1 |
1
컴퓨팅 장치 내의 기 설정된 감시 항목의 상태를 감시하여 특정 항목의 비정상 상태 여부를 판단하는 상태 모니터링부와,
상기 상태 모니터링부로부터 비정상 상태를 발생시킨 제1프로세스 정보와, 비정상 상태의 위험치 합산 정보를 전달받아 저장하는 상태 정보 저장부와,
상기 위험치 합산 정보가 기 설정된 임계값을 초과하는 경우, 상기 제1 프로세스 및 이로부터 생성되거나 연관된 프로세스로 위험 프로세스 리스트를 구축하는 위험치 판단부와,
상기 위험치 판단부로부터 전달된 상기 위험 프로세스 리스트에 대한 처리 여부를 판단하는 프로세스 처리부
를 포함하는 행위기반 탐지 장치
|
2 |
2
제 1항에 있어서,
상기 상태 정보 저장부는,
제1 프로세스명, 상기 제1 프로세스의 감시 시작 시간, 상기 제1 프로세스의 실행 파일 혹은 라이브러리 파일의 전체 경로, 전체 경로상에 있는 파일의 크기, 상기 제1 프로세스를 실행시킨 제2 프로세스의 프로세스 ID, 상기 제1 프로세스가 실행한 제3프로세스의 프로세스 ID, 상기 제2프로세스가 실행한 제4프로세스의 프로세스 ID 및 합산 위험치 정보 중 적어도 어느 하나를 저장하는 것을 특징으로 하는 행위기반 탐지 장치
|
3 |
3
제 1항에 있어서,
상기 감시 항목은,
중앙처리장치(CPU)의 점유율, 메모리 점유율, 파일 액세스 및 변경상태, 네트워크 상태, 인터페이스 상태 및 프로세스 상태 중 적어도 어느 하나인 것을 특징으로 하는 행위기반 탐지 장치
|
4 |
4
제 1항에 있어서,
상기 프로세스 처리부는,
상기 위험 프로세스 리스트 내의 해당 프로세스를 종료시키거나, 관련 파일을 삭제하는 것을 특징으로 하는 행위기반 탐지 장치
|
5 |
5
제 1항에 있어서,
상기 프로세스 처리부는,
상기 처리 여부의 판단 결과, 위험 프로세스가 아닌 것으로 판단된 경우, 상기 위험 프로세스 리스트 내의 해당 프로세스를 화이트 리스트에 저장하는 것을 특징으로 하는 행위기반 탐지 장치
|
6 |
6
컴퓨팅 장치 내의 행위기반 탐지 방법에 있어서,
상기 컴퓨팅 장치 내의 기 설정된 감시 항목의 상태를 감시하여 특정 항목의 비정상 상태 여부를 판단하는 과정과,
상기 비정상 상태로 판단된 경우, 상기 비정상 상태를 발생시킨 제1프로세스 정보와, 비정상 상태의 위험치 합산 정보를 전달받아 저장하는 과정과,
상기 위험치 합산 정보가 기 설정된 임계값을 초과하는 경우, 상기 제1 프로세스 및 이로부터 생성되거나 연관된 프로세스로 위험 프로세스 리스트를 구축하는 과정과,
상기 위험 프로세스 리스트에 대한 처리 여부를 판단하는 과정
을 포함하는 행위기반 탐지 방법
|
7 |
7
제 6항에 있어서,
상기 저장하는 과정은,
제1 프로세스명, 상기 제1 프로세스의 감시 시작 시간, 상기 제1 프로세스의 실행 파일 혹은 라이브러리 파일의 전체 경로, 전체 경로상에 있는 파일의 크기, 상기 제1 프로세스를 실행시킨 제2 프로세스의 프로세스 ID, 상기 제1 프로세스가 실행한 제3프로세스의 프로세스 ID, 상기 제2프로세스가 실행한 제4프로세스의 프로세스 ID 및 합산 위험치 정보 중 적어도 어느 하나를 저장하는 것을 특징으로 하는 행위기반 탐지 방법
|
8 |
8
제 6항에 있어서,
상기 감시 항목은,
중앙처리장치(CPU)의 점유율, 메모리 점유율, 파일 액세스 및 변경상태, 네트워크 상태, 인터페이스 상태 및 프로세스 상태 중 적어도 어느 하나인 것을 특징으로 하는 행위기반 탐지 방법
|
9 |
9
제 6항에 있어서,
상기 판단하는 과정은,
상기 처리 여부의 판단 결과, 위험 프로세스로 처리가 필요한 경우, 상기 위험 프로세스 리스트 내의 해당 프로세스를 종료시키거나, 관련 파일을 삭제하는 것을 특징으로 하는 행위기반 탐지 방법
|
10 |
10
제 6항에 있어서,
상기 판단하는 과정은,
상기 처리 여부의 판단 결과, 위험 프로세스가 아닌 것으로 판단된 경우, 상기 위험 프로세스 리스트 내의 해당 프로세스를 화이트 리스트에 저장하는 것을 특징으로 하는 행위기반 탐지 방법
|