KR102352094B1 - 암호화-랜섬웨어 위협 검출 - Google Patents

암호화-랜섬웨어 위협 검출 Download PDF

Info

Publication number
KR102352094B1
KR102352094B1 KR1020197035933A KR20197035933A KR102352094B1 KR 102352094 B1 KR102352094 B1 KR 102352094B1 KR 1020197035933 A KR1020197035933 A KR 1020197035933A KR 20197035933 A KR20197035933 A KR 20197035933A KR 102352094 B1 KR102352094 B1 KR 102352094B1
Authority
KR
South Korea
Prior art keywords
files
memory medium
honeypot
memory
randomly distributed
Prior art date
Application number
KR1020197035933A
Other languages
English (en)
Other versions
KR20190138701A (ko
Inventor
다이엘 케이. 쇼엔허
Original Assignee
마이크론 테크놀로지, 인크.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크론 테크놀로지, 인크. filed Critical 마이크론 테크놀로지, 인크.
Publication of KR20190138701A publication Critical patent/KR20190138701A/ko
Application granted granted Critical
Publication of KR102352094B1 publication Critical patent/KR102352094B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Human Computer Interaction (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

메모리 시스템은 프로세서를 갖는 제어기 및 하나 이상의 메모리 매체를 포함하고, 메모리 시스템을 동작시키는 방법이 있다. 호스트는 허니팟 파일을 생성하고 프로세서는 상기 허니팟 파일을 메모리 매체의 랜덤 위치에 쓰도록 구성된다. 제어기는 랜덤 분산된 허니팟 파일의 위치를 액세스에 대해 모니터링한다. 호스트는 메모리 매체 상에 랜덤 분산된 허니팟 파일의 액세스와 관련된 동작 모드를 설정할 수 있다. 엄격한 동작 모드에서, 제어기는 하나의 허니팟 파일이 액세스되는 경우 메모리 매체로의 액세스를 중단시키거나 인증을 요구할 수 있다. 중간 동작 모드에서, 제어기는 하나의 허니팟 파일이 액세스되는 경우 메모리 매체를 분석하여 공격 받는 중인지 여부를 결정할 수 있다. 가벼운 동작 모드에서, 제어기는 지정 개수의 허니팟 파일이 액세스될 때까지 어떠한 조치도 취하지 않을 수 있다.

Description

암호화-랜섬웨어 위협 검출
본 명세서에 개시된 실시예는 솔리드 스테이트 디바이스(SSD) 메모리 디바이스 상에서의 암호화-랜섬웨어(crypto-ransomware)에 의한 파일의 악성 암호화를 방지하는 것과 관련된다.
랜섬웨어는 전자 디바이스, 가령, 컴퓨터, 랩톱, 태블릿, 및 스마트폰을 감염시켜, 다시 액세스가 가능하도록 디바이스를 잠금해제하기 위해 사용자가 몸값(ransome)을 지불할 때까지 디바이스로의 액세스를 제한하는 데 사용되는 일종의 악성 소프트웨어다. 몸값을 지불 받기 위해 디바이스를 악의적으로 감염시키는 데 사용되는 다양한 유형의 랜섬웨어가 존재한다. 이러한 한 가지 유형의 랜섬웨어가 암호화-랜섬웨어다.
암호화-랜섬웨어는 전자 디바이스 상에 저장된 파일을 암호화한다. 사용자는 여전히 디바이스를 액세스할 수 있지만, 디바이스 상의 파일 또는 파일의 일부분은 암호화되어 파일은 사용자 및/또는 전자 디바이스 자체에 의해 판독될 수 없다. 특정 해역 키가 파일을 역스크램블화하거나 해역하기 위해 필요하지만, 해역 키는 전자 디바이스 상에 위치하지 않는다. 파일 또는 상기 파일의 일부가 악의적으로 암호화된 후, 몸값 요구가 디스플레이되어 사용자에게 필요한 해역 키를 특정 금액으로 제안한다. 어떤 경우에서, 몸값 요구는 사용자에게 몸값을 지불하지 않으면 파일이 영구적으로 암호화될 제한된 시점을 제공할 수 있다. 암호화-랜섬웨어의 전제는 사용자가 자신의 파일 중 일부 또는 전부로의 가용 액세스를 잃을 가능성에 직면할 때 기꺼이 돈을 지불할 것이라는 것이다.
암호화-랜섬웨어는 다양한 수단에 의해 전자 디바이스 상으로 악의적으로 다운로드될 수 있다. 예를 들어, 원격 웹사이트를 액세스하는 동안 악성 소프트웨어가 의도치 않게 다운로드되거나, 전자메일의 첨부물에 내장되거나, 그 밖의 다른 맬웨어, 가령, 트로이 다운로드 또는 익스플로이트 키트(exploit kit)의 페이로드의 일부일 수 있다. 암호화-랜섬웨어가 디바이스 상에 있으면, 랜섬웨어는 조직적으로 파일 암호화를 시작할 수 있다. 일부 버전의 암호화-랜섬웨어는 암호화할 특정 유형의 파일을 사냥할 수 있다. 원하는 암호화가 완료된 후, 랜섬웨어는 전자 디바이스의 디스플레이 상에 몸값 요구를 포함하는 메시지를 디스플레이한다. 암호화-랜섬웨어의 추가 단점이 존재할 수 있다.
도 1은 본 발명에 따르는 암호화-랜섬웨어의 검출을 위한 시스템의 실시예의 블록도이다.
도 2는 본 발명에 따르는 암호화-랜섬웨어의 검출을 위한 시스템의 그래픽 사용자 인터페이스(GUI)의 실시예의 도식이다.
도 3은 본 발명에 따르는 암호화-랜섬웨어를 검출하는 방법의 실시예의 흐름도이다.
도 4는 본 발명에 따르는 암호화-랜섬웨어로부터 솔리드 스테이트 디바이스(SSD) 메모리 디바이스를 보호하는 방법의 실시예의 흐름도이다.
본 발명이 다양한 수정 및 대안 형태를 가질 수 있지만, 특정 실시예가 도면에서 예시로서 도시되었으며 본 명세서에서 상세히 기재될 것이다. 그러나 본 명세서는 개시된 특정 형태에 한정되지 않음을 이해해야 한다. 오히려, 청구항에 의해 규정되는 본 발명의 범위 내에 속하는 모든 변형, 균등 및 대안을 포함하는 것을 의도로 한다.
도 1은 암호화-랜섬웨어의 검출을 위한 시스템(300)의 실시예의 블록도이다. 시스템은 인터페이스(205)를 통해 호스트(200)와 통신하는 SSD 제어기(100)를 포함한다. 호스트(200)는 전자 디바이스, 비제한적 예를 들면, 컴퓨터, 랩톱, 태블릿 또는 스마트폰의 일부일 수 있다. 인터페이스(205)는 호스트가 솔리드 스테이트 저장 디바이스에 연결되도록 하는 임의의 유형의 인터페이스일 수 있으며, 가령, SATA, SAS, PCIe, SB, eMMC 등이 있다. 동작 중에, 호스트(200)는 인터페이스(205)를 통해 데이터 및 명령어를 SSD 제어기(100)로 전송한다. 명령어는, 본 명세서에 기재된 바와 같이, SSD 제어기(100)에 연결된 메모리 매체로 데이터를 읽거나 및/또는 쓰라는 지시를 포함할 수 있다. 호스트(200)는, 본 명세서에 기재된 바와 같이, 메모리 매체에 저장되도록 허니팟 파일(honeypot file)을 SSD 제어기(100)로 제공하도록 구성된다. 호스트(200)는 또한 동작 모드 또는 검출 모드를 설정하고, 허니팟 파일로 채워질 메모리 매체의 저장 공간 퍼센티지를 할당하도록 구성된다. 허니팟은 메모리 매체로의 비인가 액세스를 획득하려는 시도와 관련된 정보를 포착하는 데 사용될 수 있는 메커니즘이다. 허니팟 파일은 시스템 상에 분산되어 있을 수 있으며 허니팟 파일이 액세스되는 경우 "트랩"으로 사용될 수 있는 파일이다. 허니팟 파일은 랜덤 데이터를 이용해 생성될 수 있다. 허니팟 파일은 파일이 시스템 또는 디바이스 상에서 "정상" 파일로 보이지만 허니팟 파일의 비인가 액세스가 있을 때 보호를 시작하도록 생성된다. 호스트(200)는 복수의 허니팟 파일을 생성하고 SSD 메모리 디바이스 상으로 허니팟 파일을 분산시키도록 구성될 수 있다. 호스트(200)는 랜덤 데이터로 구성된 복수의 허니팟 파일을 생성하도록 구성될 수 있으며 본 명세서에 기재된 바와 같이 허니팟 파일을 SSD 메모리 디바이스 상에 랜덤하게 분산시키도록 구성될 수 있다.
SSD 제어기(100)는 적어도 하나의 메모리 매체 디바이스와 통신할 수 있다. 도 1에 도시된 바와 같이, SSD 제어기(100)는 인터페이스(165)를 통해 메모리 매체(160A), 메모리 매체(160B), 메모리 매체(160C), 및 메모리 매체(160D)(총체적으로 메모리 매체(160)라고 지칭됨)와 통신한다. 도 1에 도시된 바와 같이, 각각의 메모리 매체(160A, 160B, 160C, 160D)는 양방향 버스(165A, 165B, 165C, 165D )를 통해 인터페이스(165)와 통신할 수 있다. 인터페이스(165)는 SSD 제어기(100)와 메모리 매체(160) 간 데이터 및/또는 명령어를 통신하는 데 사용되는 임의의 유형의 인터페이스, 가령, ONFI일 수 있다. 메모리 매체(160A, 160B, 160C, 160D)는 다양한 메모리 디바이스 및 기법을 포함할 수 있다. 예를 들어, 메모리 매체(160)는 NAND 플래시 메모리 디바이스, NOR 플래시 메모리 디바이스, 또는 그 밖의 다른 임의의 유형의 휘발성 또는 비휘발성 메모리 기법 및 이들의 임의의 조합을 포함할 수 있다. 덧붙여, 메모리 매체(160)는 단일 메모리 디바이스 또는 다이의 논리적 또는 물리적 유닛, 가령, NAND 플래시 다이의 블록 또는 페이지를 포함할 수 있다. 메모리 매체(160A, 160B, 160C, 160D)의 수 및 구성이 설명 목적으로 도시되며 본 명세서의 분야의 통상의 기술자라면 알 듯이, 경우에 따라 달라질 수 있다.
SSD 제어기(100)는 프로세서(110), 매체 제어기(120), 호스트 인터페이스 블록(130), 및 정적 랜덤 액세스 메모리(SRAM)(140)를 포함한다. SSD 제어기(100)는 동적 랜덤 액세스 메모리(DRAM)(150)에 연결될 수 있다. 매체 제어기(120)는 인터페이스(165)를 통해 메모리 매체(160A, 160B, 160C, 160D)의 동작을 제어하고 매체 제어기(120)는 버스(125)를 통해 프로세서(110)와 통신한다. SRAM(140)은 버스(145)를 통해 프로세서(110)와 통신하고 DRAM(150)은 버스(155)를 통해 프로세서(110)와 통신한다. 호스트 인터페이스 블록(130)은 버스(135)를 통해 프로세서(110)와 통신하고 호스트 인터페이스 블록(130)은 프로세서(110)와 호스트(200) 간에 인터페이싱한다.
호스트(200)에 의해 생성되는 복수의 허니팟 파일은 호스트 인터페이스 블록(130)을 통해 프로세서(110)로 전송될 수 있다. 프로세서(110)는 프로세서(110)를 동작시키도록 구성된 펌웨어를 포함한다. 허니팟 파일을 제공할 때, 호스트(200)는 허니팟 파일을 메모리 매체(160) 상에 저장할 곳을 지시하거나, 대안으로 프로세서(110)는 허니팟 파일을 메모리 매체(160) 상에 저장할 곳을 결정할 수 있다. 예를 들어, 프로세서(110)는 매체 제어기(120)가 허니팟 파일을 매체 제어기(120)에 의해 제어되는 메모리 매체(160A, 160B, 160C, 160D)에 분산시키게 할 수 있다. 프로세서(110)는 허니팟 파일을 메모리 매체(160A, 160B, 160C, 160D)에 쓰는 호스트(200)에 확인(acknowledgement)을 제공할 수 있다. 프로세서(110)는 호스트 인터페이스 블록(130)을 통해 호스트(200)에 의해 지정된 동작 모드, 또는 검출 모드를 더 수신할 수 있다. 대안으로, 검출 모드라고도 지칭되는 동작 모드가 저장된 설정 정보 및/또는 펌웨어를 기초로 프로세서(110)에 의해 결정될 수 있다. 허니팟 파일의 메모리 매체(160) 상의 분산 위치가 프로세서(110)에 의해 기록된다. 예를 들어, 프로세서(110)는 메모리 매체(160)에 대한 파일 위치 정보의 테이블을 유지할 수 있으며 테이블은 허니팟 파일의 위치를 포함할 수 있다. 본 명세서에 기재된 바와 같이, 암호화-랜섬웨어가 디바이스 상의 파일을 액세스하여, 파일을 암호화하고 암호화된 파일을 해역할 때 필요한 키에 대해 몸값 지불을 사용자로부터 요구하려 시도한다. 프로세서(110)는 호스트(200)로부터 메모리 매체(160) 상의 기록된 위치로의 랜덤 분산된 허니팟의 읽기 및/또는 쓰기 요청을 모니터링하여, 기록된 위치 중 임의의 위치가 액세스되는지 여부를 결정하고, 그럴 경우, 본 명세서에 기재된 바와 같이, 지정된 동작 모드를 기초로 조치를 취하도록 구성된다. SSD 제어기(100)는 ASIC, FGPA 또는 그 밖의 다른 로직 디바이스일 수 있다. 시스템(300)은 솔리드 스테이트 드라이브 하드웨어 환경을 참조하여 기재되었지만, 해당 분야의 통상의 기술자라면 그 밖의 다른 시스템 및/또는 하드웨어 환경, 가령, USB 및 그 밖의 다른 플래시 미디어 드라이브, eMMC/UFS 드라이브 등이 본 발명의 개념을 갖는 것이 이해할 것이다. 추가로, 특정 함수 및 데이터 생성이 호스트(200)에 달려있을 수 있지만, 해당 분야의 통상의 기술자라면 이러한 함수 및/또는 데이터 생성이 SSD 제어기(100) 및/또는 연관된 펌웨어에 의해 수행될 수 있다.
도 2는 암호화-랜섬웨어의 검출을 위해 호스트(200)(또는 SSD 제어기(100))에 의해 생성될 수 있는 GUI(400)의 실시예의 도식이다. GUI(400)는 사용자가 허니팟 파일로 채우기를 원하는 드라이브 또는 메모리 매체(160)의 저장공간의 퍼센티지에 대한 사용자의 입력(410)을 포함한다. 사용자는 GUI(400)의 필드(415)에 원하는 퍼센티지를 입력한다. 도 2는 필드(415) 내 20%의 입력을 보여준다. 이론적으로, 원하는 퍼센티지는 1% 내지 100%일 수 있지만, 100%의 선택은 임의의 추가 파일이 메모리 매체(160) 상에 저장되지 않게 할 것이지만 메모리 매체(160)가 비인가 액세스 시도를 검출하는 데 사용될 수 있다. 사용자가 메모리 매체(160)를 채움에 따라 메모리 매체(160) 상의 허니팟 파일을 포함하는 파일의 퍼센티지가 변한다. 예를 들어, 허니팟 파일의 분산 전에 메모리 매체(160)가 비어 있을 때, 분산 후 메모리 매체(160) 상의 파일의 100%가 허니팟 파일일 것이다. 사용자가 메모리 매체(160) 중 20%를 채워지도록 선택하는 경우, 메모리 매체(160)의 20%가 허니팟 파일을 포함할 것이고 80%가 비어있을 것이다. 호스트(200)가 메모리 매체(160)를 40%까지 채우도록 메모리 매체(160)에 충분한 추가 파일을 쓸 때, 메모리 매체(160) 상의 파일의 50%가 허니팟 파일일 것이다. 호스트(200)가 메모리 매체(160)를 60%까지 채우도록 충분한 추가 파일을 쓸 때, 메모리 매체(160) 상의 파일의 1/3이 허니팟 파일일 것이다. 메모리 매체(160)가 완전히 가득 찰 때만, 메모리 매체(160) 상의 파일의 20%가 허니팟 파일로 구성될 것이다. 메모리 매체의 저장공간을 결정하기 위한 그 밖의 다른 루틴이 가능하다.
하나의 실시예에서, 호스트(200)로부터의 그 밖의 다른 유효 데이터로 채워짐에 따라, 허니팟 파일의 랜덤 분산이 메모리 매체(160) 상에서 스케일링된다. 선택된 퍼센티지로서 20%를 이용하는 예시에서, 메모리 매체(160)의 저장공간이 파일로 단지 50%만 채워진 경우, 메모리 매체(160) 상의 파일의 10%가 허니팟일 것이며 나머지 40%가 유효한 데이터 파일일 것이다. 메모리 매체(160)의 저장공간의 75%가 유효 데이터 파일로 채워지는 경우, 메모리 매체(160) 상의 전체 파일의 15%가 허니팟 파일일 것이다. 이 실시예에서, 메모리 매체(160)가 채워짐에 따라 허니팟 파일이 생성되고 메모리 매체(160) 상으로 분산될 것이다. GUI(400)는 사용자가 메모리 매체(160) 상에 포함된 허니팟 파일의 퍼센티지를 동적으로 변경할 수 있도록 한다. GUI(400)에 의해 사용자는 메모리 매체(160)로부터 제1 복수의 허니팟을 제거하고 그런 다음 메모리 매체(160) 상으로, 사용자에 의해 선택될 때, 메모리 매체(160)의 상이한 퍼센티지를 채울 수 있는 제2 복수의 허니팟을 로딩할 수 있다.
GUI(400)는 드롭 다운 메뉴 등으로부터 사용자에 의해 선택될 수 있는, 동작 모드라고도 지칭되는 검출 레벨에 대한 사용자의 입력(420)을 포함한다. 시스템(300)은 복수의 상이한 동작 모드 중 하나로 동작할 수 있다. 설명 목적으로, 도 2는 세 가지 상이한 동작 모드, 즉, 약한 검출 모드(421), 중간 검출 모드(422), 및 엄격한 검출(423)을 보여준다.
정상적인 인가된 동작 동안, 호스트(200)는 메모리 매체(160) 내 허니팟 위치를 읽거나 쓰지 않아야 하는데, 이들은 유효 데이터 파일이 아니기 때문이다. 결과적으로, 메모리 매체(160) 내 허니팟 위치를 액세스하기 위한 호스트(200)로부터의 요청이 사용자에 의한 비인가 액세스에서의 시도를 가리킬 수 있다. 제1 동작 모드라고도 지칭되는 엄격한 검출 모드(423)에서, 메모리 매체(160) 내 허니팟 위치로의 액세스에 대한 호스트(200)로부터의 비인가된 단일 요청이 있을 때, 프로세서(110)는 메모리 매체(160)로의 액세스를 중단시킬 수 있다. 메모리 매체(160) 상에서 단일 허니팟의 위치가 액세스되는 경우, 프로세서(110)는 프로세서(110)에 의해 제어되는 모든 메모리 매체(160)로의 액세스를 중단시킬 수 있다. 프로세서(110)는 또한 허니팟의 단일 위치로의 액세스가 있을 때 메모리 매체(160) 상의 임의의 추가 파일이 액세스될 수 있도록 하기 전에 호스트(200)로부터 인증을 요청할 수 있으며, 이 때 호스트(200)는 호스트(200)에 의해 이용 가능한 어떠한 인증 방법을 이용하든 요청 사용자가 스스로 인증할 것을 요구할 수 있다. 일부 경우, 프로세서(110)는 인증을 기다리는 동안 모든 메모리 매체(160)로의 액세스를 중단시킬 수 있다.
제2 동작 모드라고도 일컬어지는 중간 검출 모드(422)에서, 프로세서(110)는 메모리 매체(160)를 분석하여, 메모리 매체(160) 상의 랜덤 분산된 허니팟 중 단일 기록된 위치로의 비인가 액세스가 있을 때 메모리 매체(160)가 공격 받고 있는지 여부를 결정할 수 있다. 프로세서(110)는 메모리 매체(160)가 공격 받고 있는지 여부를 결정하려 할 때 다양한 분석 기법을 이용할 수 있다. 예를 들어, 프로세서(110)는 임의의 유입 입력/출력(I/O) 명령어를 분석할 수 있고, I/O 명령을 기초로, 프로세서(110)는 제3자가 파일의 큰 청크를 반복적으로 읽고 그런 다음 큰 청크를 메모리 매체(160) 상에 쓰는 중임을 나타내는지 여부에 대한 결정을 할 수 있다. 분석을 기초로, 프로세서(110)는 메모리 매체(160)로의 액세스를 중단시키거나, 모든 제어된 SSD 메모리 매체(160)로의 액세스를 중단시키거나, 임의의 제어된 메모리 매체(160) 상의 임의의 추가 파일의 액세스 전에 인증을 요청할 수 있다. 그러나 프로세서(110)는 분석이 메모리 매체(160)가 공격 받고 있지 않음을 가리키는 경우 메모리 매체(들)(160)로의 연속된 액세스를 허용할 수 있다.
제3 동작 모드라고도 지칭되는 약한 검출 모드(421)에서, 프로세서(110)는 메모리 매체(160) 상의 랜덤 분산된 허니팟 파일의 다수의 위치가 액세스될 때까지 추가 조치를 지연시킬 수 있다. 예를 들어, 프로세서(110)는 임의의 조치가 취해지기 전에 지정 개수의 랜덤 분산된 허니팟 위치의 액세스를 허용하도록 구성될 수 있다. 지정 개수의 허니팟 위치가 액세스되면, 프로세서(110)는 다양한 조치를 취할 수 있는데, 가령, 메모리 매체(160)를 분석하여 메모리 매체(160)가 공격 받고 있는지 여부를 결정할 수 있다. 분석을 기초로, 프로세서(110)는 메모리 매체(160)로의 액세스를 중단시키거나, 모든 제어되는 메모리 매체(160)로의 액세스를 중단시키거나, 임의의 제어된 메모리 매체(160) 상의 임의의 추가 파일로의 액세스 전에 인증을 요청할 수 있다. 대안으로, 약한 검출 모드(421)에서 프로세서(110)는 메모리 매체(160)로의 액세스를 중단시키거나, 모든 제어된 메모리 매체(160)로의 액세스를 중단시키거나, 지정 개수의 랜덤 분산된 허니팟 위치가 액세스되면 임의의 제어된 메모리 매체(160) 상의 임의의 추가 파일의 액세스 전에 인증을 요청할 수 있다. 그 밖의 다른 동작 모드, 상기의 조합 등이 또한 가능하다.
GUI(400)가 허니팟으로서 생성될 수 있는 파일 유형에 대한 사용자의 입력(430)을 포함한다. GUI(400)는 허니팟으로서 생성되는 파일의 유형을 변화시키는 다양한 셋팅을 사용자가 선택할 수 있게 하는 드롭 다운 메뉴를 포함한다. 예를 들어, 드롭 다운 메뉴는 가정/개인(433), 비즈니스/기업(432), 및 커스텀(431)을 포함할 수 있다. 도 2에 도시된 셋팅은 예시 목적이며 본 발명의 기술 분야의 통상의 기술자라면 알 듯이 다양할 수 있다. 허니팟으로서 생성된 파일의 유형은 경우에 따라 달라질 수 있다. 예를 들어, 가정 또는 개인 디바이스 내 시스템(300)이 비즈니스 또는 기업 디바이스 내 시스템(300)과 상이한 유형의 파일을 포함하는 것이 일반적일 수 있다.
허니팟 파일은 실제 유효 데이터 파일이고 트랩이 아니라는 착각을 만들기 위해 생성되거나 랜덤 정보를 실제로 포함하는 허니팟 파일이 생성된다. 예를 들어, 허니팟 파일은, 필드(435)에 나타나는 것처럼, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .zip, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .jpeg, .jpg, .txt, .pdf, .mp3, .tiff, .wav, .bmp 및 .png로 나타날 수 있지만, 이에 한정되지는 않는다. 허니팟 파일은 본 발명의 분야의 통상의 기술자라면 알 듯이 추가 파일 유형으로 나타날 수 있다. 커스텀 셋팅(431)은 사용자가 허니팟 파일이 생성되어 보여야 할 파일의 유형을 지정하게 할 수 있다. 경우에 따른 파일 유형의 사용이 맬웨어 또는 맬웨어의 제공자가 암호화-랜섬웨어를 이용해 메모리 매체(160) 상의 파일을 암호화하려 하기 전에 메모리 매체(160)가 허니팟 파일을 포함함을 발견할 가능성을 감소시킬 수 있다.
GUI(400)가 대응하는 필드(445)를 갖는 사용자이름 입력(440) 및 대응하는 필드(455)를 갖는 패스워드 입력(450)을 포함한다. 사용자가 자신의 자격증명을 검증하고 채워질 퍼센티지(410), 검출 모드 또는 동작 모드(420), 및 파일 유형(430)을 선택하면, 버튼(460)을 생성함으로써 허니팟이 생성될 수 있다. GUI(400)는 사용자가 메모리 매체(160)의 허니팟 파일로 채워질 퍼센티지, 동작 모드, 및 허니팟 파일로서 사용되는 파일 유형을 동적으로 변경할 수 있게 한다. 사용자 입력 중 임의의 하나를 변경하면, 제1 복수의 허니팟이 메모리 매체(160)로부터 제거될 수 있고 새로운 선택된 입력에 의해 제2 복수의 허니팟이 메모리 매체(160) 상으로 저장될 수 있다.
도 3은 암호화-랜섬웨어를 검출하는 것을 포함해, 메모리 디바이스를 동작시키기는 방법(500)의 하나의 실시예에 대한 흐름도이다. 단계(505)에서, 방법(500)은 제1 복수의 파일을 메모리 매체로 쓰는 단계를 포함한다. 제1 복수의 파일은 메모리 매체의 위치에 랜덤 분산된 허니팟 파일일 수 있다. 제1 복수의 파일은 랜덤 유형의 파일을 포함할 수 있고 랜덤 크기를 갖는 파일을 포함할 수 있다. 방법(500)은 메모리 매체의 동작 모드를 기록하는 단계(510)를 포함한다. 본 명세서에 기재된 바와 같이, 랜덤 분산된 파일 중 하나가 액세스될 때, 동작 모드, 또는 검출 모드가 취해질 조치를 결정할 수 있다. 앞서 기재된 바와 같이, 동작 모드의 결정이 사용자로부터의 선택을 수신하거나, 제어기에 이미 저장된 설정 셋팅, 가령, 레지스터 또는 메모리 매체의 설정 영역에 저장된 셋팅을 참조하는 것을 포함할 수 있다. 방법(500)은 메모리 매체 상의 랜덤 분산된 제1 복수의 파일의 각각의 파일의 각각의 위치를 기록하는 단계(515)를 포함한다. 방법(500)은 랜덤 분산된 제1 복수의 파일 중 임의의 파일이 액세스되는지 여부를 모니터링하는 단계(520)를 포함한다. 앞서 언급된 바와 같이, 이 모니터링하는 단계는 제어기가 호스트로부터의 읽기/쓰기 또는 그 밖의 다른 액세스 요청을 평가하여 허니팟 파일의 어드레스가 요청된 어드레스에 대응하는지 여부를 결정하는 단계를 포함할 수 있다. 랜덤 분산된 복수의 파일 중 하나의 파일이 액세스된 경우, 방법은 기록된 동작 모드를 기초로 조치를 취하는 단계(525)를 포함한다. 대안으로, 방법(500)은 복수의 랜덤 분산된 파일 중 둘 이상의 파일이 액세스될 때까지 조치를 취하지 않을 수 있다.
취해지는 조치는 메모리 매체로의 액세스를 중단시키는 선택적 단계(550), 인증하는 요청하는 선택적 단계(555), 또는 메모리 매체를 분석하여 메모리 매체가 공격 받는 중인지 여부를 결정하는 선택적 단계(560)일 수 있다. 메모리 매체가 공격 받는 중인 경우, 방법은 메모리 매체로의 액세스를 중단시키는 단계(550), 또는 인증을 요청하는 단계(555)를 더 포함할 수 있다.
방법(500)은 메모리 매체 상으로 제1 복수의 파일을 쓰는 단계(505) 전에, 제1 복수의 파일을 메모리 매체 상으로 분산시키기 전에 메모리 매체의 랜덤 분산된 제1 복수의 파일로 채워질 저장공간의 제1 퍼센티지를 할당하는 단계(530)를 포함할 수 있다. 메모리 매체의 저장공간의 제1 퍼센티지의 할당은 사용자에 의해 선택된 변수에 대응할 수 있다. 하나의 실시예에서, 메모리 매체가 채워짐에 따라 제1 복수의 랜덤 분산된 파일의 랜덤 분산이 메모리 매체 상으로 스케일링된다. 방법(500)은 랜덤 분산된 제1 복수의 파일을 메모리 매체로부터 제거하는 단계(535)(가령, 허니팟 파일과 연관된 어드레스를 소거 또는 프로그래밍), 메모리 매체의 저장공간의 제1 퍼센티지와 상이한 메모리 매체의 랜덤 분산된 파일로 채워질 저장공간의 제2 퍼센티지를 할당하는 단계를 포함할 수 있다. 방법(545)은 메모리 매체로 제2 복수의 파일을 쓰는 단계를 포함할 수 있다.
도 4는 메모리 디바이스를 동작시키는, 예컨대, 메모리 매체를 암호화-랜섬웨어로부터 보호하는 방법(600)의 하나의 실시예의 흐름도이다. 방법(600)의 단계가 도 4에 순차적으로 도시되어 있지만, 단계 각각은 도시된 시퀀스로 이행될 필요는 없다. 예를 들어, 암호화-랜섬웨어 모니터링의 레벨에 대한 사용자-선택 입력을 수신하는 단계(620)가 단계(610 및 615) 등 전에 수행될 수 있다. 상기 방법은 채워질 메모리 매체 저장공간의 퍼센티지 및 암호화-랜섬웨어 모니터링의 레벨에 대한 사용자-선택적 입력을 수용하는 GUI를 생성하는 단계(605)를 포함한다. 암호화-랜섬웨어의 레벨이 본 명세서에 언급된 바와 같이 엄격한 검출 모드, 중간 검출 모드 및 약한 검출 모드로부터 선택될 수 있다. 그러나 본 발명의 기술 분야의 통상의 기술자라면 알 듯이 경우에 따라 암호화-랜섬웨어의 레벨이 변할 수 있다. 상기 방법은 채워질 메모리 매체 저장공간의 퍼센티지에 대한 사용자-선택적 입력을 수신하는 단계(610), 및 이에 응답하여, 랜덤 파일 이름, 랜덤 크기, 및/또는 랜덤 파일 유형을 갖는 복수의 허니팟 파일을 생성하는 단계(615)를 포함한다. 생성된 복수의 허니팟 파일의 총 크기가 채워질 메모리 매체 저장공간의 퍼센티지에 대한 사용자-선택적 입력과 동일하다.
방법(600)은 암호화-랜섬웨어 모니터링의 레벨에 대한 사용자-선택적 입력을 수신하는 단계(620), 및 이에 응답하여, 메모리 매체의 제어기에 대한 동작 모드 명령어를 생성하는 단계(625)를 포함한다. 동작 모드 명령어는 암호화-랜섬웨어 모니터링의 레벨에 대한 수신된 입력에 대응한다. 방법(600)은 메모리 매체에 대한 제어기로 동작 모드 명령어를 발행하는 단계(630), 및 생성된 복수의 허니팟 파일을 메모리 매체 저장장소 내 랜덤 위치로 쓰기 위한 명령어를 메모리 매체의 제어기로 발행하는 단계(635)를 포함한다. 허니팟 파일을 쓰기 위한 명령어는 제어기가 허니팟 파일에 대한 랜덤 위치에 대한 어드레스 자체를 선택하기 위한 명령어를 포함하거나 호스트에 의해 결정될 때 랜덤 위치의 실제 어드레스를 포함할 수 있다. 방법(600)은 SSD 메모리 제어기로부터, 허니팟 파일의 쓰기가 발생할 것이며 SSD 메모리 제어기에 대한 동작 모드가 설정되었다는 확인(acknowledgement)을 수신하는 단계(640)를 포함한다. 상기 방법(600)은 메모리 매체 저장공간 내 랜덤 위치에 저장될 허니팟 파일을 제어기로 전송하는 단계(645)를 포함한다.
GUI는 복수의 허니팟 파일에 대한 랜덤 파일 유형을 생성할 때 사용될 파일의 유형에 대한 사용자-선택적 입력을 수용할 수 있다. 방법(600)은 복수의 허니팟 파일에 대한 랜덤 파일 유형을 생성할 때 사용될 파일의 유형에 대한 사용자-선택적 입력을 수신하는 단계(650)를 포함할 수 있다. 상기 방법(600)은 사용자-선택적 파일 유형을 갖는 복수의 허니팟 파일을 생성하는 단계(655)를 포함할 수 있다. 본 명세서에서의 파일 이름, 파일 유형, 위치 및/또는 내용이 "랜덤"인 것으로 기재되었지만, 본 발명의 분야의 통상의 기술자라면 알 듯이, 파일 이름, 파일 유형, 위치 및/또는 내용은 수학적 의미로 반드시 완전히 "랜덤"일 필요는 없다. 예를 들어, 파일 이름, 파일 유형, 위치 및/또는 내용이 통계적으로 랜덤, 또는 제3자에게 "랜덤"으로 나타나도록 파일 이름, 파일 유형, 위치 및/또는 내용이 지정된 파일 이름, 파일 유형, 위치 및/또는 내용을 이용해 생성될 수 있다. 또 다른 예를 들면, 파일 이름, 파일 유형, 위치 및/또는 내용이 통계적으로 랜덤, 또는 제3자에게 랜덤으로 보이도록, 알고리즘 또는 확실한 절차가 파일 이름, 파일 유형, 위치 및/또는 내용을 생성할 수 있다. 본 발명의 분야의 통상의 기술자가 알 듯이 각각이 의사랜덤(pseudorandom), 준-랜덤(quasi-random)에 불과하거나 수학적 의미로 완전한 랜덤이 아닐 수 있더라도, 그 밖의 다른 다양한 기법이 "랜덤"으로 보이는 파일 이름, 파일 유형, 위치 및/또는 내용을 생성하는 데 사용될 수 있다. 용어 "랜덤"은 본 명세서에서 이들 기법 각각 등을 포함한다.
본 발명이 특정 실시예의 측면에서 기재되었지만, 해당 분야의 통상의 기술자에게 자명한 그 밖의 다른 실시예, 가령, 본 명세서에 제공된 특징 및 이점 모두를 제공하지 않는 실시예가 또한 본 명세서의 범위 내에 있다. 따라서 본 발명의 범위가 이하의 청구항 및 이의 균등항을 참조해서만 정의된다.

Claims (25)

  1. 제1 복수의 파일을 메모리 매체 상에 쓰기 전에, 메모리 매체의 랜덤 분산된 제1 복수의 파일로 채워질 저장공간의 제1 퍼센티지를 할당하는 단계,
    메모리 매체로의 액세스에 대한 요청 전에, 제1 복수의 파일을 메모리 매체 상으로 쓰는 단계 - 상기 제1 복수의 파일은 메모리 매체의 위치들에 랜덤 분산됨 -,
    메모리 매체의 동작 모드를 기록하는 단계,
    랜덤 분산된 제1 복수의 파일의 각각의 파일에 대해 메모리 매체 상의 각각의 위치를 기록하는 단계,
    랜덤 분산된 제1 복수의 파일을 액세스에 대해 모니터링하는 단계, 및
    랜덤 분산된 복수의 파일 중 하나의 파일이 액세스될 때 기록된 동작 모드를 기초로 조치를 취하는 단계
    를 포함하는, 메모리 시스템을 동작시키는 방법.
  2. 삭제
  3. 제1항에 있어서, 메모리 매체의 랜덤 분산된 제1 복수의 파일로 채워질 제1 퍼센티지를 할당하는 단계는 메모리 매체의 채워질 저장공간의 제1 퍼센티지의 사용자 선택 변수를 수신하는 단계를 포함하는, 메모리 시스템을 동작시키는 방법.
  4. 제1항에 있어서,
    랜덤 분산된 제1 복수의 파일을 메모리 매체로부터 제거하는 단계,
    메모리 매체의 랜덤 분산된 파일들로 채워질 저장공간의 제2 퍼센티지를 할당하는 단계 - 제2 퍼센티지는 제1 퍼센티지와 상이함 - , 및
    제2 복수의 파일을 메모리 매체 상으로 쓰는 단계 - 제2 복수의 파일은 제2 퍼센티지를 기초로 메모리 매체 상으로 랜덤 분산됨 - 를 더 포함하는, 메모리 시스템을 동작시키는 방법.
  5. 제1항에 있어서, 랜덤 분산된 제1 복수의 파일은 랜덤 유형의 파일을 포함하는, 메모리 시스템을 동작시키는 방법.
  6. 제1항에 있어서, 동작 모드는 제1 동작 모드를 포함하며, 조치는 인증을 요청하는 것을 포함하는, 메모리 시스템을 동작시키는 방법.
  7. 제1항에 있어서, 동작 모드는 제1 동작 모드를 포함하며, 조치는 메모리 매체로의 액세스를 중단시키는 것을 포함하는, 메모리 시스템을 동작시키는 방법.
  8. 제1항에 있어서, 동작 모드는 제2 동작 모드를 포함하며, 조치는 메모리 매체를 분석하는 것을 포함하는, 메모리 시스템을 동작시키는 방법.
  9. 제8항에 있어서, 분석이 메모리 매체가 공격 받는 중임을 가리키는 경우 인증을 요청하는 단계를 더 포함하는, 메모리 시스템을 동작시키는 방법.
  10. 제8항에 있어서, 분석이 메모리 매체가 공격 받는 중임을 가리키는 경우 메모리 매체로의 액세스를 중단시키는 단계를 더 포함하는, 메모리 시스템을 동작시키는 방법.
  11. 제1항에 있어서, 동작 모드는 제3 동작 모드를 포함하고 제1 복수의 랜덤 분산된 파일 중 둘 이상의 파일이 액세스될 때까지 조치는 취해지지 않는, 메모리 시스템을 동작시키는 방법.
  12. 제11항에 있어서, 제1 복수의 랜덤 분산된 파일 중 둘 이상의 파일이 액세스될 때 메모리 매체를 분석하는 단계를 더 포함하는, 메모리 시스템을 동작시키는 방법.
  13. 제12항에 있어서, 분석이 메모리 매체가 공격 받는 중이라고 결정한 경우 인증을 요청하는 단계를 더 포함하는, 메모리 시스템을 동작시키는 방법.
  14. 제12항에 있어서, 제1 복수의 랜덤 분산된 파일 중 둘 이상의 파일이 액세스될 때 메모리 매체로의 액세스를 중단시키는 단계를 더 포함하는, 메모리 시스템을 동작시키는 방법.
  15. 프로세서를 포함하는 제어기, 및
    하나 이상의 메모리 매체 디바이스 - 프로세서는 허니팟 파일들을 분산하기 전에, 하나 이상의 메모리 매체 디바이스의 랜덤 분산된 복수의 허니팟 파일로 채워질 저장공간의 제1 퍼센티지를 할당하도록 구성되고, 메모리 매체 디바이스들로의 액세스에 대한 요청 전에, 복수의 허니팟 파일을 메모리 매체 디바이스 상으로 랜덤 분산시키도록 구성되며, 검출 모드를 설정하도록 구성되고, 메모리 매체 디바이스 상의 각각의 허니팟 파일에 대한 위치를 기록하도록 구성되며, 랜덤 분산된 복수의 허니팟 파일 중 임의의 파일로의 액세스를 모니터링하도록 구성되고, 복수의 랜덤 분산된 허니팟 파일로 메모리 매체 디바이스의 지정 저장 퍼센티지를 채우도록 구성됨 - 를 포함하는, 메모리 시스템.
  16. 제15항에 있어서, 엄격한 검출 모드(strict detection mode)에서 프로세서는, 허니팟 파일 중 임의의 하나의 파일로의 최초 액세스 후, 메모리 매체 디바이스로의 액세스를 중단시키거나 인증을 요청하도록 구성되는, 메모리 시스템.
  17. 제15항에 있어서, 중간 검출 모드(moderate detection mode)에서 프로세서는, 메모리 매체 디바이스를 분석하여, 공격 받고 있는지 여부를 결정하도록 구성되며, 공격 받고 있는 경우, 프로세서는 메모리 매체 디바이스로의 액세스를 중단시키거나 인증을 요청하도록 구성되는, 메모리 시스템.
  18. 제15항에 있어서, 약한 검출 모드(light detection mode)에서, 프로세서는, 지정 개수의 랜덤 분산된 허니팟 파일이 액세스된 후 메모리 매체 디바이스로의 액세스를 중단시키거나 인증을 요청하도록 구성되는, 메모리 시스템.
  19. 제15항에 있어서, 메모리 매체 디바이스는 NAND 플래시 메모리 디바이스를 더 포함하는, 메모리 시스템.
  20. 제15항에 있어서, 복수의 랜덤 분산된 허니팟 파일은 랜덤 파일 이름 및 랜덤 크기를 포함하는 복수의 파일을 더 포함하고 각각의 허니팟 파일은 랜덤 정보를 포함하는, 메모리 시스템.
  21. 메모리 매체,
    복수의 허니팟 파일을 생성하도록 구성된 호스트, 및
    프로세서를 포함하는 제어기 - 상기 제어기는 메모리 매체와 통신하고 메모리 매체의 동작을 제어하도록 구성되고, 허니팟 파일들을 분산하기 전에, 메모리 매체의 랜덤 분산된 복수의 허니팟 파일로 채워질 저장공간의 제1 퍼센티지를 할당하도록 구성되고,
    상기 제어기는 메모리 매체로의 액세스에 대한 요청 전에, 호스트에 의해 생성된 복수의 허니팟 파일을 메모리 매체 상으로 랜덤 분산시키도록 구성되고, 제어기는 랜덤 분산된 복수의 허니팟 파일의 각각의 파일의 액세스를 모니터링하도록 구성됨 - 를 포함하는, 암호화-랜섬웨어의 검출을 위한 시스템.
  22. 제21항에 있어서, 호스트는 사용자 선택 검출 모드, 메모리 매체의 랜덤 분산된 복수의 파일로 채워질 저장공간의 사용자 선택된 퍼센티지, 및 랜덤 분산될 파일의 사용자 선택 유형을 포함하는, 암호화-랜섬웨어의 검출을 위한 시스템.
  23. 제22항에 있어서, 호스트는 그래픽 사용자 인터페이스(GUI)를 생성하도록 구성되며, 상기 GUI는 검출 모드, 메모리 매체의 채워질 저장공간의 퍼센티지, 및 랜덤 분산될 파일의 유형에 대한 사용자 선택의 입력을 가능하게 하는, 암호화-랜섬웨어의 검출을 위한 시스템.
  24. 메모리 매체의 채워질 저장공간의 퍼센티지, 및 암호화-랜섬웨어 모니터링의 레벨에 대한 사용자-선택적 입력을 수용하는 그래픽 사용자 인터페이스(GUI)를 생성하는 단계,
    복수의 허니팟 파일을 생성하기 전에, 메모리 매체의 채워질 저장공간의 퍼센티지에 대한 사용자-선택적 입력을 수신하고, 이에 응답하여, 랜덤 파일 이름, 랜덤 크기, 및 랜덤 파일 유형을 갖는 복수의 허니팟 파일을 생성하는 단계 - 생성된 복수의 허니팟 파일의 총 크기는 메모리 매체의 채워질 저장공간의 퍼센티지에 대한 사용자-선택적 입력과 동일함 - ,
    암호화-랜섬웨어 모니터링의 레벨에 대한 사용자-선택적 입력을 수신하고, 이에 응답하여, 암호화-랜섬웨어 모니터링의 레벨에 대한 수신된 입력에 대응하는 메모리 매체의 제어기에 대한 동작 모드 명령어를 생성하는 단계,
    동작 모드 명령어를 메모리 매체의 제어기로 발행하고 생성된 복수의 허니팟 파일의 메모리 매체의 저장공간 내 랜덤 위치들로의 전송을 개시하라는 명령어를 메모리 매체의 제어기로 발행하는 단계,
    허니팟 파일들의 전송이 일어날 것이며 메모리 매체의 제어기에 대한 동작 모드가 기록되었다는 확인(acknowledgement)을 메모리 매체의 제어기로부터 수신하는 단계, 및
    허니팟 파일들을 제어기로 전송하여 메모리 매체의 저장공간 내 랜덤 위치들에 저장되게 하는 단계를 포함하는,
    암호화-랜섬웨어로부터 메모리 매체를 보호하는 방법.
  25. 제24항에 있어서, GUI는 랜덤 파일 유형의 복수의 허니팟 파일을 생성할 때 사용될 파일의 유형에 대한 사용자-선택적 입력을 수용하고, 상기 방법은
    복수의 허니팟 파일에 대한 랜덤 파일 유형을 생성할 때 사용될 파일의 유형에 대한 사용자-선택적 입력을 수신하고, 이에 응답하여, 랜덤 파일 유형을 갖는 복수의 허니팟 파일을 생성하는 단계 - 상기 랜덤 파일 유형은 사용자-선택 파일 유형으로부터 선택됨 - 를 더 포함하는, 암호화-랜섬웨어로부터 메모리 매체를 보호하는 방법.
KR1020197035933A 2017-05-08 2018-05-02 암호화-랜섬웨어 위협 검출 KR102352094B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/589,532 2017-05-08
US15/589,532 US10599838B2 (en) 2017-05-08 2017-05-08 Crypto-ransomware compromise detection
PCT/US2018/030647 WO2018208555A1 (en) 2017-05-08 2018-05-02 Crypto-ransomware compromise detection

Publications (2)

Publication Number Publication Date
KR20190138701A KR20190138701A (ko) 2019-12-13
KR102352094B1 true KR102352094B1 (ko) 2022-01-17

Family

ID=64015060

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197035933A KR102352094B1 (ko) 2017-05-08 2018-05-02 암호화-랜섬웨어 위협 검출

Country Status (5)

Country Link
US (1) US10599838B2 (ko)
EP (1) EP3622431B1 (ko)
KR (1) KR102352094B1 (ko)
CN (1) CN110709843B (ko)
WO (1) WO2018208555A1 (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10938854B2 (en) * 2017-09-22 2021-03-02 Acronis International Gmbh Systems and methods for preventive ransomware detection using file honeypots
US10831888B2 (en) * 2018-01-19 2020-11-10 International Business Machines Corporation Data recovery enhancement system
US11144656B1 (en) * 2019-03-25 2021-10-12 Ca, Inc. Systems and methods for protection of storage systems using decoy data
US11782790B2 (en) * 2019-07-10 2023-10-10 Centurion Holdings I, Llc Methods and systems for recognizing unintended file system changes
US11714907B2 (en) * 2021-03-09 2023-08-01 WatchPoint Data, Inc. System, method, and apparatus for preventing ransomware
CN112988630A (zh) * 2021-03-22 2021-06-18 湖南大学 一种基于微过滤器的移动存储设备的读写控制方法及系统
CN113079157A (zh) * 2021-03-31 2021-07-06 广州锦行网络科技有限公司 获取网络攻击者位置的方法、装置、电子设备
CN113609483B (zh) * 2021-07-16 2024-05-03 山东云海国创云计算装备产业创新中心有限公司 一种服务器病毒处理的方法、装置、设备及可读介质
US20230060606A1 (en) * 2021-08-26 2023-03-02 International Business Machines Corporation Filesystem object protection from ransomware attacks
US11349855B1 (en) * 2022-02-04 2022-05-31 Ten Root Cyber Security Ltd. System and method for detecting encrypted ransom-type attacks

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020157021A1 (en) * 2000-07-14 2002-10-24 Stephen Sorkin System and method for computer security using multiple cages
US20130185492A1 (en) * 2012-01-13 2013-07-18 Lenovo (Singapore) Pte. Ltd. Memory Watch
US20160180087A1 (en) * 2014-12-23 2016-06-23 Jonathan L. Edwards Systems and methods for malware detection and remediation

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8141159B2 (en) 2002-12-31 2012-03-20 Portauthority Technologies Inc. Method and system for protecting confidential information
US7324804B2 (en) * 2003-04-21 2008-01-29 Airdefense, Inc. Systems and methods for dynamic sensor discovery and selection
EP1630710B1 (en) * 2004-07-21 2019-11-06 Microsoft Technology Licensing, LLC Containment of worms
RU2007142368A (ru) * 2005-04-18 2009-05-27 Дзе Трастиз Оф Коламбия Юниверсити Ин Дзе Сити Оф Нью Йорк (Us) Системы и способы для детектирования и подавления атак с использованием "медоносов"
US20070199070A1 (en) 2006-02-17 2007-08-23 Hughes William A Systems and methods for intelligent monitoring and response to network threats
US20140373144A9 (en) 2006-05-22 2014-12-18 Alen Capalik System and method for analyzing unauthorized intrusion into a computer network
US7873635B2 (en) * 2007-05-31 2011-01-18 Microsoft Corporation Search ranger system and double-funnel model for search spam analyses and browser protection
US9037608B1 (en) * 2008-03-21 2015-05-19 Symantec Corporation Monitoring application behavior by detecting file access category changes
US8181250B2 (en) * 2008-06-30 2012-05-15 Microsoft Corporation Personalized honeypot for detecting information leaks and security breaches
JP5216463B2 (ja) * 2008-07-30 2013-06-19 株式会社日立製作所 ストレージ装置、その記憶領域管理方法及びフラッシュメモリパッケージ
US8893280B2 (en) * 2009-12-15 2014-11-18 Intel Corporation Sensitive data tracking using dynamic taint analysis
US9274908B2 (en) * 2013-02-26 2016-03-01 International Business Machines Corporation Resolving write conflicts in a dispersed storage network
US9213653B2 (en) * 2013-12-05 2015-12-15 Intel Corporation Memory integrity
US9516054B2 (en) 2014-04-14 2016-12-06 Trap Data Security Ltd. System and method for cyber threats detection
US9807115B2 (en) * 2014-09-05 2017-10-31 Topspin Security Ltd System and a method for identifying the presence of malware and ransomware using mini-traps set at network endpoints
CN104978519A (zh) * 2014-10-31 2015-10-14 哈尔滨安天科技股份有限公司 一种应用型蜜罐的实现方法及装置
CN106096397B (zh) * 2016-05-26 2019-05-28 倪茂志 一种勒索软件的防范方法和系统
US10122752B1 (en) * 2016-06-10 2018-11-06 Vmware, Inc. Detecting and preventing crypto-ransomware attacks against data
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
US10387648B2 (en) * 2016-10-26 2019-08-20 Cisco Technology, Inc. Ransomware key extractor and recovery system
US20180146009A1 (en) * 2016-11-18 2018-05-24 Brad Austin Primm Computer network security system for protecting against malicious software

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020157021A1 (en) * 2000-07-14 2002-10-24 Stephen Sorkin System and method for computer security using multiple cages
US20130185492A1 (en) * 2012-01-13 2013-07-18 Lenovo (Singapore) Pte. Ltd. Memory Watch
US20160180087A1 (en) * 2014-12-23 2016-06-23 Jonathan L. Edwards Systems and methods for malware detection and remediation

Also Published As

Publication number Publication date
US10599838B2 (en) 2020-03-24
CN110709843A (zh) 2020-01-17
KR20190138701A (ko) 2019-12-13
EP3622431A4 (en) 2021-01-13
US20180324214A1 (en) 2018-11-08
WO2018208555A1 (en) 2018-11-15
CN110709843B (zh) 2023-08-25
EP3622431B1 (en) 2022-08-10
EP3622431A1 (en) 2020-03-18

Similar Documents

Publication Publication Date Title
KR102352094B1 (ko) 암호화-랜섬웨어 위협 검출
EP1946238B1 (en) Operating system independent data management
JP5402498B2 (ja) 情報記憶装置、情報記憶プログラム、そのプログラムを記録した記録媒体及び情報記憶方法
KR102176612B1 (ko) 보안 서브시스템
US11368299B2 (en) Self-encryption drive (SED)
US9100173B2 (en) Security USB storage medium generation and decryption method, and medium recorded with program for generating security USB storage medium
EP2161673A1 (en) Method and system for protecting data
US20110264925A1 (en) Securing data on a self-encrypting storage device
US20130191636A1 (en) Storage device, host device, and information processing method
JP2008257691A (ja) ストレージデバイスのデータ暗号化およびデータアクセスのシステムおよび方法
JP2003345654A (ja) データ保護システム
TWI711940B (zh) 用於資料儲存設備的安全快照管理的裝置、系統、及方法
TWI705687B (zh) 用於資料加解密的金鑰管理裝置及處理器晶片
US8898807B2 (en) Data protecting method, mobile communication device, and memory storage device
CN104967591A (zh) 云存储数据读写方法、设备及读写控制方法、设备
TW200832181A (en) System and method of data encryption and data access of a set of storage device via a hardware key
Yu et al. Mobihydra: Pragmatic and multi-level plausibly deniable encryption storage for mobile devices
JP2024500732A (ja) 内部動作を介してキー・パーio対応デバイス中に記憶されたデータの暗号消去
KR20200063535A (ko) 서버 및 이를 이용한 어플리케이션의 무결성 판단 방법
KR20230047018A (ko) 플렉서블 용량 특징을 갖는 저장 장치의 보안을 향상시키는 방법
US20220123932A1 (en) Data storage device encryption
TWI731407B (zh) 具有旁通通道的金鑰管理裝置及處理器晶片
US20210083858A1 (en) Crypto-erasure via internal and/or external action
KR101469803B1 (ko) 데이터 보안장치, 이를 구비하는 단말기 및 데이터 보안 방법과 컴퓨터로 읽을 수 있는 기록매체
US11995223B2 (en) Data storage device encryption

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant