[go: up one dir, main page]

KR100512145B1 - Method for inspecting file faultless in invasion detection system - Google Patents

Method for inspecting file faultless in invasion detection system Download PDF

Info

Publication number
KR100512145B1
KR100512145B1 KR10-2003-0080621A KR20030080621A KR100512145B1 KR 100512145 B1 KR100512145 B1 KR 100512145B1 KR 20030080621 A KR20030080621 A KR 20030080621A KR 100512145 B1 KR100512145 B1 KR 100512145B1
Authority
KR
South Korea
Prior art keywords
file
integrity
integrity data
user
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR10-2003-0080621A
Other languages
Korean (ko)
Other versions
KR20050046371A (en
Inventor
박도현
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR10-2003-0080621A priority Critical patent/KR100512145B1/en
Publication of KR20050046371A publication Critical patent/KR20050046371A/en
Application granted granted Critical
Publication of KR100512145B1 publication Critical patent/KR100512145B1/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 사용자에 의해 입력된 파일을 파일 접근 탐지 정책에 저장하고, 상기 저장된 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단한 후, 저장하고, 사용자에 의해 입력된 무결성 검사 환경 정보를 수신하여 저장하고, 상기 저장된 각 파일에 대하여 이벤트를 모니터링하여 접근이 일어나는지의 여부를 감지하여 접근이 일어난 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단하고, 상기 판단결과 해당 파일의 무결성 데이터가 올바르지 않으면, 미리 설정된 대응 행동을 수행하고, 상기 사용자에게 알람 정보를 출력하는 것으로서, 보호하고자 하는 파일에 대한 어떤 접근이 일어나더라도 무결성 검사를 바로 실행하여 관리자에게 통보하고 시스템에 자동으로 대응 행동을 실시하므로 시스템에 대한 안전성을 높일 수 있다.The present invention stores a file input by a user in a file access detection policy, generates integrity data for the stored file, determines whether it is correct, stores the received file, and receives integrity check environment information input by the user. And storing an event for each of the stored files to detect whether or not an access occurs, and generating integrity data for the accessed file to determine whether it is correct.If the integrity data of the corresponding file is incorrect, By performing a preset response action and outputting alarm information to the user, any access to the file to be protected is immediately executed and an integrity check is notified to the administrator and the system automatically responds to the system. To increase safety Can.

Description

침입탐지 시스템에서 파일 무결성 검사 방법{Method for inspecting file faultless in invasion detection system} Method for inspecting file faultless in invasion detection system

본 발명은 보호 대상 파일에 대하여 외부 사용자/프로세서등의 접근이 감지되면, 무결성 데이터 검사를 수행하여 그 결과를 관리자에게 즉시 제공하는 침입 탐지 시스템에서 파일 무결성 검사 방법에 관한 것이다.The present invention relates to a file integrity check method in an intrusion detection system that performs an integrity data check and immediately provides the result to an administrator when an external user / processor or the like is detected.

지식 정보화 사회가 고도화될수록 네트워크 및 정보 시스템에 대한 주요 업무의 의존도가 높아지고 있으며, 네트워크를 통한 정보 서비스 영역은 급증하고 있다. 반면 정보화 역기능 사례 역시 날이 갈수록 급증하고 있는데, 대표적인 정보화 역기능이 인터넷을 통한 기업/기관 네트워크상의 주요 정보 시스템에 대한 침입 및 공격 행위, 이른바 해킹이다.As the knowledge-information society gets more advanced, the dependence of the main tasks on the network and the information system is increasing, and the area of information service through the network is increasing rapidly. On the other hand, the case of informatization dysfunction is also increasing day by day. The representative informatization dysfunction is intrusion and attack on major information systems on corporate / institutional networks through the Internet, so-called hacking.

이러한 침입 및 공격 행위에 대비하여 네트워크 및 주요 정보 시스템을 보호하기 위한 다양한 네트워크 및 시스템 보안 기법과 장치들이 개발되고 있다. 침입탐지 시스템은 네트워크 및 시스템 보안 장치의 하나로 네트워크 및 주요 정보 서비스가 가동중인 호스트를 모니터링하고 침입으로 의심되는 행위가 발견될때 보안 관리자에게 경보하고 침입자의 행위에 대한 상세 보고서를 제출하며 해당 행위에 대해 보안 대책을 제공해주는 시스템이다.In preparation for such intrusion and attack, various network and system security techniques and devices are being developed to protect the network and important information systems. An intrusion detection system is a network and system security device that monitors hosts running network and critical information services, alerts security administrators when suspicious activity is found, submits detailed reports of intruder actions, and It is a system that provides security measures.

상기한 침입 탐지 시스템은 그 대상이 네트워크인지 호스트인지에 따라 NIDS와 HIDS로 나뉘어지고 이러한 NIDS와 HIDS를 결합한 시스템인 하이브리드 IDS가 있다. The intrusion detection system is divided into NIDS and HIDS according to whether the target is a network or a host, and there is a hybrid IDS system combining the NIDS and HIDS.

상기와 같은 침입 탐지 시스템에 있어서, 주요한 시스템 파일의 변조 여부를 주기적으로 검사하여 침입을 탐지하는 것이 무결성 검증 프로세서이다. In the intrusion detection system as described above, the integrity verification processor periodically detects whether the main system file is tampered with and detects the intrusion.

상기와 같은 무결성 검증 프로세스를 구현하기 위해서는 주요한 시스템 파일 및 디렉토리, 사용자에 의해 선택된 파일 및 디렉토리들에 대해 MD5 체크섬 값, 생성시간, 엑세스 권한 등의 주요 정보들로 이루어진 핑거프리트를 만들고 이를 데이터베이스화하여 보관한다. 그럼다음 정해진 스케쥴에 따라 주기적으로 자동화하여 또는 침입이 의심되는 시점에서 관리자의 수동 조작으로 검증 시점에서의 현재 파일 및 디렉토리의 핑거프린터와 대조하여 변조/추가/삭제 여부를 검증한다. In order to implement the integrity verification process as described above, a fingerprint of key system files and directories, files and directories selected by a user, and MD5 checksum values, creation time, and access authority are made and databased. keep it. Then, based on a predetermined schedule, periodically or when an intrusion is suspected, the administrator manually manipulates and verifies tampering / adding / deleting with the fingerprint of the current file and directory at the time of verification.

상기와 같이 파일 무결성 검사는 관리자가 수동으로 각 파일에 대한 무결성 데이터를 생성하고 상기 생성된 데이터를 파일이나 데이터베이스에 저장해 두었다가 비정기적 또는 정기적으로 상기 저장된 파일 무결성 데이터와 새로 생성한 파일 무결성 데이터를 비교하여 파일이 변형되었는지의 여부를 판단한다.As described above, the file integrity check manually generates the integrity data for each file, stores the generated data in a file or a database, and compares the stored file integrity data with the newly generated file integrity data on an irregular or regular basis. To determine if the file has been modified.

상기 판단결과 해당 무결성 데이터에 대하여 변형된 사실이 발견되면, 관리자에게 이에 대한 정보를 제공하고 적절히 대응하도록하여 시스템을 보호하도록 한다. As a result of the determination, if a modified fact is found for the integrity data, the administrator is provided with information about it and appropriately responded to protect the system.

여기서, 상기 무결성 데이터를 생성하는 방법을 여러가지가 있으나 보통 해쉬 알고리즘을 이용한 파일 무결성 방법을 많이 사용하고 있다. 대표적인 해쉬 알고리즘으로는 MD5, SHA-1과 같은 알고리즘이 있으며, SHA-1알고리즘의 경우 비트 이하의 메시지를 160비트(20바이트)길이의 축약된 데이터로 만들어낸다. 이 20바이트의 무결성 데이터를 비교하여 파일의 내용이 변형되었는지를 검사할 수 있다.Here, there are various methods of generating the integrity data, but a file integrity method using a hash algorithm is commonly used. Representative hash algorithms include algorithms such as MD5 and SHA-1. In the case of the SHA-1 algorithm, Generates messages of less than bits as shortened data of 160 bits (20 bytes) in length. The 20 bytes of integrity data can be compared to check if the contents of the file have been altered.

이하 도면을 참조하여 무결성 데이터를 검사하는 방법에 대하여 자세히 설명하기로 한다. Hereinafter, a method of checking integrity data will be described in detail with reference to the accompanying drawings.

도 1은 종래의 침입 탐지 서버에서 무결성 데이터를 검사하는 방법을 나타낸 흐름도이다. 1 is a flowchart illustrating a method of checking integrity data in a conventional intrusion detection server.

도 1을 참조하면, 침입 탐지 서버는 사용자에 의해 입력된 파일 리스트를 수신하여 저장한다(S100). 즉, 사용자는 침입 탐지 서버에서 보호해야할 파일들을 설정하고, 상기 파일들에 대한 정확한 위치와 파일 이름등을 리스트화하여 상기 침입 탐지 서버에 저장한다.Referring to FIG. 1, the intrusion detection server receives and stores a file list input by a user (S100). That is, the user sets files to be protected in the intrusion detection server, lists the exact location and file name for the files, and stores them in the intrusion detection server.

단계 100의 수행후, 상기 침입 탐지 서버는 상기 저장된 파일에 대하여 제1 무결성 데이터를 생성하고(S102), 상기 생성된 무결성 데이터가 올바른지의 여부를 판단하기 위하여 각 파일에 대하여 제2 무결성 데이터를 생성한다(S104).After performing step 100, the intrusion detection server generates first integrity data for the stored file (S102), and generates second integrity data for each file to determine whether the generated integrity data is correct. (S104).

그럼다음 상기 침입 탐지 서버는 상기 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하는지의 여부를 판단한다(S106).The intrusion detection server then determines whether the first integrity data corresponds to the second integrity data (S106).

단계 106의 판단결과 상기 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하면, 상기 침입 탐지 서버는 상기 제1 무결성 데이터가 올바르다고 판단하여 저장한다(S108).If it is determined in step 106 that the first integrity data corresponds to the second integrity data, the intrusion detection server determines that the first integrity data is correct and stores it (S108).

즉, 상기 침입 탐지 서버는 상기 저장된 파일들을 사용자에 의해 선택된 해쉬 알고리즘을 이용하여 차례대로 제1 무결성 데이터를 생성한다. 각 파일들에 대한 제1 무결성 데이터의 생성이 완료되면, 상기 침입 탐지 서버는 상기 생성된 제1 무결성 데이터가 올바른지 확인하기 위하여 각 파일들에 대한 제2 무결성 데이터를생성하고 이를 비교하여 모두 일치하는 경우에만 검증을 완료한다.That is, the intrusion detection server sequentially generates the first integrity data of the stored files using a hash algorithm selected by a user. When generation of the first integrity data for each file is completed, the intrusion detection server generates second integrity data for each file and compares them to match each other to confirm that the generated first integrity data is correct. Only if verification is complete.

만약, 단계 106의 판단결과 상기 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하지 않으면, 상기 침입탐지 서버는 상기 제1 무결성 데이터가 올바르지 않다고 판단하여 단계 102부터 다시 수행한다. 즉, 제1 무결성 데이터와 제2 무결성 데이터가 상응하지 않으면, 상기 침입 탐지 서버는 해당 파일에 대하여 무결성 데이터를 다시 생성한다. If it is determined in step 106 that the first integrity data does not correspond to the second integrity data, the intrusion detection server determines that the first integrity data is not correct and performs the process again from step 102. That is, if the first integrity data and the second integrity data do not correspond, the intrusion detection server regenerates the integrity data for the file.

단계 108의 수행후, 상기 침입 탐지 서버는 사용자에 의해 입력된 무결성 검사 환경 정보를 수신하여 저장한다(S110). 상기 무결성 검사 환경 정보는 검사 방법 정보와 알람 정보 출력 방법등을 말한다. 상기 검사 방법에는 일정 시간 간격을 두고 자동으로 검사 혹은 관리자의 필요에 의해서 실시하도록 수동으로 검사하는 방법이 있다. 따라서 사용자는 자동 또는 수동등과 같은 검사 방법중에서 하나를 설정한다.After performing step 108, the intrusion detection server receives and stores the integrity check environment information input by the user (S110). The integrity test environment information refers to test method information and alarm information output method. The inspection method includes a method of manually inspecting the test to be automatically performed at a predetermined time interval or as required by an administrator. Therefore, the user sets one of the inspection methods such as automatic or manual.

상기 알람 정보 출력 방법은 무결성 검사를 실시한 후, 파일 무결성에 오류가 탐지된 경우 관리자에게 검사 결과를 어떤 방식으로 전달할 것인지를 나타내는 것으로서, 메일, 문자 메시지, 음성 메시지 등과 같은 방법이 있다.The alarm information output method indicates how the test results are to be transmitted to the administrator when an error is detected in the file integrity after performing the integrity check. There are a method such as an email, a text message, and a voice message.

단계 110의 수행후, 상기 침입 탐지 서버는 상기 사용자에 의해 설정된 무결성 검사 환경 정보에 따라 무결성 데이터 검사 시간이 되었는지의 여부를 판단한다(S112). 다시 말하면, 상기 침입 탐지 서버는 무결성 검사 방법이 자동 검사인 경우 검사 시간이 되었는지, 수동 검사인 경우 상기 사용자로부터 무결성 검사 요구 명령이 수신되었는지의 여부를 판단한다. After performing step 110, the intrusion detection server determines whether the integrity data inspection time is reached according to the integrity inspection environment information set by the user (S112). In other words, the intrusion detection server determines whether an inspection time is reached when the integrity checking method is automatic checking, or whether an integrity checking request command is received from the user in the case of manual checking.

단계 112의 판단결과 무결성 데이터 검사 시간이 되면, 상기 침입 탐지 서버는 각 파일에 대한 무결성 데이터를 검사하여(S114), 각 무결성 데이터가 올바른지의 여부를 판단한다(116).When the determination result of the step 112 is the integrity data check time, the intrusion detection server checks the integrity data for each file (S114), and determines whether each integrity data is correct (116).

단계 116의 판단결과 무결성 데이터가 올바르면, 상기 침입 탐지 서버는 해당 파일을 정상으로 판단한후(S118), 단계 112를 수행한다.If the integrity data is correct as the determination result of step 116, the intrusion detection server determines that the file is normal (S118), and performs step 112.

만약, 단계 116의 판단결과 무결성 데이터가 올바르지 않으면, 상기 침입 탐지 서버는 무결성 오류 정보를 생성한 후(S120), 관리자에게 오류가 발생했다는 알람 정보를 출력한다(S122). 상기 알람정보는 상기 사용자에 의해 미리 설정된 방법 예를 들면, 메일, 문자 메시지등의 방법에 의해서 출력된다. 따라서, 상기 알람정보는 '오류가 발생했습니다'라는 형태의 문자 메시지 또는 메일로 출력된다. If the integrity data is incorrect as a result of the determination of step 116, the intrusion detection server generates integrity error information (S120) and outputs alarm information indicating that an error has occurred to the administrator (S122). The alarm information is output by a method previously set by the user, for example, a mail or a text message. Accordingly, the alarm information is output as a text message or an e-mail in the form of 'an error has occurred'.

그러면, 관리자는 상기 침입 탐지 서버에서 출력되는 알람 정보를 확인한 후, 이상이 발견된 파일에 대한 조치를 취하여 전체 시스템에 문제가 생기지 않도록 대응한다. Then, the administrator checks the alarm information output from the intrusion detection server, and then takes action on the file where the abnormality is found, so as not to cause a problem in the entire system.

그러나 상기와 같은 종래에는 보호하고자 하는 파일이 변형되는 즉시 관리자에게 오류 정보가 전달되지 않으므로 즉각적인 대응이 필요한 시스템인 경우 치명적인 시스템 오류가 발생하는 문제점이 있다. However, in the related art, since error information is not transmitted to an administrator as soon as a file to be protected is deformed, a fatal system error occurs in a system requiring immediate response.

또한 무결성 데이터에 오류가 발생된 경우 그 원인과 시간 정보를 확인할 수 없는 문제점이 있다.In addition, when an error occurs in the integrity data, the cause and time information may not be confirmed.

또한, 시스템에 대한 보안성을 높이기 위해서는 자주 무결성 검사를 실시해야하고 검사중에는 시스템의 CPU 사용량이 높아지므로 시스템의 활용도가 낮아지는 문제점이 있다. In addition, in order to increase the security of the system, the integrity check must be frequently performed, and during the inspection, the CPU usage of the system increases, which causes a problem that the utilization of the system decreases.

또한, 보호하고자 하는 파일이 복사가 되면, 내용이 변형되는 것이 아니므로 무결성 데이터 값은 일치하게 되어 오류 메시지가 발생하지 않으므로 중요한 파일에 대한 외부 유출을 막을 수 없는 문제점이 있다.In addition, when a file to be protected is copied, since the contents are not altered, the integrity data values are matched so that an error message does not occur. Therefore, there is a problem in that external leakage of important files cannot be prevented.

따라서, 본 발명의 목적은 보호하고자 하는 파일에 대한 어떤 접근이 일어나더라도 무결성 검사를 바로 실행하여 관리자에게 통보하고 시스템에 자동으로 대응 행동을 실시하는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공하는데 있다.Accordingly, an object of the present invention is to provide a file integrity checking method in an intrusion detection system that immediately executes an integrity check and notifies an administrator and automatically responds to a system regardless of any access to a file to be protected.

본 발명의 다른 목적은 파일 변형을 시도한 사용자나 프로세스, 파일 변형이 시도된 날짜와 시간을 확인할 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공하는데 있다. Another object of the present invention is to provide a file integrity checking method in an intrusion detection system that can identify a user or process attempting to modify a file, and the date and time at which the file is modified.

본 발명의 또다른 목적은 파일 변형이 시도되었을 경우에만 무결성 검사를 실시하여 CPU 사용량을 줄일 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공하는데 있다. It is still another object of the present invention to provide a file integrity checking method in an intrusion detection system capable of reducing CPU usage by performing integrity checking only when a file modification is attempted.

본 발명의 또다른 목적은 파일을 단순히 복사하거나 읽기만 하여도 로그를 발생하고 대응행동을 실시하여 중요한 정보에 대한 외부 유출을 막을 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공하는데 있다. It is still another object of the present invention to provide a file integrity checking method in an intrusion detection system capable of preventing an external leak of important information by generating a log and performing a corresponding action by simply copying or reading a file.

상기 목적들을 달성하기 위하여 본 발명의 일 측면에 따르면, 사용자에 의해 입력된 파일을 파일 접근 탐지 정책에 저장하고, 상기 저장된 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단한 후, 저장하고, 사용자에 의해 입력된 무결성 검사 환경 정보를 수신하여 저장하고, 상기 저장된 각 파일에 대하여 이벤트를 모니터링하여 접근이 일어나는지의 여부를 감지하고, 접근이 일어난 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단하고, 상기 판단결과 해당 파일의 무결성 데이터가 올바르지 않으면, 미리 설정된 대응 행동을 수행하고, 상기 사용자에게 알람 정보를 출력하는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법이 제공된다.According to an aspect of the present invention to achieve the above objects, the file input by the user is stored in the file access detection policy, and after generating the integrity data for the stored file to determine whether it is correct, the user, Receives and saves the integrity check environment information input by the user, monitors the event for each of the stored files to detect whether access occurs, and generates integrity data for the accessed file to determine whether it is correct. If the integrity data of the file is incorrect as a result of the determination, a file integrity test method is provided in the intrusion detection system, characterized in that to perform a preset response action and output alarm information to the user.

상기 저장된 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단한 후, 저장하는 것은 상기 저장된 파일에 대하여 사용자에 의해 선택된 해쉬 알고리즘을 이용하여 제1 무결성 데이터와 제2 무결성 데이터를 생성하고, 상기 생성된 제1 무결성 데이터가 제2 무결성 데이터와 상응하는 경우에 상기 제1 무결성 데이터를 올바른 것으로 판단하여 저장하고, 상응하지 않으면, 상기 제1 무결성 데이터가 올바르지 않다고 판단하여 무결성 데이터 검사를 다시 수행한다. After generating integrity data for the stored file to determine whether it is correct, storing the generated file generates first integrity data and second integrity data using a hash algorithm selected by a user for the stored file, and generating the generated integrity data. If the first integrity data corresponds to the second integrity data, the first integrity data is determined to be correct and stored. If the first integrity data does not correspond, the first integrity data is determined to be incorrect and the integrity data check is performed again.

상기 무결성 검사 환경 정보는 오류발생 파일에 대한 대응 행동 정보와 알람 정보 출력 방법을 포함한다. The integrity check environment information includes a corresponding behavior information and an alarm information output method for an error occurrence file.

상기 파일 접근은 파일 열기, 읽기, 쓰기, 생성, 삭제를 포함하는 동작일 수 있다.The file access may be an operation including opening, reading, writing, creating, and deleting a file.

상기 접근이 일어난 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단하는 것은 상기 접근이 일어난 파일에 대하여 제3 무결성 데이터를 생성하고, 상기 생성된 제3 무결성 데이터가 미리 생성되어 저장된 제1 무결성 데이터가 상응하는지의 여부를 판단하고, 상기 판단결과 상기 제3 무결성 데이터가 상기 제1 무결성 데이터와 상응하면, 상기 무결성 데이터가 올바르다고 판단하고, 상응하지 않으면, 상기 무결성 데이터가 올바르지 않다고 판단한다. Determining whether or not the correct data is generated by generating the integrity data of the accessed file, generating the third integrity data of the accessed file, and the generated third integrity data is generated and stored in advance. Is determined, and if the third integrity data corresponds to the first integrity data, the integrity data is determined to be correct, and if not, the integrity data is determined to be incorrect.

상기 무결성 데이터가 올바르면, 해당 파일을 정상으로 판단하고, 올바르지 않으면, 해당 파일에 오류가 발생했다고 판단한다. If the integrity data is correct, the file is determined to be normal, and if it is not correct, it is determined that an error has occurred in the file.

상기 미리 설정된 대응 행동은 상기 사용자에 의해 미리 설정되어 저장된 무결성 검사 환경 정보내의 대응 행동 정보이다. The preset corresponding behavior is corresponding behavior information in the integrity check environment information preset and stored by the user.

상기 알람 정보는 파일 접근을 시도한 사용자/프로세서, 날짜, 시간을 포함하는 무결성 오류 정보를 포함하고, 메일, 메시지, 문자 메시지 등의 형태로 출력된다. The alarm information includes integrity error information including a user / processor attempting to access a file, a date, and a time, and is output in the form of a mail, a message, or a text message.

이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2는 본 발명의 바람직한 일 실시예에 따른 호스트 침입 탐지 시스템의 구성을 개략적으로 나타낸 블럭도이다. Figure 2 is a block diagram schematically showing the configuration of a host intrusion detection system according to an embodiment of the present invention.

도 2를 참조하면, 호스트 침입 탐지 시스템은 호스트 침입 탐지 서버(200), 관리 서버(210)를 포함한다. Referring to FIG. 2, the host intrusion detection system includes a host intrusion detection server 200 and a management server 210.

상기 호스트 침입 탐지 서버(200)는 외부의 공격으로부터 보호하기 위해서 침입 탐지 전용 프로그램이 설치된 서버로서, 데이터베이스 서버(202), 웹서버(204), 파일 서버(204)등 일 수 있다. The host intrusion detection server 200 is a server on which an intrusion detection only program is installed to protect from an external attack, and may be a database server 202, a web server 204, a file server 204, or the like.

상기 관리서버(210)는 호스트 침입 탐지 서버(200)를 운영하기 위한 관리 서버로서, 상기 호스트 침입 탐지 서버(200)의 침입 탐지에 대한 로그와 정책을 관리한다. The management server 210 is a management server for operating the host intrusion detection server 200, and manages logs and policies for intrusion detection of the host intrusion detection server 200.

상기와 같이 구성된 호스트 침입 탐지 시스템은 기본적으로 보호 대상이 되는 서버(200)의 네트워크 침입 탐지, 파일 접근, 레지스트리 접근, 사용자 로그인, 파일 무결성 검사 기능등을 수행한다. The host intrusion detection system configured as described above basically performs network intrusion detection, file access, registry access, user login, file integrity check function, etc. of the server 200 to be protected.

특히 호스트 침입 탐지 서버(200)는 사용자에 의해 입력된 무결성 검사 파일 리스트를 파일 접근 탐지 정책에 등록하고 무결성 데이터를 생성한다. 그런다음 상기 호스트 침입 탐지 서버(200)는 해당 무결성 데이터에 접근이 탐지되면, 해당 무결성 데이터가 올바른지의 검사를 수행한다. In particular, the host intrusion detection server 200 registers the integrity check file list input by the user in the file access detection policy and generates integrity data. Then, if the host intrusion detection server 200 detects the access to the integrity data, the host intrusion detection server 200 checks whether the integrity data is correct.

상기 검사 수행결과 해당 무결성 데이터가 올바르지 않으면, 상기 침입 탐지 서버는 해당 오류에 대하여 사용자에 의해 미리 지정된 대응 행동을 실행하고, 상기 사용자에게 알람 정보를 출력한다. 여기서 상기 알람 정보는 어떤 사용자나 프로세스에 의해 언제 어떠한 행위를 통하여 파일이 변형되었는지를 나타낸 정보이다. If the integrity data is not correct as a result of the inspection, the intrusion detection server executes a response action predetermined by the user for the error, and outputs alarm information to the user. The alarm information is information indicating when a file is modified by what user or process and when.

도 3은 본 발명의 바람직한 일 실시예에 따른 침입 탐지 서버에서 무결성 데이터 검사 방법을 나타낸 흐름도이다.3 is a flowchart illustrating a method of checking integrity data in an intrusion detection server according to an exemplary embodiment of the present invention.

도 3을 참조하면,침입 탐지 서버는 사용자에 의해 입력된 보호 대상 파일을 파일 접근 탐지 정책에 등록한다(S300).Referring to FIG. 3, the intrusion detection server registers the protection target file input by the user in the file access detection policy (S300).

즉, 사용자는 호스트 침입 탐지 시스템에서 보호해야할 파일들을 파일 접근 탐지 정책에 등록하고 파일 접근 방법에 관하여 상세히 정의한다. 상기 파일 접근 방법으로는 열기, 읽기, 쓰기, 생성, 삭제 등일 수 있다. 그리고 무결성 검사 대상 파일들에 대해서는 무결성 검사 파일옵션을 설정한다. That is, the user registers files to be protected in the host intrusion detection system in the file access detection policy and defines the file access method in detail. The file access method may be open, read, write, create, delete, and the like. In addition, set integrity check file options for integrity check target files.

단계 300의 수행후, 상기 침입 탐지 서버는 상기 등록된 파일에 대하여 제1 무결성 데이터를 생성한다(S302).After performing step 300, the intrusion detection server generates first integrity data with respect to the registered file (S302).

즉, 상기 침입 탐지 서버는 상기 파일접근 탐지 정책에 등록된 무결성 검사 대상 파일에 대해서만 해쉬 알고리즘을 이용하여 무결성 데이터를 생성한다. 상기 해쉬 알고리즘은 사용자에 의해 선택된 알고리즘일 수 있다.That is, the intrusion detection server generates integrity data using a hash algorithm only for the integrity check target file registered in the file access detection policy. The hash algorithm may be an algorithm selected by a user.

단계 302의 수행후, 상기 침입 탐지 서버는 상기 생성된 제1 무결성 데이터가 올바른지의 여부를 판단하기 위하여 상기 등록된 각 파일에 대하여 제2 무결성 데이터를 생성한다(S304).After performing step 302, the intrusion detection server generates second integrity data for each registered file to determine whether the generated first integrity data is correct (S304).

그럼다음 상기 침입 탐지 서버는 상기 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하는지의 여부를 판단한다(S306).The intrusion detection server then determines whether the first integrity data corresponds to the second integrity data (S306).

단계 306의 판단결과 상기 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하면, 상기 침입 탐지 서버는 상기 제1 무결성 데이터가 올바르다고 판단하여 저장한다(S308).If it is determined in step 306 that the first integrity data corresponds to the second integrity data, the intrusion detection server determines that the first integrity data is correct and stores it (S308).

즉, 상기 침입 탐지 서버는 상기 저장된 파일들을 사용자에 의해 선택된 해쉬 알고리즘을 이용하여 차례대로 제1 무결성 데이터를 생성한다. 각 파일들에 대한 제1 무결성 데이터의 생성이 완료되면, 상기 침입 탐지 서버는 상기 생성된 제1 무결성 데이터가 올바른지 확인하기 위하여 각 파일들에 대한 제2 무결성 데이터를생성하고 이를 비교하여 모두 일치하는 경우에만 검증을 완료한다.That is, the intrusion detection server sequentially generates the first integrity data of the stored files using a hash algorithm selected by a user. When generation of the first integrity data for each file is completed, the intrusion detection server generates second integrity data for each file and compares them to match each other to confirm that the generated first integrity data is correct. Only if verification is complete.

만약, 단계 306의 판단결과 상기 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하지 않으면, 상기 침입탐지 서버는 상기 제1 무결성 데이터가 올바르지 않다고 판단하여 단계 302부터 다시 수행한다. 즉, 제1 무결성 데이터와 제2 무결성 데이터가 상응하지 않으면, 상기 침입 탐지 서버는 해당 파일에 대하여 무결성 데이터를 다시 생성한다.If the first integrity data does not correspond to the second integrity data as a result of the determination of step 306, the intrusion detection server determines that the first integrity data is not correct and performs the process again from step 302. That is, if the first integrity data and the second integrity data do not correspond, the intrusion detection server regenerates the integrity data for the file.

단계 308의 수행후, 상기 침입 탐지 서버는 사용자에 의해 입력된 무결성 검사 환경 정보를 수신하여 저장한다(S310). After performing step 308, the intrusion detection server receives and stores the integrity check environment information input by the user (S310).

상기 무결성 검사 환경 정보는 무결성 오류가 발생한 파일에 대한 대응행동 정보와 알람 정보 출력 방법등을 말한다. 상기 무결성 오류가 발생한 파일에 대한 대응 행동 정보는 파일 접근이 일어난 파일에 대해서 무결성 검사를 실시한 후, 무결성 오류가 발생할 경우에 대처해야할 대응행동을 말한다. 상기 대응행동 방법으로는 네트워크 로그오프, 로컬 로그 오프, 로컬 로그온 금지, 네트워크 로그온 금지, 시스템 잠금, 시스템 종료, 프로세스 종료, 스크립트 실행등을 말한다.The integrity check environment information refers to a response action information and an alarm information output method for a file where an integrity error has occurred. The response behavior information for the file in which the integrity error occurs refers to a response action to be dealt with when an integrity error occurs after performing an integrity check on the file in which the file access has occurred. The corresponding action methods include network logoff, local logoff, local logon prohibition, network logon prohibition, system lockout, system shutdown, process termination, and script execution.

상기 알람 정보 출력 방법은 무결성 검사를 실시한 후, 파일 무결성에 오류가 탐지된 경우 관리자에게 검사 결과를 어떤 방식으로 전달할 것인지를 나타내는 것으로서, 메일, 문자 메시지, 음성 메시지 등과 같은 방법이 있다.The alarm information output method indicates how the test results are to be transmitted to the administrator when an error is detected in the file integrity after performing the integrity check. There are a method such as an email, a text message, and a voice message.

따라서, 상기 사용자는 무결성 오류가 발생한 경우에 대처해야할 대응행동과 무결성 오류 정보를 포함하는 무결성 검사 환경 정보를 적절히 선택하여 침입 탐지 서버에 입력하고, 상기 침입 탐지 서버는 상기 사용자에 의해 입력된 무결성 검사 환경 정보를 저장한다. Therefore, the user appropriately selects the integrity check environment information including the response action and the integrity error information to be handled when an integrity error occurs and inputs the information to the intrusion detection server, and the intrusion detection server checks the integrity input by the user. Save environment information.

단계 310의 수행후, 상기 침입 탐지 서버는 상기 파일 접근 탐지 정책에 저장된 파일에 대하여 이벤트를 모니터링하여(S312), 파일 접근이 이루어지는지의 여부를 판단한다(S314). 즉, 상기 침입 탐지 서버는 상기 파일 접근 탐지 정책에 저장된 파일에 대하여 이벤트를 모니터링하여 각 파일에 대하여 열기, 읽기, 쓰기, 생성, 삭제 등의 동작에 이루어지는지의 여부를 판단한다.After performing step 310, the intrusion detection server monitors an event for a file stored in the file access detection policy (S312), and determines whether file access is made (S314). That is, the intrusion detection server monitors an event for a file stored in the file access detection policy to determine whether the file is opened, read, written, created, or deleted for each file.

단계 314의 판단결과 파일 접근이 이루어지면, 상기 침입 탐지 서버는 해당 파일에 대한 무결성 데이터를 검사하여(S316), 무결성 데이터가 올바른지의 여부를 판단한다(S318). As a result of the determination in step 314, when the file is accessed, the intrusion detection server examines the integrity data for the file (S316), and determines whether the integrity data is correct (S318).

단계 318의 판단결과 상기 무결성 데이터가 올바르면, 상기 침입 탐지 서버는 해당 파일을 정상으로 판단한다(S320).If the integrity data is correct as a result of the determination in step 318, the intrusion detection server determines that the file is normal (S320).

즉, 상기 침입 탐지 서버는 파일 접근이 일어난 파일에 대하여 제3 무결성 데이터를 생성하고, 상기 생성된 제3 무결성 데이터가 단계 308에서 생성되어 저장된 제1 무결성 데이터와 상응하는지의 여부를 판단한다. That is, the intrusion detection server generates third integrity data with respect to the file from which the file has been accessed, and determines whether the generated third integrity data corresponds to the first integrity data generated and stored in step 308.

상기 판단결과 상기 생성된 무결성 데이터가 상기 저장된 무결성 데이터와 상응하면 해당 파일을 정상으로 판단하고, 상응하지 않으면, 해당 파일에 오류가 발생된 것으로 판단한다.As a result of the determination, if the generated integrity data corresponds to the stored integrity data, it is determined that the file is normal. If not, it is determined that an error has occurred in the file.

만약, 단계 318의 판단결과 해당 무결성 데이터가 올바르지 않으면, 상기 침입 탐지 서버는 단계 310에서 미리 정해진 대응 행동을 실행하고 무결성 오류 정보를 생성한다(S322). 상기 무결성 오류 정보는 파일 접근을 시도한 사용자나 프로세서, 날짜, 시간등의 정보를 말한다. If the integrity data is not correct as a result of the determination in step 318, the intrusion detection server executes a predetermined response action in step 310 and generates integrity error information (S322). The integrity error information refers to information about a user, a processor, a date, a time, etc. that attempted to access a file.

예를 들어, 상기 사용자가 상기 무결성 검사 환경 정보에 해당 대응 행동을 시스템 종료로 설정한 경우에 해당 무결성 데이터가 올바르지 않으면, 시스템을 종료하고, 상기 침입 탐지 서버는 무결성 오류 정보를 생성한다. For example, when the user sets the corresponding action in the integrity check environment information as system shutdown, if the integrity data is not correct, the system is shut down, and the intrusion detection server generates integrity error information.

단계 322의 수행후, 상기 침입 탐지 서버는 단계 310에서 미리 지정된 알람 정보 출력 방법으로 상기 생성된 무결성 오류 정보를 포함하는 알람 정보를 상기 사용자에게 출력한다(S324).After performing step 322, the intrusion detection server outputs alarm information including the generated integrity error information to the user in a predetermined alarm information output method in step 310 (S324).

예를 들어, 상기 무결성 검사 환경 정보에 문자 메시지로 알람 정보를 출력한다고 되어 있으면, 상기 침입 탐지 서버는 해당 사용자에게 문자 메시지로 알람 정보를 출력한다. For example, if the integrity check environment information outputs alarm information in a text message, the intrusion detection server outputs alarm information in a text message to the corresponding user.

따라서, 사용자는 상기 알람 정보를 보고 파일 변형을 시도한 사용자나 프로세서, 날짜와 시간, 대응방법이 올바르게 실행되었는지의 여부를 알 수 있다. Accordingly, the user may know whether the user or processor attempting to modify the file, the date and time, and the corresponding method are correctly executed based on the alarm information.

본 발명은 상기 실시예에 한정되지 않으며, 많은 변형이 본 발명의 사상 내에서 당 분야에서 통상의 지식을 가진 자에 의하여 가능함은 물론이다.The present invention is not limited to the above embodiments, and many variations are possible by those skilled in the art within the spirit of the present invention.

상술한 바와 같이 본 발명에 따르면, 보호하고자 하는 파일에 대한 어떤 접근이 일어나더라도 무결성 검사를 바로 실행하여 관리자에게 통보하고 시스템에 자동으로 대응 행동을 실시하므로 시스템에 대한 안전성을 높일 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공할 수 있다. As described above, according to the present invention, any access to a file to be protected occurs, an integrity check is immediately executed to notify an administrator and automatically respond to the system, thereby inducing an intrusion detection system that can increase the safety of the system. Can provide a method for checking file integrity.

또한, 본 발명에 따르면, 파일 변형을 시도한 사용자나 프로세스, 파일 변형이 시도된 날짜와 시간을 로그를 통해 알 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공할 수 있다. In addition, according to the present invention, it is possible to provide a file integrity check method in an intrusion detection system that can know the user or process attempts to modify a file, the date and time the file modification was attempted through a log.

또한, 본 발명에 따르면, 파일 변형이 시도되었을 경우에만 무결성 검사를 실시하므로 CPU 사용량이 크지 않아 시스템 활용도가 높아질 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공할 수 있다. In addition, according to the present invention, since integrity checking is performed only when a file modification is attempted, a file integrity checking method may be provided in an intrusion detection system in which CPU utilization is not large and system utilization may be increased.

또한, 본 발명에 따르면, 파일을 단순히 복사하거나 읽기만 하여도 로그가 발생하고 대응행동을 실시하므로 중요한 정보에 대한 외부 유출을 막을 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공할 수 있다.In addition, according to the present invention, since a log is generated and a corresponding action is performed by simply copying or reading a file, a file integrity checking method can be provided in an intrusion detection system that can prevent external leakage of important information.

또한, 본 발명에 따르면, 만일 보호되는 파일이 오퍼레이팅 시스템 파일과 자주 읽혀지기는 하나 데이터 변형이 되지 않는 실행 파일이나 시스템 데이터 파일인 경우에는 무결성에 대한 문제는 없으므로 오류가 아닌 정상적인 접근 형태로 구분할 수 있는 침입 탐지 시스템에서 파일 무결성 검사 방법을 제공할 수 있다. In addition, according to the present invention, if the protected file is an operating system file and an executable file or a system data file that is frequently read but does not change data, there is no problem with integrity, so it can be classified as a normal access form rather than an error. An intrusion detection system can provide a file integrity check method.

도 1은 종래의 침입 탐지 서버에서 무결성 데이터를 검사하는 방법을 나타낸 흐름도이다. 1 is a flowchart illustrating a method of checking integrity data in a conventional intrusion detection server.

도 2는 본 발명의 바람직한 일 실시예에 따른 호스트 침입 탐지 시스템의 구성을 개략적으로 나타낸 블럭도이다. Figure 2 is a block diagram schematically showing the configuration of a host intrusion detection system according to an embodiment of the present invention.

도 3은 본 발명의 바람직한 일 실시예에 따른 침입 탐지 서버에서 무결성 데이터 검사 방법을 나타낸 흐름도이다.3 is a flowchart illustrating a method of checking integrity data in an intrusion detection server according to an exemplary embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

200 : 호스트 침입 탐지 서버 210 : 관리서버 200: host intrusion detection server 210: management server

Claims (9)

사용자에 의해 입력된 파일을 파일 접근 탐지 정책에 저장하는 단계;Storing the file input by the user in a file access detection policy; 상기 저장된 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단한 후, 저장하는 단계;Generating integrity data with respect to the stored file to determine whether it is correct and then storing the integrity file; 사용자에 의해 입력된 무결성 검사 환경 정보를 수신하여 저장하는 단계;Receiving and storing integrity check environment information input by a user; 상기 저장된 각 파일에 대하여 이벤트를 모니터링하여 접근이 일어나는지의 여부를 감지하는 단계;Monitoring an event for each of the stored files to detect whether an access occurs; 접근이 일어난 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단하는 단계;및Generating integrity data on the accessed file to determine whether it is correct; and 상기 판단결과 해당 파일의 무결성 데이터가 올바르지 않으면, 미리 설정된 대응 행동을 수행하고, 상기 사용자에게 알람 정보를 출력하는 단계If the integrity data of the corresponding file is incorrect as a result of the determination, performing a preset corresponding action and outputting alarm information to the user 를 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.File integrity check method in the intrusion detection system comprising a. 제1항에 있어서, The method of claim 1, 상기 저장된 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단한 후, 저장하는 단계는 After generating the integrity data for the stored file to determine whether it is correct, and storing 상기 저장된 파일에 대하여 사용자에 의해 선택된 해쉬 알고리즘을 이용하여 제1 무결성 데이터를 생성하는 단계;Generating first integrity data for the stored file using a hash algorithm selected by a user; 상기 저장된 파일에 대하여 사용자에 의해 선택된 해쉬 알고리즘을 이용하여 제2 무결성 데이터를 생성하는 단계;Generating second integrity data for the stored file using a hash algorithm selected by a user; 상기 생성된 제1 무결성 데이터가 상기 제2 무결성 데이터와 상응하는지의 여부를 판단하는 단계;Determining whether the generated first integrity data corresponds to the second integrity data; 상기 판단결과 상기 생성된 제1 무결성 데이터가 제2 무결성 데이터와 상응하면 상기 제1 무결성 데이터를 올바른 것으로 판단하여 저장하고, 상응하지 않으면, 상기 제1 무결성 데이터가 올바르지 않다고 판단하여 무결성 데이터 검사를 다시 수행하는 단계를 포함하는 것을 특지으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.As a result of the determination, if the generated first integrity data corresponds to the second integrity data, the first integrity data is determined to be correct and stored. If not, the first integrity data is determined to be incorrect and the integrity data check is performed again. A method of file integrity checking in an intrusion detection system, characterized in that it comprises a step of performing. 제1항에 있어서, The method of claim 1, 상기 무결성 검사 환경 정보는 오류발생 파일에 대한 대응 행동 정보와 알람 정보 출력 방법을 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.The integrity check environment information includes a method of outputting corresponding action information and an alarm information on an error-producing file. 제1항에 있어서, The method of claim 1, 상기 파일 접근은 파일 열기, 읽기, 쓰기, 생성, 삭제를 포함하는 동작인 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.And accessing the file comprises opening, reading, writing, creating and deleting a file. 제1항에 있어서, The method of claim 1, 상기 접근이 일어난 파일에 대하여 무결성 데이터를 생성하여 올바른지의 여부를 판단하는 단계는 The step of generating integrity data on the accessed file to determine whether it is correct 상기 접근이 일어난 파일에 대하여 제3 무결성 데이터를 생성하는 단계;Generating third integrity data for the file from which the access occurred; 상기 생성된 제3 무결성 데이터가 미리 생성되어 저장된 제1 무결성 데이터가 상응하는지의 여부를 판단하는 단계;Determining whether the generated third integrity data corresponds to previously generated and stored first integrity data; 상기 판단결과 상기 제3 무결성 데이터가 상기 제1 무결성 데이터와 상응하면, 상기 무결성 데이터가 올바르다고 판단하고, 상응하지 않으면, 상기 무결성 데이터가 올바르지 않다고 판단하는 단계를 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.Determining that the integrity data is correct when the third integrity data corresponds to the first integrity data, and determining that the integrity data is not correct when the third integrity data corresponds to the first integrity data. To check file integrity on Windows. 제5항에 있어서, The method of claim 5, 상기 무결성 데이터가 올바르면, 해당 파일을 정상으로 판단하고, 올바르지 않으면, 해당 파일에 오류가 발생했다고 판단하는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.The file integrity check method of the intrusion detection system, characterized in that if the integrity data is correct, the file is determined to be normal, and if the file is incorrect, it is determined that an error has occurred in the file. 제1항에 있어서, The method of claim 1, 상기 미리 설정된 대응 행동은 상기 사용자에 의해 미리 설정되어 저장된 무결성 검사 환경 정보내의 대응 행동 정보인 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.And wherein the preset corresponding behavior is corresponding behavior information in the integrity check environment information preset and stored by the user. 제1항에 있어서, The method of claim 1, 상기 알람 정보는 파일 접근을 시도한 사용자/프로세서, 날짜, 시간을 포함하는 무결성 오류 정보를 포함하는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.And the alarm information includes integrity error information including a user / processor, date, and time attempting to access a file. 제1항 또는 제8항에 있어서, The method according to claim 1 or 8, 상기 알람 정보는 메일, 메시지, 문자 메시지 등의 형태로 출력되는 것을 특징으로 하는 침입 탐지 시스템에서 파일 무결성 검사 방법.And the alarm information is output in the form of a mail, a message, a text message, or the like.
KR10-2003-0080621A 2003-11-14 2003-11-14 Method for inspecting file faultless in invasion detection system Expired - Fee Related KR100512145B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2003-0080621A KR100512145B1 (en) 2003-11-14 2003-11-14 Method for inspecting file faultless in invasion detection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2003-0080621A KR100512145B1 (en) 2003-11-14 2003-11-14 Method for inspecting file faultless in invasion detection system

Publications (2)

Publication Number Publication Date
KR20050046371A KR20050046371A (en) 2005-05-18
KR100512145B1 true KR100512145B1 (en) 2005-09-05

Family

ID=37245769

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2003-0080621A Expired - Fee Related KR100512145B1 (en) 2003-11-14 2003-11-14 Method for inspecting file faultless in invasion detection system

Country Status (1)

Country Link
KR (1) KR100512145B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100823738B1 (en) * 2006-09-29 2008-04-21 한국전자통신연구원 How to provide integrity assurance while concealing configuration information from the computing platform

Also Published As

Publication number Publication date
KR20050046371A (en) 2005-05-18

Similar Documents

Publication Publication Date Title
US11520901B2 (en) Detecting firmware vulnerabilities
US7975302B2 (en) System for real-time detection of computer system files intrusion
US20200382302A1 (en) Security privilege escalation exploit detection and mitigation
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
JP4629332B2 (en) Status reference monitor
US8078909B1 (en) Detecting file system layout discrepancies
US20180075233A1 (en) Systems and methods for agent-based detection of hacking attempts
US20080141370A1 (en) Security incident identification and prioritization
JP2016503936A (en) System and method for identifying and reporting application and file vulnerabilities
US7665139B1 (en) Method and apparatus to detect and prevent malicious changes to tokens
CN113660224A (en) Situational awareness defense method, device and system based on network vulnerability scanning
CN112039894B (en) Network access control method, device, storage medium and electronic equipment
JP2010026662A (en) Information leakage prevention system
CN112698797A (en) File printing control method and system, electronic equipment and storage medium
CN116305290A (en) System log security detection method and device, electronic equipment and storage medium
US7631356B2 (en) System and method for foreign code detection
CN110674499A (en) Method, device and storage medium for identifying computer threat
CN111259392A (en) Malicious software interception method and device based on kernel module
WO2024184646A1 (en) File-system protection
KR100512145B1 (en) Method for inspecting file faultless in invasion detection system
US20220237286A1 (en) Kernel based exploitation detection and prevention using grammatically structured rules
US20220391502A1 (en) Systems and methods for detecting a prior compromise of a security status of a computer system
Basin et al. Logging and log analysis
CN118862069A (en) Industrial control host ransomware protection method, device and storage medium
CN119848845A (en) Malicious file detection method and device, electronic equipment and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R11-asn-PN2301

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R14-asn-PN2301

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20080827

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20080827

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000