KR101937325B1 - Method for Detecting and Preventing Malware and Apparatus thereof - Google Patents

Method for Detecting and Preventing Malware and Apparatus thereof Download PDF

Info

Publication number
KR101937325B1
KR101937325B1 KR1020170142506A KR20170142506A KR101937325B1 KR 101937325 B1 KR101937325 B1 KR 101937325B1 KR 1020170142506 A KR1020170142506 A KR 1020170142506A KR 20170142506 A KR20170142506 A KR 20170142506A KR 101937325 B1 KR101937325 B1 KR 101937325B1
Authority
KR
South Korea
Prior art keywords
file
malicious code
blocking
user terminal
search
Prior art date
Application number
KR1020170142506A
Other languages
Korean (ko)
Inventor
고준용
박주선
Original Assignee
주식회사 시큐어링크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐어링크 filed Critical 주식회사 시큐어링크
Priority to KR1020170142506A priority Critical patent/KR101937325B1/en
Application granted granted Critical
Publication of KR101937325B1 publication Critical patent/KR101937325B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Abstract

The present invention relates to a method for detecting and preventing malware and an apparatus for the same. In order to solve a problem caused by methods of prevention based on a blacklist and a whitelist, the apparatus is suitable for detecting malware, performing of warning a user and forcible blocking gradually and preventing widespread attacks of malware in advance when malware such as ransomware performs search and change actions on a plurality of files with regard to storage devices such as a hard disk, a removable disk, and a network storage connected to a terminal such as a PC, etc. The method comprises the processes of: a first process of detecting a search act; a second process of identifying whether the search act is registered as a first trust process; a third process of warning to a user′s terminal; a fourth process of saving a back-up file and processing a file; a fifth process of comparing a similarity of the back-up file and the processed file; a sixth process of comparing and identifying whether the file is registered as a second trust process when a similarity is low below a standard; and a seventh process of returning to the first process in order to process search to a next file when the file is identified as the second trust process.

Description

악성코드 감지 및 차단방법 및 그 장치{Method for Detecting and Preventing Malware and Apparatus thereof}FIELD OF THE INVENTION [0001] The present invention relates to a method and a device for detecting malware,

본 발명은 컴퓨터 시스템의 악성코드 감지 및 차단 시스템 및 방법에 관한 것으로, 보다 상세하게는 PC(개인용컴퓨터) 등의 단말기에 연결된 저장매체에 대한 다수의 파일 검색행위 및 변경행위를 감지하여 랜섬웨어와 같은 악성코드 여부를 판단하고, 단계적으로 사용자에게 경고 및 강제차단을 수행하여 악성코드의 광범위한 행위를 사전에 차단하는 악성코드 감지 및 차단방법 및 그 장치에 관한 것이다.The present invention relates to a system and method for detecting and blocking a malicious code in a computer system, and more particularly, to a system and method for detecting and blocking a malicious code in a computer system, And more particularly, to a method and apparatus for detecting and blocking malicious codes that determine whether malicious code is the same and perform a warning and a forced block to the user step by step to block a wide range of malicious code in advance.

랜섬웨어 악성코드는 종래의 PC 등 사용자 단말기를 사용할 수 없도록 무력화하거나 사용자의 파일을 훼손할 목적으로 만들어지던 멀웨어(Malware) 형태의 바이러스 프로그램에서 유래했지만 사용자가 인지하지 못하게 모든 사용자 파일을 강력한 암호기술(비대칭키 2048 비트 및 대칭키 256 비트 등)을 이용하여 암호화한 후, 해당 파일의 복원을 대가로 상당한 금전을 요구하는 진화된 형태의 악성코드라고 할 수 있다.Ransomware Malicious code originated from malware type virus program which was made for the purpose of disabling the user terminal such as the conventional PC or damaging the user's file. However, (Such as asymmetric key 2048 bits and symmetric key 256 bits), and then it is an evolved form of malicious code that requires a significant amount of money in exchange for restoration of the file.

이러한 기술은 비교적 손쉽게 개발이 가능하며, 비트코인 등 익명성이 보장되는 화폐의 등장과 성장에 힘입어 안전하게 수익을 올릴 수 있는 환경이 조성됨에 따라 더욱 확장되고 있는 추세이고, 파일을 훼손하는 방식과 기법이 급격하게 진화하고 있다.These technologies are relatively easy to develop and are becoming more widespread due to the emergence of an environment in which money can securely be earned thanks to the emergence and growth of anonymity such as bit coins, Techniques are evolving rapidly.

종래의 백신 프로그램들은 한번 이상 피해가 발생한 악성코드에 대해서 정보를 수집한 후, 해당 악성코드의 해쉬(Hash) 값 또는 기타 코드의 형태(시그니처, Signature) 정보를 DB로 누적하여 해당 악성코드가 사용자 PC 등 단말기에 잠입하여 실행될 때 이를 감지하여 사전에 차단하는 블랙리스트 방식을 제공하고 있다.Conventional vaccine programs collect information about malicious codes causing damage more than once and then accumulate the hash value of the malicious code or the type (signature, signature) information of other code in the DB, And provides a black list method in which when the mobile terminal is infiltrated into a terminal such as a PC and executed, it is detected and blocked in advance.

하지만 언급된 바와 같이 손쉽게 변형이 가능한 랜섬웨어 악성코드들은 세계적으로 하루에도 약 1,000 개 이상의 변종이 생성되어 유포될 정도로 파급 및 변형코드 생성이 높아 기존 블랙리스트로 충분히 차단할 수 없는 상태이다. However, as mentioned above, the malware of Ransomware which can be easily modified can not be sufficiently blocked by the existing black list because the generation of spreads and modification codes is so high that about 1,000 variants are generated and distributed worldwide.

따라서 최근 랜섬웨어를 차단하고 방어하기 위한 여러 기술들이 연구되고 있고 상용화되고 있는 추세인데 매우 빠르게 변형되는 변종 악성코드를 사전에 차단하기 위해서 불특정 프로세스의 행위를 감지하고 해당 프로세스의 행위가 의심스러울 경우 이를 차단하되, 오탐(False Detection)의 경우를 줄이기 위해 신뢰할 수 있는 프로세스 목록인 화이트리스트를 유지하기도 한다.Therefore, recently, various technologies for blocking and defending Ransomware have been studied and commercialized. In order to block malicious codes of variants that are rapidly transformed, it is necessary to detect the behavior of an unspecified process, and if the behavior of the process is doubtful But it also maintains a whitelist, which is a list of trusted processes to reduce cases of false detection.

문제는 PC 단말기의 OS(운영체제)와 사용자의 업무를 수행하는 수많은 프로세스들의 행위를 적절히 감지하고 이를 통해 랜섬웨어를 정확하게 구분해 내는 것이 현실적으로 매우 어려워서 복잡한 기술과 알고리즘을 사용하고 이에 따른 비용 상승 및 오탐에 따른 사용자 불편이 커지고 있고, 예외처리된 화이트리스트 목록의 오류로 인해 실제 랜섬웨어 공격에 무력화 되는 경우가 매우 많은 것이 현실이다.The problem is that it is very difficult to realistically detect the behavior of many processes that perform the tasks of the OS and the user of the PC terminal and accurately classify the Rangemeware through it. Therefore, it is difficult to use complex technologies and algorithms, , And it is a reality that there are many cases where an actual Ransomware attack is rendered ineffective due to an error of an exceptioned whitelist list.

디코이(함정) 파일을 생성하고, 해당 파일을 변형하는 프로세스를 랜섬으로 감지하는 수동적 방식은 이미 해커들에 의해 함정파일의 유도를 회피하는 랜섬웨어의 등장으로 무력화되고 있으며, 프로세스에 의한 파일 변형을 공격으로 인지하고자 하는 차단시스템들은 수많은 프로세스의 파일 입출력(I/O) 작업과 파일 내용의 변화에 대해 적절하고 유효한 기준을 확립해야 하지만, 현실적으로 오탐 및 미탐의 확률이 존재하고 있고 오탐을 줄이기 위해 예외 처리된 프로세스의 공격이 생길 경우 단 한번의 공격으로도 사용자 파일의 치명적인 훼손이 발생하게 된다.The passive method of generating a decoy file and detecting the process of modifying the file with the Ransom has been rendered ineffective by the introduction of Ransomware, which has already avoided the introduction of trap files by hackers, Blocking systems that want to be aware of attacks should establish appropriate and valid criteria for file input / output (I / O) operations and file content changes in many processes, but there is a realistic probability of false positives and detections, If an attack occurs on a processed process, a single attack will cause a fatal damage to the user file.

파일을 훼손하는 악성코드 행위의 가장 적절한 시점과 변형 행위를 감지할 수 있다면 상기와 같은 변형된 악성코드의 선제적 차단과 방어의 신뢰성이 크게 향상되며 최악의 경우에도 사용자 단말의 광범위한 파일 훼손을 사전에 차단할 수 있으므로, 해당 시점에 대한 기술적 접근방식이 우선 확립되어야 한다.If the most appropriate point of malicious code behavior that damages a file can be detected and deformation behavior can be detected, the reliability of the preemptive blocking and defense of the malicious code as described above is greatly improved and even in the worst case, , The technical approach to the point in time should first be established.

KRKR 10-168501410-1685014 B1B1

본 발명은 종래의 블랙리스트 기반의 차단방법과 화이트리스트 기반의 차단방법에 의한 문제점을 개선하기 위하여 랜섬웨어와 같은 악성코드가 PC 등의 단말기에 연결된 하드디스크, 이동형 디스크, 네트워크 스토리지 등의 저장매체에 대한 다수의 파일 검색행위 및 변경행위를 수행할 때, 이를 감지하여 악성코드 여부를 판단하고, 이를 사용자에게 경고 및 강제차단을 단계적으로 수행하여 악성코드의 광범위한 행위를 사전에 차단하는 악성코드 차단방법 및 그 장치를 제공하는데 그 목적이 있다.In order to solve the problems caused by the conventional black list-based blocking method and the whitelist-based blocking method, malicious codes such as a random software are stored in a storage medium such as a hard disk, a removable disk, The malicious code is detected by detecting malicious code when performing a plurality of file searching and changing operations on the malicious code, And to provide a method and a device therefor.

본 발명의 다른 목적은 랜섬웨어로 감지될 경우 사용자 경고 과정에서 사용자 판단 기회를 제공하여 별도의 예외처리 절차 없이, 즉각적인 업무 속행기회를 제공하고 화이트리스트 및 블랙리스트 DB에 반영하도록 하는데 그 목적이 있다.Another object of the present invention is to provide an opportunity for user judgment in a user warning process in case of detection as a randomware, thereby providing an opportunity for immediate follow-up without a separate exception processing procedure and reflecting the same in a whitelist and a blacklist DB .

본 발명의 목적을 달성하기 위한 악성코드 감지 및 차단과정은 사용자단말기의 저장매체에 대한 다수의 파일 검색 및 변경행위 기반의 악성코드 프로세스를 상기 사용자단말기에 탑재된 악성코드차단모듈에 의하여 감지 및 차단하는 악성코드 감지 및 차단방법에 있어서, 상기 악성코드차단모듈에 의하여 사용자단말기의 저장매체에 저장된 다수의 파일에 대한 검색 행위를 감지하는 제1과정; 상기 제1과정 수행 중 기 설정된 보호대상 파일에 대한 검색행위가 감지될 경우, 해당 검색행위 프로세스가 신뢰데이터베이스에 등록된 제1차 신뢰프로세스인지 확인하는 제2과정; 상기 제2과정에서 신뢰데이터베이스에 등록되지 않은 프로세스인 경우 사용자단말기로 경보하는 제3과정; 상기 제3과정에서 사용자단말기가 해당 프로세스에 대한 허용 또는 예외처리가 선택될 경우 해당 파일에 대한 백업파일을 저장한 후 해당 프로세스를 진행하는 제4과정; 상기 제4과정에서 프로세스 진행 전의 백업파일과 프로세스 진행 후의 파일의 유사도를 비교하는 제5과정; 상기 제5과정에서 유사도가 훼손기준 이상일 경우 상기 신뢰데이터베이스에 등록된 제2차신뢰 프로세스인지에 해당되는지를 비교하는 제6과정; 및 상기 제6과정에서 해당 파일이 제2차 신뢰프로세스에 해당될 경우 다음 파일에 대한 검색 프로세스를 진행하도록 상기 제1과정으로 리턴하는 제7과정;을 포함하여 이루어진 것을 특징으로 한다.In order to accomplish the object of the present invention, a malicious code detection and blocking process includes detecting and blocking a malicious code process based on a plurality of file searching and changing actions on a storage medium of a user terminal by a malicious code blocking module mounted on the user terminal The method comprising: detecting a search behavior of a plurality of files stored in a storage medium of a user terminal by the malicious code blocking module; A second step of confirming that the search process is a first trust process registered in a trust database when a search operation for a predetermined protected file is detected during the first process; A third step of alerting the user terminal if the process is not registered in the trust database in the second process; A fourth step of storing the backup file for the corresponding file and proceeding to the corresponding process when the user terminal selects allow or exception processing for the corresponding process in the third step; A fifth step of comparing the similarity between the backup file before the process progress and the file after the process progress in the fourth process; A sixth step of comparing whether the second trust process registered in the trust database corresponds to the second trust process when the degree of similarity is equal to or greater than the damage criterion in the fifth process; And a seventh step of, if it is determined in the sixth step that the file corresponds to the second trust process, returning to the first step to proceed with a search process for the next file.

여기서, 상기 각 과정에서 악성코드차단모듈이 감지하는 각 파일에 대한 프로세스는 파일 검색, 열기, 쓰기, 삭제를 포함한 접근행위 이며, 상기 악성코드는 실행파일 또는 시스템 중요파일을 제외한 사용자 정보가 저장된 파일을 암호화시키는 랜섬웨어이며, 상기 보호대상 파일은 상기 랜섬웨어가 목표로 하는 사용자 정보가 저장된 파일로 설정하는 것을 특징으로 한다.Herein, the process for each file detected by the malicious code blocking module in each process is an accessing operation including file search, open, write, and delete, and the malicious code is a file storing user information excluding an executable file or a system important file And the protection target file is set as a file in which the target user information is stored.

또한, 상기 제7과정에 부가하여, 상기 제6과정에서 해당 파일이 제2차신뢰 프로세스에 해당되지 않을 경우 현재 프로세스를 차단한 후 사용자단말기를 통해 이를 경보하는 1단계; 상기 1단계의 사용자단말기에 의하여 현재 프로세스에 대한 예외처리가 선택될 경우 상기 신뢰데이터베이스에 제2차 신뢰프로세스로 저장하는 2단계; 및 상기 1단계의 사용자단말기에 의하여 현재 프로세스에 대한 거부가 선택될 경우 상기 제4과정에서 저장된 백업파일을 복구하는 3단계;를 더 포함하여 이루어진 것을 특징으로 한다.In addition to the seventh process, if the corresponding file does not correspond to the second trust process in the sixth process, the current process is blocked, and then the alert is notified through the user terminal; If the exception process for the current process is selected by the user terminal of the first stage, storing the trust process in the trust database as a second trust process; And restoring the backup file stored in the fourth step when rejection of the current process is selected by the user terminal of the first step.

본 발명의 목적을 달성하기 위한 다른 방법은 사용자단말기의 저장매체에 대한 다수의 파일 검색 및 변경행위 기반의 악성코드 프로세스를 상기 사용자단말기에 탑재된 악성코드차단모듈에 의하여 감지 및 차단하는 악성코드 감지 및 차단방법에 있어서, 상기 악성코드차단모듈에 의하여 사용자단말기의 저장매체에 저장된 다수의 파일에 대한 검색 행위를 감지하는 제11과정; 상기 제11과정 수행 중 기 설정된 보호대상 파일에 대한 검색행위가 감지될 경우 해당 파일에 대한 백업파일을 저장한 후 해당 프로세스를 진행하는 제12과정; 상기 제12과정에서 프로세스 진행 전의 백업파일과 프로세스 진행 후의 파일의 유사도를 비교하는 제13과정; 및 상기 제13과정에서 유사도가 훼손기준 이상일 경우 현재 프로세스를 차단하고 상기 저장된 백업파일을 복구하는 제14과정;을 포함하여 이루어진 것을 특징으로 한다.Another method for achieving the object of the present invention is to detect malicious code for detecting and blocking a malicious code process based on a plurality of file searching and changing actions on a storage medium of a user terminal by a malicious code blocking module mounted on the user terminal And a blocking method, comprising: detecting an act of searching for a plurality of files stored in a storage medium of a user terminal by the malicious code blocking module; If a search operation for a predetermined protected file is detected during the eleventh process, a backup file for the file is stored and the corresponding process is performed; A thirteenth process of comparing the similarity between the backup file before the process progress and the file after the process progress in the twelfth process; And a 14th step of blocking the current process and restoring the stored backup file if the degree of similarity is equal to or greater than the corruption criterion in step 13.

본 발명의 목적을 달성하기 위한 악성코드 감지 및 차단장치는 사용자단말기의 저장매체에 대한 다수의 파일 검색 및 변경행위 기반의 악성코드 프로세스를 상기 사용자단말기에 탑재된 악성코드차단모듈에 의하여 감지 및 차단하는 악성코드 감지 및 차단장치에 있어서, 상기 악성코드차단모듈은 상기 악성코드에 의해 수행되는 프로세스의 파일 검색행위를 모니터링하고, 해당 파일에 대한 백업 및 내용 유사도 검증을 수행하는 검증모듈; 상기 악성코드의 차단 또는 예외처리에 대한 정보를 네트워크를 통해 다른 사용자단말기 또는 악성코드차단 정책서버와 교환하는 정책모듈; 및 상기 악성코드에 의해 수행되는 프로세스의 예외처리 정보를 저장하는 데이터베이스;를 포함하여 이루어진 것을 특징으로 한다.The malicious code detection and blocking device for achieving the object of the present invention detects and blocks a malicious code process based on a plurality of file searching and changing actions on a storage medium of a user terminal by a malicious code blocking module mounted on the user terminal Wherein the malicious code blocking module monitors a file search behavior of a process performed by the malicious code and performs backup and content similarity verification of the file; A policy module for exchanging information on blocking or exception processing of the malicious code with another user terminal or malicious code blocking policy server through a network; And a database for storing exception processing information of a process performed by the malicious code.

여기서, 상기 악성코드에 의한 파일 훼손 행위 인식정보를 상기 악성코드차단모듈과 교환하며, 상기 데이터베이스의 예외처리 정보를 네트워크를 통해 상기 악성코드차단모듈과 교환하는 다른 사용자단말기 또는 악성코드차단 정책서버;를 더 포함하여 구성된 것을 특징으로 한다.Herein, another user terminal or malicious code blocking policy server exchanges the malicious code blocking module with the file malicious code detection information by the malicious code, and exchanges the exception processing information of the database with the malicious code blocking module through the network. And further comprising:

또한, 상기 악성코드차단모듈 자체의 메모리 침입, 강제종료를 포함한 공격으로부터 보호하는 자체보호모듈; 및 상기 악성코드에 의한 저장매체의 파일 검색 및 훼손 행위 발견할 경우 사용자에게 알림 및 질의하고, 사용자에 의한 선택을 대기하는 알림모듈;을 더 포함하는 것을 특징으로 한다.A self-protection module for protecting the malicious code blocking module itself from attacks including memory intrusion and forcible termination; And a notification module for notifying and querying a user when the malicious code finds a file search and a malicious behavior of the storage medium, and waits for selection by a user.

본 발명에 따른 랜섬웨어 차단시스템 및 방법은 PC 등 사용자 단말의 운영체제(OS)를 포함하여 수 많은 프로세스가 수행하는 파일 입출력 작업(I/O)과 파일 내용 변경이 정당하게 발생하는 과정에서, 종래의 랜섬웨어 행위 기반 탐지 기술대비 가장 적은 리소스를 사용하면서 오탐을 최소화할 수 있는 랜섬웨어 행위 타겟 기술을 제공할 수 있다.The system and method for blocking Ransomware according to the present invention can be applied to a file input / output operation (I / O) performed by a number of processes including an operating system (OS) of a user terminal such as a PC, It is possible to provide a technology of target of Ransomware behavior that minimizes false positives while using the least resources compared to Ransomware behavior based detection technology of Ransomware.

더구나 오탐의 확률을 최소하면서 동시에 단 한번의 미탐으로 인해 사용자 파일이 광범위하게 훼손되는 사태를 방지할 수 있다.Moreover, it is possible to prevent a situation in which a user file is extensively damaged due to a single detection while simultaneously minimizing the probability of false positives.

불특정 프로세스가 사용자 저장매체 (하드디스크, 이동디스크, 네트워크 스토리지 등)에 대해서 검색행위를 수행하면 이를 인지하는 단계, 이를 통해 검색이 진행되는 과정에서 파일 원본을 확보하고, 파일 훼손을 비교하는 단계 및 프로세스 차단, 파일복구 단계를 수행하여 모든 프로세스의 파일 변경행위를 추적할 필요없으며, 이 행위는 모든 랜섬웨어에서 반드시 수행되는 핵심동작으로 마치 아킬레스건과 같은 역할을 수행하므로 기존의 화이트리스트 및 행위기반 랜섬웨어 차단에 대해서 가장 효과적이고 신속 정확한 효과를 제공할 수 있다.Recognizing the unspecified process when performing a search operation on a user storage medium (a hard disk, a moving disk, a network storage, etc.), securing a file source and comparing file damage during the search process, It is not necessary to track the file change behavior of all processes by performing the process blocking and file recovery steps. This action is the core action that must be performed in all Ransomware, and it acts like Achilles tendon, It can provide the most effective and fast accurate effect on Ransomware interception.

또한 종래의 솔루션들이 오탐 발생시, 사용자가 임의로 해당 프로세스를 찾아서 예외처리(화이트리스트 작성) 하는데 반해, 본 발명은 검색시점에 해당 프로세스에 대한 실시간 사용자 질의 및 의견 기회를 부여하여, 업무의 중단없이 예외처리 및 차단을 실시할 수 있고, 이렇게 수집된 정보가 누적될수록 보다 신속하고 정확한 랜섬웨어 차단이 가능해지며 본 발명 시스템이 설치된 사용자 단말간 정보 교류를 통해 정교한 차단 시스템으로 진화할 수 있는 효과가 있다.In contrast to the conventional solutions in which an error occurs, a user arbitrarily searches for a corresponding process and performs an exception process (whitelist), the present invention provides a real-time user query and an opportunity for comment on the process at the time of searching, Processing, and blocking can be performed. As the collected information accumulates, more rapid and accurate Raman-software interception becomes possible, and it is possible to evolve into a sophisticated blocking system through information exchange between user terminals installed with the present invention system.

도 1은 본 발명의 실시예에 따른 랜섬웨어 차단 시스템의 구성도이고,
도 2는 본 발명의 실시예에 따른 랜섬웨어 차단 모듈 운영과정을 개략적으로 도시한 도이고,
도 3은 본 발명의 실시예에 따른 랜섬웨어 차단과정의 흐름도이고,
도 4는 본 발명의 다른 실시예에 따른 랜섬웨어 차단과정의 흐름도이다.FIG. 1 is a configuration diagram of a Raman-software interception system according to an embodiment of the present invention,
FIG. 2 is a view schematically showing a process of operating a Raman-software interception module according to an embodiment of the present invention,
FIG. 3 is a flowchart illustrating a process of blocking the RAN firmware, according to an embodiment of the present invention,
FIG. 4 is a flowchart illustrating a process of blocking the RAN firmware in accordance with another embodiment of the present invention.

상술한 본 발명의 특징 및 효과는 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. BRIEF DESCRIPTION OF THE DRAWINGS The above and other features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings, It will be possible.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는 바, 특정 실시 예들을 예시하고 본문에 상세하게 설명하고자 한다. While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail.

그러나, 이는 본 발명을 특정한 개시형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. It should be understood, however, that the invention is not intended to be limited to the particular forms disclosed, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

본 출원에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention.

첨부된 도면을 참조하여 본 발명의 양호한 실시예에 대해서 설명한다. 본 발명의 바람직한 실시예에 따른 악성코드 감지 및 차단 방법 및 그 장치에 대하여 첨부된 도면을 참고하여 상세히 설명하면 다음과 같다.Preferred embodiments of the present invention will be described with reference to the accompanying drawings. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS A malicious code detection and blocking method and apparatus according to a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 실시예에 따른 악성코드 감지 및 차단장치의 구성도로서, 악성코드 감지 및 차단장치는 운영체제(OS), 시스템파일 또는 각종 문서, 사진, 동영상, 어플리케이션 파일 등을 저장하는 하드디스크, 이동매체, 네트워크 공유폴더 및 스토리지 등의 저장매체(120)와, 상기 저장매체(120)에 대한 다수의 파일 검색 및 변경행위 기반의 악성코드 프로세스를 검진 및 차단하는 악성코드차단모듈(110)이 탑재된 사용자단말기(100)와, 상기 사용자단말기(100)와 프로세스 예외처리 정보를 네트워크를 통해 교환하는 다른 사용자단말기 또는 악성코드차단 정책서버(101)로 구성된다.1 is a block diagram of a malicious code detection and blocking apparatus according to an embodiment of the present invention. The malicious code detection and blocking apparatus includes a hard disk for storing an operating system (OS), a system file or various documents, pictures, A malicious code blocking module 110 for detecting and blocking a malicious code process based on a plurality of file searching and changing actions for the storage medium 120; a storage medium 120 such as a disk, a moving medium, a network shared folder and storage; And another user terminal or malicious code blocking policy server 101 which exchanges process exception processing information with the user terminal 100 through a network.

상기 악성코드차단모듈(110)은 상기 악성코드에 의해 수행되는 프로세스의 파일 검색행위를 모니터링하고, 해당 파일에 대한 백업 및 내용 유사도 검증을 수행하는 검증모듈(111)과, 상기 악성코드의 차단 또는 예외처리에 대한 정보를 네트워크를 통해 다른 사용자단말기 또는 악성코드차단 정책서버와 교환하는 정책모듈(112)과, 상기 악성코드에 의한 저장매체의 파일 검색 및 훼손 행위 발견할 경우 사용자에게 알림 및 질의하고, 사용자에 의한 선택을 대기하는 알림모듈(113)과, 상기 악성코드에 의해 수행되는 프로세스의 예외처리 정보를 저장하는 데이터베이스(DB)(114)와, 상기 악성코드차단모듈(110) 자체의 메모리 침입, 강제종료를 포함한 공격으로부터 보호하는 자체보호모듈(115)로 구성된다.The malicious code blocking module 110 includes a verification module 111 for monitoring a file search behavior of a process performed by the malicious code and performing backup and content similarity verification of the file, A policy module 112 for exchanging information about exception processing with another user terminal or a malicious code blocking policy server through a network; and a notification module for notifying and querying a user when a malicious code detects a malicious code file search / A database (DB) 114 for storing exception processing information of a process performed by the malicious code, a memory (DB) 114 of the malicious code blocking module 110 itself, And a self-protection module 115 for protecting against attacks including intrusion and forcible termination.

도 2를 참조하면, 상기 사용자단말기(100)의 악성코드차단모듈(110)과 악성코드에 의한 파일 훼손 행위, 차단정보, 인식정보 등을 교환하며, 상기 데이터베이스(114)의 예외처리 정보를 네트워크를 통해 상기 악성코드차단모듈(110)과 교환하는 다른 사용자단말기 또는 악성코드차단 정책서버(101)가 추가 구성이 가능하다.Referring to FIG. 2, the malicious code blocking module 110 of the user terminal 100 exchanges malicious code damage, blocking information, recognition information, and the like, Another user terminal or malicious code blocking policy server 101 that exchanges with the malicious code blocking module 110 through the firewall 101 may be additionally configured.

여기서, 상기 악성코드는 실행파일 또는 시스템 중요파일을 제외한 사용자 정보가 저장된 파일을 암호화시키는 랜섬웨어를 포함하고 있다.The malicious code includes random software for encrypting a file storing user information excluding an executable file or a system important file.

이와 같이 구성된 본 발명의 실시예에 따른 악성코드 감지 및 차단장치 및 과정을 첨부된 도면을 참고하여 보다 상세히 설명하면 다음과 같다. The malicious code detection and blocking apparatus and process according to the embodiment of the present invention will be described in detail with reference to the accompanying drawings.

먼저, 사용자단말기(100)에 랜섬웨어 악성코드 프로세스가 실행되면, 사용자 단말기에 연결된 모든 저장매체 (하드디스크, 이동매체, 네트워크 공유폴더 및 스토리지 등) 에 대해서 파일에 대한 검색이 선행되어야 하므로 해당 매체에 대해서 검색작업을 수행하게 된다.First, when a malicious code process is executed in the user terminal 100, a search for files must be performed for all storage media (hard disk, moving media, network shared folder, storage, etc.) connected to the user terminal. The search operation is performed.

모든 검색작업은 운영체제(OS)의 사용자레벨(USER) 서비스와 커널(KERNEL) 레벨 서비스로 분리되며 본 발명의 검증모듈(10)은 사용자와 커널레벨 서비스에 진입하여 해당 프로세스의 검색 서비스를 모니터링하게 된다.All the search operations are separated into user level (USER) service and kernel (KERNEL) level service of the operating system (OS), and the verification module 10 of the present invention enters the user and the kernel level service and monitors the search service of the corresponding process do.

해당 랜섬웨어의 검색행위를 감지하게되면(S100) 검증모듈(111)은 검색행위의 시작시점부터 검색 종료시점까지 행위를 모니터링하게 되며, 검색순서에 따라 현재 파일인 N(N>0)번째 파일에 대한 검색행위가 발생할 경우(S110), 해당 파일이 랜섬웨어가 목표로 하는 대상파일인지 확인한다(S120).(S100), the verification module 111 monitors the action from the start point of the search action to the end point of the search. In accordance with the search order, the N (N > 0) (S110), it is determined whether the file is a target file (step S120).

대부분의 랜섬웨어는 실행파일이나, 시스템 중요파일 등은 암호화시키지 않고, 사용자의 정보가 담긴 파일들을 암호화시키므로 악성코드차단모듈(110)은 정책모듈(112) 또는 미리 구성된 정책파일로부터 보호대상 파일을 식별한다.Most malicious code blocking module 110 encrypts the protection target file from the policy module 112 or the pre-configured policy file because the most malicious code blocking module 110 encrypts the files containing the user's information without encrypting executable files or system critical files. .

현재 프로세스 파일이 보호대상 파일일 경우 현재 검색행위를 수행하는 프로세스가 1차 신뢰 프로세스인지 상기 예외처리DB(114)를 통해 확인하는 단계(S130)를 거쳐, 1차 신뢰된 프로세스일 경우 현재 파일(N번째 파일)에 대한 백업파일 (N*) 를 확보한다(S170).If the current process file is a protection target file, it is checked whether the process performing the current search process is a primary trust process through the exception handling DB 114 (S130). If the process is a primary trusted process, Nth file) (step S 170).

현재 파일(N)에 대한 프로세스가 신뢰 프로세스가 아닐 경우, 알림모듈(113)을 통해 사용자에게 해당 프로세스 및 검색파일을 제시하고 이 작업을 허용할 것인지, 차단할것인지, 또는 예외처리할 것인지 질의한다(S140).If the process for the current file N is not a trust process, the process notifies the user of the process and the search file via the notification module 113, and inquires whether to permit, block, or handle an exception S140).

이 단계에서 사용자가 프로세스 실행을 거부하면 해당 프로세스를 차단한다(S150).If the user denies the execution of the process at this stage, the process is blocked (S150).

사용자가 해당 프로세스의 예외처리를 선택하면 1차 신뢰DB(114)에 저장하고(S160) 다음 단계로 진행한다.If the user selects an exception process of the process, the process is stored in the primary trust DB 114 (S160) and the process proceeds to the next step.

검색작업이 진행되어 다음 파일인 N+1번째 파일에 대한 검색작업이 동기화 되거나(S180) 또는 현재 검색대상이 된 N번째 파일에 대해 열기, 쓰기, 삭제등의 파일작업이 발생할 경우(S190) 이 파일과 백업 N* 파일과의 유사도를 비교하고 훼손에 해당하는 기준을 초과하는지 검증한다(S200).If a search operation is performed and the search operation for the (N + 1) th file as the next file is synchronized (S180), or if a file operation such as opening, writing, or deleting occurs for the Nth file currently being searched (S190) File is compared with the backup N * file and verified whether the criterion corresponding to the damage is exceeded (S200).

유사도는 N파일의 형태와 종류에 따라 달라지며, 특정 파일 헤더정보가 없는 경우 퍼지해쉬(Fuzzy Hash) 기법 또는 단순비교기법, 특정 파일 헤더정보가 있는 경우, 해당 헤더의 변경되는 파일별 변수정보를 제외한 고정 프레임 정보를 비교하게 된다. The similarity depends on the type and the type of the N file. If there is no specific file header information, a fuzzy hash technique or a simple comparison technique, and if there is a specific file header information, And compares the excluded fixed frame information.

예를 들어, MS오피스 파일의 경우 2003버전의 포맷은 일반 압축파일 포맷을 사용하고 2007버전 이상 포맷은 압축파일에 XML 헤더정보 방식을 사용하는 등 각 파일 헤더정보와 해당 파일 내용의 유사도 판단 기준은 별도 정책파일을 통해 조절될 수 있다.For example, in the case of MS Office files, the 2003 version uses the standard compressed file format, and the 2007 version and above use the XML header information format in the compressed file. It can be controlled via a separate policy file.

상기와 같이 파일 유사도 검증에서 훼손으로 인식되면, 해당 프로세스가 2차 신뢰 프로세스에 해당하는지 비교하게 된다(S210).If it is recognized that the file similarity verification is performed as described above, it is checked whether the process corresponds to the second trust process (S210).

참고로, 본 발명의 실시예에 있어서, 1차 신뢰 프로세스는 검색행위에 대한 허용여부를 판별하는 것으로 정의하고, 2차 신뢰 프로세스는 파일 유사도 검증에 대한 허용여부를 판별하는 것으로 정의하는 것이 바람직하다.For reference, in the embodiment of the present invention, it is preferable that the primary trust process is defined as discriminating whether or not to permit a search action, and the secondary trust process is defined to discriminate whether or not to permit file similarity verification .

만약, 상기한 파일 유사도 검증에서 훼손이 기준을 초과하지 않았을 경우에는 사용자 알림이나 예외처리, 차단 등의 행위 없이 해당 프로세스 행위를 허용한다.If the above-mentioned file similarity verification does not exceed the criterion, the corresponding process operation is permitted without user notification, exception processing, blocking, and the like.

만약, 상기한 파일 유사도 검증에서 훼손이 기준을 초과하고, 2차 신뢰프로세스에 해당할 경우 다음 검색 파일(N=N+1)에 대한 프로세스를 진행하며, 2차 신뢰 프로세스에 해당하지 않을 경우 강제적으로 해당 프로세스를 차단 또는 중지시키게 되고(S220), 이때 사용자에게 알림모듈(113)을 통해 해당 프로세스의 예외처리 여부를 질의한다(S230).If the corruption exceeds the criterion in the file similarity verification described above and corresponds to the second trust process, the process proceeds to the next search file (N = N + 1). If the corruption does not correspond to the second trust process, (S220). At this time, the user is inquired whether or not to process the exception of the process through the notification module 113 (S230).

만약, 사용자가 예외처리를 선택할 경우 해당 프로세스 정보를 예외처리 DB(114)에 2차 신뢰프로세스로 기록하고(S240), 이후 더 이상의 프로세스는 진행하지 않는다.If the user selects an exception process, the process information is recorded in the exception processing DB 114 as a secondary trust process (S240), and no further process is performed thereafter.

그러나 만약 사용자에 의한 예외처리가 이루어지지 않을 경우 차단된 프로세스에 의해 훼손된 파일(N)을 백업했던 원본파일(N*)로 복구한다(S250).However, if the exception processing by the user is not performed, the damaged file N is recovered to the original file N * that was backed up in step S250.

이때, 상기 원본파일에 대한 백업파일(N*) 을 임시보관하는 장소는 악성코드차단모듈(110)에서 임의의 저장공간을 할당하고, 다른 악성코드의 접근을 차단하여 해당 파일에 대한 타 프로세스의 접근을 원천 차단하여 보호한다.At this time, the location where the backup file (N *) for the original file is temporarily stored is determined by allocating an arbitrary storage space in the malicious code blocking module 110, blocking access of other malicious code, Protect access by blocking the source.

도 4는 본 발명의 다른 실시예로, 상기 도 3의 바람직한 실시예에서, 정책모듈에 의한 네트워크를 통한 랜섬차단 정책정보교환 및 알림모듈을 통한 사용자 알림 및 질의와 사용자 선택 등의 단계를 생략할 수 있다.FIG. 4 shows another embodiment of the present invention. In the preferred embodiment of FIG. 3, the steps of exchanging the Ransom block policy information through the network by the policy module and the step of notifying the user through the notification module, .

즉, 사용자단말기(100)에 랜섬웨어 악성코드 프로세스가 실행됨에 따라 사용자 단말기에 연결된 모든 저장매체(120)의 저장된 파일에 대한 검색작업을 수행하게 되며, 만약 해당 랜섬웨어의 검색행위를 감지하게되면(S300) 검증모듈(111)은 검색행위의 시작시점부터 검색 종료시점까지 행위를 모니터링하게 되며, 검색순서에 따라 현재 파일인 N(N>0)번째 파일에 대한 검색행위가 발생할 경우(S310), 해당 파일이 랜섬웨어가 목표로 하는 대상파일인지 확인한다(S320).That is, when a malicious code process is executed on the user terminal 100, a search operation is performed for all files stored in all the storage media 120 connected to the user terminal. If the malicious code process is detected, (S300) The verification module 111 monitors the operation from the start time of the search operation to the end of the search. When the search operation for the N (N > 0) , And confirms that the file is a target file targeted by the RANemware (S320).

즉, 악성코드차단모듈(110)은 정책모듈(112) 또는 미리 구성된 정책파일로부터 보호대상 파일을 식별한다.That is, the malicious code blocking module 110 identifies the protection target file from the policy module 112 or the pre-configured policy file.

현재 프로세스 파일이 보호대상 파일일 경우 현재 검색행위를 수행하는 프로세스가 1차 신뢰 프로세스인지 상기 예외처리DB(114)를 통해 확인하는 단계(S330)를 거쳐, 1차 신뢰프로세스가 아닐 경우에는 프로세스를 차단한다(S340).If the current process file is a protection target file, it is checked whether the process performing the current search process is a primary trust process (S330) through the exception handling DB 114. If the process is not the primary trust process, (S340).

만약, 1차 신뢰된 프로세스일 경우 현재 파일(N번째 파일)에 대한 백업파일 (N*) 를 확보한다(S350).If the process is the first trusted process, the backup file N * for the current file (Nth file) is obtained (S350).

검색작업이 진행되어 다음 파일인 N+1번째 파일에 대한 검색작업이 동기화 되거나(S360) 또는 현재 검색대상이 된 N번째 파일에 대해 열기, 쓰기, 삭제등의 파일작업이 발생할 경우(S370) 이 파일과 백업 N* 파일과의 유사도를 비교하고 훼손에 해당하는 기준을 초과하는지 검증한다(S380).When a search operation is performed and a search operation for an (N + 1) th file as a next file is synchronized (S360), or when a file operation such as opening, writing, or deleting occurs for an Nth file currently being searched (S370) File and the backup N * file and verifies whether the criterion corresponding to the corruption is exceeded (S380).

유사도는 상기 도 3의 'S200' 단계에 대한 설명과 동일하므로, 상세한 설명은 이를 참조한다. The similarity is the same as the description of the 'S200' step of FIG. 3, and therefore, a detailed description thereof will be referred to.

상기와 같이 파일 유사도 검증에서 훼손으로 인식되면, 해당 프로세스가 2차 신뢰 프로세스에 해당하는지 비교하게 되며(S390), 신뢰프로세스에 해당할 경우 다음 검색 파일(N=N+1)에 대한 프로세스를 진행한다.If the file is recognized as being damaged in the file similarity verification as described above, it is checked whether the corresponding process corresponds to the second trust process (S390). If it corresponds to the trust process, the process for the next search file (N = N + 1) do.

참고로, 본 발명의 실시예에 있어서, 1차 신뢰 프로세스는 검색행위에 대한 허용여부를 판별하는 것으로 정의하고, 2차 신뢰 프로세스는 파일 유사도 검증에 대한 허용여부를 판별하는 것으로 정의하는 것이 바람직하다.For reference, in the embodiment of the present invention, it is preferable that the primary trust process is defined as discriminating whether or not to permit a search action, and the secondary trust process is defined to discriminate whether or not to permit file similarity verification .

만약, 상기한 파일 유사도 검증에서 훼손이 기준을 초과하지 않았을 경우에는 사용자 알림이나 예외처리, 차단 등의 행위 없이 해당 프로세스 행위를 허용한다.If the above-mentioned file similarity verification does not exceed the criterion, the corresponding process operation is permitted without user notification, exception processing, blocking, and the like.

만약, 상기한 파일 유사도 검증에서 훼손이 기준을 초과하고, 2차 신뢰프로세스에 해당할 경우 다음 검색 파일(N=N+1)에 대한 프로세스를 진행하며, 2차 신뢰 프로세스에 해당하지 않을 경우 강제적으로 해당 프로세스를 차단 또는 중지시키게 되고(S400), 이때 사용자에게 알림모듈(113)을 통해 해당 프로세스의 예외처리 여부를 질의한다(S410).If the corruption exceeds the criterion in the file similarity verification described above and corresponds to the second trust process, the process proceeds to the next search file (N = N + 1). If the corruption does not correspond to the second trust process, (S400). At this time, the user is inquired of whether or not to process the exception of the process through the notification module 113 (S410).

만약, 사용자가 예외처리를 선택할 경우 해당 프로세스 정보를 예외처리 DB(114)에 2차 신뢰프로세스로 기록하고(S420), 이후 더 이상의 프로세스는 진행하지 않는다.If the user selects an exception process, the process information is recorded in the exception processing DB 114 as a secondary trust process (S420), and no further process is performed thereafter.

그러나 만약 사용자에 의한 예외처리가 이루어지지 않을 경우 상기 차단 또는 중지된 프로세스에 의해 훼손된 파일(N)을 백업했던 원본파일(N*)로 복구한다(S430).However, if the exception process is not performed by the user, the damaged file N is recovered to the original file N * that was backed up in step S430.

이상과 같이, 본 발명의 실시예에 따른 악성코드 감지 및 차단방법은 비록 한정된 실시예와 도면에 의해 설명되었으나 이 실시예에 의해 한정되지 않으며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술 사상과 아래에 기재될 특허청구범위의 균등범위 내에서 다양한 수정 및 변형 가능함은 물론이다. As described above, the malicious code detection and blocking method according to the embodiment of the present invention has been described with reference to the limited embodiments and drawings, but the present invention is not limited to these embodiments. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.

100 : 사용자단말기 101 : 정책서버
110 : 악성코드차단모듈 120 : 저장매체
111 : 검증모듈 112 : 정책모듈
113 : 알림모듈 114 : 예외처리DB
115 : 자체보호모듈100: user terminal 101: policy server
110: malicious code blocking module 120: storage medium
111: verification module 112: policy module
113: Notification module 114: Exception processing DB
115: self protection module

Claims (17)

사용자단말기의 저장매체에 대한 다수의 파일 검색 및 변경행위 기반의 악성코드 프로세스를 상기 사용자단말기에 탑재된 악성코드차단모듈에 의하여 감지 및 차단하는 악성코드 감지 및 차단방법에 있어서,
상기 악성코드차단모듈에 의하여 사용자단말기의 저장매체에 저장된 다수의 파일에 대한 검색 행위를 감지하는 제1과정;
상기 제1과정 수행 중 기 설정된 보호대상 파일에 대한 검색행위가 감지될 경우, 해당 검색행위 프로세스가 신뢰데이터베이스에 등록된 제1차 신뢰프로세스인지 확인하는 제2과정;
상기 제2과정에서 신뢰데이터베이스에 등록되지 않은 프로세스인 경우 사용자단말기로 경보하는 제3과정;
상기 제3과정에서 사용자단말기가 해당 프로세스에 대한 허용 또는 예외처리가 선택될 경우 해당 파일에 대한 백업파일을 저장한 후 해당 프로세스를 진행하는 제4과정;
상기 제4과정에서 프로세스 진행 전의 백업파일과 프로세스 진행 후의 파일의 유사도를 비교하는 제5과정; 및
상기 제5과정에서 유사도가 훼손기준 이상일 경우 상기 신뢰데이터베이스에 등록된 제2차신뢰 프로세스인지에 해당되는지를 비교하는 제6과정;
상기 제6과정에서 해당 파일이 제2차 신뢰프로세스에 해당될 경우 다음 파일에 대한 검색 프로세스를 진행하도록 상기 제1과정으로 리턴하는 제7과정;을 포함하여 이루어진 것을 특징으로 하는 악성코드 감지 및 차단방법.A malicious code detection and blocking method for detecting and blocking a malicious code process based on a plurality of file searching and changing actions on a storage medium of a user terminal by a malicious code blocking module mounted on the user terminal,
A first step of detecting a search operation for a plurality of files stored in a storage medium of the user terminal by the malicious code blocking module;
A second step of confirming that the search process is a first trust process registered in a trust database when a search operation for a predetermined protected file is detected during the first process;
A third step of alerting the user terminal if the process is not registered in the trust database in the second process;
A fourth step of storing the backup file for the corresponding file and proceeding to the corresponding process when the user terminal selects allow or exception processing for the corresponding process in the third step;
A fifth step of comparing the similarity between the backup file before the process progress and the file after the process progress in the fourth process; And
A sixth step of comparing whether the second trust process registered in the trust database corresponds to the second trust process when the degree of similarity is equal to or greater than the damage criterion in the fifth process;
And returning to the first step to proceed with a search process for the next file if the file corresponds to the second trust process in the sixth step. Way. 제1항에 있어서,
상기 각 과정에서 악성코드차단모듈이 감지하는 각 파일에 대한 프로세스는 파일 검색, 열기, 쓰기, 삭제를 포함한 접근행위인 것을 특징으로 하는 악성코드 감지 및 차단방법. The method according to claim 1,
Wherein the process for each file detected by the malicious code blocking module in each process is an accessing operation including file search, open, write, and delete. 제1항에 있어서,
상기 악성코드는 실행파일 또는 시스템 중요파일을 제외한 사용자 정보가 저장된 파일을 암호화시키는 랜섬웨어 이며,
상기 보호대상 파일은 상기 랜섬웨어가 목표로 하는 사용자 정보가 저장된 파일로 설정하는 것을 특징으로 하는 악성코드 감지 및 차단방법.The method according to claim 1,
The malicious code is Ransomware which encrypts a file storing user information excluding an executable file or a system important file,
Wherein the protection target file is set as a file in which the target user information is stored. 제1항에 있어서,
상기 악성코드차단모듈은 사용자단말기의 운영체제의 사용자레벨 서비스와 커널레벨 서비스에 진입하여 해당 프로세스의 검색 서비스를 모니터링 하는 것을 특징으로 하는 악성코드 감지 및 차단방법.The method according to claim 1,
Wherein the malicious code blocking module enters the user level service and the kernel level service of the operating system of the user terminal and monitors the search service of the corresponding process. 제1항에 있어서,
상기 제4과정은 상기 사용자단말기에 의하여 현재 보호대상 파일에 대한 프로세스를 예외처리로 선택될 경우 상기 신뢰데이터베이스에 제1차 신뢰 프로세스로 저장하는 것을 특징으로 하는 악성코드 감지 및 차단방법.The method according to claim 1,
Wherein the fourth step stores the process as a first trust process in the trust database when the process for the current protection target file is selected as an exception process by the user terminal. 제1항에 있어서,
상기 제4과정은 상기 사용자단말기에 의하여 현재 보호대상 파일에 대한 프로세스를 거부로 선택될 경우 현재 프로세스를 차단하는 것을 특징으로 하는 악성코드 감지 및 차단방법.The method according to claim 1,
Wherein the fourth step is to block the current process when rejecting the process for the current protection target file by the user terminal. 제1항에 있어서,
상기 제5과정에서 상기 유사도 비교는 상기 파일의 형태와 종류에 따라 달라지며, 특정 파일 헤더정보가 없는 경우에는 퍼지해쉬(Fuzzy Hash) 기법 또는 단순비교기법을 이용하여 비교하며, 특정 파일 헤더정보가 있는 경우에는 해당 헤더의 변경되는 파일별 변수정보를 제외한 고정 프레임 정보를 비교하되,
상기 파일 헤더정보와 해당 파일 내용의 유사도 판단기준은 별도의 정책파일을 통해 조절되는 것을 특징으로 하는 악성코드 감지 및 차단방법.The method according to claim 1,
In the fifth step, the similarity comparison is performed according to the type and the type of the file. When there is no specific file header information, the comparison is made using a fuzzy hash (Fuzzy Hash) technique or a simple comparison technique. If there is a header, the fixed frame information is compared with the header information except for the changed file-specific variable information,
Wherein the similarity determination criterion between the file header information and the corresponding file content is adjusted through a separate policy file. 제1항에 있어서,
상기 제7과정에 부가하여, 상기 제6과정에서 해당 파일이 제2차신뢰 프로세스에 해당되지 않을 경우 현재 프로세스를 차단한 후 사용자단말기를 통해 이를 경보하는 1단계;
상기 1단계의 사용자단말기에 의하여 현재 프로세스에 대한 예외처리가 선택될 경우 상기 신뢰데이터베이스에 제2차 신뢰프로세스로 저장하는 2단계; 및
상기 1단계의 사용자단말기에 의하여 현재 프로세스에 대한 거부가 선택될 경우 상기 제4과정에서 저장된 백업파일을 복구하는 3단계;를 더 포함하여 이루어진 것을 특징으로 하는 악성코드 감지 및 차단방법.The method according to claim 1,
If the file does not correspond to the second trust process in the sixth process, blocking the current process and alerting the user through the user terminal;
If the exception process for the current process is selected by the user terminal of the first stage, storing the trust process in the trust database as a second trust process; And
And if the rejection of the current process is selected by the user terminal of the first stage, recovering the backup file stored in the fourth process. 사용자단말기의 저장매체에 대한 다수의 파일 검색 및 변경행위 기반의 악성코드 프로세스를 상기 사용자단말기에 탑재된 악성코드차단모듈에 의하여 감지 및 차단하는 악성코드 감지 및 차단방법에 있어서,
상기 악성코드차단모듈에 의하여 사용자단말기의 저장매체에 저장된 다수의 파일에 대한 검색 행위를 감지하는 제11과정;
상기 제11과정 수행 중 기 설정된 보호대상 파일에 대한 검색행위가 감지될 경우 해당 파일에 대한 백업파일을 저장한 후 해당 프로세스를 진행하는 제12과정;
상기 제12과정에서 프로세스 진행 전의 백업파일과 프로세스 진행 후의 파일의 유사도를 비교하는 제13과정; 및
상기 제13과정에서 유사도가 훼손기준 이상일 경우 현재 프로세스를 차단하고 상기 저장된 백업파일을 복구하는 제14과정;을 포함하여 이루어진 것을 특징으로 하는 악성코드 감지 및 차단방법. A malicious code detection and blocking method for detecting and blocking a malicious code process based on a plurality of file searching and changing actions on a storage medium of a user terminal by a malicious code blocking module mounted on the user terminal,
An eleventh process of detecting a search operation for a plurality of files stored in a storage medium of the user terminal by the malicious code blocking module;
If a search operation for a predetermined protected file is detected during the eleventh process, a backup file for the file is stored and the corresponding process is performed;
A thirteenth process of comparing the similarity between the backup file before the process progress and the file after the process progress in the twelfth process; And
14. The method of claim 13, wherein the step of blocking the current process and restoring the stored backup file when the degree of similarity is equal to or greater than the corruption criterion. 제9항에 있어서,
상기 악성코드차단모듈이 감지하는 각 파일에 대한 프로세스는 파일 검색, 열기, 쓰기, 삭제를 포함한 접근행위인 것을 특징으로 하는 악성코드 감지 및 차단방법. 10. The method of claim 9,
Wherein the process for each file detected by the malicious code blocking module is an accessing operation including file search, open, write, and delete. 제9항에 있어서,
상기 악성코드는 실행파일 또는 시스템 중요파일을 제외한 사용자 정보가 저장된 파일을 암호화시키는 랜섬웨어 이며,
상기 보호대상 파일은 상기 랜섬웨어가 목표로 하는 사용자 정보가 저장된 파일로 설정하는 것을 특징으로 하는 악성코드 감지 및 차단방법.10. The method of claim 9,
The malicious code is Ransomware which encrypts a file storing user information excluding an executable file or a system important file,
Wherein the protection target file is set as a file in which the target user information is stored. 사용자단말기의 저장매체에 대한 다수의 파일 검색 및 변경행위 기반의 악성코드 프로세스를 상기 사용자단말기에 탑재된 악성코드차단모듈에 의하여 감지 및 차단하는 악성코드 감지 및 차단장치에 있어서,
상기 악성코드차단모듈은,
상기 악성코드에 의해 수행되는 프로세스의 파일 검색행위를 모니터링하고, 해당 파일에 대한 백업 및 내용 유사도 검증을 수행하는 검증모듈;
상기 악성코드의 차단 또는 예외처리에 대한 정보를 네트워크를 통해 다른 사용자단말기 또는 악성코드차단 정책서버와 교환하는 정책모듈; 및
상기 악성코드에 의해 수행되는 프로세스의 예외처리 정보를 저장하는 데이터베이스;를 포함하여 이루어지고,
상기 악성코드에 의한 파일 훼손 행위 인식정보를 상기 악성코드차단모듈과 교환하며, 상기 데이터베이스의 예외처리 정보를 네트워크를 통해 상기 악성코드차단모듈과 교환하는 다른 사용자단말기 또는 악성코드차단 정책서버;를 더 포함하여 구성된 것을 특징으로 하는 악성코드 감지 및 차단장치.A malicious code detection and blocking device for detecting and blocking a malicious code process based on a plurality of file search and change behavior based on a storage medium of a user terminal by a malicious code blocking module mounted on the user terminal,
The malicious code blocking module includes:
A verification module for monitoring a file search behavior of a process performed by the malicious code and performing backup and content similarity verification of the file;
A policy module for exchanging information on blocking or exception processing of the malicious code with another user terminal or malicious code blocking policy server through a network; And
And a database for storing exception processing information of a process performed by the malicious code,
A malicious code blocking policy server for exchanging malicious code blocking information with the malicious code blocking module and for exchanging exception processing information of the database with the malicious code blocking module via the network, And the malicious code detection and blocking device. 삭제delete 제12항에 있어서,
상기 검증모듈은 사용자단말기의 운영체제의 사용자레벨 서비스와 커널레벨 서비스에 진입하여 해당 프로세스의 검색 서비스를 모니터링하며,
프로세스를 진행하는 해당 파일에 대한 프로세스 이전의 백업파일을 저장하고, 프로세스 진행 후의 파일의 유사도를 비교 및 검증하는 것을 특징으로 하는 악성코드 감지 및 차단장치.13. The method of claim 12,
The verification module enters a user level service and a kernel level service of an operating system of a user terminal and monitors a search service of the corresponding process,
Wherein the backup file before the process for the file to be processed is stored and the similarity of the file after the process is compared and verified. 제12항에 있어서,
상기 악성코드는 실행파일 또는 시스템 중요파일을 제외한 사용자 정보가 저장된 파일을 암호화시키는 랜섬웨어인 것을 특징으로 하는 악성코드 감지 및 차단장치. 13. The method of claim 12,
Wherein the malicious code is a random software that encrypts a file storing user information excluding an executable file or a system critical file. 제12항에 있어서,
상기 악성코드차단모듈 자체의 메모리 침입, 강제종료를 포함한 공격으로부터 보호하는 자체보호모듈;을 더 포함하는 것을 특징으로 하는 악성코드 감지 및 차단장치.13. The method of claim 12,
And a self-protection module for protecting the malicious code blocking module from attacks including memory intrusion and forcible termination of the malicious code blocking module itself. 제12항에 있어서,
상기 악성코드에 의한 저장매체의 파일 검색 및 훼손 행위 발견할 경우 사용자에게 알림 및 질의하고, 사용자에 의한 선택을 대기하는 알림모듈;을 더 포함하는 것을 특징으로 하는 악성코드 감지 및 차단장치. 13. The method of claim 12,
Further comprising a notification module for notifying and querying a user when the malicious code finds a file search and tampering behavior of the storage medium, and for waiting for selection by a user.
KR1020170142506A 2017-10-30 2017-10-30 Method for Detecting and Preventing Malware and Apparatus thereof KR101937325B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170142506A KR101937325B1 (en) 2017-10-30 2017-10-30 Method for Detecting and Preventing Malware and Apparatus thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170142506A KR101937325B1 (en) 2017-10-30 2017-10-30 Method for Detecting and Preventing Malware and Apparatus thereof

Publications (1)

Publication Number Publication Date
KR101937325B1 true KR101937325B1 (en) 2019-01-14

Family

ID=65027769

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170142506A KR101937325B1 (en) 2017-10-30 2017-10-30 Method for Detecting and Preventing Malware and Apparatus thereof

Country Status (1)

Country Link
KR (1) KR101937325B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113536310A (en) * 2021-07-08 2021-10-22 浙江网商银行股份有限公司 Code file processing method, code file checking device and electronic equipment
CN114611101A (en) * 2022-03-17 2022-06-10 杭州云深科技有限公司 Data processing system for acquiring application software trend
WO2022211511A1 (en) * 2021-03-31 2022-10-06 계명대학교 산학협력단 Detection method of ransomware, restoration method, and computing device for performing such methods
KR20220135648A (en) * 2021-03-31 2022-10-07 계명대학교 산학협력단 Method of detecting for ransomeware, and computing device for performing the method
CN116628693A (en) * 2023-07-25 2023-08-22 积至网络(北京)有限公司 Lesu software defense method based on preconfigured letters
CN114611101B (en) * 2022-03-17 2024-04-26 杭州云深科技有限公司 Data processing system for acquiring trend of application software

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101565590B1 (en) 2015-01-07 2015-11-04 (주) 바이러스체이서 A system for expanding the security kernel with system for privilege flow prevention based on white list

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101565590B1 (en) 2015-01-07 2015-11-04 (주) 바이러스체이서 A system for expanding the security kernel with system for privilege flow prevention based on white list

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022211511A1 (en) * 2021-03-31 2022-10-06 계명대학교 산학협력단 Detection method of ransomware, restoration method, and computing device for performing such methods
KR20220135648A (en) * 2021-03-31 2022-10-07 계명대학교 산학협력단 Method of detecting for ransomeware, and computing device for performing the method
KR102494442B1 (en) * 2021-03-31 2023-02-06 계명대학교 산학협력단 Method of detecting for ransomeware, and computing device for performing the method
CN113536310A (en) * 2021-07-08 2021-10-22 浙江网商银行股份有限公司 Code file processing method, code file checking device and electronic equipment
CN114611101A (en) * 2022-03-17 2022-06-10 杭州云深科技有限公司 Data processing system for acquiring application software trend
CN114611101B (en) * 2022-03-17 2024-04-26 杭州云深科技有限公司 Data processing system for acquiring trend of application software
CN116628693A (en) * 2023-07-25 2023-08-22 积至网络(北京)有限公司 Lesu software defense method based on preconfigured letters
CN116628693B (en) * 2023-07-25 2023-09-29 积至网络(北京)有限公司 Lesu software defense method based on preconfigured letters

Similar Documents

Publication Publication Date Title
EP3502943B1 (en) Method and system for generating cognitive security intelligence for detecting and preventing malwares
EP3316166B1 (en) File-modifying malware detection
US10375086B2 (en) System and method for detection of malicious data encryption programs
KR101937325B1 (en) Method for Detecting and Preventing Malware and Apparatus thereof
JP5326062B1 (en) Non-executable file inspection apparatus and method
US8356354B2 (en) Silent-mode signature testing in anti-malware processing
US20180248896A1 (en) System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning
US8464340B2 (en) System, apparatus and method of malware diagnosis mechanism based on immunization database
US8453244B2 (en) Server, user device and malware detection method thereof
JP5265061B1 (en) Malicious file inspection apparatus and method
CN110659484B (en) System and method for generating a request for file information to perform an anti-virus scan
JP2010182019A (en) Abnormality detector and program
EP3531324B1 (en) Identification process for suspicious activity patterns based on ancestry relationship
US11520886B2 (en) Advanced ransomware detection
EP3331210B1 (en) Apparatus, method, and non-transitory computer-readable storage medium for network attack pattern determination
US11372971B2 (en) Threat control
KR20160099159A (en) Electronic system and method for detecting malicious code
CN109145602B (en) Lesso software attack protection method and device
CN108429746B (en) Privacy data protection method and system for cloud tenants
CN110874474A (en) Lessocian virus defense method, Lessocian virus defense device, electronic device and storage medium
CN113596044B (en) Network protection method and device, electronic equipment and storage medium
CN116663005B (en) Method, device, equipment and storage medium for defending composite Lesu virus
RU2802539C1 (en) Method for identifying information security threats (options)
EP4246351A1 (en) Detecting a harmful file using a database of vulnerable drivers
WO2023046402A1 (en) Graph-based condition identification

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant