KR20110119159A - Apparatus and method for preventing backdoor - Google Patents

Apparatus and method for preventing backdoor Download PDF

Info

Publication number
KR20110119159A
KR20110119159A KR1020100038697A KR20100038697A KR20110119159A KR 20110119159 A KR20110119159 A KR 20110119159A KR 1020100038697 A KR1020100038697 A KR 1020100038697A KR 20100038697 A KR20100038697 A KR 20100038697A KR 20110119159 A KR20110119159 A KR 20110119159A
Authority
KR
South Korea
Prior art keywords
kernel
password
log information
application
extended
Prior art date
Application number
KR1020100038697A
Other languages
Korean (ko)
Inventor
육상조
홍민석
김진택
Original Assignee
경기대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 경기대학교 산학협력단 filed Critical 경기대학교 산학협력단
Priority to KR1020100038697A priority Critical patent/KR20110119159A/en
Publication of KR20110119159A publication Critical patent/KR20110119159A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Abstract

PURPOSE: An apparatus and method for preventing backdoor is provided to prevent the installation of a backdoor using an expansion kernel module. CONSTITUTION: A kernel loader(123) registers an expansion kernel module to a kernel according to an extended kernel registration request which is received from an application. A log information generator(126) creates log information corresponding to the registration of the expansion kernel module and stores the log information to a storage(150). A log information provider(129) extracts the lob information according to the request of the application and offers the extracted log information. If the expansion kernel module is registered in the kernel, the kernel loading unit requests the creation of the log information about the expansion kernel module to the log information generator.

Description

백도어 방지 장치 및 방법{APPARATUS AND METHOD FOR PREVENTING BACKDOOR}Backdoor prevention device and method {APPARATUS AND METHOD FOR PREVENTING BACKDOOR}

본 발명은 컴퓨터 보안 기술에 관련된 것으로, 보다 자세하게는 백도어를 방지하는 기술에 관한 것이다.
The present invention relates to computer security technology, and more particularly, to a technology for preventing a back door.

컴퓨터, 네트워킹 기술과 인터넷 문화의 빠른 보급으로 인해 지식 정보화 사회로의 이전이 급속하게 변하고 있다. 인터넷의 보급에 따라 순기능적인 면에서는 인터넷을 통하여 많은 정보의 공유를 할 수 있게 되었다.The rapid dissemination of computer, networking technology and internet culture is changing rapidly to the knowledge information society. With the spread of the Internet, it is possible to share a lot of information through the Internet in terms of net functions.

하지만 역기능적인 면에서 인터넷의 설계상 개방적인 특성과 TCP/IP 프로토콜의 근본적인 문제점 및 정보시스템 자체의 취약성 등으로 인해서 악의적인 불법 침입에 의한 정보의 도청, 위조 및 변조 행위들이 이루어지고 있다.However, due to the dysfunctional aspects of the Internet's design, the fundamental problems of the TCP / IP protocol, and the vulnerability of the information system itself, eavesdropping, forgery, and tampering with information caused by malicious intrusion are taking place.

인터넷을 구성하는 컴퓨터는 운영체제(Operating System)를 통해 작동한다. 운영체제는 시스템 콜을 제공하여 어플리케이션(Application)이 컴퓨터의 자원을 이용하여 동작을 수행할 수 있게 한다. 즉, 어플리케이션이 시스템 콜을 호출하면, 시스템 콜은 커널(kernel)을 호출하여 프로세스 생성, 메모리 할당, 연산 등의 컴퓨터의 자원을 사용하여 동작을 수행한다.The computers that make up the Internet operate through an operating system. The operating system provides system calls to allow applications to perform operations by using computer resources. That is, when an application calls a system call, the system call invokes a kernel to perform an operation using computer resources such as process creation, memory allocation, and operation.

하지만 한번의 불법 침입에 의한 시스템 콜의 변경으로 이후 침입 때에는 간단히 관리자 권한을 얻을 수 있는 백도어(backdoor)를 통한 해킹 행위가 늘어나면서 그 피해가 증가하고 있는 실정이다. 백도어는 정상적인 인증, 권한 획득 과정이 없이 불법적으로 컴퓨터 시스템의 관리자 권한을 획득할 수 있도록 하는 프로그램이다. 일반적인 백도어는 무결성 검사 방법(예를 들어, btrom, StMichaed LKM)을 통해 쉽게 탐지되어 제거될 수 있다. However, due to the change of the system call caused by one illegal intrusion, the damage is increasing due to the increase of the hacking behavior through the backdoor, which can simply gain administrator authority in the subsequent intrusion. A backdoor is a program that allows an administrator to illegally acquire a computer system without a normal authentication and authorization process. Typical backdoors can be easily detected and eliminated through integrity check methods (eg btrom, StMichaed LKM).

하지만, 최근 확장 커널 모듈(Loadable Kernel Modules)을 이용하여 커널의 기능을 확장하는 운영체제가 등장함에 따라 확장 커널 모듈을 이용한 백도어 설치가 발생하고 있다. 확장 커널 모듈은 커널 상에 등록(로드)되어 커널의 일부로써 작동하는 모듈로써, 전체 커널을 다시 컴파일하지 않고, 커널의 기능을 확장할 수 있다. 이러한 확장 커널 모듈을 이용하여 백도어의 설치하는 해킹 방법이 등장하였고, 이에 따른 백도어는 기존 무결성 검사 방법으로는 탐지가 불가능한 문제가 있다.
However, with the recent emergence of operating systems that extend the functionality of the kernel using Loadable Kernel Modules, backdoor installation using the Extended Kernel Module has occurred. An extended kernel module is a module that is registered (loaded) in the kernel and operates as part of the kernel. The extended kernel module can extend the function of the kernel without recompiling the entire kernel. A hacking method for installing a backdoor has appeared using such an extended kernel module, and the backdoor has a problem that cannot be detected by the existing integrity checking method.

본 발명은 확장 커널 모듈의 로그 정보를 제공하는 백도어 방지 장치 및 방법을 제공하고자 한다.An object of the present invention is to provide an apparatus and method for preventing backdoors that provide log information of an extended kernel module.

또한 본 발명은 확장 커널 모듈의 커널 등록 시 패스워드 인증을 수행하는 백도어 방지 장치 및 방법을 제공하고자 한다.
In addition, the present invention is to provide an apparatus and method for preventing backdoors to perform password authentication when registering a kernel of an extended kernel module.

본 발명의 일 측면에 따르면, 어플리케이션으로부터 수신한 확장 커널 등록 요청에 따라 확장 커널 모듈을 커널에 등록시키는 커널 로딩부; 상기 확장 커널 모듈의 등록에 상응하는 로그 정보를 생성하는 로그 정보 생성부; 상기 로그 정보를 저장하는 저장부를 포함하는 백도어 방지 장치가 제공된다.According to an aspect of the present invention, a kernel loading unit for registering an extension kernel module in the kernel according to an extension kernel registration request received from an application; A log information generator for generating log information corresponding to the registration of the extended kernel module; Provided is a back door prevention device including a storage unit for storing the log information.

백도어 방지 장치는 어플리케이션의 요청에 따라 상기 로그 정보를 추출하여 상기 어플리케이션으로 제공하는 로그 정보 제공부를 더 포함할 수 있다.The apparatus for preventing backdoors may further include a log information providing unit for extracting the log information according to a request of an application and providing the log information to the application.

상기 확장 커널 모듈이 커널에 등록되는 경우, 상기 커널 로딩부는 상기 로그 정보 생성부로 상기 확장 커널 모듈에 대한 로그 정보의 생성을 요청하고,When the extended kernel module is registered in the kernel, the kernel loading unit requests generation of log information about the extended kernel module to the log information generator,

상기 로그 정보 생성부는 상기 커널 로딩부의 로그 정보의 생성 요청에 따라 상기 로그 정보를 생성할 수 있다.
The log information generation unit may generate the log information according to a request for generating log information of the kernel loading unit.

본 발명의 다른 측면에 따르면, 어플리케이션으로부터 입력 패스워드 및 확장 커널 모듈의 등록 요청을 수신하는 커널 로딩부; 설정 패스워드를 저장하는 패스워드 설정부; 상기 입력 패스워드를 상기 설정 패스워드와 비교하는 인증부를 포함하되, 상기 입력 패스워드와 상기 설정 패스워드가 동일할 경우, 상기 커널 로딩부는 상기 확장 커널 모듈을 커널로 등록시키는 것을 특징으로 하는 백도어 방지 장치가 제공된다.According to another aspect of the present invention, a kernel loading unit for receiving an input password and a registration request of an extended kernel module from an application; A password setting unit for storing a setting password; And an authentication unit for comparing the input password with the setting password, and when the input password and the setting password are the same, the kernel loading unit registers the extension kernel module as a kernel. .

상기 패스워드 설정부는 상기 어플리케이션으로부터 패스워드를 수신하는 경우, 상기 수신한 패스워드를 상기 설정 패스워드로 저장할 수 있다.When the password setting unit receives a password from the application, the password setting unit may store the received password as the setting password.

상기 커널 로딩부는 입력 패스워드 및 확장 커널 모듈의 등록 요청을 수신하는 경우, 상기 인증부로 상기 입력 패스워드의 인증을 요청하고, 상기 인증부는 상기 커널 로딩부의 인증 요청에 따라 상기 설정 패스워드와 상기 입력 패스워드를 비교할 수 있다.When the kernel loading unit receives an input password and a registration request of an extended kernel module, the authentication unit requests authentication of the input password to the authentication unit, and the authentication unit compares the set password with the input password according to the authentication request of the kernel loading unit. Can be.

상기 입력 패스워드와 상기 설정 패스워드가 상이한 경우, 커널 로딩부는 상기 어플리케이션으로 에러 메시지를 전송할 수 있다.
When the input password and the configuration password are different, the kernel loading unit may transmit an error message to the application.

본 발명의 또 다른 측면에 따르면, 어플리케이션으로부터 확장 커널 모듈의 등록 요청을 수신하는 단계; 상기 확장 커널 모듈을 커널에 등록시키는 단계; 상기 확장 커널 모듈의 등록에 상응하는 로그 정보를 생성하는 단계; 및 상기 로그 정보를 저장하는 단계를 포함하는 백도어 방지 방법이 제공된다.According to another aspect of the invention, receiving a registration request of an extension kernel module from an application; Registering the extension kernel module with a kernel; Generating log information corresponding to registration of the extended kernel module; And storing the log information.

백도어 방지 방법은 상기 어플리케이션으로부터 상기 로그 정보의 요청을 수신하는 단계; 및 상기 로그 정보를 상기 어플리케이션으로 전송하는 단계를 더 포함할 수 있다.
A method of preventing a back door may include receiving a request for log information from the application; And transmitting the log information to the application.

본 발명의 또 다른 측면에 따르면, 어플리케이션으로부터 입력 패스워드 및 확장 커널 모듈의 등록 요청을 수신하는 단계; 상기 입력 패스워드를 상기 설정 패스워드와 비교하는 단계; 및 상기 입력 패스워드와 상기 설정 패스워드가 동일할 경우, 상기 확장 커널 모듈을 커널로 등록시키는 단계를 포함하는 백도어 방지 방법이 제공된다.According to another aspect of the invention, the step of receiving an input password and registration request of the extended kernel module from the application; Comparing the input password with the set password; And registering the extension kernel module as a kernel when the input password and the configuration password are the same.

백도어 방지 방법은 상기 어플리케이션으로부터 패스워드를 수신하는 단계; 및 상기 패스워드를 상기 설정 패스워드로 설정하는 단계를 더 포함할 수 있다.A method of preventing a back door may include receiving a password from the application; And setting the password as the set password.

백도어 방지 방법은 상기 입력 패스워드와 상기 설정 패스워드가 상이한 경우, 상기 어플리케이션으로 에러 메시지를 전송하는 단계를 더 포함할 수 있다.
The method may further include transmitting an error message to the application when the input password and the setting password are different.

본 발명의 실시예에 의하면, 확장 커널 모듈을 이용한 백도어를 감지할 수 있다.According to an embodiment of the present invention, the back door using the extended kernel module can be detected.

본 발명의 실시예에 의하면, 권한이 없는 불법 침입으로 확장 커널 모듈을 이용한 백도어 설치를 방지할 수 있다.
According to an embodiment of the present invention, it is possible to prevent backdoor installation using an extension kernel module due to unauthorized intrusion.

도 1은 백도어 방지 장치를 간략히 예시한 블록도.
도 2는 다른 실시예에 따른 백도어 방지 장치를 예시한 도면.
도 3은 백도어 방지 장치가 백도어 설치를 판단할 수 있는 로그 정보를 생성하는 과정을 예시한 순서도.
도 4는 백도어 방지 장치가 확장 커널 모듈의 등록 과정에서 패스워드를 이용한 백도어 설치를 방지하는 방법을 나타낸 순서도.1 is a block diagram briefly illustrating a backdoor prevention device.
Figure 2 illustrates a backdoor prevention device according to another embodiment.
3 is a flowchart illustrating a process of generating log information for determining a back door installation by the back door preventing apparatus.
FIG. 4 is a flowchart illustrating a method of preventing a back door installation using a password in a registration process of an extended kernel module by a back door preventing apparatus. FIG.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The present invention may be variously modified and have various embodiments, and specific embodiments will be illustrated in the drawings and described in detail with reference to the accompanying drawings. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.

또한, 본 명세서에서, 일 구성요소가 다른 구성요소로 신호를 "전송한다"로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되어 신호를 전송할 수 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 신호를 전송할 수도 있다고 이해되어야 할 것이다.
Further, in the present specification, when one component is referred to as "transmitting a signal" to another component, the one component may be directly connected to the other component to transmit a signal, but there is a particular opposite description. It is to be understood that unless otherwise, the signal may be transmitted in the intermediary with another component.

도 1은 백도어 방지 장치를 간략히 예시한 블록도이다.1 is a block diagram briefly illustrating a backdoor prevention device.

도 1을 참조하면, 백도어 방지 장치는 어플리케이션(110), 시스템 콜 제공부(120), 커널 제공부(130) 및 로그 정보 저장부(150)를 포함한다.Referring to FIG. 1, the backdoor prevention apparatus includes an application 110, a system call provider 120, a kernel provider 130, and a log information storage unit 150.

어플리케이션(110)은 백도어 방지 장치에서 제공하는 시스템 콜(System Call)을 이용하여 동작 가능한 응용 프로그램이다. 즉, 어플리케이션(110)은 시스템 콜 제공부(120)에서 제공하는 시스템 콜을 호출하여 컴퓨터 시스템의 자원을 이용할 수 있다. 특히 어플리케이션(110)은 시스템 콜 제공부(120)로 확장 커널 모듈(Loadable Kernel Modules)의 커널(kernel)로 등록을 요청할 수 있다. 이 때, 어플리케이션(110)은 사용자가 커맨드 프롬프트(command prompt)를 통해 입력한 시스템 콜을 호출하는 명령어일 수 있다.The application 110 is an application program that can operate using a system call provided by the backdoor prevention device. That is, the application 110 may call a system call provided by the system call provider 120 to use resources of the computer system. In particular, the application 110 may request registration with the system call provider 120 as a kernel of Loadable Kernel Modules. In this case, the application 110 may be a command for calling a system call input by a user through a command prompt.

시스템 콜 제공부(120)는 어플리케이션(110)이 이용할 수 있는 시스템 콜을 제공한다. 시스템 콜은 커널과 어플리케이션(110)을 중계해 주는 인터페이스로써, 어플리케이션(110)은 시스템 콜을 통해서만 커널로 접근할 수 있다. The system call provider 120 provides a system call that can be used by the application 110. The system call is an interface that relays the kernel and the application 110. The application 110 can access the kernel only through the system call.

시스템 콜 제공부(120)는 확장 커널 모듈을 커널에 등록하도록 커널 제공부(130)로 요청(이하 확장 커널 등록 요청이라 지칭)하는 커널 로딩부(123)을 포함한다. 확장 커널 모듈은 커널에 등록되어 커널이 제공하는 기능을 확장할 수 있는 모듈로써, 운영 체제는 확장 커널 모듈을 커널에 등록하여 커널 전체를 다시 컴파일하지 않고 확장 커널 모듈의 기능을 커널로써 제공할 수 있다. 예를 들어, 컴퓨터 시스템에 새로운 디바이스가 추가되어 커널의 추가 기능이 필요할 경우, 커널 로딩부(123)는 추가 기능을 제공하는 확장 커널 모듈을 커널에 등록하는 것을 커널 제공부(130)로 요청할 수 있다. 또한 커널 로딩부(123)은 커널에 등록한 확장 커널 모듈에 대한 로그 정보의 생성을 로그 정보 생성부(126)로 요청한다.The system call provider 120 includes a kernel loading unit 123 that requests the kernel provider 130 to register an extended kernel module in the kernel (hereinafter referred to as an extended kernel registration request). The extended kernel module is a module that can be registered with the kernel and extend the functions provided by the kernel. The operating system can register the extended kernel module with the kernel and provide the functions of the extended kernel module as the kernel without recompiling the entire kernel. have. For example, when a new device is added to a computer system and an additional function of the kernel is required, the kernel loading unit 123 may request the kernel provider 130 to register an extension kernel module providing the additional function to the kernel. have. In addition, the kernel loading unit 123 requests the log information generation unit 126 to generate log information for the extended kernel module registered in the kernel.

로그 정보 생성부(126)은 커널 로딩부(123)에서 커널 제공부(130)로 등록을 요청한 확장 커널 모듈에 대한 로그 정보를 생성하여 로그 정보 저장부(150)에 저장한다. 즉, 로그 정보 생성부(126)은 커널 로딩부(123)가 커널에 등록한 모든 확장 커널 모듈에 대한 로그 정보를 생성하여 로그 정보 저장부(150)에 누적하여 저장할 수 있다. 이 때, 로그 정보는 커널에 등록된 확장 커널 모듈의 이름, 등록된 시각, 확장 커널 모듈의 용량 등을 나타내는 정보를 포함할 수 있다.The log information generator 126 generates log information about the extended kernel module that has requested registration from the kernel loading unit 123 to the kernel provider 130 and stores the log information in the log information storage unit 150. That is, the log information generator 126 may generate log information about all the extended kernel modules registered in the kernel by the kernel loading unit 123 and accumulate and store the log information in the log information storage unit 150. In this case, the log information may include information indicating the name of the extended kernel module registered in the kernel, the registered time, the capacity of the extended kernel module, and the like.

로그 정보 제공부(129)는 어플리케이션(110)의 요청에 따라 로그 정보 저장부(150)에 저장된 로그 정보를 로딩하여 어플리케이션(110)으로 제공한다. 또한 로그 정보 제공부(129)는 어플리케이션(110)의 요청에 따라 로그 정보 저장부(150)에 저장된 로그 정보의 일부 또는 전체를 삭제할 수 있다.The log information providing unit 129 loads log information stored in the log information storage unit 150 and provides it to the application 110 according to a request of the application 110. In addition, the log information providing unit 129 may delete some or all of the log information stored in the log information storage unit 150 at the request of the application 110.

커널 제공부(130)는 커널을 메모리(미도시)에 상주시키고, 시스템 콜 제공부(120)의 시스템 콜에 상응하는 커널이 실행되도록 한다. 또한 커널 제공부(130)는 커널 로딩부(123)의 확장 커널 등록 요청에 따라 해당 확장 커널 모듈을 메모리(미도시)에 상주시켜 커널의 일부로 동작하도록 할 수 있다.The kernel provider 130 resides in the memory (not shown) and allows the kernel corresponding to the system call of the system call provider 120 to be executed. In addition, the kernel provider 130 may operate the extension kernel module in a memory (not shown) to operate as part of the kernel in response to an extension kernel registration request of the kernel loading unit 123.

로그 정보 저장부(150)는 로그 정보 생성부(126)로부터 수신한 로그 정보를 저장한다.The log information storage unit 150 stores log information received from the log information generation unit 126.

상술한 백도어 방지 장치는 등록되는 모든 확장 커널 모듈에 대한 로그 정보를 어플리케이션을 통해 사용자에게 제공하기 때문에, 사용자는 로그 정보를 확인하여 확장 커널 모듈을 이용한 백도어를 찾을 수 있다.
Since the above-described backdoor prevention apparatus provides the user with log information on all registered extended kernel modules through the application, the user can find the backdoor using the extended kernel module by checking the log information.

도 2는 다른 실시예에 따른 백도어 방지 장치를 예시한 도면이다.2 is a diagram illustrating a backdoor prevention apparatus according to another embodiment.

백도어 방지 장치는 어플리케이션(210), 시스템 콜 제공부(220), 커널 제공부(230)를 포함한다.The backdoor prevention device includes an application 210, a system call provider 220, and a kernel provider 230.

어플리케이션(210)은 백도어 방지 장치에서 제공하는 시스템 콜을 이용하여 동작 가능한 응용 프로그램이다. 즉, 어플리케이션(210)은 시스템 콜 제공부(220)에서 제공하는 시스템 콜을 호출하여 컴퓨터 시스템의 자원을 이용할 수 있다. 특히, 어플리케이션(110)은 시스템 콜 제공부(120)로 확장 커널 모듈(Loadable Kernel Modules)을 커널(kernel)에 등록하는 것을 요청할 수 있다. 이 때, 어플리케이션(210)은 시스템 콜 제공부에 포함된 커널 로딩부(223)을 호출할 때, 패스워드를 함께 커널 로딩부(223)로 전송한다. 어플리케이션(210)은 사용자가 커맨드 프롬프트(command prompt)를 통해 입력한 시스템 콜을 호출하는 명령어일 수 있다.The application 210 is an application program that can be operated using a system call provided by the backdoor prevention device. That is, the application 210 may call a system call provided by the system call provider 220 to use resources of the computer system. In particular, the application 110 may request the system call provider 120 to register Loadable Kernel Modules with a kernel. At this time, when the application 210 calls the kernel loading unit 223 included in the system call provider, the application 210 transmits the password to the kernel loading unit 223 as well. The application 210 may be a command for calling a system call input by a user through a command prompt.

시스템 콜 제공부(220)는 어플리케이션(210)이 이용할 수 있는 시스템 콜을 제공한다. 시스템 콜은 커널과 어플리케이션(210)을 중계해 주는 인터페이스로써, 어플리케이션(210)은 시스템 콜을 통해서만 커널로 접근할 수 있다. The system call provider 220 provides a system call that can be used by the application 210. The system call is an interface that relays the kernel and the application 210. The application 210 can access the kernel only through the system call.

시스템 콜 제공부(220)는 확장 커널 모듈을 커널에 등록하도록 커널 제공부(130)로 요청하는 커널 로딩부(223)을 포함한다. 확장 커널 모듈은 커널에 등록되어 커널의 기능을 확장할 수 있는 모듈로써, 운영 체제는 확장 커널 모듈을 커널에 등록하여 커널 전체를 다시 컴파일하지 않고 확장 커널 모듈의 기능을 커널로써 제공할 수 있다. 예를 들어, 컴퓨터 시스템에 새로운 디바이스가 추가되어 커널의 추가 기능이 필요할 경우, 커널 로딩부(223)는 추가 기능을 제공하는 확장 커널 모듈에 대한 확장 커널 등록 요청을 커널 제공부(230)로 전송 할 수 있다. 이 때, 커널 로딩부(223)는 커널 제공부(230)로 확장 커널 등록 요청을 전송하기 이전에 인증부(226)로 패스워드 전송하여 인증을 요청한다.The system call provider 220 includes a kernel loading unit 223 that requests the kernel provider 130 to register an extension kernel module with the kernel. The extended kernel module is a module that can be registered in the kernel and extend the kernel's functions. The operating system can register the extended kernel module with the kernel and provide the extended kernel module's functions as a kernel without recompiling the entire kernel. For example, when a new device is added to a computer system and an additional function of the kernel is required, the kernel loading unit 223 transmits an extension kernel registration request for the extended kernel module providing the additional function to the kernel provider 230. can do. At this time, the kernel loading unit 223 requests the authentication by transmitting a password to the authenticator 226 before transmitting the extended kernel registration request to the kernel provider 230.

인증부(226)은 수신한 패스워드가 미리 지정된 패스워드와 동일한지 확인하고, 패스워드의 동일 여부를 나타내는 리턴값을 커널 로딩부(123)로 전송한다.The authentication unit 226 checks whether the received password is the same as a predetermined password, and transmits a return value indicating whether the password is the same to the kernel loading unit 123.

인증부(226)로부터 수신한 리턴값이 패스워드가 동일함을 나타내는 값(예를 들어, 1)일 경우, 커널 로딩부(123)은 어플리케이션(110)이 요청한 확장 커널 모듈을 커널 제공부(130)로 전송하여 커널로 등록되도록 한다. 인증부(226)로부터 수신한 리턴값이 패스워드와 상이함을 나타내는 값(예를 들어, 0)일 경우, 커널 로딩부(123)은 어플리케이션(110)으로 확장 커널 모듈을 등록할 수 없음을 나타내는 에러 메시지를 전송한다.If the return value received from the authentication unit 226 is a value indicating that the password is the same (for example, 1), the kernel loading unit 123 may provide the kernel providing unit 130 with the extended kernel module requested by the application 110. To register with the kernel. If the return value received from the authentication unit 226 is a value indicating a difference from the password (for example, 0), the kernel loading unit 123 indicates that the extended kernel module cannot be registered with the application 110. Send an error message.

또한 시스템 콜 제공부(220)는 패스워드를 설정하는 시스템 콜인 패스워드 설정부(226)을 포함할 수 있으며, 사용자는 어플리케이션(210)은 패스워드 설정부(226)로 패스워드의 설정을 요청할 수 있다. 패스워드 설정부(226)는 어플리케이션(210)로부터 패스워드로 사용될 문자열을 입력 받아 저장하여, 추후 인증부(226)의 패스워드 요청에 따라 저장된 문자열을 인증부(226)로 전송할 수 있다. In addition, the system call provider 220 may include a system call-in password setting unit 226 for setting a password, and the user may request the application 210 to set a password to the password setting unit 226. The password setting unit 226 may receive and store a string to be used as a password from the application 210 and transmit the stored string to the authenticator 226 according to a password request of the authenticator 226 later.

또한 패스워드 설정부(229)은 패스워드가 이미 설정되어 있는 경우, 어플리케이션(110)으로부터 인증을 위해 입력된 패스워드(이하 입력 패스워드라 지칭)와 새로이 설정할 패스워드를 입력 받을 수 있다. 패스워드 설정부(229)는 입력 패스워드와 현재 패스워드 설정부(229)에 설정되어 있는 패스워드(이하 설정 패스워드라 지칭)를 비교하여 동일한 경우, 새로이 설정할 패스워드를 설정 패스워드로 변경하여 저장할 수 있다.
In addition, when a password is already set, the password setting unit 229 may receive a password (hereinafter referred to as an input password) input for authentication and a newly set password from the application 110. The password setting unit 229 may compare the input password with the password currently set in the password setting unit 229 (hereinafter, referred to as a setting password), and may change and store the newly set password as the setting password if it is the same.

상술한 올바른 패스워드를 전송하여 시스템 콜을 요청하는 경우에만 확장 커널 모듈의 등록을 수행하는 백도어 방지 장치는 침입자가 관리자 권한을 갖고 해킹을 위한 확장 커널 모듈의 등록을 요청하더라도, 백도어 방지 장치는 패스워드의 입력 없이는 확장 커널 모듈을 등록할 수 없도록 하여 백도어 설치를 불가하도록 할 수 있다.
The backdoor prevention device that performs registration of the extended kernel module only when requesting a system call by transmitting the correct password as described above, even if an attacker has the administrator's authority and requests the registration of the extended kernel module for hacking, the backdoor prevention device does not recognize the password. You can disable the backdoor installation by not registering the extension kernel module without input.

도 3은 백도어 방지 장치가 백도어 설치를 판단할 수 있는 로그 정보를 생성하는 과정을 예시한 순서도이다.3 is a flowchart illustrating a process of generating log information for determining a back door installation by the apparatus for preventing a back door.

도 3을 참조하면, 단계 310에서 백도어 방지 장치는 어플리케이션(110)이 요청하는 확장 커널 모듈의 등록을 위해 커널 로딩부를 호출한다.Referring to FIG. 3, in operation 310, the backdoor prevention apparatus calls a kernel loading unit to register an extended kernel module requested by the application 110.

단계 320에서 백도어 방지 장치는 확장 커널 모듈을 커널에 등록한다. 커널에 등록된 확장 커널 모듈은 이후 커널의 일부로 기능을 수행할 수 있다.In operation 320, the backdoor prevention apparatus registers the extension kernel module with the kernel. Extended kernel modules registered in the kernel can then function as part of the kernel.

단계 330에서 백도어 방지 장치는 등록된 확장 커널 모듈에 대한 로그 정보를 생성한다. 이 때, 로그 정보는 커널에 등록된 확장 커널 모듈의 이름, 등록된 시각, 확장 커널 모듈의 용량 등을 나타내는 정보를 포함할 수 있다.In operation 330, the backdoor prevention apparatus generates log information on the registered extended kernel module. In this case, the log information may include information indicating the name of the extended kernel module registered in the kernel, the registered time, the capacity of the extended kernel module, and the like.

단계 340에서 백도어 방지 장치는 단계 330에서 생성된 로그 정보를 로그 정보 저장부(150)에 저장한다.In operation 340, the backdoor prevention apparatus stores the log information generated in operation 330 in the log information storage unit 150.

단계 350에서 백도어 방지 장치는 어플리케이션(110)으로부터 로그 정보를 요청 받는다. 이 때, 어플리케이션(110)은 사용자로부터 로그 정보를 요청하는 명령을 입력 받는 경우, 백도어 방지 장치로 로그 정보를 요청할 수 있다.In operation 350, the backdoor prevention apparatus receives log information from the application 110. In this case, when the application 110 receives a command for requesting log information from the user, the application 110 may request log information from the backdoor prevention device.

단계 360에서 백도어 방지 장치는 단계 350의 요청에 따라 로그 정보 저장부(150)에서 로그 정보를 추출한다.In operation 360, the backdoor prevention apparatus extracts log information from the log information storage unit 150 according to the request of operation 350.

단계 370에서 백도어 방지 장치는 단계 360에서 추출한 로그 정보를 어플리케이션(110)으로 전송한다.
In operation 370, the backdoor prevention apparatus transmits the log information extracted in operation 360 to the application 110.

도 4는 백도어 방지 장치가 확장 커널 모듈의 등록 과정에서 패스워드를 이용한 백도어 설치를 방지하는 방법을 나타낸 순서도이다.4 is a flowchart illustrating a method of preventing a backdoor installation using a password in a registration process of an extended kernel module by a backdoor prevention apparatus.

도 4를 참조하면, 단계 410에서 백도어 방지 장치는 어플리케이션(210)으로부터 커널 로딩부 호출 및 패스워드를 수신한다.Referring to FIG. 4, in step 410, the backdoor prevention apparatus receives a kernel loading unit call and a password from the application 210.

단계 420에서 백도어 방지 장치는 단계 310에서 수신한 패스워드가 백도어 방지 장치에 미리 설정된 패스워드와 동일한지 확인한다. 이 때, 백도어 방지 장치에는 패스워드가 미리 설정될 수 있다. 즉, 백도어 방지 장치는 패스워드를 설정하는 시스템 콜을 구비할 수 있으며, 사용자는 어플리케이션(210)을 통해 해당 시스템 콜의 호출하여 패스워드를 설정할 수 있다. 예를 들어, 패스워드를 설정하는 시스템 콜인 패스워드 설정부는 패스워드로 사용될 문자열을 입력 받아 저장하여, 추후 인증부(226)의 패스워드 요청에 따라 저장된 문자열을 인증부(226)로 전송할 수 있다. In operation 420, the backdoor prevention apparatus checks whether the password received in operation 310 is the same as the password preset in the backdoor prevention apparatus. At this time, the password may be preset in the backdoor prevention device. That is, the backdoor prevention device may include a system call for setting a password, and the user may set a password by calling the system call through the application 210. For example, the system call-in password setting unit for setting a password may receive and store a string to be used as a password and transmit the stored string to the authenticator 226 according to a password request of the authenticator 226 later.

제1 인자를 통해 입력 받은 패스워드가 기설정된 패스워드와 상이한 경우, 단계 430에서 백도어 방지 장치는 패스워드가 올바르지 않다는 에러 메시지를 어플리케이션(210)으로 전송한다.If the password inputted through the first factor is different from the preset password, the backdoor prevention device transmits an error message indicating that the password is not correct to the application 210 in step 430.

제1 인자를 통해 입력 받은 패스워드가 기설정된 패스워드와 동일한 경우, 단계 440에서 백도어 방지 장치는 확장 커널 모듈을 커널에 등록한다.
If the password inputted through the first parameter is the same as the preset password, the backdoor prevention device registers the extension kernel module in the kernel at step 440.

이제까지 본 발명에 대하여 그 실시 예를 중심으로 살펴보았다. 전술한 실시 예 외의 많은 실시 예들이 본 발명의 특허청구범위 내에 존재한다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the embodiment for the present invention. Many embodiments other than the above-described embodiments are within the claims of the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. The disclosed embodiments should, therefore, be considered in an illustrative rather than a restrictive sense. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

Claims (12)

어플리케이션으로부터 수신한 확장 커널 등록 요청에 따라 확장 커널 모듈을 커널에 등록시키는 커널 로딩부;
상기 확장 커널 모듈의 등록에 상응하는 로그 정보를 생성하는 로그 정보 생성부;
상기 로그 정보를 저장하는 저장부를 포함하는 백도어 방지 장치.
A kernel loading unit that registers an extension kernel module with a kernel according to an extension kernel registration request received from an application;
A log information generator for generating log information corresponding to the registration of the extended kernel module;
Back door prevention device comprising a storage unit for storing the log information.
제1 항에 있어서,
어플리케이션의 요청에 따라 상기 로그 정보를 추출하여 상기 어플리케이션으로 제공하는 로그 정보 제공부를 더 포함하는 백도어 방지 장치.
The method according to claim 1,
And a log information providing unit extracting the log information according to a request of an application and providing the log information to the application.
제1 항에 있어서,
상기 확장 커널 모듈이 커널에 등록되는 경우, 상기 커널 로딩부는 상기 로그 정보 생성부로 상기 확장 커널 모듈에 대한 로그 정보의 생성을 요청하고,
상기 로그 정보 생성부는 상기 커널 로딩부의 로그 정보의 생성 요청에 따라 상기 로그 정보를 생성하는 것을 특징으로 하는 백도어 방지 장치.
The method according to claim 1,
When the extended kernel module is registered in the kernel, the kernel loading unit requests generation of log information about the extended kernel module to the log information generator,
And the log information generator generates the log information according to a request for generating log information of the kernel loading unit.
어플리케이션으로부터 입력 패스워드 및 확장 커널 모듈의 등록 요청을 수신하는 커널 로딩부;
설정 패스워드를 저장하는 패스워드 설정부;
상기 입력 패스워드를 상기 설정 패스워드와 비교하는 인증부를 포함하되,
상기 입력 패스워드와 상기 설정 패스워드가 동일할 경우, 상기 커널 로딩부는 상기 확장 커널 모듈을 커널로 등록시키는 것을 특징으로 하는 백도어 방지 장치.
A kernel loading unit which receives an input password and a registration request of an extended kernel module from an application;
A password setting unit for storing a setting password;
An authentication unit for comparing the input password with the set password,
And if the input password and the configuration password are the same, the kernel loading unit registers the extension kernel module as a kernel.
제4 항에 있어서,
상기 패스워드 설정부는 상기 어플리케이션으로부터 패스워드를 수신하는 경우,
상기 수신한 패스워드를 상기 설정 패스워드로 저장하는 것을 특징으로 하는 백도어 방지 장치.
The method of claim 4, wherein
When the password setting unit receives a password from the application,
And storing the received password as the set password.
제4 항에 있어서,
상기 커널 로딩부는 입력 패스워드 및 확장 커널 모듈의 등록 요청을 수신하는 경우, 상기 인증부로 상기 입력 패스워드의 인증을 요청하고,
상기 인증부는 상기 커널 로딩부의 인증 요청에 따라 상기 설정 패스워드와 상기 입력 패스워드를 비교하는 것을 특징으로 하는 백도어 방지 장치.
The method of claim 4, wherein
When the kernel loading unit receives an input password and a registration request of an extended kernel module, the kernel loading unit requests authentication of the input password from the authentication unit.
And the authentication unit compares the set password and the input password according to an authentication request of the kernel loading unit.
제4 항에 있어서,
상기 입력 패스워드와 상기 설정 패스워드가 상이한 경우, 커널 로딩부는 상기 어플리케이션으로 에러 메시지를 전송하는 것을 특징으로 하는 백도어 방지 장치.
The method of claim 4, wherein
And the kernel loading unit transmits an error message to the application when the input password and the setting password are different.
어플리케이션으로부터 확장 커널 모듈의 등록 요청을 수신하는 단계;
상기 확장 커널 모듈을 커널에 등록시키는 단계;
상기 확장 커널 모듈의 등록에 상응하는 로그 정보를 생성하는 단계; 및
상기 로그 정보를 저장하는 단계를 포함하는 백도어 방지 방법.
Receiving a registration request of an extension kernel module from an application;
Registering the extension kernel module with a kernel;
Generating log information corresponding to registration of the extended kernel module; And
And storing the log information.
제8 항에 있어서,
상기 어플리케이션으로부터 상기 로그 정보의 요청을 수신하는 단계; 및
상기 로그 정보를 상기 어플리케이션으로 전송하는 단계를 더 포함하는 백도어 방지 방법.
The method of claim 8,
Receiving a request for log information from the application; And
And transmitting the log information to the application.
어플리케이션으로부터 입력 패스워드 및 확장 커널 모듈의 등록 요청을 수신하는 단계;
상기 입력 패스워드를 상기 설정 패스워드와 비교하는 단계; 및
상기 입력 패스워드와 상기 설정 패스워드가 동일할 경우, 상기 확장 커널 모듈을 커널로 등록시키는 단계를 포함하는 백도어 방지 방법.
Receiving an input password and a registration request of an extended kernel module from an application;
Comparing the input password with the set password; And
Registering the extended kernel module as a kernel when the input password and the configuration password are the same.
제10 항에 있어서,
상기 어플리케이션으로부터 패스워드를 수신하는 단계; 및
상기 패스워드를 상기 설정 패스워드로 설정하는 단계를 더 포함하는 백도어 방지 방법.
The method of claim 10,
Receiving a password from the application; And
And setting the password as the set password.
제10 항에 있어서,
상기 입력 패스워드와 상기 설정 패스워드가 상이한 경우, 상기 어플리케이션으로 에러 메시지를 전송하는 단계를 더 포함하는 백도어 방지 방법.
The method of claim 10,
And transmitting an error message to the application when the input password and the setting password are different.
KR1020100038697A 2010-04-26 2010-04-26 Apparatus and method for preventing backdoor KR20110119159A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100038697A KR20110119159A (en) 2010-04-26 2010-04-26 Apparatus and method for preventing backdoor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100038697A KR20110119159A (en) 2010-04-26 2010-04-26 Apparatus and method for preventing backdoor

Publications (1)

Publication Number Publication Date
KR20110119159A true KR20110119159A (en) 2011-11-02

Family

ID=45390788

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100038697A KR20110119159A (en) 2010-04-26 2010-04-26 Apparatus and method for preventing backdoor

Country Status (1)

Country Link
KR (1) KR20110119159A (en)

Similar Documents

Publication Publication Date Title
US11514159B2 (en) Method and system for preventing and detecting security threats
Jia et al. ContexloT: Towards providing contextual integrity to appified IoT platforms.
EP1349033A1 (en) A method of protecting the integrity of a computer program
JP2012008732A (en) Installation control device and program
US11658996B2 (en) Historic data breach detection
Classen et al. Evil never sleeps: When wireless malware stays on after turning off iphones
Sohr et al. Software security aspects of Java-based mobile phones
Jeong et al. SafeGuard: a behavior based real-time malware detection scheme for mobile multimedia applications in android platform
Wu et al. The mobile agent security enhanced by trusted computing technology
US11611570B2 (en) Attack signature generation
KR20110119159A (en) Apparatus and method for preventing backdoor
Moran Security for mobile ATE applications
US11582248B2 (en) Data breach protection
Khurshid et al. TEE-watchdog: mitigating unauthorized activities within trusted execution environments in ARM-based low-power IoT devices
Song et al. Android Data-Clone Attack via Operating System Customization
CN117473542A (en) Service data access method, device, equipment and storage medium
Mancini et al. Ephemeral classification of mobile terminals
GB2569553A (en) Historic data breach detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application