KR102276345B1 - 컴퓨터 내 행위 이벤트 축약 방법 - Google Patents
컴퓨터 내 행위 이벤트 축약 방법 Download PDFInfo
- Publication number
- KR102276345B1 KR102276345B1 KR1020200157671A KR20200157671A KR102276345B1 KR 102276345 B1 KR102276345 B1 KR 102276345B1 KR 1020200157671 A KR1020200157671 A KR 1020200157671A KR 20200157671 A KR20200157671 A KR 20200157671A KR 102276345 B1 KR102276345 B1 KR 102276345B1
- Authority
- KR
- South Korea
- Prior art keywords
- event
- action
- target
- processor
- action event
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
- G06F16/215—Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
본 명세서는 행위이벤트를 효율적으로 수집하기 위해서 이벤트를 축약하고 행위를 추적할 수 있는 방법을 개시한다. 본 명세서에 따른 행위 이벤트 축약 방법은, (a) 프로세서가 행위이벤트가 발생할 때, 이벤트 대상을 기준으로 이벤트 블록을 생성하는 단계; (b) 행위이벤트가 발생하는 동안의 I/O 정보를 상기 이벤트 블록에 업데이트하는 단계; 및 (c) 행위이벤트가 종료할 때 상기 이벤트 블록을 저장하는 단계;를 포함할 수 있다.
Description
본 발명은 컴퓨터 내 행위 이벤트 축약 방법에 관한 것이며, 보다 상세하게는 컴퓨터에서 발생하는 많은 양의 행위 이벤트를 효율적으로 축약하는 방법에 관한 것이다.
기존 기술은 시스템상의 행위를 파악하고 추적하기 위해 커널드라이버, 유저모드 후킹등의 기술을 활용해 프로세스, 파일, 네트워크, 레지스트리 이벤트가 발생 할 때마다 행위이벤트를 수집하고, 저장하는 형태로 구현된다.
I/O 또는 행위가 발생 할 때마다 정보를 수집하고 저장한다면 시스템의 성능에 많은 부하가 걸리고, 수집되는 데이터의 볼륨이 굉장히 크기 때문에 네트워크를 통한 전송 또는 저장에 굉장히 많은 시스템의 자원이 요구되는 문제가 있다. 또한 수집되는 데이터의 볼륨이 크기 때문에 데이터분석 및 데이터의 통계 정보를 생성하는데 많은 리소스가 필요하고 효율적인 데이터분석에 어려움이 발생한다.
컴퓨터(PC)에서 발생하는 행위 이벤트는 초당 수천에서 수만건에 이를 수 있다. 특정 파일 I/O를 예로 들면 아래와 같다.
1. 파일 열기
2. 파일 쓰기
3. 파일 읽기
4. 파일 이름 변경
(중략)
7. 파일 쓰기
9. 파일 읽기
10. 파일 닫기
상기와 같은 행위가 발생할 때 마다 행위정보를 수집한다면 위 파일 I/O 의 경우 10번의 이벤트가 수집된다. 일 예로 파워포인트 같은 문서 편집기의 경우 파일 하나를 열어서 편집하고 수시로 저장을 하게 되는데 이 경우 수천에서 수만개 이상의 파일 이벤트가 수집될 수 있다. 따라서, 이러한 컴퓨터 내 이벤트들을 효율적으로 축약시킬 기술의 개발이 요구된다.
본 명세서는 행위이벤트를 효율적으로 수집하기 위해서 이벤트를 축약하고 행위를 추적할 수 있는 방법을 제공하는 것을 목적으로 한다.
본 명세서는 상기 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 과제를 해결하기 위한 본 명세서에 따른 행위 이벤트 축약 방법은, (a) 프로세서가 행위이벤트가 발생할 때, 이벤트 대상을 기준으로 이벤트 블록을 생성하는 단계; (b) 행위이벤트가 발생하는 동안의 I/O 정보를 상기 이벤트 블록에 업데이트하는 단계; 및 (c) 행위이벤트가 종료할 때 상기 이벤트 블록을 저장하는 단계;를 포함한다.
상기 (a)단계는, 프로세서가 I/O 대상 객체를 여는 때에 이루어질 수 있다.
상기 (b) 단계에서, 타겟 오브젝트에 대한 I/O 횟수, I/O 바이트수에 대한 통계 정보를 업데이트 할 수 있다.
상기 (c) 단계에서, I/O 대상 객체 부가 정보의 계산이 이루어질 수 있다.
상기 객체 부가 정보는 객체 타입, 객체 이름, 사이즈, 해시, 전자 서명, 변경 시각 중 적어도 하나의 정보를 포함할 수 있다.
상술한 과제를 해결하기 위한 본 명세서의 다른 실시예에 따른 행위 이벤트 축약 방법은,
(a) 프로세서가 행위이벤트가 발생할 때, 이벤트 대상을 기준으로 메타데이터를 생성하는 단계; 및 (b) 상기 프로세서가 다른 행위이벤트가 추가 발생할 때, 상기 메타데이터에 추가하는 단계;를 포함할 수 있다.
본 명세서에 따른 행위 이벤트 축약 방법의 상기 (a)단계는, 상기 프로세서가 생성된 이벤트 대상이 메모리에 저장된 메타데이터의 대상과 중복되는지 판단하는 단계를 더 포함할 수 있다.
이 경우, 상기 (a) 단계에서, 상기 프로세서가 이벤트 대상이 메타데이터의 대상과 중복되지 않을 때, 신규 메타데이터를 생성할 수 있다.
또한, 상기 (a) 단계에서, 상기 프로세서가 이벤트 대상이 메타데이터의 대상과 중복될 경우, 메타데이터를 생성하지 않고 먼저 생성된 메타데이터를 호출할 수 있다.
나아가, 상기 (b) 단계에서, 상기 프로세서가 추가 발생한 행위이벤트는 시간 기준에 의해 상기 메타데이터에 추가할 수 있다.
본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 명세서에 따르면, I/O 대상 객체에 대하여 쓰기, 읽기, 이름변경, 속성 변경, 삭제, 취소 등 이벤트가 발생할 때 마다 객체 정보를 매번 갱신하는 대신 이벤트 블록에 해당 내용을 누적하여 데이트함으로써 정보 처리의 효율을 올릴 수 있다.
본 명세서에 따르면, I/O 대상 객체의 닫는 시점에 객체 부가 정보를 이벤트 블록에 업데이트 함으로써 매번 객체 부가 정보를 갱신하는 대신 이벤트 단위로 1회만 업데이트함으로써 정보처리의 효율을 향상시킬 수 있다.
본 명세서에 따르면, 메타데이터를 생성하여 수집되는 이벤트의 양을 획기적으로 줄일 수 있다.
본 발명의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 명세서의 일 실시예에 따른 행위 이벤트 축약 방법을 상세히 나타낸 순서도이다.
도 2는 도 1에 따른 행위 이벤트 축약 방법의 개념을 나타낸 블록도이다.
도 3은 일 비교예에 따른 프로세싱의 개념을 나타낸 블록도이다.
도 4는 본 명세서의 다른 실시예에 따른 행위 이벤트 축약 방법의 흐름도이다.
도 5는 본 명세서에 따른 행위 이벤트 축약 방법에 의해 생성된 메타데이터의 예시도이다.
도 2는 도 1에 따른 행위 이벤트 축약 방법의 개념을 나타낸 블록도이다.
도 3은 일 비교예에 따른 프로세싱의 개념을 나타낸 블록도이다.
도 4는 본 명세서의 다른 실시예에 따른 행위 이벤트 축약 방법의 흐름도이다.
도 5는 본 명세서에 따른 행위 이벤트 축약 방법에 의해 생성된 메타데이터의 예시도이다.
본 명세서에 개시된 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 명세서가 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 명세서의 개시가 완전하도록 하고, 본 명세서가 속하는 기술 분야의 통상의 기술자(이하 '당업자')에게 본 명세서의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 명세서의 권리 범위는 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 명세서의 권리 범위를 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 명세서가 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다.
도 1은 본 명세서의 일 실시예에 따른 행위 이벤트 축약 방법을 상세히 나타낸 순서도이다. 도 2는 도 1에 따른 행위 이벤트 축약 방법의 개념을 나타낸 블록도이다.
도 1을 참조하면, 행위 이벤트 축약 방법은 I/O 대상 객체를 여는 단계(S100), 이벤트 축약을 위한 이벤트 블록을 생성하는 단계(S200), I/O 정보를 이벤트 블록에 업데이트 하는 단계(S300), I/O 대상 객체를 닫는 단계(S400), I/O 대상 객체 부가 정보를 계산하여 이벤트 블록에 업데이트하는 단계(S500), 이벤트 블록을 저장하는 단계(S600)을 포함한다.
I/O 대상 객체를 여는 단계(S100)는 프로세서가 행위이벤트가 발생할 때 I/O 대상 객체를 여는 단계이다.
이벤트 축약을 위한 이벤트 블록을 생성하는 단계(S200)는, I/O 대상 객체가 열릴 때, 행위 이벤트를 축약하기 위한 이벤트 블록을 생성한다. 이벤트 블록은 행위 이벤트의 시작부터 종료시 까지의 I/O 정보, 통계정보, 부가정보를 포함하는 컨테이너(container)를 지칭한다.
I/O 정보를 이벤트 블록에 업데이트 하는 단계(S300)는 행위이벤트가 발생하는 동안의 I/O 정보를 이벤트 블록에 업데이트한다. 도 2를 참조하면, I/O 대상 객체에 대하여 쓰기, 읽기, 이름변경, 속성 변경, 삭제, 취소 등 이벤트가 발생할 때 마다 객체 정보를 매번 갱신하는 대신 블록에 해당 내용을 누적하여 데이트함으로써 정보 처리의 효율을 올릴 수 있다. 예를 들어, 오브젝트에 대한 I/O 횟수, I/O 바이트수에 대한 통계 정보를 이벤트 블록상에 업데이트 할 수 있다. 예를 들어, 쓰기 행위에 대한 I/O 횟수, I/O 바이트수, 읽기 행위에 대한 I/O 횟수, I/O 바이트수, 변경 행위에 대한 I/O 횟수, I/O 바이트수가 각기 별도로 통계 처리되어 이벤트 블록상에 업데이트 될 수 있다.
I/O 대상 객체를 닫는 단계(S400)는 I/O가 종료되는 시점에 I/O 대상 객체를 닫을 수 있다.
I/O 대상 객체 부가 정보를 계산하여 이벤트 블록에 업데이트하는 단계(S500)는 I/O 대상 객체의 닫는 시점에 객체 부가 정보를 이벤트 블록에 업데이트 함으로써 매번 객체 부가 정보를 갱신하는 대신 이벤트 단위로 1회만 업데이트함으로써 정보처리의 효율을 향상시킬 수 있다. 객체 부가 정보는 객체 타입, 객체 이름, 사이즈, 해시, 전자 서명, 변경 시각 중 적어도 하나의 정보를 포함할 수 있다.
이벤트 블록을 저장하는 단계(S600)는 이벤트 블록의 업데이트가 완료되고, I/O 대상 객체가 닫아진 이후에 이벤트 블록을 저장함으로써, 대상 객체에 대한 정보처리를 1회에 몰아서 수행함으로써 프로세서의 연산 부하를 절감하고, 저장되는 데이터의 볼륨을 획기적으로 저감할 수 있다.
도 3은 일 비교예에 따른 프로세싱의 개념을 나타낸 블록도이다.
도 3을 참조하면, 일 비교예에 따른 프로세싱은 시스템 행위 이벤트 및 I/O 이벤트의 수집에 있어서,
I/O 대상 객체를 열고, 읽기, 쓰기, 속성변경하기 등 I/O가 수행될 때 마다 해당 정보를 연산하고, 저장한 뒤 I/O 대상 객체를 닫는 순서로 진행된다. 그때마다 레지스트리 및 네트워크 정보도 함께 처리되므로, 단위 I/O가 발생할때마다 이벤트가 매번 생성/기록되어야 해서 성능이 저하되고 데이터 볼륨이 불필요하게 커지는 문제가 있었다.
대상 객체의 정보(사이즈, 해시, 변경 시각 등)는 행위 이벤트 블록으로 처리할 경우 1회의 연산으로 충분하나, 비교예에 따른 프로세싱 기법은 단위 I/O마다 매번 연산을 수행하므로, 시스템 성능이 저하되고, 동일한 객체의 I/O 데이터가 반복 저장되는 문제가 있었다.
도 4는 본 명세서의 다른 실시예에 따른 행위 이벤트 축약 방법의 흐름도이다.
도 4를 참조하면, 단계 10에서, 상기 프로세서는 행위이벤트 발생 여부를 모니터링할 수 있다.
만약 단계 20에서 행위이벤트가 발생하지 않은 경우(단계 20의 'NO'), 해당 프로세서는 단계 10으로 이행한다. 따라서, 단계 10 및 20을 반복실행할 수 있다.
반면 단계 20에서 행위이벤트가 발생한 경우(단계 20의 'YES'), 해당 프로세서는 단계 30으로 이행한다. 이 단계에서, 상기 프로세서는 이벤트 대상을 기준으로 메타데이터를 생성할 수 있다.
본 명세서에서 이벤트 대상이란, 파일 I/O, 레지스트리 I/O, TCP 네트워크 접속, UDP 네트워크 접속 등과 같은 활동을 의미할 수 있다.
그리고 단계 40에서 상기 프로세서는 생성된 이벤트 대상이 메모리에 저장된 메타데이터의 대상과 중복되는지 판단할 수 있다.
만약 이벤트 대상이 메타데이터의 대상과 중복되지 않을 때(단계 40의 'NO'), 상기 프로세서는 신규 메타데이터를 생성한 것이다. 따라서, 단계 50으로 이행하여 해당 행위 이벤트를 메타 데이터에 기록한다.
반면, 이벤트 대상이 메타데이터의 대상과 중복될 경우(단계 40의 'YES'), 상기 프로세서가 메타데이터를 생성하지 않고 먼저 생성된 메타데이터를 호출할 수 있다. 신규 생성을 하지 않고 삭제하는 것이다. 이후 단계 60에서 상기 프로세서가 다른 행위이벤트가 추가 발생할 때, 상기 메타데이터에 추가할 수 있다.
도 5는 본 명세서에 따른 행위 이벤트 축약 방법에 의해 생성된 메타데이터의 예시도이다.
도 5를 참고하면, 상기 프로세서는 추가 발생한 행위이벤트는 시간 기준에 의해 상기 메타데이터에 추가할 수 있다.
본 명세서에 따른 행위 이벤트 축약 방법은 각 단계들을 수행하도록 작성되어 컴퓨터로 독출 가능한 기록 매체에 기록된 컴퓨터프로그램의 형태로 구현될 수 있다.
상기 전술한 컴퓨터프로그램은, 상기 컴퓨터가 프로그램을 읽어 들여 프로그램으로 구현된 상기 방법들을 실행시키기 위하여, 상기 컴퓨터의 프로세서(CPU)가 상기 컴퓨터의 장치 인터페이스를 통해 읽힐 수 있는 C/C++, C#, JAVA, Python, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다. 이러한 코드는 상기 방법들을 실행하는 필요한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Functional Code)를 포함할 수 있고, 상기 기능들을 상기 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다. 또한, 이러한 코드는 상기 기능들을 상기 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 상기 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조되어야 하는지에 대한 메모리 참조관련 코드를 더 포함할 수 있다. 또한, 상기 컴퓨터의 프로세서가 상기 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 상기 컴퓨터의 통신 모듈을 이용하여 원격에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수 있다.
상기 저장되는 매체는, 레지스터, 캐쉬, 메모리 등과 같이 짧은 순간 동안 데이터를 저장하는 매체가 아니라 반영구적으로 데이터를 저장하며, 기기에 의해 판독(reading)이 가능한 매체를 의미한다. 구체적으로는, 상기 저장되는 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있지만, 이에 제한되지 않는다. 즉, 상기 프로그램은 상기 컴퓨터가 접속할 수 있는 다양한 서버 상의 다양한 기록매체 또는 사용자의 상기 컴퓨터상의 다양한 기록매체에 저장될 수 있다. 또한, 상기 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장될 수 있다.
이상, 첨부된 도면을 참조로 하여 본 명세서의 실시예를 설명하였지만, 본 명세서가 속하는 기술분야의 통상의 기술자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.
Claims (10)
- (a) 프로세서가 행위이벤트가 발생할 때, 상기 행위이벤트 대상인 I/O 대상 객체를 여는 단계;
(b) 상기 프로세서가 상기 I/O 대상 객체가 열릴 때, 상기 행위이벤트를 축약하기 위한 이벤트 블록을 생성하는 단계-상기 이벤트 블록은, 상기 행위이벤트의 시작부터 종료시 까지의 I/O 정보, 통계정보, 객체 부가정보를 포함하는 컨테이너(container)를 지칭함-;
(c) 상기 프로세서가 상기 행위이벤트가 발생하는 동안의 상기 I/O 대상 객체의 쓰기 행위에 대한 I/O 횟수와 I/O 바이트수, 읽기 행위에 대한 I/O 횟수와 I/O 바이트수 및 변경 행위에 대한 I/O 횟수와 I/O 바이트수, 삭제 행위에 대한 I/O 횟수와 I/O 바이트수 및 취소 행위에 대한 I/O 횟수와 I/O 바이트수에 대한 상기 통계정보를 상기 이벤트 블록에 업데이트하는 단계;
(d) 상기 프로세서가 I/O 대상 객체의 I/O가 종료되는 시점에 상기 I/O 대상 객체를 닫는 단계;
(e) 상기 프로세서가 상기 I/O 대상 객체의 닫는 시점에 상기 I/O 대상 객체에 대한 객체 타입, 객체 이름, 사이즈, 해시, 전자 서명 및 변경 시각을 포함하는 상기 객체 부가정보를 계산하여 상기 행위이벤트 단위로 1회만 상기 이벤트 블록에 업데이트하는 단계; 및
(f) 상기 프로세서가 상기 이벤트 블록의 업데이트가 완료되고, 상기 I/O 대상 객체가 닫아진 이후에 상기 이벤트 블록을 저장하는 단계;
를 포함하는 행위 이벤트 축약 방법. - 삭제
- 삭제
- 삭제
- 삭제
- (a) 프로세서가 행위이벤트 발생 여부를 모니터링하는 단계;
(b) 상기 프로세서가 상기 행위이벤트가 발생하는 경우, 행위이벤트 대상을 기준으로 신규 메타데이터를 생성하는 단계-상기 이벤트 대상은, 파일 I/O, 레지스트리 I/O, TCP 네트워크 접속, UDP 네트워크 접속 중 적어도 하나의 활동임-;
(c) 상기 프로세서가 상기 행위이벤트 대상이 기 저장된 메타데이터의 대상과 중복되는지 판단하는 단계; 및
(d) 상기 프로세서가 상기 행위이벤트 대상이 상기 기 저장된 메타데이터의 대상과 중복되는 것으로 판단한 경우, 상기 신규 메타데이터를 삭제하고, 상기 기 저장된 메타데이터를 호출하여 상기 행위이벤트를 기록하는 단계;를 포함하고,
(e) 상기 (c) 단계 이후, 상기 프로세서가 상기 이벤트 대상이 상기 기 저장된 메타데이터의 대상과 중복되지 않는 것으로 판단한 경우, 상기 신규 메타데이터에 상기 행위이벤트를 기록하고,
상기 (d) 단계에서, 상기 프로세서가 추가 발생한 행위이벤트를 시간 기준에 의해 상기 신규 메타데이터에 추가하는, 행위 이벤트 축약 방법.
- 삭제
- 삭제
- 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/122,261 US11784661B2 (en) | 2019-12-18 | 2020-12-15 | Method for compressing behavior event in computer and computer device therefor |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20190169817 | 2019-12-18 | ||
| KR1020190169817 | 2019-12-18 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20210078396A KR20210078396A (ko) | 2021-06-28 |
| KR102276345B1 true KR102276345B1 (ko) | 2021-07-12 |
Family
ID=76607981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020200157671A KR102276345B1 (ko) | 2019-12-18 | 2020-11-23 | 컴퓨터 내 행위 이벤트 축약 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102276345B1 (ko) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006134170A (ja) * | 2004-11-08 | 2006-05-25 | Internatl Business Mach Corp <Ibm> | 情報処理装置、プログラム、及び管理方法 |
| KR101676366B1 (ko) * | 2016-06-23 | 2016-11-15 | 국방과학연구소 | 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법 |
| KR101751876B1 (ko) * | 2016-03-02 | 2017-06-28 | 단국대학교 산학협력단 | 이동식저장장치의 데이터 접근 이벤트 로깅 방법 및 시스템 |
| JP2018120588A (ja) | 2017-01-20 | 2018-08-02 | 株式会社デンソー | 電子制御装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3550890B2 (ja) * | 1996-06-17 | 2004-08-04 | 株式会社高岳製作所 | イベント送受信方法及び装置 |
| KR100791297B1 (ko) * | 2006-04-06 | 2008-01-04 | 삼성전자주식회사 | 이벤트 정보를 관리하는 장치, 방법 및 시스템 |
| KR20100078081A (ko) * | 2008-12-30 | 2010-07-08 | (주) 세인트 시큐리티 | 커널 기반 시스템 행위 분석을 통한 알려지지 않은 악성코드 탐지 시스템 및 방법 |
-
2020
- 2020-11-23 KR KR1020200157671A patent/KR102276345B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006134170A (ja) * | 2004-11-08 | 2006-05-25 | Internatl Business Mach Corp <Ibm> | 情報処理装置、プログラム、及び管理方法 |
| KR101751876B1 (ko) * | 2016-03-02 | 2017-06-28 | 단국대학교 산학협력단 | 이동식저장장치의 데이터 접근 이벤트 로깅 방법 및 시스템 |
| KR101676366B1 (ko) * | 2016-06-23 | 2016-11-15 | 국방과학연구소 | 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법 |
| JP2018120588A (ja) | 2017-01-20 | 2018-08-02 | 株式会社デンソー | 電子制御装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20210078396A (ko) | 2021-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9535780B2 (en) | Varying logging depth based on user defined policies | |
| US8589890B2 (en) | Mechanism for maintaining detailed trace information relevant to the current operation being processed | |
| US8346729B2 (en) | Business-semantic-aware information lifecycle management | |
| CN110489310B (zh) | 一种记录用户操作的方法、装置、存储介质及计算机设备 | |
| US20130024466A1 (en) | System event logging system | |
| KR102061466B1 (ko) | 메모리 관리를 위한 보존 가비지 콜렉팅 및 정수 태깅 기법 | |
| CN106844182B (zh) | 用于记录用户行为的方法、系统及移动终端 | |
| CN109359092B (zh) | 文件管理方法、桌面显示方法、装置、终端及介质 | |
| JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
| US8838615B2 (en) | Computer implemented method for automatically managing stored checkpoint data | |
| US7502967B1 (en) | Identifying an object in a data file that causes an error in an application | |
| US20040243986A1 (en) | Interpreter and native code execution method | |
| CN108647284B (zh) | 记录用户行为的方法及装置、介质和计算设备 | |
| JP2007102267A (ja) | アクセス履歴管理方法、アクセス履歴管理装置、アクセス履歴管理プログラム、記憶装置及び情報処理装置 | |
| KR102276345B1 (ko) | 컴퓨터 내 행위 이벤트 축약 방법 | |
| US10997057B2 (en) | Debugging asynchronous functions | |
| US11784661B2 (en) | Method for compressing behavior event in computer and computer device therefor | |
| CN108140047B (zh) | 数据处理装置和方法以及数据容器结构 | |
| CN111435327A (zh) | 一种日志记录的处理方法、装置及系统 | |
| CN113360138A (zh) | 操作日志处理方法、装置、电子设备和存储介质 | |
| CN111159126B (zh) | 文件压缩操作的审计方法、装置、电子设备及存储介质 | |
| CN113821193A (zh) | 一种信息生成的方法、装置和存储介质 | |
| WO2022214200A1 (en) | Method and network element for pre-upgrade use case validation | |
| US20210397498A1 (en) | Information processing apparatus, control method, and program | |
| US7617087B2 (en) | Memory management method for dynamic conversion type emulator |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |