KR102221736B1 - Blockchain based device and method for endpoint detection and response - Google Patents

Blockchain based device and method for endpoint detection and response Download PDF

Info

Publication number
KR102221736B1
KR102221736B1 KR1020190123739A KR20190123739A KR102221736B1 KR 102221736 B1 KR102221736 B1 KR 102221736B1 KR 1020190123739 A KR1020190123739 A KR 1020190123739A KR 20190123739 A KR20190123739 A KR 20190123739A KR 102221736 B1 KR102221736 B1 KR 102221736B1
Authority
KR
South Korea
Prior art keywords
file
blockchain
block
edr
block chain
Prior art date
Application number
KR1020190123739A
Other languages
Korean (ko)
Inventor
노태상
금동하
이성기
Original Assignee
(주)하몬소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)하몬소프트 filed Critical (주)하몬소프트
Priority to PCT/KR2019/013123 priority Critical patent/WO2021070978A1/en
Application granted granted Critical
Publication of KR102221736B1 publication Critical patent/KR102221736B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • G06F16/278Data partitioning, e.g. horizontal or vertical partitioning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • H04L67/22
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

The present invention relates to a blockchain-based EDR device and method. The device comprises: at least one virtual blockchain container consisting of a logically distributed blockchain storage, respectively; a file block configuration unit configuring a file block with a file fingerprint generated based on at least file metadata; and a blockchain management unit distributedly storing the file blocks in the at least one virtual blockchain container. Accordingly, the present invention may configure a private blockchain network to safely store and manage information collected from endpoints.

Description

블록체인 기반의 EDR 장치 및 방법{BLOCKCHAIN BASED DEVICE AND METHOD FOR ENDPOINT DETECTION AND RESPONSE}Blockchain-based EDR device and method {BLOCKCHAIN BASED DEVICE AND METHOD FOR ENDPOINT DETECTION AND RESPONSE}

본 발명은 EDR 기술에 관한 것으로, 더욱 상세하게는 프라이빗 블록체인 네트워크를 구성하여 엔드포인트로부터 수집된 정보를 안전하게 저장하고 관리할 수 있는 블록체인 기반의 EDR 장치 및 방법에 관한 것이다.The present invention relates to EDR technology, and more particularly, to a block chain-based EDR device and method capable of safely storing and managing information collected from an endpoint by configuring a private blockchain network.

EDR (Endpoint Detection and Response) 기술은 가트너(Gartner)에 의해 2013년 처음 소개되었다. 여기에서, EDR은 엔드포인트의 행위와 이벤트들을 기록하고, 수집된 행위와 이벤트들을 기반으로 공격을 탐지하고 대응하는 솔루션으로 정의되었다. 즉, EDR은 많은 사이버 공격의 목표이자 시작점을 엔드포인트로 규정하고, 엔드포인트에서 무슨 일이 일어나고 있는가라는 질문에서부터 출발한다.EDR (Endpoint Detection and Response) technology was first introduced in 2013 by Gartner. Here, EDR is defined as a solution that records the behavior and events of an endpoint, and detects and responds to attacks based on the collected behavior and events. In other words, EDR defines the target and starting point of many cyber attacks as endpoints, and starts with the question of what is happening at the endpoints.

EDR은 엔드포인트에서 다양한 정보(예: 프로세스, 네트워크 트래픽, 레지스트리, 파일, 사용자)를 수집해서 엔드포인트의 가시성을 확보한 뒤, 수집된 다양한 정보를 기반으로 행위분석, 머신러닝, IOC(Indicator of Compromise) 탐지의 기술로 알려진 그리고 알려지지 않은 위협을 탐지할 수 있다. EDR은 파일 기반의 악성 코드뿐만 아니라 파일 없이 실행되는 악성 코드에 대한 공격도 탐지할 수 있다. 또한, EDR은 위협이 발견된 엔드포인트를 격리하고, 위협을 제거할 수 있도록 대응을 가능하게 할 수 있다.EDR collects various information (e.g. process, network traffic, registry, file, user) from the endpoint to ensure the visibility of the endpoint, and then based on the collected various information, behavior analysis, machine learning, IOC (Indicator of Compromise) can detect known and unknown threats with the technology of detection. EDR can detect attacks not only against file-based malicious code but also against malicious code that runs without a file. In addition, EDR can quarantine endpoints where threats are found and enable responses to eliminate threats.

EDR은 전통적인 엔드포인트 보안 플랫폼(Endpoint Protection Platform)의 방어 기술보다 악성 코드의 공격 방법과 기술을 더욱 빠르게 진화시켰다.EDR has evolved the attack method and technology of malicious code much faster than the defense technology of the traditional Endpoint Protection Platform.

한국등록특허 제10-1814368(2018.01.04)호Korean Patent Registration No. 10-1814368 (2018.01.04)

본 발명의 일 실시예는 프라이빗 블록체인 네트워크를 구성하여 엔드포인트로부터 수집된 정보를 안전하게 저장하고 관리할 수 있는 블록체인 기반의 EDR 장치 및 방법을 제공하고자 한다.An embodiment of the present invention is to provide a block chain-based EDR device and method capable of safely storing and managing information collected from an endpoint by configuring a private blockchain network.

본 발명의 일 실시예는 UIA의 식별 인증을 통해 추적 사용자 세션을 생성하고 엔드포인트 단말로부터 수집한 사용자 행위에 관한 정보를 기초로 블록체인용 블록을 생성할 수 있는 블록체인 기반의 EDR 장치 및 방법을 제공하고자 한다.An embodiment of the present invention is a block chain-based EDR device and method capable of creating a tracking user session through identification authentication of UIA and generating a block for a block chain based on information on user behavior collected from an endpoint terminal. I want to provide.

본 발명의 일 실시예는 가상화된 블록체인 컨테이너를 기초로 멀티 블록체인 네트워크를 구축하여 추적대상파일 데이터를 안전하게 저장할 수 있는 블록체인 기반의 EDR 장치 및 방법을 제공하고자 한다.An embodiment of the present invention is to provide a block-chain-based EDR device and method capable of safely storing trace target file data by building a multi-blockchain network based on a virtualized block chain container.

실시예들 중에서, 블록체인 기반의 EDR (Endpoint Detection & Response) 장치는 각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너, 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 파일블록 구성부 및 상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 블록체인 관리부를 포함한다.Among the embodiments, each of the blockchain-based EDR (Endpoint Detection & Response) devices uses at least one virtual blockchain container composed of logically distributed blockchain storage, and at least a file fingerprint generated based on file metadata. A file block configuration unit constituting a file block and a block chain management unit distributedly storing the file block in the at least one virtual block chain container.

상기 EDR 장치는 EDR 단말 장치로부터 수신된 생성 요청에 따라 사용자 신원 기반 세션을 생성하고 상기 사용자 신원 기반 세션을 통해 상기 EDR 단말 장치와의 데이터 교환을 처리하는 엔드포인트 관리부를 더 포함할 수 있다.The EDR device may further include an endpoint management unit that generates a user identity-based session according to the generation request received from the EDR terminal device and processes data exchange with the EDR terminal device through the user identity-based session.

상기 적어도 하나의 가상 블록체인 컨테이너는 각각이 독립적으로 운영되고 프라이빗(private) 네트워크를 형성하는 각 블록체인 별로 고유 할당되어 멀티 블록체인 네트워크를 구성할 수 있다.Each of the at least one virtual block chain container is independently operated and is uniquely assigned to each block chain forming a private network to form a multi-blockchain network.

상기 파일블록 구성부는 파일 메타데이터에 해시함수를 적용하여 산출되는 해시코드로서 상기 파일 핑거프린트를 생성하고, 상기 파일 핑거프린트, EDR 단말 장치로부터 수신한 SYSCALL 그래프 및 이전 파일블록의 위치 정보로 상기 파일블록을 구성할 수 있다.The file block configuration unit generates the file fingerprint as a hash code calculated by applying a hash function to file metadata, and uses the file fingerprint, the SYSCALL graph received from the EDR terminal device, and the location information of the previous file block. You can construct blocks.

상기 파일블록 구성부는 상기 적어도 파일 메타데이터를 기초로 파일 안전등급을 결정하여 상기 파일블록에 더 추가하고, 상기 블록체인 관리부는 상기 파일 안전등급을 기초로 상기 멀티 블록체인 네트워크를 구성하는 복수의 블록체인들 중 어느 하나를 지정하여 상기 파일블록을 저장할 수 있다.The file block configuration unit further determines a file safety level based on the at least file metadata and adds it to the file block, and the block chain management unit comprises a plurality of blocks constituting the multi-blockchain network based on the file safety level. You can store the fileblock by specifying any one of the chains.

상기 블록체인 관리부는 물리적으로 분산된 복수의 블록체인 저장소들 각각을 독립적인 실제 블록체인 노드로 구성하여 상기 멀티 블록체인 네트워크의 각 블록체인 별로 고유 할당하고 상기 실제 블록체인 노드로만 구성된 별도의 프라이빗 네트워크를 구성할 수 있다.The blockchain management unit configures each of a plurality of physically distributed blockchain storages as independent real blockchain nodes, uniquely allocates them to each blockchain of the multi-blockchain network, and is a separate private network consisting only of the real blockchain nodes. Can be configured.

상기 블록체인 관리부는 상기 파일블록을 상기 실제 블록체인 노드에 분산되게 저장함으로써 상기 멀티 블록체인 네트워크에 전파할 수 있다.The block chain management unit can spread the file block to the multi-blockchain network by storing the block in a distributed manner in the actual block chain node.

실시예들 중에서, 블록체인 기반의 EDR 방법은 각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너를 생성하는 단계, 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 단계 및 상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 단계를 포함한다.Among the embodiments, the blockchain-based EDR method includes the steps of creating at least one virtual blockchain container consisting of logically distributed blockchain storage, at least a file block with a file fingerprint generated based on the file metadata. And storing the file block distributedly in the at least one virtual block chain container.

개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.The disclosed technology can have the following effects. However, since it does not mean that a specific embodiment should include all of the following effects or only the following effects, it should not be understood that the scope of the rights of the disclosed technology is limited thereby.

본 발명의 일 실시예에 따른 블록체인 기반의 EDR 장치 및 방법은 UIA의 식별 인증을 통해 추적 사용자 세션을 생성하고 엔드포인트 단말로부터 수집한 사용자 행위에 관한 정보를 기초로 블록체인용 블록을 생성할 수 있다.The block chain-based EDR device and method according to an embodiment of the present invention creates a tracking user session through identification authentication of UIA and generates a block for a block chain based on information on user behavior collected from an endpoint terminal. I can.

본 발명의 일 실시예에 따른 블록체인 기반의 EDR 장치 및 방법은 가상화된 블록체인 컨테이너를 기초로 멀티 블록체인 네트워크를 구축하여 추적대상파일 데이터를 안전하게 저장할 수 있다.The block chain-based EDR device and method according to an embodiment of the present invention may securely store track target file data by building a multi-blockchain network based on a virtualized block chain container.

도 1은 본 발명에 따른 블록체인 기반의 EDR 시스템의 구성을 설명하는 도면이다.
도 2는 도 1에 있는 EDR 장치의 물리적 구성을 설명하는 블록도이다.
도 3은 도 1에 있는 EDR 장치의 기능적 구성을 설명하는 블록도이다.
도 4는 도 1에 있는 EDR 장치에서 수행되는 블록체인 기반의 EDR 과정을 설명하는 순서도이다.
도 5 및 6은 본 발명의 일 실시예에 따른 블록체인 기반의 EDR 시스템을 설명하는 개념도이다.1 is a diagram illustrating the configuration of a block chain-based EDR system according to the present invention.
FIG. 2 is a block diagram illustrating a physical configuration of the EDR device in FIG. 1.
3 is a block diagram illustrating a functional configuration of the EDR device in FIG. 1.
4 is a flowchart illustrating a block chain-based EDR process performed in the EDR device of FIG. 1.
5 and 6 are conceptual diagrams illustrating a block chain-based EDR system according to an embodiment of the present invention.

본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.Since the description of the present invention is merely an embodiment for structural or functional description, the scope of the present invention should not be construed as being limited by the embodiments described in the text. That is, since the embodiments can be variously changed and have various forms, the scope of the present invention should be understood to include equivalents capable of realizing the technical idea. In addition, since the object or effect presented in the present invention does not mean that a specific embodiment should include all or only such effects, the scope of the present invention should not be understood as being limited thereto.

한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.Meanwhile, the meaning of terms described in the present application should be understood as follows.

"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.Terms such as "first" and "second" are used to distinguish one component from other components, and the scope of rights is not limited by these terms. For example, a first component may be referred to as a second component, and similarly, a second component may be referred to as a first component.

어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.When a component is referred to as being "connected" to another component, it should be understood that although it may be directly connected to the other component, another component may exist in the middle. On the other hand, when it is mentioned that a component is "directly connected" to another component, it should be understood that there is no other component in the middle. On the other hand, other expressions describing the relationship between components, that is, "between" and "just between" or "neighboring to" and "directly neighboring to" should be interpreted as well.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions are to be understood as including plural expressions unless the context clearly indicates otherwise, and terms such as "comprises" or "have" refer to implemented features, numbers, steps, actions, components, parts, or It is to be understood that it is intended to designate that a combination exists and does not preclude the presence or addition of one or more other features, numbers, steps, actions, components, parts, or combinations thereof.

각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In each step, the identification code (for example, a, b, c, etc.) is used for convenience of explanation, and the identification code does not describe the order of each step, and each step has a specific sequence clearly in context. Unless otherwise stated, it may occur differently from the stated order. That is, each of the steps may occur in the same order as the specified order, may be performed substantially simultaneously, or may be performed in the reverse order.

본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can be implemented as computer-readable code on a computer-readable recording medium, and the computer-readable recording medium includes all types of recording devices storing data that can be read by a computer system. . Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, and optical data storage devices. Further, the computer-readable recording medium is distributed over a computer system connected by a network, so that the computer-readable code can be stored and executed in a distributed manner.

여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.All terms used herein have the same meaning as commonly understood by one of ordinary skill in the field to which the present invention belongs, unless otherwise defined. Terms defined in commonly used dictionaries should be construed as having meanings in the context of related technologies, and cannot be construed as having an ideal or excessively formal meaning unless explicitly defined in the present application.

도 1은 본 발명에 따른 블록체인 기반의 EDR 시스템의 구성을 설명하는 도면이다.1 is a diagram illustrating the configuration of a block chain-based EDR system according to the present invention.

도 1을 참조하면, 블록체인 기반의 EDR 시스템(100)은 EDR 단말 장치(110), EDR 장치(130) 및 데이터베이스(150)를 포함할 수 있다.Referring to FIG. 1, a block chain-based EDR system 100 may include an EDR terminal device 110, an EDR device 130, and a database 150.

EDR 단말 장치(110)는 네트워크에 접근하는 사용자의 신원을 인증하고 사용자의 행위를 추적하여 시스템에 위협이 되는 행위를 감지할 수 있는 컴퓨팅 장치에 해당할 수 있고, 스마트폰, 노트북 또는 컴퓨터로 구현될 수 있으며, 반드시 이에 한정되지 않고, 태블릿 PC 등 다양한 디바이스로도 구현될 수 있다. EDR 단말 장치(110)는 EDR 장치(130)와 네트워크를 통해 연결될 수 있고, 복수의 EDR 단말 장치(110)들은 EDR 장치(130)와 동시에 연결될 수 있다. The EDR terminal device 110 may correspond to a computing device capable of detecting an act that threatens the system by authenticating the identity of a user accessing the network and tracking the user's behavior, and implemented as a smartphone, laptop, or computer. It may be, but is not limited thereto, and may be implemented in various devices such as a tablet PC. The EDR terminal device 110 may be connected to the EDR device 130 through a network, and a plurality of EDR terminal devices 110 may be connected to the EDR device 130 at the same time.

일 실시예에서, EDR 단말 장치(110)는 엔드포인트(endpoint) 단말로서 사용자 또는 업무용 PC에 해당할 수 있고, 사용자 행위들에 관한 정보를 수집하고 이를 프론트-엔드 서버로 전송하는 동작을 수행하는 엔드포인트 에이전트의 동작을 제어할 수 있다. 또한, EDR 단말 장치(110)는 사용자의 신원을 인증할 수 있고, 엔드포인트 에이전트와 연동하여 사용자의 접근 및 이용을 제한할 수 있다.In one embodiment, the EDR terminal device 110 may correspond to a user or a work PC as an endpoint terminal, and collects information on user actions and transmits it to a front-end server. You can control the behavior of the endpoint agent. In addition, the EDR terminal device 110 may authenticate the user's identity, and may restrict the user's access and use by interworking with the endpoint agent.

여기에서, 엔드포인트 에이전트는 엔드포인트 단말 상에서 동작하는 프로그램에 해당할 수 있고, 사용자 행위를 모니터링 하는 역할을 수행할 수 있다. 엔드포인트 에이전트는 사용자 트래커(tracker), 네트워크 데이터 트래커, 파일 메타데이터 처리기 및 시큐리티 정책 집행기를 포함할 수 있다.Here, the endpoint agent may correspond to a program running on the endpoint terminal and may perform a role of monitoring user behavior. The endpoint agent may include a user tracker, a network data tracker, a file metadata handler, and a security policy enforcer.

사용자 트래커는 사용자의 행위를 추적하는 동작을 수행할 수 있고, 네트워크 데이터 트래커는 네트워크 트래픽 데이터를 수집하고 분석하는 동작을 수행할 수 있으며, 파일 메타데이터 처리기는 파일로부터 메타데이터를 추출하고 분석하는 동작을 수행할 수 있고, 시큐리티 정책 집행기는 EDR 장치(130)로부터 수신된 시큐리티 정책에 따라 사용자의 행위에 대한 허용여부를 결정하는 동작을 수행할 수 있다.User tracker can perform actions to track user behavior, network data tracker can perform actions to collect and analyze network traffic data, and file metadata handler actions to extract and analyze metadata from files. May be performed, and the security policy executor may perform an operation of determining whether to allow the user's behavior according to the security policy received from the EDR device 130.

일 실시예에서, EDR 단말 장치(110)는 사용자의 행위와 연관된 파일 데이터가 추적대상파일인 경우 EDR 장치(130)로 해당 추적대상파일의 메타데이터를 전송하고 EDR 장치(130)로부터 해당 메타데이터의 변경 알림이 수신되면 SYSCALL 그래프를 생성하여 EDR 장치(130)에게 제공할 수 있다. In one embodiment, when the file data associated with the user's behavior is a tracking target file, the EDR terminal device 110 transmits the metadata of the tracking target file to the EDR device 130 and transmits the corresponding metadata from the EDR device 130. When a change notification of is received, a SYSCALL graph may be generated and provided to the EDR device 130.

EDR 장치(130)는 EDR 단말 장치(110)로부터 수집된 사용자의 행위에 관한 정보를 블록체인에 저장하고 관리하는 컴퓨터 또는 프로그램에 해당하는 서버로 구현될 수 있다. 또한, EDR 장치(130)는 분석 서버와의 연동을 통해 사용자의 행위에 관한 학습, 분석 및 탐지 등의 동작을 수행할 수 있다. The EDR device 130 may be implemented as a server corresponding to a computer or program that stores and manages information on a user's behavior collected from the EDR terminal device 110 in a block chain. In addition, the EDR device 130 may perform operations such as learning, analysis, and detection of a user's behavior through interworking with the analysis server.

이 때, 분석 서버는 SIEM(Security Information and Event Management) 기반의 위협행위를 검출하고 인공지능 기반의 위협행위를 분석하며 시큐리티 정책의 생성 및 갱신에 관한 동작을 수행할 수 있다. 이러한 동작을 위해 분석 서버는 SIEM 기반 위협행위 검출기, 비지도학습 기반 위협행위 분석기, 하이브리드 AI 기반 위협행위 분석기 및 시큐리티 정책 업데이터를 포함하여 구현될 수 있다.At this time, the analysis server may detect SIEM (Security Information and Event Management) based threat behavior, analyze artificial intelligence based threat behavior, and perform operations related to security policy creation and update. For this operation, the analysis server can be implemented including a SIEM-based threat behavior detector, an unsupervised learning-based threat behavior analyzer, a hybrid AI-based threat behavior analyzer, and a security policy updater.

또한, EDR 장치(130)는 EDR 단말 장치(110)와 블루투스, WiFi, 통신망 등을 통해 무선으로 연결될 수 있고, 네트워크를 통해 EDR 단말 장치(110)와 데이터를 주고받을 수 있다.In addition, the EDR device 130 may be wirelessly connected to the EDR terminal device 110 through Bluetooth, WiFi, a communication network, and the like, and may exchange data with the EDR terminal device 110 through a network.

일 실시예에서, EDR 장치(130)는 데이터베이스(150)와 연동하여 엔드포인트 단말로부터 수집한 정보를 저장하고 관리하는 동작을 수행할 수 있다. 한편, EDR 장치(130)는 도 1과 달리, 데이터베이스(150)를 내부에 포함하여 구현될 수 있다. EDR 장치(130)는 프로세서, 메모리, 사용자 입출력부 및 네트워크 입출력부를 포함하여 구현될 수 있으며, 이에 대해서는 도 2에서 보다 자세히 설명한다.In one embodiment, the EDR device 130 may interwork with the database 150 to store and manage information collected from the endpoint terminal. Meanwhile, unlike FIG. 1, the EDR device 130 may be implemented by including the database 150 therein. The EDR device 130 may be implemented including a processor, a memory, a user input/output unit, and a network input/output unit, which will be described in more detail with reference to FIG. 2.

데이터베이스(150)는 EDR 장치(130)의 동작 과정에서 필요한 다양한 정보들을 저장하는 저장장치에 해당할 수 있다. 데이터베이스(150)는 EDR 단말 장치(110)로부터 수집된 사용자 행위에 관한 정보를 저장할 수 있으나, 반드시 이에 한정되지 않고, EDR 단말 장치(110) 및 분석 서버와의 연동 과정에서 다양한 형태로 수집 또는 가공된 정보들을 저장할 수 있다.The database 150 may correspond to a storage device that stores various pieces of information required during the operation of the EDR device 130. The database 150 may store information on user behavior collected from the EDR terminal device 110, but is not necessarily limited thereto, and is collected or processed in various forms in the process of interworking with the EDR terminal device 110 and the analysis server. Stored information.

일 실시예에서, 데이터베이스(150)는 프라이빗(private) 블록체인 네트워크와 연동하여 동작할 수 있다. 한편, 프라이빗 블록체인 네트워크는 가상 블록체인 컨테이너로 구현될 수 있고, 이 경우 프라이빗 블록체인 네트워크는 EDR 장치(130)의 일 구성요소로서 동작할 수 있다.In one embodiment, the database 150 may operate in conjunction with a private blockchain network. Meanwhile, the private blockchain network may be implemented as a virtual blockchain container, and in this case, the private blockchain network may operate as a component of the EDR device 130.

도 2는 도 1에 있는 EDR 장치의 물리적 구성을 설명하는 블록도이다.FIG. 2 is a block diagram illustrating a physical configuration of the EDR device in FIG. 1.

도 2를 참조하면, EDR 장치(130)는 프로세서(210), 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)를 포함하여 구현될 수 있다.Referring to FIG. 2, the EDR device 130 may include a processor 210, a memory 230, a user input/output unit 250, and a network input/output unit 270.

프로세서(210)는 EDR 장치(130)의 각 동작을 처리하는 프로시저를 실행할 수 있고, 그 과정 전반에서 읽혀지거나 작성되는 메모리(230)를 관리할 수 있으며, 메모리(230)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄할 수 있다. 프로세서(210)는 EDR 장치(130)의 동작 전반을 제어할 수 있고, 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(210)는 EDR 장치(130)의 CPU(Central Processing Unit)로 구현될 수 있다.The processor 210 may execute a procedure for processing each operation of the EDR device 130 and manage the memory 230 that is read or written throughout the process, and the volatile memory in the memory 230 and Synchronization time between non-volatile memories can be scheduled. The processor 210 can control the overall operation of the EDR device 130, and is electrically connected to the memory 230, the user input/output unit 250, and the network input/output unit 270 to control data flow between them. have. The processor 210 may be implemented as a central processing unit (CPU) of the EDR device 130.

메모리(230)는 SSD(Solid State Drive) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 EDR 장치(130)에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다.The memory 230 may include an auxiliary memory device that is implemented as a nonvolatile memory such as a solid state drive (SSD) or a hard disk drive (HDD), and is used to store all data required for the EDR device 130, and RAM A main memory device implemented as a volatile memory such as (Random Access Memory) may be included.

사용자 입출력부(250)는 사용자 입력을 수신하기 위한 환경 및 사용자에게 특정 정보를 출력하기 위한 환경을 포함할 수 있다. 예를 들어, 사용자 입출력부(250)는 터치 패드, 터치 스크린, 화상 키보드 또는 포인팅 장치와 같은 어댑터를 포함하는 입력장치 및 모니터 또는 터치스크린과 같은 어댑터를 포함하는 출력장치를 포함할 수 있다. 일 실시예에서, 사용자 입출력부(250)는 원격 접속을 통해 접속되는 컴퓨팅 장치에 해당할 수 있고, 그러한 경우, EDR 장치(130)는 서버로서 수행될 수 있다.The user input/output unit 250 may include an environment for receiving a user input and an environment for outputting specific information to a user. For example, the user input/output unit 250 may include an input device including an adapter such as a touch pad, a touch screen, an on-screen keyboard, or a pointing device, and an output device including an adapter such as a monitor or a touch screen. In one embodiment, the user input/output unit 250 may correspond to a computing device connected through a remote connection, and in that case, the EDR device 130 may be performed as a server.

네트워크 입출력부(270)은 네트워크를 통해 외부 장치 또는 시스템과 연결하기 위한 환경을 포함하고, 예를 들어, LAN(Local Area Network), MAN(Metropolitan Area Network), WAN(Wide Area Network) 및 VAN(Value Added Network) 등의 통신을 위한 어댑터를 포함할 수 있다.The network input/output unit 270 includes an environment for connecting to an external device or system through a network, for example, a local area network (LAN), a metropolitan area network (MAN), a wide area network (WAN), and a VAN ( Value Added Network) may include an adapter for communication.

도 3은 도 1에 있는 EDR 장치의 기능적 구성을 설명하는 블록도이다.3 is a block diagram illustrating a functional configuration of the EDR device in FIG. 1.

도 3을 참조하면, EDR 장치(130)는 가상 블록체인 컨테이너(310), 파일블록 구성부(330), 블록체인 관리부(350), 엔드포인트 관리부(370) 및 제어부(390)를 포함할 수 있다.3, the EDR device 130 may include a virtual block chain container 310, a file block configuration unit 330, a block chain management unit 350, an endpoint management unit 370, and a control unit 390. have.

가상 블록체인 컨테이너(310)는 각각이 논리적으로 분산된 블록체인 저장소로 구성될 수 있다. 즉, 가상 블록체인 컨테이너(310)는 물리 컴퓨팅 요소(physical computing element)와 독립적으로 생성되는 가상의 컨테이너(container)에 해당할 수 있고, 블록체인 네트워크를 형성하는 하나의 노드에 대응되어 동작할 수 있다. 따라서, 가상 블록체인 컨테이너(310)는 EDR 단말 장치(110)로부터 수집한 정보들을 기초로 생성된 블록들을 분산 저장하는 역할을 수행할 수 있다. The virtual blockchain container 310 may be composed of a block chain storage, each of which is logically distributed. That is, the virtual blockchain container 310 may correspond to a virtual container that is created independently of a physical computing element, and may operate in correspondence with one node forming a blockchain network. have. Accordingly, the virtual block chain container 310 may perform a role of distributedly storing blocks generated based on information collected from the EDR terminal device 110.

한편, 가상 블록체인 컨테이너(310)는 EDR 장치(130)에 의해 생성되고 관리될 수 있으며, 보다 구체적으로 EDR 장치(130)에 포함된 가상 블록체인 컨테이너 처리기를 통해 처리될 수 있다.Meanwhile, the virtual blockchain container 310 may be created and managed by the EDR device 130, and more specifically, may be processed through a virtual blockchain container processor included in the EDR device 130.

일 실시예에서, 가상 블록체인 컨테이너(310)는 각각이 독립적으로 운영되고 프라이빗(private) 네트워크를 형성하는 각 블록체인 별로 고유 할당되어 멀티 블록체인 네트워크를 구성할 수 있다. EDR 장치(130)는 엔드포인트 상에서 사용자 행위 추적 정보를 블록체인에 저장하여 관리할 수 있는데, 특히 블록체인은 보안성과 안전성을 확보하기 위하여 프라이빗(private) 네트워크로 구성될 수 있다. In one embodiment, each of the virtual blockchain containers 310 is independently operated and is uniquely assigned to each block chain forming a private network to form a multi-blockchain network. The EDR device 130 may store and manage user behavior tracking information on an endpoint in a block chain. In particular, the block chain may be configured as a private network to ensure security and safety.

여기에서, 프라이빗 블록체인 네트워크는 법적 책임을 지는 허가 받은 사람만 블록체인 네트워크에 참여할 수 있는 블록체인으로, 거래 당사자와 승인된 참여자만이 열람 가능하고, 주체에 따라 사용 권한 지정이 가능하며, 부분 분기를 허용하지 않는 BFT 계열의 합의 알고리즘을 사용하고, 높은 확정성을 가질 수 있다.Here, the private blockchain network is a blockchain in which only authorized persons with legal responsibility can participate in the blockchain network, and only the transaction party and the authorized participant can view it, and use rights can be specified according to the subject. It uses a BFT series consensus algorithm that does not allow branching, and can have high determinism.

또한, EDR 장치(130)는 하나의 프라이빗 블록체인 네트워크를 운용할 수 있으나, 필요에 따라 복수개로 구성하여 데이터 관리를 수행할 수 있다. 이 경우, 가상 블록체인 컨테이너(310)는 각 블록체인 별로 고유 할당될 수 있고, EDR 장치(130)는 가상 블록체인 컨테이너 처리기를 통해 각 컨테이너의 생성, 할당 및 삭제를 수행할 수 있다.In addition, the EDR device 130 may operate a single private blockchain network, but may be configured as a plurality of data according to necessity to perform data management. In this case, the virtual blockchain container 310 may be uniquely allocated for each block chain, and the EDR device 130 may create, allocate, and delete each container through the virtual blockchain container handler.

파일블록 구성부(330)는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성할 수 있다. 파일 핑거프린트는 파일이 가진 고유 특징 정보를 압축하여 표현한 것에 해당할 수 있고, 파일의 메타데이터를 기초로 생성될 수 있다. 예를 들어, 파일의 메타데이터는 파일 이름, 파일 크기, 작성자 및 타임 스탬프(stamp) 등을 포함할 수 있다. The file block configuration unit 330 may configure a file block with a file fingerprint generated based on at least file metadata. The file fingerprint may correspond to a compression and expression of unique characteristic information of a file, and may be generated based on metadata of the file. For example, metadata of a file may include a file name, a file size, an author, and a time stamp.

EDR 장치(130)는 EDR 단말 장치(110)로부터 수집한 데이터 중 추적대상파일에 관한 파일 핑거프린트를 기초로 블록체인에 저장되는 파일블록을 구성할 수 있다. 따라서, EDR 장치(130)는 파일 핑거프린트를 기초로 추적대상파일을 식별할 수 있다. 한편, 추적대상파일은 시스템의 동작에 중대한 영향을 미칠 수 있는 파일에 해당할 수 있고, 권한 없는 외부자에게 노출되지 않도록 엄격하게 관리할 필요가 있다.The EDR device 130 may configure a file block stored in the blockchain based on a file fingerprint of a file to be tracked among data collected from the EDR terminal device 110. Accordingly, the EDR device 130 may identify a file to be tracked based on the file fingerprint. On the other hand, the tracking target file may correspond to a file that can have a significant influence on the operation of the system, and it is necessary to strictly manage it so that it is not exposed to unauthorized outsiders.

일 실시예에서, 파일블록 구성부(330)는 파일 메타데이터에 해시함수를 적용하여 산출되는 해시코드로서 파일 핑거프린트를 생성하고, 파일 핑거프린트, EDR 단말 장치(110)로부터 수신한 SYSCALL 그래프 및 이전 파일블록의 위치 정보로 파일블록을 구성할 수 있다.In one embodiment, the file block configuration unit 330 generates a file fingerprint as a hash code calculated by applying a hash function to file metadata, and generates a file fingerprint, a SYSCALL graph received from the EDR terminal device 110, and A file block can be configured with the location information of the previous file block.

SYSCALL 그래프는 EDR 단말 장치(110)에서 사용자의 행위와 연관되어 발생한 시스템 호출(SYSCALL)들의 호출 관계를 나타내는 제어 흐름 그래프에 해당할 수 있다. SYSCALL 그래프는 EDR 단말 장치(110)에서 생성되어 EDR 장치(130)로 전송될 수 있고, 파일블록 구성부(330)는 이를 기초로 파일블록을 구성할 수 있다.The SYSCALL graph may correspond to a control flow graph indicating a call relationship between system calls (SYSCALL) generated in connection with a user's behavior in the EDR terminal device 110. The SYSCALL graph may be generated by the EDR terminal device 110 and transmitted to the EDR device 130, and the file block configuration unit 330 may configure a file block based on this.

파일블록 구성부(330)에 의해 생성되는 파일블록은 파일 핑거프린트, SYSCALL 그래프 및 이전 파일블록의 위치 정보를 포함할 수 있고, 따라서 각 파일블록은 추적대상파일의 내용 변경이 발생된 경우 파일 단위로 생성되고 이전 추적대상파일에 대한 파일블록과 연결될 수 있다. 만약 멀티 블록체인 네트워크에 파일블록을 저장하는 경우 파일블록 구성부(330)는 EDR 단말 장치(110) 단위로 블록체인을 할당할 수 있고, 결과적으로 동일 EDR 단말 장치(110) 상에서 수집된 파일 데이터를 기초로 생성된 파일블록들은 동일한 블록체인에 할당되어 저장될 수 있다.The file block generated by the file block configuration unit 330 may include a file fingerprint, a SYSCALL graph, and location information of a previous file block. Therefore, each file block is a file unit when the contents of the file to be tracked are changed. Can be created and linked with the file block for the previous trace target file. If a file block is stored in a multi-blockchain network, the file block configuration unit 330 can allocate the block chain for each EDR terminal device 110, and as a result, the file data collected on the same EDR terminal device 110 File blocks created on the basis of can be allocated and stored in the same blockchain.

일 실시예에서, 파일블록 구성부(330)는 적어도 파일 메타데이터를 기초로 파일 안전등급을 결정하여 파일블록에 더 추가할 수 있다. 파일 안전등급은 파일의 중요도를 기초로 결정될 수 있고, 보다 구체적으로, 수치화된 파일의 중요도를 범위 구간 별로 구분하고 각 범위 구간에 대해 등급을 부여하는 방식으로 결정될 수 있다. 예를 들어 파일의 중요도가 높을수록 파일 안전등급도 높을 수 있다.In an embodiment, the file block configuration unit 330 may further add to the file block by determining a file safety level based on at least file metadata. The file safety level may be determined based on the importance of the file, and more specifically, it may be determined by dividing the importance of the numerical file by range section and assigning a grade to each range section. For example, the higher the importance of a file, the higher the file safety level.

블록체인 관리부(350)는 적어도 하나의 가상 블록체인 컨테이너(310)에 파일블록을 분산되게 저장할 수 있다. 가상 블록체인 컨테이너(310)는 물리적 구성에 대응되어 물리적인 분산화를 제공할 수도 있고, 물리적 구성에 상관없이 가상의 분산화를 제공할 수도 있다. 따라서, 블록체인 관리부(350)는 가상 블록체인 컨테이너(310)에 파일블록을 저장할 수 있고, 가상 블록체인 컨테이너(310)는 블록체인 네트워크를 구성함으로써 해당 블록체인에 참여한 다른 노드들에게 파일블록을 전파할 수 있다.The block chain management unit 350 may store file blocks distributedly in at least one virtual block chain container 310. The virtual blockchain container 310 may provide physical decentralization in correspondence with a physical configuration, or may provide virtual decentralization regardless of a physical configuration. Therefore, the block chain management unit 350 can store the file block in the virtual block chain container 310, and the virtual block chain container 310 configures a block chain network to provide the file block to other nodes participating in the block chain. Can spread.

일 실시예에서, 블록체인 관리부(350)는 파일 안전등급을 기초로 멀티 블록체인 네트워크를 구성하는 복수의 블록체인들 중 어느 하나를 지정하여 파일블록을 저장할 수 있다. 즉, 블록체인 관리부(350)는 멀티 블록체인으로 데이터를 구축하는 경우 파일의 중요도에 관한 파일 안전등급에 따라 파일블록이 저장될 블록체인을 고유 할당할 수 있다. EDR 장치(130)는 멀티 블록체인을 구성하는 경우 각 블록체인에 대해 등급을 지정할 수 있고, 각 등급에 따라 블록체인의 저장, 갱신 및 삭제에 관한 보안 규칙을 독립적으로 정의하여 적용할 수 있다.In an embodiment, the block chain management unit 350 may store a file block by designating any one of a plurality of block chains constituting a multi-block chain network based on the file safety level. That is, the block chain management unit 350 may uniquely allocate the block chain in which the file block will be stored according to the file safety level related to the importance of the file when building data with a multi-block chain. When configuring a multi-blockchain, the EDR device 130 can designate a level for each block chain, and can independently define and apply security rules for storage, update, and deletion of the block chain according to each level.

일 실시예에서, 블록체인 관리부(350)는 물리적으로 분산된 복수의 블록체인 저장소들 각각을 독립적인 실제 블록체인 노드로 구성하여 멀티 블록체인 네트워크의 각 블록체인 별로 고유 할당하고 실제 블록체인 노드로만 구성된 별도의 프라이빗 네트워크를 구성할 수 있다. 즉, 멀티 블록체인의 각 블록체인들은 네트워크 상에 실제 물리적으로 구현된 블록체인 저장소에 대응되는 노드를 포함하여 구현될 수 있고, 각 블록체인들에 고유 할당된 실제 블록체인 노드로만 구성된 프라이빗 네트워크를 통해 상호 연결될 수 있다. In one embodiment, the block chain management unit 350 configures each of a plurality of physically distributed block chain storages as independent real block chain nodes, uniquely allocates them to each block chain of a multi-block chain network, and uses only real block chain nodes. A separate private network can be configured. In other words, each block chain of a multi-blockchain can be implemented by including a node corresponding to a block chain storage that is actually physically implemented on the network, and a private network consisting only of real block chain nodes that are uniquely assigned to each block chain. Can be interconnected through.

이러한 멀티 블록체인 구조를 통해 블록체인 관리부(350)는 각 블록체인 별로 독립적인 데이터 관리를 수행할 수 있을 뿐만아니라 필요에 따라 각 블록체인 간의 데이터 공유를 제공할 수도 있다. 이 때, 실제 블록체인 노드는 각 블록체인 간의 데이터 공유의 매개체로서의 역할을 수행할 수 있다.Through this multi-blockchain structure, the block chain management unit 350 can not only perform independent data management for each block chain, but also provide data sharing between each block chain as needed. In this case, the actual blockchain node can play a role as an intermediary for data sharing between each blockchain.

일 실시예에서, 블록체인 관리부(350)는 파일블록을 실제 블록체인 노드에 분산되게 저장함으로써 멀티 블록체인 네트워크에 전파할 수 있다. 즉, 블록체인 관리부(350)는 멀티 블록체인 중 특정 블록체인에만 저장하고자 하는 경우 실제 블록체인 노드가 아닌 가상 블록체인 컨테이너(310)에 대응되는 노드에 저장할 수 있고, 멀티 블록체인 전체에 전파하고자 하는 경우 실제 블록체인 노드에 저장할 수 있다. 실제 블록체인 노드들이 별도의 독립적인 프라이빗 네트워크를 형성하고 있기 때문에, 실제 블록체인 노드에 파일블록이 저장된 경우 1차적으로 해당 파일블록은 실제 블록체인 노드들 간의 네트워크로 전파될 수 있고, 2차적으로 각 실제 블록체인 노드가 참여하는 블록체인 네트워크로로 전파될 수 있다.In one embodiment, the block chain management unit 350 may spread the file block to the multi-blockchain network by storing the file block distributedly in the actual block chain node. That is, if the block chain management unit 350 wants to store only a specific block chain among multi-block chains, it can be stored in a node corresponding to the virtual block chain container 310, not in an actual block chain node, and to propagate to the entire multi block chain. If so, it can be stored in an actual blockchain node. Since the actual blockchain nodes form a separate and independent private network, when a file block is stored in an actual blockchain node, the file block can be primarily propagated to the network between the actual blockchain nodes, and secondarily. Each real blockchain node can be propagated to the participating blockchain network.

엔드포인트 관리부(370)는 EDR 단말 장치(110)로부터 수신된 생성 요청에 따라 사용자 신원 기반 세션을 생성하고 사용자 신원 기반 세션을 통해 EDR 단말 장치(110)와의 데이터 교환을 처리할 수 있다. EDR 단말 장치(110)는 사용자에 의해 사용되는 과정에서 해당 사용자의 행위를 추적하기 위하여 해당 사용자에 고유한 세션을 생성할 필요가 있다. EDR 단말 장치(110)는 EDR 장치(130)를 통해 사용자 신원 기반 세션에 관한 생성을 요청할 수 있고, EDR 장치(130)는 엔드포인트 관리부(370)를 통해 해당 요청을 처리할 수 있다.The endpoint management unit 370 may generate a user identity-based session according to the generation request received from the EDR terminal device 110 and process data exchange with the EDR terminal device 110 through the user identity-based session. The EDR terminal device 110 needs to create a session unique to the user in order to track the behavior of the user in the process of being used by the user. The EDR terminal device 110 may request creation of a user identity-based session through the EDR device 130, and the EDR device 130 may process the request through the endpoint management unit 370.

사용자 신원 기반 세션은 EDR 장치(130)를 통해 사용자 별로 생성되고 유지될 수 있으며, 사용자가 EDR 단말 장치(110)에 로그인 한 시점에 생성되어 로그아웃 한 시점까지 유지될 수 있다. EDR 단말 장치(110)는 사용자의 행위로서 파일에 대한 행위와 그 이외의 행위들을 추적하고 관련 정보를 수집할 수 있으며, 사용자 신원 기반 세션을 통해 EDR 장치(130)에게 제공할 수 있다.The user identity-based session may be created and maintained for each user through the EDR device 130, and may be created at the time when the user logs in to the EDR terminal device 110 and maintained until the time at which the user logs out. The EDR terminal device 110 may track and collect related information as a user's actions on files and other actions, and provide them to the EDR device 130 through a user identity-based session.

한편, EDR 단말 장치(110)는 사용자의 행위와 연관된 데이터를 비-파일 데이터와 파일 데이터로 분류하고 파일 데이터 중에서 비-추적대상파일 데이터를 비-파일 데이터와 함께 EDR 장치(130)로 전송할 수 있다.On the other hand, the EDR terminal device 110 classifies data related to the user's behavior into non-file data and file data, and transmits the non-track target file data among the file data to the EDR device 130 together with the non-file data. have.

즉, EDR 단말 장치(110)는 사용자 신원 기반 세션 내에서 발생한 사용자의 행위들이 파일과 연관되었는지를 기준으로 파일 데이터와 비-파일 데이터로 구분할 수 있고, 파일 데이터를 추적대상파일과 비-추적대상파일로 구분하여 EDR 장치(130)에게 제공할 수 있다. EDR 장치(130)는 추적대상파일 중 파일 내용이 변경된 경우 파일블록을 생성하여 블록체인에 저장할 수 있다.That is, the EDR terminal device 110 can classify file data and non-file data into file data and non-file data based on whether the user's actions occurring in the user identity-based session are associated with a file, and separate the file data into a track target file and a non-track target It can be divided into files and provided to the EDR device 130. The EDR device 130 may generate a file block and store it in the blockchain when the contents of the file among the files to be tracked are changed.

제어부(390)는 EDR 장치(130)의 전체적인 동작을 제어하고, 가상 블록체인 컨테이너(310), 파일블록 구성부(330), 블록체인 관리부(350) 및 엔드포인트 관리부(370) 간의 제어 흐름 또는 데이터 흐름을 관리할 수 있다.The control unit 390 controls the overall operation of the EDR device 130, and the control flow between the virtual block chain container 310, the file block configuration unit 330, the block chain management unit 350, and the endpoint management unit 370 or You can manage the data flow.

도 4는 도 1에 있는 EDR 장치에서 수행되는 블록체인 기반의 EDR 과정을 설명하는 순서도이다.4 is a flowchart illustrating a block chain-based EDR process performed in the EDR device of FIG. 1.

도 4를 참조하면, EDR 장치(130)는 각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너를 생성할 수 있다(단계 S410). EDR 장치(130)는 파일블록 구성부(330)를 통해 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성할 수 있다(단계 S430). EDR 장치(130)는 블록체인 관리부(350)를 통해 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장할 수 있다(단계 S450).Referring to FIG. 4, each of the EDR devices 130 may generate at least one virtual blockchain container composed of logically distributed blockchain storage (step S410). The EDR device 130 may configure a file block with a file fingerprint generated based on at least file metadata through the file block configuration unit 330 (step S430). The EDR device 130 may store the file block distributedly in at least one virtual block chain container through the block chain management unit 350 (step S450).

도 5 및 6은 본 발명의 일 실시예에 따른 블록체인 기반의 EDR 시스템을 설명하는 개념도이다.5 and 6 are conceptual diagrams illustrating a block chain-based EDR system according to an embodiment of the present invention.

도 5를 참조하면, 블록체인 기반의 EDR 시스템(100)은 엔드포인트 단말(510)에서 동작하는 엔드포인트 에이전트, 프론트-엔드 서버(530) 및 분석 서버(550)를 포함할 수 있다. 엔드포인트 단말(510)은 EDR 단말 장치(110)에 해당할 수 있고, 프론트-엔드 서버(530)는 EDR 장치(130)에 해당할 수 있다.Referring to FIG. 5, the blockchain-based EDR system 100 may include an endpoint agent, a front-end server 530 and an analysis server 550 operating in the endpoint terminal 510. The endpoint terminal 510 may correspond to the EDR terminal device 110, and the front-end server 530 may correspond to the EDR device 130.

프론트-엔드 서버(530)는 엔드포인트 에이전트로부터 수집된 정보를 기초로 분석 서버(550)에 엔드포인트의 가시성을 제공하는 동작을 수행할 수 있다. 분석 서버(550)는 엔드포인트 에이전트에서 사용하도록 시큐리티 정책을 생성하고 배포하는 역할을 수행할 수 있다.The front-end server 530 may perform an operation of providing visibility of an endpoint to the analysis server 550 based on information collected from the endpoint agent. The analysis server 550 may play a role of creating and distributing a security policy for use by an endpoint agent.

특히, 분석 서버(550)는 주기적으로 시큐리티 정책을 엔드포인트 에이전트에게 제공하여 엔드포인트 에이전트가 오프라인으로 동작할 경우에도 일정 수준 이상의 보안성을 유지할 수 있도록 유도할 수 있다. 분석 서버(550)는 관련 동작을 위하여 독립적인 SIEM(Security Information and Event Management) 모듈과 연결될 수 있고, 분석(통계 또는 알람) 결과를 다양한 인터페이스를 통해 시각화하여 관리자에게 제공할 수 있다.In particular, the analysis server 550 may periodically provide a security policy to the endpoint agent to induce a certain level of security or higher even when the endpoint agent operates offline. The analysis server 550 may be connected to an independent SIEM (Security Information and Event Management) module for related operations, and may visualize analysis (statistics or alarm) results through various interfaces and provide them to an administrator.

여기에서, SIEM 모듈은 빅데이터의 방대한 정보 속에서 단순한 로그 수집 및 분석이 아닌 사후에 추적 등이 가능하도록 상관분석과 포렌식 기능을 제공해주는 지능적 위협에 대한 조기 경고 모니터링 체계에 해당할 수 있다. 즉, SIEM 모듈은 정보시스템의 보안 정보 및 이벤트 관리를 통해 내부 및 외부 위협을 모니터링 함으로써 외부의 공격은 물론, 내부 정보유출 또한 방지하는 기능을 수행할 수 있다.Here, the SIEM module may correspond to an early warning monitoring system for intelligent threats that provides correlation analysis and forensic functions to enable post-mortem tracking, etc., rather than simple log collection and analysis in the vast information of big data. That is, the SIEM module can perform a function to prevent external attacks as well as internal information leakage by monitoring internal and external threats through the security information and event management of the information system.

도 5에서, 엔드포인트 단말(510)은 프론트-엔드 서버(530)와 연결되어 사용자 신원 기반 세션을 유지 및 갱신할 수 있고, 이를 기초로 사용자의 행위를 추적할 수 있다. 이를 위하여 EDR 장치(130)는 엔드포인트 관리부(570)를 통해 엔드포인트 단말(510)로부터의 요청에 따라 사용자 신원 기반 세션의 생성 및 유지에 활용되는 사용자 식별자를 제공할 수 있고, 사용자 신원 기반 세션을 통해 엔드포인트 단말(510)과의 데이터 교환을 처리할 수 있다.In FIG. 5, the endpoint terminal 510 may be connected to the front-end server 530 to maintain and update a user identity-based session, and track a user's behavior based on this. To this end, the EDR device 130 may provide a user identifier used to create and maintain a user identity-based session according to a request from the endpoint terminal 510 through the endpoint management unit 570, and the user identity-based session Through this, data exchange with the endpoint terminal 510 may be processed.

도 6을 참조하면, 블록체인 기반의 EDR 시스템(100)은 엔드포인트 단말(610), 프론트-엔드 서버(630) 및 분석 서버(650) 간의 상호 연동을 통해 사용자 행위에 관한 분석, 탐지 및 대응을 수행할 수 있다.6, the blockchain-based EDR system 100 analyzes, detects, and responds to user behavior through interworking between the endpoint terminal 610, the front-end server 630, and the analysis server 650. You can do it.

특히, 프론트-엔드 서버(630)는 엔드포인트 에이전트 처리기, 가상 블록체인 컨테이너 처리기, 블록체인용 블록 생성기 및 블록 조회기를 포함하여 구현될 수 있다.In particular, the front-end server 630 may be implemented including an endpoint agent processor, a virtual block chain container processor, a block generator for a block chain, and a block query unit.

엔드포인트 에이전트 처리기는 엔드포인트 단말(610)의 접속 및 사용자 추적 세션을 관리하여 사용자 행위에 관한 정보를 추적 및 수집하는 동작을 수행할 수 있다. 가상 블록체인 컨테이너 처리기는 물리적 기기가 아닌 논리적 컨테이너로서 가상 블록체인 컨테이너(670)를 생성하여 분산 DB를 가상화하고 블록체인을 관리하는 동작을 수행할 수 있다.The endpoint agent processor may perform an operation of tracking and collecting information on user behavior by managing access and user tracking sessions of the endpoint terminal 610. The virtual blockchain container handler is a logical container, not a physical device, and creates a virtual blockchain container 670 to virtualize a distributed DB and perform an operation of managing the blockchain.

또한, 블록체인용 블록 생성기는 파일의 메타데이터를 압축한 핑거프린트와 SYSCALL 그래프 및 이전 추적대상파일의 블록 위치를 포함하는 파일블록을 생성하는 동작을 수행할 수 있다. 블록 조회기는 이전 추적대상파일을 조회하는 동작을 수행할 수 있다.In addition, the block generator for blockchain may perform an operation of generating a file block including a fingerprint compressed file metadata, a SYSCALL graph, and a block location of a previous tracked file. The block inquiry machine can perform an operation of inquiring a previous trace target file.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the above has been described with reference to preferred embodiments of the present invention, those skilled in the art will variously modify and change the present invention within the scope not departing from the spirit and scope of the present invention described in the following claims. You will understand that you can do it

100: 블록체인 기반의 EDR 시스템
110: EDR 단말 장치 130: EDR 장치
150: 데이터베이스
210: 프로세서 230: 메모리
250: 사용자 입출력부 270: 네트워크 입출력부
310: 가상 블록체인 컨테이너 330: 파일블록 구성부
350: 블록체인 관리부 370: 엔드포인트 관리부
390: 제어부
510, 610: 엔드포인트 단말 530, 630: 프론트-엔드 서버
550, 650: 분석 서버 670: 가상 블록체인 컨테이너100: Blockchain-based EDR system
110: EDR terminal device 130: EDR device
150: database
210: processor 230: memory
250: user input/output unit 270: network input/output unit
310: Virtual Blockchain Container 330: File Block Configuration Unit
350: Blockchain Management Department 370: Endpoint Management Department
390: control unit
510, 610: endpoint terminal 530, 630: front-end server
550, 650: Analysis Server 670: Virtual Blockchain Container

Claims (8)

각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너;
적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 파일블록 구성부; 및
상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 블록체인 관리부를 포함하되,
상기 적어도 하나의 가상 블록체인 컨테이너는 각각이 독립적으로 운영되고 프라이빗(private) 네트워크를 형성하는 각 블록체인 별로 고유 할당되어 멀티 블록체인 네트워크를 구성하며,
상기 블록체인 관리부는 물리적으로 분산된 복수의 블록체인 저장소들 각각을 독립적인 실제 블록체인 노드로 구성하여 상기 멀티 블록체인 네트워크의 각 블록체인 별로 고유 할당하고 상기 실제 블록체인 노드로만 구성된 별도의 프라이빗 네트워크를 구성하며, 상기 파일 블록을 상기 실제 블록체인 노드에 분산되게 저장함으로써 상기 멀티 블록체인 네트워크 전체에 전파하거나 또는 상기 파일 블록을 특정 가상 블록체인 컨테이너와 연관된 노드에만 분산되게 저장함으로써 상기 멀티 블록체인 네트워크 일부에만 전파하는 것을 특징으로 하는 블록체인 기반의 EDR (Endpoint Detection & Response) 장치.
At least one virtual blockchain container each consisting of logically distributed blockchain storage;
A file block configuration unit for configuring a file block with a file fingerprint generated based on at least file metadata; And
Including a block chain management unit for distributedly storing the file block in the at least one virtual block chain container,
Each of the at least one virtual blockchain container is independently operated and is uniquely assigned to each blockchain forming a private network to form a multi-blockchain network,
The blockchain management unit configures each of a plurality of physically distributed blockchain storages as independent real blockchain nodes, uniquely allocates them to each blockchain of the multi-blockchain network, and is a separate private network consisting only of the real blockchain nodes. The multi-blockchain network by distributing the file block to the entire multi-blockchain network by storing the file block distributedly in the real block-chain node, or storing the file block to be distributed to only nodes associated with a specific virtual block chain container. Blockchain-based EDR (Endpoint Detection & Response) device characterized by propagating to only a part.
 제1항에 있어서,
EDR 단말 장치로부터 수신된 생성 요청에 따라 사용자 신원 기반 세션을 생성하고 상기 사용자 신원 기반 세션을 통해 상기 EDR 단말 장치와의 데이터 교환을 처리하는 엔드포인트 관리부를 더 포함하는 것을 특징으로 하는 블록체인 기반의 EDR 장치.
The method of claim 1,
Blockchain-based, characterized in that it further comprises an endpoint management unit that generates a user identity-based session according to the creation request received from the EDR terminal device and processes data exchange with the EDR terminal device through the user identity-based session. EDR device.
 삭제delete 제1항에 있어서, 상기 파일블록 구성부는
파일 메타데이터에 해시함수를 적용하여 산출되는 해시코드로서 상기 파일 핑거프린트를 생성하고,
상기 파일 핑거프린트, EDR 단말 장치로부터 수신한 SYSCALL 그래프 및 이전 파일블록의 위치 정보로 상기 파일블록을 구성하는 것을 특징으로 하는 블록체인 기반의 EDR 장치.
The method of claim 1, wherein the file block configuration unit
Generate the file fingerprint as a hash code calculated by applying a hash function to file metadata,
The EDR device based on a block chain, characterized in that the file block is configured with the file fingerprint, a SYSCALL graph received from an EDR terminal device, and location information of a previous file block.
 제1항에 있어서,
상기 파일블록 구성부는 상기 적어도 파일 메타데이터를 기초로 파일 안전등급을 결정하여 상기 파일블록에 더 추가하고,
상기 블록체인 관리부는 상기 파일 안전등급을 기초로 상기 멀티 블록체인 네트워크를 구성하는 복수의 블록체인들 중 어느 하나를 지정하여 상기 파일블록을 저장하는 것을 특징으로 하는 블록체인 기반의 EDR 장치.
The method of claim 1,
The file block configuration unit further adds to the file block by determining a file safety level based on the at least file metadata,
The block chain management unit stores the file block by designating any one of a plurality of block chains constituting the multi-block chain network based on the file safety level.
 삭제delete 삭제delete EDR (Endpoint Detection & Response) 장치에서 수행되는 방법에 있어서,
각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너를 생성하는 단계;
적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 단계; 및
상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 단계를 포함하되,
상기 적어도 하나의 가상 블록체인 컨테이너는 각각이 독립적으로 운영되고 프라이빗(private) 네트워크를 형성하는 각 블록체인 별로 고유 할당되어 멀티 블록체인 네트워크를 구성하며,
상기 파일블록을 분산되게 저장하는 단계는 물리적으로 분산된 복수의 블록체인 저장소들 각각을 독립적인 실제 블록체인 노드로 구성하여 상기 멀티 블록체인 네트워크의 각 블록체인 별로 고유 할당하고 상기 실제 블록체인 노드로만 구성된 별도의 프라이빗 네트워크를 구성하는 단계와, 상기 파일 블록을 상기 실제 블록체인 노드에 분산되게 저장함으로써 상기 멀티 블록체인 네트워크 전체에 전파하거나 또는 상기 파일 블록을 특정 가상 블록체인 컨테이너와 연관된 노드에만 분산되게 저장함으로써 상기 멀티 블록체인 네트워크 일부에만 전파하는 단계를 포함하는 것을 특징으로 하는 블록체인 기반의 EDR 방법.
In a method performed in an EDR (Endpoint Detection & Response) device,
Creating at least one virtual blockchain container each consisting of logically distributed blockchain storage;
Configuring a file block with a file fingerprint generated based on at least the file metadata; And
Including the step of storing the file block distributedly in the at least one virtual block chain container,
Each of the at least one virtual blockchain container is independently operated and is uniquely assigned to each blockchain forming a private network to form a multi-blockchain network,
In the step of storing the file block distributedly, each of a plurality of physically distributed block chain storages is configured as an independent real block chain node, uniquely assigned to each block chain of the multi-block chain network, and only to the real block chain node. The step of configuring a separate private network configured, and distributing the file block to the entire multi-blockchain network by storing the file block distributed in the real block chain node, or distributing the file block to only nodes associated with a specific virtual block chain container. Blockchain-based EDR method comprising the step of propagating only a part of the multi-blockchain network by storing.
KR1020190123739A 2019-08-27 2019-10-07 Blockchain based device and method for endpoint detection and response KR102221736B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2019/013123 WO2021070978A1 (en) 2019-08-27 2019-10-07 Blockchain-based edr device and method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020190105150 2019-08-27
KR20190105150 2019-08-27

Publications (1)

Publication Number Publication Date
KR102221736B1 true KR102221736B1 (en) 2021-03-03

Family

ID=75151303

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190123739A KR102221736B1 (en) 2019-08-27 2019-10-07 Blockchain based device and method for endpoint detection and response

Country Status (2)

Country Link
KR (1) KR102221736B1 (en)
WO (1) WO2021070978A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230099499A (en) * 2021-12-27 2023-07-04 (주)하몬소프트 Apparatus for blockchain based endpoint detection and response

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114157445B (en) * 2021-09-13 2022-11-04 北京天德科技有限公司 Safe block chain container transmission method and system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150138054A (en) * 2014-05-30 2015-12-09 애플 인크. Context based data access control
KR101814368B1 (en) 2017-07-27 2018-01-04 김재춘 Information security network integrated management system using big data and artificial intelligence, and a method thereof
JP2018515048A (en) * 2015-04-06 2018-06-07 ビットマーク, インコーポレイテッドBitmark, Inc. System and method for decentralized title recording and authentication
KR20180114198A (en) * 2016-02-23 2018-10-17 엔체인 홀딩스 리미티드 A Universal Tokenization System for Block Cache-Based Cryptography

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8560722B2 (en) * 2011-03-18 2013-10-15 International Business Machines Corporation System and method to govern sensitive data exchange with mobile devices based on threshold sensitivity values
KR102331947B1 (en) * 2017-09-28 2021-11-25 주식회사 케이티 System and Method for Managing Original Data in Block-Chain

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150138054A (en) * 2014-05-30 2015-12-09 애플 인크. Context based data access control
JP2018515048A (en) * 2015-04-06 2018-06-07 ビットマーク, インコーポレイテッドBitmark, Inc. System and method for decentralized title recording and authentication
KR20180114198A (en) * 2016-02-23 2018-10-17 엔체인 홀딩스 리미티드 A Universal Tokenization System for Block Cache-Based Cryptography
KR101814368B1 (en) 2017-07-27 2018-01-04 김재춘 Information security network integrated management system using big data and artificial intelligence, and a method thereof

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230099499A (en) * 2021-12-27 2023-07-04 (주)하몬소프트 Apparatus for blockchain based endpoint detection and response
KR102670498B1 (en) * 2021-12-27 2024-05-29 (주)하몬소프트 Apparatus for blockchain based endpoint detection and response

Also Published As

Publication number Publication date
WO2021070978A1 (en) 2021-04-15

Similar Documents

Publication Publication Date Title
US11620524B2 (en) Issuing alerts for storage volumes using machine learning
Milajerdi et al. Holmes: real-time apt detection through correlation of suspicious information flows
Chen et al. A cloud computing based network monitoring and threat detection system for critical infrastructures
US10936717B1 (en) Monitoring containers running on container host devices for detection of anomalies in current container behavior
US11481478B2 (en) Anomalous user session detector
CN106027529A (en) Intrusion detection system and method based on traceability information
KR102221736B1 (en) Blockchain based device and method for endpoint detection and response
US20240045964A1 (en) Cybersecurity Active Defense and Rapid Bulk Recovery in a Data Storage System
Awad et al. Data leakage detection using system call provenance
Szefer et al. Cyber defenses for physical attacks and insider threats in cloud computing
KR102311997B1 (en) Apparatus and method for endpoint detection and response terminal based on artificial intelligence behavior analysis
Dong et al. C-BEDIM and S-BEDIM: Lateral movement detection in enterprise network through behavior deviation measurement
KR102348357B1 (en) Apparatus and methods for endpoint detection and reponse using dynamic analysis plans
Chauhan et al. Emphasizing on various security issues in cloud forensic framework
KR102221726B1 (en) Endpoint detection and response terminal device and method
Lajevardi et al. Big knowledge-based semantic correlation for detecting slow and low-level advanced persistent threats
Sklavidis et al. Enhancing siem technology for protecting electrical power and energy sector
CN114268481A (en) Method, device, equipment and medium for processing illegal external connection information of intranet terminal
Kotenko et al. Combining spark and snort technologies for detection of network attacks and anomalies: assessment of performance for the big data framework
KR102348359B1 (en) Apparatus and methods for endpoint detection and reponse based on action of interest
CN117725630B (en) Security protection method, apparatus, storage medium and computer program product
KR102670498B1 (en) Apparatus for blockchain based endpoint detection and response
Hema et al. A secure method for managing data in cloud storage using deduplication and enhanced fuzzy based intrusion detection framewor
KR102499947B1 (en) Encryption key and smart contract implementation management system using hardware security module
Cai et al. Medical big data intrusion detection system based on virtual data analysis from assurance perspective

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20191007

PA0201 Request for examination
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20200823

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20210201

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20210224

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20210224

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20231226

Start annual number: 4

End annual number: 4