KR102343406B1 - 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램 - Google Patents

데이터 파일을 보호하는 장치 및 컴퓨터 프로그램 Download PDF

Info

Publication number
KR102343406B1
KR102343406B1 KR1020200053782A KR20200053782A KR102343406B1 KR 102343406 B1 KR102343406 B1 KR 102343406B1 KR 1020200053782 A KR1020200053782 A KR 1020200053782A KR 20200053782 A KR20200053782 A KR 20200053782A KR 102343406 B1 KR102343406 B1 KR 102343406B1
Authority
KR
South Korea
Prior art keywords
access
white list
data file
executed process
executed
Prior art date
Application number
KR1020200053782A
Other languages
English (en)
Other versions
KR20210135751A (ko
Inventor
원유준
김구철
윤재환
Original Assignee
원유준
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 원유준 filed Critical 원유준
Priority to KR1020200053782A priority Critical patent/KR102343406B1/ko
Publication of KR20210135751A publication Critical patent/KR20210135751A/ko
Application granted granted Critical
Publication of KR102343406B1 publication Critical patent/KR102343406B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/108Transfer of content, software, digital rights or licenses
    • G06F21/1082Backup or restore
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F2221/0782
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2127Bluffing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Quality & Reliability (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램에 관한 것으로, 실행된 프로세스가 데이터 파일에 대하여 엑세스하기 위한 엑세스 요청 메시지를 수신하는 엑세스 요청 수신부; 엑세스 요청의 속성을 파악하는 엑세스 속성 파악부; 상기 데이터 파일의 확장자가 기 설정된 보호 확장자인지 여부를 파악하는 파일 확장자 파악부; 상기 데이터 파일이 기 지정된 보호 폴더에 포함되는지 여부를 파악하는 보호 폴더 파악부; 상기 데이터 파일이 기 지정된 보호 폴더에 포함되는 경우, 실행된 프로세스가 화이트 리스트에 포함되는지 여부를 파악하는 화이트 리스트 파악부; 화이트 리스트에 포함되는지 여부에 따라, 실행된 프로세스를 검증하는 프로세스 검증부; 및 실행된 프로세스에 대하여 데이터 파일의 엑세스를 허용 또는 차단하는 엑세스 처리부를 포함하여 이루어지는 것을 특징으로 한다.

Description

데이터 파일을 보호하는 장치 및 컴퓨터 프로그램{APPARATUS AND COMPUTER PROGRAM FOR PROTECTING DATA FILES}
본 발명은 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램에 관한 것으로, 보다 자세하게는 검증 결과에 따라 실행된 프로세스에 대하여 데이터 파일의 엑세스를 허용 또는 차단하여 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램에 관한 것이다.
랜섬웨어는, 파일을 외부로 유출시키는 형태의 공격을 감행하는 악성코드와는 달리, 파일을 암호화하거나 압축하는 등 임의로 변조시켜 사용자가 다시 보기 어려운 상태 즉 사용 불가능 상태로 만드는 형태의 공격을 감행한다.
이러한 랜섬웨어는, 파일을 사용 불가능 상태로 만든 후(변조) 파일 공격 사실을 사용자에게 알려, 파일 복원의 대가로 금전을 갈취하는 악의적 목적으로 주로 사용되고 있다.
이때, 랜섬웨어는, 금전 갈취의 목적 달성을 위해, 파일을 사용 불가능 상태로 변조시킬 뿐 완전히 파괴하지는 않기 때문에, 랜섬웨어의 공격을 사전에 명백하게 인지하는 것이 쉽지 않고 따라서 공격 자체를 차단하는 것이 어려운 실정이다.
이에, 기존에는 다양한 형태의 랜섬웨어들의 행위를 분석하여 얻은 위협 행위를 기반으로 랜섬웨어를 진단/차단하기 위한 다양한 차단 기술들이 사용되고 있다.
그러나, 기존의 차단 기술의 경우, 프로세스 즉 실행파일의 실행 여부 또는 실행파일 자체의 악성여부를 검사하는 것에 초점이 맞추어져 있다. 하지만, 실제로 랜섬웨어의 공격 대상은 사용자가 생성한 파일 또는 서버가 서비스하는 파일이다.
즉, 랜섬웨어를 진단/차단하기 위한 차단 기술에서 타겟으로 해야 할 대상은, 실행파일이 아니라, 데이터 파일 자체여야 하는 것이다.
이와 관련하여, 한국공개특허 제2017-0133485호는 "데이터 파일들 보호"에 관하여 개시하고 있다.
본 발명은 상기와 같은 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 기 설정된 보호 확장자를 갖는 데이터 파일 및 기 지정된 보호 폴더에 포함된 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램을 제공하는 것이다.
본 발명의 다른 목적은, 실행된 프로세스가 화이트 리스트에 포함되지 않는 경우, 해당 프로세스의 디지털 서명 소유 여부를 토대로 프로세스를 검증하여 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램을 제공하는 것이다.
본 발명의 또 다른 목적은, 실행된 프로세스가 화이트 리스트에 포함되는 경우, 해당 프로세스의 해시 값 재검사 플래그 상태를 토대로 프로세스를 검증하여 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램을 제공하는 것이다.
본 발명의 또 다른 목적은, 트랩폴더를 이용하여 사용자에게 필요한 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램을 제공하는 것이다.
본 발명의 또 다른 목적은, 화이트 리스트에 포함된 프로세스가 실행되는 동안 해당 프로세스의 메모리에 접근을 시도할 경우 메모리 접근을 차단하여 프로세스의 변조를 차단함으로써 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램을 제공하는 것이다.
본 발명의 상기 및 기타 목적들은, 본 발명에 따른 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램에 의해 모두 달성될 수 있다.
본 발명의 일 실시예에 따른 데이터 파일을 보호하는 장치는, 실행된 프로세스가 데이터 파일에 대하여 엑세스(access)하기 위한 엑세스 요청 메시지를 수신하는 엑세스 요청 수신부; 엑세스 요청의 속성을 파악하고, 상기 엑세스 요청의 속성이 쓰기 또는 삭제인 경우파일 확장자의 확인을 요청하고, 상기 엑세스 요청의 속성이 쓰기 또는 삭제가 아닌 경우 엑세스 허용 메시지를 전송하는 엑세스 속성 파악부; 상기 데이터 파일의 확장자가 기 설정된 보호 확장자인지 여부를 파악하는 파일 확장자 파악부; 상기 데이터 파일이 기 지정된 보호 폴더에 포함되는지 여부를 파악하고, 보호 폴더에 포함되지 않은 경우 엑세스 허용 메시지를 전송하는 보호 폴더 파악부; 상기 데이터 파일이 기 지정된 보호 폴더에 포함되는 경우, 실행된 프로세스가 화이트 리스트에 포함되는지 여부를 파악하는 화이트 리스트 파악부; 화이트 리스트에 포함되는지 여부에 따라, 실행된 프로세스를 검증하여 엑세스 허용 메시지 또는 엑세스 차단 메시지를 전송하는 프로세스 검증부; 및 수신된 엑세스 허용 메시지 또는 엑세스 차단 메시지를 토대로 실행된 프로세스에 대하여 데이터 파일의 엑세스를 허용 또는 차단하는 엑세스 처리부를 포함하는 것을 특징으로 한다.
또한 본 발명의 일 실시예에 따른 데이터 파일을 보호하는 장치는 상기 데이터 파일의 확장자가 기 설정된 보호 확장자에 포함되는 경우, 상기 데이터 파일에 대하여 백업(back-up)을 수행하도록 하는 파일 백업 수행부를 더 포함할 수 있다.
상기 프로세스 검증부는, 상기 실행된 프로세스가 화이트 리스트에 포함되지 않는 경우, 상기 실행된 프로세스의 디지털 서명 소유 여부를 토대로 프로세스를 검증하고, 상기 실행된 프로세스가 디지털 서명을 소유한 경우 엑세스 허용 메시지를 전송하는 디지털 서명 검증부; 및 상기 실행된 프로세스가 화이트 리스트에 포함되는 경우, 상기 실행된 프로세스의 해시 값 재검사 플래그 상태를 토대로 프로세스를 검증하고, 상기 실행된 프로세스의 해시 값 재검사 플래그 상태가 거짓(false)인 경우, 엑세스 허용 메시지를 전송하는 플래그 상태 검증부를 포함할 수 있다.
상기 프로세스 검증부는, 상기 실행된 프로세스가 디지털 서명을 소유하지 않은 경우 또는 상기 실행된 프로세스의 해시 값 재검사 플래그 상태가 참(true)인 경우, 바이러스 검사 진행 여부를 결정하고, 바이러스 검사 결과가 정상으로 판단되면 상기 실행된 프로세스를 화이트 리스트에 등록하고 엑세스 허용 메시지를 전송하는 바이러스 검사 검증부; 및 상기 바이러스 검사 검증부에 의해 바이러스 검사 진행이 결정되지 않은 경우, 상기 실행된 프로세스의 화이트 리스트 추가 등록 여부를 확인하여 화이트 리스트에 추가될 경우 엑세스 허용 메시지를 전송하고, 화이트 리스트에 추가되지 않을 경우 엑세스 차단 메시지를 전송하는 화이트 리스트 추가 검증부를 더 포함할 수 있다.
상기 화이트 리스트 추가 검증부는 상기 실행된 프로세스가 화이트 리스트에 추가되면 상기 실행된 프로세스의 해시 값 재검사 플래그 상태를 재확인하고, 재확인 결과 거짓으로 판단되면 엑세스 허용 메시지를 전송할 수 있다.
본 발명의 일 실시예에 따른 데이터 파일을 보호하는 장치는, 미끼 파일을 포함하는 트랩 폴더를 생성하는 트랩 폴더 생성부; 상기 트랩 폴더의 변화 발생 여부를 감시하는 트랩 폴더 감시부; 및 트랩 폴더에 변화가 발생한 경우 사용자에게 알림 메시지를 전송하는 알림 메시지 전송부를 더 포함할 수 있고, 상기 트랩 폴더는 폴더를 정렬했을 때 가장 위에 올 수 있는 폴더명을 가지며, 상기 미끼 파일은 데이터 파일일 수 있다.
또한 본 발명의 일 실시예에 따른 데이터 파일을 보호하는 장치는, 상기 화이트 리스트에 포함되어 데이터 파일에 대한 엑세스가 허용된 프로세스를 감시하는 프로세스 감시부를 더 포함할 수 있고, 상기 프로세스 감시부는 상기 엑세스가 허용된 프로세스의 메모리에 대한 접근 시도가 감지될 경우 상기 엑세스가 허용된 프로세스를 차단할 수 있다.
본 발명의 일 실시예에 따른 데이터 파일을 보호하는 컴퓨터프로그램은, 실행된 프로세스가 데이터 파일에 대하여 엑세스(access)하기 위한 엑세스 요청 메시지를 수신하는 단계; 수신된 엑세스 요청의 속성을 파악하여 상기 엑세스 요청의 속성이 쓰기 또는 삭제인지 결정하여 상기 엑세스 요청의 속성이 쓰기 또는 삭제가 아닌 경우 엑세스를 허용하고, 상기 엑세스 요청의 속성이 쓰기 또는 삭제인 경우 상기 실행된 프로세스를 대기 상태로 설정하는 단계; 상기 엑세스 요청의 속성이 쓰기 또는 삭제인 경우 상기 데이터 파일의 확장자가 기 설정된 보호 확장자에 포함되는지 결정하는 단계; 상기 데이터 파일이 기 지정된 보호 폴더에 포함되는지 결정하여 보호 폴더에 포함되지 않는 경우 엑세스를 허용하는 단계; 상기 데이터 파일이 기 지정된 보호 폴더에 포함되는 경우, 상기 실행된 프로세스가 화이트 리스트에 포함되는지 여부를 파악하는 단계; 상기 실행된 프로세스가 화이트 리스트에 포함되는지 여부에 따라 상기 실행된 프로세스를 검증하는 단계; 및 상기 실행된 프로세스 검증 결과에 따라 상기 데이터 파일에 대한 엑세스를 허용 또는 차단하는 단계를 컴퓨터에서 실행시키기 위하여 매체에 저장된 것을 특징으로 한다.
본 발명의 일 실시예에 따른 데이터 파일을 보호하는 컴퓨터프로그램은 상기 데이터 파일의 확장자가 기 설정된 보호 확장자에 포함되는 경우, 상기 데이터 파일에 대하여 백업(back-up)을 수행하도록 하는 단계를 더 포함할 수 있다.
상기 실행된 프로세스를 검증하는 단계는, 상기 실행된 프로세스가 화이트 리스트에 포함되지 않는 경우, 상기 실행된 프로세스의 디지털 서명 소유 여부를 검증하는 단계; 및 상기 실행된 프로세스가 화이트 리스트에 포함되는 경우, 상기 실행된 프로세스의 해시 값 재검사 플래그 상태를 검증하는 단계를 포함하고, 상기 실행된 프로세스 검증 결과에 따라 상기 데이터 파일에 대한 엑세스를 허용 또는 차단하는 단계는, 상기 실행된 프로세스가 화이트 리스트에 포함되지 않으나 디지털 서명을 소유한 경우 엑세스를 허용하고, 상기 실행된 프로세스가 화이트 리스트에 포함되고 상기 해시 값 재검사 플래그 상태가 거짓인 경우 엑세스를 허용할 수 있다.
상기 실행된 프로세스를 검증하는 단계는, 화이트 리스트에 포함되지 않은 상기 실행된 프로세스가 디지털 서명을 소유하지 않은 경우, 바이러스 검사 진행 여부를 판단하는 단계; 바이러스 검사 진행 여부 판단 결과, 바이러스 검사 진행이 결정되면 바이러스 검사를 요청하고, 바이러스 검사 결과의 정상 여부를 판단하는 단계; 바이러스 검사 결과가 정상으로 판단된 경우 상기 실행된 프로세스를 화이트 리스트에 추가 등록하는 단계; 및 바이러스 검사 진행 여부 판단 결과, 바이러스 검사 진행이 선택되지 않은 경우, 해당 프로세스의 화이트 리스트 추가 등록 여부를 확인하는 단계를 포함하고, 상기 실행된 프로세스 검증 결과에 따라 상기 데이터 파일에 대한 엑세스를 허용 또는 차단하는 단계는, 화이트 리스트에 추가 등록된 프로세스에 대해 엑세스를 허용하고, 바이러스 검사 결과가 정상이 아니거나 바이러스 검사를 진행하지 않고 화이트 리스트에도 추가 등록되지 않은 프로세스에 대해서는 엑세스를 차단할 수 있다.
상기 실행된 프로세스를 검증하는 단계는, 화이트 리스트에 포함된 상기 실행된 프로세스의 해시 값 재검사 플래그 상태가 참인 경우, 바이러스 검사 진행 여부를 판단하는 단계; 바이러스 검사 진행 여부 판단 결과, 바이러스 검사 진행이 결정되면 바이러스 검사를 요청하고, 바이러스 검사 결과의 정상 여부를 판단하는 단계; 바이러스 검사 결과가 정상으로 판단된 경우 상기 실행된 프로세스를 화이트 리스트에 추가 등록하는 단계; 및 바이러스 검사 진행 여부 판단 결과, 바이러스 검사 진행이 선택되지 않은 경우, 해당 프로세스의 화이트 리스트 추가 등록 여부를 확인하는 단계를 포함하고, 상기 실행된 프로세스 검증 결과에 따라 상기 데이터 파일에 대한 엑세스를 허용 또는 차단하는 단계는, 화이트 리스트에 추가 등록된 프로세스에 대해 엑세스를 허용하고, 바이러스 검사 결과가 정상이 아니거나 바이러스 검사를 진행하지 않고 화이트 리스트에도 추가 등록되지 않은 프로세스에 대해서는 엑세스를 차단할 수 있다.
본 발명의 일 실시예에 따른 데이터 파일을 보호하는 컴퓨터프로그램은, 미끼 파일을 포함하는 트랩 폴더를 생성하는 단계; 상기 트랩 폴더의 변화 발생 여부를 감시하는 단계; 및 트랩 폴더에 변화가 발생한 경우 사용자에게 알림 메시지를 전송하는 단계를 더 포함하고, 상기 트랩 폴더는 폴더를 정렬했을 때 가장 위에 올 수 있는 폴더명을 가지며, 상기 미끼 파일은 데이터 파일일 수 있다.
또한 본 발명의 일 실시예에 따른 데이터 파일을 보호하는 컴퓨터프로그램은, 상기 화이트 리스트에 포함되어 데이터 파일에 대한 엑세스가 허용된 프로세스를 감시하는 단계; 및 상기 엑세스가 허용된 프로세스의 메모리에 대한 접근 시도가 감지될 경우 상기 엑세스가 허용된 프로세스를 차단하는 단계를 더 포함할 수 있다.
상기의 목적을 달성하기 위한 본 발명에 따른 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램은 기 설정된 보호 확장자를 갖는 데이터 파일 및 기 지정된 보호 폴더에 포함된 데이터 파일을 보호할 수 있는 효과를 제공한다.
또한 본 발명은 화이트 리스트 포함 여부에 따라 상이한 프로세스 검증 방법으로 데이터 파일을 보호할 수 있으며, 트랩폴더를 이용하여 파일 공격을 위한 무작위 엑세스가 발생한 경우라도 파일 보호를 위한 시간 확보 및 알림을 제공할 수 있는 효과를 제공한다.
또한 본 발명은 화이트 리스트에 포함된 프로세스가 실행되는 동안에도 해당 프로세스의 메모리에 대한 접근을 감시하고 차단하여 프로세스의 변조를 차단함으로써 데이터 파일을 보호할 수 있는 효과를 제공한다.
도 1은 본 발명의 일 실시예에 따른 데이터 파일을 보호하는 장치에 적용되는 운영체제를 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 데이터 파일을 보호하는 장치의 구성을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 데이터 파일을 보호하는 장치에 채용되는 프로세스 검증부의 세부 구성을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 컴퓨터 프로그램이 데이터 파일을 보호하기 위해 컴퓨터에 실행시키는 각 단계들을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 컴퓨터 프로그램에서 실행된 프로세스가 화이트 리스트에 포함되지 않는 경우, 프로세스를 검증하는 단계를 자세하게 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 컴퓨터 프로그램에서 실행된 프로세스가 화이트 리스트에 포함되는 경우, 프로세스를 검증하는 단계를 자세하게 설명하기 위한 도면이다.
도 7은 본 발명의 다른 실시예에 따른 컴퓨터 프로그램이 데이터 파일을 보호하기 위해 컴퓨터에 실행시키는 각 단계들을 설명하기 위한 도면이다.
도 8은 본 발명의 또 다른 실시예에 따른 컴퓨터 프로그램이 데이터 파일을 보호하기 위해 컴퓨터에 실행시키는 각 단계들을 설명하기 위한 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 여기서 하드웨어는 CPU 또는 다른 프로세서(processor)를 포함하는 데이터 처리 기기를 포함할 수도 있다. 또한, 하드웨어에 의해 구동되는 소프트웨어는 실행중인 프로세스, 객체(object), 실행파일(executable), 실행 스레드(thread of execution), 프로그램(program) 등을 지칭할 수 있다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 이하, 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명에 따른 데이터 파일을 보호하는 장치에 적용되는 운영체제를 설명하기 위한 도면이다.
도 1을 참조하여 설명하면, 본 발명에 따른 데이터 파일을 보호하는 장치의 운영 체제는 사용자 인터페이스에 대한 편리성과 안정성을 위해 유저 모드와 커널 모드로 구분할 수 있다.
유저 모드는 도면에 도시된 바와 같이 운영 체제의 시스템 영역을 제외한 데이터 영역에 접근이 가능하며, 유저 인터페이스와 본 발명에 따른 데이터 파일을 보호하는 장치를 운용하기 위한 어플리케이션 등을 포함한 에이전트(Agent)와 설치 프로그램 등을 포함할 수 있다.
커널 모드는 도면에 도시된 바와 같이 모든 시스템 자원에 접근 가능하며, 통신, 보안(프로세스 보호, 레이스트리 보호 등), I/O 컨트롤(백업, 폴더 보호 등), 프로세스 차단, 백업 관리자 등을 포함할 수 있다.
상기와 같은 운영 체제에 적용되는 본 발명에 따른 데이터 파일을 보호하는 장치에서 보호하고자 하는 대상은 보호 폴더, 트랩 폴더, 보호하도록 등록되어 있는 보호 확장자, 프로세스의 변조를 차단하고 데이터 파일을 보호하는 장치 관련 프로그램, 허가 등록된 프로그램, 프로세스의 변조를 차단하고 데이터 파일을 보호하는 장치를 운용하기 위한 설치 폴더 및 드라이버 관련 레지스트리 등이다.
도 2는 본 발명에 따른 데이터 파일을 보호하는 장치의 구성을 설명하기 위한 도면이다.
도 2를 참조하여 설명하면, 본 발명에 따른 로세스의 변조를 차단하고 데이터 파일을 보호하는 장치(100)는 크게 엑세스 요청 수신부(110), 엑세스 속성 파악부(120), 파일 확장자 파악부(130), 파일 백업 수행부(140), 보호 폴더 파악부(150), 화이트 리스트 파악부(160), 프로세스 검증부(170) 및 엑세스 처리부(180)를 포함한다.
엑세스 요청 수신부(110)는 실행된 프로세스가 데이터 파일에 대하여 엑세스(access)하기 위한 엑세스 요청 메시지를 수신한다.
엑세스 속성 파악부(120)는 수신된 엑세스 요청의 속성을 파악한다. 구체적으로는 수신된 엑세스 요청의 속성이 쓰기 또는 삭제인지를 파악한다.
엑세스 속성 파악부(120)는 수신된 엑세스 요청의 속성이 쓰기 또는 삭제 중 적어도 어느 하나인 경우, 파일 확장자의 확인을 요청하고, 수신된 엑세스 요청의 속성이 쓰기 또는 삭제 중 적어도 어느 하나가 아닌 경우, 엑세스 허용 메시지를 엑세스 처리부(180)에 전송한다.
파일 확장자 파악부(130)는 수신된 엑세스 요청 메시지의 속성이 쓰기(Write) 또는 삭제(Delete) 중 적어도 어느 하나인 경우, 데이터 파일의 확장자를 파악한다.
파일 백업 수행부(140)는 파악된 데이터 파일의 확장자가 기 설정된 보호 확장자(예를 들어, doc, xls, ppt 등)에 포함되는 경우, 해당 데이터 파일에 대하여 백업(back-up)을 수행하도록 한다.
파일 백업 수행부(140)는 백업 시 동일한 파일에 대해서는 날짜별로 백업하여 설정 값에 따라 지정된 일수 만큼 백업 파일 리스트를 도 1에 도시된 에이전트를 통해 관리할 수 있도록 하며, 백업은 local disk 또는 원격 disc(예를 들어, cloud disk) 중 어느 하나로 선택할 수 있다.
그리고 에이전트는 백업 파일 리스트를 도 1에 도시된 백업 관리자에 등록하고 추후 사용자는 백업 관리자를 통해 해당 파일의 복구를 원하는 경우 바로 복구할 수 있다. 이때, 백업 관리자가 이용중인 폴더는 미니필터에 의하여 에이전트를 통한 접근이외에는 모두 차단한다.
보호 폴더 파악부(150)는 파악된 데이터 파일의 확장자가 기 설정된 보호 확장자에 포함되지 않는 경우, 데이터 파일이 기 지정된 보호 폴더에 포함되는지 여부를 파악한다. 선택적으로, 보호 폴더 파악부(150)는 데이터 파일의 확장자가 기 설정된 보호 확장자인지 여부에 상관없이 데이터 파일이 보호 폴더에 포함된 파일인지 여부를 파악할 수도 있다.
보호 폴더 파악부(150)는 파악 결과, 데이터 파일이 기 지정된 보호 폴더에 포함되지 않는 경우, 엑세스 허용 메시지를 엑세스 처리부(180)에 전송한다.
화이트 리스트 파악부(160)는 파악 결과, 데이터 파일이 기 지정된 보호 폴더에 포함되는 경우, 실행된 프로세스가 화이트 리스트에 포함되는지 여부를 파악한다. 또한 안전을 위해 엑세스가 요청된 데이터 파일이 기 지정된 보호 폴더에 포함되는 경우 파일 백업 수행부(140)에 의해 해당 파일이 백업되도록 할 수도 있다.
프로세스 검증부(170)는 화이트 리스트 파악부의 파악 결과에 따라, 실행된 프로세스를 검증한다.
프로세스 검증부(170)는 실행된 프로세스가 화이트 리스트에 포함되지 않는 경우 해당 프로세스의 디지털 서명 소유 여부를 토대로 프로세스를 검증하고, 실행된 프로세스가 화이트 리스트에 포함된 경우 해시 값 재검사 플래그 상태를 토대로 프로세스를 검증한다.
보다 구체적으로 실행된 프로세스가 화이트 리스트에 존재하지 않거나 화이트 리스트에 존재하지만 해시 검증 결과가 다른 경우 실행된 프로세스를 대기(pending)상태로 설정하고 에이전트를 통해 사용자에게 화이트 리스트 등록여부의 결정을 요청하고 그 결과에 따라 엑세스 허용 메시지 또는 엑세스 차단 메시지를 전송할 수 있다. 이러한 프로세스 검증부(170)의 구성 및 기능은 이후 설명되는 도 3에서 자세하게 설명하기로 한다.
엑세스 처리부(180)는 검증 결과에 따라 수신된 엑세스 허용 메시지 또는 엑세스 차단 메시지를 토대로 실행된 프로세스에 대하여 데이터 파일의 엑세스를 허용 또는 차단한다.
도 3은 본 발명에 따른 데이터 파일을 보호하는 장치에 채용되는 프로세스 검증부(170)의 세부 구성을 설명하기 위한 도면이다.
도 3을 참조하여 설명하면, 본 발명에 따른 프로세스 검증부(170)는 실행된 프로세스가 화이트 리스트에 포함되지 않는 경우 해당 프로세스의 디지털 서명 소유 여부를 토대로 프로세스를 검증하고, 실행된 프로세스가 화이트 리스트에 포함된 경우 해시 값 재검사 플래그 상태를 토대로 프로세스를 검증한다.
이를 위해, 프로세스 검증부(170)는 디지털 서명 검증부(171), 플래그 상태 검증부(172), 바이러스 검사 검증부(173) 및 화이트리스트 추가 검증부(174)를 포함한다.
디지털 서명 검증부(171)는 실행된 프로세스가 화이트 리스트에 포함되지 않는 경우 프로세스를 대기(pending) 상태로 설정하고, 해당 프로세스의 디지털 서명(예를 들어, 보안 인증서, EV code sign 등) 소유 여부를 토대로 프로세스를 검증하고, 해당 프로세스가 디지털 서명을 소유한 경우 엑세스 허용 메시지를 엑세스 처리부에 전송한다.
디지털 서명 검증부(171)는 해당 프로세스가 디지털 서명을 소유하지 않은 경우 바이러스 검사 검증부(173) 및/또는 화이트리스트 추가 검증부(174)를 통해 엑세스 허용 또는 차단 여부가 결정되도록 한다.
플래그 상태 검증부(172)는 실행된 프로세스가 화이트 리스트에 포함되는 경우, 해당 프로세스의 해시 값 재검사 플래그 상태를 토대로 프로세스를 검증하고, 해당 프로세스의 해시 값 재검사 플래그 상태가 거짓(false)인 경우, 엑세스 허용 메시지를 엑세스 처리부에 전송한다. 여기서, 플래그 상태 검증부(172)는 화이트 리스트에 포함된 프로세스가 긴급 업데이트 등으로 변경될 경우 해시 값을 재검사하도록 플래그를 세팅할 수 있다.
플래그 상태 검증부(172)는 해당 프로세스의 해시 값 재검사 플래그 상태가 참(true)인 경우 프로세스를 대기(pending) 상태로 설정하고, 바이러스 검사 검증부(173) 및/또는 화이트리스트 추가 검증부(174)를 통해 엑세스 허용 또는 차단 여부가 결정되도록 한다.
바이러스 검사 검증부(173)는 해당 프로세스가 디지털 서명을 소유하지 않은 경우 또는 해당 프로세스의 해시 값 재검사 플래그 상태가 참인 경우 바이러스 검사를 통해 엑세스 허용 또는 차단 여부를 결정한다.
이를 위해 바이러스 검사 검증부(173)는 기 결정된 검사 기준에 따라 바이러스 검사 필요 여부를 확인하거나 화면에 메시지를 띄워 바이러스 검사 진행 여부에 대한 사용자 선택을 입력받아 바이러스 검사 여부를 결정한다.
바이러스 검사가 필요한 것으로 결정되면, 바이러스 검사 검증부(173)는 바이러스 검사 서버를 통한 바이러스 검사 진행을 요청한다.
바이러스 검사 검증부(173)는 바이러스 검사 결과가 정상으로 판단되면 해당 프로세스를 화이트 리스트에 등록하고 엑세스 허용 메시지를 엑세스 처리부에 전송한다.
또한 바이러스 검사 검증부(173)는 바이러스 검사 결과가 비정상(바이러스 감염)으로 판단되면 실행된 프로세스에 대하여 데이터 파일의 엑세스를 차단하기 위해 엑세스 차단 메시지를 엑세스 처리부에 전송한다.
다음으로, 화이트 리스트 추가 검증부(174)는 바이러스 검사를 진행하지 않는 것으로 결정된 경우 해당 프로세스를 화이트 리스트에 추가할 것인지 확인한다. 이를 위해 화면에 메시지를 띄워 화이트 리스트 추가 여부에 대한 사용자 선택을 입력받을 수 있다.
화이트 리스트 추가 검증부(174)는 화이트 리스트를 등록하지 않는 것으로 확인되면 실행된 프로세스에 대하여 데이터 파일의 엑세스를 차단하고, 데이터 파일의 엑세스를 차단하기 위해 엑세스 차단 메시지를 엑세스 처리부에 전송한다.
또한 화이트 리스트 추가 검증부(174)는 화이트 리스트에 등록하는 것으로 확인되면 엑세스 허용 메시지를 엑세스 처리부에 전송한다. 이때 화이트 리스트에 등록된 경우 해당 프로세스의 해시 값 재검사 플래그 상태를 재확인하고, 해시 값 재검사 플래그 상태가 거짓(false)인 경우에 엑세스 허용 메시지를 엑세스 처리부에 전송하도록 구성할 수도 있다.
도 4는 본 발명의 일 실시예에 따른 컴퓨터 프로그램이 데이터 파일을 보호하기 위해 컴퓨터에 실행시키는 각 단계들을 설명하기 위한 도면이다.
각 단계들은 앞서 설명한 데이터 파일을 보호하는 장치에 의해 실행될 수도 있으며, 따라서 앞선 설명과 중복되는 설명은 가능한 생략하기로 한다.
먼저, 실행된 프로세스가 데이터 파일에 대하여 엑세스하기 위한 엑세스 요청 메시지를 수신한다(S100).
다음, 수신된 엑세스 요청 메시지의 속성을 파악하고, 수신된 엑세스 요청의 속성이 쓰기 또는 삭제 중 적어도 어느 하나인지를 결정한다(S110).
S110 단계에서, 수신된 엑세스 요청의 속성이 쓰기 또는 삭제 중 적어도 어느 하나인 경우 파일 확장자의 확인을 요청하고, 수신된 엑세스 요청의 속성이 쓰기 또는 삭제 중 적어도 어느 하나가 아닌 경우 엑세스 허용 메시지를 전송하고 S170 단계로 진행하여 실행된 프로세스가 데이터 파일에 대하여 엑세스할 수 있도록 한다.
S110 단계에서 수신된 엑세스 요청 메시지의 속성이 쓰기 또는 삭제 중 적어도 어느 하나인 경우, S120 단계로 진행한다.
S120 단계에서는 엑세스가 요청된 데이터 파일의 확장자가 기 설정된 보호 확장자(예를 들어, doc, xls, ppt 등)에 포함되는지 결정한다. 데이터 파일의 확장자가 기 설정된 보호 확장자인 경우 S130 단계로 진행하여 데이터 파일의 백업을 수행한 후 S140 단계로 진행한다.
S130 단계에서 백업 시 동일한 파일에 대해서는 날짜별로 백업하여 설정 값에 따라 지정된 일 수만큼 파일을 관리할 수 있도록 하며, 백업은 로컬 디스크(local disk) 및/또는 원격 디스크로 선택할 수 있다.
S120 단계에서 파악된 데이터 파일의 확장자가 기 설정된 보호 확장자에 포함되지 않는 경우, S140 단계로 진행한다.
S140 단계에서는 데이터 파일이 기 지정된 보호 폴더에 포함되는지 여부를 결정한다.
S140 단계에서의 파악 결과, 데이터 파일이 기 지정된 보호 폴더에 포함되지 않는 경우, 엑세스 허용 메시지를 전송하고 S170 단계로 진행하여 실행된 프로세스가 데이터 파일에 대하여 엑세스할 수 있도록 한다.
한편, S140 단계에서의 파악 결과, 데이터 파일이 기 지정된 보호 폴더에 포함되는 경우, S150 단계로 진행하여 실행된 프로세스가 화이트 리스트에 포함되는지 여부를 파악한다. 이때 선택적으로 S130 단계와 같이 프로세스가 엑세스 하려고 하는 파일에 대하여 백업을 수행할 수도 있다.
다음, S160 단계에서는 S150 단계에서의 파악 결과에 따라, 실행된 프로세스를 검증한다.
구체적으로 S160 단계는 실행된 프로세스가 화이트 리스트에 포함되지 않는 경우 해당 프로세스의 디지털 서명 소유 여부를 토대로 프로세스를 검증하고, 실행된 프로세스가 화이트 리스트에 포함된 경우 해시 값 재검사 플래그 상태를 토대로 프로세스를 검증한다. 이는 이후 설명되는 도 5 및 도 6에서 자세하게 설명하기로 한다.
다음, 검증 결과에 따라 생성되는 수신된 엑세스 허용 메시지 또는 엑세스 차단 메시지를 토대로 실행된 프로세스에 대하여 데이터 파일의 엑세스를 허용(S170)하거나 엑세스를 차단(S180)한다.
S170 단계는 수신된 엑세스 요청의 속성이 쓰기 또는 삭제 중 적어도 어느 하나가 아닌 경우, 데이터 파일이 기 지정된 보호 폴더에 포함되지 않는 경우, 프로세스 검증 결과 엑세스가 허용될 경우에 생성된 엑세스 허용 메시지를 토대로 실행된 프로세스에 대하여 데이터 파일의 엑세스를 허용한다.
S170 단계는 프로세스 검증 결과 엑세스가 허용될 경우에 생성된 엑세스 차단 메시지를 토대로 실행된 프로세스에 대하여 데이터 파일의 엑세스를 차단한다.
도 5는 본 발명에 따른 데이터 파일을 보호하는 컴퓨터 프로그램에 의해 실행되는 S150 단계에서 실행된 프로세스가 화이트 리스트에 포함되지 않는 것으로 파악된 경우, S160 단계에서 프로세스를 검증하는 단계를 자세하게 설명하기 위한 도면이다.
도 5를 참조하여 설명하면, 먼저, 실행된 프로세스가 화이트 리스트에 포함되지 않은 것으로 파악된 경우 실행된 프로세스가 화이트 리스트에 포함되지 않은 것으로 판단한다(S200). 이때 해당 프로세스를 대기(pending)상태로 설정한다.
다음, 해당 프로세스의 디지털 서명(예를 들어, 보안 인증서, EV code sign 등) 소유 여부를 검증한다(S210).
S210 단계에서, 해당 프로세스가 디지털 서명을 소유한 경우 엑세스 허용 메시지를 전송하고 S170 단계로 진행하여 실행된 프로세스가 데이터 파일에 대하여 엑세스할 수 있도록 한다.
한편, 해당 프로세스가 디지털 서명을 소유하지 않은 경우 S220 단계로 이동하여 바이러스 검사 여부를 확인하도록 한다. 이때 바이러스 검사 여부 확인을 위해 에이전트를 통해 사용자에게 바이러스 검사 여부의 결정을 요청할 수 있다.
S220 단계에서 바이러스 검사를 진행하는 것으로 확인되면, S230 단계로 이동하여 바이러스 검사 진행을 요청하고 바이러스 검사 결과를 수신한다.
다음 S240 단계에서, 바이러스 검사 결과가 정상인지 여부를 파악한다.
S240 단계에서, 바이러스 검사 결과가 정상으로 판단되면 해당 프로세스를 화이트 리스트에 등록하고(S260), 엑세스 허용 메시지를 전송하고 S170 단계로 진행하여 실행된 프로세스가 데이터 파일에 대하여 엑세스할 수 있도록 한다.
한편, S240 단계에서 바이러스 검사 결과가 비정상으로 판단되면 엑세스 차단 메시지를 전송하고 S180 단계로 진행하여 실행된 프로세스에 대하여 데이터 파일의 엑세스를 차단한다.
또한 S220 단계에서 바이러스 검사를 진행하지 않는 것으로 확인되면, S250 단계로 이동하여 화이트 리스트 등록 여부를 확인한다. 이때 화이트 리스트 등록 여부 확인을 위해 에이전트를 통해 사용자에게 화이트 리스트 등록여부의 결정을 요청할 수 있다.
S250 단계에서 화이트 리스트 등록 여부 확인 결과, 해당 프로세스를 화이트 리스트에 등록하는 것으로 확인되면 S260 단계에서 해당 프로세스를 화이트 리스트에 등록하고, 엑세스 허용 메시지를 전송하고 S170 단계로 진행하여 실행된 프로세스가 데이터 파일에 대하여 엑세스할 수 있도록 한다. 이때 해당 프로세스를 화이트 리스트에 등록할 때 해시 값을 저장하고 해시 값 재검사 플래그가 0(거짓)인지 확인한 후 엑세스 허용 메시지를 전송하고 S170 단계로 진행하는 것이 바람직하다.
한편, S250 단계에서 화이트 리스트 등록 여부 확인 결과, 해당 프로세스를 화이트 리스트에 등록하지 않는 것으로 확인되면 실행된 프로세스에 대하여 엑세스 차단 메시지를 전송하고 S180 단계로 진행하여 실행된 프로세스가 데이터 파일에 대하여 엑세스하는 것을 차단한다.
도 6은 본 발명에 따른 데이터 파일을 보호하는 컴퓨터 프로그램에서 실행되는 S150 단계에서 실행된 프로세스가 화이트 리스트에 포함되는 것으로 파악된 경우, S160 단계에서 프로세스를 검증하는 단계를 자세하게 설명하기 위한 도면이다.
도 6을 참조하여 설명하면, 먼저 실행된 프로세스가 화이트 리스트에 포함된 것으로 파악되면 실행된 프로세스가 화이트 리스트에 포함된 프로세스로 판단한다(S300).
다음. 해당 프로세스의 해시 값 재검사 플래그 상태를 토대로 프로세스를 검증한다(S310).
S310 단계에서 해당 프로세스의 해시 값 재검사 플래그 상태가 거짓(false)인 경우, 엑세스 허용 메시지를 전송하고 S170 단계로 진행하여 실행된 프로세스가 데이터 파일에 대하여 엑세스할 수 있도록 한다.
한편, S310 단계에서 해당 프로세스의 해시 값 재검사 플래그 상태가 참(true) 인 경우 S320 단계로 진행하여 바이러스 검사 진행 여부를 확인한다.
S320 단계에서 확인한 결과, 바이러스 검사 진행이 확인되면 S330 단계로 진행하여 바이러스 검사 진행을 요청하고 바이러스 검사 결과를 수신한다.
다음 S340 단계에서, 바이러스 검사 결과가 정상인지 여부를 파악한다.
S340 단계에서, 바이러스 검사 결과가 정상으로 판단되면 엑세스 허용 메시지를 전송하고 S170 단계로 진행하여 실행된 프로세스가 데이터 파일에 대하여 엑세스할 수 있도록 한다.
한편, S340 단계에서 바이러스 검사 결과가 비정상으로 판단되면 실행된 엑세스 차단 메시지를 전송하고 S180 단계로 진행하여 실행된 프로세스에 대하여 데이터 파일의 엑세스를 차단한다.
또한 S320 단계에서 바이러스 검사를 진행하지 않는 것으로 확인되면, S350 단계로 이동하여 화이트 리스트 등록 여부를 확인한다. 이때 화이트 리스트 등록 여부 확인을 위해 에이전트를 통해 사용자에게 화이트 리스트 등록여부의 결정을 요청할 수 있다.
S350 단계에서 화이트 리스트 등록 여부 확인 결과, 해당 프로세스를 화이트 리스트에 등록하는 것으로 확인되면 S360 단계에서 해당 프로세스를 화이트 리스트에 등록하고, 엑세스 허용 메시지를 전송하고 S170 단계로 진행하여 실행된 프로세스가 데이터 파일에 대하여 엑세스할 수 있도록 한다. 이때 해당 프로세스를 화이트 리스트에 등록할 때 해시 값을 저장하고 해시 값 재검사 플래그가 0(거짓)인지 확인한 후 엑세스 허용 메시지를 전송하고 S170 단계로 진행하는 것이 바람직하다.
한편, S350 단계에서 화이트 리스트 등록 여부 확인 결과, 해당 프로세스를 화이트 리스트에 등록하지 않는 것으로 확인되면 실행된 프로세스에 대하여 엑세스 차단 메시지를 전송하고 S180 단계로 진행하여 실행된 프로세스가 데이터 파일에 대하여 엑세스하는 것을 차단한다.
도 7은 본 발명의 다른 실시예에 따른 데이터 파일을 보호하는 장치(200)의 구성을 설명하기 위한 도면이다.
도 7에 도시된 바와 같이 본 발명의 다른 실시예에 따른 데이터 파일을 보호하는 장치(200)는 파일 변조 공격을 위한 무작위 엑세스가 발생한 경우를 대비하기 위한 것으로 이를 위해 도 2에 도시된 실시예(100)에 트랩 폴더 생성부(210), 트랩 폴더 감시부(220) 및 알림 메시지 전송부(230)을 더 포함하는 것을 특징으로 한다.
이하에서는 도 2에 도시된 실시예와 중복되는 설명은 생략하고 본 실시예에서 추가된 구성을 중심으로 본 발명의 다른 실시예에 따른 데이터 파일을 보호하는 장치에 대해 설명하기로 한다.
트랩 폴더 생성부(210)는 사용자 PC 내에 트랩(Trap) 폴더를 생성한다.
트랩 폴더는 데이터 파일에 대한 파일 변조 공격이 무작위로 발생할 경우 가장 먼저 찾아질 수 있는 폴더로서 예를 들어 폴더를 오름차순 또는 내림차순으로 정렬했을 때 가장 위에 올 수 있는 폴더명으로 폴더를 생성한다. 예를 들어 폴더명은 특수문자로 시작될 수 있다.
또한 트랩 폴더 생성부는 생성된 트랩 폴더 내에 미끼 파일을 생성한다. 미끼 파일은 doc, xls, ppt 등의 데이터 파일인 것이 바람직하다.
트랩 폴더 감시부(220)는 트랩 폴더에 변화가 생기는지 여부를 감시한다. 구체적으로는 트랩폴더 내 미끼 파일에 변화(예를 들어 확장자 변경)가 생기는지 여부를 감시한다.
트랩 폴더 감시부는 트랩 폴더에 변화가 생긴 것으로 판단된 경우 알림 메시지 전송부(230)가 사용자에게 알림 메시지를 전송할 수 있도록 하며, 현재 진행 중인 모든 프로세스가 중단되도록 조치할 수도 있다.
알림 메시지 전송부(230)는 트랩 폴더 감시부(220)에 의해 트랩 폴더에 변화가 생긴 것으로 판단될 경우 사용자에게 알림 메시지를 전송할 수 있다. 알림 메시지 전송부는 사용자 PC가 사용 중인 경우 화면에 팝업창을 띄워 알림 메시지를 전송할 수 있으며, 이메일, 인스턴트 메시지 등을 통해 알림 메시지를 전송할 수도 있다. 이를 위해 알림 메시지 전송부에는 사용자의 연락 정보가 미리 저장되어 있을 수 있다.
이와 같은 트랩 폴더 생성부(210), 트랩 폴더 감시부(220), 알림 메시지 전송부(230)를 포함하는 본 발명의 실시예에 따른 데이터 파일을 보호하는 장치(200)는 파일 변조 공격을 위한 다수의 엑세스가 무작위로 발생하더라도 파일을 보호하기 위한 시간 확보 및 알림을 제공할 수 있어 보호해야 할 사용자 파일이 변조되는 것을 차단할 수 있다.
도 8은 본 발명의 또 다른 실시예에 따른 데이터 파일을 보호하는 장치(300)의 구성을 설명하기 위한 도면이다.
도 8에 도시된 바와 같이 본 발명의 또 다른 실시예에 따른 데이터 파일을 보호하는 장치(300)는 화이트 리스트에 포함된 프로세스가 파일 변조 공격을 위한 무작위 엑세스가 발생한 경우를 대비하기 위한 것으로 이를 위해 도 2에 도시된 실시예(100)에 프로세스 감시부(310)를 더 포함하는 것을 특징으로 한다.
비록 도 8에는 트랩 폴더 생성부(210), 트랩 폴더 감시부(220), 알림 메시지 전송부(230)가 포함되어 있지 않으나 필요에 따라 트랩 폴더 생성부(210), 트랩 폴더 감시부(220), 알림 메시지 전송부(230)를 포함할 수도 있다.
이하에서는 도 2에 도시된 실시예와 중복되는 설명은 생략하고 본 실시예에서 추가된 구성을 중심으로 본 발명의 다른 실시예에 따른 데이터 파일을 보호하는 장치에 대해 설명하기로 한다.
프로세스 감시부(310)는 화이트 리스트에 등록된 프로그램이 실행되어 프로세스 상태에 있을 때 해당 프로세스의 메모리에 대한 접근 시도가 있는지 여부를 감시한다.
프로세스 감시부(310)는 화이트 리스트에 등록된 프로그램의 프로세스라 하더라도 해당 프로세스의 메모리에 대한 접근 시도가 있을 경우 해당 프로세스를 차단한다.
본 발명의 또 다른 실시예에 따른 데이터 파일을 보호하는 장치(300)는 프로세스 감시부(310)를 구비함으로써 화이트 리스트에 등록된 프로그램의 프로세스로서 데이터 파일에 대한 쓰기 또는 삭제 엑세스 요청이 허용된 경우라 하더라도 해당 프로세스가 변조되는 것을 차단함으로써 데이터 파일이 변조되는 것을 차단할 수 있다.
본 명세서에서 기술하는 주제의 실시형태는 하나 이상이 컴퓨터 프로그램 제품, 다시 말해 데이터 처리 장치에 의한 실행을 위하여 또는 그 동작을 제어하기 위하여 유형의 프로그램 매체 상에 인코딩되는 컴퓨터 프로그램 명령에 관한 하나 이상이 모듈로서 구현될 수 있다. 유형의 프로그램 매체는 전파형 신호이거나 컴퓨터로 판독 가능한 매체일 수 있다. 전파형 신호는 컴퓨터에 의한 실행을 위하여 적절한 수신기 장치로 전송하기 위한 정보를 인코딩하기 위하여 생성되는 예컨대 기계가 생성한 전기적, 광학적 또는 전자기 신호와 같은 인공적으로 생성된 신호이다. 컴퓨터로 판독 가능한 매체는 기계로 판독 가능한 저장장치, 기계로 판독 가능한 저장 기판, 메모리 장치, 기계로 판독 가능한 전파형 신호에 영향을 미치는 물질의 조합 또는 이들 중 하나 이상이 조합일 수 있다.
컴퓨터 프로그램(프로그램, 소프트웨어, 소프트웨어 어플리케이션, 스크립트 또는 코드로도 알려져 있음)은 컴파일되거나 해석된 언어나 선험적 또는 절차적 언어를 포함하는 프로그래밍 언어의 어떠한 형태로도 작성될 수 있으며, 독립형 프로그램이나 모듈, 컴포넌트, 서브루틴 또는 컴퓨터 환경에서 사용하기에 적합한 다른 유닛을 포함하여 어떠한 형태로도 전개될 수 있다.
컴퓨터 프로그램은 파일 장치의 파일에 반드시 대응하는 것은 아니다. 프로그램은 요청된 프로그램에 제공되는 단일 파일 내에, 또는 다중의 상호 작용하는 파일(예컨대, 하나 이상이 모듈, 하위 프로그램 또는 코드의 일부를 저장하는 파일) 내에, 또는 다른 프로그램이나 데이터를 보유하는 파일의 일부(예컨대, 마크업 언어 문서 내에 저장되는 하나 이상이 스크립트) 내에 저장될 수 있다.
컴퓨터 프로그램은 하나의 사이트에 위치하거나 복수의 사이트에 걸쳐서 분산되어 통신 네트워크에 의해 상호 접속된 다중 컴퓨터나 하나의 컴퓨터 상에서 실행되도록 전개될 수 있다.
부가적으로, 본 특허문헌에서 기술하는 논리 흐름과 구조적인 블록도는 개시된 구조적인 수단의 지원을 받는 대응하는 기능과 단계의 지원을 받는 대응하는 행위 및/또는 특정한 방법을 기술하는 것으로, 대응하는 소프트웨어 구조와 알고리즘과 그 등가물을 구축하는 데에도 사용 가능하다.
본 명세서에서 기술하는 프로세스와 논리 흐름은 수신 데이터 상에서 동작하고 출력을 생성함으로써 기능을 수행하기 위하여 하나 이상이 컴퓨터 프로그램을 실행하는 하나 이상이 프로그래머블 프로세스에 의하여 수행 가능하다.
컴퓨터 프로그램의 실행에 적합한 프로세스는, 예컨대 범용 및 특수 목적의 마이크로프로세스 양자 및 어떤 형태의 디지털 컴퓨터의 어떠한 하나 이상이 프로세스라도 포함한다. 일반적으로, 프로세스는 읽기 전용 메모리나 랜덤 엑세스 메모리 또는 양자로부터 명령어와 데이터를 수신할 것이다.
컴퓨터의 핵심적인 요소는 명령어와 데이터를 저장하기 위한 하나 이상이 메모리 장치 및 명령을 수행하기 위한 프로세스이다. 또한, 컴퓨터는 일반적으로 예컨대 자기, 자기 광학 디스크나 광학 디스크와 같은 데이터를 저장하기 위한 하나 이상이 대량 저장 장치로부터 데이터를 수신하거나 그것으로 데이터를 전송하거나 또는 그러한 동작 둘 다를 수행하기 위하여 동작가능 하도록 결합되거나 이를 포함할 것이다. 그러나, 컴퓨터는 그러한 장치를 가질 필요가 없다.
본 기술한 설명은 본 발명의 최상의 모드를 제시하고 있으며, 본 발명을 설명하기 위하여, 그리고 당업자가 본 발명을 제작 및 이용할 수 있도록 하기 위한 예를 제공하고 있다. 이렇게 작성된 명세서는 그 제시된 구체적인 용어에 본 발명을 제한하는 것이 아니다.
따라서, 상술한 예를 참조하여 본 발명을 상세하게 설명하였지만, 당업자라면 본 발명의 범위를 벗어나지 않으면서도 본 예들에 대한 개조, 변경 및 변형을 가할 수 있다. 요컨대 본 발명이 의도하는 효과를 달성하기 위해 도면에 도시된 모든 기능 블록을 별도로 포함하거나 도면에 도시된 모든 순서를 도시된 순서 그대로 따라야만 하는 것은 아니며, 그렇지 않더라도 얼마든지 청구항에 기재된 본 발명의 기술적 범위에 속할 수 있음에 주의한다.
100, 200, 300 : 본 발명의 실시예에 따른 데이터 파일을 보호하는 장치
110 : 엑세스 요청 수신부
120 : 엑세스 속성 파악부
130 : 파일 확장자 파악부
140 : 파일 백업 수행부
150 : 보호 폴더 파악부
160 : 화이트 리스트 파악부
170 : 프로세스 검증부
180 : 엑세스 처리부
210 : 트랩폴더 생성부
220 : 트랩폴더 감시부
230 : 알림 메세지 전송부
310 : 프로세스 감시부

Claims (14)

  1. 실행된 프로세스가 데이터 파일에 대하여 엑세스(access)하기 위한 엑세스 요청 메시지를 수신하는 엑세스 요청 수신부;
    엑세스 요청의 속성을 파악하고, 상기 엑세스 요청의 속성이 쓰기 또는 삭제인 경우파일 확장자의 확인을 요청하고, 상기 엑세스 요청의 속성이 쓰기 또는 삭제가 아닌 경우 엑세스 허용 메시지를 전송하는 엑세스 속성 파악부;
    상기 데이터 파일의 확장자가 기 설정된 보호 확장자인지 여부를 파악하는 파일 확장자 파악부;
    상기 데이터 파일이 기 지정된 보호 폴더에 포함되는지 여부를 파악하고, 보호 폴더에 포함되지 않은 경우 엑세스 허용 메시지를 전송하는 보호 폴더 파악부;
    상기 데이터 파일이 기 지정된 보호 폴더에 포함되는 경우, 실행된 프로세스가 화이트 리스트에 포함되는지 여부를 파악하는 화이트 리스트 파악부;
    화이트 리스트에 포함되는지 여부에 따라, 실행된 프로세스를 검증하여 엑세스 허용 메시지 또는 엑세스 차단 메시지를 전송하는 프로세스 검증부; 및
    수신된 엑세스 허용 메시지 또는 엑세스 차단 메시지를 토대로 실행된 프로세스에 대하여 데이터 파일의 엑세스를 허용 또는 차단하는 엑세스 처리부;
    를 포함하고,
    상기 프로세스 검증부는,
    상기 실행된 프로세스가 화이트 리스트에 포함되지 않는 경우, 상기 실행된 프로세스의 디지털 서명 소유 여부를 토대로 프로세스를 검증하고, 상기 실행된 프로세스가 디지털 서명을 소유한 경우 엑세스 허용 메시지를 전송하는 디지털 서명 검증부; 및
    상기 실행된 프로세스가 화이트 리스트에 포함되는 경우, 상기 실행된 프로세스의 해시 값 재검사 플래그 상태를 토대로 프로세스를 검증하고, 상기 실행된 프로세스의 해시 값 재검사 플래그 상태가 거짓(false)인 경우, 엑세스 허용 메시지를 전송하는 플래그 상태 검증부;
    를 포함하는 것을 특징으로 하는 데이터 파일을 보호하는 장치.
  2. 제1항에 있어서,
    상기 데이터 파일의 확장자가 기 설정된 보호 확장자에 포함되는 경우, 상기 데이터 파일에 대하여 백업(back-up)을 수행하도록 하는 파일 백업 수행부를 더 포함하는 것을 특징으로 하는 데이터 파일을 보호하는 장치.
  3. 제1항에 있어서,
    상기 프로세스 검증부는,
    상기 실행된 프로세스가 디지털 서명을 소유하지 않은 경우 또는 상기 실행된 프로세스의 해시 값 재검사 플래그 상태가 참(true)인 경우, 바이러스 검사 진행 여부를 결정하고, 바이러스 검사 결과가 정상으로 판단되면 상기 실행된 프로세스를 화이트 리스트에 등록하고 엑세스 허용 메시지를 전송하는 바이러스 검사 검증부; 및
    상기 바이러스 검사 검증부에 의해 바이러스 검사 진행이 결정되지 않은 경우, 상기 실행된 프로세스의 화이트 리스트 추가 등록 여부를 확인하여 화이트 리스트에 추가될 경우 엑세스 허용 메시지를 전송하고, 화이트 리스트에 추가되지 않을 경우 엑세스 차단 메시지를 전송하는 화이트 리스트 추가 검증부;
    를 더 포함하는 것을 특징으로 하는 데이터 파일을 보호하는 장치.
  4. 제3항에 있어서,
    상기 화이트 리스트 추가 검증부는 상기 실행된 프로세스가 화이트 리스트에 추가되면 상기 실행된 프로세스의 해시 값 재검사 플래그 상태를 재확인하고, 재확인 결과 거짓으로 판단되면 엑세스 허용 메시지를 전송하는 것을 특징으로 하는 데이터 파일을 보호하는 장치.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    미끼 파일을 포함하는 트랩 폴더를 생성하는 트랩 폴더 생성부;
    상기 트랩 폴더의 변화 발생 여부를 감시하는 트랩 폴더 감시부; 및
    트랩 폴더에 변화가 발생한 경우 사용자에게 알림 메시지를 전송하는 알림 메시지 전송부;
    를 더 포함하고, 상기 트랩 폴더는 폴더를 정렬했을 때 가장 위에 올 수 있는 폴더명을 가지며, 상기 미끼 파일은 데이터 파일인 것을 특징으로 하는 데이터 파일을 보호하는 장치.
  6. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 화이트 리스트에 포함되어 데이터 파일에 대한 엑세스가 허용된 프로세스를 감시하는 프로세스 감시부를 더 포함하고,
    상기 프로세스 감시부는 상기 엑세스가 허용된 프로세스의 메모리에 대한 접근 시도가 감지될 경우 상기 엑세스가 허용된 프로세스를 차단하는 것을 특징으로 하는 데이터 파일을 보호하는 장치.
  7. 실행된 프로세스가 데이터 파일에 대하여 엑세스(access)하기 위한 엑세스 요청 메시지를 수신하는 단계;
    수신된 엑세스 요청의 속성을 파악하여 상기 엑세스 요청의 속성이 쓰기 또는 삭제인지 결정하여 상기 엑세스 요청의 속성이 쓰기 또는 삭제가 아닌 경우 엑세스를 허용하고, 상기 엑세스 요청의 속성이 쓰기 또는 삭제인 경우 상기 실행된 프로세스를 대기 상태로 설정하는 단계;
    상기 엑세스 요청의 속성이 쓰기 또는 삭제인 경우 상기 데이터 파일의 확장자가 기 설정된 보호 확장자에 포함되는지 결정하는 단계;
    상기 데이터 파일이 기 지정된 보호 폴더에 포함되는지 결정하여 보호 폴더에 포함되지 않는 경우 엑세스를 허용하는 단계;
    상기 데이터 파일이 기 지정된 보호 폴더에 포함되는 경우, 상기 실행된 프로세스가 화이트 리스트에 포함되는지 여부를 파악하는 단계;
    상기 실행된 프로세스가 화이트 리스트에 포함되는지 여부에 따라 상기 실행된 프로세스를 검증하는 단계; 및
    상기 실행된 프로세스 검증 결과에 따라 상기 데이터 파일에 대한 엑세스를 허용 또는 차단하는 단계;
    를 컴퓨터에 실행시키기 위하여 매체에 저장되며,
    상기 실행된 프로세스를 검증하는 단계는,
    상기 실행된 프로세스가 화이트 리스트에 포함되지 않는 경우, 상기 실행된 프로세스의 디지털 서명 소유 여부를 검증하는 단계; 및
    상기 실행된 프로세스가 화이트 리스트에 포함되는 경우, 상기 실행된 프로세스의 해시 값 재검사 플래그 상태를 검증하는 단계;
    를 포함하고,
    상기 실행된 프로세스 검증 결과에 따라 상기 데이터 파일에 대한 엑세스를 허용 또는 차단하는 단계는, 상기 실행된 프로세스가 화이트 리스트에 포함되지 않으나 디지털 서명을 소유한 경우 엑세스를 허용하고, 상기 실행된 프로세스가 화이트 리스트에 포함되고 상기 해시 값 재검사 플래그 상태가 거짓인 경우 엑세스를 허용하는 것을 특징으로 하는 컴퓨터프로그램.
  8. 제7항에 있어서,
    상기 데이터 파일의 확장자가 기 설정된 보호 확장자에 포함되는 경우, 상기 데이터 파일에 대하여 백업(back-up)을 수행하도록 하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터프로그램.
  9. 제7항에 있어서,
    상기 실행된 프로세스를 검증하는 단계는,
    화이트 리스트에 포함되지 않은 상기 실행된 프로세스가 디지털 서명을 소유하지 않은 경우, 바이러스 검사 진행 여부를 판단하는 단계;
    바이러스 검사 진행 여부 판단 결과, 바이러스 검사 진행이 결정되면 바이러스 검사를 요청하고, 바이러스 검사 결과의 정상 여부를 판단하는 단계;
    바이러스 검사 결과가 정상으로 판단된 경우 상기 실행된 프로세스를 화이트 리스트에 추가 등록하는 단계; 및
    바이러스 검사 진행 여부 판단 결과, 바이러스 검사 진행이 선택되지 않은 경우, 해당 프로세스의 화이트 리스트 추가 등록 여부를 확인하는 단계;
    를 포함하고,
    상기 실행된 프로세스 검증 결과에 따라 상기 데이터 파일에 대한 엑세스를 허용 또는 차단하는 단계는, 화이트 리스트에 추가 등록된 프로세스에 대해 엑세스를 허용하고, 바이러스 검사 결과가 정상이 아니거나 바이러스 검사를 진행하지 않고 화이트 리스트에도 추가 등록되지 않은 프로세스에 대해서는 엑세스를 차단하는 것을 특징으로 하는 컴퓨터프로그램.
  10. 제7항에 있어서,
    상기 실행된 프로세스를 검증하는 단계는,
    화이트 리스트에 포함된 상기 실행된 프로세스의 해시 값 재검사 플래그 상태가 참인 경우, 바이러스 검사 진행 여부를 판단하는 단계;
    바이러스 검사 진행 여부 판단 결과, 바이러스 검사 진행이 결정되면 바이러스 검사를 요청하고, 바이러스 검사 결과의 정상 여부를 판단하는 단계;
    바이러스 검사 결과가 정상으로 판단된 경우 상기 실행된 프로세스를 화이트 리스트에 추가 등록하는 단계; 및
    바이러스 검사 진행 여부 판단 결과, 바이러스 검사 진행이 선택되지 않은 경우, 해당 프로세스의 화이트 리스트 추가 등록 여부를 확인하는 단계;
    를 포함하고,
    상기 실행된 프로세스 검증 결과에 따라 상기 데이터 파일에 대한 엑세스를 허용 또는 차단하는 단계는, 화이트 리스트에 추가 등록된 프로세스에 대해 엑세스를 허용하고, 바이러스 검사 결과가 정상이 아니거나 바이러스 검사를 진행하지 않고 화이트 리스트에도 추가 등록되지 않은 프로세스에 대해서는 엑세스를 차단하는 것을 특징으로 하는 컴퓨터프로그램.
  11. 제7항 내지 제10항 중 어느 한 항에 있어서,
    미끼 파일을 포함하는 트랩 폴더를 생성하는 단계;
    상기 트랩 폴더의 변화 발생 여부를 감시하는 단계; 및
    트랩 폴더에 변화가 발생한 경우 사용자에게 알림 메시지를 전송하는 단계;
    를 더 포함하고, 상기 트랩 폴더는 폴더를 정렬했을 때 가장 위에 올 수 있는 폴더명을 가지며, 상기 미끼 파일은 데이터 파일인 것을 특징으로 하는 컴퓨터프로그램.
  12. 제7항 내지 제10항 중 어느 한 항에 있어서,
    상기 화이트 리스트에 포함되어 데이터 파일에 대한 엑세스가 허용된 프로세스를 감시하는 단계; 및
    상기 엑세스가 허용된 프로세스의 메모리에 대한 접근 시도가 감지될 경우 상기 엑세스가 허용된 프로세스를 차단하는 단계;
    를 더 포함하는 것을 특징으로 하는 컴퓨터프로그램.
  13. 삭제
  14. 삭제
KR1020200053782A 2020-05-06 2020-05-06 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램 KR102343406B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200053782A KR102343406B1 (ko) 2020-05-06 2020-05-06 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200053782A KR102343406B1 (ko) 2020-05-06 2020-05-06 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램

Publications (2)

Publication Number Publication Date
KR20210135751A KR20210135751A (ko) 2021-11-16
KR102343406B1 true KR102343406B1 (ko) 2021-12-24

Family

ID=78716961

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200053782A KR102343406B1 (ko) 2020-05-06 2020-05-06 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램

Country Status (1)

Country Link
KR (1) KR102343406B1 (ko)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100985073B1 (ko) * 2007-10-17 2010-10-04 주식회사 안철수연구소 네트워크 공유폴더 접근 제어 장치 및 방법
KR101768082B1 (ko) * 2015-12-11 2017-08-14 소프트캠프(주) 랜섬웨어에 대응한 보안방법
KR102024053B1 (ko) * 2017-12-28 2019-09-24 주식회사 안랩 행위 기반 실시간 접근 제어 시스템 및 행위 기반 실시간 접근 제어 방법

Also Published As

Publication number Publication date
KR20210135751A (ko) 2021-11-16

Similar Documents

Publication Publication Date Title
JP6352332B2 (ja) 変更されたデータを復元するシステム及び方法
US10430591B1 (en) Using threat model to monitor host execution in a virtualized environment
KR101700552B1 (ko) 보안 운영 체제 환경으로의 콘텍스트 기반 전환
KR20180097527A (ko) 다수의 네트워크 종점들을 보호하기 위한 듀얼 메모리 인트로스펙션
JP6134395B2 (ja) アプリケーション制御のためのリスクベースの規則のシステム及び方法
CN105531692A (zh) 针对由在虚拟机里面运行的移动应用加载、链接和执行本地代码的安全策略
CN105637479A (zh) 用于以受信方式修改计算机程序的方法和装置
CN110555293A (zh) 用于保护数据的方法、装置、电子设备和计算机可读介质
US12001555B1 (en) System, method, and apparatus for preventing ransomware
CN112039894A (zh) 一种网络准入控制方法、装置、存储介质和电子设备
JP2023534502A (ja) 高度なランサムウェア検出
Ami et al. Ransomware prevention using application authentication-based file access control
JP2003108253A (ja) アプリケーションの監視方法およびプログラム
CA3202464A1 (en) Zero dwell time process library and script monitoring
US11349855B1 (en) System and method for detecting encrypted ransom-type attacks
Peddoju et al. File integrity monitoring tools: Issues, challenges, and solutions
CN114253579A (zh) 一种基于白名单机制的软件更新方法、装置及介质
CN114117372A (zh) 一种用户访问控制方法、装置、存储介质及电子设备
JP6257460B2 (ja) 遠隔完全性検証システム、方法及びプログラム
US10999316B2 (en) Cyber resiliency of application data
KR102343406B1 (ko) 데이터 파일을 보호하는 장치 및 컴퓨터 프로그램
CN116415300A (zh) 基于eBPF的文件保护方法、装置、设备和介质
WO2023124041A1 (zh) 一种勒索病毒检测方法以及相关系统
US9202065B2 (en) Detecting sensitive data access by reporting presence of benign pseudo virus signatures
US20210044589A1 (en) Access control

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant