Search

KR-20260061943-A - PC security inspection service including process analysis for each service port on the server

KR20260061943AKR 20260061943 AKR20260061943 AKR 20260061943AKR-20260061943-A

Abstract

본 발명은 서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스에 관한 것으로, 상세하게는 서버에서 에이전트가 설치된 사용자 PC에서 서버존을 접속 프로세스가 사용자 PC의 사용자 개입에 의한 것인지를 판단하는 1단계, 서버에서 1단계에서 사용자 PC의 사용자 개입에 의해 상기 접속프로세스가 실행었다고 판단된 경우, 서버에서 서버존 접속 프로세스가 허용된 프로그램에 의한 허용 프로세스 인지를 판단하는 제2 단계 및 서버에서 허용된 프로세의 허용된 프로그램의 설치경로가 정해진 사용비율 이상인지 여부를 판단하는 3단계를 포함할 수 있다.

Inventors

  • 소준영

Assignees

  • 주식회사 아이티스테이션

Dates

Publication Date
20260506
Application Date
20241028

Claims (2)

  1. 서버에서 에이전트가 설치된 사용자 PC에서 서버존을 접속 프로세스가 사용자 PC의 사용자 개입에 의한 것인지를 판단하는 1단계; 상기 서버에서 상기 1단계에서 사용자 PC의 사용자 개입에 의해 상기 접속프로세스가 실행었다고 판단된 경우, 상기 서버에서 상기 서버존 접속 프로세스가 허용된 프로그램에 의한 허용 프로세스 인지를 판단하는 제2 단계; 및 상기 서버에서 상기 허용된 프로세의 상기 허용된 프로그램의 설치경로가 정해진 사용비율 이상인지 여부를 판단하는 3단계를 포함하는 서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스.
  2. 청구항 1에 있어서, 상기 에어전트는 상기 에이전트는 상기 사용자 프로에 상기 접속 프로세스에 사용된 PE 파일을 모니터링하고, 상기 서버는 상기 사용자 PC의 상기 서버존 접속 프로세스를 백본의 미러링 데이터를 통해 모니터링하며, 상기 서버에선 상기 허용된 프로세의 상기 허용된 프로그램의 설치경로가 정해진 사용비율 이상인지 여부를 판단은 학습모드로 진행되는 서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스.

Description

서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스{PC security inspection service including process analysis for each service port on the server} 본 발명은 서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스에 관한 것이다. 악성 소프트웨어 또는 맬웨어에는 컴퓨터에 유해한 모든 프로그램이나 파일이 포함된다. 악성 코드에는 컴퓨터 바이러스, 웜, 트로이 목마, 애드웨어, 스파이웨어, 랜섬웨어 및 컴퓨터나 사용자에 대한 정보를 수집하거나 허가 없이 작동하는 모든 프로그램이 포함된다. 파일 암호화 멀웨어(랜섬웨어, "크립터" 또는 암호화 바이러스 강탈이라고도 함)는 파일을 암호화하여 시스템에 있는 파일에 대한 사용자의 액세스를 제한하는 멀웨어 일종이다. 일반적으로 랜섬웨어는 해독된 파일에 대해 사용자에게 돈을 요구하고, 랜섬웨어에서 파일을 복구하는 것은 어려운 반면, 파일 암호화 악성코드에서 파일을 복구하는 것은 어렵고 불가능한 경우가 많다. 파일 암호화 악성 코드를 탐지하는 현재 방법은 다른 악성 코드를 탐지하는 방법과 실질적으로 동일하며, 알려진 방법으로는 서명을 사용하거나 맬웨어가 포함된 파일에 대한 경험적 분석이 이용된다. 기존 시스템에서는 데이터 침해를 방지하기 위해 파일의 백업 복사본을 생성하는 프로세스를 공개하고, 시스템이 의심스러운 프로세스를 감지하면 프로세스가 파일을 변경하기 전에 변경될 파일을 백업한다. 그러나 시스템은 각 프로세스 뒤에 파일 백업 루틴이 따르도록 하여 메모리를 소비하고 컴퓨터 성능이 저하되는 문제점이 있다. 따라서 컴퓨팅 환경에서 데이터 침해 및 랜섬웨어를 탐지하기 위한 시스템 및 방법의 개발이 필요한 실정으로, 파일에 대한 사용자 활동과 랜섬웨어/자동화된 프로그램 활동을 구별하는 시스템 및 방법의 개발이 요구된다. 도 1은 서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스를 개략적으로 나타낸 블록도이다. 도 2는 도 1의 서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스에서 멀웨어 판단 프로세스를 개략적으로 나타낸 블록도이다. 도 3은 본 발명의 서비스 포트별 프로세스분석을 통한 멀웨어 판단 프로세스를 플로우로 나타낸 이미지이다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되는 실시 예를 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이다. 이하, 첨부된 도면들을 참조하여 본 발명의 기술적 특징을 구체적으로 설명한다. 도 1은 서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스를 개략적으로 나타낸 블록도이고, 도 2는 도 1의 서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스에서 멀웨어 판단 프로세를 개략적으로 나타낸 블록도이다. 또한, 도 3은 본 발명의 서비스 포트별 프로세스분석을 통한 멀웨어 판단 프로세를 플로우로 나타낸 이미지이다. 도 1 내지 도 3을 참고하면, 본 실시예에 따른 서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스는, 홈페이지, 인사정보 및 ERP 등이 저장된 서버존(DMZ), 사용자 PC 및 사용자 PC에 설치된 에이전트(Agent), 사용자 PC의 서버존 접속 행위를 미러링하는 백본 및 서버를 포함할 수 있다. 도 1에 도시된 바와 같이, 사용자 PC에서 서버존(DMZ)에 사용자 PC에 설치된 에이전트(Agent)에서 서버존(DMZ) 접속관련 프로세스, 즉 프로세스 이름 및 실행 경로와 사용자 개입 유무를 확인할 수 있다. 여기서 사용자 개입 유무는 도 2에 도시된 바와 같이, 사용자가 마우스 또는 키보드 등의 외부 입력장치를 이용하여 프로세스를 실행시켰는지를 확인하는 것으로, 상세하게는, 마우스 또는 키보드 등이 연결되는 컴퓨터 포트에서 프로세스 진행을 위한 명령이 입력되었다면 사용자 개입이 있는 것으로 우선적으로 판단할 수 있다. 또한, 사용자 PC에서 서버존(DMZ)(예: 홈페이지)에 접속하면 백본에서 미러링 데이터를 통해 서버존 접속행위가 탐지되고, 탐지된 서버존 접속행쉬는 서버에 보고된다. 이때, 서버에서는 사용자 PC의 에이전트(Agent)에 사용자 개입에 의해 발생된 서버존(DMZ) 접속관련 프로세스 정보를 요청하게되고, 사용자 PC의 에이전트(Agent)에서는 사용자 PC에서 서버에서 요청된 정보를 확인하여 서버에 전송한다. 서버에 전송된 사용자 PC의 서버존 접속관련 프로세스 정보를 이용하여 서버는 사용자 개입 여부 및 학습모드를 이용하여 사용자 PC의 서버존 접속관련 프로세스가 비정상 프로세스 인지를 판단한다. 만약, 사용자 PC의 서버존 접속관련 프로세스가 비정상 프로세스로 판단되면, 서버에서 사용자 PC의 에이전트(Agent)에 비정상 프로세의 종료를 요청하고 에이전트(Agent)에서 사용자 PC의 비정상 프로세스를 강제 종료후 서버에 보고하게 된다. 도 2를 참고하면, 본 실시예에 따른 서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스는 사용자 개입여부 판단의 1단계, 허용프로세스 여부 판단의 2단계 및 사용비율이 정해진 비율(%) 이상인 프로세스 설치 경로인지를 판단하는 3단계를 포함할 수 있다. 본 실시예에 따르면, 서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스에 있어서 1단계, 2단계 및 3단계의 허용 조건을 만족하여야 정상 프로세스, 즉 화이트 프로세스로 판단될 수 있다. 상세하게는, 1단계인 사용자 개입여부 판단 단계에서는, 프로세스가 키보드 또는 마우스 중 하나로 실행되었는지 윈도우 OS에서 실행되었는지를 분석하여, 윈도우 OS에서 실행된 것으로 분석되면 멀웨어에 의한 프로세스로 판단될 수 있다. 만약, 1단계인 사용자 개입여부 판단단계에서 키보드 또는 마우스 중 하나로 실행된 것으로 분석되면 2단계인 허용프로세스인지를 판단할 수 있다. 여기서, 2단계인 허용 프로세스 여부 판단 단계에서는 허용된 프로그램으로 프로세스가 진행된 것인지 여부를 판단할 수 있다. 상세하게는, 1단계에서 요청된 프로세스가 허용된 프로그램인 에지(edge) 마 크롬(chrome) 소프트웨어로 실행된 것이 아닌 허용되지 않은 다른 프로그램으로 실행된 것이라면 멀웨어에 의한 프로세스로 판단될 수 있다. 또한, 2 단계에서 허용된 프로그램인 에지(edge) 마 크롬(chrome) 소프트웨어로 프로세스가 실행된 것으로 판단되면, 3단계에서 2단계에서 프로세스에 사용된 프로그램의 프로세스 설치경로를 분석하여 정상적으로 설치된 프로레스 프로그램인지를 분석한다. 이렇게, 본 실시예에 따르면 1단계에서 3단계의 모든 허용 조건을 만족한 프로세스가 정상 프로세스로 허용되고 1단계에서 3단계의 허용 조건 중 하나라도 만족하지 못한 프로세스는 멀웨어에 의한 비정상 프로세스로 분석되어 PC에 설치된 에이전트(Agent)에 의해 삭제될 수 있다. 도 3을 참고하면, 본 실시예에 따른 서버의 서비스 포트별 프로세스분석을 포함한 PC보안점검 서비스는, 사용자 PC에 설치된 에이전트(Agent)를 통해 메모리에 로딩된 PE 파일을 모니터링하는 1단계, 네트워크 미러링 데이터를 수집하여 중료서버 접속시도를 모니터링하는 2단계, 2단계에서 수집된 이벤트에 매칭되는 사용자 PC의 에이전트(Agent)에 PE파일의 분석을 요청하는 3단계, 해당 에이전트(Agent)에서 이벤트를 발생시킨 PE 파일을 서버 매니저에 전송하는 4단계, 전송받은 PE 파일을 사용자 개입여부와 학습모드를 통해 멀웨어 여부 판단하는 5단계, 멀웨어로 판단되면 해당 사용자 PC의 에어전트(Agent)에 PE파일 관련 프로세스 종료를 요청하는 6단계 및 해당 에이전트(Agent)는 프로세스 종료 명령을 서버 매니저에게 전달받아 해당 프로세스를 종료하는 단계를 포함할 수 있다. 이상 본 발명의 실시예를 참조하여 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.