KR102211846B1 - 랜섬웨어 탐지 시스템 및 그의 동작 방법 - Google Patents

랜섬웨어 탐지 시스템 및 그의 동작 방법 Download PDF

Info

Publication number
KR102211846B1
KR102211846B1 KR1020200090569A KR20200090569A KR102211846B1 KR 102211846 B1 KR102211846 B1 KR 102211846B1 KR 1020200090569 A KR1020200090569 A KR 1020200090569A KR 20200090569 A KR20200090569 A KR 20200090569A KR 102211846 B1 KR102211846 B1 KR 102211846B1
Authority
KR
South Korea
Prior art keywords
data
ransomware
monitoring
module
certificate
Prior art date
Application number
KR1020200090569A
Other languages
English (en)
Inventor
이정규
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020200090569A priority Critical patent/KR102211846B1/ko
Application granted granted Critical
Publication of KR102211846B1 publication Critical patent/KR102211846B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

본 개시에 따른 일 실시 예는 제1 랜섬웨어 감염 경로를 모니터링하는 제1 모니터링 모듈 및 제2 랜섬웨어 감염 경로를 모니터링하는 제2 모니터링 모듈을 포함하는 모니터링 모듈, 상기 제1 모니터링 모듈 및 상기 제2 모니터링 모듈 중 적어도 하나의 모니터링 모듈로부터 모니터링 데이터를 수신하고 상기 수신된 모니터링 데이터에 기반하여 랜섬웨어의 감염 여부를 포함하는 분석 데이터를 생성하는 감지 모듈, 및 상기 모니터링 모듈로부터 상기 모니터링 데이터를 수신하고 상기 감지 모듈로부터 상기 분석 데이터를 수신하여 백업하는 클라우드 시스템을 포함하는 랜섬웨어 탐지 시스템이 개시된다.

Description

랜섬웨어 탐지 시스템 및 그의 동작 방법{RANSOMWARE DETECTION SYSTEM AND OPERATING METHOD THEREOF}
본 개시에 따른 다양한 실시 예들은 랜섬웨어 탐지 시스템 및 그의 동작 방법에 관한 것이다.
컴퓨터 사용이 증가하고 인터넷이 성장함에 따라 사이버 범죄가 함께 증가하고 있다. 최근에는, 시스템 또는 데이터를 암호화하여 사용할 수 없도록 만든 뒤 가상 화폐를 통해 금전적 피해를 발생시키는 랜섬웨어(ransomware)가 증가하는 추세에 있다. 랜섬웨어는 다양한 경로를 통해 컴퓨터 시스템 및 데이터에 침투하는 시도가 빈번해지고 있으며, 랜섬웨어의 피해 대상은 개인 정보에서 국가 내 산업 기반시설 및 기업의 주요 정보까지 확대되고 있다. 특히, 국제적인 사이버 공격으로 인해 국가 내 산업 기반시설 내 정보가 랜섬웨어에 감염되는 경우에는, 국가 안보에 위협이 될 수 있다.
랜섬웨어의 침입을 탐지하는 방법은 정적 분석(static analysis) 및 동적 분석(dynamic analysis)으로 나뉠 수 있다. 정적 분석은 실행 파일에 내장된 문자열 헤더 정보 등의 시그니처에 기반하여 악성코드 감염 여부를 확인하는 방법이다. 이는 악성 코드를 직접 실행하지 않고도 분석이 가능하여 안전한 방법이나, 모든 프로세스를 DB(data base)와 비교해야 하므로 시스템 부하를 유발할 수 있다. 동적 분석은 가상 환경에서 파일을 직접 실행시켜 레지스트리, 파일 시스템, 프로세스, 네트워크 활동 등을 확인하며 분석하는 방법이다. 이는 파일의 실제 활동에 따른 시스템 변화 분석이 가능한 방법이나, 실제 탐지를 진행함에 있어 랜섬웨어가 시스템 내에서 활동하도록 허용해야 한다는 한계가 있다.
최근, 랜섬웨어는 지속적으로 새로운 형태로 생성되어 유포되고 있다. 랜섬웨어의 유포 파일은 DOC, PDF, 아이콘, 위장 파일, 문서 파일에 포함된 매크로 또는 확장자 등의 형태를 갖고, 최근에는 OS, 공유 사이트 또는 RaaS(ransomware as a service) 등의 형태로 유포되고 있다. 따라서, 보다 지능적이고 다양한 형태를 갖는 랜섬웨어에 대하여 효과적으로 대응하기 위한 시스템이 요구될 수 있다.
한국 등록 특허 1: KR 10-1880796 B1 (등록일: 2018. 7. 16.)
한국 등록 특허 2: KR 10-2045772 B1 (등록일: 2019. 11. 12.)
본 개시에 따른 다양한 실시 예들은 복수 개의 랜섬웨어의 감염 경로를 탐지하고 클라우드 시스템을 통해 데이터를 관리할 수 있는 랜섬웨어 탐지 시스템 및 그의 동작 방법을 제공하는 데 있다. 본 개시가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 이하의 실시 예들로부터 또 다른 기술적 과제들이 유추될 수 있다.
일 실시 예에서의 랜섬웨어 탐지 시스템은 제1 랜섬웨어 감염 경로를 모니터링하는 제1 모니터링 모듈 및 제2 랜섬웨어 감염 경로를 모니터링하는 제2 모니터링 모듈을 포함하는 모니터링 모듈, 상기 제1 모니터링 모듈 및 상기 제2 모니터링 모듈 중 적어도 하나의 모니터링 모듈로부터 모니터링 데이터를 수신하고 상기 수신된 모니터링 데이터에 기반하여 랜섬웨어의 감염 여부를 포함하는 분석 데이터를 생성하는 감지 모듈, 및 상기 모니터링 모듈로부터 상기 모니터링 데이터를 수신하고 상기 감지 모듈로부터 상기 분석 데이터를 수신하여 백업하는 클라우드 시스템을 포함할 수 있다.
일 실시 예에서, 상기 제1 랜섬웨어 감염 경로는 상기 제2 랜섬웨어 감염 경로와 구별되고, 상기 랜섬웨어 탐지 시스템 내의 파일, 서버 및 네트워크 중 어느 하나에 해당할 수 있다.
일 실시 예에서, 상기 랜섬웨어 탐지 시스템은 인증 모듈을 더 포함하고, 상기 인증 모듈은 상기 클라우드 시스템으로부터 상기 모니터링 데이터 및 상기 분석 데이터를 수신하고, 개인 키에 기반하여 상기 모니터링 데이터 및 상기 분석 데이터 각각에 대한 인증서를 생성하여 상기 클라우드 시스템으로 송신하도록 설정될 수 있다.
일 실시 예에서, 상기 클라우드 시스템은 상기 인증 모듈로부터 수신한 상기 인증서의 유효성에 기반하여 상기 모니터링 데이터 및 상기 분석 데이터를 백업하도록 설정될 수 있다.
일 실시 예에서, 상기 인증서는 데이터의 해시 값, 데이터 생성 시간 및 데이터 이름 중 적어도 하나를 포함할 수 있다.
일 실시 예에서, 상기 인증 모듈은 상기 클라우드 시스템으로부터 상기 랜섬웨어의 감염 이전에 생성된 제1 데이터를 수신하고 상기 개인 키에 기반하여 상기 제1 데이터에 대한 제1 인증서를 생성하여 상기 클라우드 시스템으로 송신하고, 상기 클라우드 시스템은 상기 인증 모듈로부터 수신한 상기 제1 인증서의 유효성에 기반하여 상기 제1 데이터를 백업하도록 설정될 수 있다.
일 실시 예에서, 상기 시스템이 상기 랜섬웨어에 감염된 이후에, 상기 인증 모듈은 상기 제1 데이터에 대한 인증 요청을 수신하고, 공개 키에 기반하여 상기 제1 데이터에 대한 상기 제1 인증서의 유효성을 검증하고, 상기 클라우드 시스템은 상기 검증된 제1 인증서의 유효성에 기반하여 상기 제1 데이터를 복구하도록 설정될 수 있다.
일 실시 예에서, 상기 랜섬웨어 탐지 시스템은 분류 모듈을 더 포함하고, 상기 분류 모듈은 상기 감지 모듈로부터 상기 분석 데이터를 수신하고, 상기 분석 데이터에 기반하여 상기 랜섬웨어의 위험 수준을 판단하도록 설정될 수 있다.
일 실시 예에서, 상기 랜섬웨어의 위험 수준은 위협 수준(risk level), 우려 수준(abnormal level) 및 정상 수준(normal level) 중 어느 하나에 해당할 수 있다.
본 개시의 다양한 실시 예에 따르면, 랜섬웨어 감염 경로별 객체를 실시간으로 모니터링 및 분석함에 따라 랜섬웨어의 감염에 대하여 효과적으로 대응할 수 있다.
본 개시의 다양한 실시 예에 따르면, 시스템 내 데이터를 백업하기 이전에 데이터에 대한 인증을 수행함에 따라 백업된 데이터의 신뢰도가 증가할 수 있다.
도 1은 일 실시 예에 따른 랜섬웨어 탐지 시스템의 블록도를 도시한다.
도 2는 일 실시 예에 따른 랜섬웨어 탐지 시스템이 데이터를 백업하는 흐름도를 도시한다.
도 3은 일 실시 예에 따른 인증 모듈을 통해 데이터에 대한 인증을 수행하는 흐름도를 도시한다.
도 4는 일 실시 예에 따른 랜섬웨어 감염 이후에 백업 데이터를 복구하는 흐름도를 도시한다.
이하, 첨부된 도면을 참조하면서 오로지 예시를 위한 실시 예들을 상세히 설명하기로 한다. 하기 설명은 실시 예들을 구체화하기 위한 것일 뿐 발명의 권리 범위를 제한하거나 한정하는 것이 아님은 물론이다. 상세한 설명 및 실시 예로부터 당해 기술 분야의 전문가가 용이하게 유추할 수 있는 것은 권리 범위에 속하는 것으로 해석된다.
본 명세서에서 사용되는 '구성된다' 또는 '포함된다' 등의 용어는 명세서 상에 기재된 여러 구성 요소들, 또는 여러 단계들을 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 동작들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 동작들을 더 포함할 수 있는 것으로 해석되어야 한다.
본 명세서에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서, 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다.
본 실시 예들은 랜섬웨어 탐지 시스템 및 그의 동작 방법에 관한 것으로서 이하의 실시 예들이 속하는 기술 분야에서 통상의 지식을 가진 자에게 널리 알려져 있는 사항들에 관해서는 자세한 설명을 생략한다.
도 1은 일 실시 예에 따른 랜섬웨어 탐지 시스템의 블록도를 도시한다.
도 1을 참조하면, 랜섬웨어 탐지 시스템(100)은 모니터링 모듈(110), 감지 모듈(120), 클라우드 시스템(130), 분류 모듈(140) 및 인증 모듈(150)을 포함할 수 있다.
모니터링 모듈(110)은, 제1 랜섬웨어 감염 경로를 모니터링하는 제1 모니터링 모듈(112) 및 제1 랜섬웨어 감염 경로와 구별되는 제2 랜섬웨어 감염 경로를 모니터링하는 제2 모니터링 모듈(114)을 포함할 수 있다. 일 실시 예에서, 상기 제1 랜섬웨어 감염 경로 및 상기 제2 랜섬웨어 감염 경로는 시스템 내 파일, 서버, 네트워크 중 어느 하나에 해당할 수 있다.
예를 들어, 제1 랜섬웨어 감염 경로가 파일인 경우에, 제1 모니터링 모듈(112)은 시스템 내 파일을 실시간으로 감시하는 파일 모니터링 모듈에 해당할 수 있다. 일 실시 예에서, 파일 모니터링 모듈은 사용자의 파일 동작을 감시하여 1차적으로 의심스러운 프로세스를 분류할 수 있다. 일 실시 예에서, 파일 모니터링 모듈은 클라우드 시스템(130)을 통해 파일에 대한 랜섬웨어 백신 및 정보를 업데이트 받아 랜섬웨어의 감염 여부를 확인할 수 있다. 일 실시 예에서, 파일 모니터링 모듈은 파일의 분석 결과나 행동에 대한 정보를 파일의 크기, 형태 변경 및 생성 시간 등의 정보 분석을 통해 검증하여, 외부(예: 감지 모듈(120), 클라우드 시스템(130))에 전달할 수 있다. 이 때, 제2 랜섬웨어 감염 경로는 서버 또는 네트워크 중 어느 하나에 해당할 수 있다.
다른 예를 들어, 제1 랜섬웨어 감염 경로가 서버인 경우에, 제1 모니터링 모듈(112)은 시스템 내 서버의 상태를 실시간으로 감시하는 서버 모니터링 모듈에 해당할 수 있다. 일 실시 예에서, 서버 모니터링 모듈은 프로세스 정보, 상태 정보 및 화이트리스트 정보를 통해 서버의 상태를 확인할 수 있다. 이 때, 제2 랜섬웨어 감염 경로는 파일 또는 네트워크 중 어느 하나에 해당할 수 있다.
또 다른 예를 들어, 제1 랜섬웨어 감염 경로가 네트워크인 경우에, 제1 모니터링 모듈(112)은 시스템 내 네트워크를 실시간으로 감시하는 네트워크 모니터링 모듈에 해당할 수 있다. 일 실시 예에서, 네트워크 모니터링 모듈은 시스템 내 트래픽을 실시간으로 분석하고, 네트워크의 구성, 웹 페이지 및 브라우저를 확인할 수 있다. 일 실시 예에서, 네트워크 모니터링 모듈은 악성 네트워크 트래픽 및 랜섬웨어 정보를 저장하여 악성이 의심되는 행위를 1차적으로 추출할 수 있다. 일 실시 예에서, 네트워크 모니터링 모듈은 승인된 트래픽 및 랜섬웨어에 대한 정보를 화이트리스트로 분류하고, 화이트리스트로 위장된 트래픽 및 랜섬웨어를 검출할 수 있다. 이 때, 제2 랜섬웨어 감염 경로는 파일 또는 서버 중 어느 하나에 해당할 수 있다.
다만, 도 1은 모니터링 모듈(110)이 2개의 모니터링 모듈(예: 제1 모니터링 모듈(112), 제2 모니터링 모듈(114))만을 포함하도록 도시하고 있으나, 이는 설명의 편의를 위한 것으로 모니터링 모듈의 개수는 이에 한정되지 아니한다. 예를 들어, 모니터링 모듈(110)은 3개의 모니터링 모듈을 포함하고, 각각의 모니터링 모듈은 파일 모니터링 모듈(제1 모니터링 모듈), 서버 모니터링 모듈(제2 모니터링 모듈) 및 네트워크 모니터링 모듈(제3 모니터링 모듈)에 해당할 수 있다.
모니터링 모듈(110)은, 시스템 내 파일, 서버 및 네트워크를 실시간으로 감시함에 따른 모니터링 데이터를 생성할 수 있다. 예를 들어, 제1 모니터링 모듈(112)이 네트워크 모니터링 모듈이고 시스템 내 네트워크의 동작에서 비정상적인 동작이 감지되는 경우에, 제1 모니터링 모듈(112)은 네트워크에 대한 모니터링 데이터를 생성할 수 있다. 다른 예를 들어, 제1 모니터링 모듈(112)이 네트워크 모니터링 모듈이고 시스템 내 네트워크의 동작에서 비정상적인 동작이 감지되지 않는 경우에도, 제1 모니터링 모듈(112)은 일정 주기에 따라 네트워크에 대한 모니터링 데이터를 생성할 수도 있다.
감지 모듈(120)은, 모니터링 모듈(110)로부터 모니터링 데이터를 수신하여 랜섬웨어 감염 여부를 포함하는 분석 데이터를 생성할 수 있다. 예를 들어, 감지 모듈(120)은 모니터링 모듈(110)로부터 사용자 데이터 및 시스템 상태에 대한 모니터링 데이터를 수신하여 파일, 트래픽 및 랜섬웨어에 대한 2차 분석을 수행할 수 있다. 상기 2차 분석은 파일의 시그니처, 해시 값을 통한 정적 분석 및 샌드박스, 행위 기반 탐지 기술을 통한 동적 분석을 포함할 수 있다.
분류 모듈(140)은, 모니터링 모듈(110) 및 감지 모듈(120)을 통해 분석된 데이터에 기반하여 랜섬웨어의 위험 수준을 판단할 수 있다. 일 실시 예에서, 랜섬웨어의 위험 수준은 위협 수준(risk level), 우려 수준(abnormal level) 및 정상 수준(normal level) 중 어느 하나에 해당할 수 있다. 예를 들어, 분류 모듈(140)은 감지 모듈(120)로부터 수신한 분석 데이터에 기반하여, 시스템 내에서 탐지된 랜섬웨어의 위험 수준을 '위협 수준'으로 판단할 수 있다. 일 실시 예에서, 분류 모듈(140)은 탐지된 랜섬웨어의 위험 수준을 판단하여 클라우드 시스템(130)에 송신할 수 있다.
클라우드 시스템(130)은, 클라우드 장치 및 백업 장치로 구성될 수 있다. 일 실시 예에서, 클라우드 장치는 백신 및 보안 패치, 랜섬웨어 업데이트 데이터 및 랜섬웨어 분석 데이터 중 적어도 하나를 포함할 수 있다. 일 실시 예에서, 백업 장치는 백업 데이터, 인증서 및 랜섬웨어 데이터 중 적어도 하나를 포함할 수 있다. 예를 들어, 클라우드 시스템(130)은 모니터링 모듈(110) 및 감지 모듈(120)로부터 데이터를 수신하여 상기 백업 장치에 백업할 수 있다.
클라우드 시스템(130)은, 인증 모듈(150)을 통해 인증을 수행한 데이터만을 백업할 수 있다. 예를 들어, 감지 모듈(120)로부터 수신된 분석 데이터에 대하여, 클라우드 시스템(130)은 상기 분석 데이터가 새롭게 업데이트된 데이터임을 판단하여 인증 모듈(150)을 통해 인증을 수행할 수 있다. 인증 모듈(150)을 통해 인증이 수행된 경우에, 클라우드 시스템(130)은 상기 분석 데이터를 백업할 수 있다.
도 2는 일 실시 예에 따른 랜섬웨어 탐지 시스템이 데이터를 백업하는 흐름도를 도시한다.
도 2를 참조하면, 모니터링 모듈(110)은 동작 201에서 제1 랜섬웨어 감염 경로 및 제2 랜섬웨어 감염 경로를 모니터링할 수 있다. 예를 들어, 제1 모니터링 모듈(예: 도 1의 제1 모니터링 모듈(112))은 제1 랜섬웨어 감염 경로(예: 파일)를 실시간으로 감시하고, 제2 모니터링 모듈(예: 도 1의 제2 모니터링 모듈(114))은 상기 제1 랜섬웨어 감염 경로와 구별되는 제2 랜섬웨어 감염 경로(예: 네트워크)를 실시간으로 감시할 수 있다. 일 실시 예에서, 모니터링 모듈(110)은 시스템 내 파일, 서버 및 네트워크를 실시간으로 모니터링함에 따라 모니터링 데이터를 생성할 수 있다. 예를 들어, 모니터링 데이터는 파일, 서버 및 네트워크 중 어느 하나에서 악성이 의심되는 행위의 발생 여부를 포함할 수 있다. 일 실시 예에서, 상기 악성이 의심되는 행위의 발생을 감지함에 따라, 모니터링 모듈(110)은 1차적으로 보안 패치를 통해 랜섬웨어의 감염을 방지할 수 있다.
일 실시 예에 따르면, 모니터링 모듈(110)은 동작 203에서 감지 모듈(120)로 모니터링 데이터를 송신할 수 있다. 또한, 모니터링 모듈(110)은 동작 205에서 클라우드 시스템(130)으로 모니터링 데이터를 송신할 수 있다. 일 실시 예에서, 동작 205는 동작 203 이후에 순차적으로 실행되거나, 동작 203과 병렬적으로 실행될 수 있다.
일 실시 예에 따르면, 감지 모듈(120)은 동작 207에서 수신된 모니터링 데이터에 기반하여 분석 데이터를 생성할 수 있다. 예를 들어, 분석 데이터는 파일, 서버 및 네트워크 중 어느 하나에 대한 정적 분석 및/또는 동적 분석을 통해 획득한 랜섬웨어의 감염 여부를 포함할 수 있다. 일 실시 예에서, 감지 모듈(120)은 생성한 분석 데이터를 분류 모듈(예: 도 1의 분류 모듈(140))로 송신할 수 있다. 감지 모듈(120)로부터 분석 데이터를 수신한 분류 모듈(140)은 랜섬웨어의 위험 수준을 판단하고, 판단한 데이터를 클라우드 시스템(130)에 송신할 수 있다.
일 실시 예에 따르면, 감지 모듈(120)은 동작 209에서 클라우드 시스템(130)으로 분석 데이터를 송신할 수 있다. 예를 들어, 감지 모듈(120)은 분석 데이터를 생성한 시점에 실시간으로 송신할 수 있다. 또 다른 예를 들어, 감지 모듈(120)은 일정 주기(예: 1분)에 기반하여 분석 데이터를 송신할 수도 있다.
일 실시 예에 따르면, 클라우드 시스템(130)은 동작 211에서 모니터링 모듈(110)로부터 수신한 모니터링 데이터 및 감지 모듈(120)로부터 수신한 분석 데이터를 백업할 수 있다. 일 실시 예에서, 클라우드 시스템(130)은 시스템(예: 도 1의 랜섬웨어 탐지 시스템(100)) 내 데이터를 백업하기 이전에 인증 모듈(예: 도 1의 인증 모듈(150))로부터 데이터 인증을 수신한 경우에만 백업을 수행할 수 있다. 이와 관련된 구체적은 설명은 도 3에서 후술하고자 한다.
도 3은 일 실시 예에 따른 인증 모듈을 통해 데이터에 대한 인증을 수행하는 흐름도를 도시한다.
도 3을 참조하면, 클라우드 시스템(130)은 동작 301에서 모니터링 데이터 및 분석 데이터를 인증 모듈(150)로 송신할 수 있다. 상기 모니터링 데이터는 도 2의 동작 205에서 모니터링 모듈(110)로부터 수신한 모니터링 데이터에 대응될 수 있다. 상기 분석 데이터는 도 2의 동작 209에서 감지 모듈(120)로부터 수신한 분석 데이터에 대응될 수 있다.
일 실시 예에 따르면, 인증 모듈(150)은 동작 303에서 개인 키에 기반하여 모니터링 데이터 및 분석 데이터 각각에 대한 인증서를 생성할 수 있다. 일 실시 예에서, 개인 키는 개발사 및/또는 사용자의 개인 키를 의미할 수 있다. 일 실시 예에서, 상기 인증서는 데이터의 해시 값, 데이터의 생성 시간 및 데이터 이름 중 적어도 하나를 포함할 수 있다. 또한, 상기 인증서는 개인 키에 대응되는 개발사 및/또는 사용자의 공개 키를 더 포함할 수 있다.
일 실시 예에 따르면, 인증 모듈(150)은 동작 305에서 모니터링 데이터 및 분석 데이터 각각에 대한 인증서를 클라우드 시스템(130)으로 송신할 수 있다. 클라우드 시스템(130)은 동작 307에서 수신된 인증서의 유효성에 기반하여 모니터링 데이터 및 분석 데이터를 백업할 수 있다. 일 실시 예에서, 인증서의 유효성은 인증서에 대한 개인 키 및 공개 키에 기반하여 판단될 수 있다. 예를 들어, 인증 모듈(150)은 인증서를 생성하여 개발사 및/또는 사용자의 공개 키를 통해 상기 인증서를 암호화할 수 있다. 클라우드 시스템(130)은 암호화된 인증서에 대응되는 공개 키로 상기 인증서의 유효성을 판단할 수 있다.
도 4는 일 실시 예에 따른 랜섬웨어 감염 이후에 백업 데이터를 복구하는 흐름도를 도시한다. 도 4의 설명과 관련하여 전술한 내용과 대응되거나 동일 또는 유사한 내용은 생략될 수 있다.
도 4를 참조하면, 클라우드 시스템(130)은 동작 401에서 제1 데이터를 인증 모듈(150)로 송신할 수 있다. 상기 제1 데이터는 랜섬웨어 탐지 시스템 내 임의의 데이터를 의미할 수 있다. 일 실시 예에 따르면, 인증 모듈(150)은 동작 403에서 개인 키에 기반하여 제1 데이터에 대한 제1 인증서를 생성할 수 있다. 일 실시 예에 따르면, 인증 모듈(150)은 동작 405에서 제1 데이터에 대한 제1 인증서를 클라우드 시스템(130)으로 송신할 수 있다. 클라우드 시스템(130)은 동작 407에서 수신된 제1 인증서의 유효성에 기반하여 제1 데이터를 백업할 수 있다.
일 실시 예에 따르면, 감지 모듈(120)은 동작 409에서 시스템 내 랜섬웨어의 감염을 감지할 수 있다. 감지 모듈(120)은 모니터링 모듈(예: 도 1의 모니터링 모듈(110))로부터 수신된 모니터링 데이터 및 파일, 서버 및 네트워크 중 어느 하나에 대한 정적 분석 및/또는 동적 분석을 통해 획득한 분석 데이터에 기반하여 랜섬웨어의 감염을 감지할 수 있다.
일 실시 예에 따르면, 감지 모듈(120)은 동작 411에서 랜섬웨어의 감염 상태임을 포함하는 분석 데이터를 클라우드 시스템(130)에 송신할 수 있다. 이 때, 클라우드 시스템(130)은 제1 데이터가 랜섬웨어 감염 상태임을 판단할 수 있다. 일 실시 예에 따르면, 클라우드 시스템(130)은 동작 413에서 제1 데이터에 대한 인증을 인증 모듈(150)에 요청할 수 있다.
일 실시 예에 따르면, 인증 모듈(150)은 동작 415에서 제1 데이터에 대한 제1 인증서의 유효성을 검증할 수 있다. 예를 들어, 인증 모듈(150)은 저장된 개발사 및/또는 사용자의 공개 키를 통해 제1 데이터에 대한 제1 인증서를 검색할 수 있다. 인증 모듈(150)은 검색된 제1 인증서에 대하여, 제1 데이터 해시 값, 제1 데이터 생성 시간 및 제1 데이터 이름을 검증할 수 있다.
일 실시 에에 따르면, 인증 모듈(150)은 동작 417에서 제1 인증서의 유효성 검증 결과를 클라우드 시스템(130)에 송신할 수 있다. 제1 인증서의 유효성이 검증된 경우에, 클라우드 시스템(130)은 동작 419에서 백업 상태의 제1 데이터를 복구할 수 있다. 예를 들어, 랜섬웨어의 감염 상태인 제1 데이터에 대하여, 제1 인증서의 유효성이 검증된 이후 클라우드 시스템은 백업되어 있던 정상 상태의 제1 데이터로 복구할 수 있다.
본 실시 예와 관련된 기술 분야에서 통상의 지식을 가진 자는 상기된 기재의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 방법들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (18)

  1. 랜섬웨어 탐지 시스템에 있어서,
    제1 랜섬웨어 감염 경로를 모니터링하는 제1 모니터링 모듈 및 제2 랜섬웨어 감염 경로를 모니터링하는 제2 모니터링 모듈을 포함하는 모니터링 모듈;
    상기 제1 모니터링 모듈 및 상기 제2 모니터링 모듈 중 적어도 하나의 모니터링 모듈로부터 모니터링 데이터를 수신하고, 상기 수신된 모니터링 데이터에 기반하여 랜섬웨어의 감염 여부를 포함하는 분석 데이터를 생성하는 감지 모듈;
    상기 모니터링 모듈로부터 상기 모니터링 데이터를 수신하고 상기 감지 모듈로부터 상기 분석 데이터를 수신하여 백업하는 클라우드 시스템; 및
    상기 클라우드 시스템으로부터 상기 모니터링 데이터 및 상기 분석 데이터를 수신하고, 개인 키에 기반하여 상기 모니터링 데이터 및 상기 분석 데이터 각각에 대한 인증서를 생성하여 상기 클라우드 시스템으로 송신하는 인증 모듈을 포함하고,
    상기 클라우드 시스템은,
    상기 개인 키에 대응하는 공개 키에 기반하여 상기 인증 모듈로부터 수신한 상기 인증서의 유효성을 판단하고, 상기 인증서의 유효성에 기반하여 상기 모니터링 데이터 및 상기 분석 데이터를 백업하는, 랜섬웨어 탐지 시스템.
  2. 제1항에 있어서,
    상기 제1 랜섬웨어 감염 경로는 상기 제2 랜섬웨어 감염 경로와 구별되고, 상기 랜섬웨어 탐지 시스템 내의 파일, 서버 및 네트워크 중 어느 하나에 해당하는 것을 특징으로 하는, 랜섬웨어 탐지 시스템.
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    상기 인증서는 데이터의 해시 값, 데이터 생성 시간 및 데이터 이름 중 적어도 하나를 포함하는 것을 특징으로 하는, 랜섬웨어 탐지 시스템.
  6. 제1항에 있어서,
    상기 인증 모듈은,
    상기 클라우드 시스템으로부터 상기 랜섬웨어의 감염 이전에 생성된 제1 데이터를 수신하고,
    상기 개인 키에 기반하여 상기 제1 데이터에 대한 제1 인증서를 생성하여 상기 클라우드 시스템으로 송신하고,
    상기 클라우드 시스템은, 상기 인증 모듈로부터 수신한 상기 제1 인증서의 유효성에 기반하여 상기 제1 데이터를 백업하도록 설정되는, 랜섬웨어 탐지 시스템
  7. 제6항에 있어서,
    상기 랜섬웨어 탐지 시스템이 상기 랜섬웨어에 감염된 이후에, 상기 인증 모듈은,
    상기 제1 데이터에 대한 인증 요청을 수신하고,
    공개 키에 기반하여, 상기 제1 데이터에 대한 상기 제1 인증서의 유효성을 검증하고,
    상기 클라우드 시스템은, 상기 검증된 제1 인증서의 유효성에 기반하여 상기 제1 데이터를 복구하도록 설정되는, 랜섬웨어 탐지 시스템.
  8. 제1항에 있어서,
    분류 모듈을 더 포함하고,
    상기 분류 모듈은,
    상기 감지 모듈로부터 상기 분석 데이터를 수신하고,
    상기 분석 데이터에 기반하여 상기 랜섬웨어의 위험 수준을 판단하도록 설정되는, 랜섬웨어 탐지 시스템.
  9. 제8항에 있어서,
    상기 랜섬웨어의 위험 수준은 위협 수준(risk level), 우려 수준(abnormal level) 및 정상 수준(normal level) 중 어느 하나인 것을 특징으로 하는, 랜섬웨어 탐지 시스템.
  10. 랜섬웨어 탐지 시스템의 동작 방법에 있어서,
    제1 모니터링 모듈을 통해 제1 랜섬웨어 감염 경로를 모니터링하는 동작;
    제2 모니터링 모듈을 통해 제2 랜섬웨어 감염 경로를 모니터링 하는 동작;
    감지 모듈을 통해 상기 제1 모니터링 모듈 및 상기 제2 모니터링 모듈 중 적어도 하나의 모니터링 모듈로부터 모니터링 데이터를 수신하는 동작;
    상기 수신된 모니터링 데이터에 기반하여 상기 감지 모듈을 통해 랜섬웨어의 감염 여부를 포함하는 분석 데이터를 생성하는 동작;
    클라우드 시스템을 통해 상기 모니터링 모듈로부터 상기 모니터링 데이터를 수신하고 상기 감지 모듈로부터 상기 분석 데이터를 수신하는 동작;
    인증 모듈을 통해 상기 클라우드 시스템으로부터 상기 모니터링 데이터 및 상기 분석 데이터를 수신하는 동작;
    개인 키에 기반하여, 상기 인증 모듈을 통해 상기 모니터링 데이터 및 상기 분석 데이터 각각에 대한 인증서를 생성하여 상기 클라우드 시스템으로 송신하는 동작;
    상기 개인 키에 대응하는 공개 키에 기반하여, 상기 클라우드 시스템을 통해 상기 인증 모듈로부터 수신한 상기 인증서의 유효성을 판단하고, 상기 인증서의 유효성에 기반하여 상기 모니터링 데이터 및 상기 분석 데이터를 백업하는 동작을 포함하는, 랜섬웨어 탐지 시스템의 동작 방법.
  11. 제10항에 있어서,
    상기 제1 랜섬웨어 감염 경로는 상기 제2 랜섬웨어 감염 경로와 구별되고, 상기 랜섬웨어 탐지 시스템 내의 파일, 서버 및 네트워크 중 어느 하나에 해당하는 것을 특징으로 하는, 랜섬웨어 탐지 시스템의 동작 방법.
  12. 삭제
  13. 삭제
  14. 제10항에 있어서,
    상기 인증서는 데이터의 해시 값, 데이터 생성 시간 및 데이터 이름 중 적어도 하나를 포함하는 것을 특징으로 하는, 랜섬웨어 탐지 시스템의 동작 방법.
  15. 제10항에 있어서,
    상기 인증 모듈을 통해 상기 클라우드 시스템으로부터 상기 랜섬웨어의 감염 이전에 생성된 제1 데이터를 수신하는 동작;
    상기 인증 모듈을 통해 상기 개인 키에 기반하여 상기 제1 데이터에 대한 제1 인증서를 생성하여 상기 클라우드 시스템으로 송신하는 동작; 및
    상기 클라우드 시스템을 통해 상기 인증 모듈로부터 수신한 상기 제1 인증서의 유효성에 기반하여 상기 제1 데이터를 백업하는 동작을 더 포함하는, 랜섬웨어 탐지 시스템의 동작 방법.
  16. 제15항에 있어서,
    상기 랜섬웨어 탐지 시스템이 상기 랜섬웨어에 감염된 이후에, 상기 인증 모듈을 통해 상기 제1 데이터에 대한 인증 요청을 수신하는 동작;
    상기 인증 모듈을 통해 공개 키에 기반하여 상기 제1 데이터에 대한 상기 제1 인증서의 유효성을 검증하는 동작; 및
    상기 클라우드 시스템을 통해 상기 검증된 제1 인증서의 유효성에 기반하여 상기 제1 데이터를 복구하는 동작을 더 포함하는, 랜섬웨어 탐지 시스템의 동작 방법.
  17. 제10항에 있어서,
    분류 모듈을 통해 상기 감지 모듈로부터 상기 분석 데이터를 수신하는 동작; 및
    상기 분석 데이터에 기반하여 상기 랜섬웨어의 위험 수준을 판단하는 동작을 더 포함하는, 랜섬웨어 탐지 시스템의 동작 방법.
  18. 제17항에 있어서,
    상기 랜섬웨어의 위험 수준은 위협 수준(risk level), 우려 수준(abnormal level) 및 정상 수준(normal level) 중 어느 하나인 것을 특징으로 하는, 랜섬웨어 탐지 시스템의 동작 방법.
KR1020200090569A 2020-07-21 2020-07-21 랜섬웨어 탐지 시스템 및 그의 동작 방법 KR102211846B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200090569A KR102211846B1 (ko) 2020-07-21 2020-07-21 랜섬웨어 탐지 시스템 및 그의 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200090569A KR102211846B1 (ko) 2020-07-21 2020-07-21 랜섬웨어 탐지 시스템 및 그의 동작 방법

Publications (1)

Publication Number Publication Date
KR102211846B1 true KR102211846B1 (ko) 2021-02-03

Family

ID=74571678

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200090569A KR102211846B1 (ko) 2020-07-21 2020-07-21 랜섬웨어 탐지 시스템 및 그의 동작 방법

Country Status (1)

Country Link
KR (1) KR102211846B1 (ko)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040056998A (ko) * 2002-12-24 2004-07-01 한국전자통신연구원 위험도 산정을 통한 악성실행코드 탐지 장치 및 그 방법
JP2015535115A (ja) * 2012-11-20 2015-12-07 シマンテック コーポレーションSymantec Corporation マルウェア定義パッケージサイズを縮小するためのテレメトリの使用
KR101765211B1 (ko) * 2016-01-28 2017-08-04 세종대학교산학협력단 랜섬웨어 예방 시스템 및 방법
KR20180054389A (ko) * 2016-11-14 2018-05-24 숭실대학교산학협력단 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체
KR101880796B1 (ko) 2013-02-10 2018-08-17 페이팔, 인코포레이티드 예측보안 제품을 제공하고 기존의 보안제품을 평가하는 방법과 장치
KR101971225B1 (ko) * 2018-10-11 2019-04-22 옥임식 클라우드 서버의 데이터 전송 보안 시스템 및 그 제공 방법
KR102045772B1 (ko) 2015-02-11 2019-11-19 한국전자통신연구원 악성 코드를 탐지하기 위한 전자 시스템 및 방법

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040056998A (ko) * 2002-12-24 2004-07-01 한국전자통신연구원 위험도 산정을 통한 악성실행코드 탐지 장치 및 그 방법
JP2015535115A (ja) * 2012-11-20 2015-12-07 シマンテック コーポレーションSymantec Corporation マルウェア定義パッケージサイズを縮小するためのテレメトリの使用
KR101880796B1 (ko) 2013-02-10 2018-08-17 페이팔, 인코포레이티드 예측보안 제품을 제공하고 기존의 보안제품을 평가하는 방법과 장치
KR102045772B1 (ko) 2015-02-11 2019-11-19 한국전자통신연구원 악성 코드를 탐지하기 위한 전자 시스템 및 방법
KR101765211B1 (ko) * 2016-01-28 2017-08-04 세종대학교산학협력단 랜섬웨어 예방 시스템 및 방법
KR20180054389A (ko) * 2016-11-14 2018-05-24 숭실대학교산학협력단 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체
KR101971225B1 (ko) * 2018-10-11 2019-04-22 옥임식 클라우드 서버의 데이터 전송 보안 시스템 및 그 제공 방법

Similar Documents

Publication Publication Date Title
Mehnaz et al. Rwguard: A real-time detection system against cryptographic ransomware
US10264104B2 (en) Systems and methods for malicious code detection accuracy assurance
US10367834B2 (en) Systems and methods for implementing intrusion prevention
RU2680736C1 (ru) Сервер и способ для определения вредоносных файлов в сетевом трафике
US8677493B2 (en) Dynamic cleaning for malware using cloud technology
WO2018156800A1 (en) System and method to prevent, detect, thwart and recover automatically from ransomware cyber attacks
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
US9338012B1 (en) Systems and methods for identifying code signing certificate misuse
CN102855274A (zh) 一种可疑进程检测的方法和装置
CN108027856B (zh) 使用可信平台模块来建立攻击信息的实时指示器
KR102079304B1 (ko) 화이트리스트 기반 악성코드 차단 장치 및 방법
Kurniawan et al. Detection and analysis cerber ransomware based on network forensics behavior
Kumara et al. Hypervisor and virtual machine dependent Intrusion Detection and Prevention System for virtualized cloud environment
JP2023534502A (ja) 高度なランサムウェア検出
US11916953B2 (en) Method and mechanism for detection of pass-the-hash attacks
KR20110131627A (ko) 악성 코드 진단 및 복구 장치, 그리고 이를 위한 단말 장치
Zakaria et al. Early Detection of Windows Cryptographic Ransomware Based on Pre-Attack API Calls Features and Machine Learning
KR20140011518A (ko) 악성코드를 차단하기 위한 방법 및 시스템
CN113127873A (zh) 堡垒机的可信度量系统及电子设备
Mohata et al. Mobile malware detection techniques
KR102211846B1 (ko) 랜섬웨어 탐지 시스템 및 그의 동작 방법
TWI711939B (zh) 用於惡意程式碼檢測之系統及方法
KR102086375B1 (ko) 악성 소프트웨어에 대한 실시간 예방 및 사후 복구를 위한 보안 시스템 및 그 방법
Oujezsky et al. Data Backup System with Integrated Active Protection Against Ransomware
CN106561024B (zh) 一种基于企业级的远程apt检测方法及高性能服务器

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant