1 |
1
컴퓨팅 장치에 의해 수행되는 방법에 있어서,제1 도메인(Domain)의 SMU(Security Management Unit)에 연결된 제1 디바이스의 동작 정보 및 제2 도메인 SMU에 연결된 제2 디바이스의 동작 정보를 획득하는 단계; 및상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하되,상기 제1 도메인 SMU와 상기 제2 도메인 SMU는 직접 연결되지 않은 장치인,디바이스 이상 징후 탐지 방법
|
2 |
2
제1 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스의 제조사와 상기 제2 디바이스의 제조사가 동일한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
3 |
3
제2 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스의 제품명과 상기 제2 디바이스의 제품명이 동일한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
4 |
4
제1 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 도메인과 제2 도메인이 동일한 영역인 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
5 |
5
제4 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스의 제품명과 상기 제2 디바이스의 제품명 상이하고 상기 제1 디바이스의 제조사와 상기 제2 디바이스의 제조사가 동일한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
6 |
6
제1 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보가 유사한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
7 |
7
제6 항에 있어서,상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보가 유사한 경우, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스의 동작의 패턴 정보 및 상기 제2 디바이스의 동작의 패턴 정보가 유사한 경우 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
8 |
8
제1 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스의 동작 정보 및 상기 제1 디바이스의 동작 정보와 상이한 상기 제2 디바이스의 동작 정보가 결합된 정보를 이용하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
9 |
9
제1 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스의 전원 상태의 변화 주기 및 상기 제2 디바이스의 전원 상태의 변화 주기를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
10 |
10
제1 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스의 프로세스 정보 및 상기 제2 디바이스의 프로세스 정보를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
11 |
11
제10 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스에서 실행되는 프로세스의 CPU 사용량 및 상기 제2 디바이스에서 실행되는 프로세스의 CPU 사용량을 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
12 |
12
제10 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스에서 실행되는 프로세스의 메모리 사용량 및 상기 제2 디바이스에서 실행되는 프로세스의 메모리 사용량을 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
13 |
13
제1 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스의 파일 해시값 및 상기 제2 디바이스의 파일 해시값을 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
14 |
14
제1 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스에 입력된 명령어 및 상기 제2 디바이스에 입력된 명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
15 |
15
제14 항에 있어서상기 제1 디바이스에 입력된 명령어 및 상기 제2 디바이스에 입력된 명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스에 입력된 su(substitute)명령어 및 상기 제2 디바이스에 입력된 su명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
16 |
16
제14 항에 있어서,상기 제1 디바이스에 입력된 명령어 및 상기 제2 디바이스에 입력된 명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스에 입력된 chmod(change mode)명령어 및 상기 제2 디바이스에 입력된 chmod명령어를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
17 |
17
제1 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스로 송신된 인바운드(inbound) 패킷 정보 및 상기 제2 디바이스로 송신된 인바운드 패킷 정보를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
18 |
18
제17 항에 있어서,상기 제1 디바이스로 송신된 인바운드 패킷 및 상기 제2 디바이스로 송신된 인바운드 패킷을 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스로 송신된 인바운드 패킷의 소스(source) 지역 정보 및 상기 제2 디바이스로 송신된 인바운드 패킷의 소스 지역 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
19 |
19
제1 항에 있어서,상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스로부터 송신된 아웃바운드(outbound) 패킷 정보 및 상기 제2 디바이스로부터 송신된 아웃바운드 패킷 정보를 비교하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
20 |
20
제19 항에 있어서,상기 제1 디바이스로부터 송신된 아웃바운드(outbound) 패킷 정보 및 상기 제2 디바이스로부터 송신된 아웃바운드 패킷 정보를 이용하여 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계는,상기 제1 디바이스로부터 송신된 아웃바운드(outbound) 패킷의 목적지(destination) 지역 정보 및 상기 제2 디바이스로부터 송신된 아웃바운드 패킷의 목적지 지역 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하는 단계를 포함하는,디바이스 이상 징후 탐지 방법
|
21 |
21
디바이스 이상 징후 탐지 프로그램이 로드되는 메모리; 및상기 메모리에 로드된 디바이스 이상 징후 탐지 프로그램을 실행하는 프로세서를 포함하되,상기 디바이스 이상 징후 탐지 프로그램은,제1 도메인(Domain)의 SMU(Security Management Unit)에 연결된 제1 디바이스의 동작 정보 및 제2 도메인 SMU에 연결된 제2 디바이스의 동작 정보를 획득하는 인스트럭션(instruction);상기 제1 디바이스의 동작 정보 및 상기 제2 디바이스의 동작 정보를 비교하여, 상기 제1 디바이스 및 상기 제2 디바이스 중 적어도 하나의 이상 징후를 탐지하되,상기 제1 도메인 SMU와 상기 제2 도메인 SMU는 직접 연결되지 않은 장치인,컴퓨팅 장치
|