[go: up one dir, main page]

KR101657180B1 - System and method for process access control system - Google Patents

System and method for process access control system Download PDF

Info

Publication number
KR101657180B1
KR101657180B1 KR1020150062520A KR20150062520A KR101657180B1 KR 101657180 B1 KR101657180 B1 KR 101657180B1 KR 1020150062520 A KR1020150062520 A KR 1020150062520A KR 20150062520 A KR20150062520 A KR 20150062520A KR 101657180 B1 KR101657180 B1 KR 101657180B1
Authority
KR
South Korea
Prior art keywords
user terminal
file
abnormal
checking
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020150062520A
Other languages
Korean (ko)
Inventor
최승환
Original Assignee
최승환
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 최승환 filed Critical 최승환
Priority to KR1020150062520A priority Critical patent/KR101657180B1/en
Application granted granted Critical
Publication of KR101657180B1 publication Critical patent/KR101657180B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 사용자 단말기 내에서 보안 위협 행위를 하는 프로세스의 접근을 감시하고 제어하기 위한 프로세스 접근 제어 시스템 및 방법에 관한 것으로, 사용자 단말기와 통합관리서버를 포함하여 구성되어, 상기 사용자 단말기 내에서 비정상 프로세스의 접근을 감시하고 제어하기 위한 프로세스 접근 제어 시스템에 있어서, 상기 프로세스 접근 제어 시스템은, 상기 사용자 단말기와 통신하는 프로세스를 감시하는 감시부와; 상기 프로세스를 분석하여 비정상 프로세스인지 판별하는 검사부와; 상기 비정상 프로세스의 접근을 제어하는 처리부와; 상기 비정상 프로세스의 정보를 수집하는 추적부와; 상기 프로세스의 감시, 분석, 접근 제어 그리고 추적을 총괄하는 제어부; 그리고 상기 프로세스의 비정상 행위 기준치와 공격 유형 별 프로세스 특성을 저장하는 정책저장부와; 상기 비정상 프로세스와 관련하여 발생된 이벤트를 저장하는 이벤트로그저장부를 포함하여 구성되는 저장부를 포함하여 구성된다. 이와 같은 본 발명에 의하면, 사용자 단말기와 통신하는 프로세스의 위험 가능성을 판단하기 위하여, 상기 프로세스의 파일 접근, 이벤트 메시지, 리소스 그리고 네트워크를 다양한 조건으로 분석하고 제어하므로 보안이 강화되는 효과가 있다.The present invention relates to a process access control system and method for monitoring and controlling an access of a process of performing a security threat operation in a user terminal, the process access control system comprising a user terminal and an integrated management server, The process access control system comprising: a monitoring unit for monitoring a process of communicating with the user terminal; An inspection unit for analyzing the process to determine whether the process is an abnormal process; A processing unit for controlling access of the abnormal process; A tracking unit for collecting information of the abnormal process; A controller for supervising, analyzing, accessing and tracking the process; A policy storage unit for storing an abnormal behavior reference value of the process and a process characteristic of each attack type; And an event log storage unit for storing events generated in association with the abnormal process. According to the present invention, there is an effect that the security is enhanced because the file access, the event message, the resource, and the network of the process are analyzed and controlled under various conditions in order to determine the risk of the process of communicating with the user terminal.

Description

프로세스 접근 제어 시스템 및 방법 { SYSTEM AND METHOD FOR PROCESS ACCESS CONTROL SYSTEM }[0001] SYSTEM AND METHOD FOR PROCESS ACCESS CONTROL SYSTEM [0002]

본 발명은 사용자 단말기의 보안을 위한 프로세스 접근 제어 시스템 및 방법에 관한 것으로, 더욱 상세하게는, 사용자 단말기 내에서 보안 위협 행위를 하는 프로세스의 접근을 감시하고 제어하기 위한 프로세스 접근 제어 시스템 및 방법에 관한 것이다.
The present invention relates to a process access control system and method for securing a user terminal, and more particularly, to a process access control system and method for monitoring and controlling an access of a process for making a security threat in a user terminal will be.

최근, PC를 비롯한 노트북, UMPC, 휴대용 게임기, PDA, PMP, 스마트폰, 와이브로단말, 텔레매틱스 단말 등 정보처리 단말은 그 종류가 점차 다양화되고, 소형화 및 복합화됨에 따라 중요한 정보가 외부로 유출되거나 혹은 도난, 서비스 거부 등의 공격에 의한 단말기의 가용성이 훼손되고, APT(Advanced Persistent Threat)공격을 받거나, 바이러스, 트로이 목마, DDoS 등의 악성코드에 감염되는 등 수많은 보안 위협의 대상이 확대되고 있다.Recently, information processing terminals such as PCs, notebook PCs, UMPCs, portable game machines, PDAs, PMPs, smart phones, WiBro terminals and telematics terminals have diversified and become smaller and complex, The number of security threats is expanding due to the deterioration of the availability of terminals due to attacks such as theft, denial of service, APT (Advanced Persistent Threat) attacks, malicious codes such as viruses, Trojan horses and DDoS.

이러한 단말기를 대상으로 한 보안 위협을 피하기 위하여 종래기술 등록특허 10-0959264에는 단말기에서 네트워크 서비스 요청을 후킹함으로써, 네트워크 프로세스를 감시하여 공격패킷 전송을 차단하는 좀비PC 차단 시스템 및 방법에 관한 기술이 개시된 바 있다.In order to avoid a security threat directed to such a terminal, the prior art Patent Registration No. 10-0959264 discloses a system and method for blocking a zombie PC that monitors network processes and blocks attack packet transmission by hooking a network service request from a terminal There is a bar.

그러나, 종래기술의 경우, 네트워크를 이용하는 프로세스의 패킷정보만을 비교하여 악성프로세스 여부를 판단하기 때문에, 다른 조건에서의 위험 여부는 판단할 수 없는 문제점이 있었다.
However, in the case of the prior art, since only the packet information of the process using the network is compared and it is judged whether or not the process is a malicious process, there is a problem in that it can not be judged whether or not the process is dangerous under other conditions.

대한민국 등록특허 10-0959264호Korean Patent No. 10-0959264

본 발명은 상기와 같은 종래의 문제점을 해결하기 위하여 안출된 것으로, 본 발명은 파일 접근, 이벤트 메시지, 리소스 그리고 네트워크 분석을 통해, 프로세스의 위험 가능성을 판단하고 접근을 제어하여 단말기의 보안을 강화할 수 있는 프로세스 접근 제어 시스템 및 방법을 제공하는 것이다.
SUMMARY OF THE INVENTION The present invention has been made in order to solve the above-mentioned problems, and it is an object of the present invention to enhance security of a terminal by judging possibility of process risk and controlling access through file access, event message, And to provide a process access control system and method.

상기한 바와 같은 목적을 달성하기 위한 본 발명의 특징에 따르면 본 발명은, 사용자 단말기와 통합관리서버를 포함하여 구성되어, 상기 사용자 단말기 내에서 비정상 프로세스의 접근을 감시하고 제어하기 위한 프로세스 접근 제어 시스템에 있어서, 상기 프로세스 접근 제어 시스템은, 상기 사용자 단말기와 통신하는 프로세스를 감시하는 감시부와; 상기 프로세스를 분석하여 비정상 프로세스인지 판별하는 검사부와; 상기 비정상 프로세스의 접근을 제어하는 처리부와; 상기 비정상 프로세스의 정보를 수집하는 추적부와; 상기 프로세스의 감시, 분석, 접근 제어 그리고 추적을 총괄하는 제어부; 그리고 상기 프로세스의 비정상 행위 기준치와 공격 유형 별 프로세스 특성을 저장하는 정책저장부와; 상기 비정상 프로세스와 관련하여 발생된 이벤트를 저장하는 이벤트로그저장부를 포함하여 구성되는 저장부를 포함하여 구성되는 프로세스 접근 제어 시스템을 포함한다.According to an aspect of the present invention, there is provided a process access control system including a user terminal and an integrated management server, the process access control system for monitoring and controlling an access of an abnormal process in the user terminal, The process access control system comprising: a monitoring unit for monitoring a process of communicating with the user terminal; An inspection unit for analyzing the process to determine whether the process is an abnormal process; A processing unit for controlling access of the abnormal process; A tracking unit for collecting information of the abnormal process; A controller for supervising, analyzing, accessing and tracking the process; A policy storage unit for storing an abnormal behavior reference value of the process and a process characteristic of each attack type; And an event log storage unit configured to store events generated in association with the abnormal process.

그리고 상기 검사부는 프로세스의 특정 보호 파일 또는 보호 경로에 있는 파일 엑세스 여부 또는 상기 프로세스의 파일 사용 시 데이터 양의 임계치 초과 여부를 검사할 수 있다.The checking unit may check whether a file in the protection file or the protection path of the process is accessed or a threshold of the amount of data when the file of the process is used is exceeded.

또한, 상기 검사부는 프로세스가 사용자 단말기의 보안에 위험한 시스템 메시지를 발생시키는지 여부를 검사하고; 상기 보안에 위험한 시스템 메시지는, 파일 삭제, 파일 수정, 파일 생성, 프로세스 종료, 프로세스 생성, 네트워크 명령, 방화벽 명령 중 어느 하나 이상일 수 있다.In addition, the checking unit may check whether the process generates a dangerous system message in the security of the user terminal; The dangerous system message may be at least one of a file deletion, a file modification, a file creation, a process termination, a process generation, a network command, and a firewall command.

한편, 상기 검사부는 프로세스가 생성한 핸들 수, 스레드 수의 기준치 초과 여부 또는 상기 프로세스가 로드한 DLL파일의 설정DLL파일 포함 여부 또는 상기 프로세스가 생성한 종속프로세스의 설정종속프로세스 포함 여부를 검사할 수 있다.On the other hand, the checking unit can check whether the number of handles generated by the process, whether the number of threads exceeds a reference value, whether the DLL file loaded by the process includes a setting DLL file, or whether the process generated by the process includes a setting dependent process have.

그리고 상기 검사부는 프로세스가 통신하는 패킷의 출발지 또는 목적지 IP주소가 보호IP(IP대역)인지 검사하거나, 상기 프로세스가 통신하는 패킷의 다중IP 접속 허용치 초과 여부를 검사할 수 있다.The checking unit may check whether the source IP address of the packet to which the process communicates is a protection IP (IP band), or check whether the packet to which the process communicates exceeds the multiple IP connection limit value.

또한, 상기 검사부는 프로세스가 통신하는 패킷의 트래픽 증가율이 설정치를 초과하는지 여부를 검사할 수 있다.In addition, the checking unit may check whether the rate of traffic increase of the packet with which the process communicates exceeds the set value.

한편, 본 발명은 사용자 단말기와 통합관리서버를 포함하여 구성되어, 상기 사용자 단말기 내에서 비정상 프로세스의 접근을 감시하고 제어하기 위한 프로세스 접근 제어 방법에 있어서, (A) 사용자 단말기에서 프로세스가 실행되는 단계와; (B) 상기 프로세스가 사용자 단말기에서 접근하는 파일을 검사하는 단계와; (C) 상기 프로세스가 사용자 단말기에서 발생시키는 이벤트를 검사하는 단계와; (D) 상기 프로세스가 사용자 단말기에서 사용하는 리소스를 검사하는 단계; 그리고 (E) 상기 사용자 단말기가 검사값에 따라 프로세스의 종료 여부를 판단하여 종료시키는 단계를 포함하여 수행되는 프로세스 접근 제어 방법을 포함한다.According to another aspect of the present invention, there is provided a process access control method including a user terminal and an integrated management server, the process access control method for monitoring and controlling an access to an abnormal process in the user terminal, the method comprising: (A) Wow; (B) examining a file accessed by the process at a user terminal; (C) examining an event generated by the process at a user terminal; (D) checking resources used by the user terminal in the process; And (E) determining whether the user terminal has terminated the process according to an inspection value and terminating the process.

그리고 상기 제(B)단계의 파일 검사는, 상기 프로세스의 특정 보호 파일 또는 보호 경로에 있는 파일 엑세스 여부 또는 상기 프로세스의 파일 사용 시 데이터 양의 임계치 초과 여부를 검사하는 것일 수 있다.The checking of the file in step (B) may include checking whether a file in the specific protection file or protection path of the process is accessed, or whether the amount of data used when the file of the process is used exceeds a threshold.

또한, 상기 제(C)단계의 이벤트 검사는, 상기 프로세스가 사용자 단말기의 보안에 위험한 시스템 메시지를 발생시키는지 여부를 검사하고; 상기 보안에 위험한 시스템 메시지는, 파일 삭제, 파일 수정, 파일 생성, 프로세스 종료, 프로세스 생성, 네트워크 명령, 방화벽 명령 중 어느 하나 이상일 수 있다.In addition, the event checking in the step (C) may include checking whether the process generates a dangerous system message to the security of the user terminal; The dangerous system message may be at least one of a file deletion, a file modification, a file creation, a process termination, a process generation, a network command, and a firewall command.

그리고 상기 제(D)단계의 리소스 검사는, 상기 프로세스가 생성한 핸들 수, 스레드 수의 기준치 초과 여부 또는 상기 프로세스가 로드한 DLL파일의 설정DLL파일 포함 여부 또는 상기 프로세스가 생성한 종속프로세스의 설정종속프로세스 포함 여부를 검사하는 것일 수 있다.The resource checking in the step (D) may include checking whether the number of handles generated by the process, whether the number of threads exceeds a reference value, whether the DLL file loaded by the process includes a setting DLL file, or the setting of a dependent process It may be to check whether the dependent process is included.

한편, 본 발명은 사용자 단말기와 통합관리서버를 포함하여 구성되어, 상기 사용자 단말기 내에서 비정상 프로세스의 접근을 감시하고 제어하기 위한 프로세스 접근 제어 방법에 있어서, (F) 사용자 단말기에서 프로세스가 실행되는 단계와; (G) 상기 프로세스가 통신하는 패킷의 IP주소를 검사하는 단계와; (H) 상기 프로세스가 통신하는 패킷의 종류를 검사하는 단계와; (I) 상기 프로세스가 통신하는 패킷의 트래픽 증가율을 검사하는 단계; 그리고 (J) 상기 검사 결과에 따라 네트워크 차단 여부를 판단하여, 상기 네트워크를 차단하고 메시지를 송출하는 단계를 포함하여 수행되는 프로세스 접근 제어 방법을 포함한다.According to another aspect of the present invention, there is provided a process access control method including a user terminal and an integrated management server, the process access control method for monitoring and controlling an access of an abnormal process in the user terminal, Wow; (G) checking the IP address of the packet with which the process is communicating; (H) checking the type of the packet with which the process is communicating; (I) checking the traffic growth rate of the packet with which the process is communicating; And (J) determining whether the network is blocked according to the inspection result, and blocking the network and sending a message.

그리고 상기 제(G)단계의 IP주소 검사는, 상기 프로세스가 통신하는 패킷의 출발지 또는 목적지 IP주소가 보호IP(IP대역)인지 검사하거나, 상기 프로세스가 통신하는 패킷의 다중IP 접속 허용치 초과 여부를 검사하는 것일 수 있다.The checking of the IP address of step (G) may include checking whether the source IP address of the packet communicated by the process is a protection IP (IP band), whether the packet is in communication with the process, It can be checking.

또한, 상기 제(I)단계의 트래픽 증가율 검사는, 상기 프로세스가 통신하는 패킷의 트래픽 증가율이 설정치를 초과하는지 여부를 검사하는 것일 수 있다.
The traffic growth rate check of step (I) may include checking whether a rate of traffic increase of a packet communicated by the process exceeds a preset value.

위에서 살핀 바와 같은 본 발명에서는 다음과 같은 효과를 기대할 수 있다.In the present invention as described above, the following effects can be expected.

본 발명은 사용자 단말기와 통신하는 프로세스의 위험 가능성을 판단하기 위하여, 상기 프로세스의 파일 접근, 이벤트 메시지, 리소스 그리고 네트워크를 다양한 조건으로 분석하고 제어하므로 보안이 강화되는 효과가 있다.
The present invention has the effect of enhancing security by analyzing and controlling file access, event messages, resources, and network of the process under various conditions in order to determine a risk of a process of communicating with a user terminal.

도 1은 본 발명에 의한 프로세스 접근 제어 시스템의 구성을 도시한 블록도.
도 2는 본 발명에 의한 프로세스 접근 제어 방법을 도시한 흐름도.
도 3은 본 발명에 의한 프로세스 접근 제어 방법에서 특정 DLL파일 설정의 일 예를 도시한 예시도.
도 4는 본 발명에 의한 프로세스 접근 제어 방법에서 네트워크 차단 메시지가 표시된 창의 일 예를 도시한 예시도.1 is a block diagram showing the configuration of a process access control system according to the present invention;
2 is a flow chart illustrating a process access control method according to the present invention;
3 is an exemplary diagram showing an example of a specific DLL file setting in the process access control method according to the present invention;
4 is a diagram illustrating an example of a window in which a network blocking message is displayed in the process access control method according to the present invention;

이하에서는 첨부된 도면을 참조하여 본 발명의 구체적인 실시예에 의한 프로세스 접근 제어 시스템 및 방법을 살펴보기로 한다.Hereinafter, a process access control system and method according to a specific embodiment of the present invention will be described with reference to the accompanying drawings.

설명에 앞서 먼저, 본 발명의 효과, 특징 및 이를 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예에서 명확해진다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the present invention will be more apparent from the following detailed description taken in conjunction with the accompanying drawings, in which: FIG. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the concept of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims.

본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이며, 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS In the following description of the present invention, detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. , Which may vary depending on the intention or custom of the user, the operator, and the like. Therefore, the definition should be based on the contents throughout this specification.

첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들(실행 엔진)에 의해 수행될 수도 있으며, 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다.Each block of the accompanying block diagrams and combinations of steps of the flowcharts may be performed by computer program instructions (execution engines), which may be executed by a general-purpose computer, special purpose computer, or other programmable data- The instructions that are executed through the processor of the computer or other programmable data processing equipment will generate means for performing the functions described in each block or flowchart of the block diagram.

이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.These computer program instructions may also be stored in a computer usable or computer readable memory capable of directing a computer or other programmable data processing apparatus to implement the functionality in a particular manner so that the computer usable or computer readable memory It is also possible for the instructions stored in the block diagram to produce an article of manufacture containing instruction means for performing the functions described in each block or flowchart of the flowchart.

그리고, 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성하여 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명되는 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.Computer program instructions may also be loaded onto a computer or other programmable data processing equipment so that a series of operating steps may be performed on a computer or other programmable data processing equipment to create a computer- It is also possible that the instructions that perform the data processing equipment are capable of providing the steps for executing the functions described in each block of the block diagram and at each step of the flowchart.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능들을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있으며, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능하다.Also, each block or step may represent a portion of a module, segment, or code that includes one or more executable instructions for executing the specified logical functions, and in some alternative embodiments, It is also possible for functions to occur out of order.

즉, 도시된 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하며, 또한 그 블록들 또는 단계들이 필요에 따라 해당하는 기능의 역순으로 수행되는 것도 가능하다.That is, it is also possible that the two blocks or steps shown are actually concurrently performed, and that the blocks or steps are performed in the reverse order of the function as required.

도 1은 본 발명에 의한 프로세스 접근 제어 시스템의 구성을 도시한 블록도이다.1 is a block diagram showing a configuration of a process access control system according to the present invention.

이하에서는 먼저, 본 발명에 의한 프로세스 접근 제어 시스템의 구체적인 실시예를 도 1를 참고하여 상세히 설명하도록 한다.Hereinafter, a specific embodiment of a process access control system according to the present invention will be described in detail with reference to FIG.

본 발명에 의한 프로세스 접근 제어 시스템은 사용자 단말기(100)와 통합관리서버(200)를 포함하여 구성된다.The process access control system according to the present invention comprises a user terminal 100 and an integrated management server 200.

상기 사용자 단말기(100)는 컴퓨터, 노트북, 스마트폰, 태블릿 PC 등의 다양한 전자 기기들로 구성될 수 있으며, 상기 사용자 단말기(100) 상에 제어프로그램이 설치되어, 상기 통합관리서버(200)로부터 수신받은 정책을 기준으로 사용자 단말기(100)와 통신하는 프로세스를 감시하고, 비정상 프로세스의 접근을 제어한다. 그리고 상기 사용자 단말기(100)는 비정상 프로세스와 통신하며 발생된 이벤트 로그를 상기 통합관리서버(200)로 송신한다.The user terminal 100 may include various electronic devices such as a computer, a notebook computer, a smart phone, and a tablet PC. A control program may be installed on the user terminal 100, Monitors the process of communicating with the user terminal 100 based on the received policy, and controls access to the abnormal process. The user terminal 100 communicates with the abnormal process and transmits the generated event log to the integrated management server 200.

이를 위해, 상기 사용자 단말기(100)는 감시부(110), 검사부(120), 제어부(130), 처리부(140), 추적부(150) 그리고 저장부(160)를 포함하여 구성된다.The user terminal 100 includes a monitoring unit 110, an inspection unit 120, a control unit 130, a processing unit 140, a tracking unit 150, and a storage unit 160.

먼저, 상기 감시부(110)는 사용자 단말기(100)에서 수행되는 프로세스들의 파일 입출력, 패킷, 이벤트 메시지 등을 감시하고, 상기 프로세스들의 정보를 제어부(130)를 통해 검사부(120)로 전달하는 역할을 한다.First, the monitoring unit 110 monitors a file input / output, a packet, an event message, and the like of processes performed in the user terminal 100 and transmits information of the processes to the checking unit 120 through the control unit 130 .

그리고 상기 검사부(120)는 상기 프로세스들의 파일 입출력, 이벤트 메시지, 리소스 설정, 통신 패킷 정보 등을 분석하여, 상기 저장부(160)에 저장된 정책을 기준으로 프로세스의 정책 위반 여부를 판별하여 상기 제어부(130)로 프로세스의 정책 위반 판별 결과를 전달하는 역할을 한다.The checking unit 120 analyzes a file input / output, an event message, a resource setting, a communication packet information, and the like of the processes to determine whether the process is in violation of the policy based on the policy stored in the storage unit 160, 130) to transmit the policy violation judgment result of the process.

구체적으로, 파일 입출력 부분에서 상기 검사부(120)는 프로세스의 파일 접근 권한, 파일 접근 경로, 시스템 및 중요 보호 파일 접근 여부 그리고 상기 프로세스가 파일을 읽고 쓸 때 데이터 양의 설정 임계치 초과 여부를 판별한다.Specifically, in the file input / output portion, the checking unit 120 determines whether a file access right of a process, a file access path, a system and important protection file access, and a data amount when the process reads and writes a file exceed a setting threshold.

또한, 이벤트 메시지 부분에서 상기 검사부(120)는 프로세스가 설정된 보안에 위험한 시스템 명령 또는 시스템 메시지를 호출하는지 여부를 판별한다.In addition, in the event message portion, the checking unit 120 determines whether or not the process calls a dangerous system command or a system message to the set security.

그리고 리소스 설정 부분에서 상기 검사부(120)는 프로세스가 생성한 핸들, 스레드 수의 설정된 기준치 초과 여부, 상기 프로세스의 설정된 DLL 파일 로드 여부 그리고 상기 프로세스의 설정종속프로세스 생성 여부를 판별한다.In the resource setting part, the checking unit 120 determines whether or not the handle, the number of threads generated by the process, the reference value exceeded, the loaded DLL file of the process, and whether or not the process creates the setting dependent process.

또한, 상기 검사부(120)는 프로세스가 통신하는 패킷의 IP에 대한 출처 및 접근 경로, 패킷의 종류, 트래픽양 등의 정책 위반 여부를 판별한다.In addition, the checking unit 120 determines whether or not a policy violation, such as a source and an access path, a packet type, an amount of traffic, and the like of a packet with which a process communicates is determined.

한편, 상기 검사부(120)로부터 프로세스의 정책 위반 판별 결과를 전달받은 상기 제어부(130)는 처리부(140)로 정책을 위반한 프로세스 차단 또는 종료 명령을 송신하고, 상기 처리부(140)가 수신받은 명령에 따라 프로세스를 차단 또는 종료한다.The control unit 130 receives a policy violation discrimination result of the process from the inspection unit 120 and transmits a process interruption or termination command that violates the policy to the processing unit 140. When the processing unit 140 receives a command The process is shut down or terminated according to

또한, 상기 추적부(150)는 보안 정책에 위반된 프로세스에 대한 상세한 정보와 흔적을 조사하여, 상기 위반된 프로세스에 대한 출처 및 연관된 다른 사용자 단말기에 대하여 추적을 용이하게 하는 역할을 한다.In addition, the tracking unit 150 investigates detailed information and traces of a process that violates the security policy, and facilitates tracking of the source of the violating process and other user terminals associated with the process.

그리고 상기 저장부(160)는 비정상 프로세스의 정보에 대한 보안 정책과 상기 사용자 단말기(100) 상에서 발생한 이벤트 로그를 저장하기 위한 부분으로, 이를 위해, 정책저장부(162)와 이벤트로그저장부(164)를 포함하여 구성된다.The policy storage unit 162 and the event log storage unit 164 may be configured to store a security policy for information on an abnormal process and an event log generated on the user terminal 100. [ ).

먼저, 상기 정책저장부(162)는 비정상 프로세스 파일 입출력, 패킷, 이벤트 메시지 등의 정보를 저장하고, 상기 이벤트로그저장부(164)는 처리부(140)에서 프로세스에 행한 이벤트 로그를 저장하는 역할을 한다.First, the policy storage unit 162 stores information such as an abnormal process file input / output, a packet, an event message, and the like. The event log storage unit 164 stores an event log in the process in the processing unit 140 do.

그리고 상기 제어부(130)는 사용자 단말기(100) 상에서 실행되는 제어프로그램의 전반적인 제어를 담당하여, 전술한 바와 같은, 정책을 위반한 프로세스의 차단 또는 종료 명령을 송신하는 역할뿐만 아니라, 상기 통합관리서버(200)로부터 수신받은 정책을 상기 정책저장부(162)에 저장하고, 상기 이벤트로그저장부(164)에 저장된 프로세스에 행한 이벤트 로그를 상기 통합관리서버(200)로 송신하는 역할을 한다.The control unit 130 not only plays a role of controlling overall control programs executed on the user terminal 100, but also transmits a blocking or termination command of a process that violates the policy as described above, Stores the policy received from the policy management unit 200 in the policy storage unit 162 and transmits the event log to the integrated management server 200 in the process stored in the event log storage unit 164.

한편, 상기 통합관리서버(200)는 비정상 프로세스의 공격 유형 별 특성을 정의하고, 프로세스 행위 별 보안 정책을 결정하여 상기 사용자 단말기(100)로 전송하며, 상기 사용자 단말기(100)로부터 수신받은 이벤트 로그를 분석하여 분석된 정보를 저장하는 역할을 한다. Meanwhile, the integrated management server 200 determines characteristics of each type of attack of the abnormal process, determines a security policy for each process action, transmits the security policy to the user terminal 100, And stores the analyzed information.

이때, 상기 비정상 프로세스의 공격 유형에는, APT(Advanced Persistent Threat) 공격, DDoS 공격, 트로이 목마 등이 포함된다.At this time, the types of attacks of the abnormal process include an APT (Advanced Persistent Threat) attack, a DDoS attack, a Trojan horse, and the like.

상기 APT공격은 오랜 시간 동안 컴퓨터에 잠복하면서 들키지 않게 정보를 빼내거나 악성행위를 하는 형태를 말하고, 상기 APT공격 유형에는 프로세스 침투, 봇넷 활동, DDoS 공격, 중요보안장비 접근 공격, 시스템 접근 공격, 외부망 접속 통신 등이 있을 수 있다.The APT attack refers to a type of information that is latent in a computer for a long time while it is invisible or malicious. In the APT attack type, a process penetration, a botnet activity, a DDoS attack, an important security device access attack, Network access communication, and the like.

그리고 상기 DDoS 공격은 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격을 의미하며, 상기 트로이 목마는 악성코드에 감염된 프로그램을 사용자 단말기가 실행하게 되면 사용자의 중요 정보를 빼가는 악성코드를 의미한다.The DDoS attack is an attack that maliciously attacks the system and causes the system to run out of resources so that it can not be used as intended. The Trojan, when the user terminal executes the program infected with the malicious code, The malicious code that removes important information of the malicious code.

이하에서는, 본 발명에 의한 프로세스 접근 제어 방법을 도 2를 참조하여 상세히 설명하도록 한다.Hereinafter, a process access control method according to the present invention will be described in detail with reference to FIG.

도 2에 도시된 바와 같이, 본 발명에 의한 프로세스 접근 제어 방법은 상기 사용자 단말기(100) 상에서 프로세스가 실행되는 것으로 시작된다(S110).As shown in FIG. 2, the process access control method according to the present invention starts by executing a process on the user terminal 100 (S110).

상기 프로세스가 실행된 이후, 상기 사용자 단말기(100)에 설치된 제어프로그램은 상기 프로세스에 대하여 상기 정책저장부(162)에 저장된 비정상 프로세스 정보를 기준으로 다양한 검사를 수행한다.After the process is executed, the control program installed in the user terminal 100 performs various tests based on the abnormal process information stored in the policy storage unit 162 for the process.

먼저, 상기 검사부(120)는 프로세스가 사용자 단말기(100)내에서 접근하는 파일을 검사한다(S120).First, the checking unit 120 checks a file accessed by the process in the user terminal 100 (S120).

이때, 상기 접근 파일 검사는, 프로세스의 파일 접근 권한, 파일 접근 경로, 시스템 및 중요 보호 파일 접근 여부 그리고 상기 프로세스가 파일을 읽고 쓸 때 데이터 양의 설정 임계치 초과 여부를 포함하여 수행된다.At this time, the access file checking is performed including a file access right of the process, a file access path, whether access to the system and critical protection file, and whether the amount of data when the process reads and writes a file exceeds a setting threshold.

그리고 상기 검사부(120)는 프로세스가 설정된 보안에 위험한 시스템 명령 또는 시스템 메시지를 호출하는지 여부를 판별한다(S130).The checking unit 120 determines whether the process invokes a dangerous system command or a system message to the set security (S130).

여기에서, 상기 보안에 위험한 시스템 명령 또는 시스템 메시지에는 파일 삭제, 생성, 수정, 다운로드, 프로세스 종료, 네트워크 명령, 방화벽 명령 등이 있다.Here, the dangerous system command or system message may include file deletion, creation, modification, download, process termination, network command, and firewall command.

이후, 상기 제어부(130)는 검사부(120)의 판별 결과에 따라 프로세스의 종료 여부를 판단한다(S140).Thereafter, the control unit 130 determines whether the process is terminated according to the determination result of the inspection unit 120 (S140).

만약, 상기 검사부(120)의 판별 결과, 비정상 프로세스로 판별되지 않아, 프로세스가 종료되지 않는 경우, 상기 검사부(120)가 상기 프로세스의 리소스 사용에 대해 판별하여 차단 또는 종료 여부를 판단한다.If the checking unit 120 determines that the process is not terminated as an abnormal process and the process is not terminated, the checking unit 120 determines whether to use the resources of the process to determine whether to block or terminate the process.

먼저, 상기 프로세스의 사용자 단말기(100) 상에서의 리소스 설정 내역을 독출하고(S150), 상기 프로세스가 생성한 스레드 수가 기준치를 초과하는 지 여부를 판별한다(S160).First, the resource setting details on the user terminal 100 of the process are read (S150), and it is determined whether or not the number of threads generated by the process exceeds a reference value (S160).

이때, 상기 기준치는 상기 정책저장부(162)에 저장된 스레드 수 임계치이다. 상기 프로세스가 생성한 스레드 수가 기준치를 초과하는 경우는, 작업 수행량이 비정상적으로 급등하는 상황을 의미한다. 이 경우, 네트워크의 운영이 안정적이지 못한 상황이 되므로, 기접속된 사용자의 안정적인 작업 수행을 위하여 상기 프로세스를 차단하는 것이 바람직하다.At this time, the reference value is a threshold number of threads stored in the policy storage unit 162. When the number of threads generated by the process exceeds the reference value, it means a situation where the work performance amount surges abnormally. In this case, since the operation of the network becomes unstable, it is preferable to block the process for performing stable operation of the connected user.

그리고 상기 제160단계의 판별 결과, 스레드 수가 기준치를 초과하지 않는 경우, 상기 프로세스가 로드한 DLL 파일이 설정 DLL 파일에 포함되는 지 여부를 판단한다(S170).If it is determined in operation 160 that the number of threads does not exceed the reference value, the process determines whether the DLL file loaded by the process is included in the configuration DLL file (S170).

여기에서, DLL 파일이란 동적 링크 라이브러리(dynamic-link library) 파일로, 내부에는 다른 프로그램이 불러서 쓸 수 있는 다양한 함수들을 가지고 있으며, 비정상 프로세스의 경우 특정 DLL 파일을 생성하며, 생성한 DLL 파일들을 인젝션시켜 개인정보를 유출하는 방식을 많이 사용하고 있다.Here, the DLL file is a dynamic-link library file, which has various functions that can be called by other programs. In case of an abnormal process, a specific DLL file is generated, and the generated DLL files are injected And it uses a lot of methods to leak personal information.

그리고 상기 설정 DLL 파일은 상기 통합관리서버(200)로부터 수신받은 DLL 파일 목록이며, 도 3에 도시된 바와 같이, 비정상 프로세스가 로드하는 DLL 파일 목록이 상기 정책저장부(162)에 저장되어 있다.The configuration DLL file is a list of DLL files received from the integrated management server 200. As shown in FIG. 3, a list of DLL files loaded by an abnormal process is stored in the policy storage unit 162. FIG.

한편, 상기 제170단계의 판단 결과, 상기 프로세스가 로드한 DLL 파일이 설정 DLL 파일에 포함되지 않는 경우, 상기 프로세스가 생성한 종속프로세스가 설정종속프로세스에 포함되는 지 여부를 판단한다(S180).If it is determined in step 170 that the DLL file loaded by the process is not included in the configuration DLL file, it is determined whether the dependent process created by the process is included in the configuration dependent process (S180).

이때, 설정종속프로세스는 상기 기준치와 설정 DLL 파일과 마찬가지로 상기 정책저장부(162)에 저장되어 있으며, 통상적으로 알려진 비정상 프로세스의 종속프로세스 목록을 포함한다.At this time, the setting dependent process is stored in the policy storage unit 162 like the reference value and the setting DLL file, and includes a list of dependent processes of a normally known abnormal process.

또한, 비정상 프로세스가 생성하는 종속프로세스의 경우, 정상적인 프로세스 이름을 가졌으나, 생성된 경로가 일반적인 경로와 다른 경우가 존재하기 때문에, 상기 프로세스에 의해 생성된 종속프로세스의 파일 경로를 분석하여 일반적으로 생성되는 위치와 다른 경로에 생성된 종속프로세스인지 판단하여, 상기 프로세스의 비정상 프로세스 여부를 판별할 수도 있다.In addition, in the case of a dependent process generated by an abnormal process, since the generated path has a normal process name but has a normal process name, the file path of the dependent process generated by the process is analyzed to generate It is possible to determine whether or not the process is an abnormal process by determining whether the process is a dependent process generated in a path different from the location where the process is performed.

이후, 제160단계 내지 제180단계의 모든 검사 결과, 상기 검사부(120)가 상기 프로세스를 비정상 프로세스라 판단하지 않는 경우, 검사를 종료한다(S190).Thereafter, if the inspection unit 120 does not determine that the process is an abnormal process as a result of all the tests of steps 160 to 180, the inspection is terminated (S190).

그리고 제160단계 내지 제180단계의 검사 결과, 상기 검사부(120)가 상기 프로세스를 비정상 프로세스라 판단하는 경우, 상기 처리부(140)가 상기 프로세스를 종료한다(S200).If it is determined in step 160 that the inspection unit 120 determines that the process is an abnormal process, the process unit 140 ends the process in step S200.

또한, 상기 제200단계에서 프로세스를 종료시킨 후, 상기 추적부(150)가 보안 정책에 위반된 프로세스에 대한 상세한 정보와 흔적을 조사하여, 상기 위반된 프로세스에 대한 출처 및 연관된 다른 사용자 단말기에 대하여 추적을 용이하게 할 수 있도록 한다.In addition, after terminating the process in operation 200, the tracking unit 150 may check detailed information and traces of a process that is in violation of the security policy, and determine a source for the violated process and other related user terminals So as to facilitate tracking.

한편, 상기 검사부(120)는 상기 프로세스들의 파일 입출력, 이벤트 메시지, 리소스 설정 등을 검사하여 비정상 프로세스를 종료시킬 뿐만 아니라, 상기 프로세스가 통신하는 패킷을 검사하여 네트워크를 제어하는 역할도 한다.Meanwhile, the checking unit 120 not only terminates the abnormal process by inspecting the file input / output, the event message, and the resource setting of the processes, but also controls the network by inspecting packets communicated by the process.

먼저, 상기 검사부(120)는 상기 프로세스가 통신하는 패킷의 출발지, 목적지 IP 주소와 설정 IP(IP대역)주소를 비교한다(S210).First, the checking unit 120 compares the source IP address and the destination IP address of the packet with which the process communicates with the set IP address (S210).

여기에서 설정 IP(IP대역)주소는 접근을 차단하거나, 보호하고자 하는 IP대역을 의미하는 것으로, 상기 정책저장부(162)에 저장된다.Here, the set IP (IP band) address means an IP band to block access or protect, and is stored in the policy storage unit 162.

그리고 상기 검사부(120)는 상기 프로세스가 통신하는 패킷이 상기 정책저장부(162)에 저장되어 있는 다중IP 접속 허용치를 초과하는 지 여부를 검사한다(S220).In step S220, the checking unit 120 checks whether the packet transmitted by the process exceeds a multiple IP connection limit value stored in the policy storage unit 162.

상기 사용자 단말기(100)에 다중IP가 과다하게 접속하는 경우에는, 좀비PC일 가능성이 높기 때문이다. 상기 좀비PC란 악성코드에 감염돼 해당 컴퓨터 이용자의 의지와는 상관없이 해커들의 명령대로 움직이는 PC로, 해커가 액티브X나 이메일 첨부파일 등을 이용해 수많은 좀비PC들에게 악성코드를 심어놓고, 좀비PC들이 특정 일자·시간이 되면 한꺼번에 특정 사이트를 동시 접속해 공격하도록 하여, 대상 사이트 서버가 다운되도록 만든다.If multiple IPs are connected to the user terminal 100 excessively, there is a high possibility that the user terminal 100 is a zombie PC. The zombie PC is a PC that runs on hackers' orders regardless of the will of the computer user who is infected with the malicious code. Hackers use malicious code to install numerous zombie PCs using ActiveX or e-mail attachments, When a certain date and time are reached, a specific site is concurrently accessed and attacked, thereby causing the target site server to go down.

상기 제220단계 이후, 상기 검사부(120)는 상기 프로세스의 특정 패킷 종류 발생 여부를 판별한다(S230).After step 220, the checking unit 120 determines whether a specific packet type of the process has occurred or not (step S230).

이때, 상기 특정 패킷 종류는 통상적으로 알려진 비정상 프로세스가 발생시키는 패킷 종류를 포함하며, 상기 통합관리서버(200)로부터 전달받아 상기 정책저장부(162)에 저장된다.At this time, the specific packet type includes a packet type generated by a known abnormal process, and is received from the integrated management server 200 and stored in the policy storage unit 162.

이후, 상기 검사부(120)는 상기 프로세스가 통신하는 패킷 트래픽 증가율의 설정치 초과 여부를 검사한다(S240).Thereafter, the checking unit 120 checks whether the rate of increase of the packet traffic to which the process communicates exceeds a set value (S240).

패킷 트래픽 증가율이 급증하는 경우, 해커가 여러 대의 좀비PC를 이용해서 엄청난 분량의 데이터를 하나의 서버에만 집중적으로 전송하여 특정 서버의 정상적인 기능을 방해하는 DDoS공격일 가능성이 높다.In the event of a surge in packet traffic growth, a hacker is likely to be a DDoS attack that uses a large number of zombie PCs to transmit a huge amount of data to only one server, thereby hindering the normal functioning of a particular server.

한편, 상기 제210단계 내지 제240단계의 검사 결과로, 상기 검사부(120)가 네트워크 차단 여부를 판단하며(S250), 상기 패킷이 설정 IP(IP대역)에 접근하는 경우와 다중IP 접속 허용치를 초과하는 경우, 특정 패킷 종류를 발생시키는 경우와 상기 패킷의 트래픽 증가율이 설정치를 초과하는 경우에 네트워크를 차단하게 된다(S260).As a result of the checking in steps 210 to 240, the checking unit 120 determines whether the network is blocked (S250). If the packet accesses the set IP (IP band) If the specific packet type is generated and the traffic growth rate of the packet exceeds the set value, the network is blocked (S260).

그리고 네트워크를 차단한 이후에는, 도 4에 도시된 바와 같이, 상기 제어부(130)가 네트워크 차단메시지를 송출한다(S270).After the network is shut down, the controller 130 transmits a network shutdown message as shown in FIG. 4 (S270).

한편, 상기 제250단계의 판단 결과, 비정상 프로세스라 판단되지 않는 경우, 상기 제어부(130)는 검사를 종료한다(S280).On the other hand, if it is determined in operation 250 that the process is not an abnormal process, the controller 130 ends the inspection (S280).

본 발명의 권리는 이상에서 설명된 실시예에 한정되지 않고 청구범위에 기재된 바에 의해 정의되며, 본 발명의 분야에서 통상의 지식을 가진 자가 청구범위에 기재된 권리 범위 내에서 다양한 변형과 개작을 할 수 있다는 것은 자명하다.
It will be understood by those skilled in the art that various changes and modifications may be made without departing from the scope of the invention as defined in the appended claims. It is self-evident.

본 발명은 사용자 단말기의 보안을 위한 프로세스 접근 제어 시스템 및 방법에 관한 것으로, 더욱 상세하게는, 사용자 단말기 내에서 보안 위협 행위를 하는 프로세스의 접근을 감시하고 제어하기 위한 프로세스 접근 제어 시스템 및 방법에 관한 것으로, 본 발명은 사용자 단말기와 통신하는 프로세스의 위험 가능성을 판단하기 위하여, 상기 프로세스의 파일 접근, 이벤트 메시지, 리소스 그리고 네트워크를 다양한 조건으로 분석하고 제어하므로 보안이 강화되는 효과가 있다.
The present invention relates to a process access control system and method for securing a user terminal, and more particularly, to a process access control system and method for monitoring and controlling an access of a process for making a security threat in a user terminal The present invention has the effect of enhancing security by analyzing and controlling file access, event message, resource and network of the process under various conditions in order to determine a risk of a process of communicating with a user terminal.

100 : 사용자 단말기 110 : 감시부
120 : 검사부 130 : 제어부
140 : 처리부 150 : 추적부
160 : 저장부 162 : 정책저장부
164 : 이벤트로그저장부 200 : 통합관리서버100: user terminal 110:
120: Inspection unit 130:
140: processing unit 150: tracking unit
160: storage unit 162: policy storage unit
164: Event log storage unit 200: Integrated management server

Claims (13)

사용자 단말기와 통신하는 프로세스를 감시하는 감시부와; 상기 프로세스를 분석하여 비정상 프로세스인지 판별하는 검사부와; 상기 비정상 프로세스의 접근을 제어하는 처리부와; 상기 비정상 프로세스의 정보를 수집하는 추적부와; 상기 프로세스의 감시, 분석, 접근 제어 그리고 추적을 총괄하는 제어부와; 상기 프로세스의 비정상 행위 기준치와 공격 유형 별 프로세스 특성을 저장하는 정책저장부 그리고 상기 비정상 프로세스와 관련하여 발생된 이벤트를 저장하는 이벤트로그저장부를 포함하여 구성되어 상기 사용자 단말기 내에서 비정상 프로세스의 접근을 감시하고 제어하기 위한 프로세스 접근 제어 방법에 있어서,
(A) 사용자 단말기에서 프로세스가 실행되는 단계와;
(B) 상기 프로세스가 사용자 단말기에서 기 설정된 보호 파일에 대한 엑세스, 보호 경로 상의 파일에 대한 엑세스 여부 및 상기 프로세스의 파일 사용 시 데이터양의 임계치 초과 여부를 검사하는 단계와;
(C) 상기 프로세스가 사용자 단말기에서 발생시키는 이벤트를 검사하는 단계와;
(D) 상기 (B) 단계 및 (C) 단계의 검사결과, 상기 프로세스가 비정상프로세스로 판단되는 경우, 상기 프로세스를 종료하는 단계와;
(E) 상기 (D) 단계의 수행결과, 상기 프로세스의 실행이 유지되는 경우, 상기 프로세스가 사용자 단말기에서 사용하는 리소스를 검사하는 단계와;
(F) 상기 (E) 단계의 리소스 검사 결과, 상기 프로세스가 생성한 스레드 수가 기준치를 초과하거나 상기 프로세스가 로드한 DLL 파일이 상기 정책저장부에 저장된 DLL파일에 포함되는 경우, 상기 프로세스를 종료시키는 단계와;
(G) 상기 (F) 단계의 수행결과, 상기 프로세스의 실행이 유지되는 경우, 상기 프로세스에 의해 생성된 종속프로세스의 파일 경로를 분석하여, 상기 프로세스가 비정상프로세스로 판단되는 경우, 상기 프로세스를 종료시키는 단계와;
(H) 상기 (D) 단계, (F) 단계 또는 (G) 단계의 수행결과, 상기 프로세스가 종료되는 경우, 상기 추적부가 상기 종료된 프로세스의 정보를 수집하는 단계와;
(I) 상기 프로세스가 통신하는 패킷의 출발지 및 목적지 IP가 보호 IP(IP대역)에 해당되는 지 여부 및 상기 프로세스가 통신하는 패킷이 다중 IP 접속 허용치를 초과하는지 여부를 검사하는 단계와;
(J) 상기 프로세스가 통신하는 패킷의 종류를 검사하는 단계와;
(K) 상기 프로세스가 통신하는 패킷의 트래픽 증가율을 검사하는 단계; 그리고
(L) 상기 (I) 단계 내지 (K) 단계의 검사 결과에 따라 네트워크 차단 여부를 판단하여, 상기 네트워크를 차단하고 메시지를 송출하는 단계를 포함하여 수행됨을 특징으로 하는 프로세스 접근 제어 방법.
A monitoring unit for monitoring a process of communicating with a user terminal; An inspection unit for analyzing the process to determine whether the process is an abnormal process; A processing unit for controlling access of the abnormal process; A tracking unit for collecting information of the abnormal process; A control unit for supervising the monitoring, analysis, access control and tracking of the process; A policy storage unit for storing an abnormal behavior reference value of the process and a process characteristic for each attack type and an event log storage unit for storing events generated in association with the abnormal process, A method for controlling access to a process, comprising:
(A) executing a process at a user terminal;
(B) checking whether the process accesses a predetermined protection file in the user terminal, whether the file on the protection path is accessed, and whether the amount of data used when the file is used in the process exceeds a threshold;
(C) examining an event generated by the process at a user terminal;
(D) terminating the process when it is determined that the process is an abnormal process as a result of the checking in the steps (B) and (C);
(E) if the execution of the process is maintained as a result of the step (D), checking the resources used by the user terminal in the process;
(F) terminating the process when the number of threads generated by the process exceeds the reference value or the DLL file loaded by the process is included in the DLL file stored in the policy storage unit as a result of the resource check in the step (E) ;
(G) analyzing a file path of a dependent process created by the process when execution of the process is maintained as a result of performing the process (F), and when the process is determined to be an abnormal process, ;
(H) collecting information of the terminated process when the process ends as a result of the step (D), the step (F) or the step (G);
(I) checking whether the source and destination IP of the packet with which the process communicates correspond to a protected IP (IP band) and whether the packet with which the process is communicating exceeds a multiple IP connection limit;
(J) checking the type of packet with which the process is communicating;
(K) checking a traffic increase rate of a packet with which the process communicates; And
(L) determining whether or not the network is blocked according to the inspection results of the steps (I) to (K), and blocking the network and transmitting a message.
제 1 항에 있어서,
상기 (C)단계의 이벤트 검사는,
상기 프로세스가 사용자 단말기의 보안에 위험한 시스템 메시지를 발생시키는지 여부를 검사하고;
상기 보안에 위험한 시스템 메시지는,
파일 삭제, 파일 수정, 파일 생성, 프로세스 종료, 프로세스 생성, 네트워크 명령, 방화벽 명령 중 어느 하나 이상임을 특징으로 하는 프로세스 접근 제어 방법.
The method according to claim 1,
The event checking in the step (C)
Checking whether the process generates a dangerous system message to the security of the user terminal;
The system message, which is dangerous for security,
A file deletion, a file modification, a file creation, a process termination, a process creation, a network command, and a firewall command.
제 1 항 또는 제 2 항에 있어서,
상기 (K)단계의 트래픽 증가율 검사는,
상기 프로세스가 통신하는 패킷의 트래픽 증가율이 설정치를 초과하는지 여부를 검사하는 것임을 특징으로 하는 프로세스 접근 제어 방법.
3. The method according to claim 1 or 2,
The traffic growth rate check of step (K)
Wherein the step of checking whether a traffic increase rate of a packet communicated by the process exceeds a set value.
삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020150062520A 2015-05-04 2015-05-04 System and method for process access control system Active KR101657180B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150062520A KR101657180B1 (en) 2015-05-04 2015-05-04 System and method for process access control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150062520A KR101657180B1 (en) 2015-05-04 2015-05-04 System and method for process access control system

Publications (1)

Publication Number Publication Date
KR101657180B1 true KR101657180B1 (en) 2016-09-19

Family

ID=57102858

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150062520A Active KR101657180B1 (en) 2015-05-04 2015-05-04 System and method for process access control system

Country Status (1)

Country Link
KR (1) KR101657180B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180054389A (en) * 2016-11-14 2018-05-24 숭실대학교산학협력단 Client device and back-up method based on cloud, recording medium for performing the method
KR101956725B1 (en) * 2018-12-06 2019-03-11 주식회사 아신아이 A system for server access control using permitted execution files and dynamic library files
KR20220095669A (en) * 2020-12-30 2022-07-07 주식회사 안랩 Network security device and network security method based on event history
KR102495373B1 (en) * 2022-05-19 2023-02-06 프라이빗테크놀로지 주식회사 System for controlling network access based on application inspection and method of the same
CN118972163A (en) * 2024-10-09 2024-11-15 杭州领信数科信息技术有限公司 Process behavior data processing method, system and network server

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100468374B1 (en) * 2004-07-06 2005-01-31 주식회사 잉카인터넷 Device and method for controlling network harmful traffic
KR100942456B1 (en) * 2009-07-23 2010-02-12 주식회사 안철수연구소 Method for detecting and protecting ddos attack by using cloud computing and server thereof
KR100959264B1 (en) 2009-08-26 2010-05-26 에스지에이 주식회사 A system for monitoring network process's and preventing proliferation of zombi pc and the method thereof
KR101036750B1 (en) * 2011-01-04 2011-05-23 주식회사 엔피코어 Zombie behavior blocking system and method
KR20120090574A (en) * 2011-02-08 2012-08-17 주식회사 안랩 Method for detecting arp spoofing attack by using arp locking function and recordable medium which program for executing method is recorded

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100468374B1 (en) * 2004-07-06 2005-01-31 주식회사 잉카인터넷 Device and method for controlling network harmful traffic
KR100942456B1 (en) * 2009-07-23 2010-02-12 주식회사 안철수연구소 Method for detecting and protecting ddos attack by using cloud computing and server thereof
KR100959264B1 (en) 2009-08-26 2010-05-26 에스지에이 주식회사 A system for monitoring network process's and preventing proliferation of zombi pc and the method thereof
KR101036750B1 (en) * 2011-01-04 2011-05-23 주식회사 엔피코어 Zombie behavior blocking system and method
KR20120090574A (en) * 2011-02-08 2012-08-17 주식회사 안랩 Method for detecting arp spoofing attack by using arp locking function and recordable medium which program for executing method is recorded

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180054389A (en) * 2016-11-14 2018-05-24 숭실대학교산학협력단 Client device and back-up method based on cloud, recording medium for performing the method
KR101940864B1 (en) 2016-11-14 2019-01-21 숭실대학교산학협력단 Client device and back-up method based on cloud, recording medium for performing the method
KR101956725B1 (en) * 2018-12-06 2019-03-11 주식회사 아신아이 A system for server access control using permitted execution files and dynamic library files
KR20220095669A (en) * 2020-12-30 2022-07-07 주식회사 안랩 Network security device and network security method based on event history
KR102521895B1 (en) 2020-12-30 2023-04-14 주식회사 안랩 Network security device and network security method based on event history
KR102495373B1 (en) * 2022-05-19 2023-02-06 프라이빗테크놀로지 주식회사 System for controlling network access based on application inspection and method of the same
CN118972163A (en) * 2024-10-09 2024-11-15 杭州领信数科信息技术有限公司 Process behavior data processing method, system and network server

Similar Documents

Publication Publication Date Title
US10893068B1 (en) Ransomware file modification prevention technique
US10657251B1 (en) Multistage system and method for analyzing obfuscated content for malware
US7877795B2 (en) Methods, systems, and computer program products for automatically configuring firewalls
US9438623B1 (en) Computer exploit detection using heap spray pattern matching
EP3225009B1 (en) Systems and methods for malicious code detection
RU2680736C1 (en) Malware files in network traffic detection server and method
US20180359272A1 (en) Next-generation enhanced comprehensive cybersecurity platform with endpoint protection and centralized management
US9973531B1 (en) Shellcode detection
EP2609538B1 (en) System and method for server-coupled malware prevention
US8544095B2 (en) System and method for server-coupled application re-analysis
US8042186B1 (en) System and method for detection of complex malware
US20170230397A1 (en) System and method for assessing data objects on mobile communications devices
EP2515250A1 (en) System and method for detection of complex malware
KR101657180B1 (en) System and method for process access control system
US20110047597A1 (en) System and method for security data collection and analysis
US9584550B2 (en) Exploit detection based on heap spray detection
KR20180097527A (en) Dual Memory Introspection to Protect Multiple Network Endpoints
CA2902110C (en) Systems and methods of risk based rules for application control
EP3270317B1 (en) Dynamic security module server device and operating method thereof
EP2860657A1 (en) Determining a security status of potentially malicious files
US12248563B1 (en) System and method for cybersecurity analyzer update and concurrent management system
US20190109824A1 (en) Rule enforcement in a network
US9275231B1 (en) Method and apparatus for securing a computer using an optimal configuration for security software based on user behavior
KR101568872B1 (en) Method and apparatus for detecting unsteadyflow in program
US20190028494A1 (en) System and method for cloud-connected agent-based next-generation endpoint protection

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20150504

PA0201 Request for examination
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20160216

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20160830

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20160907

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20160907

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20190904

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20190904

Start annual number: 4

End annual number: 4

PR1001 Payment of annual fee

Payment date: 20200720

Start annual number: 5

End annual number: 5

PR1001 Payment of annual fee

Payment date: 20210713

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20220630

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20230731

Start annual number: 8

End annual number: 8