KIISE Transactions on Computing Practices (정보과학회 컴퓨팅의 실제 논문지)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지
DOI QR코드

DOI QR Code

A Study of File Outflow Monitoring Process using the File System and NDIS Driver

파일시스템과 NDIS 드라이버를 이용한 파일 유출 감시프로세스

  • 이민태 (국방기술품질원 정보체계관리팀 시스템개발기획)
  • Received : 2014.10.02
  • Accepted : 2014.11.14
  • Published : 2014.12.15
⟨ Previous Next ⟩

Abstract

In this paper, we propose a PC's self-monitoring system for protecting illegal outflow of important personal files, which are managed in the Windows environment PC. This paper is based on the idea that it should be a read (access) file operation in order to outflow files through the network. To compare the information (name, some content) obtained from all operations of the reading of the 'Windows File System Driver' and captured transmission packets of mini port of 'Windows NDIS (Network Driver Interface Specification) Driver', and, if two pieces of information match, this system will determine the transmission to user. In this paper, tentatively, we developed a function to gather file information about file read operation and developed a function for transmission packet capture. This demonstration implementation showed that the proposed process has validity and the proposed process verified that it does not significantly affect the PC's performance.

본 논문은 윈도우 환경의 PC에 관리되고 있는 개인적인 주요 파일들이 네트웍을 통해 불법적으로 유출되는 것을 감시하기 위한 PC 자체적인 파일 유출 감시 프로세스 구현에 관한 것이다. 네트웍을 통해 파일을 유출하기 위해서는 우선 해당 파일을 디스크에서 읽어야만(Access) 한다는 점에 착안 하여 윈도우 파일시스템 드라이버에서의 파일 읽기 모든 동작에서 이루어지는 파일 정보(파일명, 내용 일부)와 윈도우 NDIS(Network Driver Interface Specification) 드라이버 미니포트의 전송 패킷을 캡쳐하여 비교함으로서 사용자에게 의도치 않은 파일 전송을 인지토록 하며 또한, 사용자의 응답이 없을 경우 PC 네트웍의 자동 차단 프로세스를 제안한 것이다. 파일 읽기 동작에서의 파일 정보와 전송 패킷 수집 기능에 대해 시험 구현하여 제안 프로세스가 타당성이 있음을 보여 주었으며, 또한 PC 성능 면에서 크게 영향을 미치지 않는 실용성이 있음을 검증하였다.

Keywords

References

  1. Hong Seung Guk, "Study on Strengthening Document Security using File System Driver," thesis for degree of master of science, Chung-Ang University, pp. 22-30, Aug. 2011. (in Korean)
  2. Wolthusen, S. D., "Security Policy Enforcement at the File System Level in the Windows NT Operating System Family," ACSAC 2001, pp. 55-63, Dec. 2001.
  3. Werner Vogels, "File System usage in Windows NT 4.0," SOSP'99, pp. 93-108, Dec. 1999.
  4. Richard Edgecombe, "An implementation of a Reliable Broadcast Schema for 802.11 using Network Coding," thesis for degree of master of science, Oregon State University, pp. 12-14, Apr. 2008.
  5. Lee Ling Chuan, Chan Lee Yee, Mahamod Ismail, Kasmiran Jumari, "Automated Blocking of Malicious Code with NDIS Intermediate Driver," ICACT2011, pp. 700-704, Feb. 2011.
  6. Ye Du, Jiqiang Liu, Ruhui Zhang, Jieyuan Li, "A Dynamic Security Mechanism for Web Services Based on NDIS intermediate Drivers," Journal of Computers, Vol. 6, pp. 2021-2028. Oct. 2011.
  7. Suk Lee, Jee-Hun Park, Kyoung-Nam Ha, Kyung-Chang Lee, "NDIS-Based Four-Layer Architecture for IEEE 802.11b with a Virtual Ascheduling Algorithm," Internation Journal of Precision Engineering and Manufacturing, Vol. 10, No. 2, pp. 45-52, Apr. 2009. (in Korean)
  8. Micorsoft Windows. File System Filter Drivers. [Online].Avalilable:http://msdn.microsoft.com
  9. Micorsoft Windows. Network Architecture for Kernel-Mode Drivers. [Online]. Avalilable: http://msdn.microsoft. com.