KR100512145B1 - 침입탐지 시스템에서 파일 무결성 검사 방법 - Google Patents

침입탐지 시스템에서 파일 무결성 검사 방법 Download PDF

Info

Publication number
KR100512145B1
KR100512145B1 KR10-2003-0080621A KR20030080621A KR100512145B1 KR 100512145 B1 KR100512145 B1 KR 100512145B1 KR 20030080621 A KR20030080621 A KR 20030080621A KR 100512145 B1 KR100512145 B1 KR 100512145B1
Authority
KR
South Korea
Prior art keywords
file
integrity
integrity data
user
data
Prior art date
Application number
KR10-2003-0080621A
Other languages
English (en)
Other versions
KR20050046371A (ko
Inventor
박도현
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR10-2003-0080621A priority Critical patent/KR100512145B1/ko
Publication of KR20050046371A publication Critical patent/KR20050046371A/ko
Application granted granted Critical
Publication of KR100512145B1 publication Critical patent/KR100512145B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 사용자에 의해 입력된 파일을 파일 접근 탐지 정책에 저장하고, 상기 저장된 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단한 후, 저장하고, 사용자에 의해 입력된 무결성 검사 환경 정보를 수신하여 저장하고, 상기 저장된 각 파일에 대하여 이벤트를 모니터링하여 접근이 일어나는지의 여부를 감지하여 접근이 일어난 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단하고, 상기 판단결과 해당 파일의 무결성 데이터가 올바르지 않으면, 미리 설정된 대응 행동을 수행하고, 상기 사용자에게 알람 정보를 출력하는 것으로서, 보호하고자 하는 파일에 대한 어떤 접근이 일어나더라도 무결성 검사를 바로 실행하여 관리자에게 통보하고 시스템에 자동으로 대응 행동을 실시하므로 시스템에 대한 안전성을 높일 수 있다.

Description

침입탐지 시스템에서 파일 무결성 검사 방법{Method for inspecting file faultless in invasion detection system}
본 발명은 보호 대상 파일에 대하여 외부 사용자/프로세서등의 접근이 감지되면, 무결성 데이터 검사를 수행하여 그 결과를 관리자에게 즉시 제공하는 침입 탐지 시스템에서 파일 무결성 검사 방법에 관한 것이다.
지식 정보화 사회가 고도화될수록 네트워크 및 정보 시스템에 대한 주요 업무의 의존도가 높아지고 있으며, 네트워크를 통한 정보 서비스 영역은 급증하고 있다. 반면 정보화 역기능 사례 역시 날이 갈수록 급증하고 있는데, 대표적인 정보화 역기능이 인터넷을 통한 기업/기관 네트워크상의 주요 정보 시스템에 대한 침입 및 공격 행위, 이른바 해킹이다.
이러한 침입 및 공격 행위에 대비하여 네트워크 및 주요 정보 시스템을 보호하기 위한 다양한 네트워크 및 시스템 보안 기법과 장치들이 개발되고 있다. 침입탐지 시스템은 네트워크 및 시스템 보안 장치의 하나로 네트워크 및 주요 정보 서비스가 가동중인 호스트를 모니터링하고 침입으로 의심되는 행위가 발견될때 보안 관리자에게 경보하고 침입자의 행위에 대한 상세 보고서를 제출하며 해당 행위에 대해 보안 대책을 제공해주는 시스템이다.
상기한 침입 탐지 시스템은 그 대상이 네트워크인지 호스트인지에 따라 NIDS와 HIDS로 나뉘어지고 이러한 NIDS와 HIDS를 결합한 시스템인 하이브리드 IDS가 있다.
상기와 같은 침입 탐지 시스템에 있어서, 주요한 시스템 파일의 변조 여부를 주기적으로 검사하여 침입을 탐지하는 것이 무결성 검증 프로세서이다.
상기와 같은 무결성 검증 프로세스를 구현하기 위해서는 주요한 시스템 파일 및 디렉토리, 사용자에 의해 선택된 파일 및 디렉토리들에 대해 MD5 체크섬 값, 생성시간, 엑세스 권한 등의 주요 정보들로 이루어진 핑거프리트를 만들고 이를 데이터베이스화하여 보관한다. 그럼다음 정해진 스케쥴에 따라 주기적으로 자동화하여 또는 침입이 의심되는 시점에서 관리자의 수동 조작으로 검증 시점에서의 현재 파일 및 디렉토리의 핑거프린터와 대조하여 변조/추가/삭제 여부를 검증한다.
상기와 같이 파일 무결성 검사는 관리자가 수동으로 각 파일에 대한 무결성 데이터를 생성하고 상기 생성된 데이터를 파일이나 데이터베이스에 저장해 두었다가 비정기적 또는 정기적으로 상기 저장된 파일 무결성 데이터와 새로 생성한 파일 무결성 데이터를 비교하여 파일이 변형되었는지의 여부를 판단한다.
상기 판단결과 해당 무결성 데이터에 대하여 변형된 사실이 발견되면, 관리자에게 이에 대한 정보를 제공하고 적절히 대응하도록하여 시스템을 보호하도록 한다.
여기서, 상기 무결성 데이터를 생성하는 방법을 여러가지가 있으나 보통 해쉬 알고리즘을 이용한 파일 무결성 방법을 많이 사용하고 있다. 대표적인 해쉬 알고리즘으로는 MD5, SHA-1과 같은 알고리즘이 있으며, SHA-1알고리즘의 경우 비트 이하의 메시지를 160비트(20바이트)길이의 축약된 데이터로 만들어낸다. 이 20바이트의 무결성 데이터를 비교하여 파일의 내용이 변형되었는지를 검사할 수 있다.
이하 도면을 참조하여 무결성 데이터를 검사하는 방법에 대하여 자세히 설명하기로 한다.
도 1은 종래의 침입 탐지 서버에서 무결성 데이터를 검사하는 방법을 나타낸 흐름도이다.
도 1을 참조하면, 침입 탐지 서버는 사용자에 의해 입력된 파일 리스트를 수신하여 저장한다(S100). 즉, 사용자는 침입 탐지 서버에서 보호해야할 파일들을 설정하고, 상기 파일들에 대한 정확한 위치와 파일 이름등을 리스트화하여 상기 침입 탐지 서버에 저장한다.
단계 100의 수행후, 상기 침입 탐지 서버는 상기 저장된 파일에 대하여 제1 무결성 데이터를 생성하고(S102), 상기 생성된 무결성 데이터가 올바른지의 여부를 판단하기 위하여 각 파일에 대하여 제2 무결성 데이터를 생성한다(S104).
그럼다음 상기 침입 탐지 서버는 상기 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하는지의 여부를 판단한다(S106).
단계 106의 판단결과 상기 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하면, 상기 침입 탐지 서버는 상기 제1 무결성 데이터가 올바르다고 판단하여 저장한다(S108).
즉, 상기 침입 탐지 서버는 상기 저장된 파일들을 사용자에 의해 선택된 해쉬 알고리즘을 이용하여 차례대로 제1 무결성 데이터를 생성한다. 각 파일들에 대한 제1 무결성 데이터의 생성이 완료되면, 상기 침입 탐지 서버는 상기 생성된 제1 무결성 데이터가 올바른지 확인하기 위하여 각 파일들에 대한 제2 무결성 데이터를생성하고 이를 비교하여 모두 일치하는 경우에만 검증을 완료한다.
만약, 단계 106의 판단결과 상기 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하지 않으면, 상기 침입탐지 서버는 상기 제1 무결성 데이터가 올바르지 않다고 판단하여 단계 102부터 다시 수행한다. 즉, 제1 무결성 데이터와 제2 무결성 데이터가 상응하지 않으면, 상기 침입 탐지 서버는 해당 파일에 대하여 무결성 데이터를 다시 생성한다.
단계 108의 수행후, 상기 침입 탐지 서버는 사용자에 의해 입력된 무결성 검사 환경 정보를 수신하여 저장한다(S110). 상기 무결성 검사 환경 정보는 검사 방법 정보와 알람 정보 출력 방법등을 말한다. 상기 검사 방법에는 일정 시간 간격을 두고 자동으로 검사 혹은 관리자의 필요에 의해서 실시하도록 수동으로 검사하는 방법이 있다. 따라서 사용자는 자동 또는 수동등과 같은 검사 방법중에서 하나를 설정한다.
상기 알람 정보 출력 방법은 무결성 검사를 실시한 후, 파일 무결성에 오류가 탐지된 경우 관리자에게 검사 결과를 어떤 방식으로 전달할 것인지를 나타내는 것으로서, 메일, 문자 메시지, 음성 메시지 등과 같은 방법이 있다.
단계 110의 수행후, 상기 침입 탐지 서버는 상기 사용자에 의해 설정된 무결성 검사 환경 정보에 따라 무결성 데이터 검사 시간이 되었는지의 여부를 판단한다(S112). 다시 말하면, 상기 침입 탐지 서버는 무결성 검사 방법이 자동 검사인 경우 검사 시간이 되었는지, 수동 검사인 경우 상기 사용자로부터 무결성 검사 요구 명령이 수신되었는지의 여부를 판단한다.
단계 112의 판단결과 무결성 데이터 검사 시간이 되면, 상기 침입 탐지 서버는 각 파일에 대한 무결성 데이터를 검사하여(S114), 각 무결성 데이터가 올바른지의 여부를 판단한다(116).
단계 116의 판단결과 무결성 데이터가 올바르면, 상기 침입 탐지 서버는 해당 파일을 정상으로 판단한후(S118), 단계 112를 수행한다.
만약, 단계 116의 판단결과 무결성 데이터가 올바르지 않으면, 상기 침입 탐지 서버는 무결성 오류 정보를 생성한 후(S120), 관리자에게 오류가 발생했다는 알람 정보를 출력한다(S122). 상기 알람정보는 상기 사용자에 의해 미리 설정된 방법 예를 들면, 메일, 문자 메시지등의 방법에 의해서 출력된다. 따라서, 상기 알람정보는 '오류가 발생했습니다'라는 형태의 문자 메시지 또는 메일로 출력된다.
그러면, 관리자는 상기 침입 탐지 서버에서 출력되는 알람 정보를 확인한 후, 이상이 발견된 파일에 대한 조치를 취하여 전체 시스템에 문제가 생기지 않도록 대응한다.
그러나 상기와 같은 종래에는 보호하고자 하는 파일이 변형되는 즉시 관리자에게 오류 정보가 전달되지 않으므로 즉각적인 대응이 필요한 시스템인 경우 치명적인 시스템 오류가 발생하는 문제점이 있다.
또한 무결성 데이터에 오류가 발생된 경우 그 원인과 시간 정보를 확인할 수 없는 문제점이 있다.
또한, 시스템에 대한 보안성을 높이기 위해서는 자주 무결성 검사를 실시해야하고 검사중에는 시스템의 CPU 사용량이 높아지므로 시스템의 활용도가 낮아지는 문제점이 있다.
또한, 보호하고자 하는 파일이 복사가 되면, 내용이 변형되는 것이 아니므로 무결성 데이터 값은 일치하게 되어 오류 메시지가 발생하지 않으므로 중요한 파일에 대한 외부 유출을 막을 수 없는 문제점이 있다.
따라서, 본 발명의 목적은 보호하고자 하는 파일에 대한 어떤 접근이 일어나더라도 무결성 검사를 바로 실행하여 관리자에게 통보하고 시스템에 자동으로 대응 행동을 실시하는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공하는데 있다.
본 발명의 다른 목적은 파일 변형을 시도한 사용자나 프로세스, 파일 변형이 시도된 날짜와 시간을 확인할 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공하는데 있다.
본 발명의 또다른 목적은 파일 변형이 시도되었을 경우에만 무결성 검사를 실시하여 CPU 사용량을 줄일 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공하는데 있다.
본 발명의 또다른 목적은 파일을 단순히 복사하거나 읽기만 하여도 로그를 발생하고 대응행동을 실시하여 중요한 정보에 대한 외부 유출을 막을 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공하는데 있다.
상기 목적들을 달성하기 위하여 본 발명의 일 측면에 따르면, 사용자에 의해 입력된 파일을 파일 접근 탐지 정책에 저장하고, 상기 저장된 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단한 후, 저장하고, 사용자에 의해 입력된 무결성 검사 환경 정보를 수신하여 저장하고, 상기 저장된 각 파일에 대하여 이벤트를 모니터링하여 접근이 일어나는지의 여부를 감지하고, 접근이 일어난 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단하고, 상기 판단결과 해당 파일의 무결성 데이터가 올바르지 않으면, 미리 설정된 대응 행동을 수행하고, 상기 사용자에게 알람 정보를 출력하는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법이 제공된다.
상기 저장된 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단한 후, 저장하는 것은 상기 저장된 파일에 대하여 사용자에 의해 선택된 해쉬 알고리즘을 이용하여 제1 무결성 데이터와 제2 무결성 데이터를 생성하고, 상기 생성된 제1 무결성 데이터가 제2 무결성 데이터와 상응하는 경우에 상기 제1 무결성 데이터를 올바른 것으로 판단하여 저장하고, 상응하지 않으면, 상기 제1 무결성 데이터가 올바르지 않다고 판단하여 무결성 데이터 검사를 다시 수행한다.
상기 무결성 검사 환경 정보는 오류발생 파일에 대한 대응 행동 정보와 알람 정보 출력 방법을 포함한다.
상기 파일 접근은 파일 열기, 읽기, 쓰기, 생성, 삭제를 포함하는 동작일 수 있다.
상기 접근이 일어난 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단하는 것은 상기 접근이 일어난 파일에 대하여 제3 무결성 데이터를 생성하고, 상기 생성된 제3 무결성 데이터가 미리 생성되어 저장된 제1 무결성 데이터가 상응하는지의 여부를 판단하고, 상기 판단결과 상기 제3 무결성 데이터가 상기 제1 무결성 데이터와 상응하면, 상기 무결성 데이터가 올바르다고 판단하고, 상응하지 않으면, 상기 무결성 데이터가 올바르지 않다고 판단한다.
상기 무결성 데이터가 올바르면, 해당 파일을 정상으로 판단하고, 올바르지 않으면, 해당 파일에 오류가 발생했다고 판단한다.
상기 미리 설정된 대응 행동은 상기 사용자에 의해 미리 설정되어 저장된 무결성 검사 환경 정보내의 대응 행동 정보이다.
상기 알람 정보는 파일 접근을 시도한 사용자/프로세서, 날짜, 시간을 포함하는 무결성 오류 정보를 포함하고, 메일, 메시지, 문자 메시지 등의 형태로 출력된다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.
도 2는 본 발명의 바람직한 일 실시예에 따른 호스트 침입 탐지 시스템의 구성을 개략적으로 나타낸 블럭도이다.
도 2를 참조하면, 호스트 침입 탐지 시스템은 호스트 침입 탐지 서버(200), 관리 서버(210)를 포함한다.
상기 호스트 침입 탐지 서버(200)는 외부의 공격으로부터 보호하기 위해서 침입 탐지 전용 프로그램이 설치된 서버로서, 데이터베이스 서버(202), 웹서버(204), 파일 서버(204)등 일 수 있다.
상기 관리서버(210)는 호스트 침입 탐지 서버(200)를 운영하기 위한 관리 서버로서, 상기 호스트 침입 탐지 서버(200)의 침입 탐지에 대한 로그와 정책을 관리한다.
상기와 같이 구성된 호스트 침입 탐지 시스템은 기본적으로 보호 대상이 되는 서버(200)의 네트워크 침입 탐지, 파일 접근, 레지스트리 접근, 사용자 로그인, 파일 무결성 검사 기능등을 수행한다.
특히 호스트 침입 탐지 서버(200)는 사용자에 의해 입력된 무결성 검사 파일 리스트를 파일 접근 탐지 정책에 등록하고 무결성 데이터를 생성한다. 그런다음 상기 호스트 침입 탐지 서버(200)는 해당 무결성 데이터에 접근이 탐지되면, 해당 무결성 데이터가 올바른지의 검사를 수행한다.
상기 검사 수행결과 해당 무결성 데이터가 올바르지 않으면, 상기 침입 탐지 서버는 해당 오류에 대하여 사용자에 의해 미리 지정된 대응 행동을 실행하고, 상기 사용자에게 알람 정보를 출력한다. 여기서 상기 알람 정보는 어떤 사용자나 프로세스에 의해 언제 어떠한 행위를 통하여 파일이 변형되었는지를 나타낸 정보이다.
도 3은 본 발명의 바람직한 일 실시예에 따른 침입 탐지 서버에서 무결성 데이터 검사 방법을 나타낸 흐름도이다.
도 3을 참조하면,침입 탐지 서버는 사용자에 의해 입력된 보호 대상 파일을 파일 접근 탐지 정책에 등록한다(S300).
즉, 사용자는 호스트 침입 탐지 시스템에서 보호해야할 파일들을 파일 접근 탐지 정책에 등록하고 파일 접근 방법에 관하여 상세히 정의한다. 상기 파일 접근 방법으로는 열기, 읽기, 쓰기, 생성, 삭제 등일 수 있다. 그리고 무결성 검사 대상 파일들에 대해서는 무결성 검사 파일옵션을 설정한다.
단계 300의 수행후, 상기 침입 탐지 서버는 상기 등록된 파일에 대하여 제1 무결성 데이터를 생성한다(S302).
즉, 상기 침입 탐지 서버는 상기 파일접근 탐지 정책에 등록된 무결성 검사 대상 파일에 대해서만 해쉬 알고리즘을 이용하여 무결성 데이터를 생성한다. 상기 해쉬 알고리즘은 사용자에 의해 선택된 알고리즘일 수 있다.
단계 302의 수행후, 상기 침입 탐지 서버는 상기 생성된 제1 무결성 데이터가 올바른지의 여부를 판단하기 위하여 상기 등록된 각 파일에 대하여 제2 무결성 데이터를 생성한다(S304).
그럼다음 상기 침입 탐지 서버는 상기 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하는지의 여부를 판단한다(S306).
단계 306의 판단결과 상기 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하면, 상기 침입 탐지 서버는 상기 제1 무결성 데이터가 올바르다고 판단하여 저장한다(S308).
즉, 상기 침입 탐지 서버는 상기 저장된 파일들을 사용자에 의해 선택된 해쉬 알고리즘을 이용하여 차례대로 제1 무결성 데이터를 생성한다. 각 파일들에 대한 제1 무결성 데이터의 생성이 완료되면, 상기 침입 탐지 서버는 상기 생성된 제1 무결성 데이터가 올바른지 확인하기 위하여 각 파일들에 대한 제2 무결성 데이터를생성하고 이를 비교하여 모두 일치하는 경우에만 검증을 완료한다.
만약, 단계 306의 판단결과 상기 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하지 않으면, 상기 침입탐지 서버는 상기 제1 무결성 데이터가 올바르지 않다고 판단하여 단계 302부터 다시 수행한다. 즉, 제1 무결성 데이터와 제2 무결성 데이터가 상응하지 않으면, 상기 침입 탐지 서버는 해당 파일에 대하여 무결성 데이터를 다시 생성한다.
단계 308의 수행후, 상기 침입 탐지 서버는 사용자에 의해 입력된 무결성 검사 환경 정보를 수신하여 저장한다(S310).
상기 무결성 검사 환경 정보는 무결성 오류가 발생한 파일에 대한 대응행동 정보와 알람 정보 출력 방법등을 말한다. 상기 무결성 오류가 발생한 파일에 대한 대응 행동 정보는 파일 접근이 일어난 파일에 대해서 무결성 검사를 실시한 후, 무결성 오류가 발생할 경우에 대처해야할 대응행동을 말한다. 상기 대응행동 방법으로는 네트워크 로그오프, 로컬 로그 오프, 로컬 로그온 금지, 네트워크 로그온 금지, 시스템 잠금, 시스템 종료, 프로세스 종료, 스크립트 실행등을 말한다.
상기 알람 정보 출력 방법은 무결성 검사를 실시한 후, 파일 무결성에 오류가 탐지된 경우 관리자에게 검사 결과를 어떤 방식으로 전달할 것인지를 나타내는 것으로서, 메일, 문자 메시지, 음성 메시지 등과 같은 방법이 있다.
따라서, 상기 사용자는 무결성 오류가 발생한 경우에 대처해야할 대응행동과 무결성 오류 정보를 포함하는 무결성 검사 환경 정보를 적절히 선택하여 침입 탐지 서버에 입력하고, 상기 침입 탐지 서버는 상기 사용자에 의해 입력된 무결성 검사 환경 정보를 저장한다.
단계 310의 수행후, 상기 침입 탐지 서버는 상기 파일 접근 탐지 정책에 저장된 파일에 대하여 이벤트를 모니터링하여(S312), 파일 접근이 이루어지는지의 여부를 판단한다(S314). 즉, 상기 침입 탐지 서버는 상기 파일 접근 탐지 정책에 저장된 파일에 대하여 이벤트를 모니터링하여 각 파일에 대하여 열기, 읽기, 쓰기, 생성, 삭제 등의 동작에 이루어지는지의 여부를 판단한다.
단계 314의 판단결과 파일 접근이 이루어지면, 상기 침입 탐지 서버는 해당 파일에 대한 무결성 데이터를 검사하여(S316), 무결성 데이터가 올바른지의 여부를 판단한다(S318).
단계 318의 판단결과 상기 무결성 데이터가 올바르면, 상기 침입 탐지 서버는 해당 파일을 정상으로 판단한다(S320).
즉, 상기 침입 탐지 서버는 파일 접근이 일어난 파일에 대하여 제3 무결성 데이터를 생성하고, 상기 생성된 제3 무결성 데이터가 단계 308에서 생성되어 저장된 제1 무결성 데이터와 상응하는지의 여부를 판단한다.
상기 판단결과 상기 생성된 무결성 데이터가 상기 저장된 무결성 데이터와 상응하면 해당 파일을 정상으로 판단하고, 상응하지 않으면, 해당 파일에 오류가 발생된 것으로 판단한다.
만약, 단계 318의 판단결과 해당 무결성 데이터가 올바르지 않으면, 상기 침입 탐지 서버는 단계 310에서 미리 정해진 대응 행동을 실행하고 무결성 오류 정보를 생성한다(S322). 상기 무결성 오류 정보는 파일 접근을 시도한 사용자나 프로세서, 날짜, 시간등의 정보를 말한다.
예를 들어, 상기 사용자가 상기 무결성 검사 환경 정보에 해당 대응 행동을 시스템 종료로 설정한 경우에 해당 무결성 데이터가 올바르지 않으면, 시스템을 종료하고, 상기 침입 탐지 서버는 무결성 오류 정보를 생성한다.
단계 322의 수행후, 상기 침입 탐지 서버는 단계 310에서 미리 지정된 알람 정보 출력 방법으로 상기 생성된 무결성 오류 정보를 포함하는 알람 정보를 상기 사용자에게 출력한다(S324).
예를 들어, 상기 무결성 검사 환경 정보에 문자 메시지로 알람 정보를 출력한다고 되어 있으면, 상기 침입 탐지 서버는 해당 사용자에게 문자 메시지로 알람 정보를 출력한다.
따라서, 사용자는 상기 알람 정보를 보고 파일 변형을 시도한 사용자나 프로세서, 날짜와 시간, 대응방법이 올바르게 실행되었는지의 여부를 알 수 있다.
본 발명은 상기 실시예에 한정되지 않으며, 많은 변형이 본 발명의 사상 내에서 당 분야에서 통상의 지식을 가진 자에 의하여 가능함은 물론이다.
상술한 바와 같이 본 발명에 따르면, 보호하고자 하는 파일에 대한 어떤 접근이 일어나더라도 무결성 검사를 바로 실행하여 관리자에게 통보하고 시스템에 자동으로 대응 행동을 실시하므로 시스템에 대한 안전성을 높일 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공할 수 있다.
또한, 본 발명에 따르면, 파일 변형을 시도한 사용자나 프로세스, 파일 변형이 시도된 날짜와 시간을 로그를 통해 알 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공할 수 있다.
또한, 본 발명에 따르면, 파일 변형이 시도되었을 경우에만 무결성 검사를 실시하므로 CPU 사용량이 크지 않아 시스템 활용도가 높아질 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공할 수 있다.
또한, 본 발명에 따르면, 파일을 단순히 복사하거나 읽기만 하여도 로그가 발생하고 대응행동을 실시하므로 중요한 정보에 대한 외부 유출을 막을 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공할 수 있다.
또한, 본 발명에 따르면, 만일 보호되는 파일이 오퍼레이팅 시스템 파일과 자주 읽혀지기는 하나 데이터 변형이 되지 않는 실행 파일이나 시스템 데이터 파일인 경우에는 무결성에 대한 문제는 없으므로 오류가 아닌 정상적인 접근 형태로 구분할 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공할 수 있다.
도 1은 종래의 침입 탐지 서버에서 무결성 데이터를 검사하는 방법을 나타낸 흐름도이다.
도 2는 본 발명의 바람직한 일 실시예에 따른 호스트 침입 탐지 시스템의 구성을 개략적으로 나타낸 블럭도이다.
도 3은 본 발명의 바람직한 일 실시예에 따른 침입 탐지 서버에서 무결성 데이터 검사 방법을 나타낸 흐름도이다.
<도면의 주요 부분에 대한 부호의 설명>
200 : 호스트 침입 탐지 서버 210 : 관리서버

Claims (9)

  1. 사용자에 의해 입력된 파일을 파일 접근 탐지 정책에 저장하는 단계;
    상기 저장된 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단한 후, 저장하는 단계;
    사용자에 의해 입력된 무결성 검사 환경 정보를 수신하여 저장하는 단계;
    상기 저장된 각 파일에 대하여 이벤트를 모니터링하여 접근이 일어나는지의 여부를 감지하는 단계;
    접근이 일어난 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단하는 단계;및
    상기 판단결과 해당 파일의 무결성 데이터가 올바르지 않으면, 미리 설정된 대응 행동을 수행하고, 상기 사용자에게 알람 정보를 출력하는 단계
    를 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.
  2. 제1항에 있어서,
    상기 저장된 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단한 후, 저장하는 단계는
    상기 저장된 파일에 대하여 사용자에 의해 선택된 해쉬 알고리즘을 이용하여 제1 무결성 데이터를 생성하는 단계;
    상기 저장된 파일에 대하여 사용자에 의해 선택된 해쉬 알고리즘을 이용하여 제2 무결성 데이터를 생성하는 단계;
    상기 생성된 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하는지의 여부를 판단하는 단계;
    상기 판단결과 상기 생성된 제1 무결성 데이터가 제2 무결성 데이터와 상응하면 상기 제1 무결성 데이터를 올바른 것으로 판단하여 저장하고, 상응하지 않으면, 상기 제1 무결성 데이터가 올바르지 않다고 판단하여 무결성 데이터 검사를 다시 수행하는 단계를 포함하는 것을 특지으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.
  3. 제1항에 있어서,
    상기 무결성 검사 환경 정보는 오류발생 파일에 대한 대응 행동 정보와 알람 정보 출력 방법을 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.
  4. 제1항에 있어서,
    상기 파일 접근은 파일 열기, 읽기, 쓰기, 생성, 삭제를 포함하는 동작인 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.
  5. 제1항에 있어서,
    상기 접근이 일어난 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단하는 단계는
    상기 접근이 일어난 파일에 대하여 제3 무결성 데이터를 생성하는 단계;
    상기 생성된 제3 무결성 데이터가 미리 생성되어 저장된 제1 무결성 데이터가 상응하는지의 여부를 판단하는 단계;
    상기 판단결과 상기 제3 무결성 데이터가 상기 제1 무결성 데이터와 상응하면, 상기 무결성 데이터가 올바르다고 판단하고, 상응하지 않으면, 상기 무결성 데이터가 올바르지 않다고 판단하는 단계를 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.
  6. 제5항에 있어서,
    상기 무결성 데이터가 올바르면, 해당 파일을 정상으로 판단하고, 올바르지 않으면, 해당 파일에 오류가 발생했다고 판단하는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.
  7. 제1항에 있어서,
    상기 미리 설정된 대응 행동은 상기 사용자에 의해 미리 설정되어 저장된 무결성 검사 환경 정보내의 대응 행동 정보인 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.
  8. 제1항에 있어서,
    상기 알람 정보는 파일 접근을 시도한 사용자/프로세서, 날짜, 시간을 포함하는 무결성 오류 정보를 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.
  9. 제1항 또는 제8항에 있어서,
    상기 알람 정보는 메일, 메시지, 문자 메시지 등의 형태로 출력되는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.
KR10-2003-0080621A 2003-11-14 2003-11-14 침입탐지 시스템에서 파일 무결성 검사 방법 KR100512145B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2003-0080621A KR100512145B1 (ko) 2003-11-14 2003-11-14 침입탐지 시스템에서 파일 무결성 검사 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2003-0080621A KR100512145B1 (ko) 2003-11-14 2003-11-14 침입탐지 시스템에서 파일 무결성 검사 방법

Publications (2)

Publication Number Publication Date
KR20050046371A KR20050046371A (ko) 2005-05-18
KR100512145B1 true KR100512145B1 (ko) 2005-09-05

Family

ID=37245769

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2003-0080621A KR100512145B1 (ko) 2003-11-14 2003-11-14 침입탐지 시스템에서 파일 무결성 검사 방법

Country Status (1)

Country Link
KR (1) KR100512145B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100823738B1 (ko) * 2006-09-29 2008-04-21 한국전자통신연구원 컴퓨팅 플랫폼의 설정 정보를 은닉하면서 무결성 보증을제공하는 방법

Also Published As

Publication number Publication date
KR20050046371A (ko) 2005-05-18

Similar Documents

Publication Publication Date Title
US11520901B2 (en) Detecting firmware vulnerabilities
US7975302B2 (en) System for real-time detection of computer system files intrusion
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
JP4629332B2 (ja) 状態参照モニタ
US7464158B2 (en) Secure initialization of intrusion detection system
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及***
US7631356B2 (en) System and method for foreign code detection
US7665139B1 (en) Method and apparatus to detect and prevent malicious changes to tokens
US8078909B1 (en) Detecting file system layout discrepancies
US11374964B1 (en) Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints
US20180075233A1 (en) Systems and methods for agent-based detection of hacking attempts
JP2016503936A (ja) アプリケーション及びファイル脆弱性を識別して報告するためのシステム及び方法
CN101685487A (zh) Api检查装置以及状态监视装置
CN112039894B (zh) 一种网络准入控制方法、装置、存储介质和电子设备
JP2010026662A (ja) 情報漏洩防止システム
US20080141370A1 (en) Security incident identification and prioritization
CN116305290A (zh) 一种***日志安全检测方法及装置、电子设备及存储介质
CN110674499A (zh) 一种识别计算机威胁的方法、装置及存储介质
KR100512145B1 (ko) 침입탐지 시스템에서 파일 무결성 검사 방법
CN110874474A (zh) 勒索者病毒防御方法、装置、电子设备及存储介质
US20220237286A1 (en) Kernel based exploitation detection and prevention using grammatically structured rules
US9037608B1 (en) Monitoring application behavior by detecting file access category changes
CN111158937B (zh) 基于内核驱动的软件核心文件内生防护方法及装置
WO2006021132A1 (en) Method for protecting the computer data
Basin et al. Logging and log analysis

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee