KR101817636B1 - 랜섬웨어 검출 장치 및 방법 - Google Patents

랜섬웨어 검출 장치 및 방법 Download PDF

Info

Publication number
KR101817636B1
KR101817636B1 KR1020160081086A KR20160081086A KR101817636B1 KR 101817636 B1 KR101817636 B1 KR 101817636B1 KR 1020160081086 A KR1020160081086 A KR 1020160081086A KR 20160081086 A KR20160081086 A KR 20160081086A KR 101817636 B1 KR101817636 B1 KR 101817636B1
Authority
KR
South Korea
Prior art keywords
data
random
file
entropy
ransomware
Prior art date
Application number
KR1020160081086A
Other languages
English (en)
Other versions
KR20180001941A (ko
Inventor
윤명근
신선호
김현봉
정지만
홍성현
이재열
이성수
조유리
강상준
Original Assignee
국민대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국민대학교산학협력단 filed Critical 국민대학교산학협력단
Priority to KR1020160081086A priority Critical patent/KR101817636B1/ko
Publication of KR20180001941A publication Critical patent/KR20180001941A/ko
Application granted granted Critical
Publication of KR101817636B1 publication Critical patent/KR101817636B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 랜섬웨어 검출 기술에 관한 것으로, 파일 또는 네트워크 패킷으로 구현될 수 있는 랜섬웨어 의심 데이터를 수신하는 데이터 수신부, 상기 랜섬웨어 의심 데이터에서 각각의 거리가 특정 기준 이상인 특정 부분들을 샘플링 하는 데이터 샘플링부 및 상기 샘플링 된 특정 부분들에 관한 엔트로피들을 계측하고, 상기 엔트로피들 간의 차이를 기초로 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 랜섬웨어 가능성 판단부를 포함한다.

Description

랜섬웨어 검출 장치 및 방법{RANSOMWARE DETECTION APPARATUS AND METHOD}
본 발명은 랜섬웨어 검출 기술에 관한 것으로, 보다 상세하게는, 주어진 데이터에 관한 압축 또는 암호화 여부를 빠른 시간 이내에 구분하여 랜섬웨어의 검출에 활용될 수 있는 랜섬웨어 검출 장치 및 방법에 관한 것이다.
랜섬웨어는 컴퓨터에 잠입하여 파일의 확장자를 변경하고 암호화시켜 사용자로 하여금 파일을 정상적으로 사용하지 못하도록 공격하는 신종 악성 프로그램에 해당한다.
랜섬웨어는 2016년 정보 보호 분야의 10대 이슈 중 하나로 꼽힐 만큼 보안 분야를 위협하고 있으나, 랜섬웨어에 의해 암호화된 파일을 다시 복호화 할 수 있는 방법이 사실상 없는 것과 다름 없어 랜섬웨어에 감염되기 전에 방어 및 예방하는 것이 현재로서는 유일한 대안으로 제시되고 있다.
랜섬웨어에 의해 공격 받은 파일은 암호화된다. 따라서, 랜섬웨어로부터 추가 공격을 방어하기 위하여 암호화 파일의 생성을 빠르게 검출하고 분석하는 기술이 요구된다.
종래 기술은 텍스트 파일 및 비텍스트 파일을 구분할 수 있으나, 비텍스트 파일에 해당하는 암호화 파일 및 비암호화 파일을 정확하게 구분하지 못하여 검출 오류 발생률이 높고, 제로 데이 공격(Zero Day Attack)을 하는 랜섬웨어에 대처하지 못하는 단점이 있다.
한국 등록특허 제10-1590486호는 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법에 관한 것으로, 지능형 지속 위협(APT) 공격을 위한 악성코드를 심은 이메일과 관련되어 수집된 이력을 바탕으로 지능형 지속 위협과 관련된 이메일을 사전 차단할 수 있도록 하고, 첨부파일 검사를 통해 위험 이메일을 용이하게 판단할 수 있도록 지원하는 기술을 개시한다.
한국 공개특허공보 제10-2015-0114129호는 클라우드 환경에서 악성코드 탐지 향상을 위한 보안 시스템 및 방법에 관한 것으로, 클라우드에 행위 구역(Action Zone)을 설정하고 악성코드 의심 정보를 행위 구역으로 보내어 악성 행위를 탐지하는 행위 구역 모듈, 악성코드 의심 정보를 엔트로피 값을 통해 분석하는 엔트로피 분석 모듈 및 악성코드 의심 정보에 대해 기 분석된 악성코드에서 추출한 특정 문자열 시그니처와 비교하는 시그니처 기반 로직 분석을 이용하고, 암호화되지 않은 정보 내에 해당 문자열의 존재 유무를 통해 악성코드인지 여부를 판단하는 로직 분석 모듈을 포함한다.
한국 등록특허 제10-1590486호 (2016.01.26 등록) 한국 공개특허공보 제10-2015-0114129호 (2015.10.12 공개)
본 발명의 일 실시예는 주어진 데이터에 관한 압축 또는 암호화 여부를 빠른 시간 이내에 구분하여 랜섬웨어의 검출에 활용될 수 있는 랜섬웨어 검출 장치를 제공하고자 한다.
본 발명의 일 실시예는 랜섬웨어에 의해 암호화 된 파일의 생성을 검출하여 랜섬웨어의 추가 공격을 방어하는데 활용될 수 있는 랜섬웨어 검출 장치를 제공하고자 한다.
실시예들 중에서, 랜섬웨어 검출 장치는 파일 또는 네트워크 패킷으로 구현될 수 있는 랜섬웨어 의심 데이터를 수신하는 데이터 수신부, 상기 랜섬웨어 의심 데이터에서 각각의 거리가 특정 기준 이상인 특정 부분들을 샘플링 하는 데이터 샘플링부 및 상기 샘플링된 특정 부분들에 관한 엔트로피들을 계측하고, 상기 엔트로피들 간의 차이를 기초로 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 랜섬웨어 가능성 판단부를 포함한다.
랜섬웨어 검출 장치에서, 상기 데이터 수신부는 상기 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스가 존재하면 해당 I/O 이벤트, 해당 파일 경로(File Path) 및 해당 프로세스 ID(PID)의 정보를 획득하는 것을 특징으로 할 수 있다.
랜섬웨어 검출 장치에서, 상기 데이터 샘플링부는 상기 랜섬웨어 의심 데이터의 제1 비트 수를 가지는 시작 부분 및 제2 비트 수를 가지는 중간 부분을 샘플링하는 것을 특징으로 할 수 있다.
랜섬웨어 검출 장치에서, 상기 데이터 샘플링부는 상기 제1 및 제2 비트 수들 각각을 텍스트를 표현하는 비트 수인 8 비트보다 적은 비트 수로 설정하여 상기 샘플링의 개수를 보완하는 것을 특징으로 할 수 있다.
랜섬웨어 검출 장치에서, 상기 데이터 샘플링부는 상기 랜섬웨어 의심 데이터의 파일 종류를 유추하고, 상기 파일 종류에 따른 메타데이터를 제1 부분으로, 비메타데이터를 제2 부분으로 샘플링하는 것을 특징으로 할 수 있다.
랜섬웨어 검출 장치에서, 상기 데이터 샘플링부는 상기 랜섬웨어 의심 데이터에서 각각의 거리를 상기 랜섬웨어 의심 데이터의 전체 크기에 비례하는 값으로 설정하여 특정 부분들을 샘플링하는 것을 특징으로 할 수 있다.
랜섬웨어 검출 장치에서, 상기 랜섬웨어 가능성 판단부는 상기 엔트로피들 간의 차이를 미리 설정된 특정 암호화 임계값과 비교하여 제1 차이에 해당하면 암호화 파일로, 제2 차이에 해당하면 비암호화 파일로 판단하는 것을 특징으로 할 수 있다.
랜섬웨어 검출 장치에서, 상기 랜섬웨어 가능성 판단부는 상기 랜섬웨어 의심 데이터가 상기 비암호화 파일로 판단되면 미리 설정된 특정 비암호화 임계값을 기초로 텍스트 파일 혹은 압축 파일로 구분하는 것을 특징으로 할 수 있다.
랜섬웨어 검출 장치에서, 상기 랜섬웨어 가능성 판단부는 상기 샘플링된 특정 부분들에 관한 엔트로피들을 계측하고 상기 계측된 엔트로피들 중 특정 기준을 만족하지 못하면 해당 특정 부분에 관해 카이제곱 검정 기법을 통해 심층 분석을 수행하여 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 것을 특징으로 할 수 있다.
랜섬웨어 검출 장치는 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성이 특정 기준 이상이면 상기 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스의 작동을 제어하는 제어부를 더 포함하는 것을 특징으로 할 수 있다.
랜섬웨어 검출 장치에서, 상기 제어부는 상기 랜섬웨어 의심 데이터가 상기 암호화 파일로 판단되면 상기 프로세스의 작동을 중지시키고 디스플레이에 알림 메시지를 전송하는 것을 특징으로 할 수 있다.
랜섬웨어 검출 장치에서, 상기 제어부는 상기 디스플레이에 상기 프로세스의 실행 재개 여부, 종료 여부 및 차단 여부를 묻는 알림 메시지를 전송하여 사용자의 응답을 요청하는 것을 특징으로 할 수 있다.
랜섬웨어 검출 장치에서, 상기 제어부는 상기 사용자의 응답에 대응되는 동작을 수행하고, 해당 동작을 종료하면 결과를 기록하여 메모리에 저장하는 것을 특징으로 할 수 있다.
랜섬웨어 검출 장치에서, 상기 데이터 샘플링부는 상기 랜섬웨어 의심 데이터를 복수의 부분들로 분할하여 각각을 샘플링하고, 상기 랜섬웨어 가능성 판단부는 상기 샘플링 된 복수의 부분들에 관한 엔트로피들의 편차를 기초로 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 것을 특징으로 할 수 있다.
실시예들 중에서, 컴퓨터에 의해 수행되는 랜섬웨어 검출 방법은 파일 또는 네트워크 패킷으로 구현될 수 있는 랜섬웨어 의심 데이터를 수신하는 데이터 수신 단계, 상기 랜섬웨어 의심 데이터에서 각각의 거리가 특정 기준 이상인 특정 부분들을 샘플링 하는 데이터 샘플링 단계 및 상기 샘플링 된 특정 부분들에 관한 엔트로피들을 계측하고, 상기 엔트로피들 간의 차이를 기초로 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 랜섬웨어 가능성 판단 단계를 포함한다.
랜섬웨어 검출 방법은 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성이 특정 기준 이상이면 상기 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스의 작동을 제어하는 제어 단계를 더 포함할 수 있다.
개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
본 발명의 일 실시예에 따른 랜섬웨어 검출 장치는 주어진 데이터에 관한 압축 또는 암호화 여부를 빠른 시간 이내에 구분하여 랜섬웨어의 검출에 활용될 수 있다.
본 발명의 일 실시예에 따른 랜섬웨어 검출 장치는 랜섬웨어에 의해 암호화 된 파일의 생성을 검출하여 랜섬웨어의 추가 공격을 방어하는데 활용될 수 있다.
도 1은 랜섬웨어 검출 장치를 설명하는 도면이다.
도 2는 도 1에 있는 처리구성요소를 설명하는 기능 블록도이다.
도 3은 도 1에 있는 처리구성요소에 의해 수행되는 랜섬웨어 검출 방법의 일 실시예를 설명하는 흐름도이다.
도 4는 도 1에 있는 처리구성요소에 의해 수행되는 랜섬웨어 검출 방법의 다른 실시예를 설명하는 흐름도이다.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
도 1은 랜섬웨어 검출 장치를 설명하는 도면이다.
도 1을 참조하면, 랜섬웨어 검출 장치(100)는 처리구성요소(110), 메모리(120), 디스플레이(130) 및 입출력 인터페이스(140)를 포함한다.
랜섬웨어 검출 장치(100)는 랜섬웨어 검출 기능을 제공하는 컴퓨팅 장치에 해당할 수 있다. 예를 들어, 랜섬웨어 검출 장치(100)는 데스크톱, 노트북, 태블릿 PC 또는 스마트폰 등으로 구현될 수 있다. 일 실시예에서, 랜섬웨어 검출 장치(100)는 주어진 데이터에 관한 압축 또는 암호화 여부를 빠른 시간 이내에 구분하여 랜섬웨어의 검출에 활용될 수 있다.
처리구성요소(PE: Processing Element)(110)는 컴퓨터의 프로세서에 해당하며 랜섬웨어 의심 데이터의 암호화 여부를 분석하여 랜섬웨어 가능성을 판단하는 작업 전반을 수행하고, 디스플레이(130)를 통해 사용자에게 화면을 제공하거나 입출력 인터페이스(140)을 통해 사용자의 입력을 수신하여 이에 대응되는 동작을 처리하는데 사용될 수 있다.
메모리(120)는 랜섬웨어 검출 수행 과정에서 데이터를 저장하거나 기타 연산을 수행하는데 사용될 수 있고, 휘발성 및 비휘발성 메모리 소자로 구현될 수 있다.
디스플레이(130)는 시각적이나 입체적인 수신, 저장, 전달을 위해 정보를 나타내는 장치이고, 사용자에게 화면을 제공하는데 사용된다.
입출력 인터페이스(140)는 시스템 또는 장비를 연결할 수 있는 연결매체를 장착 할 수 있는 장치이고, 처리구성요소(110)와 입출력 장치 사이에 존재하여 이들 사이의 데이터 전송을 수행한다.
도 2는 도 1에 있는 처리구성요소를 설명하는 기능 블록도이다.
도 2를 참조하면, 처리구성요소(110)는 데이터 수신부(210), 데이터 샘플링부(220), 랜섬웨어 가능성 판단부(230) 및 제어부(240)를 포함한다.
여기에서, 기능 블록도는 처리구성요소(110)에 대한 하드웨어적인 분할 또는 처리구성요소(110)에 대한 소프트웨어적인 분할을 나타낸다. 하드웨어적인 분할은 처리구성요소(110)를 물리적으로 분할하고 이들 간에 전기적 신호를 송수신하도록 설계될 수 있으며, 소프트웨어적인 분할은 단일의 처리구성요소(110)를 통해 실행되고 논리적으로 분할된 소프트웨어 기능 모듈로 구현되고 이들 간에 데이터 신호를 송수신하도록 설계될 수 있다.
데이터 수신부(210)는 랜섬웨어 의심 데이터를 수신한다. 여기에서, 랜섬웨어 의심 데이터는 주어진 데이터로서, 랜섬웨어 감염 여부를 확인하기 위한 특정 혹은 불특정 다수의 데이터 및 데이터의 경로(Path)를 의미할 수 있고, I/O 이벤트와 같은 특정 이벤트로 인하여 랜섬웨어에 감염되어 암호화되었을 가능성이 존재하는 데이터를 의미할 수 있다. 일 실시예에서, 랜섬웨어 의심 데이터는 파일 또는 네트워크 패킷으로 구현될 수 있고, 메모리(120)에 존재하거나 입출력 인터페이스(140)를 통해 랜섬웨어 검출 장치(100)에 접근하는 데이터에 해당할 수 있다.
데이터 수신부(210)는 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스가 존재하면 해당 랜섬웨어 의심 데이터 및 해당 프로세스와 연관된 정보들을 획득할 수 있다. 일 실시예에서, 데이터 수신부(210)는 랜섬웨어 의심 데이터에 관하여 읽거나 쓰거나 변경하는 등의 파일 연산을 수행하는 프로세스가 존재하는지 검출할 수 있고, 해당 I/O 이벤트, 해당 파일 경로(File Path) 및 해당 프로세스 ID(PID)의 정보를 획득할 수 있다. 여기에서, 프로세스는 컴퓨터에서 연속적으로 실행되고 있는 컴퓨터 프로그램을 말한다. 예를 들어, 데이터 수신부(210)는 랜섬웨어 의심 데이터와 연관하여 특정 이벤트를 발생시키는 프로세스를 실시간으로 검출할 수 있고, 해당 이벤트에는 Read, Write, I/O 이벤트 및 네트워크 관련 이벤트 등이 포함될 수 있다. 이처럼 데이터 수신부(210)에서 수신되거나 획득된 정보들은 랜섬웨어 검출 장치(100)의 동작 전반에서 사용될 수 있다.
데이터 샘플링부(220)는 랜섬웨어 의심 데이터에서 특정 부분들을 샘플링할 수 있다. 보다 구체적으로, 데이터 샘플링부(220)는 랜섬웨어 의심 데이터에서 각각의 거리가 특정 기준 이상인 특정 부분들을 샘플링할 수 있다. 여기에서, 샘플링이란, 랜섬웨어 의심 데이터에서 일부를 추출하는 것을 의미한다. 일 실시예에서, 데이터 샘플링부(220)는 랜섬웨어 의심 데이터의 시작점을 기준으로 각각의 거리가 제1 거리 및 제2 거리인 특정 부분들을 샘플링할 수 있다.
데이터 샘플링부(220)는 랜섬웨어 의심 데이터의 제1 비트 수를 가지는 시작 부분 및 제2 비트 수를 가지는 중간 부분을 샘플링할 수 있다. 예를 들어, 데이터 샘플링부(220)는 랜섬웨어 의심 데이터에서 8 비트(1 바이트) 수를 가지는 시작부분 및 4 비트 수를 가지는 중간 부분의 샘플링을 수행하여, 시작 부분에 대하여 28개인 256개의 텍스트를 표현하는 비트 수를 갖도록, 중간 부분에 대하여 24개인 16개의 텍스트를 표현하는 비트 수를 갖도록 샘플링 할 수 있다. 일 실시예에서, 데이터 샘플링부(220)는 제1 및 제2 비트 수들 각각을 텍스트를 표현하는 비트 수인 8 비트보다 적은 비트 수로 설정하여 샘플링의 개수를 보완할 수 있다. 예를 들어, 데이터 샘플링부(220)는 랜섬웨어 의심 데이터에서 시작 부분 및 중간 부분 각각을 4 비트 수를 가지는 샘플링을 수행할 수 있다. 여기에서, 샘플링을 수행하는 비트 수가 클수록 리소스를 크게 사용하여 속도가 오래 걸리는 반면 정확도를 상대적으로 향상시키고, 비트 수가 적으면 리소스를 적게 사용하여 속도가 빠른 반면 정확도를 상대적으로 저하시키게 되는 트레이드 오프 관계를 형성한다. 일 실시예들 중에서, 데이터 샘플링부(220)는 제1 및 제2 비트 수들 각각을 4 비트 수로 설정할 수 있고, 여기에서 적용되는 4 비트 수는 실제로 랜섬웨어 검출 장치(100) 구현 시 속도 대비 정확도 시뮬레이션에 있어서 적정 효과를 획득할 수 있어 당업자에게 권장 하는 비트 수에 해당한다.
데이터 샘플링부(220)는 랜섬웨어 의심 데이터의 파일 종류를 유추하고, 파일 종류에 따른 메타데이터를 제1 부분으로, 비메타데이터를 제2 부분으로 샘플링할 수 있다. 여기에서, 메타데이터는 데이터에 관한 구조화된 데이터로서 다른 데이터를 설명해주는 데이터를 말하고, 원하는 정보를 효율적으로 이용하기 위해 일정한 규칙에 따라 콘텐츠에 대하여 부여되는 데이터를 말한다. 이러한 메타데이터는 대부분 파일의 맨 앞에 위치하는 경우가 많고, 파일의 종류에 따라 맨 뒤에 위치하기도 한다. 예를 들어, 데이터 샘플링부(220)는 랜섬웨어 의심 데이터의 파일 이름에서 마지막 점(.) 뒤에 나타나는 부분을 확장자로 인식하여 확장자에 따른 메타데이터의 위치를 예측할 수 있고, 메타데이터로 예측되는 데이터의 일부를 제1 부분으로 샘플링 할 수 있고, 비메타데이터로 예측되는 데이터의 일부를 제2 부분으로 샘플링 할 수 있다.
데이터 샘플링부(220)는 랜섬웨어 의심 데이터에서 특정 부분들을 샘플링함에 있어서, 각각의 거리에 대한 특정 기준을 해당 랜섬웨어 의심 데이터의 전체 크기를 기초로 설정하여 샘플링할 수 있다. 일 실시예에서, 데이터 샘플링부(220)는 수학식 1을 기초로 랜섬웨어 의심 데이터에서 각각의 거리에 대한 특정 기준을 설정하여 샘플링을 수행할 수 있다.
[수학식 1]
Figure 112016062602984-pat00001
(여기에서, distance1 및 distance2는 각각 랜섬웨어 의심 데이터에서 시작점을 기준으로 떨어진 제1 및 제2 거리를 의미하고 해당 수식의 결과값의 소수점 이하를 절삭하여 비트 수의 단위를 가질 수 있으며, R은 설정 가능한 상수의 값으로 위치에 따라 1이상 10미만의 설정 범위를 갖고, S는 랜섬웨어 의심 데이터의 전체 크기에 해당함)
데이터 샘플링부(220)는 분석의 정확도를 높이기 위하여 랜섬웨어 의심 데이터를 복수의 부분들로 분할하여 각각을 샘플링할 수 있다. 일 실시예에서, 데이터 샘플링부(220)는 랜섬웨어 의심 데이터의 제1 비트 수를 가지는 시작 부분, 제2 비트 수를 가지는 중간 부분 및 제3 비트 수를 가지는 끝 부분을 샘플링 할 수 있다.
랜섬웨어 가능성 판단부(230)는 샘플링 된 특정 부분들에 관한 엔트로피들을 계측할 수 있고, 엔트로피들 간의 차이를 기초로 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단할 수 있다. 여기에서, 엔트로피는 정보 이론의 관점에서 어떤 확률 분포에 담긴 불확실성의 한 척도를 의미한다. 즉, 불확실성이 높아질수록 정보의 양은 더 많아지고 엔트로피는 더 커진다고 볼 수 있고, 반대로 불확실성이 낮아질수록 정보의 양은 더 작아져서 엔트로피는 더 작아진다고 볼 수 있다. 랜섬웨어 가능성 판단부(230)는 샘플링 된 데이터의 엔트로피를 계측함에 있어서, 샘플링 데이터를 기초로 미리 저장된 발생 가능 분포 테이블에서 대응되는 엔트로피 값을 호출하여 엔트로피 계측을 수행하거나 혹은 표본 집합에 대한 정보를 갖는 특정 엔트로피 함수식을 기초로 연산을 수행하여 엔트로피를 계측할 수 있으나, 이에 제한되지 않고 다양한 방법의 엔트로피 측정 방법을 사용할 수 있다.
랜섬웨어 가능성 판단부(230)는 엔트로피들 간의 차이를 미리 설정된 특정 암호화 임계값과 비교하여 제1 차이에 해당하면 암호화 파일로, 제2 차이에 해당하면 비암호화 파일로 판단할 수 있다. 일반적으로 암호화 파일 및 압축 파일은 불확실성이 높기 때문에 큰 엔트로피를 가지며, 이중에서 암호화 파일의 경우, 메타데이터 및 비메타데이터에서 계측되는 엔트로피들 간의 차이가 적은 특성을 가지고 있는 반면, 압축 파일의 경우, 해당 차이가 큰 특성을 갖는다. 따라서, 랜섬웨어 가능성 판단부(230)는 이러한 특성을 반영하여 설정된 특정 암호화 임계값을 기준으로 엔트로피들을 비교하여 암호화 파일 여부를 판단할 수 있다. 예를 들어, 랜섬웨어 가능성 판단부(230)는 계측된 엔트로피들 간의 차이가 암호화 임계값인 0.1 미만에 해당하면 암호화 파일로, 0.1 이상에 해당하면 비암호화 파일로 판단할 수 있다.
랜섬웨어 가능성 판단부(230)는 랜섬웨어 의심 데이터가 비암호화 파일로 판단되면, 미리 설정된 특정 비암호화 임계값을 기초로 텍스트 파일 혹은 압축 파일로 구분할 수 있다. 일반적으로 텍스트 파일은 불확실성이 낮기 때문에 비텍스트 파일인 암호화 파일 및 압축 파일과 대비하여 작은 엔트로피를 갖고, 비암호화 임계값은 이러한 특성을 반영하여 설정될 수 있다. 예를 들어, 랜섬웨어 가능성 판단부(230)는 비암호화 파일로 판단된 엔트로피들의 계측값들이 모두 비암호화 임계값인 0.3 미만에 해당하면 텍스트 파일로, 0.3 이상에 해당하면 압축 파일로 판단할 수 있다.
랜섬웨어 가능성 판단부(230)는 샘플링된 특정 부분들에 관한 엔트로피들을 계측하고 계측된 엔트로피들 중 특정 기준을 만족하지 못하면 해당 특정 부분에 관해 카이제곱 검정 기법을 통해 심층 분석을 수행하여 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단할 수 있다. 여기에서, 카이제곱 검정 기법이란, 카이제곱 분포(chi-squared distribution)에 기초한 통계적 방법으로, 관찰된 빈도가 기대되는 빈도와 의미 있게 다른지의 여부를 검증하기 위해 사용되는 검증방법을 말하고, 신뢰구간이나 가설검정 등의 모델에서 자주 사용되는 방법에 해당한다. 암호화 파일 및 압축 파일은 엔트로피가 크고 텍스트 파일은 엔트로피가 작은 특성을 갖지만, 만일 두 영역을 구분하기 위한 경계영역의 범위에 해당하는 경우 판단 오류 발생 가능성이 높아질 수 있다. 실시예에서, 랜섬웨어 가능성 판단부(230)는 엔트로피들의 계측값들이 모두 암호화 파일 및 압축 파일임을 판단하기 위한 제1 특정 기준에 해당하지 못하고, 동시에 텍스트 파일임을 판단하기 위한 제2 특정 기준에도 해당하지 못하는 경우, 카이제곱 검정 기법을 통해 추가 분석을 수행하여 결과의 신뢰성을 높이도록 할 수 있다. 예를 들어, 랜섬웨어 가능성 판단부(230)는 엔트로피들의 계측값들이 모두 0.3 미만이 아니고, 0.6 이상도 아닌 경우, 카이제곱 검정 기법을 통한 분석을 수행하여 랜섬웨어 가능성을 판단하도록 할 수 있다.
랜섬웨어 가능성 판단부(230)는 만일 랜섬웨어 의심 데이터에 관하여 샘플링된 복수의 부분들에 관한 엔트로피들이 계측되면, 해당 엔트로피들의 편차를 기초로 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단할 수 있다. 일 실시예에서, 랜섬웨어 가능성 판단부(230)는 랜섬웨어 의심 데이터의 제1 비트 수를 가지는 시작 부분, 제2 비트 수를 가지는 중간 부분 및 제3 비트 수를 가지는 끝 부분들이 샘플링되면, 각각에 대하여 엔트로피들을 계측하고, 시작 부분의 엔트로피 및 끝 부분의 엔트로피의 평균과 중간 부분의 엔트로피를 비교하여 차이가 특정 암호화 임계값 미만이면 암호화 파일로, 특정 암호화 임계값 이상이면 비암호화 파일로 판단할 수 있다.
제어부(240)는 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성이 특정 기준 이상이면 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스의 작동을 제어할 수 있다. 일 실시예에서, 제어부(240)는 랜섬웨어 의심 데이터가 암호화 파일로 판단되면 프로세스의 작동을 중지시키고 디스플레이(130)에 알림 메시지를 전송할 수 있다. 예를 들어, 제어부(240)는 랜섬웨어 의심 데이터가 암호화 파일로 판단되면, 랜섬웨어 의심 데이터와 연관하여 특정 이벤트를 발생시키는 프로세스의 작동을 중지시킬 수 있고, 디스플레이(130)에 프로세스의 실행 재개 여부, 종료 여부 및 차단 여부를 묻는 알림 메시지를 전송하여 사용자의 응답을 요청할 수 있다. 다른 실시예에서, 제어부(240)는 제어부(240)는 네트워크 패킷으로 구현된 랜섬웨어 의심 데이터가 암호화 파일로 판단되면 해당 랜섬웨어 의심 데이터와 연관되는 네트워크 경로를 획득하여 네트워크 인터페이스(미도시됨)를 통해 해당 경로에 대한 네트워크 연결을 중지시키고 디스플레이(130)에 알림 메시지를 전송할 수 있다.
제어부(240)는 입출력 인터페이스(140)를 통해 사용자의 응답이 입력되면, 사용자의 응답에 대응되는 동작을 수행하고, 해당 동작을 종료하면 결과를 기록하여 메모리(120)에 저장할 수 있다. 예를 들면, 제어부(240)는 입출력 인터페이스(140)를 통해 랜섬웨어 의심 데이터와 연관되는 프로세스의 종료 및 차단을 요청하는 사용자의 응답이 입력되면, 해당 프로세스 ID(PID)를 기초로 해당 프로세스를 강제 종료시키고, 해당 프로세스의 액세스를 차단하는 프로세스 관리를 수행할 수 있으며, 관련 동작을 모두 종료하면 결과를 로그 파일로 기록하여 메모리(120)의 특정 위치에 저장함으로써 사용자에게 제공하도록 할 수 있다.
제어부(240)는 랜섬웨어 검출 장치(100)의 전체적인 동작을 제어하고, 처리구성요소(110)에서 데이터 수신부(210), 데이터 샘플링부(220) 및 랜섬웨어 가능성 판단부(230) 간의 제어 흐름 또는 데이터 흐름을 제어할 수 있다.
도 3은 도 1에 있는 처리구성요소에 의해 수행되는 랜섬웨어 검출 방법의 일 실시예를 설명하는 흐름도이다.
도 3에서, 랜섬웨어 검출 방법의 일 실시예는 다음의 단계들을 포함한다.
첫 번째로, 랜섬웨어 검출 방법은 데이터 수신부(210)에서 랜섬웨어 의심 데이터를 수신하는 데이터 수신 단계를 포함할 수 있다(단계S310). 일 실시예에서, 랜섬웨어 의심 데이터는 파일 또는 네트워크 패킷으로 구현될 수 있고, 메모리(120)에 존재하거나 입출력 인터페이스(140) 및 네트워크 인터페이스(미도시됨)를 통해 랜섬웨어 검출 장치(100)에 접근하는 데이터에 해당할 수 있다.
두 번째로, 랜섬웨어 검출 방법은 데이터 샘플링부(220)에서 랜섬웨어 의심 데이터에서 각각의 거리가 특정 기준 이상인 특정 부분들을 샘플링 하는 데이터 샘플링 단계를 포함할 수 있다(단계S320). 일 실시예에서, 랜섬웨어 검출 방법은 데이터 샘플링부(220)에서 랜섬웨어 의심 데이터의 파일 종류를 유추하고, 파일 종류에 따른 메타데이터를 제1 부분으로, 비메타데이터를 제2 부분으로 샘플링 하도록 할 수 있다. 예를 들어, 랜섬웨어 검출 방법은 데이터 샘플링부(220)에서 랜섬웨어 의심 데이터의 파일 이름에서 마지막 점(.) 뒤에 나타나는 부분을 확장자로 인식하여 확장자에 따른 메타데이터의 위치를 예측할 수 있고, 메타데이터로 예측되는 데이터의 일부를 제1 부분으로 샘플링 할 수 있고, 비메타데이터로 예측되는 데이터의 일부를 제2 부분으로 샘플링 할 수 있다.
세 번째로, 랜섬웨어 검출 방법은 랜섬웨어 가능성 판단부(230)에서 샘플링 된 특정 부분들에 관한 엔트로피들을 계측하고(단계S330), 엔트로피들 간의 차이를 기초로 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 랜섬웨어 가능성 판단 단계를 포함할 수 있다(단계S340). 예를 들어, 랜섬웨어 검출 방법은 랜섬웨어 가능성 판단부(230)에서 계측된 엔트로피들 간의 차이가 0.1 미만에 해당하면 암호화 파일로, 0.1 이상에 해당하면 비암호화 파일로 판단하도록 할 수 있다.
도 4는 도 1에 있는 처리구성요소에 의해 수행되는 랜섬웨어 검출 방법의 다른 실시예를 설명하는 흐름도이다.
도 4에서, 랜섬웨어 검출 방법의 다른 실시예는 다음의 단계들을 포함할 수 있다.
첫 번째로, 랜섬웨어 검출 방법은 앞서 서술한 바와 같이, 데이터 수신부(210)에서 랜섬웨어 의심 데이터를 수신하는 단계를 포함할 수 있다(단계S410).
두 번째로, 랜섬웨어 검출 방법은 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스가 존재하면 데이터 수신부(210)에서 해당 랜섬웨어 의심 데이터 및 해당 프로세스와 연관된 정보들을 획득하는 단계를 포함할 수 있다(단계S420). 예를 들어, 랜섬웨어 검출 방법은 데이터 수신부(210)에서 랜섬웨어 의심 데이터와 연관하여 특정 이벤트(Read, Write, I/O 이벤트 및 네트워크 관련 이벤트 등)를 발생시키는 프로세스를 실시간으로 검출하고, 랜섬웨어 의심 데이터와 연관되는 파일 경로 및 프로세스 ID 정보 등을 획득하는 단계를 포함할 수 있다.
세 번째로, 랜섬웨어 검출 방법은 데이터 샘플링부(220)에서 랜섬웨어 의심 데이터의 시작 부분 및 중간 부분 각각을 4비트로 샘플링하는 단계를 포함할 수 있다(단계S430). 예를 들어, 랜섬웨어 검출 방법은 데이터 샘플링부(220)에서 랜섬웨어 의심 데이터에서 각각 4 비트 수를 가지는 시작부분 및 중간 부분의 샘플링을 수행하여, 각 부분들에 대하여 24개인 16개의 텍스트를 표현하는 비트 수를 갖도록 샘플링 하는 단계를 포함할 수 있고, 여기에서 적용되는 4 비트 수는 실제로 랜섬웨어 검출 장치(100) 구현 시 속도 대비 정확도 시뮬레이션에 있어서 적정 효과를 획득할 수 있어 당업자에게 권장 되는 비트 수에 해당한다.
네 번째로, 랜섬웨어 검출 방법은 랜섬웨어 가능성 판단부(230)에서 샘플링된 특정 부분들에 관한 엔트로피들을 계측하는 방법을 포함할 수 있다(단계S440). 엔트로피 계측에 있어서, 랜섬웨어 검출 방법은 랜섬웨어 가능성 판단부(230)에서 샘플링 데이터를 기초로 미리 저장된 발생 가능 분포 테이블에서 대응되는 엔트로피 값을 호출하여 엔트로피 계측을 수행하거나 혹은 표본 집합에 대한 정보를 갖는 특정 엔트로피 함수식을 기초로 연산을 수행하여 엔트로피를 계측하는 방법을 포함할 수 있다.
다섯 번째로, 랜섬웨어 검출 방법은 랜섬웨어 가능성 판단부(230)에서 엔트로피들 간의 차이를 미리 설정된 특정 암호화 임계값과 비교하여 제1 차이에 해당하면 암호화 파일로, 제2 차이에 해당하면 비암호화 파일로 판단하는 단계를 포함할 수 있다(단계S450). 예를 들어, 랜섬웨어 검출 방법은 랜섬웨어 가능성 판단부(230)에서 계측된 엔트로피들 간의 차이가 암호화 임계값인 0.1 미만에 해당하면 암호화 파일로, 0.1 이상에 해당하면 비암호화 파일로 판단하는 단계를 포함할 수 있다.
여섯 번째로, 랜섬웨어 검출 방법은 랜섬웨어 가능성 판단부(230)에서 랜섬웨어 의심 데이터가 비암호화 파일로 판단되면, 미리 설정된 특정 비암호화 임계값을 기초로 텍스트 파일 혹은 압축 파일로 구분하는 단계를 포함할 수 있다(단계S460). 예를 들어, 랜섬웨어 검출 방법은 랜섬웨어 가능성 판단부(230)에서 비암호화 파일로 판단된 엔트로피들의 계측값들이 모두 비암호화 임계값인 0.3 미만에 해당하면 텍스트 파일로, 0.3 이상에 해당하면 압축 파일로 판단할 수 있다.
마지막으로, 랜섬웨어 검출 방법은 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성이 특정 기준 이상이면 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스의 작동을 제어하는 제어 단계를 포함할 수 있다(단계S470-S480). 예를 들어, 제어부(240)는 랜섬웨어 의심 데이터가 암호화 파일로 판단되면, 랜섬웨어 의심 데이터와 연관하여 특정 이벤트를 발생시키는 프로세스의 작동을 중지시킬 수 있고, 디스플레이(130)에 프로세스의 실행 재개 여부, 종료 여부 및 차단 여부를 묻는 알림 메시지를 전송하여 사용자의 응답을 요청할 수 있으며(단계S470), 사용자의 응답에 따라 동작을 수행하고 결과를 기록할 수 있다(단계S480).
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 랜섬웨어 검출 장치
110: 처리구성요소(PE) 120: 메모리
130: 디스플레이 140: 입출력 인터페이스
210: 데이터 수신부 220: 데이터 샘플링부
230: 랜섬웨어 가능성 판단부 240: 제어부

Claims (16)

  1. 파일 또는 네트워크 패킷으로 구현될 수 있는 랜섬웨어 의심 데이터를 수신하는 데이터 수신부;
    상기 랜섬웨어 의심 데이터에서 각각의 거리를 상기 랜섬웨어 의심 데이터의 전체 크기에 비례하는 값으로 설정하고 상기 랜섬웨어 의심 데이터에서 상기 각각의 거리가 특정 기준 이상인 특정 부분들을 샘플링하는 데이터 샘플링부; 및
    상기 샘플링된 특정 부분들에 관한 엔트로피들을 계측하고, 상기 엔트로피들 간의 차이를 기초로 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 랜섬웨어 가능성 판단부를 포함하고,
    상기 데이터 샘플링부는 상기 랜섬웨어 의심 데이터의 제1 비트 수를 가지는 시작 부분 및 제2 비트 수를 가지는 중간 부분을 샘플링하는 랜섬웨어 검출 장치.
  2. 제1항에 있어서, 상기 데이터 수신부는
    상기 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스가 존재하면 해당 I/O 이벤트, 해당 파일 경로(File Path) 및 해당 프로세스 ID(PID)의 정보를 획득하는 것을 특징으로 하는 랜섬웨어 검출 장치.
  3. 삭제
  4. 제1항에 있어서, 상기 데이터 샘플링부는
    상기 제1 및 제2 비트 수들 각각을 텍스트를 표현하는 비트 수인 8 비트보다 적은 비트 수로 설정하여 상기 샘플링의 개수를 보완하는 것을 특징으로 하는 랜섬웨어 검출 장치.
  5. 제1항에 있어서, 상기 데이터 샘플링부는
    상기 랜섬웨어 의심 데이터의 파일 종류를 유추하고, 상기 파일 종류에 따른 메타데이터를 제1 부분으로, 비메타데이터를 제2 부분으로 샘플링하는 것을 특징으로 하는 랜섬웨어 검출 장치.
  6. 삭제
  7. 제1항에 있어서, 상기 랜섬웨어 가능성 판단부는
    상기 엔트로피들 간의 차이를 미리 설정된 특정 암호화 임계값과 비교하여 제1 차이에 해당하면 암호화 파일로, 제2 차이에 해당하면 비암호화 파일로 판단하는 것을 특징으로 하는 랜섬웨어 검출 장치.
  8. 제7항에 있어서, 상기 랜섬웨어 가능성 판단부는
    상기 랜섬웨어 의심 데이터가 상기 비암호화 파일로 판단되면 미리 설정된 특정 비암호화 임계값을 기초로 텍스트 파일 혹은 압축 파일로 구분하는 것을 특징으로 하는 랜섬웨어 검출 장치.
  9. 제1항에 있어서, 상기 랜섬웨어 가능성 판단부는
    상기 샘플링된 특정 부분들에 관한 엔트로피들을 계측하고 상기 계측된 엔트로피들 중 특정 기준을 만족하지 못하면 해당 특정 부분에 관해 카이제곱 검정 기법을 통해 심층 분석을 수행하여 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 것을 특징으로 하는 랜섬웨어 검출 장치.
  10. 제1항에 있어서,
    상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성이 특정 기준 이상이면 상기 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스의 작동을 제어하는 제어부를 더 포함하는 것을 특징으로 하는 랜섬웨어 검출 장치.
  11. 제10항에 있어서, 상기 제어부는
    상기 랜섬웨어 의심 데이터가 암호화 파일로 판단되면 상기 프로세스의 작동을 중지시키고 디스플레이에 알림 메시지를 전송하는 것을 특징으로 하는 랜섬웨어 검출 장치.
  12. 제11항에 있어서, 상기 제어부는
    상기 디스플레이에 상기 프로세스의 실행 재개 여부, 종료 여부 및 차단 여부를 묻는 알림 메시지를 전송하여 사용자의 응답을 요청하는 것을 특징으로 하는 랜섬웨어 검출 장치.
  13. 제12항에 있어서, 상기 제어부는
    상기 사용자의 응답에 대응되는 동작을 수행하고, 해당 동작을 종료하면 결과를 기록하여 메모리에 저장하는 것을 특징으로 하는 랜섬웨어 검출 장치.
  14. 제1항에 있어서,
    상기 데이터 샘플링부는 상기 랜섬웨어 의심 데이터를 복수의 부분들로 분할하여 각각을 샘플링하고,
    상기 랜섬웨어 가능성 판단부는 상기 샘플링 된 복수의 부분들에 관한 엔트로피들의 편차를 기초로 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 것을 특징으로 하는 랜섬웨어 검출 장치.
  15. 컴퓨터에 의해 수행되는 랜섬웨어 검출 방법에 있어서,
    파일 또는 네트워크 패킷으로 구현될 수 있는 랜섬웨어 의심 데이터를 수신하는 데이터 수신 단계;
    상기 랜섬웨어 의심 데이터에서 각각의 거리를 상기 랜섬웨어 의심 데이터의 전체 크기에 비례하는 값으로 설정하고 상기 랜섬웨어 의심 데이터에서 상기 각각의 거리가 특정 기준 이상인 특정 부분들을 샘플링 하는 데이터 샘플링 단계; 및
    상기 샘플링 된 특정 부분들에 관한 엔트로피들을 계측하고, 상기 엔트로피들 간의 차이를 기초로 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 랜섬웨어 가능성 판단 단계를 포함하고,
    상기 데이터 샘플링 단계는 상기 랜섬웨어 의심 데이터의 제1 비트 수를 가지는 시작 부분 및 제2 비트 수를 가지는 중간 부분을 샘플링하는 단계를 포함하는 랜섬웨어 검출 방법.
  16. 제15항에 있어서,
    상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성이 특정 기준 이상이면 상기 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스의 작동을 제어하는 제어 단계를 더 포함하는 랜섬웨어 검출 방법.
KR1020160081086A 2016-06-28 2016-06-28 랜섬웨어 검출 장치 및 방법 KR101817636B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160081086A KR101817636B1 (ko) 2016-06-28 2016-06-28 랜섬웨어 검출 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160081086A KR101817636B1 (ko) 2016-06-28 2016-06-28 랜섬웨어 검출 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20180001941A KR20180001941A (ko) 2018-01-05
KR101817636B1 true KR101817636B1 (ko) 2018-01-11

Family

ID=61001740

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160081086A KR101817636B1 (ko) 2016-06-28 2016-06-28 랜섬웨어 검출 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101817636B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190135752A (ko) 2018-05-29 2019-12-09 고려대학교 산학협력단 파일 시스템에서의 랜섬웨어 탐지 방법 및 그 장치
KR20210006696A (ko) * 2019-07-09 2021-01-19 순천향대학교 산학협력단 파일의 엔트로피 측정을 이용한 효과적인 랜섬웨어 탐지 방법 및 장치
US11698965B2 (en) 2020-04-09 2023-07-11 International Business Machines Corporation Detection of encrypting malware attacks

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102034678B1 (ko) * 2018-02-09 2019-10-21 주식회사 안랩 데이터파일 접근 제어 기반의 악성 차단 시스템 및 악성 차단 방법
KR101899774B1 (ko) * 2018-03-16 2018-09-19 주식회사 시큐브 랜섬웨어 대응을 위한 데이터 처리 방법, 이를 실행시키는 프로그램 및 상기 프로그램을 기록한 컴퓨터 판독 가능한 기록매체
KR102105885B1 (ko) * 2018-11-30 2020-05-04 주식회사 심플한 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템
CN116933253A (zh) * 2022-03-29 2023-10-24 华为技术有限公司 检测勒索软件的方法及相关系统、存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080184367A1 (en) * 2007-01-25 2008-07-31 Mandiant, Inc. System and method for determining data entropy to identify malware
JP2014085854A (ja) 2012-10-24 2014-05-12 Nippon Telegr & Teleph Corp <Ntt> 類似度評価システム、類似度評価装置、利用者端末、類似度評価方法、およびプログラム
KR101685014B1 (ko) 2016-02-19 2016-12-12 주식회사 블랙포트시큐리티 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080184367A1 (en) * 2007-01-25 2008-07-31 Mandiant, Inc. System and method for determining data entropy to identify malware
JP2014085854A (ja) 2012-10-24 2014-05-12 Nippon Telegr & Teleph Corp <Ntt> 類似度評価システム、類似度評価装置、利用者端末、類似度評価方法、およびプログラム
KR101685014B1 (ko) 2016-02-19 2016-12-12 주식회사 블랙포트시큐리티 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190135752A (ko) 2018-05-29 2019-12-09 고려대학교 산학협력단 파일 시스템에서의 랜섬웨어 탐지 방법 및 그 장치
KR20210006696A (ko) * 2019-07-09 2021-01-19 순천향대학교 산학협력단 파일의 엔트로피 측정을 이용한 효과적인 랜섬웨어 탐지 방법 및 장치
KR102239437B1 (ko) * 2019-07-09 2021-04-13 순천향대학교 산학협력단 파일의 엔트로피 측정을 이용한 효과적인 랜섬웨어 탐지 방법 및 장치
US11698965B2 (en) 2020-04-09 2023-07-11 International Business Machines Corporation Detection of encrypting malware attacks

Also Published As

Publication number Publication date
KR20180001941A (ko) 2018-01-05

Similar Documents

Publication Publication Date Title
KR101817636B1 (ko) 랜섬웨어 검출 장치 및 방법
US9596257B2 (en) Detection and prevention of installation of malicious mobile applications
US8966249B2 (en) Data security and integrity by remote attestation
US9811674B2 (en) Data leakage prevention system, method, and computer program product for preventing a predefined type of operation on predetermined data
US9588848B2 (en) System and method of restoring modified data
EP3014813B1 (en) Rootkit detection by using hardware resources to detect inconsistencies in network traffic
US10079835B1 (en) Systems and methods for data loss prevention of unidentifiable and unsupported object types
US9479357B1 (en) Detecting malware on mobile devices based on mobile behavior analysis
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
TW201642135A (zh) 文件檢測方法、裝置及系統
US10148694B1 (en) Preventing data loss over network channels by dynamically monitoring file system operations of a process
US9690598B2 (en) Remotely establishing device platform integrity
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
US20140150101A1 (en) Method for recognizing malicious file
WO2016121348A1 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
EP3144845B1 (en) Detection device, detection method, and detection program
KR20180122249A (ko) 안전 저장소 접근정보를 보호하는 위치고정형 사물인터넷 기기 및 위치고정형 사물인터넷 기기의 안전 저장소 접근정보를 보호하는 방법
CN114218561A (zh) 一种弱口令检测方法、终端设备及存储介质
US10484420B2 (en) Retrieving network packets corresponding to detected abnormal application activity
US9785775B1 (en) Malware management
KR101899774B1 (ko) 랜섬웨어 대응을 위한 데이터 처리 방법, 이를 실행시키는 프로그램 및 상기 프로그램을 기록한 컴퓨터 판독 가능한 기록매체
US20160210474A1 (en) Data processing apparatus, data processing method, and program
US11126713B2 (en) Detecting directory reconnaissance in a directory service
CN108804122B (zh) 信息安全处理系统、虚拟专用服务器及其控制方法
US20240134976A1 (en) Analyzing file entropy to identify adverse conditions

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant