KR102670498B1 - 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치 - Google Patents

블록체인 기반의 엔드포인트 위협탐지 및 대응 장치 Download PDF

Info

Publication number
KR102670498B1
KR102670498B1 KR1020210188914A KR20210188914A KR102670498B1 KR 102670498 B1 KR102670498 B1 KR 102670498B1 KR 1020210188914 A KR1020210188914 A KR 1020210188914A KR 20210188914 A KR20210188914 A KR 20210188914A KR 102670498 B1 KR102670498 B1 KR 102670498B1
Authority
KR
South Korea
Prior art keywords
file
blockchain
virtual
container
virtual blockchain
Prior art date
Application number
KR1020210188914A
Other languages
English (en)
Other versions
KR20230099499A (ko
Inventor
금동하
이성기
Original Assignee
(주)하몬소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)하몬소프트 filed Critical (주)하몬소프트
Priority to KR1020210188914A priority Critical patent/KR102670498B1/ko
Publication of KR20230099499A publication Critical patent/KR20230099499A/ko
Application granted granted Critical
Publication of KR102670498B1 publication Critical patent/KR102670498B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

블록체인 기반의 엔드포인트 위협탐지 및 대응 장치는 각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너를 관리하는 가상 블록체인 컨테이너 관리부, 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 파일블록 구성부, 상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 블록체인 관리부를 포함한다.

Description

블록체인 기반의 엔드포인트 위협탐지 및 대응 장치{APPARATUS FOR BLOCKCHAIN BASED ENDPOINT DETECTION AND RESPONSE}
본 발명은 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치에 관한 것으로, 보다 상세하게는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하고 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치에 관한 것이다.
EDR(Endpoint Detection & Response)은 기업과 기관의 엔드포인트를 대상으로 알려진 위협부터 알려지지 않은 위협의 의심 행위까지, 엔드포인트 보안 위협방어-탐지-대응-예측 4단계의 순환 프로세스를 구현하여 빈틈없는 엔드포인트 보안 체계를 구축한다.
EDR은 새로운 보안전략으로 출현하였는데, 가장 큰 이유는 시그니처 기반 보안 솔루션의 한계를 극복하기 위해 엔드포인트를 대상으로 각종 위협을 지속적으로 탐지 및 모니터링하고 실효적으로 대응할 수 있기 때문이다.
한국등록특허 제10-2311997호는 인공지능 행위분석 기반의 EDR (Endpoint Detection and Response) 기술에 관한 것으로, 인공지능 행위분석 기반의 EDR 장치는 추적대상파일에 관한 파일 메타데이터를 기초로 기존의 파일 메타데이터가 변경되었는지 여부를 검출하는 파일 변경 검출부, 상기 변경이 검출된 경우에는 파일 메타데이터 모집단을 통해 형성된 제1 학습 네트워크를 통해 상기 추적대상파일에서 예상되는 행위가 알려진 위협을 발생시키는지를 결정하는 알려진 이상행위 결정부 및 상기 변경이 검출된 경우에는 SYSCALL 그래프 모집단을 통해 형성된 제2 학습 네트워크를 통해 상기 추적대상파일에서 예상되는 행위가 알려지지 않은 위협을 발생시킬 가능성을 결정하는 알려지지 않은 이상행위 검출부를 포함한다.
한국등록특허 제10-2311997호(2021.12.14)
본 발명의 일 실시예는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하고 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치를 제공하고자 한다.
본 발명의 일 실시예는 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 기초로 해시코드를 생성하고 해시코드의 대칭적 암호화 압축을 통해 상기 파일 핑거프린트를 생성하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치를 제공하고자 한다.
본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치는 각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너를 관리하는 가상 블록체인 컨테이너 관리부, 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 파일블록 구성부, 상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 블록체인 관리부를 포함한다.
상기 가상 블록체인 컨테이너 관리부는 상기 적어도 하나의 가상 블록체인 컨테이너 각각을 물리적 저장소와 무관하게 상호 연결하도록 구성하되 상기 파일 핑거프린트의 시계열 변경에 따라 분기하도록 구성할 수 있다.
상기 파일블록 구성부는 상기 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 기초로 해시코드를 생성하고 상기 해시코드의 대칭적 암호화 압축을 통해 상기 파일 핑거프린트를 생성할 수 있다. 상기 파일블록 구성부는 상기 적어도 하나의 가상 블록체인 컨테이너 중 해당 가상 블록체인 컨테이너의 식별코드를 상기 대칭적 암호화 압축을 위한 암호키로 생성하는 것을 생성할 수 있다. 상기 파일블록 구성부는 상기 파일블록에 상기 파일 핑거프린트 및 시스템호출 그래프를 포함시키고 상기 시스템호출 그래프는 해당 파일의 실행 과정에서 호출되는 시스템호출 함수의 패턴으로 구성되어 상기 해당 파일의 변경에 따른 위험성 정도를 검출하기 위해 사용될 수 있다.
개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하고 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장할 수 있다.
본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치는 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 기초로 해시코드를 생성하고 해시코드의 대칭적 암호화 압축을 통해 상기 파일 핑거프린트를 생성할 수 있다.
도 1은 본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 위협탐지 및 대응 시스템을 도시한 도면이다.
도 2는 도 1에 있는 프론트-엔드 서버 및 분석 서버의 구성을 설명하는 도면이다.
도 3은 도 1에 있는 프론트-엔드 서버의 기능적 구성을 설명하는 도면이다.
도 4는 도 1에 있는 프론트-엔드 서버의 기능 구성을 설명하는 흐름도이다.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
도 1은 본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 위협탐지 및 대응 시스템을 도시한 도면이다.
도 1을 참조하면, 블록체인 기반의 엔드포인트 위협탐지 및 대응 시스템(100)은 사용자 단말(110) 및 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치(120)를 포함하고, 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치(120)는 프론트-엔드 서버(122), 가상 블록체인 컨테이너 저장 서버(124), 분석 서버(126) 및 SIEM (Security Information & Event Management) 서버(128)를 포함할 수 있다.
사용자 단말(110)은 엔드포인트(이하, 단순하게 노드로도 표현함)로 구축되고 상호 간에 데이터를 송수신하는 컴퓨팅 장치로 구현될 수 있다. 일 실시예에서, 사용자 단말(110)은 사용자 PC (Personal Computer)에 해당할 수 있고, UIA (User Identity Authenticator)를 통한 사용자 신원 인증을 수행하여 사용자 식별 및 인증을 처리할 수 있고, FME (File Metadata Extractor)를 통한 파일 메타데이터 추출을 수행하여 파일의 변경을 추적할 수 있다. 여기에서, UIA 및 FME는 사용자 단말(110)에 설치된 소프트웨어로 구현될 수 있고, UIA는 사용자 지문인식을 통해 처리될 수 있으며 FME는 사용자 파일의 메타데이터를 통해 처리될 수 있다.
사용자 단말(110)은 프론트-엔드 서버(122) 및 분석 서버(126)을 통한 분석의 결과로서 온라인 및 오프라인 시큐리티 정책을 수신할 수 있고, 시큐리티 정책에 따라 엔드포인트의 시큐리티 레벨을 주기적으로 갱신할 수 있다. 여기에서, 시큐리티 정책은 네트워크 연결 가능할 때의 온라인 정책과 네트워크 연결 불가능할 때의 오프라인 정책으로 구분되고 예를 들어, 특정 리소스의 사용자별 접근 제한 및 특정 노드에 대한 접근 제한을 포함할 수 있다. 특정 리소스는 사용자 단말(110)의 물리적 또는 논리적 객체에 해당할 수 있고, 예를 들어, 물리적 객체는 프린터 장치를 포함할 수 있고, 논리적 객체는 컴퓨터 파일을 포함할 수 있다. 특정 노드는 인터넷으로 연결된 물리적 또는 논리적 객체에 해당할 수 있고, 예를 들어, 물리적 객체는 다른 사용자 단말 또는 서버를 포함할 수 있고, 논리적 객체는 다른 사용자 단말 또는 서버의 특정 리소스를 포함할 수 있다.
일 실시예에서, 사용자 단말(110)은 스마트폰, 노트북 또는 휴대용 컴퓨터로 구현될 수 있으며, 반드시 이에 한정되지 않고, 웨어러블 등 다양한 디바이스로도 구현될 수 있다. 사용자 단말(110)은 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치(130)와 네트워크를 통해 연결될 수 있으며, 네트워크 노드는 전용 프로그램 또는 어플리케이션을 설치하여 실행할 수 있다.
블록체인 기반의 엔드포인트 위협탐지 및 대응 장치(120)는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하고 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장할 수 있다. 여기에서, 파일 핑거프린트는 파일 메타데이터에 관한 고유 식별코드로서, 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 입력받는 해시함수를 포함하여 구성할 수 있다.
블록체인 기반의 엔드포인트 위협탐지 및 대응 장치(130)는 사용자 단말(110)과 유선 네트워크 또는 블루투스, WiFi 등과 같은 무선 네트워크로 연결될 수 있고, 네트워크를 통해 사용자 단말(110)과 데이터를 송수신할 수 있다.
보다 구체적으로, 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치(120)는 프론트-엔드 서버(122), 가상 블록체인 컨테이너 저장 서버(124), 분석 서버(126) 및 SIEM (Security Information & Event Management) 서버(128)를 포함할 수 있다.
프론트-엔드 서버(122)는 사용자 단말(110)의 UIA를 통한 지문인식으로 사용자 식별코드를 수신할 수 있다. 프론트-엔드 서버(122)는 사용자 식별코드를 통해 사용자 단말(110)에 대한 추적 사용자 세션을 생성하고, 사용자별 리소스 사용 과정을 추적할 수 있다. 프론트-엔드 서버(122)는 파일 메타데이터의 수신을 통해 파일 핑거프린트를 생성하여 사용자 단말(110)에 대한 파일 변경을 추적할 수 있다. 즉, 프론트-엔드 서버(122)는 사용자 지문인식을 통한 생체 인증 및 사용자 파일 메타데이터 인식을 통한 파일 인증을 수행할 수 있다.
프론트-엔드 서버(122)는 적어도 하나의 가상 블록체인 컨테이너 각각을 물리적 저장소와 무관하게 상호 연결하도록 구성하되 파일 핑거프린트의 시계열 변경에 따라 분기하도록 구성할 수 있다.
프론트-엔드 서버(122)는 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 기초로 해시코드를 생성하고 해시코드의 대칭적 암호화 압축을 통해 파일 핑거프린트를 생성할 수 있다. 보다 구체적으로, 프론트-엔드 서버(122)는 적어도 하나의 가상 블록체인 컨테이너 중 해당 가상 블록체인 컨테이너의 식별코드를 대칭적 암호화 압축을 위한 암호키로 생성할 수 있다. 프론트-엔드 서버(122)는 파일블록에 파일 핑거프린트 및 시스템호출 그래프를 포함시키고 시스템호출 그래프는 해당 파일의 실행 과정에서 호출되는 시스템호출 함수의 패턴으로 구성되어 해당 파일의 변경에 따른 위험성 정도를 검출하기 위해 사용될 수 있다.
가상 블록체인 컨테이너 저장 서버(124)는 프론트-엔드 서버(122)와 네트워크로 연결되어 적어도 하나의 가상 블록체인 컨테이너를 저장하고, 일 실시예에서, 분산 데이터베이스를 통해 구현될 수 있다. 여기에서, 적어도 하나의 가상 블록체인 컨테이너 각각은 논리적으로 분산된 블록체인 저장소로 구성될 수 있다, 즉, 적어도 하나의 가상 블록체인 컨테이너 각각은 물리적으로 동일한 저장소에 저장된다 하더라도 논리적으로 별개의 단위(예를 들어, 파일)로 구성될 수 있다.
분석 서버(126)는 프론트-엔드 서버(122)로부터 사용자 단말(110)(즉, 엔드포인트)의 가시성을 제공받을 수 있다. 여기에서, 가시성은 생체 인증 및 파일 인증을 통한 사용자 단말별 사용자별 리소스 사용 현황을 나타내는 것으로서, 프론트-엔드 서버(122)에 의해 관리되는 모든 디바이스 각각의 사용자별 리소스 사용 현황을 포함할 수 있다.
분석 서버(126)는 엔드포인트의 가시성을 분석하여 사용자 단말별 사용자별 시큐리티 정책을 생성하고, 프론트-엔드 서버(122)에게 사용자 단말별 사용자별 시큐리티 정책을 제공하며 사용자 단말(110)에게 해당 시큐리티 정책을 제공할 수 있다. 즉, 분석 서버(126)는 프론트-엔드 서버(122)에 의해 관리되는 모든 디바이스 각각의 사용자별 시큐리티 정책을 제공할 수 있고, 사용자 단말(110)에 의해 관리되는 적어도 일부의 리소스의 사용자별 시큐리티 정책을 제공할 수 있다.
분석 서버(126)는 파일 인증의 과정에서 추적대상파일에 관한 파일 메타데이터를 기초로 기존의 파일 메타데이터가 변경되었는지 여부를 검출하고 변경이 검출된 경우에는 파일 메타데이터 모집단을 통해 형성된 제1 학습 네트워크를 통해 추적대상파일에서 예상되는 행위가 알려진 위협을 발생시키는지를 결정하며 변경이 검출된 경우에는 시스템호출 그래프 모집단을 통해 형성된 제2 학습 네트워크를 통해 추적대상파일에서 예상되는 행위가 알려지지 않은 위협을 발생시킬 가능성을 결정한다. 여기에서, 제1 및 제2 학습 네트워크는 인공지능 기반의 신경망으로 구성될 수 있다. 일 실시예에서, 분석 서버(126)는 제1 학습 네트워크로서 지도 학습 기반의 신경망으로 구성되어 알려진 행위를 검출하는데 사용될 수 있고, 제2 학습 네트워크로서 비지도 학습 기반의 신경망으로 구성되어 특이 패턴의 알려지지 않은 행위를 검출하는데 사용될 수 있다.
분석 서버(126)는 주어진 데이터에 관해 비-파일 데이터와 파일 데이터를 구분하고 파일 데이터로 구분된 경우에는 파일 데이터가 실행 파일에 해당하는지 여부를 기초로 추적대상파일을 결정할 수 있다.
분석 서버(126)는 SIEM(Security Information and Event Management)을 통해 비-파일 데이터에 관한 침해지표(IOC, Indicator Of Compromise)를 결정하고 특정 리소스 또는 특정 사용자에 관한 시큐리티 정책을 설정할 수 있다. 보다 구체적으로, 분석 서버(126)는 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 제1 학습 네트워크에 입력하여 알려진 위협의 정도를 수신하고, 알려진 위협의 정도가 특정 기준 이상인 경우에는 추적대상파일을 변경의 이전으로 자동 복구할 수 있다.
분석 서버(126)는 추적대상파일의 시뮬레이션 분석을 통해 시스템호출 그래프를 추출하고 시스템호출 그래프를 제2 학습 네트워크에 입력하여 알려지지 않은 위협의 정도를 수신하며, 알려지지 않은 위협의 정도가 특정 기준 이상인 경우에는 추적대상파일을 상기 변경의 이전으로 자동 복구할 수 있다.
SIEM 서버(128)는 분석 서버(126)와 네트워크로 연결되어 사용자 단말별 사용자별 시큐리티 정책을 저장하고 분석 서버(126)의 분석에 따라 특정 시큐리티 정책을 갱신할 수 있다. 일 실시예에서, SIEM 서버(128)는 비-파일 데이터에 관한 침해지표(IOC, Indicator Of Compromise)를 결정하고 특정 리소스 또는 특정 사용자에 관한 시큐리티 정책을 설정할 수 있다. 다른 일 실시예에서, SIEM 서버(128)는 실행 파일 또는 비-실행 파일과 같은 파일 데이터에 관한 사용자 단말별 사용자별 접근 정책을 결정하고 특정 파일 데이터에 관한 시큐리티 정책을 설정할 수 있다.
도 2는 도 1에 있는 프론트-엔드 서버 및 분석 서버의 구성을 설명하는 도면이다.
도 2를 참조하면, 프론트-엔드 서버(122) 및 분석 서버(126) 각각은 프로세서(210), 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)를 포함할 수 있다.
프로세서(210)는 본 발명의 실시예에 따른 블록체인 기반의 엔드포인트 위협탐지 및 대응 프로시저를 실행할 수 있고, 이러한 과정에서 읽혀지거나 작성되는 메모리(230)를 관리할 수 있으며, 메모리(230)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄 할 수 있다. 프로세서(210)는 프론트-엔드 서버(122) 및 분석 서버(126) 각각의 동작 전반을 제어할 수 있고, 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(210)는 모바일 앱 광고의 광고정보 공유 장치(130)의 CPU(Central Processing Unit)로 구현될 수 있다.
메모리(230)는 SSD(Solid State Disk) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 프론트-엔드 서버(122) 및 분석 서버(126) 각각에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다. 또한, 메모리(230)는 전기적으로 연결된 프로세서(210)에 의해 실행됨으로써 본 발명에 따른 학습 데이터베이스 구축 방법을 실행하는 명령들의 집합을 저장할 수 있다.
사용자 입출력부(250)은 사용자 입력을 수신하기 위한 환경 및 사용자에게 특정 정보를 출력하기 위한 환경을 포함하고, 예를 들어, 터치 패드, 터치 스크린, 화상 키보드 또는 포인팅 장치와 같은 어댑터를 포함하는 입력장치 및 모니터 또는 터치 스크린과 같은 어댑터를 포함하는 출력장치를 포함할 수 있다. 일 실시예에서, 사용자 입출력부(250)은 원격 접속을 통해 접속되는 컴퓨팅 장치에 해당할 수 있고, 그러한 경우, 모바일 앱 광고의 광고정보 공유 장치(130)는 독립적인 서버로서 수행될 수 있다.
네트워크 입출력부(270)은 네트워크를 통해 정보인프라(110)과 연결되기 위한 통신 환경을 제공하고, 예를 들어, LAN(Local Area Network), MAN(Metropolitan Area Network), WAN(Wide Area Network) 및 VAN(Value Added Network) 등의 통신을 위한 어댑터를 포함할 수 있다. 또한, 네트워크 입출력부(270)는 학습 데이터의 무선 전송을 위해 WiFi, 블루투스 등의 근거리 통신 기능이나 4G 이상의 무선 통신 기능을 제공하도록 구현될 수 있다.
도 3은 도 1에 있는 프론트-엔드 서버의 기능적 구성을 설명하는 도면이다.
도 3을 참조하면, 프론트-엔드 서버(122)는 가상 블록체인 컨테이너 관리부(310), 파일블록 구성부(320), 블록체인 관리부(330) 및 제어부(340)를 포함할 수 있다.
가상 블록체인 컨테이너 관리부(310)는 가상 블록체인 컨테이너 저장 서버(124)와 연결되어 적어도 하나의 가상 블록체인 컨테이너를 관리한다. 적어도 하나의 가상 블록체인 컨테이너 각각은 가상 블록체인 컨테이너 저장 서버(124)에 저장되고 논리적으로 분산된 블록체인 저장소로 구성될 수 있다.
일 실시예에서, 가상 블록체인 컨테이너 관리부(310)는 적어도 하나의 가상 블록체인 컨테이너 각각을 물리적 저장소와 무관하게 상호 연결하도록 구성하되 파일 핑거프린트의 시계열 변경에 따라 분기하도록 구성할 수 있다. 여기에서, 파일 핑거프린트는 파일 메타데이터에 관한 고유 식별코드로서, 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 입력받는 해시함수를 포함하여 구성할 수 있다.
예를 들어, 특정 파일의 파일 핑거프린트가 알파에 해당하는 경우에는 제1 브랜치로 분화할 수 있고, 특정 파일의 파일 핑거프린트가 베타에 해당하는 경우에는 제2 브랜치로 분화할 수 있다.
파일블록 구성부(320)는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성한다.
보다 구체적으로, 파일블록 구성부(320)는 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 기초로 해시코드를 생성할 수 있다. 여기에서, 파일이름은 전체경로를 포함하여 구성되거나 또는 경로를 제외하여 구성될 수 있다. 경로는 파일에 이르게 되는 폴더(또는 디렉토리)를 의미할 수 있다. 해시코드는 해시함수를 통해 생성될 수 있고, 해시함수는 파일이름 및 파일 타임스탬프를 입력받아 파일 메타데이터의 고유한 디지털 값(즉, 해시코드)을 출력할 수 있다. 파일블록 구성부(320)는 해시코드의 대칭적 암호화 압축을 통해 파일 핑거프린트를 생성할 수 있고, 대칭적 암호화 압축은 동일 해시코드에 대해 서로 다른 암호화를 수행하기 위해 암호키를 달리 사용할 수 있다. 여기에서, 암호화 압축은 해시코드의 크기를 줄이면서 동시에 해시코드의 고유성을 증진시키기 위해서 사용될 수 있다.
또한, 파일블록 구성부(320)는 적어도 하나의 가상 블록체인 컨테이너 중 해당 가상 블록체인 컨테이너의 식별코드를 상기 대칭적 암호화 압축을 위한 암호키로 생성할 수 있다. 여기에서, 가상 블록체인 컨테이너의 식별코드는 가상 블록체인 컨테이너 단위로 부여되는 고유 코드에 해당할 수 있다.
파일블록 구성부(320)는 파일블록에 파일 핑거프린트 및 시스템호출 그래프를 포함시킬 수 있다. 파일 핑거프린트는 파일 메타데이터를 기초로 생성되고, 시스템호출 그래프는 실행 파일의 코드에 있는 시스템호출 간의 연계성을 나타낼 수 있다. 보다 구체적으로, 파일블록 구성부(320)는 파일이 실행 파일에 해당하는 경우에는 실행 파일에 있는 시스템호출(syscall) 함수를 추출하고 시스템호출 함수 간의 연계성을 통해 그래프를 구성할 수 있다. 즉, 시스템호출 그래프는 해당 파일의 실행 과정에서 호출되는 시스템호출 함수의 패턴으로 구성되어 해당 파일의 변경에 따른 위험성 정도를 검출하기 위해 사용될 수 있다. 한편, 파일블록 구성부(320)는 실행 파일의 경우 시스템호출 함수의 패턴분석을 통해 악의적 파일을 구별할 수 있다.
블록체인 관리부(330)는 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장할 수 있고 파일블록을 가상 블록체인 컨테이너 저장 서버(124)에 저장할 수 있다.
제어부(340)는 프론트-엔드 서버(122)의 전체적인 동작을 제어하고, 가상 블록체인 컨테이너 관리부(310), 파일블록 구성부(320) 및 블록체인 관리부(330) 간의 제어 흐름 또는 데이터 흐름을 관리할 수 있다.
도 4는 도 1에 있는 프론트-엔드 서버의 기능 구성을 설명하는 흐름도이다.
도 4에서, 가상 블록체인 컨테이너 관리부(310)는 적어도 하나의 가상 블록체인 컨테이너를 관리할 수 있꼬, 각각은 논리적으로 분산된 블록체인 저장소로 구성되도록 할 수 있다(단계 S410).
파일블록 구성부(320)는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성한다(단계 S420). 블록체인 관리부(330)는 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장한다(단계 S430).
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100 : 블록체인 기반의 엔드포인트 위협탐지 및 대응 시스템
120 : 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치
122 : 프론트-엔드 서버
124 : 가상 블록체인 컨테이너 저장 서버
126 : 분석 서버
128 : SIEM (Security Information & Event Management) 서버

Claims (5)

  1. 각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너를 관리하는 가상 블록체인 컨테이너 관리부;
    적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하고, 상기 파일 메타데이터를 구성하는 파일이름-상기 파일 이름은 전체경로를 포함하여 구성되고 경로는 파일에 이르게 되는 폴더 또는 디렉토리를 의미함- 및 파일 타임스탬프를 기초로 해시코드를 생성하고 상기 해시코드의 대칭적 암호화 압축을 통해 상기 파일 핑거프린트를 생성하며, 상기 적어도 하나의 가상 블록체인 컨테이너 중 해당 가상 블록체인 컨테이너에 고유하게 부여되는 식별코드를 상기 대칭적 암호화 압축을 위한 암호키로 생성하는 파일블록 구성부;
    상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 블록체인 관리부를 포함하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치.
  2. 제1항에 있어서, 상기 가상 블록체인 컨테이너 관리부는
    상기 적어도 하나의 가상 블록체인 컨테이너 각각을 물리적 저장소와 무관하게 상호 연결하도록 구성하되 상기 파일 핑거프린트의 시계열 변경에 따라 분기하도록 구성하는 것을 특징으로 하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치.
  3. 삭제
  4. 삭제
  5. 제1항에 있어서, 상기 파일블록 구성부는
    상기 파일블록에 상기 파일 핑거프린트 및 시스템호출 그래프를 포함시키고 상기 시스템호출 그래프는 해당 파일의 실행 과정에서 호출되는 시스템호출 함수의 패턴으로 구성되어 상기 해당 파일의 변경에 따른 위험성 정도를 검출하기 위해 사용되는 것을 특징으로 하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치.
KR1020210188914A 2021-12-27 2021-12-27 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치 KR102670498B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210188914A KR102670498B1 (ko) 2021-12-27 2021-12-27 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210188914A KR102670498B1 (ko) 2021-12-27 2021-12-27 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치

Publications (2)

Publication Number Publication Date
KR20230099499A KR20230099499A (ko) 2023-07-04
KR102670498B1 true KR102670498B1 (ko) 2024-05-29

Family

ID=87156203

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210188914A KR102670498B1 (ko) 2021-12-27 2021-12-27 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치

Country Status (1)

Country Link
KR (1) KR102670498B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012531675A (ja) * 2009-06-26 2012-12-10 シンプリヴィティ・コーポレーション ファイルシステム
KR102221736B1 (ko) * 2019-08-27 2021-03-03 (주)하몬소프트 블록체인 기반의 edr 장치 및 방법
KR102311997B1 (ko) * 2019-08-27 2021-10-14 (주)하몬소프트 인공지능 행위분석 기반의 edr 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012531675A (ja) * 2009-06-26 2012-12-10 シンプリヴィティ・コーポレーション ファイルシステム
KR102221736B1 (ko) * 2019-08-27 2021-03-03 (주)하몬소프트 블록체인 기반의 edr 장치 및 방법
KR102311997B1 (ko) * 2019-08-27 2021-10-14 (주)하몬소프트 인공지능 행위분석 기반의 edr 장치 및 방법

Also Published As

Publication number Publication date
KR20230099499A (ko) 2023-07-04

Similar Documents

Publication Publication Date Title
US11575685B2 (en) User behavior profile including temporal detail corresponding to user interaction
Surendran et al. A TAN based hybrid model for android malware detection
Cheng et al. Enterprise data breach: causes, challenges, prevention, and future directions
US11916920B2 (en) Account access security using a distributed ledger and/or a distributed file system
CN113168470A (zh) 用于行为威胁检测的系统及方法
US12041067B2 (en) Behavior detection and verification
US20190332765A1 (en) File processing method and system, and data processing method
Wang et al. A Host‐Based Anomaly Detection Framework Using XGBoost and LSTM for IoT Devices
Davies et al. Differential area analysis for ransomware attack detection within mixed file datasets
US11640450B2 (en) Authentication using features extracted based on cursor locations
CN113168469A (zh) 用于行为威胁检测的系统及方法
CN111538978A (zh) 基于从任务危险等级确定的访问权执行任务的系统和方法
KR102311997B1 (ko) 인공지능 행위분석 기반의 edr 장치 및 방법
KR102670498B1 (ko) 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치
KR102627064B1 (ko) 인공지능 행위분석 기반의 엔드포인트 위협탐지 및 대응 장치
KR102221726B1 (ko) Edr 단말 장치 및 방법
Chari et al. A platform and analytics for usage and entitlement analytics
KR102348359B1 (ko) 관심 동작 영역 기반의 edr 장치 및 방법
Katz Differentiating users based on changes in the underlying block space of their smartphones
US10135868B1 (en) Defeating wireless signal interference hacks by manipulating signal strength
Patil et al. Predicting Unexpected Permission Authorization Of Android Application Using Machine Learning
Liu et al. CL-AP2: A composite learning approach to attack prediction via attack portraying

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right