KR101565590B1 - 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템 - Google Patents
역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템 Download PDFInfo
- Publication number
- KR101565590B1 KR101565590B1 KR1020150002158A KR20150002158A KR101565590B1 KR 101565590 B1 KR101565590 B1 KR 101565590B1 KR 1020150002158 A KR1020150002158 A KR 1020150002158A KR 20150002158 A KR20150002158 A KR 20150002158A KR 101565590 B1 KR101565590 B1 KR 101565590B1
- Authority
- KR
- South Korea
- Prior art keywords
- file
- access control
- authorization
- policy
- role
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002265 prevention Effects 0.000 title 1
- 238000013475 authorization Methods 0.000 claims abstract description 84
- 238000000034 method Methods 0.000 claims abstract description 51
- 239000000284 extract Substances 0.000 claims description 4
- 230000006870 function Effects 0.000 description 9
- 230000000903 blocking effect Effects 0.000 description 8
- 238000007689 inspection Methods 0.000 description 7
- 238000012795 verification Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 229960005486 vaccine Drugs 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 파일이 실행되는 경우 역할기반 접근통제에 따라 우선적으로 접근 통제를 수행하고, 접근 통제 정책 검사 결과에 따라 상기 파일의 실행 여부를 결정하고, 검사 결과에 인가파일 검사 요청이 설정된 경우에는 실행을 보류하고 인가된 파일 리스트를 참조하여 상기 파일의 경로가 인가된 것인지를 판단하는, 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템에 관한 것으로서, 상기 운영체제의 커널 계층에 구성되어, 상기 실행파일에 대하여 사전에 정해진 접근통제 정책에 따라 실행 여부를 통제하되, 상기 접근통제 정책은 파일의 경로, 파일을 실행시키는 프로세스, 및 사용자 계정에 따라 정책 오퍼레이션을 설정하는 역할기반 접근통제부; 및, 상기 운영체제의 커널 계층에 구성되어, 상기 역할기반 접근통제부에서 결정된 정책 오퍼레이션이 인가파일 통제를 요청하는 경우, 상기 실행파일이 사전에 설정된 인가파일 리스트에 포함되는지 여부에 따라 상기 실행파일의 실행 여부를 결정하는 인가파일 통제부를 포함하는 구성을 마련한다.
상기와 같은 시스템에 의하여, 경로 기반으로 통제를 하는 역할 기반 통제에 의하여 실행이 허용되는 경우에도 인가 파일 여부를 추가적으로 판단함으로써, 악성 프로그램에 의하여 감염되었거나 신규로 생성된 악성프로그램이 실행되는 것을 정확하게 차단할 수 있고, 이로 인해, 알려지지 않은 악성 프로그램의 위협으로부터 시스템을 안전하게 보호할 수 있다.
상기와 같은 시스템에 의하여, 경로 기반으로 통제를 하는 역할 기반 통제에 의하여 실행이 허용되는 경우에도 인가 파일 여부를 추가적으로 판단함으로써, 악성 프로그램에 의하여 감염되었거나 신규로 생성된 악성프로그램이 실행되는 것을 정확하게 차단할 수 있고, 이로 인해, 알려지지 않은 악성 프로그램의 위협으로부터 시스템을 안전하게 보호할 수 있다.
Description
본 발명은 임의적 접근통제를 포함하는 역할기반 접근통제 시스템에서, 역할 기반 접근통제를 포함하는 인가된 파일 리스트를 기반으로 파일 검증을 통한 접근 통제 기능을 제공하는, 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템에 관한 것이다.
특히, 본 발명은 파일이 실행되는 경우 역할기반 접근통제 정책으로 일차적으로 접근을 통제하고, 접근통제 정책 확인 결과 인가파일 검증요청이 설정되어 있으면 실행 행위를 보류한 후 실행파일이 인가된 파일 리스트에 등록되어 있는지 여부를 확인하고, 등록되어 있지 않으면 비인가 프로그램으로 판단하여 파일의 실행을 차단하는, 역할 기반 접근 통제 시스템에서의 파일 검증을 통한 파일접근 통제 통합 시스템에 관한 것이다.
최근의 보안 사고는 외부에서의 공격뿐만 아니라 내부에서의 정보 자원 유출이 자주 발생하고 있다. 이 중에서 내부에서 발생하는 보안 사고가 더 심각한 위협을 준다는 사실이 인식되면서 시스템 상에서의 보안이 중요시 되는 추세이다.
일반적으로, 컴퓨터 단말을 통하여 증권 또는 금융 업무를 처리할 수도 있고 예약 및 행정 서비스 등의 업무도 수행할 수 있다. 이와 같이 여러 가지 다양한 업무들이 인터넷을 통해 수행됨으로써, 인터넷에 대한 의존도가 매우 높아지고 있다. 이런 가운데 인터넷 해킹 사고가 자주 발생하고 있고, 해킹 방식의 다변화 및 지능화된 해킹 기술의 확산으로 컴퓨터 단말의 위험이 가중되고 있다. 더욱이 단 한차례의 해킹으로도 조직 내에 보유하고 있는 상당한 정보 자산이 침해되기 때문에, 그로인한 피해가 막대하다는데 그 심각성이 있다.
특히, 컴퓨터 단말에 다양한 프로그램들이 운영되고 있는 경우 많은 보안 취약점들이 존재한다. 따라서 컴퓨터 단말에 대한 보안의 필요성 증대와 기존 보안 솔루션들에 의해 보호될 수 없는 영역에 대한 강력한 보안 기능의 수요가 높아져 가고 있다.
이러한 문제점을 해결하기 위한 것으로는, 시점에 따른 프로세스 사용자 상태 속성에 기반하여 강제적 접근통제 시스템에서 역할 기반 접근통제 시스템으로의 보안 커널 확장 방법이 제시되고 있다[특허문헌 1]. 상기 문헌에는 강제적 접근통제 시스템을 확장하여 임의적 접근통제를 포함하는 역할기반 접근통제 기능을 제공할 수 있도록 함으로써 여러 접근통제 정책을 체계적으로 활용할 수 있도록 한다. 이로 인해, 외부 해커 및 악성 프로그램 등으로부터 컴퓨터 단말에 존재하는 주요 파일을 보호할 수 있는 접근 통제 방법을 제시하고 있다.
그러나, 상기 종래 기술은 역할기반 접근통제 기능을 수행하기 위하여 프로그램 및 사용자가 경로 기반 파일 접근에 대해 읽기, 쓰기, 실행, 생성, 삭제 허용 여부 정책에 따라 접근 허가 여부를 결정하는 방식이다. 따라서 상기 종래기술은 접근 행위가 차단된 경우에만 컴퓨터 단말을 보호할 수 있다.
다시 말하면, 상기 종래 기술은 경로 기반 파일에 대한 접근을 허가 또는 차단하는 방식으로서, 실행되는 파일에 대해서는 검증을 진행하지 않는다. 그래서 해당 경로의 실행파일이 인가된 프로그램인지 인가되지 않은 프로그램인지에 대한 판단을 할 수 없다는 문제점이 있다.
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 파일이 실행되는 경우 역할기반 접근통제에 따라 우선적으로 접근 통제를 수행하고, 접근 통제 정책 검사 결과에 따라 상기 파일의 실행 여부를 결정하고, 검사 결과에 인가파일 검사 요청이 설정된 경우에는 실행을 보류하고 인가된 파일 리스트를 참조하여 상기 파일의 경로가 인가된 것인지를 판단하는, 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템을 제공하는 것이다.
즉, 본 발명은 파일의 실행 경로를 이용하여 실행되는 파일이 접근통제 정책에 따라 차단, 허용 및 인가 파일 검증 여부를 판단하고, 인가 파일 검증 요청이 설정된 경우 실행을 보류한 다음 인가된 파일 리스트에 등록된 프로그램인지 여부를 검사하는, 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템을 제공하는 것이다.
특히, 본 발명은 실행파일의 경로가 인가된 파일 리스트에 포함되어 있는지를 확인하기 위하여, 상기 파일 경로에 위치한 파일을 열어 실행가능 여부를 분석하고, 실행가능한 경우 실행에 관여하는 영역의 데이터를 추출하고, 상기 데이터를 해쉬값으로 변환하여 동일한 해쉬값이 존재하는지 확인을 진행하고, 동일한 해쉬값이 있는 경우 인가된 프로그램으로 판단하여 실행을 허용하고 동일한 해쉬값이 없는 경우 비인가된 프로그램으로 판단하여 실행을 차단하는, 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명은 사용자 계정으로 운영체제에 로그인 되고, 상기 사용자 계정의 프로세스에 의하여 실행파일의 실행이 시스템콜을 통하여 요청되고, 상기 시스템콜의 실행파일의 실행 여부를 결정하는, 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템에 관한 것으로서, 상기 운영체제의 커널 계층에 구성되어, 상기 실행파일에 대하여 사전에 정해진 접근통제 정책에 따라 실행 여부를 통제하되, 상기 접근통제 정책은 파일의 경로, 파일을 실행시키는 프로세스, 및 사용자 계정에 따라 정책 오퍼레이션을 설정하는 역할기반 접근통제부; 및, 상기 운영체제의 커널 계층에 구성되어, 상기 역할기반 접근통제부에서 결정된 정책 오퍼레이션이 인가파일 통제를 요청하는 경우, 상기 실행파일이 사전에 설정된 인가파일 리스트에 포함되는지 여부에 따라 상기 실행파일의 실행 여부를 결정하는 인가파일 통제부를 포함하는 것을 특징으로 한다.
또한, 본 발명은 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템에 있어서, 상기 시스템은, 상기 운영체제의 사용자 계층에 구성되어, 상기 인가파일 리스트를 저장하여 관리하고, 상기 인가파일 통제부의 요청에 따라 요청된 실행파일이 상기 인가파일 리스트에 포함되는지 여부를 판단하고, 판단된 결과를 상기 인가파일 통제부에 전송하는 인가파일 판단부를 더 포함하는 것을 특징으로 한다.
또한, 본 발명은 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템에 있어서, 상기 접근통제부는, 상기 실행파일의 경로와 동일한 파일의 경로가 상기 접근통제 정책에 존재하는 경우, 상기 실행파일의 프로세스와 사용자 계정이 동일한 접근통제 정책을 검색하여 검색된 접근통제 정책의 정책 오퍼레이션에 따라 상기 실행파일을 통제하고, 동일한 접근 통제 정책이 검색되지 않으면 상기 실행파일의 실행을 차단하고, 상기 실행파일의 경로와 동일한 파일의 경로가 상기 접근통제 정책에 존재하지 않는 경우, 상기 실행파일의 실행을 허용하는 것을 특징으로 한다.
또한, 본 발명은 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템에 있어서, 상기 인가파일 판단부는 상기 인가파일 리스트를 파일의 내용을 해쉬값으로 저장하고, 상기 실행파일의 파일 내용으로부터 해쉬값을 추출하여, 상기 추출된 해쉬값이 상기 인가파일 리스트에 존재하는지 여부에 따라 인가파일인지 여부를 판단하는 것을 특징으로 한다.
또한, 본 발명은 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템에 있어서, 상기 인가파일 리스트는 인가된 파일로 구성을 하고 인가파일 리스트에 존재하지 않는 경우 비인가 파일로 판단하는 것을 특징으로 한다.
또한, 본 발명은 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템에 있어서, 상기 해쉬값은 상기 파일의 실행영역의 데이터로부터 추출된 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템에 의하면, 경로 기반으로 통제를 하는 역할 기반 통제에 의하여 실행이 허용되는 경우에도 인가 파일 여부를 추가적으로 판단함으로써, 악성 프로그램에 의하여 감염되었거나 신규로 생성된 악성프로그램이 실행되는 것을 정확하게 차단할 수 있고, 이로 인해, 알려지지 않은 악성 프로그램의 위협으로부터 시스템을 안전하게 보호할 수 있는 효과가 얻어진다.
또한, 본 발명에 따른 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템에 의하면, 실행에 관여하는 파일의 주요 영역 데이터에 대한 해쉬값을 인가파일 리스트의 해쉬값과 비교함으로써, 종래 기술에 의해 역할기반 통제에 실행되는 파일에 대하여 실행 허용되는 파일의 무결성을 검증 할 수 없다는 문제점을 보완하여, 감염된 악성 파일의 실행을 근본적으로 차단할 수 있는 효과가 얻어진다.
또한, 본 발명에 따른 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템에 의하면, 기존에 악성 파일을 탐지하는 백신 프로그램의 패턴 리스트는 새로 만들어지는 악성 파일에 대하여 계속해서 패턴 리스트가 증가하는데 비해서, 시스템 내부에 존재하는 파일에 대해서만 인가 파일 리스트를 생성함으로써, 시스템 자원을 적게 사용하면서 신규 패턴의 추가 없이 보안을 강화할 수 있는 효과가 얻어진다.
도 1은 본 발명을 실시하기 위한 전체 시스템에 대한 구성도.
도 2는 본 발명의 일실시예에 따른 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템의 구성에 대한 블록도.
도 3은 본 발명의 일실시예에 따른 역할기반 접근통제부가 수행하는 방법을 설명하는 흐름도.
도 4는 본 발명의 일실시예에 따른 접근통제 정책의 일례를 나타낸 도면.
도 5는 본 발명의 일실시예에 따른 인가파일에 대한 통제를 하는 방법을 설명하는 흐름도.
도 6은 본 발명의 일실시예에 따른 인가파일 판단부의 인가파일 여부를 판단하는 방법을 설명하는 흐름도.
도 7은 본 발명의 일실시예에 따른 인가파일 판단부에서 인가 파일 비교를 위한 해쉬값 추출 방법을 설명하는 흐름도.
도 2는 본 발명의 일실시예에 따른 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템의 구성에 대한 블록도.
도 3은 본 발명의 일실시예에 따른 역할기반 접근통제부가 수행하는 방법을 설명하는 흐름도.
도 4는 본 발명의 일실시예에 따른 접근통제 정책의 일례를 나타낸 도면.
도 5는 본 발명의 일실시예에 따른 인가파일에 대한 통제를 하는 방법을 설명하는 흐름도.
도 6은 본 발명의 일실시예에 따른 인가파일 판단부의 인가파일 여부를 판단하는 방법을 설명하는 흐름도.
도 7은 본 발명의 일실시예에 따른 인가파일 판단부에서 인가 파일 비교를 위한 해쉬값 추출 방법을 설명하는 흐름도.
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
먼저, 본 발명을 실시하기 위한 전체 시스템의 구성의 예들에 대하여 도 1을 참조하여 설명한다.
도 1에서 보는 바와 같이, 본 발명은 통상의 컴퓨터 시스템 내에서 실시된다. 즉, 본 발명의 실시를 위한 전체 시스템은 컴퓨터 시스템 상에서의 하드웨어(60), 운영체제(OS, 20), 그 운영체제 상에서 실행되는 실행파일(10), 역할기반 접근통제 시스템(30), 인가파일 검사 시스템(40)으로 구성된다. 데이터를 저장하기 위한 데이터베이스(50)를 추가 구성될 수 있다.
하드웨어(60)는 입출력 장치, 저장장치(하드디스크, SSD 디스크, 이동식 디스크 등), 네트워크 장치(네트워크 인터페이스 카드 등) 등 시스템의 물리적 자원을 말한다. 운영체제(20)는 컴퓨터 시스템을 운영하는 시스템 프로그램이다. 운영체제(20) 상에서 실행되는 프로그램들은 사용자 계층과 커널 계층으로 구분되어 실행된다. 사용자 계층은 통상의 응용 프로그램이 실행되는 계층이고, 커널 계층은 통상의 시스템 프로그램들이 실행되는 계층이다. 일반적으로 사용자의 컴퓨터 프로그램(또는 프로세스)들은 사용자 계층에서 실행파일이 실행되면서 생성되고, 운영체제(20)의 시스템 자원을 접근하기 위해서는 시스템콜을 호출하여 커널 계층의 운영체제에 의해 해당 서비스를 제공받는다.
실행파일(10)은 컴퓨터 프로그램이 운영체제, 특히, 운영체제의 사용자 계층 상에서 실행 가능한 파일을 말하는 것으로서, PE(Portable Executable) 파일이라 부르기도 한다. 예를 들어, PE 포맷을 사용하는 파일의 확장자는 cpl, exe, dll, ocx, vxd, sys, scr, drv가 있다. 또한, 악성행위를 수행하는 실행 파일은 악성 코드, 악성 프로그램, 바이러스 등으로 혼용한다. 실행파일은 실행되는 파일 또는 아직 실행되지는 않지만 실행하려는 파일을 말한다. 이하에서 후자의 의미가 구분되어야 하는 경우, 후자를 실행대상 파일로 부르기로 한다. 그러나 그외에는 실행파일로 혼용한다.
한편, 실행 파일의 경로는 사용자가 실행 파일을 실행할 때의 경로를 의미한다. 즉 실행파일 notepad를 실행하려고 하면 c:\windows\system32\notepad.exe 경로의 파일을 실행하여야 한다. 이 파일이 실행되어 프로세스가 되면 이 경로가 프로세스의 경로가 된다. 하드 디스크 상의 저장된 위치가 인덱스 테이블로 관리되고 여기에 파일 경로가 연동되어 있다.
운영체제(20)는 사용자 계층에서 실행되는 시스템콜 인터페이스 모듈(21), 커널 계층에서 실행되는 입출력 관리자(IO Manager) 모듈(22) 및, 드라이버(23) 등으로 구성된다.
시스템콜 인터페이스 모듈(21)은 윈도우즈 시스템(마이크로소프트사의 상용화된 운영체제)의 Win32.dll 등과 같은 시스템 파일로서, 하드웨어 장치(60) 등 컴퓨터 시스템의 자원을 이용하기 위한 서비스를 제공하는 인터페이스 함수들이다. 즉, 실행파일(10)이 컴퓨터 시스템의 자원(하드웨어 자원)을 이용하기 위하여, 시스템콜 인터페이스 모듈(21)의 API(Application programming interface) 함수를 호출한다. 시스템콜 인터페이스 모듈(21)은 API 함수의 호출을 가로채어 운영체제 시스템 호출을 부른다.
드라이버(23)는 하드웨어 장치(60)를 직접 제어하기 위한 시스템 프로그램이고, 입출력 관리자 모듈(22)은 시스템 인터페이스 모듈(21)에 의해 호출된 API 함수를 처리하고 관리하는 프로그램 모듈이다. 특히, 입출력 관리자 모듈(22)은 필요한 경우에 드라이버(23)를 통해 하드웨어 장치(60) 등 시스템 자원에 접근한다.
역할기반 접근통제 시스템(30)은 운영체제의 커널 계층에 구성되어 실행되는 시스템으로서, 실행파일(10)의 실행 시스템콜을 입출력 관리자(IO Manager) 모듈(22)에서 받아, 역할기반에 의한 접근통제 정책을 참조하여, 상기 실행파일의 실행 차단 및 허용 여부를 판단한다. 즉, 실행파일(10)이 실행(실행할 것이 요청)되면 이에 대한 행위를 시스템 콜 인터페이스 모듈(21)이 받아 시스템 콜 생성 요청을 진행한다. 이 요청을 입출력 관리자(IO Manager) 모듈(22)에서 받아 시스템 콜을 생성하고 생성된 시스템 콜을 역할기반 접근통제 시스템(30)에서 받아 통제 여부를 판단한다.
앞서, 프로세스는 사용자가 실행하는 프로그램이고, 사용자의 프로세스가 실행파일(PE파일)을 시스템콜을 통해 실행시키고(실행을 요청하고), 앞서 본 발명은 이때, "실행파일의 실행 시킬지 여부"를 결정한다. 그리고 시스템콜의 호출은 실행파일을 실행시키기 위해 호출한다.
즉, 시스템 콜 생성 요청을 진행하는 모듈은 시스템 콜 인터페이스 모듈(21)이다. 이 요청을 입출력 관리자 모듈(22)에서 받아 시스템 콜을 생성하고 생성된 시스템 콜을 역할 기반 접근 통제 시스템(30)에서 받아서 실행 경로와 프로세스 경로 정보 및 사용자 정보를 구하여 정책과 비교한다. 이미 실행중인 드라이버와 인가 파일을 비교하는 모듈에서 정책 비교와 인가 파일 비교를 진행한다.
한편, 접근통제 정책은 사전에 설정되어 저장된다. 즉, 실행 통제 여부를 판단하기 위한 판단조건은 사전에 구비된다. 판단조건은 통제하고자 하는 파일의 경로, 프로세스의 경로, 사용자 명 및 차단 여부를 조합하여 구성된다. 이때, 접근통제 정책이 저장된 저장공간을 접근통제 정책DB(51)라 부르기로 한다. 접근통제 정책은 실행파일 또는 실행파일의 경로에 대하여 접근 통제를 사전에 정해놓은 것을 말한다. 즉, 접근 통제는 해당 실행파일의 실행 허용 또는 차단 여부나, 인가파일 통제 요청 여부를 사전에 정해둔 것을 말한다.
구체적으로, 역할기반 접근통제 시스템(30)은 실행파일의 경로와, 파일을 실행한 프로세스 경로 및 사용자 명(또는 사용자 계정)을 조회한 후 접근 통제 정책과 비교함으로써 차단 여부를 조사(또는 판단)한다. 즉, 역할기반 접근통제 시스템(30)은 상기 실행파일의 파일의 경로에 해당하는 정책이 존재하는지 판단하고, 해당하는 정책이 존재하면 상기 해당 정책에 포함되어 있는 프로세스의 경로 및 사용자 명(또는 사용자 계정)이, 상기 실행파일의 프로세스 경로 및 사용자 계정과 일치하는지 판단한다. 그래서 일치하는 경우, 상기 해당 정책이 차단(또는 차단 정책)으로 설정되어 있으면 상기 실행파일의 실행을 차단하고, 상기 해당 정책이 허용(또는 허용 정책)으로 설정되어 있으면 상기 실행파일의 실행을 허용한다.
또한, 역할기반 접근통제 시스템(30)은 상기 해당 정책이 인가 파일 통제 정책으로 설정되어 있는 경우는 인가파일 검사 시스템(40)으로 인가 여부에 대한 검사를 요청한다. 이러한 접근통제 정책에 대한 검사를 통해, 해당 실행파일(10)의 실행을 차단할지 허용할지 여부를 판단하거나, 추가적으로 인가 파일 리스트에 포함되어 있는지 확인한다. 상기와 같은 접근통제 정책이 없는 경우, 상기 실행파일(10)은 접근통제 대상의 파일이 아니기 때문에, 실행을 허용한다.
다음으로, 인가파일 검사 시스템(40)은 사용자 계층에서 실행되는 프로그램 시스템으로서, 인가된 파일들에 대한 정보를 저장하는 인가파일 리스트(52)를 참조하여 실행파일의 인가 여부를 판단한다.
구체적으로, 인가파일 검사 시스템(40)은 상기 실행파일의 실행을 보류한 후 검사 요청된 경로의 파일 정보를 저장하여 저장된 파일 정보를 기반으로 해쉬값을 생성하고, 상기 생성된 해쉬값이 인가 파일 리스트에 존재하는지 판단하여 인가파일 여부를 판단한다. 또한, 인가파일 검사 시스템(40)은 인가 파일 여부의 판단 결과에 따라, 상기 실행파일에 대한 차단 또는 허용을 판단하고, 판단된 결과를 운영체제의 커널계층으로 넘겨준다. 즉, 인가파일 시스템(40)은 차단인 경우에는 차단 결과를 입출력 관리자(IO Manager) 모듈(22)에 전달하여 차단 처리를 진행하고, 허용된 경우에는 드라이버(23)에 의해 허용 처리가 진행되도록 한다.
데이터베이스(40)는 파일 경로, 프로세스 경로, 사용자 계정(또는 사용자 명) 정보에 따라 통제를 판단하는 정책을 저장하는 접근통제정책DB(51), 인가 파일의 정보를 추출하여 추출된 정보를 기반으로 해쉬값을 저장하는 인가파일 리스트DB(42)로 구성된다. 그러나 데이터베이스(40)의 구성은 바람직한 일실시예일 뿐이며, 구체적인 장치를 개발하는데 있어서, 접근 및 검색의 용이성 및 효율성 등을 감안하여 데이터베이스 구축이론에 의하여 다른 구조로 구성될 수 있다.
본 발명의 시스템은 서버 시스템이라서 다수의 사용자가 각자 사용자 계정을 가지고, 사용자 계정으로 로그인하는 서버 시스템 자원을 이용하는 시스템에도 적용될 수 있고, 통상의 PC 등 개인 컴퓨터 단말(윈도우즈)에서의 시스템에 적용될 수 있다.
다음으로, 본 발명의 일실시예에 따른 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템의 구성을 도 2를 참조하여 보다 구체적으로 설명한다.
도 2에서 보는 바와 같이, 본 발명에 따른 파일접근 통제 통합 시스템은 역할기반 접근통제 시스템(30)의 역할기반 접근통제부(31) 및, 인가파일 검사 시스템(40)의 인가파일 통제부(41)와 인가파일 판단부(42)로 구성된다.
역할기반 접근통제부(31) 및, 인가파일 통제부(41)는 커널 계층에 구성되어 커널 모드로 수행되고, 인가파일 판단부(42)는 사용자 계층에 구성되어 사용자 모드로 수행된다.
먼저, 역할기반 접근통제부(31)에 대하여 도 3과 도4를 참조하여 보다 구체적으로 설명한다. 역할기반 접근통제부(31)는 컴퓨터 단말(또는 운영체제)에서 실행되는 파일(이하 실행파일)의 경로, 상기 실행파일을 실행시킨 프로세스 경로, 및 사용자 명(또는 사용자 계정)을 조회하여, 실행파일의 경로에 해당하는 접근통제 정책이 있는지 검색한다. 접근통제 정책이 검색되면, 검색된 정책에 따라 접근통제 과정을 진행한다.
도 3에서 보는 바와 같이, 먼저, 역할기반 접근통제부(31)는 실행파일에 대한 접근 통제 요청을 수신한다(S11). 실행파일이 실행되는 경우 시스템 콜 인터페이스 모듈(21)(Win32.dll 등)의 API(Application programming interface) 함수가 호출되고 시스템 콜 생성을 입출력 관리자(IO Manager) 모듈(22)에 요청한다. 입출력 관리자(IO Manager) 모듈에서는 파일 실행에 관한 시스템 콜을 생성하고 실행 관련 시스템 콜을 역할기반 접근통제부(31)에 전송하여 접근통제 여부를 요청한다.
다음으로, 역할기반 접근통제부(31)는 현재 요청된 실행파일의 경로, 현재 프로세스의 경로, 및, 사용자 계정을 가져온다(S12). 실행파일의 경로는 실행파일이 저장공간에 저장된 파일의 위치를 나타낸다. 현재 프로세스의 경로는 현재 실행되는 프로세스의 프로그램이 저장된 위치를 나타내고, 사용자 계정은 현재 프로세스의 사용자 명 또는 사용자의 계정 이름, 사용자 ID 등을 나타낸다. 특히, 프로그램 또는 프로세스는 사용자의 프로그램 또는 상기 실행파일을 실행시킨 프로세스를 나타낸다.
다음으로, 역할기반 접근통제부(31)는 접근통제 정책이 사전에 정의되어 저장되어 있는 접근통제정책DB(51)를 조회하여, 일치하는 파일 경로의 통제 정책이 존재하는지 검색한다(S13).
도 4에서 보는 바와 같이, 접근통제 정책은 각 파일경로에 대하여, 사용자(또는 사용자 계정) 및 프로그램(또는 프로세스)에 대한 정책 내용으로 구성된다. 파일경로는 파일이 저장공간에 저장된 위치를 나타낸다. 사용자 계정은 사용자 명 또는 사용자의 계정 이름, 사용자 ID 등을 나타내고, 프로그램 또는 프로세스는 사용자의 프로그램 또는 상기 파일을 실행시킨 프로세스를 나타낸다.
또한, 정책 내용 또는 오퍼레이션은 실행파일을 실행하도록 허용하는 실행 허용, 실행파일을 차단하는 실행 차단, 및, 인가파일 통제를 요청하는 인가파일 통제 요청으로 구성된다.
역할기반 접근통제부(31)는 요청된 실행파일(또는 실행파일의 경로)과 일치되는 파일경로가 접근통제 정책(또는 접근통제 정책DB)에서 존재하는지를 검색한다. 만약, 해당 파일의 경로가 존재하는 경우 해당 파일의 접근 통제 정책을 읽어온다. 만약 현재 실행파일 경로의 접근 통제정책을 획득할 수 없다면, 상기 실행파일의 실행을 허용한다(S17). 따라서 드라이버(23)에 의해 시스템 자원에 접근하도록 허용한다.
다음으로, 역할기반 접근통제부(31)는 경로의 접근통제 정책이 있는 경우 조회된 사용자 명과 정책에 설정되어 있는 사용자 명이 동일한지 확인하고, 조회된 프로세스 경로와 정책에 설정되어 있는 프로세스 경로도 동일한지 확인한다(S14). 즉, 해당 경로의 접근통제 정책 중에서 현재 실행파일을 실행시키는 프로세스와 그 사용자에 대한 정책이 있는지를 검색한다.
만약, 동일한 프로세스와 사용자가 존재하지 않으면, 현재 프로세스 및 사용자에 대한 접근통제 정책이 없는 것으로 판단하여, 상기 실행파일의 실행을 차단한다(S16). 즉, 경로에 대한 정책이 전혀 존재하지 않으면 실행파일의 실행을 허용하나, 경로에 대한 정책이 존재하나 그 프로세스와 사용자에 대한 정책이 없는 경우에는 실행파일의 실행을 차단한다.
마지막으로, 동일한 프로세스와 사용자가 존재하면, 해당 정책의 오퍼레이션이 실행 허용, 실행 차단 및 인가파일 통제 요청 여부를 판단한다(S15).
판단된 결과 또는 판단된 오퍼레이션이 실행 허용인 경우, 드라이버(23)에 의해 시스템 자원에 접근하도록 허용한다(S17). 판단된 결과가 차단인 경우 차단 결과를 입출력 관리자(IO Manager) 모듈(22)에 반환하여 차단한다(S16). 판단된 결과가 인가파일 통제 요청인 경우 실행을 보류하고 인가파일 통제부(41)로 실행 경로를 전달한다(S20).
다음으로, 인가파일 통제부(41)에 대하여 도 5를 참조하여 구체적으로 설명한다.
도 5에서 보는 바와 같이, 먼저, 인가파일 통제부(41)는 역할기반 접근통제부(31)로부터 인가파일 통제에 대한 요청을 수신한다(S21). 인가파일 통제부(41)는 상기 실행파일의 경로를 가져온다. 이때, 실행파일의 경로를 역할기반 접근통제부(31)로부터 수신할 수 있다.
다음으로, 인가파일 통제부(41)는 인가파일 판단부(42)에 인가파일 여부에 대한 판단을 요청하고, 상기 실행파일의 경로를 함께 전송한다(S22).
다음으로, 인가파일 판단부(42)는 상기 실행파일에 대하여 인가파일인지 여부를 판단한다(S23). 그리고 인가파일 판단부(42)는 판단 결과를 다시 인가파일 통제부(41)로 전송한다(S24).
인가파일 통제부(41)는 수신한 판단 결과에 따라 상기 실행파일의 실행을 허용하거나 차단시킨다(S25,S26). 즉, 판단 결과 인가 파일로 판단된 경우, 실행 허용하여 드라이버(23)에 의해 시스템 자원에 접근하도록 허용한다. 비인가 파일로 판단된 경우, 실행 차단하여 차단 결과를 입출력 관리자(IO Manager) 모듈(22)에 반환하여 차단한다.
마지막으로, 인가파일 판단부(42)가 인가파일 여부를 판단하는 방법에 대하여 도 6을 참조하여 구체적으로 설명한다.
도 6에서 보는 바와 같이, 인가파일 판단부(42)는 인가파일 통제부(41)에서 요청한 실행파일의 경로에 존재하는 파일을 열어(S31), 파일의 헤더 정보를 조회하여 저장한다(S32).
또한, 상기 파일의 실행 영역의 데이터도 조회하여 저장하고(S33), 저장된 데이터를 기반으로 파일의 해쉬값(SHA512)을 추출한다(S34). 그리고 추출된 해쉬값이 인가파일 리스트(52)에서 조회하여 동일한 해쉬값이 존재하는지 확인한다(S35).
동일한 해쉬값이 존재하는 경우 인가 파일로 판단하고(S36), 존재하지 않으면 비인가 파일로 판단한다(S37). 앞서 설명한 바와 같이, 판단된 결과는 인가파일 통제부(41)로 전달된다.
인가파일 판단부(42)는 사용자 계층에서 실행되는 프로그램이다. 커널 계층과 프로그램이 통신을 위한 포트를 생성하고 데이터를 주고 받는다. 커널 계층에서는 실행파일 경로를 전송하고 인가파일 판단부(42)는 인가파일 여부를 전송한다. 판단 결과가 오기 전까지 실행은 보류된다.
인가파일 판단부(42)는 커널 계층에 설치되지 않고 외부에 설치된다. 인가파일 판단부(42)가 가지고 있는 인가 파일 정보의 수는 약 6만여개의 파일을 넘어서 최소 정보를 기준으로 25MBytes정보 메모리를 사용한다, 이 정도의 메모리를 단일 드라이버에서 사용할 수 없다. 커널에서 총 사용할 수 있는 메모리는 약 25MBytes정도이다. 또한 파일을 열어서 특정 데이터를 추출하는 작업은 커널 계층 보다는 사용자 계층에서 추출하는 것이 좀 더 안정적이다, 커널에서 추출 작업에 문제가 발생하는 시스템에 치명적인 오류를 발생하여 가용성에 문제가 발생한다.
해쉬값 추출 방식에 대하여 도 7을 참조하여 구체적으로 설명한다.
도 7와 같이, 먼저, 실행 경로의 파일을 열어 파일의 헤더를 분석한다.
파일 헤더의 시그너쳐(e_masic 등, IMAGE_DOS_Header 구조체의 시그너쳐)의 값이 0x4D5A인지 확인을 한다. 0x4D5A는 실행파일인지를 확인하는 키 값이다. 0x4D5A는 실행파일이면 반드시 가져야 하는 값이어서 해당 값이 없는 경우 실행파일이 아니라고 판단한다. 확인 결과 해당 값이 아닌 경우 분석을 종료한다.
NT 헤더(Header)의 오프셋(Offset) 값을 조회하여 오프셋(Offset) 값에 해당하는 번지로 이동을 한다. 헤더(Header)의 시그너쳐(Signature)가 0x50450000 값이 아닌 경우 분석을 종료한다. 0x50450000은 PE 파일임을 나타내는 매직넘버이. 항상 "PE\x00\x00" (Hex -> 50 45 00 00) 값을 가지고 있다. PE 파일 임을 확인하기 위해서는 IMAGE_DOS_HEADER 구조체의 e_lfanew 필드가 가리키는 오프셋만큼 파일 포인터를 이동시켜 그 오프셋부터 4바이트를 DWORD형으로 읽어서 시그너쳐 값을 비교한다.
섹션의 수(NumberOfSections) 값을 저장하고, 프로그램이 처음으로 실행될 코드를 담고 있는 주소인 프로그램 엔트리 주소(AddressOfEntryPoint) 값을 저장한다.
실제 프로그램 동작에 관여하는 영역, 즉, 프로그램 실행을 위한 코드가 담고 있는 영역인 텍스트 영역(.text)의 시작 위치(VirtualAddress)와 영역 크기(SizeofRawData)를 저장하고 이를 바탕으로 데이터를 저장한다.
저장된 데이터를 기반으로 해쉬값을 추출한다.
요약하면, 먼저 실행파일인지 확인하고, 실행에 관여하는 데이터를 추출한다. 실행에 관여하는 영역을 추출하면 동일한 실행 파일인지 판단할 수 있다. 이 실행 데이터 영역의 데이터를 기반으로 해쉬값을 추출한다.
이상, 본 발명자에 의해서 이루어진 발명을 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
10 : 사용자 단말 11 : 스마트 카드
12 : 클라이언트 20 : 네트워크
30 : 운영체제 서버 31 : 인터페이스부
32 : 인증처리부 33 : 인증상태 검사부
34 : 인증권한 관리부 35 : 세션관리부
36 : 접근통제부 41 : 인증권한 테이블
42 : 프로세스 테이블 50 : 인증서버
12 : 클라이언트 20 : 네트워크
30 : 운영체제 서버 31 : 인터페이스부
32 : 인증처리부 33 : 인증상태 검사부
34 : 인증권한 관리부 35 : 세션관리부
36 : 접근통제부 41 : 인증권한 테이블
42 : 프로세스 테이블 50 : 인증서버
Claims (6)
- 사용자 계정으로 운영체제에 로그인 되고, 상기 사용자 계정의 프로세스에 의하여 실행파일의 실행이 시스템콜을 통하여 요청되고, 상기 시스템콜의 실행파일의 실행 여부를 결정하는, 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템에 있어서,
상기 운영체제의 커널 계층에 구성되어, 상기 실행파일에 대하여 사전에 정해진 접근통제 정책에 따라 실행 여부를 통제하되, 상기 접근통제 정책은 파일의 경로, 파일을 실행시키는 프로세스, 및 사용자 계정에 따라 정책 오퍼레이션을 설정하는 역할기반 접근통제부;
상기 운영체제의 커널 계층에 구성되어, 상기 역할기반 접근통제부에서 결정된 정책 오퍼레이션이 인가파일 통제를 요청하는 경우, 상기 실행파일이 사전에 설정된 인가파일 리스트에 포함되는지 여부에 따라 상기 실행파일의 실행 여부를 결정하는 인가파일 통제부; 및,
상기 운영체제의 사용자 계층에 구성되어, 상기 인가파일 리스트를 저장하여 관리하고, 상기 인가파일 통제부의 요청에 따라 요청된 실행파일이 상기 인가파일 리스트에 포함되는지 여부를 판단하고, 판단된 결과를 상기 인가파일 통제부에 전송하는 인가파일 판단부를 포함하고,
상기 접근통제부는, 상기 실행파일의 경로와 동일한 파일의 경로가 상기 접근통제 정책에 존재하는 경우, 상기 실행파일의 프로세스와 사용자 계정이 동일한 접근통제 정책을 검색하여 검색된 접근통제 정책의 정책 오퍼레이션에 따라 상기 실행파일을 통제하고, 동일한 접근 통제 정책이 검색되지 않으면 상기 실행파일의 실행을 차단하고,
상기 인가파일 판단부는 상기 인가파일 리스트를 파일의 내용을 해쉬값으로 저장하고, 상기 실행파일의 파일 내용으로부터 해쉬값을 추출하여, 상기 추출된 해쉬값이 상기 인가파일 리스트에 존재하는지 여부에 따라 인가파일인지 여부를 판단하고,
상기 해쉬값은 상기 파일의 실행영역의 데이터로부터 추출된 것을 특징으로 하는 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템.
- 삭제
- 제1항에 있어서, 상기 접근통제부는,
상기 실행파일의 경로와 동일한 파일의 경로가 상기 접근통제 정책에 존재하지 않는 경우, 상기 실행파일의 실행을 허용하는 것을 특징으로 하는 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템.
- 삭제
- 제1항에 있어서,
상기 인가파일 리스트는 인가된 파일로 구성을 하고 인가파일 리스트에 존재하지 않는 경우 비인가 파일로 판단하는 것을 특징으로 하는 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템.
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150002158A KR101565590B1 (ko) | 2015-01-07 | 2015-01-07 | 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020150002158A KR101565590B1 (ko) | 2015-01-07 | 2015-01-07 | 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101565590B1 true KR101565590B1 (ko) | 2015-11-04 |
Family
ID=54600232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020150002158A Active KR101565590B1 (ko) | 2015-01-07 | 2015-01-07 | 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101565590B1 (ko) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018030667A1 (ko) * | 2016-08-08 | 2018-02-15 | (주)나무소프트 | 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템 |
| KR101937325B1 (ko) | 2017-10-30 | 2019-01-14 | 주식회사 시큐어링크 | 악성코드 감지 및 차단방법 및 그 장치 |
| KR101967663B1 (ko) * | 2018-07-20 | 2019-04-11 | 주식회사 아신아이 | 인가된 프로세스의 역할 기반 접근 통제 시스템 |
| CN110535835A (zh) * | 2019-08-09 | 2019-12-03 | 西藏宁算科技集团有限公司 | 一种基于消息摘要算法支持多云的共享云存储方法及系统 |
| KR20200019289A (ko) * | 2018-08-08 | 2020-02-24 | 국방과학연구소 | 데이터베이스 침입 탐지를 위한 쿼리 분류 방법 |
| CN111585914A (zh) * | 2019-02-15 | 2020-08-25 | 阿里巴巴集团控股有限公司 | 一种服务限流方法、装置、及电子设备 |
| CN111796904A (zh) * | 2020-05-21 | 2020-10-20 | 北京中软华泰信息技术有限责任公司 | 一种基于命名空间的Docker文件访问控制方法 |
| KR102214162B1 (ko) | 2020-11-23 | 2021-02-09 | 주식회사 넷앤드 | 서버 후킹을 통한 사용자 기반 객체 접근 제어 시스템 |
| KR102222008B1 (ko) * | 2020-02-28 | 2021-03-04 | 에스지에이비엘씨 주식회사 | 데이터 위변조 방지를 위한 접근제어 기술 기반 측정장비 원격 감시 시스템(tms) |
| CN112487413A (zh) * | 2020-12-11 | 2021-03-12 | 北京中软华泰信息技术有限责任公司 | 一种基于Linux白名单程序控制系统及方法 |
| CN115801682A (zh) * | 2022-11-09 | 2023-03-14 | 度小满科技(北京)有限公司 | 访问控制方法、装置、终端及存储介质 |
| CN117234622A (zh) * | 2023-11-16 | 2023-12-15 | 中国电子科技集团公司第十五研究所 | 一种多语言运行库按需调用方法和系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014164536A (ja) * | 2013-02-26 | 2014-09-08 | Nec Corp | 検証装置、検証方法、及びプログラム |
-
2015
- 2015-01-07 KR KR1020150002158A patent/KR101565590B1/ko active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014164536A (ja) * | 2013-02-26 | 2014-09-08 | Nec Corp | 検証装置、検証方法、及びプログラム |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109643356B (zh) * | 2016-08-08 | 2022-11-01 | 株式会社树软件 | 阻止网络钓鱼或勒索软件攻击的方法和系统 |
| CN109643356A (zh) * | 2016-08-08 | 2019-04-16 | 株式会社树软件 | 阻止网络钓鱼或勒索软件攻击的方法和系统 |
| WO2018030667A1 (ko) * | 2016-08-08 | 2018-02-15 | (주)나무소프트 | 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템 |
| EP3525127A4 (en) * | 2016-08-08 | 2020-05-20 | Namusoft Co., Ltd. | METHOD AND SYSTEM FOR BLOCKING A PHISHING OR RANÇONGICIEL ATTACK |
| KR101937325B1 (ko) | 2017-10-30 | 2019-01-14 | 주식회사 시큐어링크 | 악성코드 감지 및 차단방법 및 그 장치 |
| KR101967663B1 (ko) * | 2018-07-20 | 2019-04-11 | 주식회사 아신아이 | 인가된 프로세스의 역할 기반 접근 통제 시스템 |
| KR20200019289A (ko) * | 2018-08-08 | 2020-02-24 | 국방과학연구소 | 데이터베이스 침입 탐지를 위한 쿼리 분류 방법 |
| KR102146526B1 (ko) * | 2018-08-08 | 2020-08-20 | 국방과학연구소 | 데이터베이스 침입 탐지를 위한 쿼리 분류 방법 |
| CN111585914A (zh) * | 2019-02-15 | 2020-08-25 | 阿里巴巴集团控股有限公司 | 一种服务限流方法、装置、及电子设备 |
| CN111585914B (zh) * | 2019-02-15 | 2024-03-22 | 阿里巴巴集团控股有限公司 | 一种服务限流方法、装置、及电子设备 |
| CN110535835A (zh) * | 2019-08-09 | 2019-12-03 | 西藏宁算科技集团有限公司 | 一种基于消息摘要算法支持多云的共享云存储方法及系统 |
| KR102222008B1 (ko) * | 2020-02-28 | 2021-03-04 | 에스지에이비엘씨 주식회사 | 데이터 위변조 방지를 위한 접근제어 기술 기반 측정장비 원격 감시 시스템(tms) |
| CN111796904B (zh) * | 2020-05-21 | 2024-02-20 | 北京中软华泰信息技术有限责任公司 | 一种基于命名空间的Docker文件访问控制方法 |
| CN111796904A (zh) * | 2020-05-21 | 2020-10-20 | 北京中软华泰信息技术有限责任公司 | 一种基于命名空间的Docker文件访问控制方法 |
| KR102214162B1 (ko) | 2020-11-23 | 2021-02-09 | 주식회사 넷앤드 | 서버 후킹을 통한 사용자 기반 객체 접근 제어 시스템 |
| CN112487413A (zh) * | 2020-12-11 | 2021-03-12 | 北京中软华泰信息技术有限责任公司 | 一种基于Linux白名单程序控制系统及方法 |
| CN115801682A (zh) * | 2022-11-09 | 2023-03-14 | 度小满科技(北京)有限公司 | 访问控制方法、装置、终端及存储介质 |
| CN117234622A (zh) * | 2023-11-16 | 2023-12-15 | 中国电子科技集团公司第十五研究所 | 一种多语言运行库按需调用方法和系统 |
| CN117234622B (zh) * | 2023-11-16 | 2024-02-27 | 中国电子科技集团公司第十五研究所 | 一种多语言运行库按需调用方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101565590B1 (ko) | 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템 | |
| US10361998B2 (en) | Secure gateway communication systems and methods | |
| RU2543564C1 (ru) | Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам | |
| RU2571723C2 (ru) | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения | |
| US8136147B2 (en) | Privilege management | |
| KR101700552B1 (ko) | 보안 운영 체제 환경으로의 콘텍스트 기반 전환 | |
| KR101882871B1 (ko) | 보안 웹 위젯 런타임 시스템을 위한 방법 및 장치 | |
| US20170091482A1 (en) | Methods for data loss prevention from malicious applications and targeted persistent threats | |
| US20160232344A1 (en) | Method for re-adjusting application permission and user terminal for performing the same method | |
| RU2584507C1 (ru) | Способ обеспечения безопасного выполнения файла сценария | |
| US7890756B2 (en) | Verification system and method for accessing resources in a computing environment | |
| CN111400723A (zh) | 基于tee扩展的操作系统内核强制访问控制方法及系统 | |
| CN106228078A (zh) | 一种Linux下基于增强型ROST的安全运行方法 | |
| KR102714421B1 (ko) | 접근자의 세부 역할 기반의 컨테이너 플랫폼 승인 제어 방법, 장치 및 컴퓨터-판독 가능 기록 매체 | |
| US7596694B1 (en) | System and method for safely executing downloaded code on a computer system | |
| CN104732140A (zh) | 一种程序数据处理方法 | |
| US11636219B2 (en) | System, method, and apparatus for enhanced whitelisting | |
| WO2017016231A1 (zh) | 一种策略管理方法、系统及计算机存储介质 | |
| KR101967663B1 (ko) | 인가된 프로세스의 역할 기반 접근 통제 시스템 | |
| KR102137309B1 (ko) | 원격 접속 제어 기반 기기 통합 모니터링 시스템 | |
| KR102463814B1 (ko) | 서버 모니터링 방법 및 장치 | |
| CN108830075A (zh) | 一种ssr集中管理平台的应用程序管控方法 | |
| US11983272B2 (en) | Method and system for detecting and preventing application privilege escalation attacks | |
| KR100985073B1 (ko) | 네트워크 공유폴더 접근 제어 장치 및 방법 | |
| KR101956725B1 (ko) | 인가된 실행 파일 및 동적 라이브러리 파일 기반 서버 접근 통제 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20150107 |
|
| PA0201 | Request for examination | ||
| PA0302 | Request for accelerated examination |
Patent event date: 20150127 Patent event code: PA03022R01D Comment text: Request for Accelerated Examination Patent event date: 20150107 Patent event code: PA03021R01I Comment text: Patent Application |
|
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20150520 Patent event code: PE09021S01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20151008 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20151028 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20151028 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment |
Payment date: 20181219 Year of fee payment: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20181219 Start annual number: 4 End annual number: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20191111 Year of fee payment: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20191111 Start annual number: 5 End annual number: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20211012 Start annual number: 7 End annual number: 7 |
|
| PR1001 | Payment of annual fee |
Payment date: 20221013 Start annual number: 8 End annual number: 8 |
|
| PR1001 | Payment of annual fee |
Payment date: 20231018 Start annual number: 9 End annual number: 9 |
|
| PR1001 | Payment of annual fee |
Payment date: 20241014 Start annual number: 10 End annual number: 10 |