KR20220096155A - a method and apparatus for detecting and stopping a PC running malware attacking a file server - Google Patents

a method and apparatus for detecting and stopping a PC running malware attacking a file server Download PDF

Info

Publication number
KR20220096155A
KR20220096155A KR1020200188361A KR20200188361A KR20220096155A KR 20220096155 A KR20220096155 A KR 20220096155A KR 1020200188361 A KR1020200188361 A KR 1020200188361A KR 20200188361 A KR20200188361 A KR 20200188361A KR 20220096155 A KR20220096155 A KR 20220096155A
Authority
KR
South Korea
Prior art keywords
file server
file
server
stopping
management unit
Prior art date
Application number
KR1020200188361A
Other languages
Korean (ko)
Inventor
우종현
홍민의
김효동
황인욱
최유선
양영모
이성진
김신애
이하은
신세윤
김응표
신영일
임연택
Original Assignee
(주)나무소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)나무소프트 filed Critical (주)나무소프트
Priority to KR1020200188361A priority Critical patent/KR20220096155A/en
Publication of KR20220096155A publication Critical patent/KR20220096155A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/122File system administration, e.g. details of archiving or snapshots using management policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to a method and apparatus for stopping a client PC connected to a file server when it is determined that a request for data from the connected client PC or server exceeds a pre-set value or is an abnormal pattern in a state that the file server storing important data provides a network drive to the PC or server.

Description

파일서버를 공격하는 멀웨어가 구동중인 PC를 감지하고 중단 시키는 방법 및 장치{a method and apparatus for detecting and stopping a PC running malware attacking a file server}{a method and apparatus for detecting and stopping a PC running malware attacking a file server}

본 발명은 파일서버내 데이터 보호 방법 및 장치에 관한 것으로서, 보다 구체적으로는 파일 서버 내에서 발생하는 파일 요청 이벤트를 파일서버 정책관리부가 획득하여 해당 이벤트가 공격으로 판단되는 경우 해당 파일 요청을 발생한 PC나 서버를 중단시키는 파일서버 내 데이터 파일을 보호하는 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for protecting data in a file server, and more particularly, when a file server policy management unit acquires a file request event occurring in a file server and determines that the event is an attack, the PC that generates the file request It relates to a method and device for protecting data files in a file server that stops the server.

데이터를 암호화하는 랜섬웨어 공격이나 데이터 외부로 유출하는 피싱 공격은 통상 사용자 실수를 유도하여 PC에서 구동하고, 일단 구동되면 가장 큰 피해를 줄 수 있는 PC와 연결된 네트워크 스토리지(네트워크 드라이브)를 먼저 찾아서 보관중인 데이터를 암호화하거나 데이터를 외부 네트워크로 전송한다.A ransomware attack that encrypts data or a phishing attack that leaks data to the outside usually induces user error and runs it on the PC. Encrypt data in transit or transmit data to an external network.

그러나 종래 데이터를 암호화하는 랜섬웨어 공격이나 데이터 탈취하는 피싱공격을 예방하는 기술 동향은 PC내에 설치되어 이상 동작을 감지하는 엔드포인트 프로텍션 기술이나 네트워크에 이상한 데이터 패킷을 감지하는 네트워크 프로텍션이 주류를 이루어 왔다. 하지만 이런 기술은 모든 디스크 및 네트워크 입출력을 감지해야 하기 때문에 감사 자원이 크게 발생하고, 정확도도 떨어지며, 특히 모든 데이터를 모아서 보관하고 있는 파일서버내 네트워크 드라이브 공격에 대한 전문적인 보호수단이 아닌 범용적인 방식으로 파일서버내 데이터를 보호하려 하기 때문에 보안 효과상 한계가 있다.However, in the past, the trend of technology to prevent ransomware attacks that encrypt data or phishing attacks that steal data has mainly been the endpoint protection technology that is installed in the PC and detects abnormal behavior or the network protection that detects abnormal data packets in the network. . However, since this technology has to detect all disk and network I/O, audit resources are generated and the accuracy is low. There is a limit to the security effect because it tries to protect the data in the file server.

본 발명에서는 중요 데이터를 보관하고 있는 파일서버가 PC나 서버에 네트워크 드라이브를 제공한 상태에서, 연결된 클라이언트 PC나 서버에서 들어오는 데이터 요청이 사전에 설정된 값을 초과하거나 이상 패턴으로 판단되는 경우 파일서버와 연결된 클라이언트 PC 및 서버를 중단 시키는 방법 및 장치를 개발하고자 한다.In the present invention, when the file server storing important data provides a network drive to the PC or server, and the data request coming from the connected client PC or server exceeds a preset value or is determined to be an abnormal pattern, the file server and We want to develop a method and device for stopping the connected client PC and server.

본 발명의 일 측면에 따르면, 연결된 클라이언트 PC의 네트워크 드라이브를 통해서 들어오는 데이터 요청을 대응하는 파일서버로부터 파일서버 정책부가 파일 요청 이벤트를 실시간 획득하여 사전에 설정된 값을 초과하거나 사전에 설정한 이상 패턴으로 판단되는 경우 파일서버와 연결된 클라이언트 PC 및 서버를 중단시키는 명령을 내리는 방법 및 장치가 제공된다. According to one aspect of the present invention, the file server policy unit acquires a file request event from a file server corresponding to a data request coming through a network drive of a connected client PC in real time to exceed a preset value or to a preset abnormal pattern. Provided are a method and an apparatus for issuing a command to stop a client PC and a server connected to a file server when it is determined.

일 실시예에서, 파일서버정책관리부에서 파일서버로부터 파일이벤트를 획득하는데 있어서 파일서버내 사용자 ID에 대응되어 연결된 PC나 서버를 중단하는 기능이 포함될 수 있다.In one embodiment, when the file server policy management unit acquires a file event from the file server, a function of stopping a connected PC or server corresponding to a user ID in the file server may be included.

일 실시예에서, 파일서버 정책관리부에서 공격을 받는 것으로 의심되는 경우 해당 PC나 서버에 '즉시 Shutdown' 명령을 전송하여 해당 호스트의 작동을 지체없이 중단시키는 명령을 보낼 수 있다.In one embodiment, when it is suspected that the file server policy management unit is being attacked, it may send a command to stop the operation of the host without delay by sending an 'immediate shutdown' command to the corresponding PC or server.

일 실시예에서, 관리자에게 어떤 PC나 서버에서 공격이 이루어졌는지를 이메일이나 문자, 푸시메시지 등으로 통보하는 기능이 포함될 수 있다.In one embodiment, a function may be included to notify the administrator of which PC or server the attack was made by e-mail, text message, push message, or the like.

일 실시예에서, 파일서버 정책관리부에서 파일서버 사용자 ID별로 별도의 관리정책을 설정하여 공격여부를 판단하는 기능이 포함될 수 있다.In one embodiment, the file server policy management unit may include a function of determining whether to attack by setting a separate management policy for each file server user ID.

일 실시예에서, 파일서버 정책관리부에서 인공지능 기술을 이용하여 평소 사용하던 방식과 다른 방식으로 사용하게 될때 사용자에게 통보를 보내고 해당 통보에 대응하지 않을시 자동으로 해당 PC를 중단시키는 방법이 제공될 수 있다.In one embodiment, a method of sending a notification to the user when the file server policy management unit uses artificial intelligence technology in a method different from the usual method and automatically stopping the PC when it does not respond to the notification will be provided. can

본 발명의 실시 예에 따른 파일서버를 공격하는 멀웨어 구동 PC를 중단시키는 방법에 의하면, 멀웨어가 PC나 서버에서 구동하여 연결된 네트워크 드라이브 내 데이터를 암호화하거나 읽어 외부로 탈취하려할 때 네트워크내에서 파일서버를 공격하는 PC나 서버가 누구인지를 확인할 수 있을 뿐만 아니라 판단 즉시 해당 PC를 중단시킴으로서 동일 네트워크내 사이버 공격 피해를 최소화할 수 있는 효과가 있다. 또한 PC나 서버내 파일이벤트를 모니터링하기 위하여 사용되는 자원이 필요 없어서 해당 단말기가 느려지는 것을 막을 수 있다.According to the method of stopping the malware-driven PC that attacks the file server according to the embodiment of the present invention, when the malware runs on the PC or server and encrypts or reads data in the connected network drive to take over the file server in the network It is possible not only to check who the PC or server is attacking, but also to stop the PC as soon as it is judged, thereby minimizing the damage of cyber attacks within the same network. In addition, since there is no need for resources used to monitor file events in the PC or server, it is possible to prevent the terminal from slowing down.

도 1 은 연결된 클라이언트 PC나 서버에서 들어오는 파일 요청이 사전에 설정된 값을 초과하거나 이상 패턴으로 판단되는 경우 파일서버와 연결된 클라이언트 PC 또는 서버를 중단 시키는 방법 및 장치를 설명하기 위한 참조 도면들.1 is a reference diagram for explaining a method and apparatus for stopping a client PC or server connected to a file server when an incoming file request from a connected client PC or server exceeds a preset value or is determined to be an abnormal pattern.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Since the present invention can apply various transformations and can have various embodiments, specific embodiments are illustrated in the drawings and described in detail in the detailed description. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In describing the present invention, if it is determined that a detailed description of a related known technology may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. In addition, numbers (eg, first, second, etc.) used in the description process of the present specification are merely identification symbols for distinguishing one component from other components.

또한, 명세서 전체에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다. 또한, 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하나 이상의 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 조합으로 구현될 수 있음을 의미한다.Also, throughout the specification, when an element is referred to as “connected” or “connected” with another element, the one element may be directly connected or directly connected to the other element, but in particular It should be understood that, unless there is a description to the contrary, it may be connected or connected through another element in the middle. In addition, throughout the specification, when a part "includes" a certain component, it means that other components may be further included, rather than excluding other components, unless otherwise stated. In addition, terms such as "unit" and "module" described in the specification mean a unit that processes at least one function or operation, which means that it can be implemented as one or more hardware or software or a combination of hardware and software .

이하, 첨부된 도면들을 참조하여 본 발명의 실시 예에 따른 파일 서버 내에서 발생하는 파일 이벤트를 파일정책관리부에서 획득하여 파일서버에 연결된 어떤 PC나 서버에서 공격이 진행중인지 판단하여 해당 PC나 서버를 중단 시키는 방법 및 장치에 관하여 설명한다. Hereinafter, with reference to the accompanying drawings, the file policy management unit acquires a file event occurring in the file server according to an embodiment of the present invention, determines which PC or server connected to the file server is attacking, and selects the corresponding PC or server. Describes the method and device for stopping.

도 1은 PC나 서버에서 파일서버와 연결된 네트워크 드라이브를 이용하여 파일을 요청하는 흐름과 파일서버내 파일서버 어플리케이션부 및 파일서버 정책관리부를 함께 도시한 흐름을 표시한 것이다. 1 shows a flow of requesting a file using a network drive connected to a file server from a PC or server, and a flow showing a file server application unit and a file server policy management unit in the file server.

PC나 서버가 네트워크 파일서버 어플리케이션과 연결되어 파일을 주고 받게 되는데 파일요청이 파일서버 어플리케이션부에 들어올 때 마다 파일요청 이벤트(생성, 읽기, 수정, 삭제 등)가 발생하는데 이를 파일서버 정책관리부로 실시간 전송하거나 열람할 수 있도록 API를 제공한다.A PC or server is connected to the network file server application and exchanges files. Whenever a file request enters the file server application unit, a file request event (creation, reading, modification, deletion, etc.) occurs in real time to the file server policy management unit. Provides API for sending or viewing.

파일서버의 종류와 형식에 따라서 어떤 파일서버는 외부로 파일서버의 이벤트를 송출해 주는 API가 있을 수 있고, 어떤 파일서버는 파일이벤트를 DB나 파일에 저장할 수 도 있고, 어떤 파일서버는 외부에서 파일 요청 이벤트를 전혀 접근할 수 없도록 구동 될 수 있다.Depending on the type and format of the file server, some file servers may have APIs that transmit file server events to the outside, some file servers may store file events in DB or files, and some file servers may have external file servers. File request events can be driven to be inaccessible at all.

파일서버가 파일요청 이벤트를 로그 형태로 DB나 로그파일에 쌓는 경우 파일서버 정책관리부는 해당 이벤트 값을 DB나 로그파일에서 파일 요청 이벤트를 획득할 수 있고, 파일요청 이벤트를 접근하도록 허락하지 않는 파일서버의 경우 파일서버 내 스토리지의 이벤트를 감지하는 방식으로 이벤트를 추출할 수 있음도 자명하다. 파일 서버내 파일 이벤트를 감지하는 방식으로는 Callback file system 또는 FUSE(Filesystem in Usermode)와 같은 종래 기술을 이용할 수 있음도 자명하다. If the file server accumulates file request events in the DB or log files in the form of logs, the file server policy management unit can acquire the file request events from the DB or log files with the corresponding event values, and files that do not allow access to the file request events. In the case of a server, it is also self-evident that events can be extracted by detecting events in the storage in the file server. It is also apparent that a conventional technique such as a callback file system or FUSE (Filesystem in Usermode) can be used as a method of detecting a file event in the file server.

파일서버 정책관리부는 파일에 대한 이벤트를 감지하여 해당 파일 요청 이벤트 빈도가 사전에 파일정책관리부에서 설정한 횟수를 초과하는 경우 해당 PC나 서버에서 공격이 진행되고 있는 것으로 판단한다. 예를들어 동일 폴더내 열람, 수정, 삭제 이벤트가 연속적으로 100회 이상 발생하면 랜섬웨어 공격으로 판단할 수 있고, 파일 또는 폴더 열람 이벤트가 연속적으로 1000회 이상 발생하면 데이터 유출로 판단할 수 있음은 자명하다. 또한 파일서버내 사용자 ID별로 별도의 정책을 설정하여 사용자 ID별 파일서버내 이벤트 설정값을 다르게 설정 할 수 있음도 자명하다. The file server policy management unit detects an event for a file, and if the frequency of the file request event exceeds the number of times previously set by the file policy management unit, it is determined that an attack is in progress on the PC or server. For example, it can be judged as a ransomware attack when viewing, editing, and deletion events within the same folder occur consecutively more than 100 times, and can be judged as data leakage if file or folder viewing events occur more than 1,000 times consecutively. self-evident It is also self-evident that by setting a separate policy for each user ID in the file server, the event setting value in the file server for each user ID can be set differently.

파일서버 정책관리부의 판단기준을 구성하는데 있어서 인공지능을 이용하여 해당 파일 요청이벤트를 사전에 빈도를 중심으로 설정하는 방식이 아닌 학습된 방식으로 판단할 수 있음도 자명하다.It is also self-evident that, in constructing the judgment criteria of the file server policy management unit, artificial intelligence can be used to determine the file request event in a learned manner rather than a method in which the frequency is set in advance.

파일서버 정책관리부는 파일요청 이벤트가 사전에 설정하거나 학습된 공격으로 판단되는 경우 연결된 사용자 ID와 대응된 PC에 컴퓨터 종료 명령을 직접 전송할 수 있다. (연결 구성에 따라서 컴퓨터 종료명령은 파일서버를 경유하여 종료할 수 있음)The file server policy management unit may directly transmit a computer shutdown command to the PC corresponding to the connected user ID when the file request event is determined to be a pre-set or learned attack. (Depending on the connection configuration, the computer shutdown command can be terminated via the file server)

이를 위해서 사전에 연결된 호스트(PC 또는 서버)에 에이전트를 설치할 수도 있고, 원격 호스트 접속 명령 스크립트를 이용하여 해당 호스트에 터미널로 연결하여 'Shutdown' 명령을 전송할 수 있음도 자명하다.To this end, it is also self-evident that the agent can be installed on the host (PC or server) connected in advance, and the 'Shutdown' command can be transmitted by connecting to the terminal to the host using the remote host access command script.

컴퓨터를 종료하는 명령에 대해서 지체없이 종료하는 옵션을 함께 전송할 수 있음도 자명하다. It is also self-evident that an option to shut down the computer without delay can be transmitted along with the command to shut down the computer.

또한 구성에 따라서 파일서버정책관리부가 호스트에 중단명령을 내리기 전에 사전에 등록된 관리자에게 경고를 통지할 수 있는 방법이 추가 될 수 있음도 자명하다.Also, it is self-evident that, depending on the configuration, a method of notifying a warning to the previously registered administrator before the file server policy management unit gives a stop command to the host may be added.

이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.Although described above with reference to the embodiments of the present invention, those of ordinary skill in the art can variously modify the present invention within the scope not departing from the spirit and scope of the present invention described in the claims below. and can be changed.

Claims (1)

파일서버 정책관리부에서 파일서버내 파일이벤트를 획득하여 읽기, 쓰기, 수정, 삭제 이벤트가 사전에 설정한 값을 넘어가거나, 이상 동작 이벤트로 감지되는 경우 파일서버에 연결된 호스트를 중지시키는 명령을 전송하는 관리부를 포함하는, 파일서버를 공격하는 멀웨어가 구동중인 PC를 감지하고 중단시키는 장치.The file server policy management unit acquires a file event within the file server and sends a command to stop the host connected to the file server when the read, write, modify, or delete event exceeds a preset value or is detected as an abnormal operation event. A device that detects and stops a PC running malware that attacks a file server, including a management unit.
KR1020200188361A 2020-12-30 2020-12-30 a method and apparatus for detecting and stopping a PC running malware attacking a file server KR20220096155A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200188361A KR20220096155A (en) 2020-12-30 2020-12-30 a method and apparatus for detecting and stopping a PC running malware attacking a file server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200188361A KR20220096155A (en) 2020-12-30 2020-12-30 a method and apparatus for detecting and stopping a PC running malware attacking a file server

Publications (1)

Publication Number Publication Date
KR20220096155A true KR20220096155A (en) 2022-07-07

Family

ID=82398963

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200188361A KR20220096155A (en) 2020-12-30 2020-12-30 a method and apparatus for detecting and stopping a PC running malware attacking a file server

Country Status (1)

Country Link
KR (1) KR20220096155A (en)

Similar Documents

Publication Publication Date Title
AU2018204262B2 (en) Automated code lockdown to reduce attack surface for software
US7483993B2 (en) Temporal access control for computer virus prevention
US8272059B2 (en) System and method for identification and blocking of malicious code for web browser script engines
US7975302B2 (en) System for real-time detection of computer system files intrusion
KR101380908B1 (en) Hacker Virus Security Aggregation Management Apparatus
WO2011027496A1 (en) Unauthorized process detection method and unauthorized process detection system
US11374964B1 (en) Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints
JP2003233521A (en) File protection system
WO2018164503A1 (en) Context awareness-based ransomware detection
WO2021046811A1 (en) Attack behavior determination method and apparatus, and computer storage medium
JP7123488B2 (en) File access monitoring method, program and system
US20060015939A1 (en) Method and system to protect a file system from viral infections
US7565690B2 (en) Intrusion detection
WO2021217449A1 (en) Malicious intrusion detection method, apparatus, and system, computing device, medium, and program
KR101614809B1 (en) Practice control system of endpoint application program and method for control the same
US11895155B2 (en) Resilient self-detection of malicious exfiltration of sensitive data
JP6442649B1 (en) File access monitoring method, program, and system
CN105791221B (en) Rule issuing method and device
KR101047382B1 (en) Method and system for preventing file takeover using malicious code and recording medium
KR20220096155A (en) a method and apparatus for detecting and stopping a PC running malware attacking a file server
US20220253528A1 (en) System and method of fileless malware detection and non-transitory computer readable medium
KR20240002326A (en) Data protection method and device for a file server
JP2005228177A (en) Security management system, security management method, and program
US20240106856A1 (en) Real-Time Anomaly Detection and Rapid Mitigation in a Hybrid Cloud Environment
Yang et al. Analysis of Computer Network Security and Prevention Technology