[go: up one dir, main page]

KR102574384B1 - Distributed endpoint security method using blockchain technology and device thereof - Google Patents

Distributed endpoint security method using blockchain technology and device thereof Download PDF

Info

Publication number
KR102574384B1
KR102574384B1 KR1020210152084A KR20210152084A KR102574384B1 KR 102574384 B1 KR102574384 B1 KR 102574384B1 KR 1020210152084 A KR1020210152084 A KR 1020210152084A KR 20210152084 A KR20210152084 A KR 20210152084A KR 102574384 B1 KR102574384 B1 KR 102574384B1
Authority
KR
South Korea
Prior art keywords
executable file
risk
risk level
blockchain
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020210152084A
Other languages
Korean (ko)
Other versions
KR20230066754A (en
Inventor
현영권
Original Assignee
주식회사 발카리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 발카리 filed Critical 주식회사 발카리
Priority to KR1020210152084A priority Critical patent/KR102574384B1/en
Publication of KR20230066754A publication Critical patent/KR20230066754A/en
Application granted granted Critical
Publication of KR102574384B1 publication Critical patent/KR102574384B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Accounting & Taxation (AREA)
  • Computing Systems (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 블록체인을 이용한 엔드포인트 보안 방법 및 그 장치에 관한 것으로, 실행파일들에 대한 위험도를 블록체인 형태로 저장하고 있는 실행파일 위험도 블록체인에 대하여 제1 실행파일의 위험도를 조회하고, 상기 실행파일 위험도 블록체인에서 상기 제1 실행파일의 위험도가 조회되면, 상기 제1 실행파일의 위험도에 기초하여 미리 설정된 정책에 따라 상기 제1 실행파일을 처리하며, 상기 실행파일 위험도 블록체인에서 상기 제1 실행파일의 위험도가 조회되지 않으면, 상기 제1 실행파일에 대한 위험도를 분석하기 위한 검사를 메인넷에 요청하는 블록체인을 이용한 엔드포인트 보안 및 그 장치에 관한 것이다.
본 발명의 블록체인을 이용한 엔드포인트 보안 방법 및 그 장치에 의하면, 새로운 실행파일에 대한 위험도를 실시간으로 분석하여 신속하게 대응할 수 있고, 새로운 실행파일에 대한 위험도를 분산 방식으로 분석하여 비용을 절감하며, 실행 파일의 위험도 목록에 대한 해킹이나 위변조를 방지할 수 있는 효과가 있다.The present invention relates to an endpoint security method and apparatus using a block chain, wherein the risk level of a first executable file is queried with respect to an executable file risk level block chain storing the risk level of executable files in the form of a block chain, and the If the risk level of the first executable file is inquired from the executable file risk level blockchain, the first executable file is processed according to a policy set in advance based on the risk level of the first executable file, and the first executable file is processed according to the risk level of the first executable file in the block chain. 1 If the risk level of the first executable file is not inquired, it relates to endpoint security using a blockchain and a device for requesting a test to analyze the risk level of the first executable file to the mainnet.
According to the endpoint security method and device using the blockchain of the present invention, it is possible to respond quickly by analyzing the risk level of a new executable file in real time, and to reduce costs by analyzing the risk level of a new executable file in a distributed manner, However, it is effective in preventing hacking or forgery of the risk list of executable files.

Description

블록체인 기술을 이용한 분산 구조의 엔드포인트 보안 방법 및 그 장치 {Distributed endpoint security method using blockchain technology and device thereof}Distributed endpoint security method using blockchain technology and device thereof {Distributed endpoint security method using blockchain technology and device thereof}

본 발명은 블록 체인 기술을 이용한 분산 구조의 엔드포인트 보안 방법 및 그 장치에 관한 것이다. 구체적으로, 본 발명은 블록체인 기술을 이용하여 위험도 분석 및 대응이 가능한 분산 구조의 엔드포인트 보안 방법 및 그 장치에 관한 것이다.The present invention relates to a distributed endpoint security method and apparatus using block chain technology. Specifically, the present invention relates to a distributed endpoint security method and apparatus capable of risk analysis and response using blockchain technology.

최근에 이용 가능한 다양한 인터넷 서비스가 다양해지면서, 사용자들의 인터넷 서비스 이용량도 폭발적으로 증가하고 있다. 그러나 인터넷 서비스의 활용도가 높아지는 만큼, 인터넷 사용자들은 다양한 형태의 보안 위협에 직면하고 있고, 실제 침해 사고들이 끊임없이 발생하고 있는 것이 현실이다.Recently, as various Internet services available have been diversified, users' use of Internet services is also explosively increasing. However, as the utilization of Internet services increases, Internet users face various types of security threats, and it is a reality that actual infringement accidents are constantly occurring.

인터넷 서비스를 통하여 전달되는 디지털 파일은 바이러스, 웜, 멀웨어, 랜섬웨어, 스파이웨어, 애드웨어, 악성광고, 트로이 목마, 피싱, 파밍, 브라우저 약탈자, 루트킷, 브라우저 확장, 뱅킹 트로이 목마, 코인 채굴자, 다운로더, 폼재킹, 키로거, MitM(중간자) 브라우저 공격, 잠재적 유해 앱, 스크립트 기반 공격, 소셜 네트워킹 스캠 등의 다양한 악성 코드들이 실행파일의 형태로 포함할 수 있다. Digital files transmitted through Internet services are free from viruses, worms, malware, ransomware, spyware, adware, malvertising, trojans, phishing, pharming, browser hijackers, rootkits, browser extensions, banking trojans, coin miners, Various malicious codes such as downloaders, formjacking, keyloggers, MitM (man in the middle) browser attacks, potentially harmful apps, script-based attacks, and social networking scams can be included in the form of executable files.

기존의 보안 방식에 따르면, 디지털 파일을 다운로드한 사용자의 기기에 설치된 보안 솔루션이 해당 디지털 파일에 포함된 악성 코드를 인식하고 이를 제거하는 방식이 사용되고 있다. 그런데, 기존 보안 솔루션들은 특정 악성 코드들이 알려진 후에, 솔루션 제공사에서 이를 탐지하고 제거하는 기능을 추가로 패치하는 방식으로 운영되므로, 보안 솔루션에 등록되지 않은 새로운 악성 코드에 대하여는 패치를 기다는 기간 동안에 보안이 취약한 문제점이 있었다.According to the existing security method, a method in which a security solution installed in a device of a user who has downloaded a digital file recognizes a malicious code included in the corresponding digital file and removes it is used. However, existing security solutions are operated in such a way that after certain malicious codes are known, the solution provider additionally patches the function to detect and remove them, so new malicious codes that are not registered in the security solution are subject to security while waiting for a patch. There was this weak point.

또한, 정보보호 수준이 높은 기업들의 경우에는 다양한 보안 솔루션과 보안 정책을 자사의 기업 환경에 맞추어 채택하여 사이버 공격에 대비하고 침해 사고를 예방하고 있지만, 소규모의 기업이나 개인 사용자의 경우에는 보안 지식의 부족이나 비용의 문제로 인하여 자신에게 가장 적합한 엔드포인트 보안 솔루션을 선택하는 것이 쉽지 않고, 어렵게 선택한 보안 솔루션도 제공사의 대응 기술에만 전적으로 의지할 수밖에 없는 문제점이 있었다.In addition, in the case of companies with a high level of information protection, they adopt various security solutions and security policies according to their corporate environment to prepare for cyber attacks and prevent intrusion accidents. It is not easy to select the most suitable endpoint security solution for oneself due to shortage or cost, and even the difficultly selected security solution has to rely solely on the response technology of the provider.

또한, 디지털 파일에서 새로운 악성 코드를 인식하고, 그 위험도를 분석하기 위해서는 많은 컴퓨팅 파워가 필요한데, 이를 위하여 솔루션 제공사는 고가의 서버를 유지하기 위한 비용이 발생하고, 보안 솔루션이 설치된 엔드포인트 장치의 처리 속도가 느려지는 문제점이 있었다.In addition, a lot of computing power is required to recognize new malicious codes in digital files and analyze the risk. To this end, solution providers incur costs for maintaining expensive servers and processing of endpoint devices with security solutions installed. There was a problem with the slow speed.

결국, 블록체인을 이용한 분산 구조의 엔드포인트 보안 방법 및 그 장치에 대한 요구가 있었으나, 종래의 기술에 따르면 이를 제공할 수 없는 문제점이 있었고, 본 발명은 이를 해결하기 위한 것이다.In the end, there was a demand for a distributed endpoint security method and device using a block chain, but there was a problem that could not be provided according to the prior art, and the present invention is to solve this problem.

등록특허공보 제10-1709276호(등록일: 2017. 02. 16.)Registered Patent Publication No. 10-1709276 (registration date: 2017. 02. 16.)

본 발명의 과제는, 새로운 실행파일에 대한 위험도를 실시간으로 분석하여 대응할 수 있는 엔드포인트 보안 방법 및 그 장치를 제공하는 것이다.An object of the present invention is to provide an endpoint security method and apparatus capable of responding by analyzing a risk level of a new execution file in real time.

또한, 본 발명의 다른 과제는, 새로운 실행파일에 대한 위험도를 분산 방식으로 분석할 수 있는 엔드포인트 보안 방법 및 그 장치를 제공하는 것이다.In addition, another object of the present invention is to provide an endpoint security method and apparatus capable of analyzing the risk of a new executable file in a distributed manner.

또한, 본 발명의 다른 과제는, 실행파일에 대한 위험도 목록을 블록체인 기술을 이용하여 분산 저장하여, 위험도 목록에 대한 해킹이나 위변조를 방지할 수 있는 엔드포인트 보안 방법 및 그 장치를 제공하는 것이다.In addition, another object of the present invention is to provide an endpoint security method and apparatus capable of preventing hacking or forgery of a risk list by distributing and storing a risk list for an executable file using blockchain technology.

본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있고, 본 발명의 실시예에 의해 보다 분명하게 이해될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects and advantages of the present invention not mentioned above can be understood by the following description and will be more clearly understood by the examples of the present invention. It will also be readily apparent that the objects and advantages of the present invention may be realized by means of the instrumentalities and combinations indicated in the claims.

상기 기술적 과제를 달성하기 위한 본 발명의 일 실시예에 따른 블록체인을 이용한 엔드포인트 보안 방법은 실행파일들에 대한 위험도를 블록체인 형태로 저장하고 있는 실행파일 위험도 블록체인에 대하여 제1 실행파일의 위험도를 조회하는 단계; 상기 실행파일 위험도 블록체인에서 상기 제1 실행파일의 위험도가 조회되면, 상기 제1 실행파일의 위험도에 기초하여 미리 설정된 정책에 따라 상기 제1 실행파일을 처리하는 단계; 및 상기 실행파일 위험도 블록체인에서 상기 제1 실행파일의 위험도가 조회되지 않으면, 상기 제1 실행파일에 대한 위험도를 분석하기 위한 검사를 메인넷에 요청하는 단계;를 포함한다.An endpoint security method using a block chain according to an embodiment of the present invention for achieving the above technical problem is the first execution file with respect to the execution file risk block chain that stores the risk level of the execution files in the form of a block chain. Inquiring a risk level; processing the first executable file according to a policy set in advance based on the risk level of the first executable file when the risk level of the first executable file is inquired from the executable file risk level blockchain; and if the risk level of the first executable file is not inquired from the executable file risk level blockchain, requesting a test to analyze the risk level of the first executable file to the mainnet.

본 발명의 일 실시예에 따르면, 상기 실행파일 위험도 블록체인에 상기 제1 실행파일의 위험도를 조회하는 단계 이전에, 상기 제1 실행파일이 허용목록에 포함된 것인지 확인하여, 상기 허용목록에 포함된 경우에는 실행을 허용하는 단계를 더 포함할 수 있다.According to an embodiment of the present invention, prior to the step of inquiring the risk level of the first executable file in the executable file risk block chain, it is checked whether the first executable file is included in the whitelist, and the first executable file is included in the whitelist. If it is, the step of allowing execution may be further included.

본 발명의 일 실시예에 따르면, 상기 실행파일 위험도 블록체인의 각 블록은 상기 블록에 해당하는 제2 실행파일에 대한 해시값 및 위험도를 포함할 수 있다.According to an embodiment of the present invention, each block of the execution file risk level blockchain may include a hash value and a risk level for the second execution file corresponding to the block.

본 발명의 일 실시예에 따르면, 상기 블록에 저장된 상기 제2 실행파일의 위험도는 상기 제2 실행파일에 의하여 발생할 수 있는 위험행위 유형들과 각각의 위험도를 포함할 수 있다.According to an embodiment of the present invention, the risk level of the second executable file stored in the block may include risk behavior types that may occur by the second executable file and respective risk levels.

본 발명의 일 실시예에 따르면, 상기 블록에 저장된 상기 제2 실행파일의 위험도는 각각의 위험행위 유형들의 위험도에 기초하여 산출된 전체 위험도를 포함할 수 있다.According to an embodiment of the present invention, the risk level of the second executable file stored in the block may include a total risk level calculated based on the risk level of each risk activity type.

본 발명의 일 실시예에 따르면, 상기 메인넷으로부터 수신한 제3 실행파일에 대한 위험도를 검사하는 단계;를 더 포함할 수 있다.According to an embodiment of the present invention, the step of checking the risk level of the third executable file received from the mainnet; may further include.

본 발명의 일 실시예에 따르면, 상기 위험도 검사는 정적 검사, 동적 검사, 위험행위 검출, 위험행위 정규화 및 위험도 산출 중 어느 하나 이상을 포함할 수 있다.According to an embodiment of the present invention, the risk assessment may include any one or more of static examination, dynamic examination, risk behavior detection, risk behavior normalization, and risk calculation.

본 발명의 일 실시예에 따르면, 상기 메인넷으로부터 수신한 상기 제3 실행파일에 대한 위험도를 검사하는 단계 이후에, 상기 제3 실행파일에 대한 위험도를 파일 위험도 블록으로 구성하여, 이를 메인넷에 전달하는 단계;를 더 포함할 수 있다.According to an embodiment of the present invention, after the step of examining the risk level of the third executable file received from the mainnet, the risk level of the third executable file is configured as a file risk block, and this is transferred to the mainnet. Delivering step; may further include.

본 발명의 일 실시예에 따르면, 상기 제3 실행파일에 대한 위험도를 파일 위험도 블록으로 구성하여, 이를 메인넷에 전달하는 단계 이후에, 상기 메인넷으로부터 보상을 수신하는 단계;를 더 포함할 수 있다.According to an embodiment of the present invention, after the step of configuring the risk level for the third executable file as a file risk block and transmitting it to the mainnet, receiving a reward from the mainnet; may further include there is.

본 발명의 일 실시예에 따르면, 상기 메인넷의 보상은 소정의 가상화폐일 수 있다.According to an embodiment of the present invention, the compensation of the mainnet may be a predetermined virtual currency.

상기 기술적 과제를 달성하기 위한 본 발명의 일 실시예에 따른 블록체인을 이용한 엔드포인트 보안 기능을 구비한 엔드포인트 장치는 실행파일들에 대한 위험도 정보들을 블록체인으로 저장하는 실행파일 위험도 블록체인; 및 제1 실행파일의 위험도를 상기 실행파일 위험도 블록체인에 조회하고, 상기 실행파일 위험도 블록체인에서 상기 제1 실행파일의 위험도가 조회되면, 상기 제1 실행파일의 위험도에 기초하여 미리 설정된 정책에 따라 상기 제1 실행파일을 처리하고, 상기 실행파일 위험도 블록체인에서 상기 제1 실행파일의 위험도가 조회되지 않으면, 상기 제1 실행파일의 위험도 검사를 메인넷에 요청하는 엔드포인트 보안 모듈을 포함한다.An endpoint device having an endpoint security function using a block chain according to an embodiment of the present invention for achieving the above technical problem includes an executable file risk level block chain for storing risk information about executable files in a block chain; and the risk level of the first executable file is inquired into the executable file risk blockchain, and if the risk level of the first executable file is inquired from the executable file risk blockchain, a preset policy is set based on the risk level of the first executable file. and an endpoint security module that processes the first executable file according to the above and, if the risk level of the first executable file is not retrieved from the executable file risk level blockchain, requests the mainnet to check the risk level of the first executable file. .

본 발명의 일 실시예에 따르면, 상기 엔드포인트 보안 모듈은 상기 엔드포인트 장치에 저장된 상기 실행파일 위험도 블록체인에 상기 제1 실행파일의 위험도를 조회하기 전에, 상기 제1 실행파일이 허용목록에 포함된 것인지 확인하여, 허용목록에 포함된 경우에는 실행을 허용할 수 있다.According to an embodiment of the present invention, before the endpoint security module queries the risk level of the first executable file in the executable file risk level block chain stored in the endpoint device, the first executable file is included in the whitelist. If it is included in the allow list, execution can be allowed.

본 발명의 일 실시예에 따르면, 상기 실행파일 위험도 블록체인의 각 블록은 상기 블록에 해당하는 제2 실행파일에 대한 해시값 및 위험도를 포함할 수 있다.According to an embodiment of the present invention, each block of the execution file risk level blockchain may include a hash value and a risk level for the second execution file corresponding to the block.

본 발명의 일 실시예에 따르면, 상기 블록에 저장된 상기 제2 실행파일의 위험도는 상기 제2 실행파일에 의하여 발생할 수 있는 위험행위 유형들과 각각의 위험도를 포함할 수 있다.According to an embodiment of the present invention, the risk level of the second executable file stored in the block may include risk behavior types that may occur by the second executable file and respective risk levels.

본 발명의 일 실시예에 따르면, 상기 블록에 저장된 상기 제2 실행파일의 위험도는 각각의 위험행위 유형들의 위험도에 기초하여 산출된 전체 위험도를 포함할 수 있다.According to an embodiment of the present invention, the risk level of the second executable file stored in the block may include a total risk level calculated based on the risk level of each risk activity type.

본 발명의 일 실시예에 따르면, 메인넷으로부터 수신한 제3 실행파일에 대한 위험도를 검사하는 실행파일 위험도 분석 모듈을 더 포함할 수 있다.According to an embodiment of the present invention, an executable file risk analysis module may be further included to check the risk level of the third executable file received from the mainnet.

본 발명의 일 실시예에 따르면, 상기 위험도 검사는 정적 검사, 동적 검사, 위험행위 검출, 위험행위 정규화 및 위험도 산출 중 어느 하나 이상을 포함할 수 있다.According to an embodiment of the present invention, the risk assessment may include any one or more of static examination, dynamic examination, risk behavior detection, risk behavior normalization, and risk calculation.

본 발명의 일 실시예에 따르면, 상기 실행파일 위험도 분석 모듈은 상기 메인넷으로부터 수신한 제3 실행파일에 대한 위험도를 검사하고, 상기 제3 실행파일에 대한 위험도를 파일 위험도 블록으로 구성하여, 이를 메인넷에 전달할 수 있다.According to an embodiment of the present invention, the executable file risk analysis module examines the risk level of the third executable file received from the mainnet, configures the risk level of the third executable file as a file risk block, and determines the risk level of the third executable file. It can be forwarded to the mainnet.

본 발명의 일 실시예에 따르면, 상기 실행파일 위험도 분석 모듈은 상기 제3 실행파일에 대한 위험도를 파일 위험도 블록으로 구성하여, 이를 메인넷에 전달한 후에, 상기 메인넷으로부터 보상을 수신할 수 있다.According to an embodiment of the present invention, the executable file risk analysis module configures the risk of the third executable file as a file risk block, delivers it to the mainnet, and then receives a reward from the mainnet.

본 발명의 일 실시예에 따르면, 상기 메인넷의 보상은 소정의 가상화폐일 수 있다.According to an embodiment of the present invention, the compensation of the mainnet may be a predetermined virtual currency.

본 발명의 일 실시예에 따르면, 상기 실행파일 위험도 블록체인에 접근할 수 있는 기능을 API 형태로 제공하는 블록체인 연동 API를 더 포함할 수 있다.According to an embodiment of the present invention, a blockchain-linked API providing a function for accessing the execution file risk level blockchain in the form of an API may be further included.

본 발명에 따른 엔드포인트 보안 방법 및 그 장치는, 새로운 실행파일에 대한 위험도를 실시간으로 분석하여 신속하게 대응할 수 있는 효과가 있다.The endpoint security method and apparatus according to the present invention have the effect of rapidly responding by analyzing the risk level of a new execution file in real time.

또한, 본 발명에 따르면, 새로운 실행파일에 대한 위험도를 분산 방식으로 분석하여 비용을 절감하는 효과가 있다.In addition, according to the present invention, there is an effect of reducing costs by analyzing the risk level of a new executable file in a distributed manner.

또한, 본 발명에 따르면, 실행 파일의 위험도 목록에 대한 해킹이나 위변조를 방지할 수 있는 효과가 있다.In addition, according to the present invention, there is an effect of preventing hacking or falsification of the risk list of an executable file.

상술한 내용과 더불어 본 발명의 구체적인 효과는 이하 발명을 실시하기 위한 구체적인 사항을 설명하면서 함께 기술한다.In addition to the above description, specific effects of the present invention will be described together while explaining specific details for carrying out the present invention.

도 1은 본 발명의 일 실시예에 따라 실행파일의 위험도를 분석한 결과를 설명하기 위한 예시도이다.
도 2는 본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 보안 솔루션의 구성을 설명하기 위한 개념도이다.
도 3은 본 발명의 일 실시예에 따른 엔드포인트 보안 모듈의 구성을 설명하기 위한 개념도이다.
도 4는 본 발명의 일 실시예에 따른 위험도 분석 블록체인 및 메인넷 접속 모듈의 구성을 설명하기 위한 개념도이다.
도 5는 본 발명의 일 실시예에 따른 블록체인 구성하는 파일 위험도 블록의 구성을 설명하기 위한 개념도이다.
도 6는 본 발명의 일 실시예에 따른 블록체인 기반의 실행파일 위험도 분석 시스템의 구성을 설명하기 위한 개념도이다.
도 7은 본 발명의 일 실시예에 따른 실행파일 위험도 분석 모듈의 구성을 설명하기 위한 개념도이다.
도 8는 본 발명의 일 실시예에 따른 블록체인 기반의 실행파일 분석 시스템을 포함하는 엔드포인트 보안 솔루션의 구성을 설명하기 위한 개념도이다.
도 9는 본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 보안 솔루션의 동작을 설명하기 위한 순서도이다.
도 10은 본 발명의 일 실시예에 따른 실행파일 위험도 분석 모듈의 동작 흐름을 설명하기 위한 순서도이다.1 is an exemplary diagram for explaining a result of analyzing the risk of an executable file according to an embodiment of the present invention.
2 is a conceptual diagram for explaining the configuration of a blockchain-based endpoint security solution according to an embodiment of the present invention.
3 is a conceptual diagram for explaining the configuration of an endpoint security module according to an embodiment of the present invention.
4 is a conceptual diagram for explaining the configuration of a risk analysis block chain and a mainnet access module according to an embodiment of the present invention.
5 is a conceptual diagram for explaining the configuration of a file risk block constituting a block chain according to an embodiment of the present invention.
6 is a conceptual diagram for explaining the configuration of a blockchain-based execution file risk analysis system according to an embodiment of the present invention.
7 is a conceptual diagram for explaining the configuration of an executable file risk analysis module according to an embodiment of the present invention.
8 is a conceptual diagram for explaining the configuration of an endpoint security solution including a blockchain-based execution file analysis system according to an embodiment of the present invention.
9 is a flowchart illustrating the operation of a blockchain-based endpoint security solution according to an embodiment of the present invention.
10 is a flowchart for explaining the operation flow of the executable file risk analysis module according to an embodiment of the present invention.

본 명세서 및 특허청구범위에서 사용된 용어나 단어는 일반적이거나 사전적인 의미로 한정하여 해석되어서는 아니된다. 발명자가 그 자신의 발명을 최선의 방법으로 설명하기 위해 용어나 단어의 개념을 정의할 수 있다는 원칙에 따라, 본 발명의 기술적 사상과 부합하는 의미와 개념으로 해석되어야 한다. 또한, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명이 실현되는 하나의 실시예에 불과하고, 본 발명의 기술적 사상을 전부 대변하는 것이 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 및 응용 가능한 예들이 있을 수 있음을 이해하여야 한다.Terms or words used in this specification and claims should not be construed as being limited to a general or dictionary meaning. According to the principle that an inventor may define a term or a concept of a word in order to best describe his/her invention, it should be interpreted as meaning and concept consistent with the technical spirit of the present invention. In addition, the embodiments described in this specification and the configurations shown in the drawings are only one embodiment in which the present invention is realized, and do not represent all of the technical spirit of the present invention, so they can be replaced at the time of the present application. It should be understood that there may be many equivalents and variations and applicable examples.

본 명세서 및 특허청구범위에서 사용된 제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. '및/또는' 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.Terms such as first, second, A, and B used in this specification and claims may be used to describe various components, but the components should not be limited by the terms. These terms are only used for the purpose of distinguishing one component from another. For example, a first element may be termed a second element, and similarly, a second element may be termed a first element, without departing from the scope of the present invention. The term 'and/or' includes a combination of a plurality of related recited items or any one of a plurality of related recited items.

본 명세서 및 특허청구범위에서 사용된 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서 "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Terms used in this specification and claims are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. It should be understood that terms such as "include" or "having" in this application do not exclude in advance the possibility of existence or addition of features, numbers, steps, operations, components, parts, or combinations thereof described in the specification. .

본 명세서 및 특허청구범위에서 하나의 구성요소가 다른 구성요소와 "연결"되어 있다고 기재한 경우에는 직접 연결된 경우와 함께, 중간에 다른 구성요소를 통하여 연결된 경우도 포함하는 것으로 이해되어야 하며, "직접 연결" 또는 "바로 연결"되어 있다고 기재한 경우에만 중간에 다른 구성요소가 없이 하나의 구성요소와 다른 구성요소가 연결된 것으로 이해되어야 한다. 마찬가지로 구성요소들 사이의 관계를 설명하는 다른 표현들도 동일한 취지로 이해되어야 한다.In the present specification and claims, when it is described that one component is "connected" to another component, it should be understood that it includes the case of being directly connected as well as the case of being connected through another component in the middle. Only when it is described as "connected" or "directly connected", it should be understood that one component and another component are connected without other components in the middle. Likewise, other expressions describing relationships between components should be understood in the same sense.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해서 일반적으로 이해되는 것과 동일한 의미를 가지고 있다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which the present invention belongs.

일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Terms such as those defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the related art, and unless explicitly defined in this application, it should not be interpreted in an ideal or excessively formal meaning. don't

또한, 본 발명의 각 실시예에 포함된 각 구성, 과정, 공정 또는 방법 등은 기술적으로 상호 간 모순되지 않는 범위 내에서 공유될 수 있다. In addition, each configuration, process, process or method included in each embodiment of the present invention may be shared within a range that does not contradict each other technically.

이하, 도 1 내지 도 8을 참조하여, 본 발명의 몇몇 실시예들에 따른 블록체인을 이용한 엔드포인트 보안 솔루션 및 위험도 분석 시스템을 설명한다.Hereinafter, referring to FIGS. 1 to 8 , an endpoint security solution and risk analysis system using a blockchain according to some embodiments of the present invention will be described.

도 1은 본 발명의 일 실시예에 따라 실행파일의 위험도를 분석한 결과를 설명하기 위한 예시도이다.1 is an exemplary diagram for explaining a result of analyzing the risk of an executable file according to an embodiment of the present invention.

본 발명의 일 실시예에 따르면, 실행파일을 분석하여 해당 실행파일에 의하여 발생할 수 있는 위험행위(침해) 유형과 더불어 그 위험도를 미리 정해진 기준에 따라서 결정할 수 있다. 도 1을 참조하면, 실행파일에 의하여 발생할 수 있는 위험행위(침해)의 유형을 파일 공격, 프로세스 공격, 네트워크 공격 등으로 분류하고, 각각의 위험행위 유형에 대한 위험도를 5단계로 나누어 분석할 수 있다. 예를 들어, 분석 대상인 실행파일이 엔드포인트 장치에 저장된 파일들을 임의로 변경하거나 삭제하는 악성 코드라면, 해당 실행파일은 위험행위 유형이 '파일 공격'에 해당하고, 그 위험도는 4단계(●●●●○)로 표현할 수 있다. According to an embodiment of the present invention, by analyzing an executable file, it is possible to determine the type of dangerous action (infringement) that may occur by the corresponding executable file and the risk level according to a predetermined criterion. Referring to FIG. 1, the types of risky actions (infringements) that may occur by executable files are classified into file attacks, process attacks, network attacks, etc., and the risk level for each risky action type is divided into 5 stages and analyzed. there is. For example, if the executable file to be analyzed is a malicious code that arbitrarily changes or deletes files stored on the endpoint device, the executable file corresponds to a 'file attack' as a risky action type, and its risk level is 4 (●●● It can be expressed as ○○).

본 발명의 일 실시예에 따르면, 실행파일에 의한 각각의 위험행위 유형에 대한 위험도를 분석하고, 이를 기초로 실행파일에 대한 전체적인 위험도를 분석할 수 있다. 예를 들어, 전체적인 위험도는 각각의 위험행위 유형에 대한 위험도 중에 최대 위험도에 해당할 수 있다. 즉, 도 1에 도시된 바와 같이, 실행파일이 '파일 공격'에 대하여 최대 위험도를 가지고, 그 위험도가 4단계이면, 전체 위험도는 4단계로 정해질 수 있다. According to an embodiment of the present invention, it is possible to analyze the risk level for each type of dangerous action by an executable file, and analyze the overall risk level for the executable file based on this. For example, the overall risk may correspond to the maximum risk among risks for each type of risky activity. That is, as shown in FIG. 1, if an executable file has the maximum risk level for 'file attack' and the risk level is 4 levels, the overall risk level can be set to 4 levels.

다른 예로서, 전체적인 위험도는 각각의 위험행위 유형에 대한 위험도를 평균한 값에 해당할 수 있다. 즉, 도 1에서 '파일 공격'의 위험도가 4단계이고, '기타 공격'에 대한 위험도가 2단계이면, 전체적인 위험도는 3단계에 해당할 수 있다. 다만, 위험도가 없는 유형에 대하여는 평균에서 제외될 수 있다. 즉, 도 1에서 '프로세스 공격' 및 '네트워크 공격'에 대한 위험도는 없으므로, 이를 제외하고 '파일 공격' 및 '기타 공격'에 대한 위험도를 평균하여 전체 위험도를 산출할 수 있다.As another example, the overall risk level may correspond to an average value of the risk levels for each risk activity type. That is, if the risk level of 'file attack' in FIG. 1 is level 4 and the level of risk of 'other attacks' is level 2, the overall risk level may correspond to level 3. However, types without risk may be excluded from the average. That is, since there are no risks of 'process attack' and 'network attack' in FIG. 1, the overall risk can be calculated by averaging the risks of 'file attack' and 'other attacks'.

실행파일의 위험도를 분석한 결과는 각각이 블록을 이루어 블록체인의 형태로 저장될 수 있다. 예를 들어, 도 1에 도시한 실행파일에 대한 위험행위 유형에 따른 위험도 및 전체 위험도는 하나의 블록을 이루어 블록체인에 저장될 수 있다.The result of analyzing the risk level of an executable file can be stored in the form of a block chain, each of which forms a block. For example, the risk level and the total risk level according to the risk behavior type for the executable file shown in FIG. 1 can be stored in a block chain as one block.

도 2는 본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 보안 솔루션의 구성을 설명하기 위한 개념도이다.2 is a conceptual diagram for explaining the configuration of a blockchain-based endpoint security solution according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 도 2를 참조하면, 엔드포인트 장치(10)에는 엔드포인트 보안 솔루션이 설치될 수 있고, 엔드포인트 보안 솔루션은 위험도 블록체인 및 메인넷 접속모듈(100), 블록체인 연동 API(200) 및 엔드포인트 보안모듈(300)을 포함할 수 있다. 여기서, 위험도 블록체인 및 메인넷 접속모듈(100)은 실행파일 위험도 블록체인(110) 및 메인넷 접속모듈(120)을 포함할 수 있다.Referring to FIG. 2 according to an embodiment of the present invention, an endpoint security solution may be installed in the endpoint device 10, and the endpoint security solution includes a risk level blockchain and a mainnet access module 100, a blockchain It may include an interlocking API 200 and an endpoint security module 300. Here, the risk level blockchain and mainnet connection module 100 may include the execution file risk level blockchain 110 and the mainnet connection module 120.

엔드포인트 보안 솔루션은 메인넷 접속모듈(120)을 통하여 블록체인 네트워크인 메인넷(20)에 접속할 수 있다. 본 발명의 일 실시예에 따르면, 메인넷(20)은 복수의 엔드포인트 장치들을 각각의 노드로서 포함하여 형성될 수 있다. 다만, 본 발명의 메인넷(20)이 이에 한정되는 것은 아니고 다양한 형태의 노드들을 추가로 포함할 수 있다. 예를 들어, 메인넷(20)은 일 노드로서 별도의 서버를 포함할 수 있다. The endpoint security solution can access the mainnet 20, which is a blockchain network, through the mainnet access module 120. According to an embodiment of the present invention, the mainnet 20 may be formed by including a plurality of endpoint devices as respective nodes. However, the mainnet 20 of the present invention is not limited thereto and may additionally include various types of nodes. For example, the mainnet 20 may include a separate server as one node.

본 발명은 독자적인 블록체인 네트워크를 메인넷(20)으로 사용하거나, 또는 기존 블록체인 플랫폼(예를 들어, 이더리움, 퀀텀, 네오 등)을 메인넷(20)으로 활용할 수 있으나, 이에 한정되는 것은 아니다.In the present invention, a proprietary blockchain network may be used as the main net 20, or an existing blockchain platform (e.g., Ethereum, Quantum, Neo, etc.) may be used as the main net 20, but is not limited thereto no.

엔드포인트 보안모듈(300)은 인터넷 서비스를 통하여 전달되는 디지털 파일에서 실행파일을 발견하면, 해당 실행파일에 대한 위험도를 블록체인 연동 API(200)을 통하여 실행파일 위험도 블록체인(110)을 통하여 확인하고, 위험도가 미리 정해진 기준보다 높은 실행파일은 차단하여 보안 사고를 방지할 수 있다. 예를 들어, 위험도가 미리 정해진 기준보다 높은 실행파일은 실행을 차단하거나 해당 파일을 삭제하는 방식으로 보안 사고를 방지할 수 있다. 다만, 실행파일의 차단 방식은 이에 한정되는 것은 아니고 통상적인 보안 프로그램에서 사용하는 다양한 방식이 적용될 수 있다.When the endpoint security module 300 finds an executable file in a digital file transmitted through an Internet service, the risk level of the executable file is checked through the blockchain linking API 200 through the execution file risk level blockchain 110. In addition, it is possible to prevent a security incident by blocking an executable file having a higher risk level than a predetermined standard. For example, a security incident can be prevented by blocking the execution of an executable file having a higher risk level than a predetermined criterion or by deleting the corresponding file. However, the blocking method of the executable file is not limited thereto, and various methods used in general security programs may be applied.

본 발명의 일 실시예에 따르면, 엔드포인트 보안모듈(300)은 실행을 허가하는 허용목록을 유지하고, 디지털 파일에서 실행파일을 발견하면 먼저 허용목록에 포함된 것인지 확인하고, 허용목록에 포함된 경우에는 위험도를 확인하지 않고, 바로 실행하도록 할 수 있다.According to an embodiment of the present invention, the endpoint security module 300 maintains a whitelist that allows execution, and when an executable file is found in a digital file, first checks whether it is included in the whitelist, and if it is included in the whitelist, In this case, it can be executed immediately without checking the risk level.

만약, 실행파일 위험도 블록체인(110)에서 해당 실행파일을 찾을 수 없는 경우에는, 엔드포인트 보안모듈(300)은 해당 실행파일을 새로운 실행파일로 간주하고, 블록체인 연동 API(200)를 통하여 해당 실행파일의 위험도 산출을 메인넷(20)에 의뢰하여, 메인넷(20)을 통하여 산출한 해당 실행파일의 위험도를 실행파일 위험도 블록체인(110)에 저장하고, 산출된 위험도에 따라서 해당 실행파일의 차단 여부를 결정할 수 있다. If the executable file cannot be found in the executable file risk level blockchain 110, the endpoint security module 300 considers the executable file as a new executable file, and through the blockchain interlocking API 200 The risk calculation of the executable file is requested to the mainnet 20, the risk of the executable file calculated through the mainnet 20 is stored in the executable file risk blockchain 110, and the corresponding executable file according to the calculated risk can decide whether to block.

본 발명의 일 실시예에 따르면, 블록체인 연동 API(200)는 엔드포인트 보안 모듈(300)이 실행파일 위험도 블록체인(110)에 접근하거나 블록체인 네트워크인 메인넷(20)에 접근할 수 있는 기능을 API(Application Programming Interface) 형태로 제공할 수 있다.According to an embodiment of the present invention, the blockchain interlocking API 200 allows the endpoint security module 300 to access the execution file risk level blockchain 110 or to access the mainnet 20, which is a blockchain network. Functions can be provided in the form of an API (Application Programming Interface).

도 3은 본 발명의 일 실시예에 따른 엔드포인트 보안 모듈(300)의 구성을 설명하기 위한 개념도이다.3 is a conceptual diagram for explaining the configuration of an endpoint security module 300 according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 도 3을 참조하면, 엔드포인트 보안 모듈(300)은 파일 시스템 제어 모듈(310), 허용목록 모듈(320), 위험도 기반 차단정책 모듈(330) 및 위험도 캐시(340)을 포함할 수 있다.Referring to FIG. 3 according to an embodiment of the present invention, the endpoint security module 300 includes a file system control module 310, a whitelist module 320, a risk-based blocking policy module 330, and a risk cache 340. ) may be included.

본 발명의 일 실시예에 따르면, 엔드포인트 보안 모듈(300)은 파일 시스템 제어 모듈(310)을 포함할 수 있다. 파일 시스템 제어 모듈(310)은 인터넷 서비스를 통하여 엔드포인트 장치(10)에 전달되는 디지털 파일에서 실행파일을 발견하면, 해당 실행파일에 대한 위험도에 따라서 해당 실행파일을 삭제하거나 해당 실행파일의 실행을 차단할 수 있다. According to one embodiment of the present invention, the endpoint security module 300 may include a file system control module 310 . When the file system control module 310 finds an executable file in a digital file transmitted to the endpoint device 10 through the Internet service, the executable file is deleted or the execution of the corresponding executable file is stopped according to the risk level of the corresponding executable file. can block

본 발명의 일 실시예에 따르면, 실행파일에 대한 위험도는 블록체인 연동 API(200)를 통하여 실행파일 위험도 블록체인(110)에서 확인할 수 있으나, 자주 조회되는 실행파일에 대한 위험도를 일정시간 동안 저장하는 위험도 캐시(340)을 이용하여 실행시간을 단축할 수 있다. 파일 시스템 제어 모듈(310)이 실행파일에 대한 위험도 조회를 요청하면, 위험도 캐시(340)에 해당 실행파일에 대한 위험도가 저장된 경우에는 블록체인 연동 API(200)을 이용하지 않고, 위험도 캐시(340)에 저장된 해당 실행파일에 대한 위험도(340)를 응답할 수 있다.According to an embodiment of the present invention, the risk level of an executable file can be checked in the execution file risk level blockchain 110 through the blockchain-linked API 200, but the risk level of the frequently-queried executable file is stored for a certain period of time. It is possible to shorten the execution time by using the risk cache 340. When the file system control module 310 requests a risk level inquiry for an executable file, if the risk level for the corresponding executable file is stored in the risk level cache 340, the blockchain interlocking API 200 is not used, and the risk level cache 340 ) may respond with a risk level 340 for the corresponding executable file stored in .

위험도 캐시(340)는 가장 최근에 조회된 실행파일들에 대한 위험도를 우선적으로 저장하거나 가장 자주 조회된 실행파일들에 대한 위험도를 우선적으로 저장할 수 있다. 다만, 위험도 캐시(340)의 동작 방식은 이에 한정되는 것은 아니고, 캐시(cache)에서 사용되는 다양한 동작 방식들이 채용될 수 있다.The risk cache 340 may preferentially store the risk levels of the most recently viewed executable files or preferentially store the risks of the most frequently viewed executable files. However, the operating method of the risk cache 340 is not limited thereto, and various operating methods used in the cache may be employed.

본 발명의 일 실시예에 따르면, 엔드포인트 보안 모듈(300)은 허용목록 모듈(320)을 포함할 수 있다. 허용목록 모듈(320)에는 엔드포인트 장치(10)에서 실행을 허가하는 허용목록을 유지하고, 파일 시스템 제어 모듈(310)이 디지털 파일에서 실행파일을 발견하면 먼저 허용목록 모듈(320)에 이를 조회하여, 해당 실행파일이 허용목록에 포함된 것인지 확인하고, 허용목록에 포함된 경우에는 위험도를 확인하지 않고, 바로 실행하도록 할 수 있다. 허용목록 모듈(320)은 파일 시스템 제어 모듈(310)의 허용목록 조회 요청에 응답하여, 해당 실행파일이 허용목록에 포함된 것인지 여부를 알려줄 수 있다.According to one embodiment of the invention, the endpoint security module 300 may include a whitelist module 320 . The whitelist module 320 maintains a whitelist that permits execution on the endpoint device 10, and when the file system control module 310 finds an executable file in a digital file, the whitelist module 320 first searches for it. Therefore, it is possible to check whether the corresponding executable file is included in the whitelist, and if it is included in the whitelist, it can be executed immediately without checking the risk level. The whitelist module 320 may inform whether a corresponding executable file is included in the whitelist in response to the whitelist search request of the file system control module 310 .

허용목록 모듈(320)은 별도의 하드웨어 저장 모듈로서 구성되거나 엔드포인트 장치의 저장 매체(예를 들어, 메모리, SSD, HDD 등)에 일부의 저장 공간을 할당하여 구성될 수 있으나, 이에 한정되는 것은 아니다. The white list module 320 may be configured as a separate hardware storage module or configured by allocating some storage space to a storage medium (eg, memory, SSD, HDD, etc.) of an endpoint device, but is not limited thereto. no.

본 발명의 일 실시예에 따르면, 엔드 포인트 보안 모듈(300)은 위험도 기반 차단정책 모듈(330)을 포함할 수 있고, 여기에 실행파일의 위험도에 따른 해당 실행파일에 대한 차단정책을 저장할 수 있다. 예를 들어, 실행파일의 위험도가 일정 이상이면 해당 실행파일을 삭제하도록 차단정책을 설정할 수 있다. 본 발명의 일 실시예에 따르면, 위험도 기반 차단정책 모듈(330)에 저장되는 차단정책은 해당 엔드포인트 장치의 사용자가 설정하거나, 메인넷(20)을 통하여 복수의 사용자들에 의하여 결정될 수 있으나, 이에 한정되는 것은 아니다. According to an embodiment of the present invention, the endpoint security module 300 may include a risk-based blocking policy module 330, and a blocking policy for a corresponding executable file according to the risk level of the executable file may be stored therein. . For example, if the risk level of an executable file exceeds a certain level, a blocking policy may be set to delete the corresponding executable file. According to an embodiment of the present invention, the blocking policy stored in the risk-based blocking policy module 330 may be set by a user of the corresponding endpoint device or determined by a plurality of users through the mainnet 20. It is not limited to this.

위험도 기반 차단정책 모듈(330)은 별도의 하드웨어 저장 모듈로서 구성되거나 엔드포인트 장치의 저장 매체(예를 들어, 메모리, SSD, HDD 등)에 일부의 저장 공간을 할당하여 구성될 수 있으나, 이에 한정되는 것은 아니다. The risk-based blocking policy module 330 may be configured as a separate hardware storage module or configured by allocating some storage space to a storage medium (eg, memory, SSD, HDD, etc.) of an endpoint device, but is limited thereto. it is not going to be

도 4는 본 발명의 일 실시예에 따른 위험도 블록체인 및 메인넷 접속 모듈(100)의 구성을 설명하기 위한 개념도이다.4 is a conceptual diagram for explaining the configuration of the risk level blockchain and mainnet access module 100 according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 도 4를 참조하면, 위험도 블록체인 및 메인넷 접속 모듈(100)은 실행파일 위험도 블록체인(110), 메인넷 접속 모듈(120) 및 위험도 분석작업 요청/수락 모듈(130)을 포함할 수 있다. Referring to FIG. 4 according to an embodiment of the present invention, the risk level blockchain and mainnet access module 100 includes the executable file risk level blockchain 110, the mainnet access module 120, and the risk analysis task request/acceptance module. (130).

본 발명의 일 실시예에 따르면, 실행파일 위험도 블록체인(110)은 파일 위험도 블록(112)을 단위 블록으로 하여 블록체인을 형성할 수 있다. 실행파일 위험도 블록체인(110)은 블록체인 연동 API(200)를 통하여 조회되는 실행파일에 대응되는 파일 위험도 블록(112)을 찾아서, 해당 파일 위험도 블록(112)에 저장된 위험도 값을 응답할 수 있다. 만약, 실행파일 위험도 블록체인(110)에서 조회되는 실행파일에 대응되는 파일 위험도 블록(112)을 찾지 못하면, 해당 실행파일에 대한 위험도가 실행파일 위험도 블록체인(110)에서 조회되지 않는다고 응답할 수 있다.According to an embodiment of the present invention, the executable file risk block chain 110 may form a block chain using the file risk block 112 as a unit block. The executable file risk block chain 110 searches for the file risk block 112 corresponding to the executable file inquired through the blockchain interlocking API 200, and responds with the risk value stored in the corresponding file risk block 112. . If the executable file risk block 110 does not find the file risk block 112 corresponding to the executable file searched in the executable file risk block chain 110, it can be answered that the risk level of the executable file is not searched in the executable file risk block chain 110. there is.

실행파일 위험도 블록체인(110)은 메인넷 접속 모듈(120)을 통하여 메인넷(20)에서 위험도 분석이 완료된 새로운 실행파일에 대한 정보를 파일 위험도 블록(112)의 형태로 수신하여, 자신의 블록체인에 추가할 수 있다. 본 발명에서 메인넷(20)에서 수신한 새로운 블록을 추가하는 과정은 일반적인 블록체인 기술에서 사용되는 다양한 방식이 적용될 수 있다.Executable file risk block chain 110 receives information on a new executable file for which risk analysis has been completed in mainnet 20 through mainnet access module 120 in the form of file risk block 112, and blocks its own block. can be added to the chain. In the present invention, various methods used in general blockchain technology can be applied to the process of adding a new block received from the mainnet 20.

위험도 분석작업 요청/수락 모듈(130)은 엔드포인트 보안모듈(300)에서 새로운 실행파일에 대하여 위험도를 분석할 것을 요청하는 경우에 이를 메인넷(20)에 전달하는 역할을 수행할 수 있다. 본 발명의 일 실시예에 따르면, 엔드포인트 보안모듈(300)의 요청은 블록체인 연동 API(200)을 통하여 위험도 분석작업 요청/수락 모듈(130)에 전달될 수 있고, 위험도 분석작업 요청/수락 모듈(130)은 메인넷(20)에 접속하기 위하여 메인넷 접속 모듈(120)을 이용할 수 있다.The risk analysis task request/acceptance module 130 may play a role in transmitting the risk analysis request to the mainnet 20 when the endpoint security module 300 requests risk analysis for a new executable file. According to one embodiment of the present invention, the request of the endpoint security module 300 may be transmitted to the risk analysis task request/acceptance module 130 through the blockchain interworking API 200, and the risk analysis task request/acceptance Module 130 may use mainnet access module 120 to access mainnet 20 .

또한, 위험도 분석작업 요청/수락 모듈(130)은 메인넷(20)에서 전달된 실행파일에 대한 위험도 분석작업 요청을 미리 정해진 정책에 따라 수락하거나 거절할 수 있고, 수락하는 경우에 이를 실행파일 위험도 분석 모듈(400)에 전달할 수 있다. 예를 들어, 위험도 분석작업 요청/수락 모듈(130)은 엔드포인트 장치(10)의 현재 프로세서 및 메모리 사용량에 따라서 메인넷(20)의 위험도 분석작업 요청을 수락하거나 거절할 수 있다. 즉, 엔드포인트 장치(10)에서 컴퓨팅 자원(computing resource)에 여유가 있는 경우에만 위험도 분석작업 요청을 수락할 수 있다. 다른 예로서, 위험도 분석작업 요청/수락 모듈(130)은 엔드포인트 장치(10)가 절전 모드인 경우에만 메인넷(20)의 위험도 분석작업 요청을 수락할 수 있다. 다만, 위험도 분석작업 요청/수락 모듈(130)이 위험도 분석작업 요청을 수락하거나 거절하는 정책은 이에 한정되는 것이 아니고, 다양한 기준이 적용될 수 있다.In addition, the risk analysis task request/acceptance module 130 may accept or reject the risk analysis task request for the executable file transmitted from the mainnet 20 according to a predetermined policy. It can be passed to the analysis module 400. For example, the risk analysis task request/acceptance module 130 may accept or reject the risk analysis task request of the mainnet 20 according to the current processor and memory usage of the endpoint device 10 . That is, the risk analysis task request may be accepted only when the endpoint device 10 has enough computing resources. As another example, the risk analysis task request/acceptance module 130 may accept the risk analysis task request of the mainnet 20 only when the endpoint device 10 is in power saving mode. However, the risk analysis task request/acceptance module 130 accepts or rejects the risk analysis task request is not limited thereto, and various standards may be applied.

본 발명의 일 실시예에 따르면, 메인넷(20)의 요청은 메인넷 접속 모듈(120)을 통하여 위험도 분석작업 요청/수락 모듈(130)에 전달될 수 있고, 위험도 분석작업 요청/수락 모듈(130)은 실행파일 위험도 분석 모듈(400)에 접속하기 위하여 블록체인 연동 API(200)을 이용할 수 있다.According to one embodiment of the present invention, the request of the mainnet 20 may be transmitted to the risk analysis task request / acceptance module 130 through the mainnet access module 120, and the risk analysis task request / acceptance module ( 130) may use the blockchain interworking API 200 to access the executable file risk analysis module 400.

도 5는 본 발명의 일 실시예에 따른 블록체인 구성하는 파일 위험도 블록의 구성을 설명하기 위한 개념도이다.5 is a conceptual diagram for explaining the configuration of a file risk block constituting a block chain according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 도 5를 참조하면, 실행파일 위험도 블록체인(110)을 구성하는 각 블록인 파일 위험도 블록(112)는 블록헤더, 실행파일의 위험도, 및 실행파일의 해시값을 포함할 수 있다. Referring to FIG. 5 according to an embodiment of the present invention, the file risk block 112, which is each block constituting the executable file risk block chain 110, includes a block header, an executable file risk, and a hash value of the executable file. can include

예를 들어, 블록헤더는 버전, 난이도, 이전 블록 해시, 블록 생성 시간, 블록번호 및 논스(Nonce) 중 어느 하나 이상을 포함할 수 있다. 실행파일의 위험도는 해당 블록의 바디를 형성하고, 각각의 위험행위 유형에 대한 위험도 및/또는 전체 위험도를 포함할 수 있다. 실행파일에 대한 해시값은 블록체인에서 실행파일에 대한 위험도를 확인하기 위하여, 해당 실행파일을 검색하기 위하여 사용될 수 있다. 다만, 이에 한정되는 것은 아니며, 실행파일 위험도 블록체인(110)을 구성하는 각 블록은 이미 알려진 블록체인 기술에 사용되는 블록 형태들을 참조하여 통상의 기술자가 다양하게 구성할 수 있다.For example, the block header may include any one or more of version, difficulty, previous block hash, block generation time, block number, and nonce. The risk level of the executable file forms the body of the corresponding block, and may include the risk level and/or the overall risk level for each risk activity type. The hash value of the executable file can be used to search for the executable file in order to check the risk level of the executable file in the blockchain. However, it is not limited thereto, and each block constituting the executable file risk block chain 110 can be configured in various ways by a person skilled in the art by referring to block types used in known block chain technologies.

도 6는 본 발명의 일 실시예에 따른 블록체인 기반의 실행파일 위험도 분석 시스템의 구성을 설명하기 위한 개념도이다.6 is a conceptual diagram for explaining the configuration of a blockchain-based execution file risk analysis system according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 도 6를 참조하면, 엔드포인트 장치(10)에 구비된 블록체인 기반의 실행파일 위험도 분석 시스템은 위험도 블록체인 및 메인넷 접속모듈(100), 블록체인 연동 API(200) 및 실행파일 위험도 분석 모듈(400)을 포함할 수 있다.Referring to FIG. 6 according to an embodiment of the present invention, the blockchain-based executable file risk analysis system provided in the endpoint device 10 includes a risk level blockchain and mainnet access module 100, a blockchain-linked API ( 200) and an executable file risk analysis module 400.

실행파일 위험도 분석 모듈(400)은 위험도 블록체인 및 메인넷 접속모듈(100)의 위험도 분석작업 요청/수락 모듈(130)에서 메인넷(20)으로부터 수신한 실행파일의 위험도 분석작업 요청을 수락하면, 해당 실행파일에 대한 위험도를 분석하여, 이를 블록체인 연동 API(200)을 통하여 전달할 수 있다.The executable file risk analysis module 400 accepts the risk analysis task request of the executable file received from the mainnet 20 in the risk analysis task request/acceptance module 130 of the risk blockchain and mainnet access module 100. , it is possible to analyze the risk level for the corresponding executable file and deliver it through the blockchain interlocking API (200).

본 발명의 일 실시예에 따르면, 메인넷(20)으로부터 수신한 실행파일 위험도 분석작업 요청에 대하여, 실행파일 위험도 분석 모듈(400)이 해당 실행파일에 대한 위험도를 분석하여 그 결과를 블록체인 연동 API(200)을 통하여 메인넷(20)에 제공하면, 메인넷(20)은 해당 엔드포인트 장치(10)에 대하여 미리 정해진 보상을 제공할 수 있다. 예를 들어, 메인넷(20)은 일종의 가상화폐(또는 암호화폐)를 보상으로 제공할 수 있다. 다만, 이에 한정되는 것은 아니고 다양한 보상이 제공될 수 있다.According to one embodiment of the present invention, with respect to the execution file risk analysis task request received from the mainnet 20, the execution file risk analysis module 400 analyzes the risk level of the corresponding execution file and interlocks the result with the blockchain. When provided to the mainnet 20 through the API 200, the mainnet 20 may provide a predetermined reward for the corresponding endpoint device 10. For example, the mainnet 20 may provide a kind of virtual currency (or cryptocurrency) as a reward. However, it is not limited thereto and various rewards may be provided.

도 7은 본 발명의 일 실시예에 따른 실행파일 위험도 분석 모듈(400)의 구성을 설명하기 위한 개념도이다.7 is a conceptual diagram for explaining the configuration of an executable file risk analysis module 400 according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 도 7을 참조하면, 실행파일 위험도 분석 모듈(400)은 정적분석 모듈(410), 동적분석 모듈(420), 위험행위 검출 모듈(430), 위험행위 정규화 모듈(440), 위험도 산출 모듈(450)을 포함할 수 있다. Referring to FIG. 7 according to an embodiment of the present invention, the executable file risk analysis module 400 includes a static analysis module 410, a dynamic analysis module 420, a risk behavior detection module 430, and a risk behavior normalization module ( 440) and a risk calculation module 450.

정적분석 모듈(410)은 실행파일의 코드를 구조적으로 분석하여 실행파일의 코드에 나타난 위험행위의 유형을 파악하고 그 위험도를 분석할 수 있다. 동적분석 모듈(420)은 침해 피해가 발생하지 않는 가상환경에서 실행파일을 실행시켜 실행과정에서 발생하는 다양한 입/출력 데이터를 분석하여 해당 실행파일에 따른 위험행위 및 위험도를 파악할 수 있다. 위험행위 검출 모듈(430)은 실행파일에 대한 정적 분석 및 동적 분석의 결과를 기초로 해당 실행파일에 의한 위험행위를 검출할 수 있다. 위험행위 정규화 모듈(440)은 실행파일에 의한 위험행위를 미리 정해진 유형별로 정규화할 수 있다. 위험도 산출 모듈(450)은 분석 대상인 실행파일에 의하여 발생할 수 있는 위험행위별로 위험도를 산출하고, 최종적으로 해당 실행파일에 대한 전체 위험도를 산출할 수 있다. The static analysis module 410 may structurally analyze the code of an executable file to determine the type of risky behavior shown in the code of the executable file and analyze the risk level. The dynamic analysis module 420 executes an executable file in a virtual environment in which infringement damage does not occur, and analyzes various input/output data generated during the execution process to determine the risk behavior and risk level according to the corresponding executable file. The dangerous behavior detection module 430 may detect a dangerous behavior by a corresponding executable file based on a result of static analysis and dynamic analysis of the executable file. The risky behavior normalization module 440 may normalize risky behaviors by executable files according to predetermined types. The risk calculation module 450 may calculate a risk level for each risk activity that may occur by an executable file to be analyzed, and finally calculate an overall risk level for the corresponding executable file.

도 8는 본 발명의 일 실시예에 따른 블록체인 기반의 실행파일 분석 시스템을 포함하는 엔드포인트 보안 솔루션의 구성을 설명하기 위한 개념도이다.8 is a conceptual diagram for explaining the configuration of an endpoint security solution including a blockchain-based execution file analysis system according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 도 8을 참조하면, 엔드포인트 장치(10)는 위험도 블록체인 및 메인넷 접속모듈(100), 블록체인 연동 API(200), 엔드포인트 보안 모듈(300) 및 실행파일 위험도 분석 모듈(400)을 포함할 수 있다. 이러한 구성에 의하면, 엔드포인트 장치(10)에 엔드포인트 보안 솔루션과 블록체인 기반의 실행파일 분석 시스템을 동시에 포함할 수 있다. Referring to FIG. 8 according to an embodiment of the present invention, the endpoint device 10 includes a risk level blockchain and mainnet access module 100, a blockchain interworking API 200, an endpoint security module 300, and execution A file risk analysis module 400 may be included. According to this configuration, the endpoint device 10 can include an endpoint security solution and a blockchain-based execution file analysis system at the same time.

본 발명의 일 실시예에 따르면, 엔드포인트 보안 모듈(300)은 블록체인 연동 API(200)를 통하여 실행파일 위험도 블록체인(110)에 접근하고, 메인넷(20)에 새로운 실행파일에 대한 위험도 분석을 의뢰할 수 있다. 또한, 엔드포인트 장치(10)은 실행파일 위험도 분석 모듈(400)을 이용하여 메인넷(20)에서 의뢰받은 실행파일에 대한 위험도 분석을 수행하고, 메인넷(20)에서 지급하는 보상을 획득할 수 있다.According to an embodiment of the present invention, the endpoint security module 300 accesses the execution file risk level blockchain 110 through the blockchain interworking API 200, and the risk level for the new execution file on the mainnet 20. analysis can be requested. In addition, the endpoint device 10 performs a risk analysis on the executable file requested from the mainnet 20 using the executable file risk analysis module 400, and obtains a reward paid from the mainnet 20. can

본 발명의 다른 일 실시예에 따르면, 엔드포인트 보안 모듈(300)이 조회한 실행파일에 대한 위험도가 실행파일 위험도 블록체인(110)에 존재하지 않는 경우에, 메인넷(20)에 위험도 분석을 의뢰하거나 또는 자신의 실행파일 위험도 분석 모듈(400)을 이용하여 우선적으로 위험도를 분석하고, 그 결과를 메인넷(20)에 전송할 수 있다.According to another embodiment of the present invention, if the risk level of the executable file inquired by the endpoint security module 300 does not exist in the executable file risk level block chain 110, the risk level analysis is performed on the mainnet 20. The risk may be first analyzed using the request or the risk analysis module 400 of the execution file itself, and the result may be transmitted to the mainnet 20.

이하, 도 9 및 도 10을 참조하여 본 발명의 몇몇 실시예들에 따른 엔드포인트 보안을 위한 방법을 설명한다. 상술한 실시예와 중복되는 부분은 간략히 한다.A method for endpoint security according to some embodiments of the present invention is described below with reference to FIGS. 9 and 10 . Parts overlapping with the above-described embodiment are simplified.

도 9는 본 발명의 일 실시예에 따른 블록체인 기반의 엔드포인트 보안 솔루션의 동작을 설명하기 위한 순서도이다.9 is a flowchart illustrating the operation of a blockchain-based endpoint security solution according to an embodiment of the present invention.

엔드포인트 보안 모듈(300)이 인터넷 서비스를 통하여 전달받은 디지털 파일에서 실행파일을 발견하면(S100), 허용목록에 해당 실행파일이 포함된 것인지 확인하여(S200, 예), 허용목록에 포함된 실행파일에 대하여 실행을 허용할 수 있다(S250). When the endpoint security module 300 finds an executable file in the digital file received through the Internet service (S100), it checks whether the executable file is included in the whitelist (S200, Yes), and executes the executable included in the whitelist. Execution of the file may be allowed (S250).

만약, 허용목록에서 해당 실행파일을 찾을 수 없으면(S200, 아니요), 엔드포인트 보안 모듈(300)은 블록체인 연동 API(200)을 통하여 실행파일 위험도 블록체인(110)에 접근하여 해당 실행파일에 대한 위험도를 검색할 수 있다(S300). If the corresponding executable file cannot be found in the allow list (S200, No), the endpoint security module 300 accesses the executable file risk level blockchain 110 through the blockchain interworking API 200 to determine the corresponding executable file. It is possible to search for the degree of risk (S300).

만약, 실행파일 위험도 블록체인(110)에 해당 실행파일에 대한 위험도가 존재하지 않으면(S400, 아니요), 엔드포인트 보안 모듈(300)은 블록체인 연동 API(200)를 통하여 메인넷(20)에 해당 실행파일에 대한 위험도 검사를 요청할 수 있다(S400).If the risk level of the corresponding executable file does not exist in the executable file risk level block chain 110 (S400, No), the endpoint security module 300 connects to the mainnet 20 through the blockchain interlocking API 200. A risk level check on the corresponding executable file may be requested (S400).

만약, 실행파일 위험도 블록체인(110)에 해당 실행파일에 대한 위험도가 존재하고(S400, 예), 그 위험도가 허용 위험도 이하이면(S450, 예), 해당 실행파일이 실행되도록 허용할 수 있다(S250).If the risk level of the executable file exists in the executable file risk block chain 110 (S400, Yes), and the risk level is lower than the allowable risk level (S450, Yes), the executable file may be allowed to be executed (S450, Yes). S250).

만약, 실행파일 위험도 블록체인(110)에 해당 실행파일에 대한 위험도가 존재하고(S400, 예), 그 위험도가 허용 위험도 이상이면(S450, 아니오), 미리 설정된 정책에 따라서 해당 실행파일을 처리할 수 있다(S600).If the risk level of the executable file exists in the executable file risk block chain 110 (S400, Yes), and the risk level is higher than the allowable risk level (S450, No), the executable file can be processed according to the preset policy. It can (S600).

미리 설정된 정책에 의하면 해당 실행파일을 차단하지 않는 경우(S700, 아니요)에는 실행파일이 실행되도록 허용할 수 있다(S250).According to the preset policy, if the corresponding executable file is not blocked (S700, No), the executable file may be allowed to be executed (S250).

미리 설정된 정책에 의하여 해당 실행파일을 차단하는 경우(S700, 예)에는 해당 실행파일이 예외처리 대상에 해당되는지 확인하여(S800), 예외처리 대상에 해당하면(S800, 예), 해당 실행파일을 허용목록에 등록하고(S850), 해당 실행파일이 실행되는 것을 허용할 수 있다(S250).If the executable file is blocked according to a preset policy (S700, Yes), it is checked whether the executable file is subject to exception processing (S800), and if it is applicable to the exception processing target (S800, Yes), the executable file is It is registered in the allow list (S850), and the execution of the corresponding executable file may be allowed (S250).

만약, 해당 실행파일이 예외처리 대상에 해당하지 않으면(S800, 아니요), 해당 실행파일을 차단할 수 있다(S900).If the corresponding executable file does not fall under the exception processing target (S800, No), the corresponding executable file may be blocked (S900).

도 10은 본 발명의 일 실시예에 따른 실행파일 위험도 분석 모듈의 동작 흐름을 설명하기 위한 순서도이다.10 is a flowchart for explaining the operation flow of the executable file risk analysis module according to an embodiment of the present invention.

엔드포인트 보안 모듈(300)은 블록체인 연동 API(200)를 통하여 메인넷(20)에 해당 실행파일에 대한 위험도 검사를 요청하고(S500), 메인넷(20)에 속하는 엔드포인트 장치(10)의 위험도 분석작업 요청/수락 모듈(130)에서 해당 위험도 검사 요청을 수락하면, 실행파일 위험도 분석 모듈(400)에서 메인넷(20)으로부터 분석 대상인 실행파일을 수신하고(S510), 수신한 실행파일에 대하여 정적 검사를 수행하고(S520), 동적 검사를 수행하며(S530), 검사 결과에 기초하여 해당 실행파일에 의한 위험행위를 검출할 수 있다(S540).The endpoint security module 300 requests the mainnet 20 to perform a risk level check on the corresponding executable file through the blockchain interworking API 200 (S500), and the endpoint device 10 belonging to the mainnet 20 When the risk analysis task request/acceptance module 130 accepts the corresponding risk inspection request, the executable file risk analysis module 400 receives an executable file to be analyzed from the mainnet 20 (S510), and the received executable file A static inspection is performed on (S520), a dynamic inspection is performed (S530), and risky behavior by the corresponding executable file can be detected based on the inspection result (S540).

만약, 위험행위가 검출되면(S540, 예), 검출된 위험행위에 대한 위험도를 분석하여 정규화된 값으로 설정하고(S545), 위험행위가 검출되지 않으면(S540, 아니요), 위험도가 없는 것으로 설정할 수 있다. If a risky act is detected (S540, Yes), the risk level of the detected risky act is analyzed and set as a normalized value (S545), and when no risky act is detected (S540, No), the risk level is set to zero. can

위험도가 결정된 실행파일에 대한 해시값(hash value)을 계산하고(S550), 해당 실행파일의 해시값 및 위험도를 포함하여 파일 위험도 블록(112)을 생성하고, 이를 실행파일 위험도 블록체인(110)에 추가할 수 있다(S560).A hash value for the executable file whose risk level is determined is calculated (S550), a file risk block 112 is generated including the hash value and risk level of the executable file, and the executable file risk level block chain 110 is created. It can be added to (S560).

이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely an example of the technical idea of the present embodiment, and various modifications and variations can be made to those skilled in the art without departing from the essential characteristics of the present embodiment. Therefore, the present embodiments are not intended to limit the technical idea of the present embodiment, but to explain, and the scope of the technical idea of the present embodiment is not limited by these embodiments. The scope of protection of this embodiment should be construed according to the claims below, and all technical ideas within the scope equivalent thereto should be construed as being included in the scope of rights of this embodiment.

Claims (22)

블록체인을 이용한 엔드포인트 보안 방법에 있어서,
실행파일들에 대한 위험도를 블록체인 형태로 저장하고 있는 실행파일 위험도 블록체인에 대하여 제1 실행파일의 위험도를 조회하는 단계;
상기 실행파일 위험도 블록체인에서 상기 제1 실행파일의 위험도가 조회되면, 상기 제1 실행파일의 위험도에 기초하여 미리 설정된 정책에 따라 상기 제1 실행파일을 처리하는 단계;
상기 실행파일 위험도 블록체인에서 상기 제1 실행파일의 위험도가 조회되지 않으면, 상기 제1 실행파일에 대한 위험도를 분석하기 위한 검사를 메인넷에 요청하는 단계;
상기 메인넷으로부터 수신한 제3 실행파일에 대한 위험도를 검사하는 단계; 및
상기 제3 실행파일에 대한 위험도를 파일 위험도 블록으로 구성하여, 이를 상기 메인넷에 전달하는 단계;를 포함하는,
블록체인을 이용한 엔드포인트 보안 방법.
In the endpoint security method using blockchain,
Inquiring a risk level of a first executable file with respect to an executable file risk level block chain storing the risk level of the executable files in the form of a block chain;
processing the first executable file according to a policy set in advance based on the risk level of the first executable file when the risk level of the first executable file is inquired from the executable file risk level blockchain;
If the risk level of the first executable file is not inquired in the execution file risk level blockchain, requesting a test to analyze the risk level of the first execution file to the mainnet;
Checking the risk level of the third executable file received from the mainnet; and
Constructing the risk level of the third executable file into a file risk block and transmitting it to the mainnet;
Endpoint security method using blockchain.
 제1항에 있어서,
상기 실행파일 위험도 블록체인에 상기 제1 실행파일의 위험도를 조회하는 단계 이전에,
상기 제1 실행파일이 허용목록에 포함된 것인지 확인하여, 상기 허용목록에 포함된 경우에는 실행을 허용하는 단계를 더 포함하는,
블록체인을 이용한 엔드포인트 보안 방법.
According to claim 1,
Prior to the step of inquiring the risk level of the first executable file in the executable file risk blockchain,
Checking whether the first executable file is included in the whitelist, and if included in the whitelist, further comprising allowing execution,
Endpoint security method using blockchain.
 제1항에 있어서,
상기 실행파일 위험도 블록체인의 각 블록은 상기 블록에 해당하는 제2 실행파일에 대한 해시값 및 위험도를 포함하는,
블록체인을 이용한 엔드포인트 보안 방법.
According to claim 1,
Each block of the executable file risk block chain includes a hash value and a risk level for the second executable file corresponding to the block.
Endpoint security method using blockchain.
 제3항에 있어서,
상기 블록에 저장된 상기 제2 실행파일의 위험도는 상기 제2 실행파일에 의하여 발생할 수 있는 위험행위 유형들과 각각의 위험도를 포함하는,
블록체인을 이용한 엔드포인트 보안 방법.
According to claim 3,
The risk level of the second executable file stored in the block includes risk behavior types that may occur by the second executable file and each risk level.
Endpoint security method using blockchain.
 제4항에 있어서,
상기 블록에 저장된 상기 제2 실행파일의 위험도는 각각의 위험행위 유형들의 위험도에 기초하여 산출된 전체 위험도를 포함하는,
블록체인을 이용한 엔드포인트 보안 방법.
According to claim 4,
The risk level of the second executable file stored in the block includes the total risk level calculated based on the risk level of each risk activity type.
Endpoint security method using blockchain.
 삭제delete 제1항에 있어서,
상기 위험도 검사는 정적 검사, 동적 검사, 위험행위 검출, 위험행위 정규화 및 위험도 산출 중 어느 하나 이상을 포함하는,
블록체인을 이용한 엔드포인트 보안 방법.
According to claim 1,
The risk inspection includes any one or more of static inspection, dynamic inspection, risk behavior detection, risk behavior normalization, and risk calculation.
Endpoint security method using blockchain.
 삭제delete 제1항에 있어서,
상기 제3 실행파일에 대한 위험도를 파일 위험도 블록으로 구성하여, 이를 메인넷에 전달하는 단계 이후에,
상기 메인넷으로부터 보상을 수신하는 단계;를 더 포함하는,
블록체인을 이용한 엔드포인트 보안 방법.
According to claim 1,
After the step of constructing the risk level for the third executable file into a file risk block and delivering it to the mainnet,
Receiving a reward from the mainnet; further comprising,
Endpoint security method using blockchain.
 제9항에 있어서,
상기 메인넷의 보상은 소정의 가상화폐인,
블록체인을 이용한 엔드포인트 보안 방법.
According to claim 9,
The compensation of the mainnet is a predetermined virtual currency,
Endpoint security method using blockchain.
 블록체인을 이용한 엔드포인트 보안 기능을 구비한 엔드포인트 장치에 있어서,
실행파일들에 대한 위험도 정보들을 블록체인으로 저장하는 실행파일 위험도 블록체인;
제1 실행파일의 위험도를 상기 실행파일 위험도 블록체인에 조회하고, 상기 실행파일 위험도 블록체인에서 상기 제1 실행파일의 위험도가 조회되면, 상기 제1 실행파일의 위험도에 기초하여 미리 설정된 정책에 따라 상기 제1 실행파일을 처리하고, 상기 실행파일 위험도 블록체인에서 상기 제1 실행파일의 위험도가 조회되지 않으면, 상기 제1 실행파일의 위험도 검사를 메인넷에 요청하는 엔드포인트 보안 모듈; 및
상기 메인넷으로부터 수신한 제3 실행파일에 대한 위험도를 검사하고, 상기 제3 실행파일에 대한 위험도를 파일 위험도 블록으로 구성하여, 이를 상기 메인넷에 전달하는 실행파일 위험도 분석 모듈;을 포함하는,
엔드포인트 장치.
In an endpoint device having an endpoint security function using a block chain,
An executable file risk level blockchain that stores risk information on executable files in a blockchain;
The risk level of the first executable file is inquired into the executable file risk blockchain, and if the risk level of the first executable file is inquired from the executable file risk blockchain, according to a policy set in advance based on the risk level of the first executable file. an endpoint security module that processes the first executable file and requests a mainnet to check the risk level of the first executable file if the risk level of the first executable file is not retrieved from the executable file risk level blockchain; and
Including,
endpoint device.
 제11항에 있어서,
상기 엔드포인트 보안 모듈은 상기 엔드포인트 장치에 저장된 상기 실행파일 위험도 블록체인에 상기 제1 실행파일의 위험도를 조회하기 전에, 상기 제1 실행파일이 허용목록에 포함된 것인지 확인하여, 허용목록에 포함된 경우에는 실행을 허용하는,
엔드포인트 장치.
According to claim 11,
The endpoint security module checks whether the first executable file is included in the whitelist before inquiring the risk level of the first executable file in the executable file risk level block chain stored in the endpoint device, and includes the first executable file in the whitelist. If allowed to run,
endpoint device.
 제11항에 있어서,
상기 실행파일 위험도 블록체인의 각 블록은 상기 블록에 해당하는 제2 실행파일에 대한 해시값 및 위험도를 포함하는,
엔드포인트 장치.
According to claim 11,
Each block of the executable file risk block chain includes a hash value and a risk level for the second executable file corresponding to the block.
endpoint device.
 제13항에 있어서,
상기 블록에 저장된 상기 제2 실행파일의 위험도는 상기 제2 실행파일에 의하여 발생할 수 있는 위험행위 유형들과 각각의 위험도를 포함하는,
엔드포인트 장치.
According to claim 13,
The risk level of the second executable file stored in the block includes risk behavior types that may occur by the second executable file and each risk level.
endpoint device.
 제14항에 있어서,
상기 블록에 저장된 상기 제2 실행파일의 위험도는 각각의 위험행위 유형들의 위험도에 기초하여 산출된 전체 위험도를 포함하는,
엔드포인트 장치.
According to claim 14,
The risk level of the second executable file stored in the block includes the total risk level calculated based on the risk level of each risk activity type.
endpoint device.
 삭제delete 제11항에 있어서,
상기 위험도 검사는 정적 검사, 동적 검사, 위험행위 검출, 위험행위 정규화 및 위험도 산출 중 어느 하나 이상을 포함하는,
엔드포인트 장치.
According to claim 11,
The risk inspection includes any one or more of static inspection, dynamic inspection, risk behavior detection, risk behavior normalization, and risk calculation.
endpoint device.
 삭제delete 제11항에 있어서,
상기 실행파일 위험도 분석 모듈은 상기 제3 실행파일에 대한 위험도를 파일 위험도 블록으로 구성하여, 이를 메인넷에 전달한 후에, 상기 메인넷으로부터 보상을 수신하는,
엔드포인트 장치.
According to claim 11,
The executable file risk analysis module configures the risk of the third executable file as a file risk block, transmits it to the mainnet, and receives compensation from the mainnet.
endpoint device.
 제19항에 있어서,
상기 메인넷의 보상은 소정의 가상화폐인,
엔드포인트 장치.
According to claim 19,
The compensation of the mainnet is a predetermined virtual currency,
endpoint device.
 제11항에 있어서,
상기 실행파일 위험도 블록체인에 접근할 수 있는 기능을 API 형태로 제공하는 블록체인 연동 API를 더 포함하는,
엔드포인트 장치.
According to claim 11,
Further comprising a blockchain-linked API that provides a function to access the executable file risk blockchain in the form of an API,
endpoint device.
 제1항 내지 제5항, 제7항, 또는 제9항 내지 제10항 중 어느 한 항의 방법을 컴퓨터에 실행시키기 위하여 기록매체에 저장된 컴퓨터프로그램.
A computer program stored in a recording medium in order to execute the method of any one of claims 1 to 5, 7, or 9 to 10 on a computer.
KR1020210152084A 2021-11-08 2021-11-08 Distributed endpoint security method using blockchain technology and device thereof Active KR102574384B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210152084A KR102574384B1 (en) 2021-11-08 2021-11-08 Distributed endpoint security method using blockchain technology and device thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210152084A KR102574384B1 (en) 2021-11-08 2021-11-08 Distributed endpoint security method using blockchain technology and device thereof

Publications (2)

Publication Number Publication Date
KR20230066754A KR20230066754A (en) 2023-05-16
KR102574384B1 true KR102574384B1 (en) 2023-09-04

Family

ID=86546282

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210152084A Active KR102574384B1 (en) 2021-11-08 2021-11-08 Distributed endpoint security method using blockchain technology and device thereof

Country Status (1)

Country Link
KR (1) KR102574384B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102180098B1 (en) * 2020-08-13 2020-11-17 최원천 A malware detecting system performing monitoring of malware and controlling a device of user
KR102194631B1 (en) * 2019-01-11 2020-12-23 김휘영 System and method for detecting malicious links using block chain and computer program for the same

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170059636A (en) * 2015-11-23 2017-05-31 (주) 세인트 시큐리티 Method for Compensating First User for Uploading Malware
KR101709276B1 (en) 2016-11-17 2017-02-22 (주)세이퍼존 Endpoint Security Server Management System

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102194631B1 (en) * 2019-01-11 2020-12-23 김휘영 System and method for detecting malicious links using block chain and computer program for the same
KR102180098B1 (en) * 2020-08-13 2020-11-17 최원천 A malware detecting system performing monitoring of malware and controlling a device of user

Also Published As

Publication number Publication date
KR20230066754A (en) 2023-05-16

Similar Documents

Publication Publication Date Title
RU2606564C1 (en) System and method of blocking script execution
JP6553524B2 (en) System and method for utilizing a dedicated computer security service
CN102332072B (en) System and method for detection of malware and management of malware-related information
US20220217169A1 (en) Malware detection at endpoint devices
US8763071B2 (en) Systems and methods for mobile application security classification and enforcement
EP3987728B1 (en) Dynamically controlling access to linked content in electronic communications
EP3335145B1 (en) Using multiple layers of policy management to manage risk
US20140223566A1 (en) System and method for automatic generation of heuristic algorithms for malicious object identification
RU2584506C1 (en) System and method of protecting operations with electronic money
JP2010079901A (en) Method for graduated enforcement of restriction according to application reputation and computer program thereof
KR102134898B1 (en) System and method for providing integrated security service for web server based on cloud
JP2010026547A (en) Firewall load balancing method and firewall load balancing system
Bakour et al. A deep camouflage: evaluating android’s anti-malware systems robustness against hybridization of obfuscation techniques with injection attacks
Bhuiyan et al. API vulnerabilities: Current status and dependencies
EP4459487A1 (en) Data loss prevention techniques for interfacing with artificial intelligence tools
JP7320462B2 (en) Systems and methods for performing tasks on computing devices based on access rights
US8266704B1 (en) Method and apparatus for securing sensitive data from misappropriation by malicious software
RU2587424C1 (en) Method of controlling applications
KR102574384B1 (en) Distributed endpoint security method using blockchain technology and device thereof
Ismail et al. General android malware behaviour taxonomy
RU2587426C2 (en) System and method of detecting directed attack on corporate infrastructure
WO2015178002A1 (en) Information processing device, information processing system, and communication history analysis method
Jang et al. Automatic system for measuring security risk of Android application from third party app store
JP6628861B2 (en) Information processing equipment
US10095530B1 (en) Transferring control of potentially malicious bit sets to secure micro-virtual machine

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20211108

PA0201 Request for examination
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20230213

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20230830

PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20230830

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20230830

End annual number: 3

Start annual number: 1

PG1601 Publication of registration