KR20080057917A - 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법 - Google Patents

보안 커널과 연계한 실시간 무결성 점검 및 추적 방법 Download PDF

Info

Publication number
KR20080057917A
KR20080057917A KR1020060131825A KR20060131825A KR20080057917A KR 20080057917 A KR20080057917 A KR 20080057917A KR 1020060131825 A KR1020060131825 A KR 1020060131825A KR 20060131825 A KR20060131825 A KR 20060131825A KR 20080057917 A KR20080057917 A KR 20080057917A
Authority
KR
South Korea
Prior art keywords
integrity check
integrity
kernel
file
files
Prior art date
Application number
KR1020060131825A
Other languages
English (en)
Other versions
KR100853721B1 (ko
Inventor
김기현
김상철
Original Assignee
주식회사 레드게이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 레드게이트 filed Critical 주식회사 레드게이트
Priority to KR1020060131825A priority Critical patent/KR100853721B1/ko
Publication of KR20080057917A publication Critical patent/KR20080057917A/ko
Application granted granted Critical
Publication of KR100853721B1 publication Critical patent/KR100853721B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 해킹, 오남용 등으로 인한 시스템의 위변조를 점검하기 위한 무결성 점검시스템에 있어서, 보안 커널과 연계한 실시간 무결성 점검 및 사용자 추적 방법에 관한 것이다.
본 발명은 위변조가 발생하더라도 커널 레벨에서 통제하지 않고 이를 감지만 하고 응용에 통보하며 응용 레벨에서 해당 파일 및 디렉토리에 대하여 무결성을 점검하는 것을 특징으로 하는 방법이다. 또한 본 발명은 커널 레벨에서 파일 변경이 감지되면 접근관련 커널 이벤트를 수집하고 보안관리자가 이를 이용하여 추적하고 대응할 수 있는 수단을 제공한다.
보안, 무결성, 위 변조, 보안커널, 사용자추적

Description

보안 커널과 연계한 실시간 무결성 점검 및 추적 방법{METHOD FOR REAL-TIME INTEGRITY CHECK AND AUDIT TRAIL CONNECTED WITH THE SECURITY KERNEL}
도 1은 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법에 따른 전체 시스템 구성도,
도 2는 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법에 따른 전체 순서도
도 3은 무결성 정책 관리 순서도이다.
도 4는 파일 변경 감지 및 추적 순서도이다.
도 5는 관리자 요청에 의한 무결성 점검 및 대응 순서도이다.
도 6은 커널 요청에 의한 무결성 점검 및 대응 순서도이다.
*도면의 주요부분에 대한 설명*
101 : 무결성 정책 관리부 102 : 시스템콜 제어부
103 : 파일변경 감지 및 추적부 104 : 무결성 점검 및 대응부
본 발명은 접근의 대상인 객체와 이에 접근하고자 하는 주체 및 주체가 이용하는 프로그램으로 구성되는 시스템에 있어서 해킹, 오남용 등으로 인한 상기 시스템의 위 변조를 점검하기 위한 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법에 관한 것이다.
지식, 정보화 사회가 고도화될수록 네트워크 및 정보 시스템에 대한 주요 업무의 의존도가 높아지고 있으며, 네트워크를 통한 정보 서비스 영역은 급증하고 있다.
반면 정보화 역기능 사례 역시 날이 갈수록 급증하고 있는데, 대표적인 정보화 역기능이 인터넷을 통한 기업, 기관 네트워크 상의 주요 정보 시스템에 대한 침입 및 공직 행위, 이른바 해킹이다.
일반적으로 안전한 운영체제라 함은, 기존의 운영체제에 내재된 상기의 해킹과 같은 보안상의 결함으로 인한 각종 침해로부터 시스템을 보호하기 위해 기존의 운영체제 내에 보안기능을 통합시킨 보안커널을 추가적으로 이식한 운영체제를 의미한다.
여기서 보안커널이란 참조모니터의 개념, 즉 시스템 자원에 대한 접근을 통제하기 위한 기본적인 보안 절차를 구현한 컴퓨터 시스템의 중심부를 말한다.
이러한 안전한 운영체제의 보안기능은 식별 및 인증, 접근통제, 객체 재 사용방지, 완전한 조정, 안전한 경로, 감사 및 감사기록 주척, 침입탐지 등을 제공함 으로써 정보에 대한 비밀성, 무결성, 가용성을 증대시키는 것을 목적으로 한다.
여기서 무결성이라 함은, 정보가 허가된 사람들에게만 개방되고, 또 그들에 의해서만 수정될 수 있음을 보장하는 것으로, 이러한 무결성을 보장하기 위해 취해지는 조치들로는, 네트워크에 접속된 단말기 및 서버들의 물리적 환경에 대한 통제, 데이터 액세스 제한, 그리고 엄격한 인증 절차의 유지 등이 포함된다.
한편, 이러한 침입 및 공격행위에 대비하여 네트워크 및 주요 정보 시스템을 보호하기 위해 다양한 네트워크 및 시스템 보안기법과 장치들이 개발되고 있다.
침입탐지 시스템은 네트워크 및 시스템 보안 장치의 하나로 네트워크 및 주요 정보 서비스가 가동 중인 호스트를 모니터링하고 침입으로 의심되는 행위가 발견될 때 보안 관리자에게 경보하고, 침입자의 행위에 대한 상세 보고서를 제출하며, 해당 행위에 대한 대책을 제공해 주는 시스템으로, 그 대상이 네트워크인지 호스트인지에 따라 NIDS(Network IDS)와 HIDS(Host IDS), 그리고 이러한 NIDS와 HIDS를 결합한 시스템인 Hybrid IDS 가 있는데, 무결성 검증 프로세스는 HIDS의 일부로써 주요한 시스템 파일의 변조 여부를 주기적으로 검사하여 침입을 탐지하는 한편 NIDS 및 다른 HIDS 프로세스에 의해 시스템 침입 위험을 경고받았을 경우 시스템 파일의 변조 여부를 검사함으로써 침입을 검증하고 이에 대한 복구 대책을 제공하기 위한 프로세스이다.
일반적으로, 무결성 점검은 무결성 점검 목록에 대하여 관리자가 수동 또는 스케줄링 된 계획에 의하여 응용단계에서 직접 수행한다.
즉, 무결성 검증 프로세스를 구현하는 기법은 주요한 시스템 파일 및 디렉토 리, 사용자에 의한 선택된 파일 및 디렉토리들에 대해 MD5 체크섬 값, 생성시간, 액세스 권한 등의 정보들로 이루어진 fingerprint를 만들고 이를 데이터베이스화하여 보관한 뒤, 정해진 스케줄에 따라 주기적으로 자동화하여 혹은 침입이 의심되는 시점에서의 관리자의 수동조작으로 검증 시점에서의 현재 파일 및 디렉토리의 fingerprint와 대조하여 변조/추가/삭제 여부를 검증해내는 것이다.
그런데 fingerprint 자체가 변조되어 있을 경우 무결성 검증은 아무런 효용 가치도 없게 된다.
이를 해결하기 위해 일반적으로 HOST의 시스템 구성 시 네트워크에 연결되지 않은 상태에서 주요 시스템 파일 및 디렉토리의 fingerprint 데이터베이서를 CD-ROM 또는 Tape 장치, 별도의 HDD 등의 시스템에 독립된 매체에 저장해 놓는 방법을 사용하여 fingerprint 데이터베이스 자체의 무결성을 확보한다.
그러나 상기 해결책은 침입이 의심되는 시점에서의 관리자의 수동 조작으로 무결성을 검증하는 경우에는 유효한 해결책이지만, 정해진 스케쥴에 따라 주기적으로 자동화하여 무결성을 검증하는 경우에는 해당시점에서의 매체 연결에 따른 불편을 감수해야 한다는 점에서 유효한 해결책이 될 수 없다.
그리고 이러한 경우 침입이 의심되는 변조 행위가 아니라 정상적인 방식으로 관리자에 의해 무결성 검증 대상인 프로그램이 업데이트 된다거나 데이터 파일의 내용이 수정되거나 디렉토리에 파일이 추가/삭제되는 경우의 변조일 경우 이 사항이 무결성 검증 결과에 나타나지 않도록 하기 위해서는 해당 매체의 데이터베이서를 수동으로 업데이트해야 하는 등의 불편이 가중된다.
또한 이러한 상기 응용단계에서의 무결성 점검 목록에 대한 무결성 점검은 주기적으로 이루어지기 때문에 실시간으로 위 변조를 탐지할 수 없으며 점검하는 동안 위 변조된 파일뿐 만아니라 정상적인 파일도 점검하게 됨으로써 시스템에 많은 부하가 발생한다.
또한 위 변조된 파일을 추적하기 위해서는 시스템에서 제공하는 로그만을 이용해야 하는데, 이는 실제적인 추적에 있어서 한계가 있으므로 합리적인 대응을 하기가 힘들다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 파일 변경에 대한 시스템 콜이 발생하면 커널레벨에서 실시간으로 감지하여 이에 대응할 수 있는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법을 제공하는 것이다.
또한 본 발명이 이루고자 하는 다른 목적은, 무결성 점검 목록에 있는 모든 파일에 대하여 무결성을 점검하는 것이 아니라 변경되는 파일 또는 디렉토리에 대해서만 무결성을 점검하는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법에 관한 것이다.
또한 본 발명이 이루고자 하는 또 다른 목적은, 파일 변경이 감지되는 순간 커널레벨은 접근관련 이벤트를 수집하여 보안관리자에게 제공함으로써, 상기 보안관리자가 위반행위에 대한 감사 자료를 통해 대응할 수 있도록 하는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법을 제공하기 위함이다.
또한 본 발명이 이루고자 하는 또 다른 목적은, 파일 변경이 감지되는 순간 커널레벨에서 접근관련 이벤트를 수집하여 감사 자료로 보안관리자에게 제공함으로써, 상기 보안관리자가 위반행위에 대한 대응 및 추적을 할 수 있도록 하는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법을 제공하기 위함이다.
앞서 설명한 바와 같은 목적은 보안커널을 이용한 무결성 점검 및 추적방법에 있어서, 보안커널 레벨에서 시스템 파일 및 디렉토리의 변경을 감시하는 단계와; 상기 변경된 파일 및 디렉토리에 대해 응용 단계에서 그 무결성을 점검하여 정책위반 사용자를 감사 및 추적하는 단계로 구성되는 것을 특징으로 하는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법에 의해 달성된다.
이하 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법에 대해 첨부되는 도면을 통해 보다 상세히 설명하도록 한다.
도 1은 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법에 따른 전체 시스템 구성도이며, 도 2는 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법에 따른 전체 순서도이다.
또한, 도 3은 무결성 정책 관리 순서도이며, 도 4는 파일 변경 감지 및 추적 순서도이다.
또한, 도 5는 관리자 요청에 의한 무결성 점검 및 대응 순서도이며, 도 6은 커널 요청에 의한 무결성 점검 및 대응 순서도이다.
상기 기술적 과제를 달성하기 위해 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법은 보안커널 단계에서 시스템에 대한 변경을 감시하고 응용 단계에서 해당 파일에 대한 무결성을 점검하여 정책위반 사용자를 감사 및 추적하기 위해, 무결성 정책 관리부(101), 시스템콜 제어부(102), 파일 변경 감시 및 추적부(103), 무결성 점검 및 대응부(104)를 포함하여 구성하고 있다.
도 1은 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법을 실시하기 위한 전체 시스템 구성도이다.
도면에서 보는 바와 같이, 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법은 무결성 정책 관리부(101), 무결성 점검 및 대응부(104)와 시스템콜 제어부(102), 파일변경 감지 및 추적부(103)로 나뉘어 구성되어 있다.
상기 무결성 정책 관리부와 무결성 점검 및 대응부는 응용 프로그램으로 동작하며 시스템콜 제어부와 파일변경감지 및 추적부는 커널에서 동작하게 된다.
상기 무결성 정책 관리부(101)는 무결성 점검 목록(105)과 무결성 점검 DB(106)를 구성하는 역할을 수행한다.
상기 무결성 점검 목록(105)은 시스템 상의 중요 파일 및 디렉토리에 대하여 상태 추적 혹은 허가 받지 않은 변경사항이 있는지를 주기적으로 검사하기 위한 대상의 목록이다.
상기 무결성 점검 DB(106)는 상기 무결성 점검 목록의 정보와 무결성 점검값을 이용하여 구성된다.
보안관리자는 커널에서 사용하는 무결성 점검 목록과 응용에서 사용하는 무결성 점검 DB를 다르게 구성할 수 있다.
실시간으로 무결성 점검이 필요한 주요 파일시스템은 커널에서 파일 변경을 감시하고 응용에서 무결성을 검사하지만 실시간이 아닌 주기적 무결성 점검이 필요한 파일시스템은 관리자에 의해 수동 또는 스케줄링 된 작업으로 응용에서 무결성이 점검된다. 그러므로 무결성 점검 DB가 포함하는 무결성 점검 파일목록은 커널의 무결성 점검 목록 뿐만 아니라 주기적 점검이 필요한 파일 목록을 추가하고 있다.
상기 상기 시스템콜 제어부(102)는 접근과 관련된 시스템콜만 필터링하는 역할을 수행한다.
일반적으로 시스템 또는 사용자에 의하여 응용이 수행될 때 운영체제의 시스템콜이 발생하며 운영체제는 그 시스템콜이 요청한 기능을 수행하게 되는데, 운영체제의 시스템콜 중 본 발명에 관련된 파일 시스템으로의 접근 시스템콜을 대치하여 본 발명의 기능을 수행한 후 운영체제의 시스템콜을 호출한다.
또한 본 발명에서 사용되는 보안정책 및 보안기능 환경설정 등을 위하여 제어시스템 콜이 추가될 수도 있다.
상기 파일 변경 감지 및 추적부(103)는 무결성 점검 목록(105)에 있는 파일의 변경을 감지하고 정책위반이 의심되는 사용자에 대해 커널 이벤트 로깅 기능을 수행한다.
도 2는 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법에 대한 전체 순서도이며, 이에 대한 세부적인 순서도를 첨부되는 도면 3~6을 통해 설 명하도록 한다.
도면에서 보는 바와 같이, 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법은 우선 (a)무결성 정책 관리부(101)에서 중요 파일 및 디렉토리에 대하여 무결성 점검 목록(105)을 구성하고 무결성 점검값을 포함한 무결성 점검 DB(106)를 구성하는 무결성 점검 목록 및 DB 설정단계를 수행하게 된다.
상기 무결성 점검 목록(105)은 커널에서 사용되며 무결성 점검 DB(106)는 응용에서 사용된다.
이에, 도 3에 나타난 바와 같이, 상기 무결성 점검 목록 및 무결성 점검 DB 설정의 구체적인 단계는 우선, 무결성 유지가 필요한 중요 파일 및 디렉토리를 무결성 점검 대상으로 선정하게 된다(201).
무결성 점검대상을 선정한 다음, 파일명 또는 디렉토리명과 상태 정보를 무결성 점검 목록으로 구성한 후 커널로 로딩한다(202).
또한 무결성 점검 목록에 있는 파일 및 디렉토리에 대하여 무결성 점검값을 생성한다(203)
마지막으로 무결성 점검 목록의 정보와 무결성 점검값을 이용하여 무결성 점검 DB를 구성한다(204).
여기서, 커널에서는 파일명/디렉토리명으로 구성된 목록을 무결성 점검 목록으로 사용하고 응용에서는 파일명/디렉토리명, 파일/디렉토리 상태 정보, 무결성 점검값으로 구성된 무결성 점검 DB를 사용하게 되므로, 상기 무결성 점검 DB의 무결성 점검 파일 목록은 커널에서의 무결성 점검 목록를 포함할 뿐만 아니라 관리자 에 의해 응용에서 무결성 점검이 필요한 파일 목록을 추가하여 구성하고 있다.
무결성 점검 목록과 무결성 DB의 설정단계가 수행된 후, 도 2에서와 같이, (b)응용에서 명령어가 실행되면 시스템콜이 발생하게 되고 이에 상기 시스템콜 제어부(102)에서 접근 관련 시스템콜만을 필터링하고 나머지 시스템콜은 바이패스 시키는 시스템콜 제어단계를 수행한다.
상기 시스템콜 중 파일시스템에 대한 접근관련 시스템콜은 읽기, 쓰기, 실행 등에 대한 시스템콜로 구성되며, 상기 접근관련 시스템콜만을 필터링 함으로써, 필터링 된 상기 시스템콜에서 읽기, 쓰기, 실행 등 접근관련 모든 시스템콜은 커널 이벤트 로깅에 사용되며 쓰기 관련 시스템만 파일 변경 감지를 위해 사용된다.
상기 시스템콜 제어단계(b)를 수행한 후, 파일 변경의 감지 및 추적부(103)에서 무결성 점검 목록에서의 파일 및 디렉토리의 생성, 변경, 삭제 여부를 감지하면, (c)무결성 점검과 감사 추적을 요청하게 되는 무결설 점검 및 감사추적의 요청단계를 수행하게 된다.
도 4에서와 같이, 상기 (b)단계의 접근관련 시스템콜이 발생하면 상기 파일 변경 감지 및 추적부는 감사 추적요청이 있었는지 점검한다(301).
이에 감사 추적 요청이 없으면 사용자가 접근하는 파일 또는 디렉토리가 무결성 점검 목록에 있는지 분석하고(302), 감사 추적 요청이 있으면 커널 이벤트를 로깅하게 된다(303).
여기서 상기 커널 이벤트 로깅(303)은 보안정책에 의해 위반 사용자 또는 모든 사용자의 이벤트를 선택적으로 로깅할 수 있으며 보안관리자가 대응행위를 수행 한 후 감사 중지 요청에 의해 중지된다.
다음으로 무결성 점검 대상 파일에 대한 변경 시스템콜인지 분석하여(304), 무결성 점검 대상 파일에 대한 변경 시스템콜이면 응용으로 무결성 점검을 요청하여 커널에서의 감사 추적을 요청하고(305), 무결성 점검 대상파일에 대한 변경이 아닌 경우 원래의 시스템콜을 호출한다(306)
상기 도 2에서, 무결성 점검 및 대응부(104)에서 관리자 또는 커널에서 무결성 점검 요청이 있으면, (d)상기 무결성 점검 및 대응부는 해당 파일 또는 디렉토리에 대해 무결성을 점검하고 이에 대응하게 된다.
상기 (d) 단계의 무결성 점검 및 대응 단계는 무결성 점검 요청에 따라 해당파일 또는 디렉토리에 대해 무결성을 점검하며 관리자에 의한 무결성 점검 요청과 커널에 의한 무결성 점검 요청으로 구분된다.
또한, 정상적인 변경일 경우 무결성 점검값을 업데이트하고 위변조일 경우 커널 이벤트 로그를 이용하여 추적하고 사용자 차단, 접근통제, 파일 복구 등과 같은 대응행위를 수행한다.
먼저 도 5에서와 같이, 관리자가 무결성 점검을 요청하면(401), 관리자의 수동 또는 스케줄링에 의한 무결성 점검이 이루어진다.(402)
무결성 점검은 무결성 점검 DB에 있는 파일 및 디렉토리에 대하여 무결성 검사값을 생성하고 무결성 점검 DB의 무결성 점검값과 같은지 비교하여, 무결성 점검 목록에 있는 파일시스템에 대한 생성, 변경, 삭제가 발생하였는지 판단한다(403).
파일시스템에 대한 변경이 없는 경우 종료하고 파일시스템에 대한 변경이 있 는 경우 파일시스템의 생성, 변경, 삭제 등에 대한 행위를 분석하고(404), 정상적인 행위였는지 비정상적인 행위였는지 판단(405)한다.
정상행위일 경우 무결성 점검값을 업데이트하고(406), 정상행위가 아닌 경우 커널로 감사추적이 요청되고(407), 사용자 추적, 차단, 접근통제, 파일시스템 복구 등 대응행위를 수행한다.(408)
상기 대응행위가 끝난 후 커널로 감사 추적 중지를 요청(409)하게 된다.
도 6는 커널 요청에 의한 무결성 점검 및 대응 순서도이다.
먼저 커널에서 무결성 점검을 요청하면(501), 해당 파일 또는 디렉토리에 대한 무결성 점검이 이루어진다.(502)
상기 무결성 점검은 무결성 점검 DB에 있는 파일 및 디렉토리에 대하여 무결성 검사값을 생성하고 무결성 점검 DB의 무결성 점검값과 같은지 비교한다.
무결성 점검 목록에 있는 해당 파일시스템에 대한 생성, 변경, 삭제가 발생하였는지 판단한다(503).
해당 파일시스템에 대한 변경이 없는 경우 감사추적 중지를 요청하고(504), 파일시스템에 대한 변경이 있는 경우 파일시스템의 생성, 변경, 삭제 등에 대한 행위를 분석한 후(505), 정상적인 행위였는지 비정상적인 행위였는지 판단(506)한다.
이에, 정상행위일 경우 무결성 점검값을 업데이트하고(507), 감사추적 중지를 요청한다.(508)
그러나 정상행위가 아닌 경우 커널 이벤트를 분석하여 위반사용자를 추적하고(509), 사용자 차단, 접근통제, 파일시스템 복구 등 대응행위를 수행한다.(510)
상기 대응행위가 끝난 후 커널로 감사추적 중지를 요청(508)하게 된다.
앞서 상세히 설명한 바와 같이 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법은, 무결성 점검 목록에 있는 모든 파일에 대하여 무결성을 점검하는 것이 아니라 변경되는 파일 또는 디렉토리에 대해서만 무결성을 점검함으로써 무결성 점검에 따른 시스템 부하를 줄일수 있다.
또한 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법은 파일 변경이 감지되는 순간 커널레벨은 접근관련 이벤트를 수집하여 보안관리자에게 제공함으로써, 상기 보안관리자가 위반행위에 대한 감사 자료로 대응함으로써 사용자 차단, 접근통제 정책의 적용 등에 합리적인 대응을 할 수 있다.
이상에서 본 발명의 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법에 대한 기술사상을 첨부도면과 함께 서술하였지만 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술분야의 통상의 지식을 가진 자이면 누구나 본 발명의 기술사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.

Claims (10)

  1. 보안커널을 이용한 무결성 점검 및 추적방법에 있어서,
    보안커널 레벨에서 시스템 파일 및 디렉토리의 변경을 감시하는 단계와;
    상기 변경된 파일 및 디렉토리에 대해 응용 단계에서 그 무결성을 점검하여 정책위반 사용자를 감사 및 추적하는 단계로 구성되는 것을 특징으로 하는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법.
  2. 제 1항에 있어서,
    상기 보안커널 레벨에서 시스템 파일 및 디렉토리의 변경을 감시하는 단계는,
    (a)무결성 정책 관리부(101)는 중요 파일 및 디렉토리에 대하여 무결성 점검 목록(105)을 구성하고 무결성 점검값을 포함한 무결성 점검 DB(106)를 구성하는 무결성 점검 목록 및 DB 설정단계;
    (b)응용에서 명령어가 실행되어 시스템콜이 발생하게 되면 시스템콜 제어부(102)에서 접근 관련 시스템콜만을 필터링하는 시스템콜 제어단계;
    (c)파일 변경의 감지 및 추적부(103)에서 무결성 점검 목록의 파일 및 디렉토리의 생성, 변경, 삭제 여부를 감지하여 무결성 점검과 감사 추적을 요청하게 되는 무결설 점검 및 감사추적의 요청단계로 구성되는 것을 특징으로 하는 보안 커널 과 연계한 실시간 무결성 점검 및 추적 방법.
  3. 제 2항에 있어서,
    상기 (a)단계는, 무결성 유지가 필요한 중요 파일 및 디렉토리를 무결성 점검 대상으로 선정하는 단계와(201);
    상기 무결성 점검대상을 선정한 다음, 파일명 또는 디렉토리명과 상태 정보를 무결성 점검 목록으로 구성하고 커널로 로딩하는 단계와(202);
    무결성 점검 목록에 있는 파일 및 디렉토리에 대하여 무결성 점검값을 생성하는 단계와(203);
    무결성 점검 목록의 정보와 무결성 점검값을 이용하여 무결성 점검 DB를 구성하는 단계(204)로 구성되는 것을 특징으로 하는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법.
  4. 제 2항에 있어서,
    상기 (c) 단계는, 접근관련 시스템콜이 발생하면, 감사 추적요청이 있었는지 점검하는 단계와(301);
    감사 추적 요청이 없으면 사용자가 접근하는 파일 또는 디렉토리가 무결성 점검 목록에 있는지 분석하는 단계와(302);
    감사 추적 요청이 있으면 커널 이벤트를 로깅하는 단계와(303);
    무결성 점검 대상 파일에 대한 변경 시스템콜인지 분석하는 단계와(304);
    무결성 점검 대상파일에 대한 변경이 아닌 경우 원래의 시스템콜을 호출하는 단계와(305);
    무결성 점검 대상 파일에 대한 변경 시스템콜이면 응용으로 무결성 점검을 요청하고 커널에서의 감사 추적을 요청하는 단계(306)로 구성되는 것을 특징으로 하는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법.
  5. 제 4항에 있어서,
    상기 커널 이벤트 로깅단계(303)는 보안정책에 의해 위반 사용자 또는 모든 사용자의 이벤트를 선택적으로 로깅할 수 있으며 보안관리자가 대응행위를 수행한 후 감사 중지 요청에 의해 중지되는 것을 특징으로 하는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법.
  6. 제 1항 및 제2항에 있어서,
    상기 변경된 파일 및 디렉토리에 대해 응용 단계에서 그 무결성을 점검하여 정책위반 사용자를 감사 및 추적하는 단계는, 무결성 점검 요청이 있을 때 무결성 점검 및 대응부(104)가 해당 파일 또는 디렉토리에 대해 무결성을 점검하고 이에 대응하는 단계(d)인 것을 특징으로 하는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법.
  7. 제 6항에 있어서,
    상기 (d)단계의 무결성 점검은 관리자 혹은 커널 중 어느 하나에서 요청되는 것을 특징으로 하는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법.
  8. 제 7항에 있어서,
    상기 무결성 점검이 관리자에 의해 무결성 점검이 요청되는 단계와(401);
    관리자가 수동 또는 스케줄링에 의한 무결성 점검을 행하는 단계와(402);
    무결성 점검은 무결성 점검 DB에 있는 파일 및 디렉토리에 대하여 무결성 검사값을 생성하고 무결성 점검 DB의 무결성 점검값과 같은지 비교하여, 무결성 점검 목록에 있는 파일시스템에 대한 생성, 변경, 삭제가 발생하였는지 판단하는 단계와(403);
    파일시스템에 대한 변경이 없는 경우 종료하고 파일시스템에 대한 변경이 있는 경우 파일시스템의 생성, 변경, 삭제 등에 대한 행위를 분석하는 단계와(404);
    정상적인 행위였는지 비정상적인 행위였는지 판단하는 단계와(405);
    정상행위일 경우 무결성 점검값을 업데이트하는 단계와(406);
    정상행위가 아닌 경우 커널로 감사추적이 요청되는 단계와(407);
    사용자 추적, 차단, 접근통제, 파일시스템 복구 등 대응행위를 수행하는 단계와(408);
    상기 대응행위가 끝난 후 커널로 감사 추적 중지를 요청(409)하는 단계로 구성되는 것을 특징으로 하는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법.
  9. 제 7항에 있어서,
    커널에서 무결성 점검을 요청하는 단계와(501);
    해당 파일 또는 디렉토리에 대한 무결성 점검이 수행되는 단계와(502);
    상기 무결성 점검은 무결성 점검 DB에 있는 파일 및 디렉토리에 대하여 무결성 검사값을 생성하고 무결성 점검 DB의 무결성 점검값과 같은지 비교하여, 무결성 점검 목록에 있는 해당 파일시스템에 대한 생성, 변경, 삭제가 발생하였는지 판단하는 단계와(503);
    해당 파일시스템에 대한 변경이 없는 경우 감사추적 중지를 요청하는 단계와(504);
    파일시스템에 대한 변경이 있는 경우 파일시스템의 생성, 변경, 삭제 등에 대한 행위를 분석하는 단계와(505);
    상기 행위를 분석하여 정상적인 행위였는지 비정상적인 행위였는지 판단하는 단계와(506);
    정상행위일 경우 무결성 점검값을 업데이트하는 단계와(507);
    상기 무결성 점검값을 업데이트하여 감사추적 중지를 요청하는 단계와(508);
  10. 제 9항에 있어서,
    정상행위가 아닌 경우 커널 이벤트를 분석하여 위반사용자를 추적하는 단계와(509);
    사용자 차단, 접근통제, 파일시스템 복구 등 대응행위를 수행하는 단계와(510);
    상기 대응행위가 종료된 후 커널로 감사추적 중지를 요청하는 단계(508)로 되돌아가는 것을 특징으로 하는 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법.
KR1020060131825A 2006-12-21 2006-12-21 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법 KR100853721B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060131825A KR100853721B1 (ko) 2006-12-21 2006-12-21 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060131825A KR100853721B1 (ko) 2006-12-21 2006-12-21 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법

Publications (2)

Publication Number Publication Date
KR20080057917A true KR20080057917A (ko) 2008-06-25
KR100853721B1 KR100853721B1 (ko) 2008-08-25

Family

ID=39803638

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060131825A KR100853721B1 (ko) 2006-12-21 2006-12-21 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법

Country Status (1)

Country Link
KR (1) KR100853721B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9122842B2 (en) 2011-11-09 2015-09-01 Samsung Electronics Co., Ltd. Apparatus and method for enhancing security in heterogeneous computing environment
KR101616793B1 (ko) * 2015-12-18 2016-04-29 국방과학연구소 애플리케이션 무결성 검사 방법
KR20180085305A (ko) * 2017-01-18 2018-07-26 콘텔라 주식회사 IoT 게이트웨이
KR102111327B1 (ko) * 2019-03-11 2020-05-15 단국대학교 산학협력단 리눅스 환경에서의 부팅 과정에 대한 무결성 검증 시스템 및 관리용 단말의 업데이트와 무결성 검증 방법
KR102558503B1 (ko) * 2022-11-29 2023-07-21 주식회사 스마트엠투엠 데이터 무결성 검증 방법 및 장치
CN116561811A (zh) * 2023-07-11 2023-08-08 北京智芯微电子科技有限公司 文件可信防篡改方法、装置及电子设备

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101438432B1 (ko) 2013-02-21 2014-09-12 고려대학교 산학협력단 스토리지 서비스 이용에 따른 사용자 부인방지 및 데이터 무결성 검증 방법
KR101358815B1 (ko) 2013-06-04 2014-02-11 서울대학교산학협력단 스누프 기반의 커널 무결성 감시 장치 및 그 방법
KR101650445B1 (ko) * 2015-12-11 2016-08-23 주식회사 윈스 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020033859A (ko) * 2000-10-30 2002-05-08 송영호 리눅스 보안 커널
KR20020051599A (ko) * 2000-12-23 2002-06-29 오길록 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법
KR20020097344A (ko) * 2001-06-20 2002-12-31 주식회사 마이크로모스 컴퓨터 하드디스크 내 자료 복구 방법
KR100458550B1 (ko) * 2002-10-07 2004-12-03 주식회사 파이널데이터 데이터 삭제 감지, 복구 시스템 및 그 방법
KR100491541B1 (ko) * 2003-08-01 2005-05-25 니트젠테크놀러지스 주식회사 네트웍 환경에서의 컨텐츠 동기화 시스템 및 동기화 방법
KR20050082681A (ko) * 2004-02-20 2005-08-24 한국과학기술원 허니팟 시스템
KR100704721B1 (ko) * 2004-09-10 2007-04-06 (주) 세이프아이 실시간 감시를 통한 컴퓨터 보호 방법 및 이에 따라 보호되는 컴퓨터 보호 시스템과 실행가능한 파일이 보호되는 시스템

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9122842B2 (en) 2011-11-09 2015-09-01 Samsung Electronics Co., Ltd. Apparatus and method for enhancing security in heterogeneous computing environment
KR101616793B1 (ko) * 2015-12-18 2016-04-29 국방과학연구소 애플리케이션 무결성 검사 방법
KR20180085305A (ko) * 2017-01-18 2018-07-26 콘텔라 주식회사 IoT 게이트웨이
KR102111327B1 (ko) * 2019-03-11 2020-05-15 단국대학교 산학협력단 리눅스 환경에서의 부팅 과정에 대한 무결성 검증 시스템 및 관리용 단말의 업데이트와 무결성 검증 방법
KR102558503B1 (ko) * 2022-11-29 2023-07-21 주식회사 스마트엠투엠 데이터 무결성 검증 방법 및 장치
CN116561811A (zh) * 2023-07-11 2023-08-08 北京智芯微电子科技有限公司 文件可信防篡改方法、装置及电子设备

Also Published As

Publication number Publication date
KR100853721B1 (ko) 2008-08-25

Similar Documents

Publication Publication Date Title
KR100853721B1 (ko) 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법
US9602515B2 (en) Enforcing alignment of approved changes and deployed changes in the software change life-cycle
US8250045B2 (en) Non-invasive usage tracking, access control, policy enforcement, audit logging, and user action automation on software applications
US8955108B2 (en) Security virtual machine for advanced auditing
Ko Execution Monitoring of security-critical programs in a distributed system: a specification-based approach
US20070043674A1 (en) Information technology governance and controls methods and apparatuses
CN116545731A (zh) 一种基于时间窗动态切换的零信任网络访问控制方法及***
CN106339629A (zh) 一种应用程序管理方法及装置
CN113407949A (zh) 一种信息安全监控***、方法、设备及存储介质
KR100926735B1 (ko) 웹 소스 보안 관리 시스템 및 방법
JP3793944B2 (ja) 機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体
KR101040765B1 (ko) 확장된 보안 레이블을 이용하는 프로세스 및 파일 추적 시스템 및 프로세스 및 파일 추적 방법
CN114239034A (zh) 一种保护敏感资源的日志记录***及事故取证方法
Gehani Support for automated passive host-based intrusion response
CN117725630B (en) Security protection method, apparatus, storage medium and computer program product
Liu et al. User behavior control method for HPC system
Basin et al. Logging and log analysis
CN116089965B (zh) 一种基于sod风险模型的信息安全应急管理***及方法
KR102488337B1 (ko) 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치
Doinea Open Source Security–Quality Requests
KR20060021934A (ko) 분산데이터 백업시스템
Gertz et al. Security re-engineering for databases: concepts and techniques
CN116720221A (zh) 一种基于删除指令管控的数据防勒索方法及***
CN117725630A (zh) 安全防护方法、设备、存储介质和计算机程序产品
CN118114301A (zh) 一种基于数字化信息安全的档案处理方法及***

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120817

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130809

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140813

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150813

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160811

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170810

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20191111

Year of fee payment: 12