KR20230099499A - Apparatus for blockchain based endpoint detection and response - Google Patents

Apparatus for blockchain based endpoint detection and response Download PDF

Info

Publication number
KR20230099499A
KR20230099499A KR1020210188914A KR20210188914A KR20230099499A KR 20230099499 A KR20230099499 A KR 20230099499A KR 1020210188914 A KR1020210188914 A KR 1020210188914A KR 20210188914 A KR20210188914 A KR 20210188914A KR 20230099499 A KR20230099499 A KR 20230099499A
Authority
KR
South Korea
Prior art keywords
file
blockchain
virtual
container
block
Prior art date
Application number
KR1020210188914A
Other languages
Korean (ko)
Other versions
KR102670498B1 (en
Inventor
금동하
이성기
Original Assignee
(주)하몬소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)하몬소프트 filed Critical (주)하몬소프트
Priority to KR1020210188914A priority Critical patent/KR102670498B1/en
Publication of KR20230099499A publication Critical patent/KR20230099499A/en
Application granted granted Critical
Publication of KR102670498B1 publication Critical patent/KR102670498B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

블록체인 기반의 엔드포인트 위협탐지 및 대응 장치는 각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너를 관리하는 가상 블록체인 컨테이너 관리부, 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 파일블록 구성부, 상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 블록체인 관리부를 포함한다.A blockchain-based endpoint threat detection and response device is a virtual blockchain container management unit that manages at least one virtual blockchain container composed of logically distributed blockchain storage, and at least a file finger created based on file metadata. It includes a file block configuration unit that configures file blocks by printing, and a blockchain management unit that stores the file blocks in a distributed manner in the at least one virtual blockchain container.

Description

블록체인 기반의 엔드포인트 위협탐지 및 대응 장치{APPARATUS FOR BLOCKCHAIN BASED ENDPOINT DETECTION AND RESPONSE}Blockchain-based endpoint threat detection and response device {APPARATUS FOR BLOCKCHAIN BASED ENDPOINT DETECTION AND RESPONSE}

본 발명은 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치에 관한 것으로, 보다 상세하게는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하고 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치에 관한 것이다.The present invention relates to a blockchain-based endpoint threat detection and countermeasure device, and more particularly, to construct a file block with a file fingerprint generated based on at least file metadata, and to construct a file block in at least one virtual blockchain container. It is about a blockchain-based endpoint threat detection and response device that stores

EDR(Endpoint Detection & Response)은 기업과 기관의 엔드포인트를 대상으로 알려진 위협부터 알려지지 않은 위협의 의심 행위까지, 엔드포인트 보안 위협방어-탐지-대응-예측 4단계의 순환 프로세스를 구현하여 빈틈없는 엔드포인트 보안 체계를 구축한다.EDR (Endpoint Detection & Response) implements a 4-step cycle process of endpoint security threat defense-detection-response-prediction, ranging from known threats to suspicious behavior of unknown threats targeting corporate and institutional endpoints. Establish a point security system.

EDR은 새로운 보안전략으로 출현하였는데, 가장 큰 이유는 시그니처 기반 보안 솔루션의 한계를 극복하기 위해 엔드포인트를 대상으로 각종 위협을 지속적으로 탐지 및 모니터링하고 실효적으로 대응할 수 있기 때문이다.EDR emerged as a new security strategy, and the biggest reason is that it can continuously detect and monitor various threats targeting endpoints and effectively respond to them in order to overcome the limitations of signature-based security solutions.

한국등록특허 제10-2311997호는 인공지능 행위분석 기반의 EDR (Endpoint Detection and Response) 기술에 관한 것으로, 인공지능 행위분석 기반의 EDR 장치는 추적대상파일에 관한 파일 메타데이터를 기초로 기존의 파일 메타데이터가 변경되었는지 여부를 검출하는 파일 변경 검출부, 상기 변경이 검출된 경우에는 파일 메타데이터 모집단을 통해 형성된 제1 학습 네트워크를 통해 상기 추적대상파일에서 예상되는 행위가 알려진 위협을 발생시키는지를 결정하는 알려진 이상행위 결정부 및 상기 변경이 검출된 경우에는 SYSCALL 그래프 모집단을 통해 형성된 제2 학습 네트워크를 통해 상기 추적대상파일에서 예상되는 행위가 알려지지 않은 위협을 발생시킬 가능성을 결정하는 알려지지 않은 이상행위 검출부를 포함한다.Korean Patent Registration No. 10-2311997 relates to EDR (Endpoint Detection and Response) technology based on artificial intelligence behavior analysis. A file change detection unit that detects whether metadata is changed, and if the change is detected, determines whether an expected behavior in the target file to be tracked generates a known threat through a first learning network formed through a file metadata population A known abnormal behavior determining unit and, when the change is detected, an unknown abnormal behavior detecting unit that determines the possibility that an expected behavior in the tracking target file generates an unknown threat through a second learning network formed through the SYSCALL graph population. include

한국등록특허 제10-2311997호(2021.12.14)Korean Patent Registration No. 10-2311997 (2021.12.14)

본 발명의 일 실시예는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하고 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치를 제공하고자 한다.An embodiment of the present invention is a blockchain-based endpoint threat detection and response that configures a file block with a file fingerprint generated based on at least file metadata and stores the file block in a distributed manner in at least one virtual blockchain container. We want to provide you with a device.

본 발명의 일 실시예는 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 기초로 해시코드를 생성하고 해시코드의 대칭적 암호화 압축을 통해 상기 파일 핑거프린트를 생성하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치를 제공하고자 한다.An embodiment of the present invention is a blockchain-based endpoint threat that generates a hash code based on a file name and a file timestamp constituting file metadata and generates the file fingerprint through symmetric cryptographic compression of the hash code. We want to provide detection and response devices.

본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치는 각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너를 관리하는 가상 블록체인 컨테이너 관리부, 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 파일블록 구성부, 상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 블록체인 관리부를 포함한다.A blockchain-based endpoint threat detection and response device according to an embodiment of the present invention includes a virtual blockchain container management unit that manages at least one virtual blockchain container composed of logically distributed blockchain storage, at least a file meta It includes a file block configuration unit that configures a file block with a file fingerprint generated based on data, and a blockchain management unit that stores the file block in a distributed manner in the at least one virtual blockchain container.

상기 가상 블록체인 컨테이너 관리부는 상기 적어도 하나의 가상 블록체인 컨테이너 각각을 물리적 저장소와 무관하게 상호 연결하도록 구성하되 상기 파일 핑거프린트의 시계열 변경에 따라 분기하도록 구성할 수 있다. The virtual blockchain container management unit may configure each of the at least one virtual blockchain container to be interconnected regardless of physical storage, but may be configured to branch according to a time series change of the file fingerprint.

상기 파일블록 구성부는 상기 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 기초로 해시코드를 생성하고 상기 해시코드의 대칭적 암호화 압축을 통해 상기 파일 핑거프린트를 생성할 수 있다. 상기 파일블록 구성부는 상기 적어도 하나의 가상 블록체인 컨테이너 중 해당 가상 블록체인 컨테이너의 식별코드를 상기 대칭적 암호화 압축을 위한 암호키로 생성하는 것을 생성할 수 있다. 상기 파일블록 구성부는 상기 파일블록에 상기 파일 핑거프린트 및 시스템호출 그래프를 포함시키고 상기 시스템호출 그래프는 해당 파일의 실행 과정에서 호출되는 시스템호출 함수의 패턴으로 구성되어 상기 해당 파일의 변경에 따른 위험성 정도를 검출하기 위해 사용될 수 있다.The file block constructing unit may generate a hash code based on a file name and a file timestamp constituting the file metadata and generate the file fingerprint through symmetric cryptographic compression of the hash code. The file block configuration unit may generate an identification code of a corresponding virtual blockchain container among the at least one virtual blockchain container as an encryption key for the symmetric encryption compression. The file block configuration unit includes the file fingerprint and system call graph in the file block, and the system call graph is composed of a pattern of a system call function called in the process of executing the corresponding file, so that the degree of risk according to the change of the corresponding file can be used to detect

개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.The disclosed technology may have the following effects. However, it does not mean that a specific embodiment must include all of the following effects or only the following effects, so it should not be understood that the scope of rights of the disclosed technology is limited thereby.

본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하고 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장할 수 있다.Blockchain-based endpoint threat detection and response device according to an embodiment of the present invention configures a file block with a file fingerprint generated based on at least file metadata and distributes the file block to at least one virtual blockchain container you can save it

본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치는 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 기초로 해시코드를 생성하고 해시코드의 대칭적 암호화 압축을 통해 상기 파일 핑거프린트를 생성할 수 있다.An apparatus for detecting and responding to endpoint threats based on a blockchain according to an embodiment of the present invention generates a hash code based on a file name and a file timestamp constituting file metadata and performs symmetric cryptographic compression of the hash code. A file fingerprint can be created.

도 1은 본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 위협탐지 및 대응 시스템을 도시한 도면이다.
도 2는 도 1에 있는 프론트-엔드 서버 및 분석 서버의 구성을 설명하는 도면이다.
도 3은 도 1에 있는 프론트-엔드 서버의 기능적 구성을 설명하는 도면이다.
도 4는 도 1에 있는 프론트-엔드 서버의 기능 구성을 설명하는 흐름도이다.1 is a diagram illustrating a blockchain-based endpoint threat detection and response system according to an embodiment of the present invention.
FIG. 2 is a diagram explaining the configuration of a front-end server and an analysis server in FIG. 1 .
FIG. 3 is a diagram explaining the functional configuration of the front-end server in FIG. 1;
4 is a flowchart illustrating the functional configuration of the front-end server in FIG. 1;

본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.Since the description of the present invention is only an embodiment for structural or functional description, the scope of the present invention should not be construed as being limited by the embodiments described in the text. That is, since the embodiment can be changed in various ways and can have various forms, it should be understood that the scope of the present invention includes equivalents capable of realizing the technical idea. In addition, since the object or effect presented in the present invention does not mean that a specific embodiment should include all of them or only such effects, the scope of the present invention should not be construed as being limited thereto.

한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.Meanwhile, the meaning of terms described in this application should be understood as follows.

"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.Terms such as "first" and "second" are used to distinguish one component from another, and the scope of rights should not be limited by these terms. For example, a first element may be termed a second element, and similarly, a second element may be termed a first element.

어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.It should be understood that when an element is referred to as being “connected” to another element, it may be directly connected to the other element, but other elements may exist in the middle. On the other hand, when an element is referred to as being "directly connected" to another element, it should be understood that no intervening elements exist. Meanwhile, other expressions describing the relationship between components, such as “between” and “immediately between” or “adjacent to” and “directly adjacent to” should be interpreted similarly.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Expressions in the singular number should be understood to include plural expressions unless the context clearly dictates otherwise, and terms such as “comprise” or “having” refer to an embodied feature, number, step, operation, component, part, or these. It should be understood that it is intended to indicate that a combination exists, and does not preclude the possibility of the presence or addition of one or more other features, numbers, steps, operations, components, parts, or combinations thereof.

각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In each step, the identification code (eg, a, b, c, etc.) is used for convenience of explanation, and the identification code does not describe the order of each step, and each step clearly follows a specific order in context. Unless otherwise specified, it may occur in a different order than specified. That is, each step may occur in the same order as specified, may be performed substantially simultaneously, or may be performed in the reverse order.

여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.All terms used herein have the same meaning as commonly understood by one of ordinary skill in the art to which the present invention belongs, unless defined otherwise. Terms defined in commonly used dictionaries should be interpreted as consistent with meanings in the context of the related art, and cannot be interpreted as having ideal or excessively formal meanings unless explicitly defined in the present application.

도 1은 본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 위협탐지 및 대응 시스템을 도시한 도면이다. 1 is a diagram illustrating a blockchain-based endpoint threat detection and response system according to an embodiment of the present invention.

도 1을 참조하면, 블록체인 기반의 엔드포인트 위협탐지 및 대응 시스템(100)은 사용자 단말(110) 및 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치(120)를 포함하고, 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치(120)는 프론트-엔드 서버(122), 가상 블록체인 컨테이너 저장 서버(124), 분석 서버(126) 및 SIEM (Security Information & Event Management) 서버(128)를 포함할 수 있다.Referring to FIG. 1, a blockchain-based endpoint threat detection and response system 100 includes a user terminal 110 and a blockchain-based endpoint threat detection and response device 120, and a blockchain-based endpoint threat detection and response device 120. The point threat detection and response device 120 may include a front-end server 122, a virtual blockchain container storage server 124, an analysis server 126, and a Security Information & Event Management (SIEM) server 128. there is.

사용자 단말(110)은 엔드포인트(이하, 단순하게 노드로도 표현함)로 구축되고 상호 간에 데이터를 송수신하는 컴퓨팅 장치로 구현될 수 있다. 일 실시예에서, 사용자 단말(110)은 사용자 PC (Personal Computer)에 해당할 수 있고, UIA (User Identity Authenticator)를 통한 사용자 신원 인증을 수행하여 사용자 식별 및 인증을 처리할 수 있고, FME (File Metadata Extractor)를 통한 파일 메타데이터 추출을 수행하여 파일의 변경을 추적할 수 있다. 여기에서, UIA 및 FME는 사용자 단말(110)에 설치된 소프트웨어로 구현될 수 있고, UIA는 사용자 지문인식을 통해 처리될 수 있으며 FME는 사용자 파일의 메타데이터를 통해 처리될 수 있다.The user terminal 110 may be implemented as a computing device that is constructed as an endpoint (hereinafter, simply expressed as a node) and transmits and receives data between them. In one embodiment, the user terminal 110 may correspond to a user PC (Personal Computer), perform user identity authentication through User Identity Authenticator (UIA) to process user identification and authentication, and FME (File File You can track changes to files by extracting file metadata through Metadata Extractor. Here, UIA and FME may be implemented as software installed in the user terminal 110, UIA may be processed through user fingerprint recognition, and FME may be processed through metadata of user files.

사용자 단말(110)은 프론트-엔드 서버(122) 및 분석 서버(126)을 통한 분석의 결과로서 온라인 및 오프라인 시큐리티 정책을 수신할 수 있고, 시큐리티 정책에 따라 엔드포인트의 시큐리티 레벨을 주기적으로 갱신할 수 있다. 여기에서, 시큐리티 정책은 네트워크 연결 가능할 때의 온라인 정책과 네트워크 연결 불가능할 때의 오프라인 정책으로 구분되고 예를 들어, 특정 리소스의 사용자별 접근 제한 및 특정 노드에 대한 접근 제한을 포함할 수 있다. 특정 리소스는 사용자 단말(110)의 물리적 또는 논리적 객체에 해당할 수 있고, 예를 들어, 물리적 객체는 프린터 장치를 포함할 수 있고, 논리적 객체는 컴퓨터 파일을 포함할 수 있다. 특정 노드는 인터넷으로 연결된 물리적 또는 논리적 객체에 해당할 수 있고, 예를 들어, 물리적 객체는 다른 사용자 단말 또는 서버를 포함할 수 있고, 논리적 객체는 다른 사용자 단말 또는 서버의 특정 리소스를 포함할 수 있다.The user terminal 110 may receive online and offline security policies as a result of analysis through the front-end server 122 and the analysis server 126, and periodically update the security level of the endpoint according to the security policy. can Here, the security policy is divided into an online policy when network connectivity is possible and an offline policy when network connectivity is unavailable, and may include, for example, limiting user-specific access to a specific resource and limiting access to a specific node. A specific resource may correspond to a physical or logical object of the user terminal 110. For example, the physical object may include a printer device and the logical object may include a computer file. A specific node may correspond to a physical or logical object connected to the Internet. For example, a physical object may include another user terminal or server, and a logical object may include a specific resource of another user terminal or server. .

일 실시예에서, 사용자 단말(110)은 스마트폰, 노트북 또는 휴대용 컴퓨터로 구현될 수 있으며, 반드시 이에 한정되지 않고, 웨어러블 등 다양한 디바이스로도 구현될 수 있다. 사용자 단말(110)은 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치(130)와 네트워크를 통해 연결될 수 있으며, 네트워크 노드는 전용 프로그램 또는 어플리케이션을 설치하여 실행할 수 있다.In one embodiment, the user terminal 110 may be implemented as a smart phone, a notebook computer, or a portable computer, but is not necessarily limited thereto, and may also be implemented as a variety of devices such as wearable devices. The user terminal 110 may be connected to the blockchain-based endpoint threat detection and response device 130 through a network, and the network node may install and execute a dedicated program or application.

블록체인 기반의 엔드포인트 위협탐지 및 대응 장치(120)는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하고 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장할 수 있다. 여기에서, 파일 핑거프린트는 파일 메타데이터에 관한 고유 식별코드로서, 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 입력받는 해시함수를 포함하여 구성할 수 있다.The blockchain-based endpoint threat detection and response device 120 may configure a file block with a file fingerprint generated on the basis of at least file metadata, and store the file block in at least one virtual blockchain container in a distributed manner. Here, the file fingerprint is a unique identification code for file metadata, and may include a hash function that receives a file name and a file timestamp constituting the file metadata.

블록체인 기반의 엔드포인트 위협탐지 및 대응 장치(130)는 사용자 단말(110)과 유선 네트워크 또는 블루투스, WiFi 등과 같은 무선 네트워크로 연결될 수 있고, 네트워크를 통해 사용자 단말(110)과 데이터를 송수신할 수 있다.The blockchain-based endpoint threat detection and response device 130 may be connected to the user terminal 110 through a wired network or a wireless network such as Bluetooth or WiFi, and may transmit/receive data with the user terminal 110 through the network. there is.

보다 구체적으로, 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치(120)는 프론트-엔드 서버(122), 가상 블록체인 컨테이너 저장 서버(124), 분석 서버(126) 및 SIEM (Security Information & Event Management) 서버(128)를 포함할 수 있다.More specifically, the blockchain-based endpoint threat detection and response device 120 includes a front-end server 122, a virtual blockchain container storage server 124, an analysis server 126, and SIEM (Security Information & Event Management) ) server 128.

프론트-엔드 서버(122)는 사용자 단말(110)의 UIA를 통한 지문인식으로 사용자 식별코드를 수신할 수 있다. 프론트-엔드 서버(122)는 사용자 식별코드를 통해 사용자 단말(110)에 대한 추적 사용자 세션을 생성하고, 사용자별 리소스 사용 과정을 추적할 수 있다. 프론트-엔드 서버(122)는 파일 메타데이터의 수신을 통해 파일 핑거프린트를 생성하여 사용자 단말(110)에 대한 파일 변경을 추적할 수 있다. 즉, 프론트-엔드 서버(122)는 사용자 지문인식을 통한 생체 인증 및 사용자 파일 메타데이터 인식을 통한 파일 인증을 수행할 수 있다.The front-end server 122 may receive a user identification code through fingerprint recognition through the UIA of the user terminal 110 . The front-end server 122 may create a tracking user session for the user terminal 110 through the user identification code and track the resource use process for each user. The front-end server 122 may generate a file fingerprint through reception of file metadata to track a file change for the user terminal 110 . That is, the front-end server 122 may perform biometric authentication through user fingerprint recognition and file authentication through user file metadata recognition.

프론트-엔드 서버(122)는 적어도 하나의 가상 블록체인 컨테이너 각각을 물리적 저장소와 무관하게 상호 연결하도록 구성하되 파일 핑거프린트의 시계열 변경에 따라 분기하도록 구성할 수 있다.The front-end server 122 may be configured to interconnect each of the at least one virtual blockchain container regardless of physical storage, but may be configured to branch according to a time-series change of the file fingerprint.

프론트-엔드 서버(122)는 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 기초로 해시코드를 생성하고 해시코드의 대칭적 암호화 압축을 통해 파일 핑거프린트를 생성할 수 있다. 보다 구체적으로, 프론트-엔드 서버(122)는 적어도 하나의 가상 블록체인 컨테이너 중 해당 가상 블록체인 컨테이너의 식별코드를 대칭적 암호화 압축을 위한 암호키로 생성할 수 있다. 프론트-엔드 서버(122)는 파일블록에 파일 핑거프린트 및 시스템호출 그래프를 포함시키고 시스템호출 그래프는 해당 파일의 실행 과정에서 호출되는 시스템호출 함수의 패턴으로 구성되어 해당 파일의 변경에 따른 위험성 정도를 검출하기 위해 사용될 수 있다.The front-end server 122 may generate a hash code based on the file name and file timestamp constituting the file metadata and generate a file fingerprint through symmetric encryption compression of the hash code. More specifically, the front-end server 122 may generate an identification code of a corresponding virtual blockchain container among at least one virtual blockchain container as an encryption key for symmetric encryption compression. The front-end server 122 includes a file fingerprint and a system call graph in a file block, and the system call graph is composed of a pattern of a system call function called during the execution of the corresponding file to determine the degree of risk according to the change of the corresponding file. can be used to detect

가상 블록체인 컨테이너 저장 서버(124)는 프론트-엔드 서버(122)와 네트워크로 연결되어 적어도 하나의 가상 블록체인 컨테이너를 저장하고, 일 실시예에서, 분산 데이터베이스를 통해 구현될 수 있다. 여기에서, 적어도 하나의 가상 블록체인 컨테이너 각각은 논리적으로 분산된 블록체인 저장소로 구성될 수 있다, 즉, 적어도 하나의 가상 블록체인 컨테이너 각각은 물리적으로 동일한 저장소에 저장된다 하더라도 논리적으로 별개의 단위(예를 들어, 파일)로 구성될 수 있다.The virtual blockchain container storage server 124 is networked with the front-end server 122 to store at least one virtual blockchain container, and in one embodiment, may be implemented through a distributed database. Here, each of the at least one virtual blockchain container may be configured as a logically distributed blockchain storage, that is, each of the at least one virtual blockchain container is a logically separate unit even if it is physically stored in the same storage ( For example, files).

분석 서버(126)는 프론트-엔드 서버(122)로부터 사용자 단말(110)(즉, 엔드포인트)의 가시성을 제공받을 수 있다. 여기에서, 가시성은 생체 인증 및 파일 인증을 통한 사용자 단말별 사용자별 리소스 사용 현황을 나타내는 것으로서, 프론트-엔드 서버(122)에 의해 관리되는 모든 디바이스 각각의 사용자별 리소스 사용 현황을 포함할 수 있다. The analysis server 126 may receive visibility of the user terminal 110 (ie endpoint) from the front-end server 122 . Here, the visibility indicates resource usage status by user of each user terminal through biometric authentication and file authentication, and may include resource usage status by user of all devices managed by the front-end server 122 .

분석 서버(126)는 엔드포인트의 가시성을 분석하여 사용자 단말별 사용자별 시큐리티 정책을 생성하고, 프론트-엔드 서버(122)에게 사용자 단말별 사용자별 시큐리티 정책을 제공하며 사용자 단말(110)에게 해당 시큐리티 정책을 제공할 수 있다. 즉, 분석 서버(126)는 프론트-엔드 서버(122)에 의해 관리되는 모든 디바이스 각각의 사용자별 시큐리티 정책을 제공할 수 있고, 사용자 단말(110)에 의해 관리되는 적어도 일부의 리소스의 사용자별 시큐리티 정책을 제공할 수 있다.The analysis server 126 analyzes the visibility of the endpoint to generate a security policy for each user of each user terminal, provides the front-end server 122 with a security policy for each user of each user terminal, and provides the corresponding security policy to the user terminal 110. policy can be provided. That is, the analysis server 126 may provide security policies for each user of all devices managed by the front-end server 122, and security policies for each user of at least some resources managed by the user terminal 110. policy can be provided.

분석 서버(126)는 파일 인증의 과정에서 추적대상파일에 관한 파일 메타데이터를 기초로 기존의 파일 메타데이터가 변경되었는지 여부를 검출하고 변경이 검출된 경우에는 파일 메타데이터 모집단을 통해 형성된 제1 학습 네트워크를 통해 추적대상파일에서 예상되는 행위가 알려진 위협을 발생시키는지를 결정하며 변경이 검출된 경우에는 시스템호출 그래프 모집단을 통해 형성된 제2 학습 네트워크를 통해 추적대상파일에서 예상되는 행위가 알려지지 않은 위협을 발생시킬 가능성을 결정한다. 여기에서, 제1 및 제2 학습 네트워크는 인공지능 기반의 신경망으로 구성될 수 있다. 일 실시예에서, 분석 서버(126)는 제1 학습 네트워크로서 지도 학습 기반의 신경망으로 구성되어 알려진 행위를 검출하는데 사용될 수 있고, 제2 학습 네트워크로서 비지도 학습 기반의 신경망으로 구성되어 특이 패턴의 알려지지 않은 행위를 검출하는데 사용될 수 있다.The analysis server 126 detects whether the existing file metadata has been changed based on the file metadata about the tracking target file in the process of file authentication, and if the change is detected, the first learning formed through the file metadata population Through the network, it is determined whether the expected behavior in the target file to be tracked causes a known threat. determine the likelihood of occurrence. Here, the first and second learning networks may be composed of artificial intelligence-based neural networks. In one embodiment, the analysis server 126 is composed of a supervised learning-based neural network as a first learning network and can be used to detect a known action, and is composed of an unsupervised learning-based neural network as a second learning network to detect a specific pattern. It can be used to detect unknown behavior.

분석 서버(126)는 주어진 데이터에 관해 비-파일 데이터와 파일 데이터를 구분하고 파일 데이터로 구분된 경우에는 파일 데이터가 실행 파일에 해당하는지 여부를 기초로 추적대상파일을 결정할 수 있다.The analysis server 126 may classify non-file data and file data with respect to given data, and determine a tracking target file based on whether the file data corresponds to an executable file when classified as file data.

분석 서버(126)는 SIEM(Security Information and Event Management)을 통해 비-파일 데이터에 관한 침해지표(IOC, Indicator Of Compromise)를 결정하고 특정 리소스 또는 특정 사용자에 관한 시큐리티 정책을 설정할 수 있다. 보다 구체적으로, 분석 서버(126)는 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 제1 학습 네트워크에 입력하여 알려진 위협의 정도를 수신하고, 알려진 위협의 정도가 특정 기준 이상인 경우에는 추적대상파일을 변경의 이전으로 자동 복구할 수 있다.The analysis server 126 may determine an indicator of compromise (IOC) for non-file data through Security Information and Event Management (SIEM) and set a security policy for a specific resource or specific user. More specifically, the analysis server 126 inputs the file name and file timestamp constituting the file metadata to the first learning network to receive the level of known threats, and if the level of known threats is greater than or equal to a specific standard, the tracking target Files can be automatically restored to a pre-change state.

분석 서버(126)는 추적대상파일의 시뮬레이션 분석을 통해 시스템호출 그래프를 추출하고 시스템호출 그래프를 제2 학습 네트워크에 입력하여 알려지지 않은 위협의 정도를 수신하며, 알려지지 않은 위협의 정도가 특정 기준 이상인 경우에는 추적대상파일을 상기 변경의 이전으로 자동 복구할 수 있다.The analysis server 126 extracts the system call graph through simulation analysis of the tracking target file, inputs the system call graph to the second learning network, receives the level of the unknown threat, and when the level of the unknown threat exceeds a specific standard In this case, the tracking target file can be automatically restored to the previous state of the change.

SIEM 서버(128)는 분석 서버(126)와 네트워크로 연결되어 사용자 단말별 사용자별 시큐리티 정책을 저장하고 분석 서버(126)의 분석에 따라 특정 시큐리티 정책을 갱신할 수 있다. 일 실시예에서, SIEM 서버(128)는 비-파일 데이터에 관한 침해지표(IOC, Indicator Of Compromise)를 결정하고 특정 리소스 또는 특정 사용자에 관한 시큐리티 정책을 설정할 수 있다. 다른 일 실시예에서, SIEM 서버(128)는 실행 파일 또는 비-실행 파일과 같은 파일 데이터에 관한 사용자 단말별 사용자별 접근 정책을 결정하고 특정 파일 데이터에 관한 시큐리티 정책을 설정할 수 있다.The SIEM server 128 may be connected to the analysis server 126 through a network, store security policies for each user terminal, and update a specific security policy according to analysis by the analysis server 126 . In one embodiment, the SIEM server 128 may determine an Indicator Of Compromise (IOC) for non-file data and set a security policy for a specific resource or specific user. In another embodiment, the SIEM server 128 may determine an access policy for each user terminal for file data, such as an executable file or a non-executable file, and set a security policy for specific file data.

도 2는 도 1에 있는 프론트-엔드 서버 및 분석 서버의 구성을 설명하는 도면이다.FIG. 2 is a diagram explaining the configuration of a front-end server and an analysis server in FIG. 1 .

도 2를 참조하면, 프론트-엔드 서버(122) 및 분석 서버(126) 각각은 프로세서(210), 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)를 포함할 수 있다.Referring to FIG. 2 , each of the front-end server 122 and the analysis server 126 may include a processor 210, a memory 230, a user input/output unit 250, and a network input/output unit 270.

프로세서(210)는 본 발명의 실시예에 따른 블록체인 기반의 엔드포인트 위협탐지 및 대응 프로시저를 실행할 수 있고, 이러한 과정에서 읽혀지거나 작성되는 메모리(230)를 관리할 수 있으며, 메모리(230)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄 할 수 있다. 프로세서(210)는 프론트-엔드 서버(122) 및 분석 서버(126) 각각의 동작 전반을 제어할 수 있고, 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(210)는 모바일 앱 광고의 광고정보 공유 장치(130)의 CPU(Central Processing Unit)로 구현될 수 있다.The processor 210 may execute a blockchain-based endpoint threat detection and response procedure according to an embodiment of the present invention, and manage the memory 230 read or written in this process, and the memory 230 You can schedule the synchronization time between volatile memory and non-volatile memory in . The processor 210 may control overall operations of the front-end server 122 and the analysis server 126, and is electrically connected to the memory 230, the user input/output unit 250, and the network input/output unit 270. and control the flow of data between them. The processor 210 may be implemented as a central processing unit (CPU) of the advertisement information sharing device 130 for mobile app advertisements.

메모리(230)는 SSD(Solid State Disk) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 프론트-엔드 서버(122) 및 분석 서버(126) 각각에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다. 또한, 메모리(230)는 전기적으로 연결된 프로세서(210)에 의해 실행됨으로써 본 발명에 따른 학습 데이터베이스 구축 방법을 실행하는 명령들의 집합을 저장할 수 있다.The memory 230 is implemented as a non-volatile memory such as a solid state disk (SSD) or a hard disk drive (HDD) and is used to store all data required for the front-end server 122 and the analysis server 126, respectively. It may include a memory device, and may include a main memory device implemented as a volatile memory such as RAM (Random Access Memory). In addition, the memory 230 may store a set of instructions for executing the learning database construction method according to the present invention by being executed by the electrically connected processor 210 .

사용자 입출력부(250)은 사용자 입력을 수신하기 위한 환경 및 사용자에게 특정 정보를 출력하기 위한 환경을 포함하고, 예를 들어, 터치 패드, 터치 스크린, 화상 키보드 또는 포인팅 장치와 같은 어댑터를 포함하는 입력장치 및 모니터 또는 터치 스크린과 같은 어댑터를 포함하는 출력장치를 포함할 수 있다. 일 실시예에서, 사용자 입출력부(250)은 원격 접속을 통해 접속되는 컴퓨팅 장치에 해당할 수 있고, 그러한 경우, 모바일 앱 광고의 광고정보 공유 장치(130)는 독립적인 서버로서 수행될 수 있다.The user input/output unit 250 includes an environment for receiving a user input and an environment for outputting specific information to the user, and includes an adapter such as a touch pad, a touch screen, an on-screen keyboard, or a pointing device. It may include devices and output devices including adapters such as monitors or touch screens. In one embodiment, the user input/output unit 250 may correspond to a computing device connected through a remote connection, and in such a case, the advertisement information sharing device 130 of a mobile app advertisement may be performed as an independent server.

네트워크 입출력부(270)은 네트워크를 통해 정보인프라(110)과 연결되기 위한 통신 환경을 제공하고, 예를 들어, LAN(Local Area Network), MAN(Metropolitan Area Network), WAN(Wide Area Network) 및 VAN(Value Added Network) 등의 통신을 위한 어댑터를 포함할 수 있다. 또한, 네트워크 입출력부(270)는 학습 데이터의 무선 전송을 위해 WiFi, 블루투스 등의 근거리 통신 기능이나 4G 이상의 무선 통신 기능을 제공하도록 구현될 수 있다.The network input/output unit 270 provides a communication environment to be connected to the information infrastructure 110 through a network, and includes, for example, a local area network (LAN), a metropolitan area network (MAN), a wide area network (WAN) and An adapter for communication such as a Value Added Network (VAN) may be included. In addition, the network input/output unit 270 may be implemented to provide a short-range communication function such as WiFi or Bluetooth or a 4G or higher wireless communication function for wireless transmission of learning data.

도 3은 도 1에 있는 프론트-엔드 서버의 기능적 구성을 설명하는 도면이다.FIG. 3 is a diagram explaining the functional configuration of the front-end server in FIG. 1;

도 3을 참조하면, 프론트-엔드 서버(122)는 가상 블록체인 컨테이너 관리부(310), 파일블록 구성부(320), 블록체인 관리부(330) 및 제어부(340)를 포함할 수 있다.Referring to FIG. 3 , the front-end server 122 may include a virtual blockchain container management unit 310, a file block configuration unit 320, a blockchain management unit 330, and a control unit 340.

가상 블록체인 컨테이너 관리부(310)는 가상 블록체인 컨테이너 저장 서버(124)와 연결되어 적어도 하나의 가상 블록체인 컨테이너를 관리한다. 적어도 하나의 가상 블록체인 컨테이너 각각은 가상 블록체인 컨테이너 저장 서버(124)에 저장되고 논리적으로 분산된 블록체인 저장소로 구성될 수 있다. The virtual blockchain container management unit 310 is connected to the virtual blockchain container storage server 124 and manages at least one virtual blockchain container. Each of the at least one virtual blockchain container may be stored in the virtual blockchain container storage server 124 and configured as logically distributed blockchain storage.

일 실시예에서, 가상 블록체인 컨테이너 관리부(310)는 적어도 하나의 가상 블록체인 컨테이너 각각을 물리적 저장소와 무관하게 상호 연결하도록 구성하되 파일 핑거프린트의 시계열 변경에 따라 분기하도록 구성할 수 있다. 여기에서, 파일 핑거프린트는 파일 메타데이터에 관한 고유 식별코드로서, 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 입력받는 해시함수를 포함하여 구성할 수 있다.In one embodiment, the virtual blockchain container management unit 310 configures each of the at least one virtual blockchain container to be interconnected regardless of physical storage, but can be configured to branch according to the time-series change of the file fingerprint. Here, the file fingerprint is a unique identification code for file metadata, and may include a hash function that receives a file name and a file timestamp constituting the file metadata.

예를 들어, 특정 파일의 파일 핑거프린트가 알파에 해당하는 경우에는 제1 브랜치로 분화할 수 있고, 특정 파일의 파일 핑거프린트가 베타에 해당하는 경우에는 제2 브랜치로 분화할 수 있다. For example, when the file fingerprint of a specific file corresponds to alpha, it may be differentiated into a first branch, and when a file fingerprint of a specific file corresponds to beta, it may be differentiated into a second branch.

파일블록 구성부(320)는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성한다.The file block constructing unit 320 constructs a file block using at least a file fingerprint generated based on file metadata.

보다 구체적으로, 파일블록 구성부(320)는 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 기초로 해시코드를 생성할 수 있다. 여기에서, 파일이름은 전체경로를 포함하여 구성되거나 또는 경로를 제외하여 구성될 수 있다. 경로는 파일에 이르게 되는 폴더(또는 디렉토리)를 의미할 수 있다. 해시코드는 해시함수를 통해 생성될 수 있고, 해시함수는 파일이름 및 파일 타임스탬프를 입력받아 파일 메타데이터의 고유한 디지털 값(즉, 해시코드)을 출력할 수 있다. 파일블록 구성부(320)는 해시코드의 대칭적 암호화 압축을 통해 파일 핑거프린트를 생성할 수 있고, 대칭적 암호화 압축은 동일 해시코드에 대해 서로 다른 암호화를 수행하기 위해 암호키를 달리 사용할 수 있다. 여기에서, 암호화 압축은 해시코드의 크기를 줄이면서 동시에 해시코드의 고유성을 증진시키기 위해서 사용될 수 있다.More specifically, the file block construction unit 320 may generate a hash code based on a file name and a file timestamp constituting file metadata. Here, the file name may be composed of including the full path or excluding the path. A path can refer to a folder (or directory) leading to a file. The hash code may be generated through a hash function, and the hash function may receive a file name and a file timestamp and output a unique digital value (ie, hash code) of file metadata. The file block constructing unit 320 may generate a file fingerprint through symmetric encryption compression of hash codes, and symmetric encryption compression may use different encryption keys to perform different encryptions for the same hash code. . Here, cryptographic compression may be used to reduce the size of the hash code and at the same time enhance the uniqueness of the hash code.

또한, 파일블록 구성부(320)는 적어도 하나의 가상 블록체인 컨테이너 중 해당 가상 블록체인 컨테이너의 식별코드를 상기 대칭적 암호화 압축을 위한 암호키로 생성할 수 있다. 여기에서, 가상 블록체인 컨테이너의 식별코드는 가상 블록체인 컨테이너 단위로 부여되는 고유 코드에 해당할 수 있다.In addition, the file block configuration unit 320 may generate an identification code of a corresponding virtual blockchain container among at least one virtual blockchain container as an encryption key for the symmetric encryption compression. Here, the identification code of the virtual blockchain container may correspond to a unique code assigned to each virtual blockchain container.

파일블록 구성부(320)는 파일블록에 파일 핑거프린트 및 시스템호출 그래프를 포함시킬 수 있다. 파일 핑거프린트는 파일 메타데이터를 기초로 생성되고, 시스템호출 그래프는 실행 파일의 코드에 있는 시스템호출 간의 연계성을 나타낼 수 있다. 보다 구체적으로, 파일블록 구성부(320)는 파일이 실행 파일에 해당하는 경우에는 실행 파일에 있는 시스템호출(syscall) 함수를 추출하고 시스템호출 함수 간의 연계성을 통해 그래프를 구성할 수 있다. 즉, 시스템호출 그래프는 해당 파일의 실행 과정에서 호출되는 시스템호출 함수의 패턴으로 구성되어 해당 파일의 변경에 따른 위험성 정도를 검출하기 위해 사용될 수 있다. 한편, 파일블록 구성부(320)는 실행 파일의 경우 시스템호출 함수의 패턴분석을 통해 악의적 파일을 구별할 수 있다.The file block configuration unit 320 may include a file fingerprint and a system call graph in a file block. A file fingerprint is generated based on file metadata, and a system call graph may indicate connectivity between system calls in codes of an executable file. More specifically, when the file corresponds to an executable file, the file block configuration unit 320 may extract a syscall function from the executable file and configure a graph through association between the system call functions. That is, the system call graph is composed of patterns of system call functions called during the execution of the corresponding file, and can be used to detect the degree of risk according to the modification of the corresponding file. Meanwhile, in the case of an executable file, the file block configuration unit 320 can distinguish a malicious file through pattern analysis of a system call function.

블록체인 관리부(330)는 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장할 수 있고 파일블록을 가상 블록체인 컨테이너 저장 서버(124)에 저장할 수 있다.The blockchain management unit 330 can store file blocks in at least one virtual blockchain container in a distributed manner and store the file blocks in the virtual blockchain container storage server 124 .

제어부(340)는 프론트-엔드 서버(122)의 전체적인 동작을 제어하고, 가상 블록체인 컨테이너 관리부(310), 파일블록 구성부(320) 및 블록체인 관리부(330) 간의 제어 흐름 또는 데이터 흐름을 관리할 수 있다.The control unit 340 controls the overall operation of the front-end server 122 and manages the control flow or data flow between the virtual blockchain container management unit 310, the file block configuration unit 320 and the blockchain management unit 330. can do.

도 4는 도 1에 있는 프론트-엔드 서버의 기능 구성을 설명하는 흐름도이다.4 is a flowchart illustrating the functional configuration of the front-end server in FIG. 1;

도 4에서, 가상 블록체인 컨테이너 관리부(310)는 적어도 하나의 가상 블록체인 컨테이너를 관리할 수 있꼬, 각각은 논리적으로 분산된 블록체인 저장소로 구성되도록 할 수 있다(단계 S410). In FIG. 4 , the virtual blockchain container management unit 310 may manage at least one virtual blockchain container, and each may be configured as a logically distributed blockchain storage (step S410).

파일블록 구성부(320)는 적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성한다(단계 S420). 블록체인 관리부(330)는 적어도 하나의 가상 블록체인 컨테이너에 파일블록을 분산되게 저장한다(단계 S430).The file block constructing unit 320 constructs a file block using at least the generated file fingerprint based on the file metadata (step S420). The blockchain management unit 330 stores the file blocks in a distributed manner in at least one virtual blockchain container (step S430).

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the above has been described with reference to preferred embodiments of the present invention, those skilled in the art will variously modify and change the present invention within the scope not departing from the spirit and scope of the present invention described in the claims below. You will understand that it can be done.

100 : 블록체인 기반의 엔드포인트 위협탐지 및 대응 시스템
120 : 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치
122 : 프론트-엔드 서버
124 : 가상 블록체인 컨테이너 저장 서버
126 : 분석 서버
128 : SIEM (Security Information & Event Management) 서버100: Blockchain-based endpoint threat detection and response system
120: Blockchain-based endpoint threat detection and response device
122: front-end server
124: virtual blockchain container storage server
126: analysis server
128: SIEM (Security Information & Event Management) Server

Claims (5)

각각은 논리적으로 분산된 블록체인 저장소로 구성된 적어도 하나의 가상 블록체인 컨테이너를 관리하는 가상 블록체인 컨테이너 관리부;
적어도 파일 메타데이터를 기초로 생성된 파일 핑거프린트로 파일블록을 구성하는 파일블록 구성부;
상기 적어도 하나의 가상 블록체인 컨테이너에 상기 파일블록을 분산되게 저장하는 블록체인 관리부를 포함하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치.
a virtual blockchain container management unit that manages at least one virtual blockchain container, each of which is composed of logically distributed blockchain storage;
a file block constructing unit configured to construct a file block with a file fingerprint generated based on at least file metadata;
A blockchain-based endpoint threat detection and response device including a blockchain management unit that stores the file block in a distributed manner in the at least one virtual blockchain container.
 제1항에 있어서, 상기 가상 블록체인 컨테이너 관리부는
상기 적어도 하나의 가상 블록체인 컨테이너 각각을 물리적 저장소와 무관하게 상호 연결하도록 구성하되 상기 파일 핑거프린트의 시계열 변경에 따라 분기하도록 구성하는 것을 특징으로 하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치.
The method of claim 1, wherein the virtual blockchain container management unit
Block chain-based endpoint threat detection and response device, characterized in that each of the at least one virtual blockchain container is configured to be interconnected regardless of physical storage, but configured to branch according to a time series change of the file fingerprint.
 제1항에 있어서, 상기 파일블록 구성부는
상기 파일 메타데이터를 구성하는 파일이름 및 파일 타임스탬프를 기초로 해시코드를 생성하고 상기 해시코드의 대칭적 암호화 압축을 통해 상기 파일 핑거프린트를 생성하는 것을 특징으로 하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치.
The method of claim 1, wherein the file block configuration unit
Block chain-based endpoint threat detection characterized in that a hash code is generated based on the file name and file timestamp constituting the file metadata and the file fingerprint is generated through symmetric cryptographic compression of the hash code. and corresponding device.
 제3항에 있어서, 상기 파일블록 구성부는
상기 적어도 하나의 가상 블록체인 컨테이너 중 해당 가상 블록체인 컨테이너의 식별코드를 상기 대칭적 암호화 압축을 위한 암호키로 생성하는 것을 특징으로 하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치.
The method of claim 3, wherein the file block configuration unit
A block chain-based endpoint threat detection and response device, characterized in that for generating an identification code of a corresponding virtual block chain container among the at least one virtual block chain container as an encryption key for the symmetric encryption compression.
 제4항에 있어서, 상기 파일블록 구성부는
상기 파일블록에 상기 파일 핑거프린트 및 시스템호출 그래프를 포함시키고 상기 시스템호출 그래프는 해당 파일의 실행 과정에서 호출되는 시스템호출 함수의 패턴으로 구성되어 상기 해당 파일의 변경에 따른 위험성 정도를 검출하기 위해 사용되는 것을 특징으로 하는 블록체인 기반의 엔드포인트 위협탐지 및 대응 장치.
The method of claim 4, wherein the file block configuration unit
The file block includes the file fingerprint and system call graph, and the system call graph is composed of a pattern of a system call function called during the execution of the corresponding file, and is used to detect the degree of risk according to the change of the corresponding file. Block chain-based endpoint threat detection and response device, characterized in that being.
KR1020210188914A 2021-12-27 2021-12-27 Apparatus for blockchain based endpoint detection and response KR102670498B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210188914A KR102670498B1 (en) 2021-12-27 2021-12-27 Apparatus for blockchain based endpoint detection and response

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210188914A KR102670498B1 (en) 2021-12-27 2021-12-27 Apparatus for blockchain based endpoint detection and response

Publications (2)

Publication Number Publication Date
KR20230099499A true KR20230099499A (en) 2023-07-04
KR102670498B1 KR102670498B1 (en) 2024-05-29

Family

ID=87156203

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210188914A KR102670498B1 (en) 2021-12-27 2021-12-27 Apparatus for blockchain based endpoint detection and response

Country Status (1)

Country Link
KR (1) KR102670498B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012531675A (en) * 2009-06-26 2012-12-10 シンプリヴィティ・コーポレーション File system
KR102221736B1 (en) * 2019-08-27 2021-03-03 (주)하몬소프트 Blockchain based device and method for endpoint detection and response
KR102311997B1 (en) 2019-08-27 2021-10-14 (주)하몬소프트 Apparatus and method for endpoint detection and response terminal based on artificial intelligence behavior analysis

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012531675A (en) * 2009-06-26 2012-12-10 シンプリヴィティ・コーポレーション File system
KR102221736B1 (en) * 2019-08-27 2021-03-03 (주)하몬소프트 Blockchain based device and method for endpoint detection and response
KR102311997B1 (en) 2019-08-27 2021-10-14 (주)하몬소프트 Apparatus and method for endpoint detection and response terminal based on artificial intelligence behavior analysis

Also Published As

Publication number Publication date
KR102670498B1 (en) 2024-05-29

Similar Documents

Publication Publication Date Title
Chakraborty et al. Ec2: Ensemble clustering and classification for predicting android malware families
Liu et al. Host-based intrusion detection system with system calls: Review and future trends
Surendran et al. A TAN based hybrid model for android malware detection
US10264012B2 (en) User behavior profile
EP3485415B1 (en) Devices and methods for classifying an execution session
Abbasi et al. Behavior-based ransomware classification: A particle swarm optimization wrapper-based approach for feature selection
CN113168470A (en) System and method for behavioral threat detection
US8464340B2 (en) System, apparatus and method of malware diagnosis mechanism based on immunization database
US20190332765A1 (en) File processing method and system, and data processing method
Wang et al. A Host‐Based Anomaly Detection Framework Using XGBoost and LSTM for IoT Devices
KR20160142853A (en) Method and system for inferring application states by performing behavioral analysis operations in a mobile device
KR20150106889A (en) System for and a method of cognitive behavior recognition
Sharma et al. Mitigation and risk factor analysis of android applications
CN113168469A (en) System and method for behavioral threat detection
Abah et al. A machine learning approach to anomaly-based detection on Android platforms
Milosevic et al. Malware threats and solutions for trustworthy mobile systems design
Kandukuru et al. Android malicious application detection using permission vector and network traffic analysis
Celdrán et al. Behavioral fingerprinting to detect ransomware in resource-constrained devices
KR102311997B1 (en) Apparatus and method for endpoint detection and response terminal based on artificial intelligence behavior analysis
US9667659B2 (en) Determining security factors associated with an operating environment
Scoccia et al. A self-configuring and adaptive privacy-aware permission system for Android apps
KR102670498B1 (en) Apparatus for blockchain based endpoint detection and response
KR102627064B1 (en) Apparatus for endpoint detection and response based on ai behavior analysis
KR102221726B1 (en) Endpoint detection and response terminal device and method
KR102348357B1 (en) Apparatus and methods for endpoint detection and reponse using dynamic analysis plans

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right