KR20180054389A - Client device and back-up method based on cloud, recording medium for performing the method - Google Patents

Client device and back-up method based on cloud, recording medium for performing the method Download PDF

Info

Publication number
KR20180054389A
KR20180054389A KR1020160155743A KR20160155743A KR20180054389A KR 20180054389 A KR20180054389 A KR 20180054389A KR 1020160155743 A KR1020160155743 A KR 1020160155743A KR 20160155743 A KR20160155743 A KR 20160155743A KR 20180054389 A KR20180054389 A KR 20180054389A
Authority
KR
South Korea
Prior art keywords
normal
file
abnormal
determined
list
Prior art date
Application number
KR1020160155743A
Other languages
Korean (ko)
Other versions
KR101940864B1 (en
Inventor
정수환
하상민
김태훈
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Publication of KR20180054389A publication Critical patent/KR20180054389A/en
Application granted granted Critical
Publication of KR101940864B1 publication Critical patent/KR101940864B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • G06F11/1464Management of the backup or restore process for networked environments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Abstract

The present invention discloses a cloud-based client device and a backup method, and a recording medium for performing the backup method. A cloud-based client device according to an aspect of the present invention includes: a process monitoring unit for monitoring an operation of processes on a system; a process inspecting unit for inspecting whether a process of accessing a file is normal when an event occurs in the file targeted by ransomware as a result of monitoring the processes; and a processing unit which determines whether the process is normal, allows accessing of the process if the process is determined as a normal process, encrypts and stores the file accessed by the process in a cloud server when the process operation ends, encrypts and stores the file in the cloud server before the process accesses if the process is determined as an abnormal process, transmits a notification message warning the access of the abnormal process to the user, compulsively ends the process when receiving an access deny message from the user, registers the process in a normal process list when receiving an access permission message from the user, and designates the process as a suspicious process so that the process is continuously monitored to check the abnormal behavior.

Description

클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체{CLIENT DEVICE AND BACK-UP METHOD BASED ON CLOUD, RECORDING MEDIUM FOR PERFORMING THE METHOD}BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to a client device, a backup method, and a recording medium for performing the same. 2. Description of the Related Art [0002]

본 발명은 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체에 관한 것으로, 더욱 상세하게는 알려지지 않은 랜섬웨어로부터 사용자의 파일(데이터)을 보호하고, 복구하기 위한 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체에 관한 것이다.The present invention relates to a cloud-based client apparatus and a backup method, and a recording medium for performing the same. More particularly, the present invention relates to a cloud-based client apparatus and method for protecting and recovering user's files (data) A backup method, and a recording medium for performing the backup method.

최근 랜섬웨어에 의한 피해가 지속적으로 증가함에 따라, 컴퓨터 바이러스 백신 제조사에서 랜섬웨어를 탐지하기 위해 랜섬웨어용 탐지 백신을 만들고 있다. 랜섬웨어는, 몸값을 뜻하는 Ransom과 제품을 뜻하는 Ware의 합성어이며, 사용자의 동의 없이 컴퓨터에 불법으로 설치되어 사용자의 파일을 인질로 잡아 금전적인 요구를 하는 악성 프로그램을 말하며, 랜섬웨어에 감염된 파일은 암호화되어 사용자가 풀 수 없는 문제점이 발생한다. 대부분의 랜섬웨어 탐지 방식은 동작 형태가 분석된 랜섬웨어를 시그니처화 한 후 탐지하고, 탐지된 랜섬웨어를 삭제하여 감염을 방지하는 시그니처 기반의 탐지 기법을 사용한다. 상술한 종래 기술에 따른 랜섬웨어 탐지 기술은 랜섬웨어의 해쉬 정보나 특정 인덱스의 고유한 값 등의 패턴을 시그니처화하고, 새로운 랜섬웨어로 인해 피해가 발생하면 해당 랜섬웨어의 분석이 끝난 후 해당 시그니처를 업데이트하여, 각 사용자가 백신에 적용해야만 탐지가 가능하다. 하지만, 상술한 시그니처 기반의 랜섬웨어 탐지는 이미 알려진 랜섬웨어 공격에 대해서는 효과적이지만 알려지지 않은 랜섬웨어 공격에는 대응이 어렵고, 감염이 되어 암호화된 사용자의 데이터는 복수하기 힘들다는 문제점이 있다. Recently, as the damage caused by Ransomware continues to increase, a computer virus vaccine maker is making a detection vaccine for Ransomware to detect Ransomware. Ransomware is a combination of Ransom, which means ransom, and Ware, which means product. It is a malicious program that illegally installed on a computer without user's consent, The file is encrypted and the user can not solve it. Most Ransomware detection methods use a signature-based detection technique to detect infection after the Ransomware signature is analyzed and delete the detected Ransomware. The Ransomware detection technology according to the conventional technology described above signifies a pattern such as hash information of the Ransomware or a unique value of the specific index, and when the damage occurs due to the new Ransomware, after the analysis of the Ransomware is completed, So that detection can be performed only when each user applies the vaccine. However, the above-described signature-based Ransomware detection is effective for the known Ransomware attacks, but it is difficult to cope with the unknown Ransomware attacks and the data of the encrypted user is difficult to retrieve.

한국등록특허 제10-1327740호(2013.11.11 공고)Korean Registered Patent No. 10-1327740 (published Nov. 11, 2013)

본 발명은 상기와 같은 문제점을 해결하기 위해 제안된 것으로서, 클라우드 서버에 파일을 복사하여 저장함으로써 알려지지 않은 랜섬웨어로부터 파일을 보호하고, 파일이 손상된 경우 복구할 수 있는 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체를 제공하는데 그 목적이 있다.The present invention has been proposed in order to solve the above problems, and it is an object of the present invention to provide a cloud-based client device and a backup method capable of protecting a file from an unknown random software by copying and storing a file in a cloud server, And a recording medium for carrying out the method.

본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 일 실시 예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.Other objects and advantages of the present invention can be understood by the following description, and will be more clearly understood by one embodiment of the present invention. It will also be readily apparent that the objects and advantages of the invention may be realized and attained by means of the instrumentalities and combinations particularly pointed out in the appended claims.

상기와 같은 목적을 달성하기 위한 본 발명의 일 측면에 따른 클라우드 기반의 클라이언트 장치는, 시스템 상에 프로세스들의 동작을 모니터링하는 프로세스 모니터링부; 상기 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사하는 프로세스 검사부; 및 상기 프로세스의 정상 여부 판단시, 정상 프로세스로 판단될 경우, 프로세스의 접근을 먼저 허용하고 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버에 암호화하여 저장하고, 상기 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단될 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버에 저장하고, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하며, 사용자로부터 액세스 불가 메시지를 수신하면 프로세스를 강제 종료하고, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시하는 처리부;를 포함한다. According to an aspect of the present invention, there is provided a client apparatus for a cloud, the apparatus comprising: a process monitoring unit for monitoring an operation of processes on a system; A process checking unit for checking whether a process for accessing a file in which an event occurs is normal when an event occurs in a target file of the random software as a result of monitoring the processes; And when the process is determined to be normal, if the process is determined to be a normal process, the process is allowed to access first, and when the process is completed, the file accessed by the process is encrypted and stored in the cloud server. If the process is determined to be an abnormal process, the process first encrypts the file before storing it in the cloud server, sends a notification message to the user warning the access of the abnormal process, Upon receipt of the access permission message from the user, the processing unit registers as a normal process in the normal process list, designates the suspicious process as a normal process, continuously monitors the operation of the process, and monitors whether the abnormal process is abnormal.

상기 처리부는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 상기 프로세스를 강제 종료하고, 클라우드 서버에 저장된 파일을 수신하여 복원할 수 있다. Upon receipt of an access permission message from a user, the processing unit designates a suspicious process after registration as a normal process in a normal process list, and continuously monitors the operation of the corresponding process to monitor abnormal behavior. The process is maintained in the normal process list, and if it is determined that the operation of the process is abnormal, the registered process is deleted from the normal process list, the process is forcibly terminated, and the file stored in the cloud server is deleted It can receive and restore it.

상기 처리부는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 사용자에게 비정상 행위 이력을 보여주고, 파일의 복원 절차를 안내하여, 사용자로부터 액세스 불가 메시지를 수신하는 경우 프로세스를 강제 종료하고, 상기 파일의 복원 절차에 따라 클라우드 서버에 저장된 파일을 수신하여 복원할 수 있다.Upon receipt of an access permission message from a user, the processing unit designates a suspicious process after registration as a normal process in a normal process list, and continuously monitors the operation of the corresponding process to monitor abnormal behavior. The process is maintained in the normal process list, and if the operation of the process is determined to be an abnormal operation, the registered process is deleted from the normal process list, the abnormal process history is displayed to the user, And if the access-disabled message is received from the user, the process is forcibly terminated and the file stored in the cloud server can be received and restored according to the restoration procedure of the file.

상기 비정상 행위는, 프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우일 수 있다.The abnormal behavior may be when the process accesses several other files a predetermined number of times within a predetermined time.

상기 프로세스 검사부는, 미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하면 정상 프로세스로 판단하고, 미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하지 않으면 비정상 프로세스로 판단할 수 있다.If there is no process for accessing a file in which an event has occurred in the previously stored normal process list, the process checking unit determines that the process is an abnormal process can do.

상기 프로세스 모니터링부는, API 후킹을 이용하여 프로세스들의 동작을 모니터링할 수 있다.The process monitoring unit may monitor the operation of processes using API hooking.

상기와 같은 목적을 달성하기 위한 본 발명의 다른 측면에 따른 클라우드 기반의 클라이언트 장치에서의 백업 방법은, 시스템 상에 프로세스들의 동작을 모니터링하는 프로세스 모니터링 단계; 상기 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사하는 프로세스 검사 단계; 및 상기 프로세스의 정상 여부 판단시, 정상 프로세스로 판단될 경우, 프로세스의 접근을 먼저 허용하고 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버에 암호화하여 저장하고, 상기 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단될 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버에 저장하고, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하며, 사용자로부터 액세스 불가 메시지를 수신하면 프로세스를 강제 종료하고, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시하는 처리 단계;를 포함할 수 있다.According to another aspect of the present invention, there is provided a method of backing up in a cloud-based client device, the method comprising: monitoring a process of a process on a system; A process inspecting step of inspecting whether a process of accessing a file in which an event occurs is normal when an event occurs in a target file of the random software as a result of monitoring the processes; And when the process is determined to be normal, if the process is determined to be a normal process, the process is allowed to access first, and when the process is completed, the file accessed by the process is encrypted and stored in the cloud server. If the process is determined to be an abnormal process, the process first encrypts the file before storing it in the cloud server, sends a notification message to the user warning the access of the abnormal process, Upon receiving the access permission message from the user, the processing step may include registering the normal process as a normal process in the normal process list, designating the suspicious process as a normal process, continuously monitoring the operation of the process, and monitoring abnormal behavior .

상기 처리 단계에서는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리시트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 상기 프로세스를 강제 종료하고, 클라우드 서버에 저장된 파일을 수신하여 복원할 수 있다.When the access permission message is received from the user, the process is designated as a suspicious process after being registered as a normal process in a normal process record sheet, and the abnormal process is continuously monitored to monitor the operation of the process. The process is maintained in the normal process list, and if it is determined that the operation of the process is abnormal, the registered process is deleted from the normal process list, and the process is forcibly terminated and stored in the cloud server The file can be received and restored.

상기 처리 단계에서는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리시트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 사용자에게 비정상 행위 이력을 보여주고, 파일의 복원 절차를 안내하여, 사용자로부터 액세스 불가 메시지를 수신하는 경우 프로세스를 강제 종료하고, 상기 파일의 복원 절차에 따라 클라우드 서버에 저장된 파일을 수신하여 복원할 수 있다.When the access permission message is received from the user, the process is designated as a suspicious process after being registered as a normal process in a normal process record sheet, and the abnormal process is continuously monitored to monitor the operation of the process. The process is maintained in the normal process list. If it is determined that the operation of the process is an abnormal operation, the registered process is deleted from the normal process list, and the abnormal operation history is displayed to the user. If the access-disabled message is received from the user by guiding the restoration procedure, the process can be forcibly terminated and the file stored in the cloud server can be received and restored according to the restoration procedure of the file.

상기 비정상 행위는, 프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우일 수 있다.The abnormal behavior may be when the process accesses several other files a predetermined number of times within a predetermined time.

상기 프로세스 검사 단계에서는, 미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하면 정상 프로세스로 판단하고, 미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하지 않으면 비정상 프로세스로 판단할 수 있다.In the process checking step, if there is a process accessing a file in which an event has occurred in a previously stored normal process list, it is determined to be a normal process. If there is no process accessing a file in which an event occurs, It can be judged.

상기 프로세스 모니터링 단계에서는, API 후킹을 이용하여 프로세스들의 동작을 모니터링할 수 있다.In the process monitoring step, API hooking can be used to monitor the operation of the processes.

상기와 같은 목적을 달성하기 위한 본 발명의 다른 측면에 따른 기록 매체는, 클라우드 기반의 클라이언트 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체일 수 있다.According to another aspect of the present invention, there is provided a computer-readable recording medium storing a computer program for performing a cloud-based client method.

본 발명의 일 측면에 따르면, 클라우드 서버에 파일을 복사하여 저장함으로써 알려지지 않은 랜섬웨어로부터 파일을 보호할 수 있는 효과가 있다. According to an aspect of the present invention, there is an effect that a file can be protected from unknown Ransomware by copying and storing the file in the cloud server.

또한, 파일의 저장시 암호화하여 저장함으로써 악의적인 목적을 가진 프로그램으로부터 파일을 보호할 수 있으며, 원본 파일이 손상된 경우 복구할 수 있다.It also protects files from programs with malicious intent by encrypting and storing them when they are saved, and can recover if the original files are damaged.

본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtained in the present invention are not limited to the effects mentioned above, and other effects not mentioned can be clearly understood by those skilled in the art from the following description .

본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시 예를 예시하는 것이며, 발명을 실시하기 위한 구체적인 내용들과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니 된다.
도 1은 본 발명의 일 실시 예에 따른 백업 시스템의 개략적인 구성도,
도 2는 본 발명의 일 실시 예에 따른 클라이언트 장치의 개략적인 구성도,
도 3은 본 발명의 일 실시 예에 따른 백업 방법의 흐름을 개략적으로 도시한 도면,
도 4는 본 발명의 다른 실시 예에 따른 백업 방법의 흐름을 개략적으로 도시한 도면
도 5는 본 발명의 또 다른 실시 예에 따른 백업 방법의 흐름을 개략적으로 도시한 도면이다.BRIEF DESCRIPTION OF THE DRAWINGS The accompanying drawings, which are incorporated in and constitute a part of the specification, illustrate exemplary embodiments of the invention and, together with the specific details for carrying out the invention, And shall not be construed as limited to the matters described.
1 is a schematic configuration diagram of a backup system according to an embodiment of the present invention;
2 is a schematic configuration diagram of a client apparatus according to an embodiment of the present invention;
Figure 3 schematically illustrates the flow of a backup method according to one embodiment of the present invention,
Figure 4 schematically illustrates the flow of a backup method according to another embodiment of the present invention;
FIG. 5 is a view schematically showing a flow of a backup method according to another embodiment of the present invention.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시 예를 상세히 설명하기로 한다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings, in which: There will be. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. Hereinafter, a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when an element is referred to as " comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise. In addition, the term "Quot; and " part " refer to a unit that processes at least one function or operation, which may be implemented in hardware, software, or a combination of hardware and software.

도 1은 본 발명의 일 실시 예에 따른 백업 시스템의 개략적인 구성도이다. 1 is a schematic block diagram of a backup system according to an embodiment of the present invention.

도 1을 참조하면, 본 실시 예에 따른 백업 시스템은 클라우드 서버(100) 및 클라이언트 장치(200)를 포함한다. 클라우드 서버(100)와 클라이언트 장치(200)는 클라우드 서비스를 제공할 수 있는 네크워크를 통해 연결되어, 파일을 송수신할 수 있다. 예컨대, 클라이언트 장치(200)와 클라우드 서버(100)는 클라우드 서비스가 가능한 인터넷을 통해 네트워크로 연결되어 파일을 송수신할 수 있다. Referring to FIG. 1, the backup system according to the present embodiment includes a cloud server 100 and a client device 200. The cloud server 100 and the client device 200 are connected through a network capable of providing cloud services, and can transmit and receive files. For example, the client device 200 and the cloud server 100 may be connected to a network via the Internet capable of cloud services to transmit and receive files.

클라우드 서버(100)는, 후술할 클라이언트 장치(200)로부터 백업되는 파일을 저장하는 장치일 수 있다. 이때, 클라우드 서버(100)는 종래의 클라우드 컴퓨팅에 기초하여 분산되어 존재하는 데이터 센터일 수 있다. 본 실시 예에 따르면, 백업을 위한 데이터는 클라우드 서버(100)에 저장될 경우, 하나의 장치 즉, 중앙 집중식이 아닌 분산 방식으로 별도의 저장소에 저장되므로, 프로세스가 동작하는 장치에 랜섬웨어가 침입하더라도 데이터가 백업된 클라우드 서버(100)는 랜섬웨어의 영향을 받지 않아 안전할 수 있다. The cloud server 100 may be a device for storing a file backed up from the client device 200, which will be described later. At this time, the cloud server 100 may be a distributed data center based on conventional cloud computing. According to the present embodiment, when the data for backup is stored in the cloud server 100, it is stored in a separate device in a distributed manner rather than in a centralized manner. Therefore, The cloud server 100 in which the data is backed up can be safe because it is not affected by the random software.

한편, 상술한 바와 같이 본 실시 예에 따르면 백업 시스템은 개별적인 장치로 분리되어 있는 것으로 설명하지만 이에 한하지 않으며, 클라우드 서버(100)와 클라이언트 장치(200)는 하나의 장치로 운용될 수도 있다. 예컨대, 클라우드 서버(100) 내에 클라이언트 장치(200)가 존재할 수도 있고, 상기 클라우드 서버(100)가 백업되는 파일을 저장할 수 있는 별도의 저장소 형태로 클라이언트 장치(200)에 존재할 수도 있다.As described above, according to the present embodiment, the backup system is described as being separated into individual devices. However, the present invention is not limited to this, and the cloud server 100 and the client device 200 may be operated as a single device. For example, the client device 200 may exist in the cloud server 100 or may exist in the client device 200 in a separate storage form in which the cloud server 100 can store files to be backed up.

클라이언트 장치(200)는, 사용자가 사용하는 시스템 상에 랜섬웨어가 침입하는 경우에 대비하여 파일들을 별도의 저장장치에 백업하고, 랜섬웨어에 파일이 감염될 경우 이를 복원할 수 있다. 즉, 클라이언트 장치(200)는 사용자가 사용하는 시스템 상에 프로세스들의 동작을 모니터링하고, 프로세스의 정상 여부를 검사하며, 프로세스의 정상 또는 비정상 여부에 따라 파일을 백업하여 랜섬웨어의 침입에 대비하여 동작할 수 있다. The client device 200 may back up the files to a separate storage device in case the RANemware enters the system used by the user, and may restore the files when infected with the RANemware. That is, the client device 200 monitors the operation of the processes on the system used by the user, checks whether the process is normal, backs up the file according to whether the process is normal or abnormal, can do.

클라이언트 장치(200)와 관련한 보다 상세한 설명은 도 2를 통해 후술하기로 한다. A more detailed description with respect to the client device 200 will be given later with reference to FIG.

도 2는 본 발명의 일 실시 예에 따른 클라이언트 장치의 개략적인 구성도이다.2 is a schematic configuration diagram of a client apparatus according to an embodiment of the present invention.

도 2를 참조하면, 본 실시 예에 따른 클라이언트 장치(200)는 프로세스 모니터링부(210), 프로세스 검사부(230) 및 처리부(250)를 포함한다. Referring to FIG. 2, the client apparatus 200 according to the present embodiment includes a process monitoring unit 210, a process checking unit 230, and a processing unit 250.

프로세스 모니터링부(210)는 사용자가 사용하는 시스템 상에 프로세스들의 동작을 모니터링할 수 있다. 프로세스 모니터링부(210)는 API 후킹(hooking)을 이용하여 프로세스들의 동작을 모니터링할 수 있다. API 후킹(hooking)이란 컴퓨터의 특정 프로그램이나 시스템 전역에서 API가 호출되는 것을 가로채는 것을 의미한다. 이때, API 후킹은 공지된 기술이므로 자세한 설명은 생략하기로 한다.The process monitoring unit 210 may monitor the operation of the processes on the system used by the user. The process monitoring unit 210 may monitor the operation of processes using API hooking. API hooking refers to interception of an API call from a specific program or system across a computer. At this time, the API hooking is a known technique, so a detailed description will be omitted.

프로세스 검사부(230)는 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사한다. 예컨대, 이벤트는 readfile, writefile 등과 같은 파일 입출력과 관련한 것일 수 있다.As a result of monitoring the processes, the process checking unit 230 checks whether the process of accessing the file in which the event occurs is normal if an event occurs in the target file of the firmware. For example, an event may be related to file input / output such as readfile, writefile, and the like.

프로세스 검사부(230)는 프로세스의 정상 여부 판단시, 정상 프로세스 리스트를 참고하여 프로세스의 정상 여부를 판단할 수 있다. 정상 프로세스 리스트는 사전에 사용자(관리자)가 별도의 저장소(데이터베이스)에 저장하고 관리할 수 있다. 프로세스 검사부(230)는 정상 프로세스 리스트와 이벤트가 발생한 파일에 접근하는 프로세스를 비교하여 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하면 정상 프로세스로 판단하고 그렇지 않으면 즉, 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하지 않으면 비정상 프로세스로 판단할 수 있다.When determining whether the process is normal, the process inspection unit 230 can determine whether the process is normal by referring to the normal process list. The normal process list can be stored and managed by a user (administrator) in a separate repository (database) in advance. The process inspecting unit 230 compares the normal process list with the process of accessing the file where the event occurs. If the process accessing the file where the event occurs is present in the normal process list, it is determined that the process is a normal process. Otherwise, If the accessing process does not exist in the normal process list, it can be judged to be an abnormal process.

처리부(250)는 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용할 수 있다. 처리부(250)는 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버(100)에 암호화하여 저장할 수 있다. 이때, 프로세스가 접근했던 파일을 암호화하여 클라우드 서버(100)에 저장하는 이유는, 랜섬웨어의 타겟 대상이 되는 파일에 정상 프로세스가 접근하여 특정 동작을 수행하고, 그 동작이 완료된 상태의 시점에 해당 파일을 저장하여 이후의 다른 랜섬웨어에 의한 접근으로 해당 파일이 감염된다고 하여도 정상 프로세스의 동작이 끝난 최종 시점에 복구가 가능하도록 하기 위함이다. 다만, 후술하는 비정상 프로세스의 접근 시에는 접근이 감지되자마자 해당 파일을 저장하여 복구에 대비함에 비하여, 본 구성은 정상 프로세스에 의해 해당 파일에 접근 시도 및 동작 완료된 시점에 해당 파일을 암호화하여 저장한다는 점에서 차이가 있다. 암호화되어 클라우드 서버(100)에 저장된 파일은 후술하는 복원 과정 진행시, 복원을 요청하는 장치(클라이언트 장치)의 고유키를 대조하여 일치할 경우, 복호화하여 전송함으로써 복원을 진행할 있다. 이때, 클라우드 서버(100)에 복원을 위한 파일을 저장할 경우, 복원을 요청하는 장치(클라이언트 장치)의 고유키 정보를 매핑시켜 저장할 수 있다. When determining that the process of accessing a file in which an event has occurred is normal, the processing unit 250 may allow the process to be accessed first when determining that the process is a normal process. When the process of the process is completed, the processing unit 250 can encrypt and store the file accessed by the process in the cloud server 100. At this time, the reason why the file accessed by the process is encrypted and stored in the cloud server 100 is that the normal process accesses the file that is the target of the random software and performs a specific operation, File is saved so that it can be recovered at the end point of the normal process operation even if the file is infected by access by other Ransomware. However, when the abnormal process is accessed, the corresponding file is stored and restored as soon as the access is detected. On the contrary, this configuration encrypts and stores the file at the time of accessing the corresponding file by the normal process and completing the operation There is a difference in point. When a file stored in the cloud server 100 is encrypted, the unique key of the device (client device) requesting the restoration is checked against a file stored in the cloud server 100, and the file is decrypted and transmitted. At this time, when the file for restoration is stored in the cloud server 100, unique key information of a device (client device) requesting restoration can be mapped and stored.

처리부(250)는 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단하는 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버(100)에 저장할 수 있다. 처리부(250)는 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하고, 사용자로부터 알림 메시지에 대한 응답 메시지를 수신할 수 있다. 이때, 응답 메시지는 액세스 불가 또는 액세스 허용 메시지 중 어느 하나일 수 있다. 처리부(250)는 사용자로부터 액세스 불가 메시지를 수신하면, 프로세스를 강제 종료할 수 있다. 처리부(250)는 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시할 수 있다. 이때, 비정상 행위는 프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우일 수 있다. 예컨대, 미리 정해진 시간이 10초이고, 여러 파일들(사진파일, 문서 파일(PDF, 한글, 워드 등))에 접근하는 횟수가 3회로 설정된 경우, 처리부(250)는 10초 이내에 다수 개의 파일을 돌아가며 5회 접근한 경우 비정상 행위로 간주할 수 있다. When it is determined that the process of accessing a file in which an event occurs is normal or an abnormal process is determined, the processing unit 250 may encrypt the file before storing it in the cloud server 100 before the process accesses the file. The processing unit 250 may transmit a notification message warning the access of the abnormal process to the user and receive a response message to the notification message from the user. At this time, the response message may be either inaccessible or access-permitted message. When the processing unit 250 receives the access-disabled message from the user, it can forcibly terminate the process. Upon receipt of the access permission message from the user, the processing unit 250 may designate the suspicious process as a normal process in the normal process list, monitor the operation of the process continuously, and monitor whether the abnormal process is abnormal. In this case, the abnormal behavior may be a case where the process accesses several other files a predetermined number of times within a predetermined time. For example, when the predetermined time is 10 seconds and the number of times of accessing a plurality of files (picture file, document file (PDF, Hangul, word, etc.)) is set to 3, the processing unit 250 sets the number of files In case of approaching five times, it can be regarded as abnormal behavior.

처리부(250)는 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지한다. 처리부(250)는 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 등록된 프로세스를 삭제 후, 프로세스를 강제 종료하고, 클라우드 서버(100)에 저장된 파일을 수신하여 복원을 진행할 수 있다. 한편, 처리부(250)는 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 등록된 프로세스를 삭제 후, 사용자에게 비정상 행위 이력을 보여주고, 파일의 복원 절차를 안내하여, 사용자로부터 액세스 불가 메시지를 수신하는 경우 프로세스를 강제 종료하고, 상기 파일의 복원 절차에 따라 클라우드에 저장된 파일을 수신하여 복원을 진행할 수도 있다.The processor 250 monitors the abnormality, and if the operation of the process is determined to be a normal operation, the processor 250 maintains the process in the normal process list. When the abnormal operation is detected, the processing unit 250 forcibly terminates the process after deleting the registered process in the normal process list, and when receiving the file stored in the cloud server 100 So that the restoration can proceed. On the other hand, when the abnormality is detected, the processor 250 deletes the registered process from the normal process list and displays the abnormal operation history to the user, and if the process operation is abnormal, Upon receiving the access-disabled message from the user, the process may be forcibly terminated, and the file stored in the cloud may be received and restored according to the restoration procedure of the file.

이하, 상술한 본 실시 예에 따른 클라우드 기반의 클라이언트 장치(200)에서의 백업 방법에 대해 설명하기로 한다. Hereinafter, a backup method in the cloud-based client apparatus 200 according to the present embodiment will be described.

도 3은 본 발명의 일 실시 예에 따른 백업 방법의 흐름을 개략적으로 도시한 도면이다. FIG. 3 is a diagram schematically illustrating the flow of a backup method according to an embodiment of the present invention.

클라이언트 장치(200)는, 사용자가 사용하는 시스템 상에 프로세스들의 동작을 모니터링할 수 있다(310). 클라이언트 장치(200)는 API 후킹(hooking)을 이용하여 프로세스들의 동작을 모니터링할 수 있다. API 후킹(hooking)이란 컴퓨터의 특정 프로그램이나 시스템 전역에서 API가 호출되는 것을 가로채는 것을 의미한다. 이때, API 후킹은 공지된 기술이므로 자세한 설명은 생략하기로 한다.The client device 200 may monitor the operation of the processes on the system that the user is using (310). The client device 200 can monitor the operation of processes using API hooking. API hooking refers to interception of an API call from a specific program or system across a computer. At this time, the API hooking is a known technique, so a detailed description will be omitted.

클라이언트 장치(200)는, 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사한다(320). 예컨대, 이벤트는 readfile, writefile 등과 같은 파일 입출력과 관련한 것일 수 있다. 클라이언트 장치(200)는 프로세스의 정상 여부 판단시, 정상 프로세스 리스트를 참고하여 프로세스의 정상 여부를 판단할 수 있다. 정상 프로세스 리스트는 사전에 사용자(관리자)가 별도의 저장소(데이터베이스)에 저장하고 관리할 수 있다. 클라이언트 장치(200)는 정상 프로세스 리스트와 이벤트가 발생한 파일에 접근하는 프로세스를 비교하여 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하면 정상 프로세스로 판단하고 그렇지 않으면 즉, 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하지 않으면 비정상 프로세스로 판단할 수 있다.As a result of monitoring the processes, the client device 200 checks whether the process of accessing the file in which the event occurs is normal if an event occurs in the target file of the software. For example, an event may be related to file input / output such as readfile, writefile, and the like. When determining whether the process is normal, the client device 200 can determine whether the process is normal by referring to the normal process list. The normal process list can be stored and managed by a user (administrator) in a separate repository (database) in advance. The client device 200 compares the normal process list with a process of accessing a file in which an event occurs. If the process accessing a file in which an event occurs is present in the normal process list, the client device 200 determines that the process is a normal process. Otherwise, If the accessing process does not exist in the normal process list, it can be judged to be an abnormal process.

클라이언트 장치(200)는, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용할 수 있다(330). 클라이언트 장치(200)는, 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버(100)에 암호화하여 저장할 수 있다(340). 이때, 프로세스가 접근했던 파일을 암호화하여 클라우드 서버(100)에 저장하는 이유는, 랜섬웨어의 타겟 대상이 되는 파일에 정상 프로세스가 접근하여 특정 동작을 수행하고, 그 동작이 완료된 상태의 시점에 해당 파일을 저장하여 이후의 다른 랜섬웨어에 의한 접근으로 해당 파일이 감염된다고 하여도 정상 프로세스의 동작이 끝난 최종 시점에 복구가 가능하도록 하기 위함이다. 다만, 후술하는 비정상 프로세스의 접근 시에는 접근이 감지되자마자 해당 파일을 저장하여 복구에 대비함에 비하여, 본 구성은 정상 프로세스에 의해 해당 파일에 접근 시도 및 동작 완료된 시점에 해당 파일을 암호화하여 저장한다는 점에서 차이가 있다. 암호화되어 클라우드 서버(100)에 저장된 파일은 후술하는 복원 과정 진행시, 복원을 요청하는 장치(백업장치)의 고유키를 대조하여 일치할 경우, 복호화하여 전송함으로써 복원을 진행할 수 있다. 이때, 클라우드 서버(100)에 복원을 위한 파일을 저장할 경우, 복원을 요청하는 장치(백업장치)의 고유키 정보를 매핑시켜 저장할 수 있다. 클라이언트 장치(200)는 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용하되, 파일을 클라우드 서버(100)에 저장하지 않을 수 있다. 이와 같은 이유는, 정상 프로세스인 경우 파일을 복구할 필요성이 없을 수 있으므로, 파일을 저장하는 저장 공간의 낭비를 방지하기 위함일 수 있다..If the client device 200 determines that the process of accessing the file in which the event occurred is normal, the process of accessing the process may be allowed first (330). After the operation of the process is completed, the client device 200 can encrypt and store the file accessed by the process in the cloud server 100 (340). At this time, the reason why the file accessed by the process is encrypted and stored in the cloud server 100 is that the normal process accesses the file that is the target of the random software and performs a specific operation, File is saved so that it can be recovered at the end point of the normal process operation even if the file is infected by access by other Ransomware. However, when the abnormal process is accessed, the corresponding file is stored and restored as soon as the access is detected. On the contrary, this configuration encrypts and stores the file at the time of accessing the corresponding file by the normal process and completing the operation There is a difference in point. When a file stored in the cloud server 100 is encrypted and a unique key of a device (backup device) requesting recovery is collated, the file stored in the cloud server 100 can be restored by decoding and transmitting the unique key. At this time, when the file for restoration is stored in the cloud server 100, unique key information of a device (backup device) requesting restoration can be mapped and stored. When determining that the process of accessing the file in which the event occurs is normal, the client device 200 may allow the process to be accessed first but not the file to be stored in the cloud server 100 when determining that the process is a normal process. The reason for this is to prevent the waste of the storage space for storing the file, since there is no need to restore the file in case of a normal process.

클라이언트 장치(200)는, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단하는 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버(100)에 저장할 수 있다(350). 클라이언트 장치(200)는, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하고, 사용자로부터 알림 메시지에 대한 응답 메시지를 수신할 수 있다(360). 이때, 응답 메시지는 액세스 불가 또는 액세스 허용 메시지 중 어느 하나일 수 있다. 클라이언트 장치(200)는, 사용자로부터 액세스 불가 메시지를 수신하면, 프로세스를 강제 종료할 수 있다(370).한편, 클라이언트 장치(200)는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시할 수 있다(380). 이때, 비정상 행위는 프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우일 수 있다. 예컨대, 미리 정해진 시간이 10초이고, 여러 파일들(사진파일, 문서 파일(PDF, 한글, 워드 등))에 접근하는 횟수가 3회로 설정된 경우, 처리부(250)는 10초 이내에 다수 개의 파일을 돌아가며 5회 접근한 경우 비정상 행위로 간주할 수 있다. 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지한다(390). 한편, 클라이언트 장치(200)는 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 등록된 프로세스를 삭제 후, 프로세스를 강제 종료하고, 클라우드 서버(100)에 저장된 파일을 수신하여 복원을 진행할 수 있다(393). 한편, 클라이언트 장치(200)가 사용자로부터 액세스 허용 메시지를 수신한 경우, 사용자로부터 저장된 파일에 대한 임의 삭제에 대한 요청이 없을 경우에는, 저장된 파일은 기한에 제한없이 클라우드 서버(100)에 저장될 수 있다. 또한, 클라이언트 장치(200)가 사용자로부터 액세스 불가 메시지를 수신한 경우에, 클라우드 서버(200)에 저장된 파일은 미리 정해진 시간이 지나면 삭제될 수 있다. 이때, 미리 정해진 시간은 임의적으로 사전에 설정될 수 있다. 예컨대, 미리 정해진 시간이 5분인 경우, 클라우드 서버(200)는 사용자로부터 액세스 불가 메시지를 수신 후, 미리 정해진 시간인 5분이 경과한 경우, 클라우드 서버(200)로 해당 파일에 대한 삭제 요청 메시지를 전송할 수 있으며, 클라우드 서버(200)는 해당 파일을 삭제할 수 있다. 또한, 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지하되, 클라우드 서버(100)에서 저장된 파일을 바로 삭제할 수 있다. 이와 같은 이유는, 정상 프로세스로 판단될 경우 파일은 랜섬웨어에 의해 감염이 이루어지지 않을 수 있으므로 저장 공간의 낭비를 방지하기 위함이다.When determining that the process of accessing a file in which an event has occurred is determined to be an abnormal process, the client device 200 may encrypt the file and store the file in the cloud server 100 before accessing the process (350) . The client device 200 may transmit a notification message warning the access of the abnormal process to the user and receive a response message to the notification message from the user (360). At this time, the response message may be either inaccessible or access-permitted message. When the client device 200 receives an access-prohibited message from the user, the client device 200 can forcibly terminate the process (370). On the other hand, when the client device 200 receives the access- (380), the suspicious process is designated as the registered process, and the operation of the corresponding process is continuously monitored and abnormal behavior is monitored (380). In this case, the abnormal behavior may be a case where the process accesses several other files a predetermined number of times within a predetermined time. For example, when the predetermined time is 10 seconds and the number of times of accessing a plurality of files (picture file, document file (PDF, Hangul, word, etc.)) is set to 3, the processing unit 250 sets the number of files In case of approaching five times, it can be regarded as abnormal behavior. In monitoring the abnormal operation, the client device 200 keeps the process in the normal process list (390) if it is determined that the operation of the process is a normal operation. On the other hand, when the abnormal operation is detected, the client device 200 forcibly terminates the process after deleting the registered process in the normal process list if it is determined that the operation of the process is abnormal, The file may be received and restored (393). On the other hand, when the client device 200 receives the access permission message from the user and there is no request for the random deletion of the stored file from the user, the stored file can be stored in the cloud server 100 without any limitation have. In addition, when the client device 200 receives an access-disabled message from the user, the file stored in the cloud server 200 may be deleted after a predetermined time. At this time, the predetermined time may be arbitrarily set in advance. For example, if the predetermined time is five minutes, the cloud server 200 transmits a deletion request message for the file to the cloud server 200 when a predetermined time of 5 minutes elapses after receiving the access-disabled message from the user And the cloud server 200 can delete the corresponding file. In addition, the client device 200 can directly delete a file stored in the cloud server 100 while keeping the process in the normal process list when the abnormal operation is determined to be a normal operation. The reason for this is to prevent the waste of the storage space because the file may not be infected by the Ransomware if it is judged as a normal process.

도 4는 본 발명의 다른 실시 예에 따른 백업 방법의 흐름을 개략적으로 도시한 도면이다.4 is a view schematically showing a flow of a backup method according to another embodiment of the present invention.

클라이언트 장치(200)는, 사용자가 사용하는 시스템 상에 프로세스들의 동작을 모니터링할 수 있다(410). 클라이언트 장치(200)는 API 후킹(hooking)을 이용하여 프로세스들의 동작을 모니터링할 수 있다. API 후킹(hooking)이란 컴퓨터의 특정 프로그램이나 시스템 전역에서 API가 호출되는 것을 가로채는 것을 의미한다. 이때, API 후킹은 공지된 기술이므로 자세한 설명은 생략하기로 한다.The client device 200 may monitor the operation of the processes on the system the user is using (410). The client device 200 can monitor the operation of processes using API hooking. API hooking refers to interception of an API call from a specific program or system across a computer. At this time, the API hooking is a known technique, so a detailed description will be omitted.

클라이언트 장치(200)는, 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사한다(420). 예컨대, 이벤트는 readfile, writefile 등과 같은 파일 입출력과 관련한 것일 수 있다. 클라이언트 장치(200)는 프로세스의 정상 여부 판단시, 정상 프로세스 리스트를 참고하여 프로세스의 정상 여부를 판단할 수 있다. 정상 프로세스 리스트는 사전에 사용자(관리자)가 별도의 저장소(데이터베이스)에 저장하고 관리할 수 있다. 클라이언트 장치(200)는 정상 프로세스 리스트와 이벤트가 발생한 파일에 접근하는 프로세스를 비교하여 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하면 정상 프로세스로 판단하고 그렇지 않으면 즉, 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하지 않으면 비정상 프로세스로 판단할 수 있다.When the client device 200 monitors the processes, if the event occurs in the target file of the random software, the client device 200 checks whether the process of accessing the file in which the event occurred is normal (420). For example, an event may be related to file input / output such as readfile, writefile, and the like. When determining whether the process is normal, the client device 200 can determine whether the process is normal by referring to the normal process list. The normal process list can be stored and managed by a user (administrator) in a separate repository (database) in advance. The client device 200 compares the normal process list with a process of accessing a file in which an event occurs. If the process accessing a file in which an event occurs is present in the normal process list, the client device 200 determines that the process is a normal process. Otherwise, If the accessing process does not exist in the normal process list, it can be judged to be an abnormal process.

클라이언트 장치(200)는, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용할 수 있다(430). 클라이언트 장치(200)는, 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버(100)에 암호화하여 저장할 수 있다(440). 이때, 프로세스가 접근했던 파일을 암호화하여 클라우드 서버(100)에 저장하는 이유는, 랜섬웨어의 타겟 대상이 되는 파일에 정상 프로세스가 접근하여 특정 동작을 수행하고, 그 동작이 완료된 상태의 시점에 해당 파일을 저장하여 이후의 다른 랜섬웨어에 의한 접근으로 해당 파일이 감염된다고 하여도 정상 프로세스의 동작이 끝난 최종 시점에 복구가 가능하도록 하기 위함이다. 다만, 후술하는 비정상 프로세스의 접근 시에는 접근이 감지되자마자 해당 파일을 저장하여 복구에 대비함에 비하여, 본 구성은 정상 프로세스에 의해 해당 파일에 접근 시도 및 동작 완료된 시점에 해당 파일을 암호화하여 저장한다는 점에서 차이가 있다. 암호화되어 클라우드 서버(100)에 저장된 파일은 후술하는 복원 과정 진행시, 복원을 요청하는 장치(백업장치)의 고유키를 대조하여 일치할 경우, 복호화하여 전송함으로써 복원을 진행할 수 있다. 이때, 클라우드 서버(100)에 복원을 위한 파일을 저장할 경우, 복원을 요청하는 장치(백업장치)의 고유키 정보를 매핑시켜 저장할 수 있다. 클라이언트 장치(200)는 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용하되, 파일을 클라우드 서버(100)에 저장하지 않을 수 있다. 이와 같은 이유는, 정상 프로세스인 경우 파일을 복구할 필요성이 없을 수 있으므로, 파일을 저장하는 저장 공간의 낭비를 방지하기 위함일 수 있다. .If the client device 200 determines that the process of accessing the file in which the event occurred is normal, the process of accessing the process may be allowed first (430). When the operation of the process is completed, the client device 200 may encrypt and store the file accessed by the process in the cloud server 100 (440). At this time, the reason why the file accessed by the process is encrypted and stored in the cloud server 100 is that the normal process accesses the file that is the target of the random software and performs a specific operation, File is saved so that it can be recovered at the end point of the normal process operation even if the file is infected by access by other Ransomware. However, when the abnormal process is accessed, the corresponding file is stored and restored as soon as the access is detected. On the contrary, this configuration encrypts and stores the file at the time of accessing the corresponding file by the normal process and completing the operation There is a difference in point. When a file stored in the cloud server 100 is encrypted and a unique key of a device (backup device) requesting recovery is collated, the file stored in the cloud server 100 can be restored by decoding and transmitting the unique key. At this time, when the file for restoration is stored in the cloud server 100, unique key information of a device (backup device) requesting restoration can be mapped and stored. When determining that the process of accessing the file in which the event occurs is normal, the client device 200 may allow the process to be accessed first but not the file to be stored in the cloud server 100 when determining that the process is a normal process. The reason for this is to prevent the waste of the storage space for storing the file, since there is no need to recover the file in the normal process. .

클라이언트 장치(200)는, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단하는 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버(100)에 저장할 수 있다(450). 클라이언트 장치(200)는, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하고, 사용자로부터 알림 메시지에 대한 응답 메시지를 수신할 수 있다(460). 이때, 응답 메시지는 액세스 불가 또는 액세스 허용 메시지 중 어느 하나일 수 있다. 클라이언트 장치(200)는, 사용자로부터 액세스 불가 메시지를 수신하면, 프로세스를 강제 종료할 수 있다(470). 한편, 클라이언트 장치(200)는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시할 수 있다(480). 이때, 비정상 행위는 프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우일 수 있다. 예컨대, 미리 정해진 시간이 10초이고, 여러 파일들(사진파일, 문서 파일(PDF, 한글, 워드 등))에 접근하는 횟수가 3회로 설정된 경우, 처리부(250)는 10초 이내에 다수 개의 파일을 돌아가며 5회 접근한 경우 비정상 행위로 간주할 수 있다. 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지한다(490). 한편, 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 등록된 프로세스를 삭제 후, 사용자에게 비정상 행위 이력을 보여주고, 파일의 복원 절차를 안내하여, 사용자로부터 액세스 불가 메시지를 수신하는 경우 프로세스를 강제 종료하고, 상기 파일의 복원 절차에 따라 클라우드에 저장된 파일을 수신하여 복원을 진행할 수도 있다(493). 한편, 클라이언트 장치(200)가 사용자로부터 액세스 허용 메시지를 수신한 경우, 사용자로부터 저장된 파일에 대한 임의 삭제에 대한 요청이 없을 경우에는, 저장된 파일은 기한에 제한없이 클라우드 서버(100)에 저장될 수 있다. 또한, 클라이언트 장치(200)가 사용자로부터 액세스 불가 메시지를 수신한 경우에, 클라우드 서버(200)에 저장된 파일은 미리 정해진 시간이 지나면 삭제될 수 있다. 이때, 미리 정해진 시간은 임의적으로 사전에 설정될 수 있다. 예컨대, 미리 정해진 시간이 5분인 경우, 클라우드 서버(200)는 사용자로부터 액세스 불가 메시지를 수신 후, 미리 정해진 시간인 5분이 경과한 경우, 클라우드 서버(200)로 해당 파일에 대한 삭제 요청 메시지를 전송할 수 있으며, 클라우드 서버(200)는 해당 파일을 삭제할 수 있다. 또한, 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지하되, 클라우드 서버(100)에서 저장된 파일을 바로 삭제할 수 있다. 이와 같은 이유는, 정상 프로세스로 판단될 경우 파일은 랜섬웨어에 의해 감염이 이루어지지 않을 수 있으므로 저장 공간의 낭비를 방지하기 위함이다.If it is determined that the process of accessing a file in which an event has occurred is determined to be an abnormal process, the client device 200 may encrypt the file before storing it in the cloud server 100 before accessing the process (450) . The client device 200 may transmit a notification message warning the access of the abnormal process to the user and receive a response message to the notification message from the user (460). At this time, the response message may be either inaccessible or access-permitted message. When the client device 200 receives the non-accessible message from the user, the client device 200 can forcibly terminate the process (470). On the other hand, upon receiving the access permission message from the user, the client device 200 designates the suspicious process after registration as a normal process in the normal process list, and continuously monitors the operation of the corresponding process and monitors whether or not the abnormal operation is performed (480). In this case, the abnormal behavior may be a case where the process accesses several other files a predetermined number of times within a predetermined time. For example, when the predetermined time is 10 seconds and the number of times of accessing a plurality of files (picture file, document file (PDF, Hangul, word, etc.)) is set to 3, the processing unit 250 sets the number of files In case of approaching five times, it can be regarded as abnormal behavior. When the client device 200 monitors abnormal behavior, if the operation of the process is determined to be a normal operation, the client device 200 maintains the process in the normal process list (490). On the other hand, when the abnormal operation is monitored, if the operation of the process is determined to be abnormal, the client device 200 displays the abnormal operation history to the user after deleting the registered process from the normal process list, If the access-disabled message is received from the user, the process may be forcibly terminated, and the file stored in the cloud may be received and restored according to the restoration procedure of the file (493). On the other hand, when the client device 200 receives the access permission message from the user and there is no request for the random deletion of the stored file from the user, the stored file can be stored in the cloud server 100 without any limitation have. In addition, when the client device 200 receives an access-disabled message from the user, the file stored in the cloud server 200 may be deleted after a predetermined time. At this time, the predetermined time may be arbitrarily set in advance. For example, if the predetermined time is five minutes, the cloud server 200 transmits a deletion request message for the file to the cloud server 200 when a predetermined time of 5 minutes elapses after receiving the access-disabled message from the user And the cloud server 200 can delete the corresponding file. In addition, the client device 200 can directly delete a file stored in the cloud server 100 while keeping the process in the normal process list when the abnormal operation is determined to be a normal operation. The reason for this is to prevent the waste of the storage space because the file may not be infected by the Ransomware if it is judged as a normal process.

도 5는 본 발명의 또 다른 실시 예에 따른 백업 방법의 흐름을 개략적으로 도시한 도면이다.FIG. 5 is a view schematically showing a flow of a backup method according to another embodiment of the present invention.

클라이언트 장치(200)는, 사용자가 사용하는 시스템 상에 프로세스들의 동작을 모니터링할 수 있다(510). 클라이언트 장치(200)는 API 후킹(hooking)을 이용하여 프로세스들의 동작을 모니터링할 수 있다. API 후킹(hooking)이란 컴퓨터의 특정 프로그램이나 시스템 전역에서 API가 호출되는 것을 가로채는 것을 의미한다. 이때, API 후킹은 공지된 기술이므로 자세한 설명은 생략하기로 한다.The client device 200 may monitor the operation of the processes on the system that the user is using (510). The client device 200 can monitor the operation of processes using API hooking. API hooking refers to interception of an API call from a specific program or system across a computer. At this time, the API hooking is a known technique, so a detailed description will be omitted.

클라이언트 장치(200)는, 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사한다(520). 예컨대, 이벤트는 readfile, writefile 등과 같은 파일 입출력과 관련한 것일 수 있다. 클라이언트 장치(200)는 프로세스의 정상 여부 판단시, 정상 프로세스 리스트를 참고하여 프로세스의 정상 여부를 판단할 수 있다. 정상 프로세스 리스트는 사전에 사용자(관리자)가 별도의 저장소(데이터베이스)에 저장하고 관리할 수 있다. 클라이언트 장치(200)는 정상 프로세스 리스트와 이벤트가 발생한 파일에 접근하는 프로세스를 비교하여 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하면 정상 프로세스로 판단하고 그렇지 않으면 즉, 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하지 않으면 비정상 프로세스로 판단할 수 있다.When the client device 200 monitors the processes, if the event occurs in the target file of the random software, the client device 200 checks whether the process of accessing the file in which the event occurred is normal (520). For example, an event may be related to file input / output such as readfile, writefile, and the like. When determining whether the process is normal, the client device 200 can determine whether the process is normal by referring to the normal process list. The normal process list can be stored and managed by a user (administrator) in a separate repository (database) in advance. The client device 200 compares the normal process list with a process of accessing a file in which an event occurs. If the process accessing a file in which an event occurs is present in the normal process list, the client device 200 determines that the process is a normal process. Otherwise, If the accessing process does not exist in the normal process list, it can be judged to be an abnormal process.

클라이언트 장치(200)는, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용할 수 있다(530). 클라이언트 장치(200)는, 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버(100)에 암호화하여 저장할 수 있다(540). 이때, 프로세스가 접근했던 파일을 암호화하여 클라우드 서버(100)에 저장하는 이유는, 랜섬웨어의 타겟 대상이 되는 파일에 정상 프로세스가 접근하여 특정 동작을 수행하고, 그 동작이 완료된 상태의 시점에 해당 파일을 저장하여 이후의 다른 랜섬웨어에 의한 접근으로 해당 파일이 감염된다고 하여도 정상 프로세스의 동작이 끝난 최종 시점에 복구가 가능하도록 하기 위함이다. 다만, 후술하는 비정상 프로세스의 접근 시에는 접근이 감지되자마자 해당 파일을 저장하여 복구에 대비함에 비하여, 본 구성은 정상 프로세스에 의해 해당 파일에 접근 시도 및 동작 완료된 시점에 해당 파일을 암호화하여 저장한다는 점에서 차이가 있다. 암호화되어 클라우드 서버(100)에 저장된 파일은 후술하는 복원 과정 진행시, 복원을 요청하는 장치(백업장치)의 고유키를 대조하여 일치할 경우, 복호화하여 전송함으로써 복원을 진행할 수 있다. 이때, 클라우드 서버(100)에 복원을 위한 파일을 저장할 경우, 복원을 요청하는 장치(백업장치)의 고유키 정보를 매핑시켜 저장할 수 있다. 클라이언트 장치(200)는 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용하되, 파일을 클라우드 서버(100)에 저장하지 않을 수 있다. 이와 같은 이유는, 정상 프로세스인 경우 파일을 복구할 필요성이 없을 수 있으므로, 파일을 저장하는 저장 공간의 낭비를 방지하기 위함일 수 있다.When determining that the process of accessing a file where an event occurs is normal, the client device 200 may allow the process access first (530) if it is determined that the process is a normal process. After the operation of the process is completed, the client device 200 can encrypt and store the file accessed by the process in the cloud server 100 (540). At this time, the reason why the file accessed by the process is encrypted and stored in the cloud server 100 is that the normal process accesses the file that is the target of the random software and performs a specific operation, File is saved so that it can be recovered at the end point of the normal process operation even if the file is infected by access by other Ransomware. However, when the abnormal process is accessed, the corresponding file is stored and restored as soon as the access is detected. On the contrary, this configuration encrypts and stores the file at the time of accessing the corresponding file by the normal process and completing the operation There is a difference in point. When a file stored in the cloud server 100 is encrypted and a unique key of a device (backup device) requesting recovery is collated, the file stored in the cloud server 100 can be restored by decoding and transmitting the unique key. At this time, when the file for restoration is stored in the cloud server 100, unique key information of a device (backup device) requesting restoration can be mapped and stored. When determining that the process of accessing the file in which the event occurs is normal, the client device 200 may allow the process to be accessed first but not the file to be stored in the cloud server 100 when determining that the process is a normal process. The reason for this is to prevent the waste of the storage space for storing the file, since there is no need to recover the file in the normal process.

한편, 클라우드 서버(100)는, 저장된 파일이 미리 정해진 시간 이내에 복원 데이터(파일)로 사용되지 않을 경우 자동으로 삭제할 수 있다(543). 이와 같은 이유는 클라우드 서버의 용량을 확보하기 위함일 수 있다. 즉, 클라우드 서버(100)는 저장된 파일에 대한 사용 시간이 미리 설정될 수 있으며, 상기 사용 시간이 경과한 경우 자동으로 삭제될 수 있다. 예컨대, 클라우드 서버(100)는 사용 시간이 10분으로 설정된 경우, 클라이언트 장치(200)로부터 파일을 수신한 경우 10분이 경과할 때까지 복원 데이터(파일)로 사용되지 않으면, 저장 공간의 확보를 위해 해당 파일(데이터)를 삭제할 수 있다.Meanwhile, the cloud server 100 may automatically delete the stored file if it is not used as restoration data (file) within a predetermined time (543). The reason for this may be to secure the capacity of the cloud server. That is, the use time of the stored file may be set in advance in the cloud server 100, and may be automatically deleted when the usage time has elapsed. For example, when the use time is set to 10 minutes, if the cloud server 100 is not used as restored data (file) until 10 minutes elapse when the file is received from the client device 200, The corresponding file (data) can be deleted.

클라이언트 장치(200)는, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단하는 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버(100)에 저장할 수 있다(550). 클라이언트 장치(200)는, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하고, 사용자로부터 알림 메시지에 대한 응답 메시지를 수신할 수 있다(560). 이때, 응답 메시지는 액세스 불가 또는 액세스 허용 메시지 중 어느 하나일 수 있다. 클라이언트 장치(200)는, 사용자로부터 액세스 불가 메시지를 수신하면, 프로세스를 강제 종료할 수 있다(570). 한편, 클라이언트 장치(200)는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시할 수 있다(580). 이때, 비정상 행위는 프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우일 수 있다. 예컨대, 미리 정해진 시간이 10초이고, 여러 파일들(사진파일, 문서 파일(PDF, 한글, 워드 등))에 접근하는 횟수가 3회로 설정된 경우, 처리부(250)는 10초 이내에 다수 개의 파일을 돌아가며 5회 접근한 경우 비정상 행위로 간주할 수 있다. 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지한다(590). 한편, 클라이언트 장치(200)는 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 등록된 프로세스를 삭제 후, 프로세스를 강제 종료하고, 클라우드 서버(100)에 저장된 파일을 수신하여 복원을 진행할 수 있다(593). 한편, 클라이언트 장치(200)가 사용자로부터 액세스 허용 메시지를 수신한 경우, 사용자로부터 저장된 파일에 대한 임의 삭제에 대한 요청이 없을 경우에는, 저장된 파일은 기한에 제한없이 클라우드 서버(100)에 저장될 수 있다. 또한, 클라이언트 장치(200)가 사용자로부터 액세스 불가 메시지를 수신한 경우에, 클라우드 서버(200)에 저장된 파일은 미리 정해진 시간이 지나면 삭제될 수 있다. 이때, 미리 정해진 시간은 임의적으로 사전에 설정될 수 있다. 예컨대, 미리 정해진 시간이 5분인 경우, 클라우드 서버(200)는 사용자로부터 액세스 불가 메시지를 수신 후, 미리 정해진 시간인 5분이 경과한 경우, 클라우드 서버(200)로 해당 파일에 대한 삭제 요청 메시지를 전송할 수 있으며, 클라우드 서버(200)는 해당 파일을 삭제할 수 있다. 또한, 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지하되, 클라우드 서버(100)에서 저장된 파일을 바로 삭제할 수 있다. 이와 같은 이유는, 정상 프로세스로 판단될 경우 파일은 랜섬웨어에 의해 감염이 이루어지지 않을 수 있으므로 저장 공간의 낭비를 방지하기 위함이다.When determining that the process of accessing a file in which an event has occurred is determined to be an abnormal process, the client device 200 may encrypt the file before the process accesses and store the encrypted file in the cloud server 100 (550) . The client device 200 may transmit a notification message warning the access of the abnormal process to the user and receive a response message to the notification message from the user (560). At this time, the response message may be either inaccessible or access-permitted message. Upon receiving the access-prohibited message from the user, the client device 200 can forcibly terminate the process (570). On the other hand, upon receiving the access permission message from the user, the client device 200 designates the suspicious process after registration as a normal process in the normal process list, and continuously monitors the operation of the corresponding process and monitors whether or not the abnormal operation is performed (580). In this case, the abnormal behavior may be a case where the process accesses several other files a predetermined number of times within a predetermined time. For example, when the predetermined time is 10 seconds and the number of times of accessing a plurality of files (picture file, document file (PDF, Hangul, word, etc.)) is set to 3, the processing unit 250 sets the number of files In case of approaching five times, it can be regarded as abnormal behavior. In monitoring the abnormal operation, the client device 200 maintains the process in the normal process list (operation 590) if it is determined that the operation of the process is a normal operation. On the other hand, when the abnormal operation is detected, the client device 200 forcibly terminates the process after deleting the registered process in the normal process list if it is determined that the operation of the process is abnormal, The file may be received and restoration may proceed (593). On the other hand, when the client device 200 receives the access permission message from the user and there is no request for the random deletion of the stored file from the user, the stored file can be stored in the cloud server 100 without any limitation have. In addition, when the client device 200 receives an access-disabled message from the user, the file stored in the cloud server 200 may be deleted after a predetermined time. At this time, the predetermined time may be arbitrarily set in advance. For example, if the predetermined time is five minutes, the cloud server 200 transmits a deletion request message for the file to the cloud server 200 when a predetermined time of 5 minutes elapses after receiving the access-disabled message from the user And the cloud server 200 can delete the corresponding file. In addition, the client device 200 can directly delete a file stored in the cloud server 100 while keeping the process in the normal process list when the abnormal operation is determined to be a normal operation. The reason for this is to prevent the waste of the storage space because the file may not be infected by the Ransomware if it is judged as a normal process.

상술한 바에 따르면, 클라우드 서버에 파일을 복사하여 저장함으로써 알려지지 않은 랜섬웨어로부터 파일을 보호할 수 있는 효과가 있다. 또한, 파일의 저장시 암호화하여 저장함으로써 악의적인 목적을 가진 프로그램으로부터 파일을 보호할 수 있으며, 원본 파일이 손상된 경우 복구할 수 있다.According to the above description, it is possible to protect a file from unknown software by copying and storing the file in the cloud server. It also protects files from programs with malicious intent by encrypting and storing them when they are saved, and can recover if the original files are damaged.

본 발명의 실시예에 따른 방법들은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는, 본 발명을 위한 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The methods according to embodiments of the present invention may be implemented in an application or implemented in the form of program instructions that may be executed through various computer components and recorded on a computer readable recording medium. The computer-readable recording medium may include program commands, data files, data structures, and the like, alone or in combination. The program instructions recorded on the computer-readable recording medium may be ones that are specially designed and configured for the present invention and are known and available to those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules for performing the processing according to the present invention, and vice versa.

본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 아니 된다. 또한, 본 명세서의 개별적인 실시 예에서 설명된 특징들은 단일 실시 예에서 결합되어 구현될 수 있다. 반대로, 본 명세서의 단일 실시 예에서 설명된 다양한 특징들은 개별적으로 다양한 실시 예에서 구현되거나, 적절히 결합되어 구현될 수 있다.While the specification contains many features, such features should not be construed as limiting the scope of the invention or the scope of the claims. In addition, the features described in the individual embodiments herein may be combined and implemented in a single embodiment. On the contrary, the various features described in the singular embodiments may be individually implemented in various embodiments or properly combined.

도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시 예에서 다양한 시스템 구성요소의 구분은 모든 실시 예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 앱 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.Although the operations are described in a particular order in the figures, it should be understood that such operations are performed in a particular order as shown, or that all described operations are performed in a series of sequential orders, or to obtain the desired result. In certain circumstances, multitasking and parallel processing may be advantageous. It should also be understood that the division of various system components in the above embodiments does not require such distinction in all embodiments. The above-described application components and systems can generally be packaged into a single software product or multiple software products.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것은 아니다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention. The present invention is not limited to the drawings.

100 : 클라우드 서버
200 : 클라이언트 장치
210 : 프로세스 모니터링부
230 : 프로세스 검사부
250 : 처리부100: Cloud server
200: Client device
210: Process monitoring section
230: Process Inspector
250:

Claims (13)

시스템 상에 프로세스들의 동작을 모니터링하는 프로세스 모니터링부;
상기 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사하는 프로세스 검사부; 및
상기 프로세스의 정상 여부 판단시, 정상 프로세스로 판단될 경우, 프로세스의 접근을 먼저 허용하고 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버에 암호화하여 저장하고,
상기 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단될 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버에 저장하고, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하며, 사용자로부터 액세스 불가 메시지를 수신하면 프로세스를 강제 종료하고, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시하는 처리부;를 포함하는 클라우드 기반의 클라이언트 장치.A process monitoring unit for monitoring an operation of processes on the system;
A process inspecting unit for inspecting whether a process of accessing a file in which an event occurs is normal if an event occurs in a target file of the random software as a result of monitoring the processes; And
If it is determined that the process is normal, if the process is determined to be a normal process, the process is allowed to access first, and when the process ends, the file accessed by the process is encrypted and stored in the cloud server,
If it is determined that the process is abnormal, if it is determined that the process is an abnormal process, the file is first encrypted and stored in the cloud server before the process accesses, and a notification message warning the access of the abnormal process is transmitted to the user. Upon receipt of the message, the process is forcibly terminated. Upon receipt of the access permission message from the user, the process is registered as a normal process in the normal process list and designated as a suspicious process, and the process is continuously monitored to monitor the abnormal process A client device based on a cloud including: 제 1 항에 있어서,
상기 처리부는,
사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우,
프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고,
프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 상기 프로세스를 강제 종료하고, 클라우드 서버에 저장된 파일을 수신하여 복원하는 클라우드 기반의 클라이언트 장치.The method according to claim 1,
Wherein,
Upon receipt of the access permission message from the user, the suspicious process is registered as a normal process in the normal process list, and the suspicious process is continuously monitored to monitor the abnormal process.
If it is determined that the operation of the process is a normal operation, the process is kept in the normal process list,
Based client device for deleting a registered process from a normal process list, forcibly terminating the process, and receiving and restoring a file stored in the cloud server if the operation of the process is determined to be an abnormal operation. 제 1 항에 있어서,
상기 처리부는,
사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우,
프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고,
프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 사용자에게 비정상 행위 이력을 보여주고, 파일의 복원 절차를 안내하여, 사용자로부터 액세스 불가 메시지를 수신하는 경우 프로세스를 강제 종료하고, 상기 파일의 복원 절차에 따라 클라우드 서버에 저장된 파일을 수신하여 복원하는 클라우드 기반의 클라이언트 장치.The method according to claim 1,
Wherein,
Upon receipt of the access permission message from the user, the suspicious process is registered as a normal process in the normal process list, and the suspicious process is continuously monitored to monitor the abnormal process.
If it is determined that the operation of the process is a normal operation, the process is kept in the normal process list,
If the operation of the process is determined to be an abnormal operation, the registered process is deleted from the normal process list, the abnormal operation history is displayed to the user, the file restoration procedure is guided, And for receiving and restoring the file stored in the cloud server according to the restoration procedure of the file. 제 1 항에 있어서,
상기 비정상 행위는,
프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우인 클라우드 기반의 클라이언트 장치.The method according to claim 1,
The abnormal behavior may include:
A cloud-based client device in which a process accesses a number of different files over a predetermined number of times within a predetermined time. 제 1 항에 있어서,
상기 프로세스 검사부는,
미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하면 정상 프로세스로 판단하고,
미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하지 않으면 비정상 프로세스로 판단하는 클라우드 기반의 클라이언트 장치.The method according to claim 1,
Wherein the process checking unit comprises:
If there is a process for accessing a file in which an event has occurred in a previously stored normal process list, it is determined to be a normal process,
Based on the fact that there is no process accessing a file in which an event has occurred, in the list of normal processes stored in advance. 제 1 항에 있어서,
상기 프로세스 모니터링부는,
API 후킹을 이용하여 프로세스들의 동작을 모니터링하는 클라우드 기반의 클라이언트 장치.The method according to claim 1,
The process monitoring unit,
A cloud-based client device that monitors the behavior of processes using API hooking. 클라우드 기반의 클라이언트 장치에서의 백업 방법에 있어서,
시스템 상에 프로세스들의 동작을 모니터링하는 프로세스 모니터링 단계;
상기 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사하는 프로세스 검사 단계;
상기 프로세스의 정상 여부 판단시, 정상 프로세스로 판단될 경우, 프로세스의 접근을 먼저 허용하고 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버에 암호화하여 저장하고,
상기 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단될 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버에 저장하고, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하며, 사용자로부터 액세스 불가 메시지를 수신하면 프로세스를 강제 종료하고, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시하는 처리 단계;를 포함하는 클라우드 기반의 백업 방법.A backup method in a cloud-based client device,
A process monitoring step of monitoring the operation of the processes on the system;
A process inspecting step of inspecting whether a process of accessing a file in which an event occurs is normal when an event occurs in a target file of the random software as a result of monitoring the processes;
If it is determined that the process is normal, if the process is determined to be a normal process, the process is allowed to access first, and when the process ends, the file accessed by the process is encrypted and stored in the cloud server,
If it is determined that the process is abnormal, if it is determined that the process is an abnormal process, the file is first encrypted and stored in the cloud server before the process accesses, and a notification message warning the access of the abnormal process is transmitted to the user. Upon receipt of the message, the process is forcibly terminated. Upon receipt of the access permission message from the user, the process is registered as a normal process in the normal process list and designated as a suspicious process, and the process of continuously monitoring the operation of the process is monitored A cloud-based backup method comprising: 제 7 항에 있어서,
상기 처리 단계에서는,
사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리시트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우,
프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고,
프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 상기 프로세스를 강제 종료하고, 클라우드 서버에 저장된 파일을 수신하여 복원하는 클라우드 기반의 백업 방법.8. The method of claim 7,
In the processing step,
When the access permission message is received from the user, the process is registered as a normal process in the normal process record sheet and designated as a suspicious process. When the process of the process is continuously monitored for abnormality,
If it is determined that the operation of the process is a normal operation, the process is kept in the normal process list,
A cloud-based backup method for removing a registered process from a normal process list, forcibly terminating the process, and receiving and restoring a file stored in a cloud server, when the operation of the process is determined to be abnormal. 제 7 항에 있어서,
상기 처리 단계에서는,
사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리시트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우,
프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고,
프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 사용자에게 비정상 행위 이력을 보여주고, 파일의 복원 절차를 안내하여, 사용자로부터 액세스 불가 메시지를 수신하는 경우 프로세스를 강제 종료하고, 상기 파일의 복원 절차에 따라 클라우드 서버에 저장된 파일을 수신하여 복원하는 클라우드 기반의 백업 방법.8. The method of claim 7,
In the processing step,
When the access permission message is received from the user, the process is registered as a normal process in the normal process record sheet and designated as a suspicious process. When the process of the process is continuously monitored for abnormality,
If it is determined that the operation of the process is a normal operation, the process is kept in the normal process list,
If the operation of the process is determined to be an abnormal operation, the registered process is deleted from the normal process list, the abnormal operation history is displayed to the user, the file restoration procedure is guided, The method comprising: receiving a file stored in a cloud server according to a restoration procedure of the file; 제 7 항에 있어서,
상기 비정상 행위는,
프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우인 클라우드 기반의 백업 방법.8. The method of claim 7,
The abnormal behavior may include:
A cloud-based backup method in which a process accesses several other files a predetermined number of times within a predetermined time. 제 7 항에 있어서,
상기 프로세스 검사 단계에서는,
미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하면 정상 프로세스로 판단하고,
미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하지 않으면 비정상 프로세스로 판단하는 클라우드 기반의 백업 방법.8. The method of claim 7,
In the process inspection step,
If there is a process for accessing a file in which an event has occurred in a previously stored normal process list, it is determined to be a normal process,
A cloud-based backup method that determines that an abnormal process is not present if there is no process accessing the file in which the event occurred in the pre-stored normal process list. 제 7 항에 있어서,
상기 프로세스 모니터링 단계에서는,
API 후킹을 이용하여 프로세스들의 동작을 모니터링하는 클라우드 기반의 백업 방법.8. The method of claim 7,
In the process monitoring step,
A cloud-based backup method that monitors the behavior of processes using API hooking. 제 7 항 내지 제 12 항 중 어느 한 항에 따른 클라우드 기반의 백업 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체.
A computer-readable recording medium on which a computer program is recorded for performing a cloud-based backup method according to any one of claims 7 to 12.
KR1020160155743A 2016-11-14 2016-11-22 Client device and back-up method based on cloud, recording medium for performing the method KR101940864B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020160150804 2016-11-14
KR20160150804 2016-11-14

Publications (2)

Publication Number Publication Date
KR20180054389A true KR20180054389A (en) 2018-05-24
KR101940864B1 KR101940864B1 (en) 2019-01-21

Family

ID=62299131

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160155743A KR101940864B1 (en) 2016-11-14 2016-11-22 Client device and back-up method based on cloud, recording medium for performing the method

Country Status (1)

Country Link
KR (1) KR101940864B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112068990A (en) * 2019-06-10 2020-12-11 株式会社日立制作所 Storage device and backup method for setting special event as restore point
KR102211846B1 (en) * 2020-07-21 2021-02-03 국방과학연구소 Ransomware detection system and operating method thereof
CN116886406A (en) * 2023-08-04 2023-10-13 广州市博立信息科技有限公司 Computer network data safety intelligent protection system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130022189A (en) * 2011-08-25 2013-03-06 주식회사 팬택 System and method that prevent virus damage
KR20130085473A (en) * 2011-12-05 2013-07-30 인텔렉추얼디스커버리 주식회사 Encryption system for intrusion detection system of cloud computing service
KR101327740B1 (en) 2011-12-26 2013-11-11 ㈜ 와이에이치 데이타베이스 apparatus and method of collecting action pattern of malicious code
KR20140127178A (en) * 2013-04-24 2014-11-03 이상호 Method of security using cloud multi-vaccine and apparatus thereof
KR101502699B1 (en) * 2013-10-21 2015-03-13 인하대학교 산학협력단 Method and system for data backup using near field communication
KR101657180B1 (en) * 2015-05-04 2016-09-19 최승환 System and method for process access control system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130022189A (en) * 2011-08-25 2013-03-06 주식회사 팬택 System and method that prevent virus damage
KR20130085473A (en) * 2011-12-05 2013-07-30 인텔렉추얼디스커버리 주식회사 Encryption system for intrusion detection system of cloud computing service
KR101327740B1 (en) 2011-12-26 2013-11-11 ㈜ 와이에이치 데이타베이스 apparatus and method of collecting action pattern of malicious code
KR20140127178A (en) * 2013-04-24 2014-11-03 이상호 Method of security using cloud multi-vaccine and apparatus thereof
KR101502699B1 (en) * 2013-10-21 2015-03-13 인하대학교 산학협력단 Method and system for data backup using near field communication
KR101657180B1 (en) * 2015-05-04 2016-09-19 최승환 System and method for process access control system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112068990A (en) * 2019-06-10 2020-12-11 株式会社日立制作所 Storage device and backup method for setting special event as restore point
KR102211846B1 (en) * 2020-07-21 2021-02-03 국방과학연구소 Ransomware detection system and operating method thereof
CN116886406A (en) * 2023-08-04 2023-10-13 广州市博立信息科技有限公司 Computer network data safety intelligent protection system
CN116886406B (en) * 2023-08-04 2024-01-30 广州市博立信息科技有限公司 Computer network data safety intelligent protection system

Also Published As

Publication number Publication date
KR101940864B1 (en) 2019-01-21

Similar Documents

Publication Publication Date Title
US11321464B2 (en) Method and system for generating cognitive security intelligence for detecting and preventing malwares
EP3479280B1 (en) Ransomware protection for cloud file storage
US10789361B2 (en) Ransomware attack remediation
US10009360B1 (en) Malware detection and data protection integration
US10609066B1 (en) Automated detection and remediation of ransomware attacks involving a storage device of a computer network
US9990511B1 (en) Using encrypted backup to protect files from encryption attacks
US9514309B1 (en) Systems and methods for protecting files from malicious encryption attempts
US8468604B2 (en) Method and system for detecting malware
US20080016564A1 (en) Information protection method and system
CN107563199A (en) It is a kind of that software detection and defence method in real time are extorted based on file request monitoring
KR101828600B1 (en) Context-aware ransomware detection
US10831888B2 (en) Data recovery enhancement system
WO2017107896A1 (en) Document protection method and device
CN109784055B (en) Method and system for rapidly detecting and preventing malicious software
JP2009505295A (en) Information protection method and system
KR101940864B1 (en) Client device and back-up method based on cloud, recording medium for performing the method
KR101995944B1 (en) Method for preventing randomware
US20160191495A1 (en) Privileged shared account password sanitation
US11349855B1 (en) System and method for detecting encrypted ransom-type attacks
CN112182604A (en) File detection system and method
TW201804354A (en) Storage device, data protection method therefor, and data protection system
JP4462849B2 (en) Data protection apparatus, method and program
CN106844006B (en) Based on the data prevention method and system under virtualized environment
US10762203B2 (en) Reducing impact of malware/ransomware in caching environment
US20220263867A1 (en) Resilient Self-Detection of Malicious Exfiltration of Sensitive Data

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant