1 |
1
숨겨진 상태로 플래그가 설정되는 등록파일을 저장하는 저장모듈;사용자 영역과 커널 영역 사이에서 운용되는 제어모듈을 포함하고, 제어모듈은, 사용자 영역과 커널 영역 사이에서 운용되는 인터페이스이고, 합법 응용 프로그램을 통해서 등록파일에 접근할 때 허용되고, 숨겨진 경로를 통해서 숨겨진 상태로 설정되는 숨겨진 인터페이스 모듈을 포함하고,숨겨진 인터페이스 모듈은 이진 편집기를 이용하여 숨겨진 경로 상에 존재하는 실행 파일을 수정해서 링크된 라이브러리를 변경하고, 사용자 영역에서 운용되는 합법 응용 프로그램을 이용해서 등록파일에 접근할 수 있도록 구성되고, 숨겨진 인터페이스 모듈은 암호처럼 알고 있는 정보를 통해서 숨겨진 경로 상에 존재하는 파일과 디렉토리를 액세스할 수 있고, 숨겨진 경로에 존재하는 파일과 디렉토리는 스크립트를 이용해서 숨겨진 경로의 연결을 구성하는 호스트 침입 탐지를 위한 파일 기반 제어장치
|
2 |
2
청구항 1에 있어서, 저장모듈은 파일에 대한 읽기 액세스와 파일에 대한 쓰기 액세스가 수행되면 보고가 이루어지도록 플래그가 설정된 가짜파일을 저장하고, 가짜파일은 사용자 영역과 커널 영역 사이에서 운용되는 일반 인터페이스 모듈을 통해서 표시가 이루어지는 호스트 침입 탐지를 위한 파일 기반 제어장치
|
3 |
3
청구항 2에 있어서, 제어모듈은, 가짜파일을 모니터링하고 보고가 이루어지면 경보 알람을 발생하는 호스트 침입 탐지를 위한 파일 기반 제어장치
|
4 |
4
청구항 2에 있어서,가짜파일은 숨겨진 인터페이스 모듈을 이용해서 접근되지 않도록 설정되는 호스트 침입 탐지를 위한 파일 기반 제어장치
|
5 |
5
청구항 2에 있어서, 저장모듈은 등록파일과 가짜파일의 플래그 설정상태에 대한 파일 조회테이블을 저장하는 호스트 침입 탐지를 위한 파일 기반 제어장치
|
6 |
6
청구항 5에 있어서, 등록파일과 가짜파일에 대한 플래그값은 디렉토리에도 적용할 수 있는 호스트 침입 탐지를 위한 파일 기반 제어장치
|
7 |
7
청구항 1에 있어서, 등록파일은 시스템 파일, 사용자 파일과 같이, 합법 응용 프로그램을 통해서 이용하거나 생성되는 파일을 포함하는 호스트 침입 탐지를 위한 파일 기반 제어장치
|
8 |
8
삭제
|
9 |
9
삭제
|
10 |
10
청구항 1에 있어서,숨겨진 경로와 스크립트는 숨겨진 상태를 갖도록 플래그가 설정되는 호스트 침입 탐지를 위한 파일 기반 제어장치
|
11 |
11
청구항 1에 있어서, 숨겨진 인터페이스 모듈은 시스템 콜을 변경하여 구현하는 호스트 침입 탐지를 위한 파일 기반 제어장치
|
12 |
12
청구항 2에 있어서, 저장모듈은 숨겨진 인터페이스 모듈과 일반 인터페이스 모듈을 이용해서 접근이 가능한 일반파일을 저장하고, 일반파일은 플래그 상태 설정이 안된 파일로 구성되는 호스트 침입 탐지를 위한 파일 기반 제어장치
|
13 |
13
숨겨진 상태로 플래그가 설정되는 등록파일을 저장모듈에 저장하는 단계;사용자 영역과 커널 영역 사이에서 제어모듈이 운용하는 단계를 포함하고, 제어모듈은, 합법 응용 프로그램을 통해서 등록파일에 접근할 때 허용되고, 숨겨진 경로를 통해서 숨겨진 상태로 설정되는 숨겨진 인터페이스 모듈을 포함하고,숨겨진 인터페이스 모듈은 이진 편집기를 이용하여 숨겨진 경로 상에 존재하는 실행 파일을 수정해서 링크된 라이브러리를 변경하고, 사용자 영역에서 운용되는 합법 응용 프로그램을 이용해서 등록파일에 접근할 수 있도록 구성되고,숨겨진 인터페이스 모듈은 암호처럼 알고 있는 정보를 통해서 숨겨진 경로 상에 존재하는 파일과 디렉토리를 액세스할 수 있고, 숨겨진 경로에 존재하는 파일과 디렉토리는 스크립트를 이용해서 숨겨진 경로의 연결을 구성하는 호스트 침입 탐지를 위한 파일 기반 제어방법
|
14 |
14
청구항 13에 있어서, 저장모듈은 파일에 대한 읽기 액세스와 파일에 대한 쓰기 액세스가 수행되면 보고가 이루어지도록 플래그가 설정된 가짜파일을 저장하는 단계를 포함하고, 가짜파일은 사용자 영역과 커널 영역 사이에서 운용되는 일반 인터페이스 모듈을 통해서 접근이 허용되는 호스트 침입 탐지를 위한 파일 기반 제어방법
|
15 |
15
청구항 14에 있어서,제어모듈은 가짜파일을 모니터링하고 보고가 이루어지면 경보 알람을 발생하는 호스트 침입 탐지를 위한 파일 기반 제어방법
|
16 |
16
청구항 15에 있어서, 등록파일과 가짜파일에 대한 플래그값은 디렉토리에도 적용 가능한 호스트 침입 탐지를 위한 파일 기반 제어방법
|
17 |
17
청구항 16에 있어서, 저장모듈은 숨겨진 인터페이스 모듈과 일반 인터페이스 모듈을 이용해서 접근이 가능한 일반파일을 저장하는 단계를 포함하는 호스트 침입 탐지를 위한 파일 기반 제어방법
|
18 |
18
청구항 17에 있어서, 일반파일에 대해서는 플래그 설정을 하지 않고, 가짜파일에 대해서는 읽기 액세스 보고, 쓰기 액세스 보고, 숨겨진 인터페이스 모듈에 대해서 숨겨지도록 플래그 설정을 하고, 등록파일에 대해서는 일반 인터페이스 모듈에 대해서 파일이 숨겨지도록 플래그 설정을 하는 호스트 침입 탐지를 위한 파일 기반 제어방법
|
19 |
19
청구항 13 내지 청구항 18 중 어느 한 청구항에 있어서, 숨겨진 인터페이스 모듈은 사용자 영역과 커널 영역 사이에서 데이터 교환에 이용되는 포인터를 사용하는 시스템 콜을 변경하여 구현 가능한 호스트 침입 탐지를 위한 파일 기반 제어방법
|
20 |
20
청구항 19에 있어서, 숨겨진 인터페이스 모듈은, 리드 시스템 콜을 변경하여 구현하는 호스트 침입 탐지를 위한 파일 기반 제어방법
|
21 |
21
청구항 20에 있어서, 숨겨진 인터페이스 모듈은 리드 시스템 콜을 호출하기 전에 데이터를 수신하기 위한 버퍼를 할당하고, 할당된 버퍼에 숨겨진 인터페이스 모듈에 대한 확인 정보인 서명, 요청 유형, 요청 특정 매개변수를 저장하는 호스트 침입 탐지를 위한 파일 기반 제어방법
|
22 |
22
청구항 21에 있어서, 숨겨진 인터페이스 모듈은 서명이 일치하면 숨겨진 인터페이스 모듈의 사용을 허용하고, 숨겨진 인터페이스 모듈의 신호처리 후, 버퍼에 저장된 서명을 삭제하는 호스트 침입 탐지를 위한 파일 기반 제어방법
|
23 |
23
삭제
|
24 |
24
사용자 영역에서 합법 응용 프로그램을 통하여 fwrite 함수를 호출하는지 감시하는 1 단계;fwrite 함수가 호출되면, 숨겨진 경로에서 실행파일을 수정하여 변경된 라이브러리 영역에 진입한 숨겨진 인터페이스 모듈의 운용을 감시하는 2 단계;변경된 라이브러리 영역에서 할당된 버퍼에 서명, 요청 타입, 요청 특정 매개변수를 저장하고, 숨겨진 인터페이스 모듈을 호출하는 3 단계;서명이 일치하면, 숨겨진 인터페이스 모듈을 요청 타입에 기반해서 신호처리를 수행하는 4 단계; 및서명이 일치하지 않을 때, 원래의 숨겨진 인터페이스 모듈의 신호처리를 수행하는 5 단계를 포함하는 호스트 침입 탐지를 위한 파일 기반 제어방법
|
25 |
25
청구항 24에 있어서, 숨겨진 인터페이스 모듈을 요청 타입에 기반해서 신호처리 후, 버퍼에 저장된 서명을 삭제하는 6 단계를 포함하는 호스트 침입 탐지를 위한 파일 기반 제어방법
|
26 |
26
청구항 24에 있어서, 숨겨진 인터페이스 모듈은 저장모듈에 저장된 등록파일에 접근이 허용되고, 등록파일은 숨겨진 인터페이스 모듈을 통해서만 접근이 이루어지고, 파일을 숨겨진 상태로 유지하는 플래그가 설정되는 호스트 침입 탐지를 위한 파일 기반 제어방법
|
27 |
27
청구항 24에 있어서, 저장모듈에는 가짜파일의 저장이 이루어지고, 가짜파일은 읽기 액세스 보고, 쓰기 액세스 보고를 위한 플래그가 설정되며, 5단계에서 서명이 일치하지 않을 때, 파일에 설정된 플래그를 확인하여, 제어모듈에 보고가 이루어지는 호스트 침입 탐지를 위한 파일 기반 제어방법
|