KR20050112485A - 비정상 파일 및 프로세스의 새로운 판별기법에 의한윈도우운영체제 시스템 보안 구현 방법 - Google Patents

비정상 파일 및 프로세스의 새로운 판별기법에 의한윈도우운영체제 시스템 보안 구현 방법 Download PDF

Info

Publication number
KR20050112485A
KR20050112485A KR1020040037605A KR20040037605A KR20050112485A KR 20050112485 A KR20050112485 A KR 20050112485A KR 1020040037605 A KR1020040037605 A KR 1020040037605A KR 20040037605 A KR20040037605 A KR 20040037605A KR 20050112485 A KR20050112485 A KR 20050112485A
Authority
KR
South Korea
Prior art keywords
file
abnormal
files
administrator
security
Prior art date
Application number
KR1020040037605A
Other languages
English (en)
Other versions
KR100594870B1 (ko
Inventor
강한
Original Assignee
배기봉
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 배기봉 filed Critical 배기봉
Priority to KR1020040037605A priority Critical patent/KR100594870B1/ko
Publication of KR20050112485A publication Critical patent/KR20050112485A/ko
Application granted granted Critical
Publication of KR100594870B1 publication Critical patent/KR100594870B1/ko

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65DCONTAINERS FOR STORAGE OR TRANSPORT OF ARTICLES OR MATERIALS, e.g. BAGS, BARRELS, BOTTLES, BOXES, CANS, CARTONS, CRATES, DRUMS, JARS, TANKS, HOPPERS, FORWARDING CONTAINERS; ACCESSORIES, CLOSURES, OR FITTINGS THEREFOR; PACKAGING ELEMENTS; PACKAGES
    • B65D35/00Pliable tubular containers adapted to be permanently or temporarily deformed to expel contents, e.g. collapsible tubes for toothpaste or other plastic or semi-liquid material; Holders therefor
    • B65D35/02Body construction
    • B65D35/12Connections between body and closure-receiving bush
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B65CONVEYING; PACKING; STORING; HANDLING THIN OR FILAMENTARY MATERIAL
    • B65DCONTAINERS FOR STORAGE OR TRANSPORT OF ARTICLES OR MATERIALS, e.g. BAGS, BARRELS, BOTTLES, BOXES, CANS, CARTONS, CRATES, DRUMS, JARS, TANKS, HOPPERS, FORWARDING CONTAINERS; ACCESSORIES, CLOSURES, OR FITTINGS THEREFOR; PACKAGING ELEMENTS; PACKAGES
    • B65D35/00Pliable tubular containers adapted to be permanently or temporarily deformed to expel contents, e.g. collapsible tubes for toothpaste or other plastic or semi-liquid material; Holders therefor
    • B65D35/24Pliable tubular containers adapted to be permanently or temporarily deformed to expel contents, e.g. collapsible tubes for toothpaste or other plastic or semi-liquid material; Holders therefor with auxiliary devices
    • B65D35/28Pliable tubular containers adapted to be permanently or temporarily deformed to expel contents, e.g. collapsible tubes for toothpaste or other plastic or semi-liquid material; Holders therefor with auxiliary devices for expelling contents

Landscapes

  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 WINDOWS 계열 시스템에서 비정상파일에 대한 새로운 기준을 바탕으로 비정상 파일을 쉽고, 신속하게 탐지/제거하는 기법과 이 기법을 기반으로 한 서비스 구현시 구현 기법에 관한 것이다. 본 발명의 특징은 비정상 파일에 대한 경험적,통계적 판별 기준을 연구하여 , 비정상파일에 대한 보안업체의 인지 후 대책 제시 전에도, 본 구현 시스템 사용자는 스스로 자신의 시스템에서 신속하게 비정상파일을 제거할 수 있게 하여, 비정상파일로 인한 사용자의 불편시간을 최소화 할 수 있는 것이 그 특징이다.

Description

비정상 파일 및 프로세스의 새로운 판별기법에 의한 윈도우 운영체제 시스템 보안 구현 방법{the method of the implementation of securre systems based on the new method that help the decision of anomaly file and process}
본 발명의 기술은 windows 시스템에서 비정상 파일 및 프로세스의 판별의 새로운 기준을 경험적,통계적 기법으로 결정하고, 이 기준을 바탕으로 신종 비정상 worm 등이 출현시에도 보안업체의 분석에 전적으로 의존하지 않고, 사용자 자신이 보다 쉽게 비정상파일을 신속하게 탐지 및 제거하는 구현 및 활용 모델에 관한 것이다.
본 발명이 속하는 기술 분야는 넓게 보면 windows 시스템의 보안에 대한 것으로서 , 바이러스 백신, window 시스템 방화벽 , windows 침입탐지시스템, 최신패치관리시스템 , 보안운영체제, Worm 발생 경보 시스템 등이 있어 왔다.
그런데 , 상기한 window 시스템 보안 시스템 중 본 발명에서 제시하고 있는 파일 수정된 시간과 폴더 위치 기반, 기타 일부 통계적 기반을 바탕으로 한 비정상파일 및 프로세스이 판단 기준은 기존 어느 기술에서도 제시되지 않았으며, 또한 이 원리를 기반으로 한 작동 진행 절차도와 전체 시스템 구현 모델은 기존 기술에서는 찾아볼 수 없는 특징을 지니고 있다..
즉, 바이러스백신[anti-virus] 제품은 code 자체 분석 특성과 파일명에 기반한 비정상파일 탐지,제거하는 기법인 결과, 백신업체가 관련 바이러스를 통보받아 분석하여 백신프로그램에 추가하지 않는 한, 차단 및 치료가 불가하여 사용자들은 최소한 바이러스 관련 정보를 통보받고 분석하는데 걸리는 소요 시간만큼은 무방비상태(일명, zero days)에 놓이는 문제점을 지녀왔다.
그리고, window 시스템 방화벽의 경우, 비정상파일 및 프로세스 판단기준이 각 사용자의 각 process 별 허락 여부에 기반하는 작동하는 것으로서 ,
수행프로그램의 변동이 잦은 window 시스템에 적용시 새로운 프로그램 수행시마다 매번 허락해주어야 하는 불편함이 있어왔다. 또한 부주의로 이미 비정상 프로세스 감염된 경우에는 단순 비정상 프로세스를 kill 할 수 있을 뿐, 근본 숙주를 완전히 제거하지는 못하는 한계가 있어왔다. 이와 유사하게 보안운영체제 (일명,secure os)는 또한 사용자의 정책 기반하에 작동하는 것으로서, 앞에서 기술한 방화벽과 동일한 문제점을 지니고 있을 뿐만 아니라 일반 사용자들이 다루기에는 기술적으로 어려움이 많이 있다. windows 침입탐지시스템은 통신상 이루어지는 공격 pattern 또는 port 기반으로 침입을 탐지하며, 침입을 차단을 차단하거나, 이미 감염된 시스템을 복구하지 못하는 단점이 있다. 그리고 , 최신 패치 관리 솔루션은 비정상파일에 대한 아무런 판단기준을 제공하지는 않는다. 그 결과 , VIRUS 등에 대한 예방책으로서는 매우 좋치만, 보안패치 관련 외의 기본적인 보안 허점에 대한 침입에는 대비가 불가한 점과 보안 미패치 등으로 인해 이미 VIRUS 등으로 인해 감염된 시스템에서는 비정상파일 및 프로세스를 제거하는 기능이 없어 사용에 한계가 있어 왔다. 마지막으로 , worm 발생 경보 시스템은 경보 기준이 비정상파일 및 프로세스를 확보하였다는 전제하에 경보를 수행하거나 , 단순 디스크 용량, CPU 용량 과부하 기반으로 경보를 수행한다. 그러므로, 본 발명에서처럼 비정상 파일 및 프로세스를 스스로 확보하지 못하여, 백신 제품과 마찬가지로 신속하게 시스템을 정상화하는데에는 다소 많은 시간이 소용되는 한계가 있다.
이에 본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 기존의 보안시스템 중의 하나인 바이러스백신[anti-virus] 제품의 한계, 즉, 최초 시스템이상 증상 발견 시점과 바이러스 백신으로 조치 가능 시점 사이, 즉, 조치 대책 공백기간 동안에도 일반 평범한 사용자들조차 쉽게 자신의 시스템을 정상화 하는 방법을 제시에 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여, 본 발명은 일반 사용자 WINDOWS 시스템에 설치하는 프로그램(이하, agent라 함)과 관리자 시스템에 설치하는 프로그램(이하, manager라 함), 그리고 각 agent 및 manager 의 인증과 비정상파일 및 차단 기준을 제공하는 통합 프로그램(이하 ,ESM), 그리고 각 프로그램간의 통신 mechanism을 구성요소로 가진다.
작동 원리 상세는 아래와 같다.
가. 신종 바이러스 탐지/제거 절차 개괄 ( 도 1)
시스템을 신속하게 안정화하기 위해서는 안정화조치 단계에 진입하기 전에 경험적 관점에서 우선 기초 보안 설정 모듈(100)수행을 한다. [ "(도 6)" 참조 ]
그리고, 비정상파일 및 프로세스 판단 기준 파일에 해당되는 기본수행환경파일(120)을 읽기 수행한다.본 파일안의 내용을 기준으로 비정상파일 및 프로세스 목록이 확보 된다. 우선, 비정상프로세스 탐지/제거 모듈[130] 수행을 통해서, 그 다음 단계인 비정상파일검색/제거 모듈[140]을 수행하는데 필요한 시스템의 가용자원(CPU,메모리 등)을 시스템의 가용 자원을 확보한다.그리고, 비정상파일검색/제거 모듈[140]을 진행한다. 이어서, 바이러스 및 WORM 등이 윈도우 시스템 부팅시 자동으로 시작되도록 하는 특성이 많아 ,이를 해결하기 위해서 환경설정 파일에서 제시하는 레지스트리의 특정 위치에서 비정상 관련 의심 값을 제거한다. [ 150 ] 경험적으로 만일 레지스트리 정상화 모듈[150]실패 경우가 드물게 발생하는데, 이런 경우는 리부팅을 통해서 의심 프로세스 문제를 확실히 제거후에야 레지스트리 정상화 모듈[150]을 정상적으로 수행가능한 경우가 존재하여나. 비정상 파일의 탐지/차단 [121-122]를 진행한다. [122]는 시스템이 리부팅이 무한번 진행되지 않토록 하는 조치이다.(171,172,181,182) 또한 드물게, 기본 환경으로는 시스템을 정상화하는데 실패하는 경우가 존재하여, 부가수행환경파일[180]설정내용 기반으로 다시 위 과정을 반복함으로써, 예외적인 비정상 파일/프로세스도 탐지,제거 가능하게 된다. 마지막으로,매우 비일반적인 비정상 파일/프로세스도 탐지가능토록 하기 위해서, 특정 주요 위치기반으로 무결성을 평시 점검하여(185,186,187), 변조 의심 파일 발생시 "의심파일/프로세스 DB"(도 12)에 추가하여 별도 관리한다. 시스템 정상화 후에는 향후 사태에 대비하가 위해서 (770)의 레지스트리 검색위치에 존재하는 "레지스트 값 백업"(175)를 수행해 그 결과값을 로컬 시스템 및 관리자 시스템에 저장해 놓은 후 최종적으로 완료(195)에 이르며, 이 결과 값은 로깅되어 관리자에게 통보된다.(190,1100) 그러면 관리자는 통보값을 바탕으로 추가적인 조치여부를 판단하여, 추가 조치 필요한 경우 조치를 취하게 된다. (1110)
참고로, 본 발명의 모든 과정에서 "관리자 통보"부분에서 만일 ,실패 발생시 해당 시스템은 자신의 저장공간에 모든 통보 메시지를 전송/전송실패 등으로 구분하여 저장하여 두고 , 관리자 통보 가능 시점에 일괄 통보하도록 구현된다.
나. 기초 보안 설정 단계 상세 ( 도2 , 도6 )
우선 기초 보안 모듈 수행 환경 설정 파일을 읽는다.(200) 이 값은 (도 2)의 OPTION 값을 결정하여 각 OPTION (210 - 230)관련 모듈 수행 여부를 결정해 준다.기초 보안 설정단계의 핵심은 (240)이다.하지만, (210)에서도 패스워드 없는 경우 매우 위험하므로, 패스워드 없는 경우는 반드시 패스워드를 어려운 패스워드를 설정토록 해야 하므로 (210)도 상황에 따라 매우 중요하다. 참고로, 기타 패스워드 취약점 관련 비정상파일 감염대비 조치로는 (도11)의 관리자의 감사, 통제(1110)부분에서 평시 쉬운 패스워드 사용자를 감사하여, 패스워드 변경 권고하는 방법으로 사전 대비한다. 최신 패치 완료 여부 확인법(240)은 일반적으로 알고있듯이 , 기본적으로 윈도우시스템계열에서는 WINDOWS UPDATE 해서 "중요 업데이트 및 서비스팩"의 우측 괄호안의 숫자가 0이 되는 경우 패치 완료로 정의한다. 이 부분 외의 추가적인 패치는 관리자가 지정하여 패치 필수 목록에 추가해야 패치되도록 하는 한다.(도6) (640), 패치 수행 과정에서 패치 성공이면서 기존 "정상 상태에서 레지스트리 백업"(175)값이 존재하는 경우 이 값을 복구하여(260) 하고, 리부팅(261)을 수행함으로써 시스템 정상화여부를 진단(265)하여, 신속하게 시스템을 정상화한 후,본 알고리즘을 종료할 수 있다.(270). 정상화 실패시에는 관리자 통보(250)후 다음단계(280)으로 이동하게 된다. 본 조건을 만족하지 않는 경우는 다음 단계로 진행하기 위해 우선 보안패치의 마무리로서 리부팅(256)을 수행후, 종료(280)로 진행된다. 그리고, 보안 패치의 실패의 경우, 이는 심각한 시스템상의 문제발견이므로 이 사실을 관리자에게 통보(250)하고 본 단계를 종료한다.(280) 위 과정에서 주의할점으로 레지스트리 백업(260)수행 시, 윈도우 시스템에서는 regedit.exe 또는 regedt32.exe 를 사용하게 되는데, 만일 이 명령어 수행이 되지 않을 경우, 본 명령어를 다른 이름 바꾸어 바꾸어진 이름으로 재실행하여 레지스트를 백업시도하면 대부분 성공되고, 만일 실패시 관리자 통보(250)후 종료한다.(280)
다. 비정상프로세스 탐지/제거 단계 상세( 도3, 도7 )
우선, 비정상파일 및 프로세스 판단 기준 파일에 해당되는 기본수행환경파일을 읽는다.(300) 그리고, 윈도우의 경우 기본으로 제공하는 "작업관리자" 등과 같은 프로세스 추적기를 활용하여 비정상프로세스를 찾는다.(300) 그 결과값이 특이 조건(정상파일/프로세스 목록 속성에 존재하고, 그 프로세스의 CPU 가 지나치게 높아(default 기준 : 50%), 본 발명의 알고리즘상의 다음 단계((도4)의 (410) ) 을 진행하는데 중대 차질이 발생하는 경우(기준 :검색시간 20분 이상 소요))에 해당하는 경우, 해당 프로세스이름은 정상 프로세스이든, 비정상프로세스이든 관계없이 KILL 시도하고 만일 KILL 실패시에는 확장자 변경 시도(단,시스템 정상화 후에 원상태화)하며 이 또한 실패시 본 알고리즘을 "비정상 종료"한다..(350,360, 370,375,380)
위 특이 조건에 해당되지 않는 경우의 프로세스는 관리자에게 해당 사실을 통보하고(315,1100) , 프로세스 종료(KILL)를 수행하지 않고 본 과정을 종료한다.(390) 도출된 비정상프로세스에 대해서는 1차적으로 프로세스 종료를 시도한다. 프로세스 종료 불가는 비교적 자주 발생하는데, 이런 경우는 관리자통보(325,1220) 및 본 과정을 종료하고(390) 그 다음 단계인 비정상파일 탐지 제거 단계(도 4)와 레지스트리 정상화 모듈(도 5)을 통해 해결한다. 매우 드물게 프로세스는 종료 되지만 ,또 다른 프로세스가 재실행되는 경우(330), "의심파일 목록 DB"에 추가하여 관리자가 별도 해결토록 통보한다. (도 12) (340). 그리고 본 과정을 종료한다.(390)
라. 비정상파일 검색/제거 단계 상세(도4)
우선 본 과정 수행시 매우 확률적으로 낮은 가능성이지만 , 무한 시스템 리부팅으로 인해 사용자의 피해를 줄이고자 리부팅회수를 2회이라로 제한하기 위한 모수값(parameters)를 설정한다.(400,470,475,480),그리고, 비정상파일 판단 기준을 제시하는 "기본 수행 환경 파일"(도 7)을 읽고 , 본 파일기준 기반으로 윈도우에서 제공하는 고급 검색 기능 또는 명령어(FIND,CACLS 등) 을 활용하여 비정상파일 목록을 추출한다. (410,420). 만일 비정상 파일 목록이 존재하지 않는 경우, 본 과정을 종료한다. 다만, (도 1)에서 보듯이 본 프로그램은 부가 환경 설정 파일을 기반으로 본 과정을 다시 시작하게 되어, 보다 확장적으로 비정상파일 목록을 추출하고자 시도한다. (180 - 190). 비정상파일 목록이 존재하는 경우,각 모든 비정상파일의 확장자를 bak 으로 변경 시도한다.(430) 드물게 변경 불가 상황 발생시 해당 파일을 "의심파일/프로세스 목록 DB"에 추가한다.(도 12)(435,440) 그리고 각 도출된 비정상 파일을 레지스트리에서 제거모듈을 수행한다.(450)(도5) 모두 원활하게 레지스트리 값에서 제거되는 경우 본 과정은 정상 종료된다.(490) 하지만, 레지스트리 삭제 불가값 등 예외적 상황이 존재하는 경우 관리자에게 통보 및 리부팅 하고(480), 본 위 과정을 재수행하며 ,만일 동일하게 예외상황(460)등 발생시는 "의심파일/프로세스 목록 DB"에 추가한 후, (도 12)(485) 본 과정을 강제종료된다. (475-490)
마. 레지스트리 정상화 수행 단계 (도 5)
바이러스 및 WORM 등이 레지스트리와 연동하는 특성이 존재한다. 대표적인 예로 , 윈도우 시스템 부팅시 자동으로 시작되도록 레지스트리에 등록하는 특성이 존재한다. 이런 레지스트리 관련 특성을 사전에 파악하여 , 레지스트리를 정상화하는데 본 단계의 목적이 있다.
우선, 비정상 파일/프로세스 관련 레지스트리 추적 기본 위치 설정 파일(도 7)(770) 위치 기준으로 (300),(420)에서 확보한 비정상 프로세스 / 파일 목록 값이 존재하는지 확인하고 , 존재할 경우, 가능한 해당 레지스트리 위치를 백업받은 후(525), 삭제를 시도한다.(530). 모두 제거가 원활하게 될 경우 본 과정을 종료한다.(590), 만일 드물게도 제거 실패시, 이는 기술적,경험적으로 대부분 비정상 프로세스에 기인하는 바, 해당 이름의 프로세스 실행여부를 확인후 종료시도한다.(550,560). 만일 실패할 경우, "의심파일/프로세스 목록 DB"에 추가한 후, (도 12)(580) 관리자에게 통보 및 상황 종료한다.(585,590).여기서 중요한 것은 본과정의 실패의 경우 연장선상에서 (도1)의 (171-195) 과정이 진행되어 위 실패원인을 다시 한번 분석하게 된다. 이 과정을 통해서 레지스트리 제거 실패를 유발하는 프로세스를 종료가능하게 되어 본 발명의 목적이 달성된다.
바. 기초 보안 설정 파일 구조(도 6)
본 발명의 핵심 과정인 (도3) ~ (도5)를 원활하게 수행하기 위해서 우선 시스템의 가용성 및 안정성 확보가 중요하다. 이를 위해서 필요한 수행 모듈을 정의한다.
우선 보안패치 수행 속성(600)은 관리자가 패치 수행할지 여부와 패치 필수목록이 포함되어 있다. 즉 , 비정상 상황 발생시 본 속성 기반으로 보안 패치를 수행한다. 윈도우 NT 이상에서는 administrator 그룹이 존재하는데, 이 경우 본 그룹의 멤버들은 보안상 매우 중요한 권한을 가지므로 보다 어려운 패스워드 변경 수행이 필요하다. 왜냐하면, 최근의 침투과정은 패스워드 취약점을 이용하는 경우가 많기 때문이다. (610)은 패스워드 변경 수행 여부와 administrator 계정 멤버 등의 정보를 포함하고 있다. 공유폴더 제거 속성(620)은 윈도우시스템에서 악성파일 침투시 주로 사용되는 C$, D$ , admin$ , IPC$ , PRINT$ , 기타 공유폴더를 net share 명령어로 활용하여 제거하는 단계이다. 이 과정은 선택적 단계이지만, 가능한 권고하며, 리부팅 후에도 위 제거된 공유를 지속적으로 비공유로 유지할 것인지 선택하는 사항이 포함된다. (630)은 N/W 접근제어 속성으로서, 시스템이 불필요하게 외부와 많은 연결시도 함으로써, ,시스템 가용성을 낮추는 경우가 많아, WINDOWS 보안 패치 수행 관련 외의 모든 통신 IP 및 PORT를 차단하는 기능이다. 이 기능은 기존의 방화벽 제품에서 존재하는 기능이며, 이 기능을 개발하여 본 발명에 적용가능하다. (640)은 기타 속성으로서 시중에 나와 있는 타 보안솔루션 중 특히 취약점 진단 솔루션 및 바이러스 백신 등과 연동 여부를 정의하는 속성이다. 여기 속성을 기반으로 우선 비정상파일제거 본 궤도로 진입하기 전에 시스템의 전반적인 취약점 및 바이러스 발견 등에 관한 리포팅 받을 수 있게 된다.
사. 기본 수행 환경 파일 구조(도 7)
본 환경설정 파일은 본 발명의 핵심 요소이다. 기본적으로 시스템자체의 고유시간은 비정상파일/프로세스 등으로부터 변조되지 않았다는 전제하에 출발한다. 이 전제 조건은 시스템 시간을 변조 불가하도록 별도 프로세스 작동도 필요할 수 있지만, 이 고려는 본 발명의 범위를 벗어나므로 생략한다. 본 알고리즘의 한계이기도 한 특정 비정상파일생성시 수정된 시간의 속성에 대한 특성이 없는 경우, (도8)의 "부가 환경 설정 파일"에서 파일이름을 기초로 한 정보수집으로부터 획득한다. 아래는 "기본 수행 환경 파일"의 각 구성요소에 대한 상세 설명이다.
○ 정상프로세스 DB(700)는 사전에 컴퓨터 전문가가 정상 프로세스에 대한 이름,위치 속성 등을 사전에 정의하여 두어, (도 3) 과정에서 본 시스템이 정상프로세스를 종료하는 것을 사전에 막기 위한 지식 DB 이다.
○ 비정상프로세스 DB(710)는 사전에 컴퓨터 전문가 및 기타 관련 백신업체 , 바이러스 정보 수집시스템(일명,HONEY POT)등으로부터 획득한 비정상 프로세스에 대한 이름,위치 등의 정보를 정의한 지식 DB 이다.
○ 정상 파일 속성(720)는 사전에 컴퓨터 전문가가 정상 파일들에 대한 이름,위치속성,크기 등을 사전에 정의하여 두어, (도 4) 과정에서 본 시스템이 정상 파일을 삭제하는 것을 사전에 막기 위한 지식 DB 이다.
○ 비정상파일속성(730)는 사전에 컴퓨터 전문가 및 기타 관련 백신업체 , 바이러스 정보 수집시스템(일명,HONEY POT)등으로부터 획득한 비정상 파일에 대한 수정시간,이름,위치 등의 정보를 정의한 지식 DB 이다.
○ 검색파일확장자속성(740)은 경험적 관점에서 비정상파일의 확장자 속성을 *.EXE , *.BAT , *,DLL ,*.INIT , *,SCRIPTS 등의 실행파일로 국한하여 정의한 파일이다. 본 확장자 속성은 본 발명의 주요 핵심요소이다.
○ 비정상파일수정시간속성(760)은 흔히 시스템 이상 증상 발생시 발생원인을 유발하는 파일들의 대부분이 특정 시간적 특징(흔히,시스템 이상징후 발생 시간 이전 30일 이내)을 지니는 특징을 경험적 기반으로 획득하여 , 이를 활용하여 비정상 파일을 색출하기 위한 핵심 속성이다. 기본적으로
시스템 비정상 증상발견시간 이전 30일에서 시스템 비정상 증상 발견시간으로 설정한다.
○ 비정상파일폴더위치속성(750)은 윈도우시스템에서 디렉토리(C:\WINDOWS, C:\WINNT,C:\WINNT\SYSTEM,C:\WINNT\SYSTEM32,C:\WINDOWS\SYSTM,C:\WINDOWS\SYSTEM32, 각 디렉토리의 디폴트 공유 디렉토리인 C:\ ,D:\, 사용자 정의 공유 폴더 , "시작 프로그램 폴더")에 국한해서 등록된다. 물론 이 부분은 OS가 향후 변경됨에 따라 달라질 수 있다. 그러면, 앞에서 설명한 (740) , (750) , (760) 의 조건을 만족하는 프로세스 또는 파일들은 대부분 경험적으로 비정상 증상 유발 파일임을 확인할 수 있었다.
○ 레지스트리 기본검색 위치속성(770)은 경험적인 관점에서 비정상파일들이 주로 위치하는 위치를 사전에 등록하는 지식 DB 이다. 본 발명에서는 기본 설정으로는 아래의 6개 위치를 등록 사용한다.
HKEY_local_machine\microsoft\windows\current_version\run
HKEY_local_machine\microsoft\windows\current_version\RunServices
HKEY_local_machine\microsoft\windows\current_version\RunServicesOnce
HKEY_current_user\microsoft\windows\current_version\run
HKEY_current_user\microsoft\windows\current_version\RunServices
HKEY_current_user\microsoft\windows\current_version\RunServicesOnce
○ 비정상프로세스 CPU /메모리 기준 속성(780)은 흔히 비정상 프로세스들이 실행시 cpu , 메모리를 많이 차지하는 특징을 기반으로 비정상 파일정보를 획득하기 위한 설정이다.기본 설정으로는 cpu 는 15% 이상 , 메모리는 top 1-5위 프로세스의 평균 메모리의 3배인 이상인 경우를 비정상 프로세스로 정의한다. 만일 하나의 프로세스가 CPU를 50% 이상 차지하여, 본 발명의 알고리즘을 진행하는데 중대 차질이 발생하는 경우, 해당 프로세스이름은 정상 프로세스이든,
비정상프로세스이든 관계없이 KILL 시도하고 만일 KILL 실패시에는 확장자 변경시도하며 이 또한 실패시 관리자에게 통보한다.. 여기서 제시한 판단 기준 수치는 (도 8)에서 상황 변경시 수정 관리된다.
○ 마지막으로 검색결과 기다림 시간(790)은 기본값으로 20분으로 설정한다. 이 값은 본 알고리즘이 작동하기 위해 필수적인 파일 검색 기능(410,420)이 진행되는데 중대차질 발생 여부를 확인하기 위한 판단 수치이다. 만일 (410)과 (420) 사이 시간차가 20분 이상일 경우 본 알고리즘은 관리자에게 통보하여
아. 부가 수행 환경 파일 구조(도 8)
(도 7) 의 기본 환경 설정 기반으로 비정상 프로세스 및 파일 탐지에는 한계가 존재한다. 이런 예외적인 상황에 대비하고자 부가 환경 설정 파일을 기본환경설정파일구조(도 7)의 구조와 동일하게 설계하여, 유사시 변형 사용 필요하다. 이 파일의 내용 정의 주체는 일반적으로, (도11)의 관리자(Manager)와 중앙통제센터 (ESM)이 비정상파일/프로세스 수집시스템(일명 honey pot), 외부 전문가 ,외부 백신업체 등으로 수집한 정보를 바탕으로 정의한다.(도11)의 적용환경에 따라, 사용자(agent)가 직접 정의해서 사용가능토록 구현 가능하다.
다만,만일 (도11)에 의해서 사용자(agent)가 중앙통제센터(ESM)으로부터 부가수행환경파일 구조의 정보를 받지 못하는 상황의 경우, 비정상 파일 검색위치는 상기에서 제공한 디렉토리에 한해 검색하지 않고, 파일 확장자 속성 및 파일 수정된 시간으로만 검색하는 것이 주요 활용 예이다.
○ 상세 각 항목 (800)~(880)의 설명은 (도 7)과 같은 개념이며 ,다만 구체적인 기준값은 임의로 변경 정의된다.
자. 무결성 점검 환경 파일 구조(도 9)
○ 무결성 점검 알고리즘(900)은 무결성 점검 수행시 사용할 알고리즘으로서 대표적으로 MD5,SSH - 1 등이 존재한다. 여기에 본 시스템이 무결성 점검시 사용할 알고리즘을 선택할 수 있는 부분이다.
○ 무결성점검대상 디렉토리(910)은 무결성을 점검할 대상 디렉토리에 대한 정보로서 기본디렉토리와 추가 디렉토리로 나누어 진다. 경험적 관점에서 기본 디렉토리는 시스템 OS 의 핵심 명령어들이 존재하는 디렉토리(예, C:\WINNT\SYSTEM32 )를 기본으로 한다.
○ 추가적인 디렉토리(920)는 사용자 정의 가능하다.
○ 무결성 점검대상 파일(930)은 정말 중요한 명령어에 대해서 컴퓨터 전문가가 중점관리하는 지식 DB 이다. 무결성 점검결과값(940)은 무결성 점검 결과값을 각 수행시간별로 저장한다.
○ 결과값 저장속성(950)은 해당 무결성 점검 결과값을 어느 시스템의 어느 위치에 저장할지, 그리고 저장하기 위해 필요한 정보(원격지 저장의 경우,접속시 필요한 ID/패스워드 포함)등의 정보가 저장 관리 되어진다. 물론 여기서 보안설계시 ID/패스워드는 자체 암호화에 의해 보호되도록 구현 가능하다.
차. 경보 환경 파일 구조(도 10)
본 모듈은 본 발명이 사용자에게 실시간 또는 관리자의 요청시, 경보를 관리자에게 또는 사용자 자신에게 알리는 데에 사용된다. 실시간 모니터링필요시 본 경보 모듈을 수행할 경보용 프로그램이 일반 사용자의 시스템에 사전에 수행되어 져야 한다. 다음은 "경보 환경 파일"의 상세 설명이다.
○ netstat (1000) 기반으로 나타난 결과값의 line 수를 시스템 평상 시간의 평균치로 정의하고, 이 평균치값보다 4배 이상 발생시 경보를 알려주는 역할을 수행하게 된다. 경보 기준은 초기 시스템 설치시에 default 로는 50 라인으로 하며, 통계적 기법에 의해 관리자(Manager) 에 의해 지속관리된다.
○ port 기반(1010)은 특정 백도어 port DB(6667/TCP , 12345/TCP 등)의 정보완 연계하여 해당 PORT 로 세션 연결 또는 시도 발생시, 또는 PORT 열림(OPEN), 대기상태(Listening) 시에 관리자에게 즉각 경보하는 역할을 수행한다. 또한 25/tcp , 110/tcp,udp 등 메일관련 연결시도가 일시에 특정 횟수(default 상한값 = 4 ) 이상 발생시 관리자에게 즉각 통보한다. 이를 통해 시스템의 이상 징후를 보다 빨리 알아차릴 수 있다.
○ CPU 기반(1020)은 특정 프로세스가 CPU를 일정비율(default 기준 : 15%)이상 독점 상황 발생시 경보하는 기능이다. 또한 가용 CPU 여유가 일정 비율 (default 기준 : 30%)이하 경우도 경보된다.
무결성 기반(1030) : 무결성 점검시 무결성 불일치 발생시 해당 파일 / 디렉토리 등의 정보를 통보하는 기능이다.
○ 디스트 여유공간 기반(1040) : 디스크 여유 공간이 일정양(default 기준 : 메모리 크기의 2배 )이하인 경우 경고를 주기적으로 제공하는 기능이다.
○ 메모리 기반(1050) : 메모리는 일정 기준 이상인 경우(default, top 1-5위 프로세스의 평균 메모리의 3배인 이상)경보를 보내며, 또한 메모리 가용량이 본 시스템의 메모리 용량의 2배이하로 되는 경우 경보를 보낸다.
○ IP 기반(1060) : 특정 IP 대역(예,BOTNET IP)를 지식 DB 로 관리하여 이와 같은 백도어를 내려주는 IP로 접속 현상 발생시 즉각 경보하는 기능이다. 또한 정상접속 IP 대역을 지정하여 이외의 IP 로 접속시 경보하도록 하는 기능도 구현 가능하다.
○ TCP FLAG 기반(1070) : SYN_SENT , RST , ACK 등 netstat 등 수행 결과 나타나는 결과값들 중 SYN_SENT 등 각각의 라인수가 일정갯수(default, 10개)이상 발생시 이를 경보해주는 역할을 수행한다.
○ 타 프로세스명 기반(1080) : 특정 의심 프로세스가 뜰 경우 이를 즉각 관리자에게 알려주는 역할 수행한다.
○ 경보 진단 및 경보 보고 속성(1090) : 경보관련 각 항목에 대한 진단 주기를 저장하고, 보고시 보고 양식 , 보고 대상 등의 정보를 저장한 속성이다.
카. 시스템 구축/작동 모델 (도 11)
(도11)은 (도1)~(도10), (도12)의 모든 기능을 활용 및 관리하는 모형도이다.
○ 관리자에게 요청 및 보고(1100)은 관리자에게 보고시 , 또는 관리자에게 도움요청시 등 주로 사용되는 개념이다.
○ 관리자의 통제(1110)은 관리자가 사용자(Agent) 통제 필요시 사용되는 모듈이다. 이때, 관리자의 권한 레벨에 따라서, 사용자의 동의 없이는 통제 불가한 경우도 있다. 이는 구현에 의존적이다. 이 과정은 특정 메시지 전달시, 그리고 환경파일 update 강제 update 시에 주로 사용된다. 또한 보안 설정 감사에도 활용가능하다.
○ 상호인증 및 정보교환 (1120)은 사용자와 관리자 사이에 수시로 경보(Alarm)를 제공하는 경우, 자동 update 시, 윈도우 보안패치 파일 다운로드 , 인증 등에 주로 사용된다. 또한 사용자시스템과 Manager 사이의 시간동기화를 위한 정보교환에 활용 가능하다. 이 시간 동기화에 대한 부분은 기존 s/w를 활용하면 구현가능하다.
○ 중앙통제센터로의 요청 및 보고(1130)은 중앙통제센터(ESM)에게 보고시 , 또는 중앙통제센터 (ESM)의 컴퓨터 전문가에게 도움 요청시, 윈도우 보안패치 파일 다운로드 등 주로 사용되는 개념이다.
○ 중앙통제센터의 관리자 통제(1140)은 중앙통제센터(ESM)가 다수의 관리프로그램(Manager)통제 필요시,예를 들면,특정 메시지 전달시, 그리고 환경파일 update 강제 update 등 시에 사용된다. 이때, 관리자의 허용여부에 따라서, 관리자의 동의 없이는 통제 불가한 경우도 있다.
○ 신종비정상 파일/프로세스 수집시스템(1150)은 특정 시스템들에게 본 발명의 원리에 따라 작동되는 Agent 프로그램을 사전에 설치하여,그 수행결과로서 나타나는 비정상파일/프로세스 탐지 결과를 자주 모니터링 함으로써, 어느 백신업체보다 빠르게 비정상파일/프로세스 속성을 확보하는 매우 중요한 역할을 수행한다. 여기서 수집된 정보를 중앙통제센터의 컴퓨터전문가들이 재분석/의사 결정하며, (도4)에서 기본 환경 설정 기반만으로 수행하여 시스템 정상화 불가판단할 경우, 즉각 부가 환경 파일에 컴퓨터전문가가 환경파일을 추가하여 각 관라자에게 전송(1140)하게 되고, 관리자는 해당 정보를 각 일반 사용자(agent)에게 해당 정보를 전송하면, 일반 사용자는 본 발명의 agent 프로그램을 실행하여 , 즉각 새로운 비정상파일을 탐지/제거 가능하게 된다.
○ 인증시스템(1150)은 각 사용자 또는 관리자가 정책 및 프로그램 update 요청 등 시 인증 기능을 수행한다.
타. 의심 파일/프로세스 DB 구조(도 12)
○ 확장자 변경 불가 파일 목록 및 속성(1200)
(도4)과정의 (430) 과정 수행시 특정 파일의 확장자 변경 불가의 경우 본 목록에 해당 파일의 속성 (파일명,수정시간,생성시간,크기 등)의 정보가 저장된다.
○ 삭제 불가 파일 목록 및 속성(1210)
(도11)과정의 (1110) 과정에서 관리자가 기존이 불필요의심 확정파일을 제거 수행시, 특정 파일의 삭제 불가 발생시 , 본 목록에 해당 파일의 속성 (파일명,수정시간,생성시간,크기 등)의 정보가 저장된다.
○ 프로세스 종료(KILL) 불가 목록 및 속성(1220)
(도3)과정의 (320,325) 과정시 , 특정 프로세스 종료 불가 경우 해당 프로세스명, 기타 모든 프로세스명 , CPU 정도, 메모리 차지 정도등의 정보를 저장한다.
○ 프로세스 종료(KILL)후 재성성 목록 및 속성(1230)
(도3)과정의 (340) 과정시 , 특정 프로세스 종료후에도 동일명으로 재실행되거나 , 또다른 프로세스가 수행되는 경우 , 재수행되는 프로세스명, 기타 모든 프로세스명 , 각 CPU 정도, 각 메모리 차지 정도 등의 정보를 저장
○ 레지스트리 삭제 불가값 목록 및 속성(1240)
레지스트리에서 특정값 제거 시도시 실패나는 경우, 해당 실패 시도 관련 레지스트리 값을 저장함
○ 무결성 변조파일 목록 및 속성(1250)
무결성 진단 결과 변조 파일의 속성(파일크기,수정시간,생성시간,파일이름)을 저장한다.
이상 설명한 바와 같이, WINDOW 계열시스템을 사용하고, 컴퓨터 전문가가 아닌 자신의 시스템이 새로운 비정상파일(바이러스 및 worm 등) 공격으로 인해 사용에 불편함 발생의 경우, 그 비정상파일을 제거하는 일반적인 솔루션 (백신업체 등이 제공하는 해결백신)을 출시하기 이전에도, 신속하게 탐지는 물론 편리하게 제거하는 가능하게 함으로써 , 흔히 발생하는 VIRUS 감염 등으로 인해 발생하는 시스템 과 네트워크의 사용 장애이장 시간을 최소화 하는 하나의 수단을 제공할 수 있다. 또한 자신의 시스템에 비정상 파일이외에도 부가적으로 침입탐지 및 시스템 유지관리 기능도 제공할 수 있어 WINDOW 계열시스템 관리도구로서 활용가능하다.
도 1 : "신종 바이러스 탐지/제거 절차 개괄도 "로서 비정상 파일 탐지,제거 위한 전체 수행 개요도임
도 2 : " [기초 보안 설정 모듈] 절차도" 실제 보안 조치 취하기 전체 윈도우 자체 기본 보안을 수행하는 절차도임
도 3 : "[비정상 프로세스 탐지/제거 모듈] 절차도"로서 , 비정상프로세스를 찾아서 KILL 시도하는 모듈임
도 4 : "[비정상 파일 검색/제거 모듈] 절차도"로서 기준에 해당하는 파일을 찾아서, 그 파일을 비정상파일로 정의하여, 제거하는 모듈임
도 5 : "[레지스트리 정상화 모듈] 절차도"로서, 비정상파일을 레지스트리에서 제거하는 모듈임
도 6 : "[기초 보안 설정] 환경 파일 구조"로서, 윈도우 자체 기본 보안 수행 위한 수행 범위를 정의하는 환경설정파일구조임
도 7 : "[기본 수행 ] 환경 파일 구조"로서, 윈도우 비정상 파일을 정의하는 기준 제시하는 공통(default) 환경 설정 파일구조임
도 8 : "[부가 수행 ] 환경 파일 구조"로서, 윈도우 비정상 파일을 정의하는 기준 제시 관련, 사용자 추가 등에 의해 상황별 변경 가능한 환경설정 파일구조임
도 9 : "[무결성 점검 ] 환경 파일 구조"로서, 무결성을 점검할 윈도우 파일 및 디렉토리 범위 및 무결성 알고리즘 등을 기록한 파일구조임
도 10 : "[경보 ] 환경 파일 구조"로서,비정상적인 증상 등 발생시 관리자에게 통보되도록 할 때, 비정상의 기준을 정의하는 파일 구조임
도 11 : "[시스템 구축/작동 모델 ]" 서버-클라이언트-인증서버 등의 구조로 이루어진 서비스제공/관리 구성도임
도 12 : "의심 파일/프로세스 DB 구조"로서, 수행 중간 중간 발생하는 의심파일/프로세스 저장 db 구조임
〈도면의 주요부호 설명〉
아래는 각 도면에서 사용되는 "주요부호" 중 본 발명을 이해하는데 핵심이 되는 주요 보호만을 설명한 것이다.(다른 부호에 대한 상세 설명은 "발명의 구성 및 작용"부에서 자세히 설명한다. )
100 : [도면6]의 내용 기반한 보안 환경 수행 단계
110 : 무한 리부팅 루핑 방지 위한 값
120 : [도면7]을 기반으로 한 환경설정파일 읽어들이기
130 : [도면3]의 절차도 근거한 비정상프로세스 탐지/제거 시도 모듈
140 : [도면4]의 절차도 근거한 비정상파일 탐지/제거 시도 모듈
150 : [도면5]의 절차도 근거한 레지스트리 정상화 시도 모듈
160 : "리부팅"이라 함은 시스템 OS 의 재시작을 의미
170 : "정상화"라 함은 시스템이 사용에 무리가 없는 상태를 말함.
180 : [도면8]의 절차도 근거한 비정상파일 탐지/제거 시도 모듈
185 : [도면9]의 절차도 근거한 무결성 점검 모듈
193 : "레지스트리 백업"라 함은 주요 레지스트리의 위치 값을 백업 받아 로컬 시스템 및 관리자 시스템에 저장해 놓는 것을 의미
195 : "알고리즘 종료"로서 본 발명의 알고리즘의 종료를 알림.
250 : "관리자 통보"라 함은 프로그램이 관리자에게 로그메시지를 전달하려는 시도를 의미하며, 실패시는 자신의 시스템에 그 값을 저장한 후 차후에 전달함을 의미
280: "종료" 로서 각 과정의 완료를 의미함.
340 : 프로세스 수행 과정에서 본 알고리즘에 의한 수행 과정상, 프로세스제거 실패 , 파일 확장자 변경 실패, 프로세스 재실행이 되는 경우 해당 파일 및 프로세스 속성은 "의심 파일/프로세스 목록 DB" 에 등록되는 한 과정
450 : 추출된 비정상 파일 목록에 대해서 레지스트리 특정 위치 또는 전체에 해당 동일 값들 존재 여부를 확인하여 존재시 제거하는 한 과정
555 : 본 알고리즘에 의한 판단하기에는 추가적인 정보가 필요하여 관리자의 개입이 필요하거나, 관리자가 인지할 필요가 있는 정보를 관리자에게 통보하는 모듈로서, 본 알고리즘 기반 시스템이 보다 안정적으로 운영되는되 기여
620 : 바이러스 등이 공유폴더를 통해 많이 전파되는 바, 이를 치료단계로 진입전에 제거하여 치료의 과정을 보다 원활하게 하는 공유폴더 제거 과정임
900 : 파일의 변조여부를 시간 기반이 아닌 파일 자체 DATA 변조여부 기반으로 탐지하여, 본 알고리즘의 시간 및 위치 기반 비정상파일 판단의 한계를 보강하기 위한 부분임
1000 : 윈도우 및 유닉스 계열에서 제공하는 TCP 접속 현황을 모니터링 하는 명령어 중의 하나인 netstat 의 실행결과 기반으로 나타나는 결과값들 기반으로 시스템의 정상,비정상을 판단하는 모듈로서, 여러 시스템 중 비정상시스템을 찾는데 활용됨
1120 : 관리대상 시스템과 관리자 사이에 비정상파일 관련 탐지/치료/수행환경/인증 등의 정보를 교환하는 개념
1130-1140 : 중앙통제센터[일명,ESM]과 각 관리자사이에 최신 정보를 교환하는 개념
1150 : honey pot(이하 ,바이러스 감염 유도 시스템)에서 발생한 비정상파일 정보를 중앙통제센터[일명,ESM]에서 신속하게 파악하여, 신종 worm 의 정보를 신속 획득하고자 하는 개념
1160 : 각 사용자 및 관리자 프로그램의 license 관리하는 인증 통신 개념
이하, 보다 상세한 의미는 아래 "발명의 구성 및 작용" 참조하십시요

Claims (3)

  1. (도1)의 전체적인 절차에 의한 비정상 파일/프로세스 탐지,제거하는 과정에 있어서,
    ○ 상기 "기초 보안 설정 단계 상세 ( 도2, 도6)"의 설명내용에서 기존 레지스트리 백업값 존재의 경우,이를 활용한 보다 신속한 시스템 정상화 절차도,
    ○ 상기 "기초 보안 설정 단계 상세 ( 도2, 도6)"의 설명내용에서 일반적 regedit 실행 수행 실패시, 파일 이름 변경 통한 레지스트리 열기 수행 부분,
    ○ 상기 "바. 기초 보안 설정 파일 구조(도 6)"의 설명내용에서 비정상파일/제거를 수행 가능하게 하기 위한 시스템 가용성 확보 상세 방법 부분(도2)(도6),
    ○ 상기 "사. 기본 수행 환경 파일 구조" 안의 상세 언급한 비정상파일/프로세스 판단 기준 부분(도7),
    ○ 효율적 및 구현 가능성 고려한 비정상 파일/프로세스 탐지,제거하는 절차도 부분(도3)(도4),
    ○ 정상 및 비정상파일 및 프로세스 정보를 제공하기 위한 목적으로 설계된 핵심기본 환경 파일 부분(도7),
  2. 시스템의 이상 징후를 신속히 알리는 방법 구현에 있어서,
    ○ 비정상 파일/프로세스의 속성을 보다 구체적인 요소로 제시하고 있는 " 차. 경보환경 파일 구조(도 10)"의 상세 내용 부분,
    ○ 상기, "자. 무결성 점검 환경 파일 구조(도 9)"에서 설명한, 특정 디렉토리/파일 중점 기반으로 무결성을 점검하고 보고하는 부분(도9)
    ○ 상기 "타. 의심 파일/프로세스 DB 구조(도 12)" 의 상세설명을 특징으로 하는 의심 파일 및 프로세스를 구분하는 방법(도12)
  3. 본 발명의 Agent 기능 기반으로 제시된 "카. 시스템 구축/작동 모델 (도 11)"구현에 있어서,
    ○ 비정상 파일 및 프로세스를 조기에 수집하기 위해서 본 발명 Agent 프로그램이 탐재된 시스템인 "신종 비정상파일/프로세스 수집시스템"(일명,honey pot)을 통해 컴퓨터 전문가 집단이 보다 신속하게 이를 탐지하고, 본 (도 11) 구현 모델을 통해 보다 신속하게 agent 에게 전달하는 것을 특징으로 하는 부분,
    ○ 평시에 중앙통제센터(ESM)가 보안 패치파일은 (주)마이크로소프트 사에서 다운받아 놓고, 이를 다시 각 Manager 프로그램에게 네트워크 정상인 경우 전송하여(도11의 1140) 놓고, 일반 사용자(Agent)가 외부 네트워크 장애시 외부 접속 없이 내부 존재하는 관리자시스템(Manager)에서 보안 패치 파일을 다운받아 편리,신속한 보안패치를 제공하는 방법론 부분
KR1020040037605A 2004-05-25 2004-05-25 비정상 파일 및 프로세스의 탐지 제거 방법 KR100594870B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040037605A KR100594870B1 (ko) 2004-05-25 2004-05-25 비정상 파일 및 프로세스의 탐지 제거 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040037605A KR100594870B1 (ko) 2004-05-25 2004-05-25 비정상 파일 및 프로세스의 탐지 제거 방법

Publications (2)

Publication Number Publication Date
KR20050112485A true KR20050112485A (ko) 2005-11-30
KR100594870B1 KR100594870B1 (ko) 2006-07-03

Family

ID=37287381

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040037605A KR100594870B1 (ko) 2004-05-25 2004-05-25 비정상 파일 및 프로세스의 탐지 제거 방법

Country Status (1)

Country Link
KR (1) KR100594870B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100710845B1 (ko) * 2006-01-23 2007-04-23 염찬섭 중복 패치 방지 방법
KR100897849B1 (ko) * 2007-09-07 2009-05-15 한국전자통신연구원 비정상 프로세스 탐지 방법 및 장치
KR102256198B1 (ko) * 2020-09-18 2021-05-27 (주)시큐레이어 작업 도중 발생한 프로세스 성능 저하 또는 프로세스 장애 상황을 실시간으로 탐지하고 개선함으로써 작업량 손실을 최소화하는 방법 및 장치

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102140374B1 (ko) * 2018-07-30 2020-07-31 숭실대학교산학협력단 블록체인 지갑 시스템의 캐시 부 채널 공격 방지 장치 및 방법, 상기 방법을 수행하기 위한 기록 매체

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100710845B1 (ko) * 2006-01-23 2007-04-23 염찬섭 중복 패치 방지 방법
KR100897849B1 (ko) * 2007-09-07 2009-05-15 한국전자통신연구원 비정상 프로세스 탐지 방법 및 장치
US8091133B2 (en) 2007-09-07 2012-01-03 Electronics And Telecommunications Research Institute Apparatus and method for detecting malicious process
KR102256198B1 (ko) * 2020-09-18 2021-05-27 (주)시큐레이어 작업 도중 발생한 프로세스 성능 저하 또는 프로세스 장애 상황을 실시간으로 탐지하고 개선함으로써 작업량 손실을 최소화하는 방법 및 장치

Also Published As

Publication number Publication date
KR100594870B1 (ko) 2006-07-03

Similar Documents

Publication Publication Date Title
US7607041B2 (en) Methods and apparatus providing recovery from computer and network security attacks
EP1834439B1 (en) Methods and apparatus providing security to computer systems and networks
US8154987B2 (en) Self-isolating and self-healing networked devices
US8413245B2 (en) Methods and apparatus providing computer and network security for polymorphic attacks
US8255995B2 (en) Methods and apparatus providing computer and network security utilizing probabilistic policy reposturing
JP4914052B2 (ja) セキュリティポリシーを配布するための方法およびシステム
US9325725B2 (en) Automated deployment of protection agents to devices connected to a distributed computer network
US7386888B2 (en) Network isolation techniques suitable for virus protection
AU2002239889B2 (en) Computer security and management system
US8806629B1 (en) Automatic generation of policy-driven anti-malware signatures and mitigation of DoS (denial-of-service) attacks
KR20180097527A (ko) 다수의 네트워크 종점들을 보호하기 위한 듀얼 메모리 인트로스펙션
US20060026683A1 (en) Intrusion protection system and method
US9349009B2 (en) Method and apparatus for firmware based system security, integrity, and restoration
US20060282896A1 (en) Critical period protection
AU2002239889A1 (en) Computer security and management system
TW201428532A (zh) 具攻擊防護機制的雲端系統及其防護方法
US8060935B2 (en) Security incident identification and prioritization
US8819655B1 (en) Systems and methods for computer program update protection
CN108965305A (zh) 一种互联网安全监控系统及其监控方法
KR20070029540A (ko) 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법
CN112989350A (zh) 物联网恶意攻击行为处理方法、装置及系统
KR20050112485A (ko) 비정상 파일 및 프로세스의 새로운 판별기법에 의한윈도우운영체제 시스템 보안 구현 방법
KR101614809B1 (ko) 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법
JP2015082191A (ja) 情報処理装置、情報処理方法
Tupakula et al. Trust enhanced security architecture for detecting insider threats

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090622

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee