KR20180054389A - Client device and back-up method based on cloud, recording medium for performing the method - Google Patents
Client device and back-up method based on cloud, recording medium for performing the method Download PDFInfo
- Publication number
- KR20180054389A KR20180054389A KR1020160155743A KR20160155743A KR20180054389A KR 20180054389 A KR20180054389 A KR 20180054389A KR 1020160155743 A KR1020160155743 A KR 1020160155743A KR 20160155743 A KR20160155743 A KR 20160155743A KR 20180054389 A KR20180054389 A KR 20180054389A
- Authority
- KR
- South Korea
- Prior art keywords
- normal
- file
- abnormal
- determined
- list
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1464—Management of the backup or restore process for networked environments
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Abstract
Description
본 발명은 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체에 관한 것으로, 더욱 상세하게는 알려지지 않은 랜섬웨어로부터 사용자의 파일(데이터)을 보호하고, 복구하기 위한 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체에 관한 것이다.The present invention relates to a cloud-based client apparatus and a backup method, and a recording medium for performing the same. More particularly, the present invention relates to a cloud-based client apparatus and method for protecting and recovering user's files (data) A backup method, and a recording medium for performing the backup method.
최근 랜섬웨어에 의한 피해가 지속적으로 증가함에 따라, 컴퓨터 바이러스 백신 제조사에서 랜섬웨어를 탐지하기 위해 랜섬웨어용 탐지 백신을 만들고 있다. 랜섬웨어는, 몸값을 뜻하는 Ransom과 제품을 뜻하는 Ware의 합성어이며, 사용자의 동의 없이 컴퓨터에 불법으로 설치되어 사용자의 파일을 인질로 잡아 금전적인 요구를 하는 악성 프로그램을 말하며, 랜섬웨어에 감염된 파일은 암호화되어 사용자가 풀 수 없는 문제점이 발생한다. 대부분의 랜섬웨어 탐지 방식은 동작 형태가 분석된 랜섬웨어를 시그니처화 한 후 탐지하고, 탐지된 랜섬웨어를 삭제하여 감염을 방지하는 시그니처 기반의 탐지 기법을 사용한다. 상술한 종래 기술에 따른 랜섬웨어 탐지 기술은 랜섬웨어의 해쉬 정보나 특정 인덱스의 고유한 값 등의 패턴을 시그니처화하고, 새로운 랜섬웨어로 인해 피해가 발생하면 해당 랜섬웨어의 분석이 끝난 후 해당 시그니처를 업데이트하여, 각 사용자가 백신에 적용해야만 탐지가 가능하다. 하지만, 상술한 시그니처 기반의 랜섬웨어 탐지는 이미 알려진 랜섬웨어 공격에 대해서는 효과적이지만 알려지지 않은 랜섬웨어 공격에는 대응이 어렵고, 감염이 되어 암호화된 사용자의 데이터는 복수하기 힘들다는 문제점이 있다. Recently, as the damage caused by Ransomware continues to increase, a computer virus vaccine maker is making a detection vaccine for Ransomware to detect Ransomware. Ransomware is a combination of Ransom, which means ransom, and Ware, which means product. It is a malicious program that illegally installed on a computer without user's consent, The file is encrypted and the user can not solve it. Most Ransomware detection methods use a signature-based detection technique to detect infection after the Ransomware signature is analyzed and delete the detected Ransomware. The Ransomware detection technology according to the conventional technology described above signifies a pattern such as hash information of the Ransomware or a unique value of the specific index, and when the damage occurs due to the new Ransomware, after the analysis of the Ransomware is completed, So that detection can be performed only when each user applies the vaccine. However, the above-described signature-based Ransomware detection is effective for the known Ransomware attacks, but it is difficult to cope with the unknown Ransomware attacks and the data of the encrypted user is difficult to retrieve.
본 발명은 상기와 같은 문제점을 해결하기 위해 제안된 것으로서, 클라우드 서버에 파일을 복사하여 저장함으로써 알려지지 않은 랜섬웨어로부터 파일을 보호하고, 파일이 손상된 경우 복구할 수 있는 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체를 제공하는데 그 목적이 있다.The present invention has been proposed in order to solve the above problems, and it is an object of the present invention to provide a cloud-based client device and a backup method capable of protecting a file from an unknown random software by copying and storing a file in a cloud server, And a recording medium for carrying out the method.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 일 실시 예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.Other objects and advantages of the present invention can be understood by the following description, and will be more clearly understood by one embodiment of the present invention. It will also be readily apparent that the objects and advantages of the invention may be realized and attained by means of the instrumentalities and combinations particularly pointed out in the appended claims.
상기와 같은 목적을 달성하기 위한 본 발명의 일 측면에 따른 클라우드 기반의 클라이언트 장치는, 시스템 상에 프로세스들의 동작을 모니터링하는 프로세스 모니터링부; 상기 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사하는 프로세스 검사부; 및 상기 프로세스의 정상 여부 판단시, 정상 프로세스로 판단될 경우, 프로세스의 접근을 먼저 허용하고 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버에 암호화하여 저장하고, 상기 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단될 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버에 저장하고, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하며, 사용자로부터 액세스 불가 메시지를 수신하면 프로세스를 강제 종료하고, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시하는 처리부;를 포함한다. According to an aspect of the present invention, there is provided a client apparatus for a cloud, the apparatus comprising: a process monitoring unit for monitoring an operation of processes on a system; A process checking unit for checking whether a process for accessing a file in which an event occurs is normal when an event occurs in a target file of the random software as a result of monitoring the processes; And when the process is determined to be normal, if the process is determined to be a normal process, the process is allowed to access first, and when the process is completed, the file accessed by the process is encrypted and stored in the cloud server. If the process is determined to be an abnormal process, the process first encrypts the file before storing it in the cloud server, sends a notification message to the user warning the access of the abnormal process, Upon receipt of the access permission message from the user, the processing unit registers as a normal process in the normal process list, designates the suspicious process as a normal process, continuously monitors the operation of the process, and monitors whether the abnormal process is abnormal.
상기 처리부는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 상기 프로세스를 강제 종료하고, 클라우드 서버에 저장된 파일을 수신하여 복원할 수 있다. Upon receipt of an access permission message from a user, the processing unit designates a suspicious process after registration as a normal process in a normal process list, and continuously monitors the operation of the corresponding process to monitor abnormal behavior. The process is maintained in the normal process list, and if it is determined that the operation of the process is abnormal, the registered process is deleted from the normal process list, the process is forcibly terminated, and the file stored in the cloud server is deleted It can receive and restore it.
상기 처리부는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 사용자에게 비정상 행위 이력을 보여주고, 파일의 복원 절차를 안내하여, 사용자로부터 액세스 불가 메시지를 수신하는 경우 프로세스를 강제 종료하고, 상기 파일의 복원 절차에 따라 클라우드 서버에 저장된 파일을 수신하여 복원할 수 있다.Upon receipt of an access permission message from a user, the processing unit designates a suspicious process after registration as a normal process in a normal process list, and continuously monitors the operation of the corresponding process to monitor abnormal behavior. The process is maintained in the normal process list, and if the operation of the process is determined to be an abnormal operation, the registered process is deleted from the normal process list, the abnormal process history is displayed to the user, And if the access-disabled message is received from the user, the process is forcibly terminated and the file stored in the cloud server can be received and restored according to the restoration procedure of the file.
상기 비정상 행위는, 프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우일 수 있다.The abnormal behavior may be when the process accesses several other files a predetermined number of times within a predetermined time.
상기 프로세스 검사부는, 미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하면 정상 프로세스로 판단하고, 미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하지 않으면 비정상 프로세스로 판단할 수 있다.If there is no process for accessing a file in which an event has occurred in the previously stored normal process list, the process checking unit determines that the process is an abnormal process can do.
상기 프로세스 모니터링부는, API 후킹을 이용하여 프로세스들의 동작을 모니터링할 수 있다.The process monitoring unit may monitor the operation of processes using API hooking.
상기와 같은 목적을 달성하기 위한 본 발명의 다른 측면에 따른 클라우드 기반의 클라이언트 장치에서의 백업 방법은, 시스템 상에 프로세스들의 동작을 모니터링하는 프로세스 모니터링 단계; 상기 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사하는 프로세스 검사 단계; 및 상기 프로세스의 정상 여부 판단시, 정상 프로세스로 판단될 경우, 프로세스의 접근을 먼저 허용하고 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버에 암호화하여 저장하고, 상기 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단될 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버에 저장하고, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하며, 사용자로부터 액세스 불가 메시지를 수신하면 프로세스를 강제 종료하고, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시하는 처리 단계;를 포함할 수 있다.According to another aspect of the present invention, there is provided a method of backing up in a cloud-based client device, the method comprising: monitoring a process of a process on a system; A process inspecting step of inspecting whether a process of accessing a file in which an event occurs is normal when an event occurs in a target file of the random software as a result of monitoring the processes; And when the process is determined to be normal, if the process is determined to be a normal process, the process is allowed to access first, and when the process is completed, the file accessed by the process is encrypted and stored in the cloud server. If the process is determined to be an abnormal process, the process first encrypts the file before storing it in the cloud server, sends a notification message to the user warning the access of the abnormal process, Upon receiving the access permission message from the user, the processing step may include registering the normal process as a normal process in the normal process list, designating the suspicious process as a normal process, continuously monitoring the operation of the process, and monitoring abnormal behavior .
상기 처리 단계에서는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리시트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 상기 프로세스를 강제 종료하고, 클라우드 서버에 저장된 파일을 수신하여 복원할 수 있다.When the access permission message is received from the user, the process is designated as a suspicious process after being registered as a normal process in a normal process record sheet, and the abnormal process is continuously monitored to monitor the operation of the process. The process is maintained in the normal process list, and if it is determined that the operation of the process is abnormal, the registered process is deleted from the normal process list, and the process is forcibly terminated and stored in the cloud server The file can be received and restored.
상기 처리 단계에서는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리시트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 사용자에게 비정상 행위 이력을 보여주고, 파일의 복원 절차를 안내하여, 사용자로부터 액세스 불가 메시지를 수신하는 경우 프로세스를 강제 종료하고, 상기 파일의 복원 절차에 따라 클라우드 서버에 저장된 파일을 수신하여 복원할 수 있다.When the access permission message is received from the user, the process is designated as a suspicious process after being registered as a normal process in a normal process record sheet, and the abnormal process is continuously monitored to monitor the operation of the process. The process is maintained in the normal process list. If it is determined that the operation of the process is an abnormal operation, the registered process is deleted from the normal process list, and the abnormal operation history is displayed to the user. If the access-disabled message is received from the user by guiding the restoration procedure, the process can be forcibly terminated and the file stored in the cloud server can be received and restored according to the restoration procedure of the file.
상기 비정상 행위는, 프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우일 수 있다.The abnormal behavior may be when the process accesses several other files a predetermined number of times within a predetermined time.
상기 프로세스 검사 단계에서는, 미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하면 정상 프로세스로 판단하고, 미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하지 않으면 비정상 프로세스로 판단할 수 있다.In the process checking step, if there is a process accessing a file in which an event has occurred in a previously stored normal process list, it is determined to be a normal process. If there is no process accessing a file in which an event occurs, It can be judged.
상기 프로세스 모니터링 단계에서는, API 후킹을 이용하여 프로세스들의 동작을 모니터링할 수 있다.In the process monitoring step, API hooking can be used to monitor the operation of the processes.
상기와 같은 목적을 달성하기 위한 본 발명의 다른 측면에 따른 기록 매체는, 클라우드 기반의 클라이언트 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체일 수 있다.According to another aspect of the present invention, there is provided a computer-readable recording medium storing a computer program for performing a cloud-based client method.
본 발명의 일 측면에 따르면, 클라우드 서버에 파일을 복사하여 저장함으로써 알려지지 않은 랜섬웨어로부터 파일을 보호할 수 있는 효과가 있다. According to an aspect of the present invention, there is an effect that a file can be protected from unknown Ransomware by copying and storing the file in the cloud server.
또한, 파일의 저장시 암호화하여 저장함으로써 악의적인 목적을 가진 프로그램으로부터 파일을 보호할 수 있으며, 원본 파일이 손상된 경우 복구할 수 있다.It also protects files from programs with malicious intent by encrypting and storing them when they are saved, and can recover if the original files are damaged.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtained in the present invention are not limited to the effects mentioned above, and other effects not mentioned can be clearly understood by those skilled in the art from the following description .
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시 예를 예시하는 것이며, 발명을 실시하기 위한 구체적인 내용들과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니 된다.
도 1은 본 발명의 일 실시 예에 따른 백업 시스템의 개략적인 구성도,
도 2는 본 발명의 일 실시 예에 따른 클라이언트 장치의 개략적인 구성도,
도 3은 본 발명의 일 실시 예에 따른 백업 방법의 흐름을 개략적으로 도시한 도면,
도 4는 본 발명의 다른 실시 예에 따른 백업 방법의 흐름을 개략적으로 도시한 도면
도 5는 본 발명의 또 다른 실시 예에 따른 백업 방법의 흐름을 개략적으로 도시한 도면이다.BRIEF DESCRIPTION OF THE DRAWINGS The accompanying drawings, which are incorporated in and constitute a part of the specification, illustrate exemplary embodiments of the invention and, together with the specific details for carrying out the invention, And shall not be construed as limited to the matters described.
1 is a schematic configuration diagram of a backup system according to an embodiment of the present invention;
2 is a schematic configuration diagram of a client apparatus according to an embodiment of the present invention;
Figure 3 schematically illustrates the flow of a backup method according to one embodiment of the present invention,
Figure 4 schematically illustrates the flow of a backup method according to another embodiment of the present invention;
FIG. 5 is a view schematically showing a flow of a backup method according to another embodiment of the present invention.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시 예를 상세히 설명하기로 한다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings, in which: There will be. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. Hereinafter, a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when an element is referred to as " comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise. In addition, the term "Quot; and " part " refer to a unit that processes at least one function or operation, which may be implemented in hardware, software, or a combination of hardware and software.
도 1은 본 발명의 일 실시 예에 따른 백업 시스템의 개략적인 구성도이다. 1 is a schematic block diagram of a backup system according to an embodiment of the present invention.
도 1을 참조하면, 본 실시 예에 따른 백업 시스템은 클라우드 서버(100) 및 클라이언트 장치(200)를 포함한다. 클라우드 서버(100)와 클라이언트 장치(200)는 클라우드 서비스를 제공할 수 있는 네크워크를 통해 연결되어, 파일을 송수신할 수 있다. 예컨대, 클라이언트 장치(200)와 클라우드 서버(100)는 클라우드 서비스가 가능한 인터넷을 통해 네트워크로 연결되어 파일을 송수신할 수 있다. Referring to FIG. 1, the backup system according to the present embodiment includes a
클라우드 서버(100)는, 후술할 클라이언트 장치(200)로부터 백업되는 파일을 저장하는 장치일 수 있다. 이때, 클라우드 서버(100)는 종래의 클라우드 컴퓨팅에 기초하여 분산되어 존재하는 데이터 센터일 수 있다. 본 실시 예에 따르면, 백업을 위한 데이터는 클라우드 서버(100)에 저장될 경우, 하나의 장치 즉, 중앙 집중식이 아닌 분산 방식으로 별도의 저장소에 저장되므로, 프로세스가 동작하는 장치에 랜섬웨어가 침입하더라도 데이터가 백업된 클라우드 서버(100)는 랜섬웨어의 영향을 받지 않아 안전할 수 있다. The
한편, 상술한 바와 같이 본 실시 예에 따르면 백업 시스템은 개별적인 장치로 분리되어 있는 것으로 설명하지만 이에 한하지 않으며, 클라우드 서버(100)와 클라이언트 장치(200)는 하나의 장치로 운용될 수도 있다. 예컨대, 클라우드 서버(100) 내에 클라이언트 장치(200)가 존재할 수도 있고, 상기 클라우드 서버(100)가 백업되는 파일을 저장할 수 있는 별도의 저장소 형태로 클라이언트 장치(200)에 존재할 수도 있다.As described above, according to the present embodiment, the backup system is described as being separated into individual devices. However, the present invention is not limited to this, and the
클라이언트 장치(200)는, 사용자가 사용하는 시스템 상에 랜섬웨어가 침입하는 경우에 대비하여 파일들을 별도의 저장장치에 백업하고, 랜섬웨어에 파일이 감염될 경우 이를 복원할 수 있다. 즉, 클라이언트 장치(200)는 사용자가 사용하는 시스템 상에 프로세스들의 동작을 모니터링하고, 프로세스의 정상 여부를 검사하며, 프로세스의 정상 또는 비정상 여부에 따라 파일을 백업하여 랜섬웨어의 침입에 대비하여 동작할 수 있다. The
클라이언트 장치(200)와 관련한 보다 상세한 설명은 도 2를 통해 후술하기로 한다. A more detailed description with respect to the
도 2는 본 발명의 일 실시 예에 따른 클라이언트 장치의 개략적인 구성도이다.2 is a schematic configuration diagram of a client apparatus according to an embodiment of the present invention.
도 2를 참조하면, 본 실시 예에 따른 클라이언트 장치(200)는 프로세스 모니터링부(210), 프로세스 검사부(230) 및 처리부(250)를 포함한다. Referring to FIG. 2, the
프로세스 모니터링부(210)는 사용자가 사용하는 시스템 상에 프로세스들의 동작을 모니터링할 수 있다. 프로세스 모니터링부(210)는 API 후킹(hooking)을 이용하여 프로세스들의 동작을 모니터링할 수 있다. API 후킹(hooking)이란 컴퓨터의 특정 프로그램이나 시스템 전역에서 API가 호출되는 것을 가로채는 것을 의미한다. 이때, API 후킹은 공지된 기술이므로 자세한 설명은 생략하기로 한다.The
프로세스 검사부(230)는 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사한다. 예컨대, 이벤트는 readfile, writefile 등과 같은 파일 입출력과 관련한 것일 수 있다.As a result of monitoring the processes, the
프로세스 검사부(230)는 프로세스의 정상 여부 판단시, 정상 프로세스 리스트를 참고하여 프로세스의 정상 여부를 판단할 수 있다. 정상 프로세스 리스트는 사전에 사용자(관리자)가 별도의 저장소(데이터베이스)에 저장하고 관리할 수 있다. 프로세스 검사부(230)는 정상 프로세스 리스트와 이벤트가 발생한 파일에 접근하는 프로세스를 비교하여 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하면 정상 프로세스로 판단하고 그렇지 않으면 즉, 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하지 않으면 비정상 프로세스로 판단할 수 있다.When determining whether the process is normal, the
처리부(250)는 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용할 수 있다. 처리부(250)는 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버(100)에 암호화하여 저장할 수 있다. 이때, 프로세스가 접근했던 파일을 암호화하여 클라우드 서버(100)에 저장하는 이유는, 랜섬웨어의 타겟 대상이 되는 파일에 정상 프로세스가 접근하여 특정 동작을 수행하고, 그 동작이 완료된 상태의 시점에 해당 파일을 저장하여 이후의 다른 랜섬웨어에 의한 접근으로 해당 파일이 감염된다고 하여도 정상 프로세스의 동작이 끝난 최종 시점에 복구가 가능하도록 하기 위함이다. 다만, 후술하는 비정상 프로세스의 접근 시에는 접근이 감지되자마자 해당 파일을 저장하여 복구에 대비함에 비하여, 본 구성은 정상 프로세스에 의해 해당 파일에 접근 시도 및 동작 완료된 시점에 해당 파일을 암호화하여 저장한다는 점에서 차이가 있다. 암호화되어 클라우드 서버(100)에 저장된 파일은 후술하는 복원 과정 진행시, 복원을 요청하는 장치(클라이언트 장치)의 고유키를 대조하여 일치할 경우, 복호화하여 전송함으로써 복원을 진행할 있다. 이때, 클라우드 서버(100)에 복원을 위한 파일을 저장할 경우, 복원을 요청하는 장치(클라이언트 장치)의 고유키 정보를 매핑시켜 저장할 수 있다. When determining that the process of accessing a file in which an event has occurred is normal, the
처리부(250)는 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단하는 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버(100)에 저장할 수 있다. 처리부(250)는 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하고, 사용자로부터 알림 메시지에 대한 응답 메시지를 수신할 수 있다. 이때, 응답 메시지는 액세스 불가 또는 액세스 허용 메시지 중 어느 하나일 수 있다. 처리부(250)는 사용자로부터 액세스 불가 메시지를 수신하면, 프로세스를 강제 종료할 수 있다. 처리부(250)는 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시할 수 있다. 이때, 비정상 행위는 프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우일 수 있다. 예컨대, 미리 정해진 시간이 10초이고, 여러 파일들(사진파일, 문서 파일(PDF, 한글, 워드 등))에 접근하는 횟수가 3회로 설정된 경우, 처리부(250)는 10초 이내에 다수 개의 파일을 돌아가며 5회 접근한 경우 비정상 행위로 간주할 수 있다. When it is determined that the process of accessing a file in which an event occurs is normal or an abnormal process is determined, the
처리부(250)는 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지한다. 처리부(250)는 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 등록된 프로세스를 삭제 후, 프로세스를 강제 종료하고, 클라우드 서버(100)에 저장된 파일을 수신하여 복원을 진행할 수 있다. 한편, 처리부(250)는 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 등록된 프로세스를 삭제 후, 사용자에게 비정상 행위 이력을 보여주고, 파일의 복원 절차를 안내하여, 사용자로부터 액세스 불가 메시지를 수신하는 경우 프로세스를 강제 종료하고, 상기 파일의 복원 절차에 따라 클라우드에 저장된 파일을 수신하여 복원을 진행할 수도 있다.The
이하, 상술한 본 실시 예에 따른 클라우드 기반의 클라이언트 장치(200)에서의 백업 방법에 대해 설명하기로 한다. Hereinafter, a backup method in the cloud-based
도 3은 본 발명의 일 실시 예에 따른 백업 방법의 흐름을 개략적으로 도시한 도면이다. FIG. 3 is a diagram schematically illustrating the flow of a backup method according to an embodiment of the present invention.
클라이언트 장치(200)는, 사용자가 사용하는 시스템 상에 프로세스들의 동작을 모니터링할 수 있다(310). 클라이언트 장치(200)는 API 후킹(hooking)을 이용하여 프로세스들의 동작을 모니터링할 수 있다. API 후킹(hooking)이란 컴퓨터의 특정 프로그램이나 시스템 전역에서 API가 호출되는 것을 가로채는 것을 의미한다. 이때, API 후킹은 공지된 기술이므로 자세한 설명은 생략하기로 한다.The
클라이언트 장치(200)는, 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사한다(320). 예컨대, 이벤트는 readfile, writefile 등과 같은 파일 입출력과 관련한 것일 수 있다. 클라이언트 장치(200)는 프로세스의 정상 여부 판단시, 정상 프로세스 리스트를 참고하여 프로세스의 정상 여부를 판단할 수 있다. 정상 프로세스 리스트는 사전에 사용자(관리자)가 별도의 저장소(데이터베이스)에 저장하고 관리할 수 있다. 클라이언트 장치(200)는 정상 프로세스 리스트와 이벤트가 발생한 파일에 접근하는 프로세스를 비교하여 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하면 정상 프로세스로 판단하고 그렇지 않으면 즉, 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하지 않으면 비정상 프로세스로 판단할 수 있다.As a result of monitoring the processes, the
클라이언트 장치(200)는, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용할 수 있다(330). 클라이언트 장치(200)는, 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버(100)에 암호화하여 저장할 수 있다(340). 이때, 프로세스가 접근했던 파일을 암호화하여 클라우드 서버(100)에 저장하는 이유는, 랜섬웨어의 타겟 대상이 되는 파일에 정상 프로세스가 접근하여 특정 동작을 수행하고, 그 동작이 완료된 상태의 시점에 해당 파일을 저장하여 이후의 다른 랜섬웨어에 의한 접근으로 해당 파일이 감염된다고 하여도 정상 프로세스의 동작이 끝난 최종 시점에 복구가 가능하도록 하기 위함이다. 다만, 후술하는 비정상 프로세스의 접근 시에는 접근이 감지되자마자 해당 파일을 저장하여 복구에 대비함에 비하여, 본 구성은 정상 프로세스에 의해 해당 파일에 접근 시도 및 동작 완료된 시점에 해당 파일을 암호화하여 저장한다는 점에서 차이가 있다. 암호화되어 클라우드 서버(100)에 저장된 파일은 후술하는 복원 과정 진행시, 복원을 요청하는 장치(백업장치)의 고유키를 대조하여 일치할 경우, 복호화하여 전송함으로써 복원을 진행할 수 있다. 이때, 클라우드 서버(100)에 복원을 위한 파일을 저장할 경우, 복원을 요청하는 장치(백업장치)의 고유키 정보를 매핑시켜 저장할 수 있다. 클라이언트 장치(200)는 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용하되, 파일을 클라우드 서버(100)에 저장하지 않을 수 있다. 이와 같은 이유는, 정상 프로세스인 경우 파일을 복구할 필요성이 없을 수 있으므로, 파일을 저장하는 저장 공간의 낭비를 방지하기 위함일 수 있다..If the
클라이언트 장치(200)는, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단하는 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버(100)에 저장할 수 있다(350). 클라이언트 장치(200)는, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하고, 사용자로부터 알림 메시지에 대한 응답 메시지를 수신할 수 있다(360). 이때, 응답 메시지는 액세스 불가 또는 액세스 허용 메시지 중 어느 하나일 수 있다. 클라이언트 장치(200)는, 사용자로부터 액세스 불가 메시지를 수신하면, 프로세스를 강제 종료할 수 있다(370).한편, 클라이언트 장치(200)는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시할 수 있다(380). 이때, 비정상 행위는 프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우일 수 있다. 예컨대, 미리 정해진 시간이 10초이고, 여러 파일들(사진파일, 문서 파일(PDF, 한글, 워드 등))에 접근하는 횟수가 3회로 설정된 경우, 처리부(250)는 10초 이내에 다수 개의 파일을 돌아가며 5회 접근한 경우 비정상 행위로 간주할 수 있다. 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지한다(390). 한편, 클라이언트 장치(200)는 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 등록된 프로세스를 삭제 후, 프로세스를 강제 종료하고, 클라우드 서버(100)에 저장된 파일을 수신하여 복원을 진행할 수 있다(393). 한편, 클라이언트 장치(200)가 사용자로부터 액세스 허용 메시지를 수신한 경우, 사용자로부터 저장된 파일에 대한 임의 삭제에 대한 요청이 없을 경우에는, 저장된 파일은 기한에 제한없이 클라우드 서버(100)에 저장될 수 있다. 또한, 클라이언트 장치(200)가 사용자로부터 액세스 불가 메시지를 수신한 경우에, 클라우드 서버(200)에 저장된 파일은 미리 정해진 시간이 지나면 삭제될 수 있다. 이때, 미리 정해진 시간은 임의적으로 사전에 설정될 수 있다. 예컨대, 미리 정해진 시간이 5분인 경우, 클라우드 서버(200)는 사용자로부터 액세스 불가 메시지를 수신 후, 미리 정해진 시간인 5분이 경과한 경우, 클라우드 서버(200)로 해당 파일에 대한 삭제 요청 메시지를 전송할 수 있으며, 클라우드 서버(200)는 해당 파일을 삭제할 수 있다. 또한, 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지하되, 클라우드 서버(100)에서 저장된 파일을 바로 삭제할 수 있다. 이와 같은 이유는, 정상 프로세스로 판단될 경우 파일은 랜섬웨어에 의해 감염이 이루어지지 않을 수 있으므로 저장 공간의 낭비를 방지하기 위함이다.When determining that the process of accessing a file in which an event has occurred is determined to be an abnormal process, the
도 4는 본 발명의 다른 실시 예에 따른 백업 방법의 흐름을 개략적으로 도시한 도면이다.4 is a view schematically showing a flow of a backup method according to another embodiment of the present invention.
클라이언트 장치(200)는, 사용자가 사용하는 시스템 상에 프로세스들의 동작을 모니터링할 수 있다(410). 클라이언트 장치(200)는 API 후킹(hooking)을 이용하여 프로세스들의 동작을 모니터링할 수 있다. API 후킹(hooking)이란 컴퓨터의 특정 프로그램이나 시스템 전역에서 API가 호출되는 것을 가로채는 것을 의미한다. 이때, API 후킹은 공지된 기술이므로 자세한 설명은 생략하기로 한다.The
클라이언트 장치(200)는, 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사한다(420). 예컨대, 이벤트는 readfile, writefile 등과 같은 파일 입출력과 관련한 것일 수 있다. 클라이언트 장치(200)는 프로세스의 정상 여부 판단시, 정상 프로세스 리스트를 참고하여 프로세스의 정상 여부를 판단할 수 있다. 정상 프로세스 리스트는 사전에 사용자(관리자)가 별도의 저장소(데이터베이스)에 저장하고 관리할 수 있다. 클라이언트 장치(200)는 정상 프로세스 리스트와 이벤트가 발생한 파일에 접근하는 프로세스를 비교하여 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하면 정상 프로세스로 판단하고 그렇지 않으면 즉, 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하지 않으면 비정상 프로세스로 판단할 수 있다.When the
클라이언트 장치(200)는, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용할 수 있다(430). 클라이언트 장치(200)는, 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버(100)에 암호화하여 저장할 수 있다(440). 이때, 프로세스가 접근했던 파일을 암호화하여 클라우드 서버(100)에 저장하는 이유는, 랜섬웨어의 타겟 대상이 되는 파일에 정상 프로세스가 접근하여 특정 동작을 수행하고, 그 동작이 완료된 상태의 시점에 해당 파일을 저장하여 이후의 다른 랜섬웨어에 의한 접근으로 해당 파일이 감염된다고 하여도 정상 프로세스의 동작이 끝난 최종 시점에 복구가 가능하도록 하기 위함이다. 다만, 후술하는 비정상 프로세스의 접근 시에는 접근이 감지되자마자 해당 파일을 저장하여 복구에 대비함에 비하여, 본 구성은 정상 프로세스에 의해 해당 파일에 접근 시도 및 동작 완료된 시점에 해당 파일을 암호화하여 저장한다는 점에서 차이가 있다. 암호화되어 클라우드 서버(100)에 저장된 파일은 후술하는 복원 과정 진행시, 복원을 요청하는 장치(백업장치)의 고유키를 대조하여 일치할 경우, 복호화하여 전송함으로써 복원을 진행할 수 있다. 이때, 클라우드 서버(100)에 복원을 위한 파일을 저장할 경우, 복원을 요청하는 장치(백업장치)의 고유키 정보를 매핑시켜 저장할 수 있다. 클라이언트 장치(200)는 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용하되, 파일을 클라우드 서버(100)에 저장하지 않을 수 있다. 이와 같은 이유는, 정상 프로세스인 경우 파일을 복구할 필요성이 없을 수 있으므로, 파일을 저장하는 저장 공간의 낭비를 방지하기 위함일 수 있다. .If the
클라이언트 장치(200)는, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단하는 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버(100)에 저장할 수 있다(450). 클라이언트 장치(200)는, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하고, 사용자로부터 알림 메시지에 대한 응답 메시지를 수신할 수 있다(460). 이때, 응답 메시지는 액세스 불가 또는 액세스 허용 메시지 중 어느 하나일 수 있다. 클라이언트 장치(200)는, 사용자로부터 액세스 불가 메시지를 수신하면, 프로세스를 강제 종료할 수 있다(470). 한편, 클라이언트 장치(200)는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시할 수 있다(480). 이때, 비정상 행위는 프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우일 수 있다. 예컨대, 미리 정해진 시간이 10초이고, 여러 파일들(사진파일, 문서 파일(PDF, 한글, 워드 등))에 접근하는 횟수가 3회로 설정된 경우, 처리부(250)는 10초 이내에 다수 개의 파일을 돌아가며 5회 접근한 경우 비정상 행위로 간주할 수 있다. 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지한다(490). 한편, 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 등록된 프로세스를 삭제 후, 사용자에게 비정상 행위 이력을 보여주고, 파일의 복원 절차를 안내하여, 사용자로부터 액세스 불가 메시지를 수신하는 경우 프로세스를 강제 종료하고, 상기 파일의 복원 절차에 따라 클라우드에 저장된 파일을 수신하여 복원을 진행할 수도 있다(493). 한편, 클라이언트 장치(200)가 사용자로부터 액세스 허용 메시지를 수신한 경우, 사용자로부터 저장된 파일에 대한 임의 삭제에 대한 요청이 없을 경우에는, 저장된 파일은 기한에 제한없이 클라우드 서버(100)에 저장될 수 있다. 또한, 클라이언트 장치(200)가 사용자로부터 액세스 불가 메시지를 수신한 경우에, 클라우드 서버(200)에 저장된 파일은 미리 정해진 시간이 지나면 삭제될 수 있다. 이때, 미리 정해진 시간은 임의적으로 사전에 설정될 수 있다. 예컨대, 미리 정해진 시간이 5분인 경우, 클라우드 서버(200)는 사용자로부터 액세스 불가 메시지를 수신 후, 미리 정해진 시간인 5분이 경과한 경우, 클라우드 서버(200)로 해당 파일에 대한 삭제 요청 메시지를 전송할 수 있으며, 클라우드 서버(200)는 해당 파일을 삭제할 수 있다. 또한, 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지하되, 클라우드 서버(100)에서 저장된 파일을 바로 삭제할 수 있다. 이와 같은 이유는, 정상 프로세스로 판단될 경우 파일은 랜섬웨어에 의해 감염이 이루어지지 않을 수 있으므로 저장 공간의 낭비를 방지하기 위함이다.If it is determined that the process of accessing a file in which an event has occurred is determined to be an abnormal process, the
도 5는 본 발명의 또 다른 실시 예에 따른 백업 방법의 흐름을 개략적으로 도시한 도면이다.FIG. 5 is a view schematically showing a flow of a backup method according to another embodiment of the present invention.
클라이언트 장치(200)는, 사용자가 사용하는 시스템 상에 프로세스들의 동작을 모니터링할 수 있다(510). 클라이언트 장치(200)는 API 후킹(hooking)을 이용하여 프로세스들의 동작을 모니터링할 수 있다. API 후킹(hooking)이란 컴퓨터의 특정 프로그램이나 시스템 전역에서 API가 호출되는 것을 가로채는 것을 의미한다. 이때, API 후킹은 공지된 기술이므로 자세한 설명은 생략하기로 한다.The
클라이언트 장치(200)는, 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사한다(520). 예컨대, 이벤트는 readfile, writefile 등과 같은 파일 입출력과 관련한 것일 수 있다. 클라이언트 장치(200)는 프로세스의 정상 여부 판단시, 정상 프로세스 리스트를 참고하여 프로세스의 정상 여부를 판단할 수 있다. 정상 프로세스 리스트는 사전에 사용자(관리자)가 별도의 저장소(데이터베이스)에 저장하고 관리할 수 있다. 클라이언트 장치(200)는 정상 프로세스 리스트와 이벤트가 발생한 파일에 접근하는 프로세스를 비교하여 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하면 정상 프로세스로 판단하고 그렇지 않으면 즉, 이벤트가 발생한 파일에 접근하는 프로세스가 정상 프로세스 리스트에 존재하지 않으면 비정상 프로세스로 판단할 수 있다.When the
클라이언트 장치(200)는, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용할 수 있다(530). 클라이언트 장치(200)는, 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버(100)에 암호화하여 저장할 수 있다(540). 이때, 프로세스가 접근했던 파일을 암호화하여 클라우드 서버(100)에 저장하는 이유는, 랜섬웨어의 타겟 대상이 되는 파일에 정상 프로세스가 접근하여 특정 동작을 수행하고, 그 동작이 완료된 상태의 시점에 해당 파일을 저장하여 이후의 다른 랜섬웨어에 의한 접근으로 해당 파일이 감염된다고 하여도 정상 프로세스의 동작이 끝난 최종 시점에 복구가 가능하도록 하기 위함이다. 다만, 후술하는 비정상 프로세스의 접근 시에는 접근이 감지되자마자 해당 파일을 저장하여 복구에 대비함에 비하여, 본 구성은 정상 프로세스에 의해 해당 파일에 접근 시도 및 동작 완료된 시점에 해당 파일을 암호화하여 저장한다는 점에서 차이가 있다. 암호화되어 클라우드 서버(100)에 저장된 파일은 후술하는 복원 과정 진행시, 복원을 요청하는 장치(백업장치)의 고유키를 대조하여 일치할 경우, 복호화하여 전송함으로써 복원을 진행할 수 있다. 이때, 클라우드 서버(100)에 복원을 위한 파일을 저장할 경우, 복원을 요청하는 장치(백업장치)의 고유키 정보를 매핑시켜 저장할 수 있다. 클라이언트 장치(200)는 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 정상 프로세스로 판단하는 경우, 프로세스의 접근을 먼저 허용하되, 파일을 클라우드 서버(100)에 저장하지 않을 수 있다. 이와 같은 이유는, 정상 프로세스인 경우 파일을 복구할 필요성이 없을 수 있으므로, 파일을 저장하는 저장 공간의 낭비를 방지하기 위함일 수 있다.When determining that the process of accessing a file where an event occurs is normal, the
한편, 클라우드 서버(100)는, 저장된 파일이 미리 정해진 시간 이내에 복원 데이터(파일)로 사용되지 않을 경우 자동으로 삭제할 수 있다(543). 이와 같은 이유는 클라우드 서버의 용량을 확보하기 위함일 수 있다. 즉, 클라우드 서버(100)는 저장된 파일에 대한 사용 시간이 미리 설정될 수 있으며, 상기 사용 시간이 경과한 경우 자동으로 삭제될 수 있다. 예컨대, 클라우드 서버(100)는 사용 시간이 10분으로 설정된 경우, 클라이언트 장치(200)로부터 파일을 수신한 경우 10분이 경과할 때까지 복원 데이터(파일)로 사용되지 않으면, 저장 공간의 확보를 위해 해당 파일(데이터)를 삭제할 수 있다.Meanwhile, the
클라이언트 장치(200)는, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단하는 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버(100)에 저장할 수 있다(550). 클라이언트 장치(200)는, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하고, 사용자로부터 알림 메시지에 대한 응답 메시지를 수신할 수 있다(560). 이때, 응답 메시지는 액세스 불가 또는 액세스 허용 메시지 중 어느 하나일 수 있다. 클라이언트 장치(200)는, 사용자로부터 액세스 불가 메시지를 수신하면, 프로세스를 강제 종료할 수 있다(570). 한편, 클라이언트 장치(200)는, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시할 수 있다(580). 이때, 비정상 행위는 프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우일 수 있다. 예컨대, 미리 정해진 시간이 10초이고, 여러 파일들(사진파일, 문서 파일(PDF, 한글, 워드 등))에 접근하는 횟수가 3회로 설정된 경우, 처리부(250)는 10초 이내에 다수 개의 파일을 돌아가며 5회 접근한 경우 비정상 행위로 간주할 수 있다. 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지한다(590). 한편, 클라이언트 장치(200)는 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 등록된 프로세스를 삭제 후, 프로세스를 강제 종료하고, 클라우드 서버(100)에 저장된 파일을 수신하여 복원을 진행할 수 있다(593). 한편, 클라이언트 장치(200)가 사용자로부터 액세스 허용 메시지를 수신한 경우, 사용자로부터 저장된 파일에 대한 임의 삭제에 대한 요청이 없을 경우에는, 저장된 파일은 기한에 제한없이 클라우드 서버(100)에 저장될 수 있다. 또한, 클라이언트 장치(200)가 사용자로부터 액세스 불가 메시지를 수신한 경우에, 클라우드 서버(200)에 저장된 파일은 미리 정해진 시간이 지나면 삭제될 수 있다. 이때, 미리 정해진 시간은 임의적으로 사전에 설정될 수 있다. 예컨대, 미리 정해진 시간이 5분인 경우, 클라우드 서버(200)는 사용자로부터 액세스 불가 메시지를 수신 후, 미리 정해진 시간인 5분이 경과한 경우, 클라우드 서버(200)로 해당 파일에 대한 삭제 요청 메시지를 전송할 수 있으며, 클라우드 서버(200)는 해당 파일을 삭제할 수 있다. 또한, 클라이언트 장치(200)는, 비정상 행위 여부를 감시하는 경우, 프로세스의 동작이 정상 행위로 판단되면, 프로세스를 정상 프로세스 리스트에 유지하되, 클라우드 서버(100)에서 저장된 파일을 바로 삭제할 수 있다. 이와 같은 이유는, 정상 프로세스로 판단될 경우 파일은 랜섬웨어에 의해 감염이 이루어지지 않을 수 있으므로 저장 공간의 낭비를 방지하기 위함이다.When determining that the process of accessing a file in which an event has occurred is determined to be an abnormal process, the
상술한 바에 따르면, 클라우드 서버에 파일을 복사하여 저장함으로써 알려지지 않은 랜섬웨어로부터 파일을 보호할 수 있는 효과가 있다. 또한, 파일의 저장시 암호화하여 저장함으로써 악의적인 목적을 가진 프로그램으로부터 파일을 보호할 수 있으며, 원본 파일이 손상된 경우 복구할 수 있다.According to the above description, it is possible to protect a file from unknown software by copying and storing the file in the cloud server. It also protects files from programs with malicious intent by encrypting and storing them when they are saved, and can recover if the original files are damaged.
본 발명의 실시예에 따른 방법들은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는, 본 발명을 위한 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The methods according to embodiments of the present invention may be implemented in an application or implemented in the form of program instructions that may be executed through various computer components and recorded on a computer readable recording medium. The computer-readable recording medium may include program commands, data files, data structures, and the like, alone or in combination. The program instructions recorded on the computer-readable recording medium may be ones that are specially designed and configured for the present invention and are known and available to those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules for performing the processing according to the present invention, and vice versa.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 아니 된다. 또한, 본 명세서의 개별적인 실시 예에서 설명된 특징들은 단일 실시 예에서 결합되어 구현될 수 있다. 반대로, 본 명세서의 단일 실시 예에서 설명된 다양한 특징들은 개별적으로 다양한 실시 예에서 구현되거나, 적절히 결합되어 구현될 수 있다.While the specification contains many features, such features should not be construed as limiting the scope of the invention or the scope of the claims. In addition, the features described in the individual embodiments herein may be combined and implemented in a single embodiment. On the contrary, the various features described in the singular embodiments may be individually implemented in various embodiments or properly combined.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시 예에서 다양한 시스템 구성요소의 구분은 모든 실시 예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 앱 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.Although the operations are described in a particular order in the figures, it should be understood that such operations are performed in a particular order as shown, or that all described operations are performed in a series of sequential orders, or to obtain the desired result. In certain circumstances, multitasking and parallel processing may be advantageous. It should also be understood that the division of various system components in the above embodiments does not require such distinction in all embodiments. The above-described application components and systems can generally be packaged into a single software product or multiple software products.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것은 아니다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention. The present invention is not limited to the drawings.
100 : 클라우드 서버
200 : 클라이언트 장치
210 : 프로세스 모니터링부
230 : 프로세스 검사부
250 : 처리부100: Cloud server
200: Client device
210: Process monitoring section
230: Process Inspector
250:
Claims (13)
상기 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사하는 프로세스 검사부; 및
상기 프로세스의 정상 여부 판단시, 정상 프로세스로 판단될 경우, 프로세스의 접근을 먼저 허용하고 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버에 암호화하여 저장하고,
상기 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단될 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버에 저장하고, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하며, 사용자로부터 액세스 불가 메시지를 수신하면 프로세스를 강제 종료하고, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시하는 처리부;를 포함하는 클라우드 기반의 클라이언트 장치.A process monitoring unit for monitoring an operation of processes on the system;
A process inspecting unit for inspecting whether a process of accessing a file in which an event occurs is normal if an event occurs in a target file of the random software as a result of monitoring the processes; And
If it is determined that the process is normal, if the process is determined to be a normal process, the process is allowed to access first, and when the process ends, the file accessed by the process is encrypted and stored in the cloud server,
If it is determined that the process is abnormal, if it is determined that the process is an abnormal process, the file is first encrypted and stored in the cloud server before the process accesses, and a notification message warning the access of the abnormal process is transmitted to the user. Upon receipt of the message, the process is forcibly terminated. Upon receipt of the access permission message from the user, the process is registered as a normal process in the normal process list and designated as a suspicious process, and the process is continuously monitored to monitor the abnormal process A client device based on a cloud including:
상기 처리부는,
사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우,
프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고,
프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 상기 프로세스를 강제 종료하고, 클라우드 서버에 저장된 파일을 수신하여 복원하는 클라우드 기반의 클라이언트 장치.The method according to claim 1,
Wherein,
Upon receipt of the access permission message from the user, the suspicious process is registered as a normal process in the normal process list, and the suspicious process is continuously monitored to monitor the abnormal process.
If it is determined that the operation of the process is a normal operation, the process is kept in the normal process list,
Based client device for deleting a registered process from a normal process list, forcibly terminating the process, and receiving and restoring a file stored in the cloud server if the operation of the process is determined to be an abnormal operation.
상기 처리부는,
사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우,
프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고,
프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 사용자에게 비정상 행위 이력을 보여주고, 파일의 복원 절차를 안내하여, 사용자로부터 액세스 불가 메시지를 수신하는 경우 프로세스를 강제 종료하고, 상기 파일의 복원 절차에 따라 클라우드 서버에 저장된 파일을 수신하여 복원하는 클라우드 기반의 클라이언트 장치.The method according to claim 1,
Wherein,
Upon receipt of the access permission message from the user, the suspicious process is registered as a normal process in the normal process list, and the suspicious process is continuously monitored to monitor the abnormal process.
If it is determined that the operation of the process is a normal operation, the process is kept in the normal process list,
If the operation of the process is determined to be an abnormal operation, the registered process is deleted from the normal process list, the abnormal operation history is displayed to the user, the file restoration procedure is guided, And for receiving and restoring the file stored in the cloud server according to the restoration procedure of the file.
상기 비정상 행위는,
프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우인 클라우드 기반의 클라이언트 장치.The method according to claim 1,
The abnormal behavior may include:
A cloud-based client device in which a process accesses a number of different files over a predetermined number of times within a predetermined time.
상기 프로세스 검사부는,
미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하면 정상 프로세스로 판단하고,
미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하지 않으면 비정상 프로세스로 판단하는 클라우드 기반의 클라이언트 장치.The method according to claim 1,
Wherein the process checking unit comprises:
If there is a process for accessing a file in which an event has occurred in a previously stored normal process list, it is determined to be a normal process,
Based on the fact that there is no process accessing a file in which an event has occurred, in the list of normal processes stored in advance.
상기 프로세스 모니터링부는,
API 후킹을 이용하여 프로세스들의 동작을 모니터링하는 클라우드 기반의 클라이언트 장치.The method according to claim 1,
The process monitoring unit,
A cloud-based client device that monitors the behavior of processes using API hooking.
시스템 상에 프로세스들의 동작을 모니터링하는 프로세스 모니터링 단계;
상기 프로세스들을 모니터링한 결과, 랜섬웨어의 타깃이 되는 파일에 이벤트가 발생할 경우, 이벤트가 발생한 파일에 접근하는 프로세스의 정상 여부를 검사하는 프로세스 검사 단계;
상기 프로세스의 정상 여부 판단시, 정상 프로세스로 판단될 경우, 프로세스의 접근을 먼저 허용하고 프로세스의 동작이 끝나면, 프로세스가 접근했던 파일을 클라우드 서버에 암호화하여 저장하고,
상기 프로세스의 정상 여부 판단시, 비정상 프로세스로 판단될 경우, 프로세스가 접근하기 전에 파일을 먼저 암호화하여 클라우드 서버에 저장하고, 비정상 프로세스의 접근을 경고하는 알림 메시지를 사용자에게 전송하며, 사용자로부터 액세스 불가 메시지를 수신하면 프로세스를 강제 종료하고, 사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리스트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하고 비정상 행위의 여부를 감시하는 처리 단계;를 포함하는 클라우드 기반의 백업 방법.A backup method in a cloud-based client device,
A process monitoring step of monitoring the operation of the processes on the system;
A process inspecting step of inspecting whether a process of accessing a file in which an event occurs is normal when an event occurs in a target file of the random software as a result of monitoring the processes;
If it is determined that the process is normal, if the process is determined to be a normal process, the process is allowed to access first, and when the process ends, the file accessed by the process is encrypted and stored in the cloud server,
If it is determined that the process is abnormal, if it is determined that the process is an abnormal process, the file is first encrypted and stored in the cloud server before the process accesses, and a notification message warning the access of the abnormal process is transmitted to the user. Upon receipt of the message, the process is forcibly terminated. Upon receipt of the access permission message from the user, the process is registered as a normal process in the normal process list and designated as a suspicious process, and the process of continuously monitoring the operation of the process is monitored A cloud-based backup method comprising:
상기 처리 단계에서는,
사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리시트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우,
프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고,
프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 상기 프로세스를 강제 종료하고, 클라우드 서버에 저장된 파일을 수신하여 복원하는 클라우드 기반의 백업 방법.8. The method of claim 7,
In the processing step,
When the access permission message is received from the user, the process is registered as a normal process in the normal process record sheet and designated as a suspicious process. When the process of the process is continuously monitored for abnormality,
If it is determined that the operation of the process is a normal operation, the process is kept in the normal process list,
A cloud-based backup method for removing a registered process from a normal process list, forcibly terminating the process, and receiving and restoring a file stored in a cloud server, when the operation of the process is determined to be abnormal.
상기 처리 단계에서는,
사용자로부터 액세스 허용 메시지를 수신하면 정상 프로세스 리시트에 정상 프로세스로 등록 후 의심 프로세스로 지정하여, 해당 프로세스의 동작을 지속적으로 모니터링하여 비정상 행위의 여부를 감시하는 경우,
프로세스의 동작이 정상 행위로 판단되면, 상기 프로세스를 정상 프로세스 리스트에 유지하고,
프로세스의 동작이 비정상 행위로 판단되면, 정상 프로세스 리스트에서 상기 등록된 프로세스를 삭제 후, 사용자에게 비정상 행위 이력을 보여주고, 파일의 복원 절차를 안내하여, 사용자로부터 액세스 불가 메시지를 수신하는 경우 프로세스를 강제 종료하고, 상기 파일의 복원 절차에 따라 클라우드 서버에 저장된 파일을 수신하여 복원하는 클라우드 기반의 백업 방법.8. The method of claim 7,
In the processing step,
When the access permission message is received from the user, the process is registered as a normal process in the normal process record sheet and designated as a suspicious process. When the process of the process is continuously monitored for abnormality,
If it is determined that the operation of the process is a normal operation, the process is kept in the normal process list,
If the operation of the process is determined to be an abnormal operation, the registered process is deleted from the normal process list, the abnormal operation history is displayed to the user, the file restoration procedure is guided, The method comprising: receiving a file stored in a cloud server according to a restoration procedure of the file;
상기 비정상 행위는,
프로세스가 미리 정해진 시간 내에 다른 여러 파일들에 미리 정해진 횟수 이상 접근하는 경우인 클라우드 기반의 백업 방법.8. The method of claim 7,
The abnormal behavior may include:
A cloud-based backup method in which a process accesses several other files a predetermined number of times within a predetermined time.
상기 프로세스 검사 단계에서는,
미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하면 정상 프로세스로 판단하고,
미리 저장된 정상 프로세스 리스트에 이벤트가 발생한 파일에 접근하는 프로세스가 존재하지 않으면 비정상 프로세스로 판단하는 클라우드 기반의 백업 방법.8. The method of claim 7,
In the process inspection step,
If there is a process for accessing a file in which an event has occurred in a previously stored normal process list, it is determined to be a normal process,
A cloud-based backup method that determines that an abnormal process is not present if there is no process accessing the file in which the event occurred in the pre-stored normal process list.
상기 프로세스 모니터링 단계에서는,
API 후킹을 이용하여 프로세스들의 동작을 모니터링하는 클라우드 기반의 백업 방법.8. The method of claim 7,
In the process monitoring step,
A cloud-based backup method that monitors the behavior of processes using API hooking.
A computer-readable recording medium on which a computer program is recorded for performing a cloud-based backup method according to any one of claims 7 to 12.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160150804 | 2016-11-14 | ||
KR20160150804 | 2016-11-14 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20180054389A true KR20180054389A (en) | 2018-05-24 |
KR101940864B1 KR101940864B1 (en) | 2019-01-21 |
Family
ID=62299131
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160155743A KR101940864B1 (en) | 2016-11-14 | 2016-11-22 | Client device and back-up method based on cloud, recording medium for performing the method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101940864B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112068990A (en) * | 2019-06-10 | 2020-12-11 | 株式会社日立制作所 | Storage device and backup method for setting special event as restore point |
KR102211846B1 (en) * | 2020-07-21 | 2021-02-03 | 국방과학연구소 | Ransomware detection system and operating method thereof |
CN116886406A (en) * | 2023-08-04 | 2023-10-13 | 广州市博立信息科技有限公司 | Computer network data safety intelligent protection system |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130022189A (en) * | 2011-08-25 | 2013-03-06 | 주식회사 팬택 | System and method that prevent virus damage |
KR20130085473A (en) * | 2011-12-05 | 2013-07-30 | 인텔렉추얼디스커버리 주식회사 | Encryption system for intrusion detection system of cloud computing service |
KR101327740B1 (en) | 2011-12-26 | 2013-11-11 | ㈜ 와이에이치 데이타베이스 | apparatus and method of collecting action pattern of malicious code |
KR20140127178A (en) * | 2013-04-24 | 2014-11-03 | 이상호 | Method of security using cloud multi-vaccine and apparatus thereof |
KR101502699B1 (en) * | 2013-10-21 | 2015-03-13 | 인하대학교 산학협력단 | Method and system for data backup using near field communication |
KR101657180B1 (en) * | 2015-05-04 | 2016-09-19 | 최승환 | System and method for process access control system |
-
2016
- 2016-11-22 KR KR1020160155743A patent/KR101940864B1/en active IP Right Grant
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130022189A (en) * | 2011-08-25 | 2013-03-06 | 주식회사 팬택 | System and method that prevent virus damage |
KR20130085473A (en) * | 2011-12-05 | 2013-07-30 | 인텔렉추얼디스커버리 주식회사 | Encryption system for intrusion detection system of cloud computing service |
KR101327740B1 (en) | 2011-12-26 | 2013-11-11 | ㈜ 와이에이치 데이타베이스 | apparatus and method of collecting action pattern of malicious code |
KR20140127178A (en) * | 2013-04-24 | 2014-11-03 | 이상호 | Method of security using cloud multi-vaccine and apparatus thereof |
KR101502699B1 (en) * | 2013-10-21 | 2015-03-13 | 인하대학교 산학협력단 | Method and system for data backup using near field communication |
KR101657180B1 (en) * | 2015-05-04 | 2016-09-19 | 최승환 | System and method for process access control system |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112068990A (en) * | 2019-06-10 | 2020-12-11 | 株式会社日立制作所 | Storage device and backup method for setting special event as restore point |
KR102211846B1 (en) * | 2020-07-21 | 2021-02-03 | 국방과학연구소 | Ransomware detection system and operating method thereof |
CN116886406A (en) * | 2023-08-04 | 2023-10-13 | 广州市博立信息科技有限公司 | Computer network data safety intelligent protection system |
CN116886406B (en) * | 2023-08-04 | 2024-01-30 | 广州市博立信息科技有限公司 | Computer network data safety intelligent protection system |
Also Published As
Publication number | Publication date |
---|---|
KR101940864B1 (en) | 2019-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11321464B2 (en) | Method and system for generating cognitive security intelligence for detecting and preventing malwares | |
EP3479280B1 (en) | Ransomware protection for cloud file storage | |
US10789361B2 (en) | Ransomware attack remediation | |
US10009360B1 (en) | Malware detection and data protection integration | |
US10609066B1 (en) | Automated detection and remediation of ransomware attacks involving a storage device of a computer network | |
US9990511B1 (en) | Using encrypted backup to protect files from encryption attacks | |
US9514309B1 (en) | Systems and methods for protecting files from malicious encryption attempts | |
US8468604B2 (en) | Method and system for detecting malware | |
US20080016564A1 (en) | Information protection method and system | |
CN107563199A (en) | It is a kind of that software detection and defence method in real time are extorted based on file request monitoring | |
KR101828600B1 (en) | Context-aware ransomware detection | |
US10831888B2 (en) | Data recovery enhancement system | |
WO2017107896A1 (en) | Document protection method and device | |
CN109784055B (en) | Method and system for rapidly detecting and preventing malicious software | |
JP2009505295A (en) | Information protection method and system | |
KR101940864B1 (en) | Client device and back-up method based on cloud, recording medium for performing the method | |
KR101995944B1 (en) | Method for preventing randomware | |
US20160191495A1 (en) | Privileged shared account password sanitation | |
US11349855B1 (en) | System and method for detecting encrypted ransom-type attacks | |
CN112182604A (en) | File detection system and method | |
TW201804354A (en) | Storage device, data protection method therefor, and data protection system | |
JP4462849B2 (en) | Data protection apparatus, method and program | |
CN106844006B (en) | Based on the data prevention method and system under virtualized environment | |
US10762203B2 (en) | Reducing impact of malware/ransomware in caching environment | |
US20220263867A1 (en) | Resilient Self-Detection of Malicious Exfiltration of Sensitive Data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |