal device 110 and collect related information. The user action processing unit 350 may determine whether to allow each action of the user according to the security policy whenever each action occurs, and thereby control the action of the user.

일 실시예에서, 사용자 행위 처리부(350)는 사용자 신원 기반 세션이 유지된 상태에서 사용자 계정의 단말 이동이 발생한 경우 사용자 식별자, 단말 정보 및 사용자 계정을 기초로 사용자 신원 기반 세션의 갱신을 요청할 수 있다. 단말 이동이란 동일한 사용자 계정에 대한 사용자의 행위가 서로 다른 EDR 단말 장치(110)에서 순차적으로 발생한 경우에 해당할 수 있다. In an embodiment, the user behavior processing unit 350 may request an update of a user identity-based session based on a user identifier, terminal information, and a user account when a terminal movement of a user account occurs while a user identity-based session is maintained. . The terminal movement may correspond to a case in which a user's actions for the same user account occur sequentially in different EDR terminal devices 110.

즉, 특정 사용자 계정으로 제1 EDR 단말 장치에서 사용자 행위가 발견된 이후 제2 EDR 단말 장치에서 해당 사용자 계정에 관한 사용자 행위가 발견된 경우 사용자가 제1 DER 단말 장치에서 제2 EDR 단말 장치로 장치 간에 이동한 것에 해당할 수 있다. 사용자 행위 처리부(350)는 사용자 신원 기반 세션 내에서 단말 이동이 발생한 경우 해당 정보들을 EDR 서버(130)에 전송하여 세션 변경을 요청할 수 있고, EDR 서버(130)는 해당 요청에 따라 사용자 신원 기반 세션에 이동한 단말에 대한 정보를 추가함으로써 갱신 동작을 수행할 수 있다.That is, if a user behavior related to the user account is found in the second EDR terminal device after the user's behavior is found in the first EDR terminal device with a specific user account, the user can install the device from the first DER terminal device to the second EDR terminal device It may correspond to what has moved between the livers. When a terminal movement occurs within a user identity-based session, the user behavior processing unit 350 may transmit the corresponding information to the EDR server 130 to request a session change, and the EDR server 130 may request a user identity-based session. The update operation can be performed by adding information on the mobile terminal to the terminal.

일 실시예에서, 사용자 행위 처리부(350)는 사용자의 행위와 연관된 데이터를 비-파일 데이터와 파일 데이터로 분류하고 파일 데이터 중에서 비-추적대상파일 데이터를 비-파일 데이터와 함께 EDR 서버(130)로 전송할 수 있다. EDR 단말 장치(110)는 사용자 행위 처리부(350)를 통해 네트워크 데이터 트래커로서의 역할을 수행할 수 있다. In one embodiment, the user behavior processing unit 350 classifies the data related to the user's behavior into non-file data and file data, and among the file data, the non-track target file data together with the non-file data, the EDR server 130 Can be transferred to. The EDR terminal device 110 may serve as a network data tracker through the user behavior processing unit 350.

즉, 사용자 행위 처리부(350)는 사용자 신원 기반 세션 내에서 발생한 사용자의 행위들이 파일과 연관되었는지를 기준으로 파일 데이터와 비-파일 데이터로 구분할 수 있다. 또한, 사용자 행위 처리부(350)는 파일과 연관 없는 사용자의 행위에 대해 비-파일 데이터로서 EDR 서버(130)에게 제공할 수 있다. 사용자 행위 처리부(350)는 파일 데이터를 추적대상파일과 비-추적대상파일로 구분할 수 있고, 비-추적대상파일 데이터를 EDR 서버(130)에게 제공할 수 있다. 이 경우 사용자 행위 처리부(350)는 네트워크 데이터 트래커의 역할을 수행할 수 있다.That is, the user behavior processing unit 350 may classify into file data and non-file data based on whether the user's behaviors occurring in the user identity-based session are associated with a file. In addition, the user behavior processing unit 350 may provide the EDR server 130 as non-file data about a user's behavior that is not related to a file. The user behavior processing unit 350 may divide the file data into a tracking target file and a non-tracking target file, and may provide the non-tracking target file data to the EDR server 130. In this case, the user behavior processing unit 350 may serve as a network data tracker.

일 실시예에서, 사용자 행위 처리부(350)는 사용자의 행위와 연관된 파일 데이터가 추적대상파일인 경우 EDR 서버(130)로 해당 추적대상파일의 메타데이터를 전송하고 EDR 서버(130)로부터 해당 메타데이터의 변경 알림이 수신되면 SYSCALL 그래프를 생성할 수 있다. 이를 위하여 사용자 행위 처리부(350)는 추적대상파일의 메타데이터를 추출하기 위한 메타데이터 추출 모듈을 포함할 수 있다. 메타데이터 추출 모듈은 File Metadata Extractor(FME)의 기능을 수행할 수 있다. 이 경우 사용자 행위 처리부(350)는 파일 메타데이터 처리기의 역할을 수행할 수 있다.In one embodiment, the user behavior processing unit 350 transmits the metadata of the trace target file to the EDR server 130 when the file data associated with the user's behavior is a trace target file, and the corresponding metadata from the EDR server 130 When a change notification of is received, the SYSCALL graph can be created. To this end, the user behavior processing unit 350 may include a metadata extraction module for extracting metadata of a file to be tracked. The metadata extraction module may perform the function of a File Metadata Extractor (FME). In this case, the user action processing unit 350 may serve as a file metadata processor.

또한, SYSCALL 그래프는 EDR 단말 장치(110)에서 사용자의 행위와 연관되어 발생한 시스템 호출(SYSCALL)들의 호출 관계를 나타내는 제어 흐름 그래프에 해당할 수 있다. 추적대상파일은 시스템의 동작에 중대한 영향을 미칠 수 있는 파일에 해당할 수 있고, 권한 없는 외부자에게 노출되지 않도록 엄격하게 관리할 필요가 있다. In addition, the SYSCALL graph may correspond to a control flow graph indicating a call relationship between system calls (SYSCALL) generated in association with a user's behavior in the EDR terminal device 110. The traceable file may correspond to a file that can have a significant influence on the operation of the system, and it is necessary to strictly manage it so that it is not exposed to unauthorized outsiders.

따라서, 사용자 행위 처리부(350)는 추적대상파일에 있어서 사용자의 행위가 검출된 경우 해당 파일에 대한 정보를 메타데이터 형태로 EDR 서버(130)에 전송할 수 있고, EDR 서버(130)로부터 분석 결과를 수신하여 해당 파일과 연관되어 수행된 시스템 호출에 관한 정보를 생성할 수 있다.Therefore, when the user's behavior is detected in the file to be tracked, the user behavior processing unit 350 may transmit information about the file to the EDR server 130 in the form of metadata, and the analysis result from the EDR server 130 is transmitted. It can receive and generate information about the system calls made in association with the file.

일 실시예에서, 사용자 행위 처리부(350)는 시큐리티 정책에 따라 SYSCALL 그래프의 위험패턴을 검출할 수 있다. 시큐리티 정책은 EDR 단말 장치(110)에서 이상 행위를 감지하기 위해 EDR 서버(130)에 의해 생성되고 관리될 수 있으며, EDR 단말 장치(110)는 EDR 서버(130)로부터 주기적으로 시큐리티 정책을 수신하여 갱신할 수 있다. 또한, 시큐리티 정책은 위험행위 분석에 따른 비-파일 데이터의 처리 규칙과 위험패턴 분석에 따른 파일 데이터 중 추적대상파일 데이터의 처리 규칙을 포함할 수 있다. 사용자 행위 처리부(350)는 생성된 SYSCALL 그래프를 EDR 서버(130)로 제공할 수 있고, 시큐리티 정책에 포함된 SYSCALL 그래프의 정상 패턴과의 비교를 통해 정상 패턴과 다른 위험패턴을 검출할 수 있다.In an embodiment, the user behavior processing unit 350 may detect a risk pattern of a SYSCALL graph according to a security policy. The security policy may be created and managed by the EDR server 130 to detect abnormal behavior in the EDR terminal device 110, and the EDR terminal device 110 periodically receives the security policy from the EDR server 130 It can be renewed. In addition, the security policy may include processing rules for non-file data according to risk behavior analysis and processing rules for file data to be tracked among file data according to risk pattern analysis. The user behavior processing unit 350 may provide the generated SYSCALL graph to the EDR server 130, and may detect a risk pattern different from the normal pattern through comparison with the normal pattern of the SYSCALL graph included in the security policy.

이를 위하여 사용자 행위 처리부(350)는 SYSCALL 그래프 간의 유사도를 결정할 수 있고, 유사도가 임계 기준 미만인 경우 해당 SYSCALL 그래프가 정상 패턴이 아닌 위험패턴인 것으로 결정할 수 있다. 사용자 행위 처리부(350)는 SYSCALL 그래프의 위험패턴이 검출된 경우 시큐리티 정책을 기초로 해당 SYSCALL 그래프와 연관된 추적대상 파일 데이터를 격리시킬 수 있고, 이에 대한 사용자의 행위를 제한시킬 수 있다. 또한, 사용자 행위 처리부(350)는 해당 처리 결과를 EDR 서버(130)에 제공할 수 있다.To this end, the user behavior processing unit 350 may determine the degree of similarity between the SYSCALL graphs, and if the degree of similarity is less than the threshold criterion, the corresponding SYSCALL graph may determine that the corresponding SYSCALL graph is not a normal pattern but a risk pattern. When the risk pattern of the SYSCALL graph is detected, the user behavior processing unit 350 may isolate the tracking target file data associated with the corresponding SYSCALL graph based on the security policy, and limit the user's behavior for this. In addition, the user behavior processing unit 350 may provide the processing result to the EDR server 130.

제어부(370)는 EDR 단말 장치(110)의 전체적인 동작을 제어하고, 사용자 식별부(310), 사용자 세션 처리부(330) 및 사용자 행위 처리부(350) 간의 제어 흐름 또는 데이터 흐름을 관리할 수 있다.The controller 370 may control the overall operation of the EDR terminal device 110 and manage a control flow or data flow between the user identification unit 310, the user session processing unit 330, and the user behavior processing unit 350.

도 4는 도 1에 있는 EDR 단말 장치에서 수행되는 EDR 과정을 설명하는 흐름도이다.4 is a flowchart illustrating an EDR process performed in the EDR terminal device of FIG. 1.

도 4를 참조하면, EDR 단말 장치(110)는 사용자 식별부(310)를 통해 사용자 신원이 성공적으로 인증되면 EDR (Endpoint Detection and Response) 서버(130)로부터 사용자 식별자를 수신할 수 있다(단계 S410). EDR 단말 장치(110)는 사용자 식별부(310)를 통해 수신된 사용자 식별자의 로그인 여부를 검출하고 사용자 신원 기반 세션의 생성을 요청할 수 있다(단계 S430). EDR 단말 장치(110)는 사용자 식별부(310)를 통해 사용자 신원 기반 세션을 통해 사용자의 행위를 추적하고 시큐리티(security) 정책을 통해 사용자의 행위를 사전에 제어할 수 있다(단계 S450).Referring to FIG. 4, the EDR terminal device 110 may receive a user ID from the endpoint detection and response (EDR) server 130 when the user identity is successfully authenticated through the user identification unit 310 (step S410). ). The EDR terminal device 110 may detect whether the user identifier received through the user identification unit 310 is logged in, and request the creation of a user identity-based session (step S430). The EDR terminal device 110 may track a user's behavior through a user identity-based session through the user identification unit 310 and control the user's behavior in advance through a security policy (step S450).

도 5는 본 발명의 일 실시예에 따른 EDR 시스템의 전체 프로세스를 설명하는 개념도이다.5 is a conceptual diagram illustrating an entire process of an EDR system according to an embodiment of the present invention.

도 5를 참조하면, EDR 시스템(100)은 EDR 단말 장치(510)에서 동작하는 엔드포인트 에이전트, EDR 서버(530) 및 데이터베이스(150)를 포함할 수 있다. EDR 서버(530)는 프론트-엔드 서버와 분석 서버로 구성될 수 있으며, 프론트-엔드 서버는 엔드포인트 에이전트로부터 수집된 정보를 기초로 분석서버에 엔드포인트의 가시성을 제공하는 동작을 수행할 수 있다. 분석서버는 엔드포인트 에이전트에서 사용하도록 시큐리티 정책을 생성하고 배포하는 역할을 수행할 수 있다.Referring to FIG. 5, the EDR system 100 may include an endpoint agent operating in the EDR terminal device 510, an EDR server 530, and a database 150. The EDR server 530 may be composed of a front-end server and an analysis server, and the front-end server may perform an operation of providing visibility of an endpoint to the analysis server based on information collected from the endpoint agent. . The analysis server can play a role of creating and distributing security policies for use by endpoint agents.

특히, 분석서버는 주기적으로 시큐리티 정책을 엔드포인트 에이전트에게 제공하여 엔드포인트 에이전트가 오프라인으로 동작할 경우에도 일정 수준 이상의 보안성을 유지할 수 있도록 유도할 수 있다. 분석 서버는 관련 동작을 위하여 독립적인 SIEM(Security Information and Event Management) 모듈과 연결될 수 있고, 분석(통계 또는 알람) 결과를 다양한 인터페이스를 통해 시각화하여 관리자에게 제공할 수 있다.In particular, the analysis server can provide a security policy to the endpoint agent on a periodic basis, so that even when the endpoint agent operates offline, it can induce to maintain a certain level of security or higher. The analysis server can be connected to an independent SIEM (Security Information and Event Management) module for related operations, and can visualize the results of analysis (statistics or alarms) through various interfaces and provide them to an administrator.

여기에서, SIEM 모듈은 빅데이터의 방대한 정보 속에서 단순한 로그 수집 및 분석이 아닌 사후에 추적 등이 가능하도록 상관분석과 포렌식 기능을 제공해주는 지능적 위협에 대한 조기 경고 모니터링 체계에 해당할 수 있다. 즉, SIEM 모듈은 정보시스템의 보안 정보 및 이벤트 관리를 통해 내부 및 외부 위협을 모니터링 함으로써 외부의 공격은 물론, 내부 정보유출 또한 방지하는 기능을 수행할 수 있다.Here, the SIEM module may correspond to an early warning monitoring system for intelligent threats that provides correlation analysis and forensic functions to enable post-mortem tracking, etc., rather than simple log collection and analysis in the vast information of big data. That is, the SIEM module can perform a function to prevent external attacks as well as internal information leakage by monitoring internal and external threats through the security information and event management of the information system.

도 5에서, EDR 단말 장치(510)는 EDR 서버(530)의 프론트-엔드 서버와 결되어 사용자 신원 기반 세션을 유지 및 갱신할 수 있고, 이를 기초로 사용자의 행위를 추적할 수 있다. 이를 위하여 EDR 단말 장치(510)는 사용자 식별부(310)를 통해 사용자의 신원 인증을 수행할 수 있고, 예를 들어, 사용자의 생체 정보 또는 신원 카드 정보를 기초로 신원 인증을 수행할 수 있다. 특히, EDR 단말 장치(510)는 사용자 신원 인증을 독립적으로 수행할 수 있는 신원 인증 모듈(UIA)을 포함하여 구현될 수 있다. EDR 단말 장치(510)는 사용자 신원 인증에 성공한 경우 프론트-엔드 서버로부터 사용자 식별자를 수신할 수 있고, 이는 사용자 신원 기반 세션의 생성 및 유지에 활용될 수 있다.In FIG. 5, the EDR terminal device 510 is connected to the front-end server of the EDR server 530 to maintain and update a user identity-based session, and can track a user's behavior based on this. To this end, the EDR terminal device 510 may perform identification of a user through the user identification unit 310, and, for example, may perform identification based on the user's biometric information or identification card information. In particular, the EDR terminal device 510 may be implemented by including an identity authentication module (UIA) capable of independently performing user identity authentication. When the user identity authentication is successful, the EDR terminal device 510 may receive a user identifier from the front-end server, which may be used to create and maintain a user identity-based session.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the above has been described with reference to preferred embodiments of the present invention, those skilled in the art will variously modify and change the present invention within the scope not departing from the spirit and scope of the present invention described in the following claims. You will understand that you can do it

100: EDR 시스템
110: EDR 단말 장치 130: EDR 서버
150: 데이터베이스
210: 프로세서 230: 메모리
250: 사용자 입출력부 270: 네트워크 입출력부
310: 사용자 식별부 330: 사용자 세션 처리부
350: 사용자 행위 처리부 370: 제어부
510: EDR 단말 장치 530: EDR 서버100: EDR system
110: EDR terminal device 130: EDR server
150: database
210: processor 230: memory
250: user input/output unit 270: network input/output unit
310: user identification unit 330: user session processing unit
350: user behavior processing unit 370: control unit
510: EDR terminal device 530: EDR server

Claims (8)

사용자 신원이 성공적으로 인증되면 EDR (Endpoint Detection and Response) 서버로부터 사용자 식별자를 수신하는 사용자 식별부;
상기 수신된 사용자 식별자의 로그인 여부를 검출하고 사용자 신원 기반 세션의 생성을 요청하는 사용자 세션 처리부; 및
상기 사용자 신원 기반 세션을 통해 사용자의 행위를 추적하고 시큐리티(security) 정책을 통해 상기 사용자의 행위를 사전에 제어하는 사용자 행위 처리부를 포함하되,
상기 사용자 행위 처리부는 상기 사용자 신원 기반 세션이 유지된 상태에서 사용자 계정의 단말 이동이 발생한 경우 사용자 식별자, 단말 정보 및 사용자 계정을 기초로 상기 사용자 신원 기반 세션의 갱신을 요청하고, 상기 사용자의 행위와 연관된 파일 데이터가 추적대상파일인 경우 상기 사용자 신원 기반 세션을 통해 상기 EDR 서버로 해당 추적대상파일의 메타데이터를 전송하고 상기 EDR 서버로부터 해당 메타데이터의 변경 알림이 수신되면 SYSCALL 그래프를 생성하는 것을 특징으로 하는 EDR 단말 장치.
A user identification unit receiving a user identifier from an endpoint detection and response (EDR) server when the user identity is successfully authenticated;
A user session processing unit that detects whether the received user identifier is logged in and requests creation of a user identity-based session; And
A user behavior processing unit that tracks a user's behavior through the user identity-based session and controls the user's behavior in advance through a security policy,
The user behavior processing unit requests an update of the user identity-based session based on a user identifier, terminal information, and a user account when the user account's terminal movement occurs while the user identity-based session is maintained, and the user's behavior and When the associated file data is a tracking target file, the metadata of the tracking target file is transmitted to the EDR server through the user identity-based session, and a SYSCALL graph is generated when a notification of the change of the metadata is received from the EDR server. EDR terminal device made into.
 제1항에 있어서, 상기 사용자 식별부는
사용자에 의해 입력된 생체인식 정보 또는 ID 카드 정보를 기초로 상기 사용자 신원에 관한 인증을 수행하는 신원 인증 모듈을 포함하는 것을 특징으로 하는 EDR 단말 장치.
The method of claim 1, wherein the user identification unit
An EDR terminal device comprising an identity authentication module that authenticates the user's identity based on biometric information or ID card information input by a user.
 제1항에 있어서, 상기 사용자 세션 처리부는
로그인 DB를 참조하여 상기 수신된 사용자 식별자의 로그인이 확인된 경우 로그인 이벤트를 생성하여 상기 수신된 사용자 식별자 및 사용자 계정과 함께 상기 EDR 서버에게 전송하는 것을 특징으로 하는 EDR 단말 장치.
The method of claim 1, wherein the user session processing unit
When the login of the received user ID is confirmed with reference to a login DB, a login event is generated and transmitted to the EDR server together with the received user ID and user account.
 삭제delete 제1항에 있어서, 상기 사용자 행위 처리부는
상기 사용자의 행위와 연관된 데이터를 비-파일 데이터와 파일 데이터로 분류하고 상기 파일 데이터 중에서 비-추적대상파일 데이터를 상기 비-파일 데이터와 함께 상기 EDR 서버로 전송하는 것을 특징으로 하는 EDR 단말 장치.
The method of claim 1, wherein the user behavior processing unit
And classifying data related to the user's behavior into non-file data and file data, and transmitting non-tracking target file data among the file data to the EDR server together with the non-file data.
 삭제delete 제1항에 있어서, 상기 사용자 행위 처리부는
상기 시큐리티 정책에 따라 상기 SYSCALL 그래프의 위험패턴을 검출하는 것을 특징으로 하는 EDR 단말 장치.
The method of claim 1, wherein the user behavior processing unit
EDR terminal device, characterized in that detecting the risk pattern of the SYSCALL graph according to the security policy.
 EDR 단말 장치에서 수행되는 방법에 있어서,
사용자 신원이 성공적으로 인증되면 EDR (Endpoint Detection and Response) 서버로부터 사용자 식별자를 수신하는 단계;
상기 수신된 사용자 식별자의 로그인 여부를 검출하고 사용자 신원 기반 세션의 생성을 요청하는 단계; 및
상기 사용자 신원 기반 세션을 통해 사용자의 행위를 추적하고 시큐리티 정책을 통해 상기 사용자의 행위를 사전에 제어하는 단계를 포함하되,
상기 제어하는 단계는 상기 사용자 신원 기반 세션이 유지된 상태에서 사용자 계정의 단말 이동이 발생한 경우 사용자 식별자, 단말 정보 및 사용자 계정을 기초로 상기 사용자 신원 기반 세션의 갱신을 요청하는 단계와, 상기 사용자의 행위와 연관된 파일 데이터가 추적대상파일인 경우 상기 사용자 신원 기반 세션을 통해 상기 EDR 서버로 해당 추적대상파일의 메타데이터를 전송하고 상기 EDR 서버로부터 해당 메타데이터의 변경 알림이 수신되면 상기 사용자의 행위와 연관되어 발생한 시스템호출(SYSCALL)들의 호출 관계에 관한 SYSCALL 그래프를 생성하는 단계를 포함하는 것을 특징으로 하는 EDR 단말 방법.
In the method performed in the EDR terminal device,
Receiving a user identifier from an endpoint detection and response (EDR) server when the user identity is successfully authenticated;
Detecting whether the received user identifier is logged in and requesting creation of a session based on user identity; And
Tracking the user's behavior through the user identity-based session and controlling the user's behavior in advance through a security policy,
The controlling may include requesting an update of the user identity-based session based on a user identifier, terminal information, and a user account when a terminal movement of a user account occurs while the user identity-based session is maintained; and When the file data associated with the behavior is a traceable file, the metadata of the traceable file is transmitted to the EDR server through the user identity-based session. EDR terminal method comprising the step of generating a SYSCALL graph related to a call relationship between system calls (SYSCALL) generated in association.
KR1020190105139A 2019-08-27 2019-08-27 Endpoint detection and response terminal device and method KR102221726B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190105139A KR102221726B1 (en) 2019-08-27 2019-08-27 Endpoint detection and response terminal device and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190105139A KR102221726B1 (en) 2019-08-27 2019-08-27 Endpoint detection and response terminal device and method

Publications (1)

Publication Number Publication Date
KR102221726B1 true KR102221726B1 (en) 2021-03-03

Family

ID=75151013

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190105139A KR102221726B1 (en) 2019-08-27 2019-08-27 Endpoint detection and response terminal device and method

Country Status (1)

Country Link
KR (1) KR102221726B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114143077A (en) * 2021-11-29 2022-03-04 北京天融信网络安全技术有限公司 Terminal safety protection method and device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101814368B1 (en) 2017-07-27 2018-01-04 김재춘 Information security network integrated management system using big data and artificial intelligence, and a method thereof
US20190260785A1 (en) * 2018-02-20 2019-08-22 Darktrace Limited Endpoint agent and system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101814368B1 (en) 2017-07-27 2018-01-04 김재춘 Information security network integrated management system using big data and artificial intelligence, and a method thereof
US20190260785A1 (en) * 2018-02-20 2019-08-22 Darktrace Limited Endpoint agent and system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114143077A (en) * 2021-11-29 2022-03-04 北京天融信网络安全技术有限公司 Terminal safety protection method and device
CN114143077B (en) * 2021-11-29 2023-11-10 北京天融信网络安全技术有限公司 Terminal safety protection method and device

Similar Documents

Publication Publication Date Title
US20180007069A1 (en) Ransomware Protection For Cloud File Storage
US20190332765A1 (en) File processing method and system, and data processing method
CN111274583A (en) Big data computer network safety protection device and control method thereof
US11962611B2 (en) Cyber security system and method using intelligent agents
CN113660224B (en) Situation awareness defense method, device and system based on network vulnerability scanning
US11481478B2 (en) Anomalous user session detector
JP7311350B2 (en) MONITORING DEVICE, MONITORING METHOD, AND MONITORING PROGRAM
KR102079304B1 (en) Apparatus and method of blocking malicious code based on whitelist
WO2020210976A1 (en) System and method for detecting anomaly
CN105378745A (en) Disabling and initiating nodes based on security issue
CN111800405A (en) Detection method, detection device and storage medium
CN117708880A (en) Intelligent security processing method and system for banking data
CN113411297A (en) Situation awareness defense method and system based on attribute access control
KR102311997B1 (en) Apparatus and method for endpoint detection and response terminal based on artificial intelligence behavior analysis
KR102221726B1 (en) Endpoint detection and response terminal device and method
KR102221736B1 (en) Blockchain based device and method for endpoint detection and response
GB2535579A (en) Preventing unauthorized access to an application server
KR102018348B1 (en) User behavior analysis based target account exploit detection apparatus
KR102348357B1 (en) Apparatus and methods for endpoint detection and reponse using dynamic analysis plans
KR102348359B1 (en) Apparatus and methods for endpoint detection and reponse based on action of interest
KR20100067383A (en) Server security system and server security method
CN115085956A (en) Intrusion detection method and device, electronic equipment and storage medium
KR102627064B1 (en) Apparatus for endpoint detection and response based on ai behavior analysis
KR102670498B1 (en) Apparatus for blockchain based endpoint detection and response
CN117134999B (en) Safety protection method of edge computing gateway, storage medium and gateway

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant