KR20090081619A - 파일 전송 보안 방법 및 장치 - Google Patents

파일 전송 보안 방법 및 장치 Download PDF

Info

Publication number
KR20090081619A
KR20090081619A KR1020080007582A KR20080007582A KR20090081619A KR 20090081619 A KR20090081619 A KR 20090081619A KR 1020080007582 A KR1020080007582 A KR 1020080007582A KR 20080007582 A KR20080007582 A KR 20080007582A KR 20090081619 A KR20090081619 A KR 20090081619A
Authority
KR
South Korea
Prior art keywords
file
file transfer
filtering information
security
information
Prior art date
Application number
KR1020080007582A
Other languages
English (en)
Other versions
KR100976602B1 (ko
Inventor
홍윤환
Original Assignee
(주)닥터소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)닥터소프트 filed Critical (주)닥터소프트
Priority to KR1020080007582A priority Critical patent/KR100976602B1/ko
Publication of KR20090081619A publication Critical patent/KR20090081619A/ko
Application granted granted Critical
Publication of KR100976602B1 publication Critical patent/KR100976602B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/545Interprogram communication where tasks reside in different layers, e.g. user- and kernel-space
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Abstract

본 발명은 운영체제 커널 계층에서 수행되는 파일 전송 보안 방법 및 장치에 관한 것으로, 적어도 하나의 애플리케이션으로부터 파일 전송 요청을 수신하는 단계; 및 전송될 파일 정보를 기저장된 필터링 정보와 비교하여 전송 여부를 필터링하는 단계;를 포함하고, 프로토콜 드라이버의 상위 계층에서 수행되는 것을 특징으로 하는 파일 전송 보안 방법에 의해 파일 전송 보안을 위해 다양한 기준들을 등급별로 설정하는 것이 가능하다.
보안, 파일 전송, 커널 계층

Description

파일 전송 보안 방법 및 장치{Method and Apparatus for file transference security}
본 발명은 파일 보안 방법 및 장치에 관한 것으로, 특히 운영체제 커널 계층에서 수행되는 파일 전송 보안 방법 및 장치에 관한 것이다.
새로운 프로토콜이나 애플리케이션의 출현과 서비스의 도입으로 인해 인터넷과 네트워크 환경은 더욱 광범위해지고 다양화되고 있다. 전 세계적으로 네트워크 환경의 급격한 발전과 팽창은 내/외부적으로 다양한 보안 위협에 노출되게 하였으며, 정보 시스템에 대한 침해와 공격은 점점 더 복잡해지고 있다. 이러한 시스템에 대한 침해는 불법적인 목적으로 시스템에 접근하여 정보의 조작, 변경, 유출 및 시스템 다운 등을 시도하며 문제점을 야기시키고 있다.
정보 시스템에 대한 공격 대상은 특정 정보 시스템에서 불특정 다수의 시스템으로 확장되고 있으며, 네트워크 전체로 확대되면서 네트워크 무력화를 통해 네트워크 서비스 전체를 중단시키는 등의 광범위한 공격으로 점점 지능화되고 있다. 또한, 인터넷 환경에서는 전세계 누구나 공개된 자료를 공유할 수 있고, 일일이 검열이 불가능할 정도로 많은 전자 게시판과 온라인 정보 교환을 위한 방법들이 제공 되고 있어 해킹 공격에 대한 새로운 침입 방법이 손쉽게 전파될 수 있다. 이에 따라 비슷한 유형의 침입자들을 양산해 내고 있다.
이렇게 점점 지능화되는 네트워크에 대한 공격과 침입을 막기 위해 다양한 보안 연구가 진행되고 있으며, 동시에 많은 보안장비의 개발이 시도되고 있다. 이러한 보안 솔루션 중에서 가장 기본적인 보안 시스템으로 사용되고 있는 것이 파이어월(Firewall), IDS(Intrusion Detection System), IPS(Intrusion Prevention System)등이다. 이러한 보안 시스템들은 설정된 보안 정책에 따라 송수신 트래픽을 감시하고, 부적절한 접근이나 트래픽을 차단하며, 트래픽 모니터링 및 공격 유형 분석을 통해 침입시도나 인가되지 않은 행위와 같은 유해 트래픽을 탐지 분석하고 처리하여 그 결과를 관리자에게 통보한다.
외부로부터의 공격과 침임을 막기 위한 보안기술도 중요하지만 내부 보안이 중시되는 사내, 공공기관에서는 파일이 네트워크를 통해 외부로 전송되는 것을 막기 위한 보안 기술의 개발이 필요하다.
본 발명은 이 같은 배경에서 도출된 것으로, 파일 전송의 보안 기준을 보다 구체적으로 설정할 수 있는 파일 전송 보안 방법 및 장치를 제공하는 것을 목적으로 한다.
상기 기술적 과제는 커널영역 중 프로토콜 드라이버 및 네트워크 인터페이스 장치가 계층적으로 포함되는 커널 영역에서 수행되는 파일 전송 보안 방법에 있어서, 적어도 하나의 애플리케이션으로부터 파일 전송 요청을 수신하는 단계; 전송될 파일 데이타를 기저장된 필터링 정보와 비교하여 전송을 제어하는 단계;를 포함하고, 상기 프로토콜 드라이버의 상위 계층에서 수행되는 것을 특징으로 하는 파일 전송 보안 방법에 의해 달성된다.
본 발명에 따르면, 보안 관리 서버를 통해 관리자가 자유자재로 설정하는 것이 가능한 필터링 정보에 의해 전송 드라이버 상위계층에서 미리 전송 파일을 필터링 함으로써, 파일 전송 보안에 관한 다양한 기준들을 등급별로 설정하는 것이 가능하다. 즉, 파일 전송의 필터링 기준을 구체적으로 설정하는 것이 가능해진다.
전술한, 그리고 추가적인 본 발명의 양상들은 첨부된 도면을 참조하여 설명하는 바람직한 실시예들을 통하여 더욱 명백해질 것이다. 이하에서는 본 발명의 이러한 실시예를 통해 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 설명하기로 한다.
도 1은 본 발명의 바람직한 일 실시예에 따른 파일 전송 보안 장치가 적용되는 시스템의 예시도이다.
본 발명에 따른 파일 전송 보안 장치는 이메일, 메신저, FTP와 같은 애플리케이션 즉, 응용 프로그램을 통해 파일을 전송할 수 있는 단말 장치에서 구현될 수 있다.
보안 관리 서버(100)는 다수의 파일 전송 보안 장치가 구현되는 단말장치와 연결된다. 본 실시예에 있어서, TCP 혹은 그밖에 신뢰되는 통신 소켓(SOCKET)채널을 통해 연결될 수 있다. 보안 관리 서버(100)는 다수의 단말 장치들에 대한 필터링 정보들을 저장하는 관리 서버DB(105)를 포함한다. 보안 관리 서버(100)는 드라이버 에이전트 프로세스(110)로부터 접속 요청을 수신하거나, 보안 관리 서버(100)가 드라이버 에이전트 프로세스(110)로 접속을 요청할 수 있다.
또한, 보안 관리 서버(100)는 본 발명에 따른 파일 전송 보안 장치의 파일 필터 드라이버(122)가 파일 데이터의 전송을 제어하기 위한 제어 설정 정보를 작성하고, 관리한다. 본 실시예에 있어서, 보안 관리 서버(100)에 포함되는 관리 서버 DB(105)는 보안 관리 서버(100)를 통해 관리자로부터 입력되는 설정 정보를 필터링 정보로 저장한다. 또한, 보안 관리 서버(100)를 통해 관리자로부터 설정 정보의 변경 내용을 입력받아 이를 편집할 수도 있다.
본 발명에 따른 파일 전송 보안 장치가 구현되는 단말 장치는 응용 프로세스 영역과 커널영역을 포함한다. 보다 상세하게 응용 프로세스 영역은 보안 관리 서버(100)로부터 해당 단말의 필터링 정보를 획득하는 드라이버 에이전트 프로세스(110)와 데이터를 외부로 전송하기 위한 파일 전송 프로세스(112), 다양한 응용 프로그램을 통해 저장된 파일을 읽는 파일 읽기 프로세스(114)를 포함한다.
드라이버 에이전트 프로세스(110)는 보안 관리 서버(100)와 연결되어, 해당 단말 장치에 대한 필터링 정보를 획득한다. 드라이버 에이전트 프로세스(110)는 전술한 관리 서버 DB(105)에 저장된 다수 단말장치들에 대한 필터링 정보들 중 해당 단말 장치에 대한 서브셋 정보를 획득할 수 있다. 또한, 드라이버 에이전트 프로세스(110)는 보안 관리 서버(100)에 네트워크 통신 채널을 형성하고, 이 채널을 통해 지속적으로 또는 주기적으로 제어에 필요한 데이터들을 더 수신할 수 있다. 드라이버 에이전트 프로세스(110)는 보안 관리 서버(100)로부터 제어에 필요한 데이터들을 수신하면, 파일 필터 드라이버를 호출하여 수신한 데이터들을 전달한다. 즉, 드라이버 에이전트 프로세스(110)는 보안 관리 서버(100)와 커널 영역의 드라이버등을 중계한다.
일 실시예에 있어서, 필터링 정보는 적어도 제어 대상 프로세스 정보, 송수신 IP 주소, 수신 포트 정보, 패킷 필터링 규칙 정보를 포함한다. 필터링 정보에 대한 보다 상세한 설명은 후술한다. 파일 전송 프로세스(112)는 예를 들어 iExplore, ALFTP와 같은 응용 프로그램으로 구현될 수 있다. 또한, 파일읽기 프로세스(114)는 윈도우 파일 탐색기(Explorer), 메신저(Messenger)와 같은 파일 전송을 위해 파일을 읽어들일 수 있는 응용 프로그램으로 구현될 수 있다.
한편, 커널 영역은 네트워크 필터 영역(120)과, 파일 시스템 영역(130)을 포함한다. 네트워크 필터 영역(120)은 파일 전송 프로세스(112)를 통해 임의의 애플리케이션을 통해 파일 전송이 요청되는 파일에 대해서 전송 허용 여부를 체크한다. 그리고 전송 허용된 파일은 네트워크를 통해 전송하고, 그렇지 않은 파일은 전송을 차단하기 위해 드롭(Drop)시킨다. 네트워크 필터 영역(120)은 파일 필터 드라이버(122), 프로토콜 드라이버(124) 및 네트워크 인터페이스 장치(NIC:Network Interface Card)를 포함한다. 단말장치가 응용 프로세스 영역의 파일 전송 프로세스(112)를 통해 데이터를 전송하려 할 때, 네트워크 인터페이스 장치(NIC,126)드라이버의 상위 계층의 파일 필터 드라이버(122)는 먼저 데이터에 파일이 포함되는지 여부를 판단하기 위해 파일 시스템 영역(130)과의 인터페이스를 호출한다. 그리고, 후술할 파일 시스템 영역(130)과 연동하여 전송할 데이터에 파일이 포함되는지 여부를 파악할 수 있다.
그리고, 드라이버 에이전트 프로세스(110)를 통해 보안 관리 서버(100)로부터 획득한 해당 단말의 필터링 정보를 파악하여, 파일읽기 프로세스(114), 전송 데이터와 비교한다. 비교 결과, 전송이 허용되는 파일은 프로토콜 드라이버(124) 및 NIC(126)를 거쳐 네트워크를 통해 전송될 수 있다. 반면, 전송이 허용되지 않는 파일일 경우에는 전송하지 않고, 파일 필터 드라이버(122)계층에서 드롭시킴으로써, 허용되지 않은 파일 전송을 차단할 수 있다. 여기서 프로토콜 드라이버(124)는 특정 프로토콜 패킷(TCP, UDOm HTTP) 혹은 전송 데이터 스트림을 데이터 전송을 위한 절차를 수행한다. 네트워크는 이더넷(Ethernet), 인터넷(Internet), 무선 랜(Wireless LAN), WAN, VPN과 같은 통신 네트워크 구성을 모두 포괄하도록 해석된다.
파일 시스템 영역(130)은 파일 시스템 드라이버(134), 시스템 드라이버(134), 디스크 드라이버(136)를 포함한다. 파일 시스템 드라이버(134)는 단말에서 임의의 파일 읽기 프로세스(114)가 파일 시스템에 접근하면, 해쉬키를 생성한다. 커널 영역의 파일 시스템 드라이버(134)는 응용 프로세스 영역의 파일 읽기 프로세스(114)를 통해 읽혀지는 파일들을 해싱하여, 읽혀진 파일들의 해쉬키 목록을 생성한다.
본 실시예에 있어서, 파일 시스템 드라이버(134)는 전달되는 데이터의 처음 256바이트로 해쉬키를 생성한다. 해쉬키는 저수준 파일 핸들, 해쉬키 값 정보를 포함한다. 그리고, 네트워크 필터 영역(120)으로부터 파일 데이터 전송인지 여부를 확인하기 위한 요청을 처리하기 위해 네트워크 필터 영역(120)과 인터페이스를 제공한다. 이때 생성되는 해쉬 키 목록은 단말 장치의 전원이 꺼지면, 삭제되고 부팅시에 셋업된다.
이에 따라 파일 필터 드라이버(122)는 전송 요청이 있는 데이터를 해싱하여 해쉬키를 생성하고, 생성된 해쉬키가 파일 시스템 드라이버(134)의 해쉬키 목록에 존재하는지 여부에 따라 일반 데이터 전송인지, 파일 전송인지를 파악할 수 있다.
이하, 도 2 를 참조하여 본 발명에 따른 파일 전송 보안 장치의 구성에 대해 더 상세히 설명한다. 도 2 는 본 발명의 바람직한 일 실시예에 따른 파일 전송 보 안 장치의 구성을 도시한 블록도이다.
도시된 바와 같이 본 발명에 따른 파일 전송 보안 장치는 필터링 정보를 저장하는 필터링 정보 저장부(200), 파일 필터 드라이버(122), 파일 전송부(210)를 포함한다.
필터링 정보 저장부(200)는 보안 관리 서버(100)로부터 획득되는 해당 단말의 고유 필터링 정보를 저장한다. 본 실시예에 있어서, 필터링 정보는 적어도 제어 대상 프로세스 정보, 송수신IP주소, 수신 포트, 패킷 필터링 규칙 정보 중 하나를 포함한다. 제어 대상 프로세스 정보는 예를 들어 메신저, 익스플로러의 웹메일등 파일 전송 프로세스 정보이다. 이에 따라 사내 보안 메신저를 통한 파일 전송은 허용되고 일반인들에게 배포되어 사용되는 메신저를 통한 파일 전송은 차단되도록 설정될 수 있다. 이는 파일 전송을 요청하는 프로세스 이름을 기 저장된 필터링 정보에 포함되는 프로세스 이름과 대조함으로써 제어할 수 있다.
송수신 IP 포트 주소 및 수신 포트 정보를 필터링 정보로 활용할 수 있다. 송수신 IP포트 주소를 설정하여 임의의 제 1 IP 주소의 단말로만 파일 전송이 가능하고, 또 다른 임의의 제 2 IP 주소의 단말로부터만 파일 전송이 허용되도록 설정될 수 있다. 또한, 임의의 제 3 IP 주소의 단말로부터 수신된 파일의 전송은 차단되도록 설정하는 것도 가능하다. 즉, IP 계층 프로토콜의 상위 프로토콜(TCP, UDP, HTTP, 기타 응용 계층 프로토콜)에서 송신 (SRC) IP주소, 수신(DST) IP 주소, 수신(STC) 포트를 대조하여 파일 전송을 허용하거나, 차단할 수 있다.
또한, 패킷 필터링 규칙 정보를 활용하여 응용 프로토콜이 자체 정의하고, 패킷에 포함된 데이터를 분석하기 위한 추가 패턴에 따라 파일 전송의 허용, 차단 여부를 제어할 수도 있다. 가령 HTTP 프로토콜의 특정 문자열 데이터를 패턴 매칭함으로써, 특정 문자열이 포함된 파일의 경우에 그 전송을 차단하도록 구현될 수 있다. 이에 따라 파일의 전반적인 내용을 파악할 수 있는 핵심 문자 열, 그림 파일 태그 등을 설정함으로써, 특정 내용의 파일 전송을 필터링 할 수 있다.
뿐만 아니라, 필터링 정보는 예를들어 사내에서 부서별, 직급별로 각각 설정된 보안 등급에 따라서 다르게 설정될 수 있다. 즉, 관리자는 보안 관리 서버(100)를 이용하여 개별 단말에 대한 필터링 정보를 변경하는 것도 가능하고, 그룹 설정된 다수의 단말들에 대한 필터링 정보를 변경하는 것도 가능하다.
파일 필터 드라이버(122)는 단말의 운영체제(OS) 커널 필터 드라이버 계층에 설치된다. 파일 필터 드라이버(122)는 인증된 웹 서비스 경로를 통해 보안 관리 서버(100)에 의해 설치되거나, 혹은 단말 사용자에 의해 수동으로 설치된다. 구체적으로 파일 필터 드라이버(122)는 네트워크 인터페이스 장치(NIC:Network Interface Card,126)와 최종 연결되는 드라이버의 상위 계층에 설치된다. 파일 전송부(210)는 사실 전술한 파일 필터 드라이버(122)와 하나의 영역에 포함될 수 있으며, 프로토콜 드라이버(124)와 NIC 드라이버(126)를 포함한다.
본 실시예에 있어서, 파일 필터 드라이버(122)는 적어도 하나의 애플리케이션으로부터 파일 전송 요청이 수신되면, 필터링 정보 저장부(200)에 저장된 필터링 정보에 기초하여 파일의 전송 허용 여부를 판단한다. 그리고, 전송이 허용된 파일의 경우에는 파일 전송부(210)를 통해 전송한다. 반면에 전송이 차단된 파일인 경 우에는 파일을 전송하지 않는다. 추가적으로 파일 필터 드라이버(122)는 파일의 전송 허용, 전송 드랍에 관한 현황, 이력 등을 해당 애플리케이션, 혹은 다른 애플리케이션으로 보고하고, 이를 사용자에게 알리도록 구현될 수도 있다.
본 발명의 특징적인 양상에 따라 본 발명에 따른 파일 전송 보안 장치는 적어도 하나의 애플리케이션으로부터 파일 필터 드라이버(122)로 파일 전송 요청이 수신되는지 여부를 검출하는 파일 전송 검출부(220)를 더 포함한다. 파일 전송 검출부(220)는 애플리케이션에서 호출되는 파일들을 각각 해싱하여 해쉬키 목록을 생성하고, 상기 애플리케이션에서 파일 전송 요청이 수신되면 그 파일의 해쉬키가 상기 해쉬키 목록에 존재하는지 여부를 판단함으로써 파일 전송 요청이 수신되는지 여부를 검출한다.
파일 전송 검출부(220)는 애플리케이션이 파일을 전송하려고 할때, 전송 데이터 스트림 또는 특정 프로토콜 패킷(TCP, UDP, HTTP등)데이터에 파일이 포함되었는지 여부를 판단한다. 패킷 데이터에 파일이 포함되었는지 여부를 판단하기 위해 파일 시스템 드라이버(134)가 제공하는 인터페이스를 호출한다.
이하, 파일 전송 검출부(220)가 해싱을 통해 특정 프로토콜 패킷 데이터에 파일이 포함되었는지 여부를 판단하는 동작을 예를들어 설명한다. 예를들어 전송하고자 하는 패킷데이터가 패킷 헤더 100바이트, 패킷 데이터 1,828( 128 + 100 + 1,600)바이트, 응용 프로그램 정의 헤더 128 바이트, 응용 프로그램 정의 데이터 로 구성되어 있다고 가정한다.
파일 전송 기능을 수행하는 파일 필터 드라이버(122)는 응용 프로그램이 패 킷 데이터 내에 정의한 헤더와 데이터를 구별할 수 없다. 따라서 패킷 데이터의 시작 위치에서 256 바이트 단위로 1바이트씩 계속 증가하면서 1572 (1828-256) 번을 반복적으로 해싱하여 해쉬키를 생성한다. 그리고, 생성된 해쉬키가 파일 시스템 드라이버(134)에 의해 생성된 해쉬키 목록에 존재하는지 여부를 판단한다. 파일 필터 드라이버(122)는 생성된 해쉬키가 기 저장된 해쉬키 목록에 존재하는 경우에, 데이터에 파일이 포함되었다고 판단한다.
본 발명의 양상에 따라 파일 전송 보안 장치는 보안 관리 서버(100)로부터 필터링 정보를 획득하여 필터링 정보 저장부(200)에 저장되는 필터링 정보를 갱신하는 필터링 정보 갱신부(230)를 더 포함한다. 필터링 정보 갱신부(230)는 보안 관리 서버(100)와 신뢰할 수 있는 통신 경로를 통해 통신을 수행할 수 있다. 보안 관리 서버(100)로부터 해당 단말에 고유한 필터링 정보를 획득하여 필터링 정보 저장부(200)에 저장된 정보를 갱신할 수 있다. 본 실시예에 있어서, 지속적으로 보안 관리 서버(100)와 통신을 수행하도록 구현될 수도 있고, 주기적으로 보안 관리 서버(100)로 갱신된 정보를 요청하도록 구현될 수도 있다. 혹은 보안 관리 서버(100)로부터 주기적으로 갱신된 정보를 수신하도록 구현될 수도 있다.
이에 따라 필터링 정보는 보안 관리 서버(100)를 통해 관리자가 자유자재로 설정하는 것이 가능하다. 또한, 다양한 기준들을 등급별로 설정하는 것이 가능하여 파일 전송의 필터링 기준을 구체적으로 설정하는 것이 가능해진다.
이하, 도 3 을 참조하여 본 발명에 따른 파일 전송 보안 방법을 상세히 설명한다. 도 3 은 본 발명의 바람직한 일 실시예에 따른 파일 전송 보안 방법의 플로 우차트이다.
먼저, 네트워크 시스템 필터 드라이버 영역에서 수행되는 파일 전송 보안 방법을 살펴보면, 응용 계층 즉 애플리케이션으로부터 데이터 전송 요청이 있으면(S300), 데이터 전송 요청에 파일 전송이 포함되었는지, 파일 전송 여부를 검출한다(S310)
이때 파일 시스템 드라이버 영역에서 수행되는 파일 전송 보안 방법에 따르면, 임의의 파일 읽기 프로세스파일 시스템에 접근하면(S360), 그 파일의 해쉬키를 생성한다(S370). 응용 프로세스 영역의 파일 읽기 프로세스를 통해 읽혀지는 다수의 파일들 각각을 해싱하여, 읽혀진 파일들의 해쉬키 목록을 생성할 수 있다(S380). 본 실시예에 있어서, 데이터의 처음 256바이트로 해쉬키를 생성한다. 해쉬키는 저수준 파일 핸들, 해쉬키 값 정보를 포함한다. 그리고, 파일 시스템 드라이버 영역에서 생성된 해쉬키 목록에 생성된 해쉬키가 존재하는지 여부를 판단한다(S400).
단계 S310에서 비교 결과 생성된 해쉬키가 해쉬키 목록에 존재하면, 파일 전송으로 인식한다. 그리고 비교 결과 파일 전송 패킷인 경우에는(S320), 기 저장된 필터링 정보와 비교한다(S330).
도 4는 본 발명의 일 실시예에 따라 생성된 해쉬키가 해쉬키 목록에 존재하는지 여부를 판단하는 과정의 플로우차트이다. 도시된 바와 같이 네트워크 시스템 필터 드라이버 영역(S310)에서 파일 시스템 드라이버 영역(S400)으로 해쉬키 존재 여부를 질의한다. 그러면 필터 드라이버 영역에서는 필터 드라이버 영역에서 생성된 해쉬키가 해쉬키 목록에 존재하는지 여부를 검출하기 위해서 필요한 변수들을 셋팅한다(S410). 구체적으로 도 4에 도시된 바와 같이 PacketData는 입력 데이터, 입력된 데이터의 크기(DataSize)를 셋팅한다. 또한 읽기 포인터(ReadPointer)를 초기화(0)하고, 처음 256 바이트로 해쉬 키 값을 생성하기 위해 ReadLen을 256으로 셋팅한다.
그리고, 해쉬 키를 생성할 데이터(PacketData)의 0~256바이트까지 해쉬키를 생성한다(S420). 이 후에, ReadPointer를 DataSize와 비교하여 데이터를 모두 읽었는지 확인할 수 있다(S430). 반면, ReadPointer를 DataSize와 비교하여 ReadPointer가 DataSize보다 작은 경우에는 ReadPointer를 1씩 증가하여(S435) 해쉬키를 다시 생성한다. 즉, 데이터를 모두 읽는동안 ReadPointer를 1씩 증가하면서 반복적으로 해쉬키를 생성한다.
데이터를 모두 읽은 후에 해쉬키가 단계 S380에서 생성된 해쉬키 목록에 존재하면(S440), 결과값으로 제공할 Value를 1로 설정한다(S450). 반면, 해쉬키가 존재하지 않는 경우에는 Value 값은 0이다(S455). 그리고, 결과값 즉, Value값을 파일 전송 여부 확인(S310)에 대한 결과값으로 반환한다(S460).
파일 전송 여부를 확인하는 단계(S310)는 전송될 데이터가 파일 전송 요청을 포함하고 있는지 여부를 해쉬키 비교 결과 즉 Value 값을 수신함으로써 확인할 수 있다. 그리고 수신 결과에 따라 파일 전송 패킷인 경우에는(S320) 그 파일 정보를 필터링 정보와 비교한다(S330). 이때 필터링 정보는 보안 관리 서버로부터 이미 수신하여 저장된 값으로, 적어도 제어 대상 프로세스 정보, 송수신IP주소, 수신 포 트, 패킷 필터링 규칙 정보 중 하나를 포함한다. 즉, 해당 단말에 이미 설정된 파일 전송에 대한 필터링 정보에 기초하여 파일 전송을 허용할지 여부를 결정할 수 있다.
파일 전송이 허용된 파일인 경우에는(S340), 해당 파일을 네트워크를 통해 외부로 전송한다(S350). 반면, 필터링 정보와 비교결과 파일 전송이 허용되지 않은 파일의 경우에는 전송을 차단한다(S345).
한편, 전술한 파일 전송 보안 방법은 컴퓨터 프로그램으로 작성 가능하다. 또한, 상기 프로그램은 컴퓨터가 읽을 수 있는 정보 저장 매체(computer readable media)에 저장되고, 컴퓨터에 의해 읽혀지고 실행됨으로써 구현될 수 있다. 상기 저장매체는 자기 기록매체, 광 기록 매체 등을 포함한다.
이제까지 본 발명에 대해 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
도 1 은 본 발명의 바람직한 일 실시예에 따른 파일 전송 보안 장치가 적용되는 시스템의 예시도,
도 2 는 본 발명의 바람직한 일 실시예에 따른 파일 전송 보안 장치의 구성을 도시한 블록도,
도 3 은 본 발명의 바람직한 일 실시예에 따른 파일 전송 보안 방법의 플로우차트,
도 4 는 본 발명의 일 실시예에 따라 생성된 해쉬키가 해쉬키 목록에 존재하는지 여부를 판단하는 과정의 플로우차트이다.

Claims (10)

  1. 커널영역 중 프로토콜 드라이버 및 네트워크 인터페이스 장치가 계층적으로 포함되는 커널 영역에서 수행되는 파일 전송 보안 방법에 있어서,
    적어도 하나의 애플리케이션으로부터 파일 전송 요청을 수신하는 단계; 및
    전송될 파일 정보를 기저장된 필터링 정보와 비교하여 전송 여부를 필터링하는 단계;를 포함하고, 상기 프로토콜 드라이버의 상위 계층에서 수행되는 것을 특징으로 하는 파일 전송 보안 방법.
  2. 제 1 항에 있어서, 상기 요청을 수신하는 단계 이전에,
    적어도 하나의 애플리케이션으로부터 데이터 전송 요청이 수신되면, 상기 데이터가 파일 전송 유형 패킷인지 여부를 검출하여 파일 전송 요청을 인식하는 단계;를 더 포함하되, 상기 인식하는 단계는 시스템 드라이버의 상위 계층에서 수행되는 것을 특징으로 하는 파일 전송 보안 방법.
  3. 제 2 항에 있어서, 상기 인식하는 단계는,
    응용 계층의 상기 애플리케이션으로부터 읽혀지는 파일들의 정보를 획득하는 단계;
    상기 획득된 정보에 따라 상기 읽혀지는 파일들을 해싱하여 해쉬 키 목록을 생성하는 단계; 및
    파일 전송 요청이 수신되면, 전송 요청된 파일을 해싱하여 해쉬키를 생성하고, 상기 생성된 해쉬키가 상기 해쉬키 목록에 존재하면 파일 전송 요청으로 인식하는 단계를 포함하는 것을 특징으로 하는 파일 전송 보안 방법.
  4. 제 2 항에 있어서,
    보안 관리 서버로부터 해당 단말의 고유한 필터링 정보를 획득하는 단계; 및
    상기 획득되는 필터링 정보를 이용하여 기 저장된 필터링 정보를 갱신하는 단계를 더 포함하는 것을 특징으로 하는 파일 전송 보안 방법.
  5. 제 2 항에 있어서,
    상기 필터링 정보는 해당 단말의 보안 등급별로 설정되는 것을 특징으로 하는 파일 전송 보안 방법.
  6. 필터링 정보가 저장되는 필터링 정보 저장부;
    적어도 하나의 애플리케이션으로부터 파일 전송 요청이 수신되면 상기 필터 링 정보와 비교하여 전송 허용 여부를 판단하는 파일 필터 드라이버; 및
    상기 필터 드라이버에서 필터링 된 파일을 네트워크로 전송하는 파일 전송부를 포함하는 것을 특징으로 하는 파일 전송 보안 장치.
  7. 제 6 항에 있어서,
    상기 적어도 하나의 애플리케이션으로부터 파일 전송 요청이 수신되는지 여부를 검출하는 파일 전송 검출부를 더 포함하는 것을 특징으로 하는 파일 전송 보안 장치.
  8. 제 7 항에 있어서, 상기 파일 전송 검출부는,
    상기 애플리케이션에서 호출되는 파일들을 각각 해싱하여 해쉬키 목록을 생성하고, 상기 애플리케이션에서 파일 전송 요청이 수신되면 그 파일의 해쉬키가 상기 해쉬키 목록에 존재하는지 여부를 판단함으로써 파일 전송 요청인지 여부를 판단하는 것을 특징으로 하는 파일 전송 보안 장치.
  9. 제 6 항에 있어서,
    보안 관리 서버로부터 필터링 정보를 획득하여 상기 필터링 정보 저장부에 저장되는 필터링 정보를 갱신하는 필터링 정보 갱신부;를 더 포함하는 것을 특징으로 하는 파일 전송 보안 장치.
  10. 제 6 항에 있어서,
    상기 필터링 정보는 제어 대상 프로세스, 송수신 IP주소, 수신 포트, 패킷 필터링 규칙 중 적어도 하나를 포함하는 것을 특징으로 하는 파일 전송 보안 장치.
KR1020080007582A 2008-01-24 2008-01-24 파일 전송 보안 방법 및 장치 KR100976602B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080007582A KR100976602B1 (ko) 2008-01-24 2008-01-24 파일 전송 보안 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080007582A KR100976602B1 (ko) 2008-01-24 2008-01-24 파일 전송 보안 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20090081619A true KR20090081619A (ko) 2009-07-29
KR100976602B1 KR100976602B1 (ko) 2010-08-18

Family

ID=41292869

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080007582A KR100976602B1 (ko) 2008-01-24 2008-01-24 파일 전송 보안 방법 및 장치

Country Status (1)

Country Link
KR (1) KR100976602B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112347050A (zh) * 2020-10-27 2021-02-09 杭州安恒信息技术股份有限公司 文件跨网传输方法、装置、计算机设备和存储介质

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11831542B2 (en) 2022-04-13 2023-11-28 Microsoft Technology Licensing, Llc Platform for routing internet protocol packets using flow-based policy
US20240039892A1 (en) * 2022-07-29 2024-02-01 Microsoft Technology Licensing, Llc Security for computer systems

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7756986B2 (en) 1998-06-30 2010-07-13 Emc Corporation Method and apparatus for providing data management for a storage system coupled to a network
KR20020051599A (ko) * 2000-12-23 2002-06-29 오길록 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법
KR20010079162A (ko) * 2001-06-19 2001-08-22 윤석구 디지털 데이터의 안전한 전달 및 실행을 위한 보안 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112347050A (zh) * 2020-10-27 2021-02-09 杭州安恒信息技术股份有限公司 文件跨网传输方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
KR100976602B1 (ko) 2010-08-18

Similar Documents

Publication Publication Date Title
US10721243B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US7409714B2 (en) Virtual intrusion detection system and method of using same
JP2021507375A (ja) コンテキストリスク監視
WO2014129587A1 (ja) ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
JP2005517349A (ja) マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法
US11258812B2 (en) Automatic characterization of malicious data flows
KR100947211B1 (ko) 능동형 보안 감사 시스템
WO2013053407A1 (en) A method and a system to detect malicious software
CN114145004A (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
US11876827B2 (en) Multiple sourced classification
Song et al. Cooperation of intelligent honeypots to detect unknown malicious codes
KR20100074504A (ko) 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법
KR100976602B1 (ko) 파일 전송 보안 방법 및 장치
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
CN113660222A (zh) 基于强制访问控制的态势感知防御方法及系统
JP2002342276A (ja) ネットワーク侵入検知システムおよびその方法
Diebold et al. A honeypot architecture for detecting and analyzing unknown network attacks
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
Ponomarev Intrusion Detection System of industrial control networks using network telemetry
Cisco Working with Sensor Signatures
Cisco Working with Sensor Signatures
Sood et al. Wip: Slow rate http attack detection with behavioral parameters
Huang et al. Design and implementation of a distributed early warning system combined with intrusion detection system and honeypot
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
Rajaallah et al. Intrusion Detection Systems: To an Optimal Hybrid Intrusion Detection System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130724

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140801

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150810

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160808

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170809

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190809

Year of fee payment: 10