KR20190070681A - A method and apparatus for preventing ransomware using blockchain - Google Patents

A method and apparatus for preventing ransomware using blockchain Download PDF

Info

Publication number
KR20190070681A
KR20190070681A KR1020170171443A KR20170171443A KR20190070681A KR 20190070681 A KR20190070681 A KR 20190070681A KR 1020170171443 A KR1020170171443 A KR 1020170171443A KR 20170171443 A KR20170171443 A KR 20170171443A KR 20190070681 A KR20190070681 A KR 20190070681A
Authority
KR
South Korea
Prior art keywords
data
block
mail
peers
block chain
Prior art date
Application number
KR1020170171443A
Other languages
Korean (ko)
Other versions
KR101998986B1 (en
Inventor
김기천
안정현
진정하
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Priority to KR1020170171443A priority Critical patent/KR101998986B1/en
Publication of KR20190070681A publication Critical patent/KR20190070681A/en
Application granted granted Critical
Publication of KR101998986B1 publication Critical patent/KR101998986B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators

Abstract

Disclosed are a method and an apparatus for preventing ransomware using a block chain. According to one embodiment of the present invention, the method for preventing ransomware comprises the following steps: collecting anomaly symptom data related to ransomware from a plurality of peers; using the collected anomaly symptom data and generating a data block; connecting the data block to an existing data block and generating a block chain; and using the block chain and sharing the anomaly symptom data to the peers.

Description

블록체인을 이용한 랜섬웨어 방지 방법 및 장치{A METHOD AND APPARATUS FOR PREVENTING RANSOMWARE USING BLOCKCHAIN}TECHNICAL FIELD [0001] The present invention relates to a method and apparatus for preventing random-

아래 실시예들은 블록체인을 이용하여 랜섬웨어를 방지하는 방법 및 장치에 관한 것이다.The following embodiments relate to a method and apparatus for preventing random software using a block chain.

지능형 및 특수 목적성이라는 특징을 가지고 사이버 위협이 진화해 가고 있다. 고유의 메일 시스템을 사용하는 기업은 지능형 지속 공격(Advanced Persistent Threat, APT)과 같은 사이버 위협의 표적이 되고 있어 기업 내의 직원 개개인의 각별한 주의가 필요한 실정이다.Cyber threats are evolving with the characteristics of intelligence and special purpose. Companies using proprietary mail systems are becoming targets of cyber threats such as Advanced Persistent Threat (APT), and individual attention needs to be paid to individual employees.

이와 같은 사이버 위협은 주로 사회공학적 방법으로 인간의 심리를 이용하여 접근하기 때문에, 단순한 스팸 차단 기술을 만으로는 방지하는데 어려움이 있다. 따라서, 위협적인 정보로 추측되는 메일 정보에 대한 추가적인 필터링 및 집중적이고 지속적인 모니터링이 필요하다.Such cyber threats are mainly addressed using human psychology in a social engineering way, so it is difficult to prevent by simple spam blocking technology. Therefore, additional filtering and intensive and ongoing monitoring of the suspected mail information is required.

실시예들은 블록 체인을 이용하여 랜섬웨어를 방지하는 기술을 제공할 수 있다.Embodiments can provide a technique for preventing Ransomware using a block chain.

일 실시예에 따른 랜섬웨어 방지 방법은, 복수의 피어(peer)들로부터 랜섬웨어와 관련된 이상 징후 데이터를 수집하는 단계와, 수집된 이상 징후 데이터를 이용하여 데이터 블록을 생성하는 단계와, 상기 데이터 블록을 기존의 데이터 블록에 연결하여 블록체인을 생성하는 단계와, 상기 블록체인을 이용하여 상기 이상 징후 데이터를 상기 피어들어게 공유하는 단계를 포함한다.According to an embodiment of the present invention, there is provided a method for preventing an Ramsomware comprising the steps of: collecting abnormality symptom data related to Ransomware from a plurality of peers; generating a data block using collected abnormality symptom data; Generating a block chain by connecting a block to an existing data block; and sharing the abnormal symptom data by using the block chain.

상기 복수의 피어(peer)들은, 메일 시스템을 이용하는 보통 피어(committing peer), 상기 이상 징후 데이터를 검증하는 검증 피어(endorsing peer) 및 상기 이상 징후 데이터를 순서대로 정리하는 정렬 피어(odering peer)를 포함할 수 있다.The plurality of peers may include a commuting peer using a mail system, an endorsing peer for verifying the abnormal symptom data, and a sorting peer for sorting the abnormal symptom data in order .

상기 이상 징후 데이터는, 메일 IP(Internet Protocol)주소, 도메인 네임 서버 주소, 메일 수신자에게 도달할 때까지 거쳐온 라우팅 정보, 메일 표기 시간, 메일 전송 서버 고유 표기, 메일 발송자의 실제 메일 주소, 메일 발송자의 실제 PC(Personal Computer) IP 주소, 메일 본문 내용 및 메일 내 첨부파일 중 적어도 하나를 포함할 수 있다.The abnormality symptom data may include at least one of a mail IP (Internet Protocol) address, a domain name server address, routing information until reaching the mail recipient, mail notifying time, mail transmission server unique notation, actual mail address of the mail sender, An actual PC (Personal Computer) IP address of the mail server, the content of the mail body, and an attachment file in the mail.

상기 수집하는 단계는, 외부 메일에 대하여 상기 이상 징후 데이터를 자동으로 수집하는 단계, 또는 상기 복수의 피어들 각각의 신고에 의하여 상기 이상 징후 데이터를 수동으로 수집하는 단계를 포함할 수 있다.The collecting may include automatically collecting the anomalous symptom data for an external mail, or manually collecting the anomalous symptom data by notification of each of the plurality of peers.

상기 데이터 블록을 생성하는 단계는, 상기 복수의 피어들을 통해 상기 이상 징후 데이터를 검증하는 단계를 포함할 수 있다.The step of generating the data block may include verifying the anomalous symptom data through the plurality of peers.

상기 블록체인을 생성하는 단계는, 상기 기존의 데이터 블록의 해쉬 값을 소유함으로써 상기 데이터 블록을 연결하는 단계를 포함할 수 있다.The step of generating the block chain may include concatenating the data blocks by possessing a hash value of the existing data block.

상기 블록체인을 생성하는 단계는, 상기 데이터 블록을 상기 피어들에게 전송해 검증하는 단계를 더 포함할 수 있다.The step of generating the block chain may further comprise transmitting and verifying the data block to the peers.

상기 이상 징후 데이터를 수집하는 단계 및 상기 데이터 블록을 생성하는 단계는, 블록 생성 주기마다 반복하여 수행될 수 있다.The step of collecting the abnormality symptom data and the step of generating the data block may be repeatedly performed every block generation cycle.

상기 랜섬웨어 방지 방법은, 상기 블록체인을 이용하여 보안 정책을 설정하는 단계를 더 포함할 수 있다.The anti-virus protection method may further comprise setting a security policy using the block chain.

일 실시예에 따른 랜섬웨어 방지 장치는, 복수의 피어(peer)들로부터 랜섬웨어와 관련된 이상 징후 데이터를 수집하는 수집기와, 수집된 이상 징후 데이터를 이용하여 데이터 블록을 생성하고, 상기 데이터 블록을 기존의 데이터 블록에 연결하여 블록체인을 생성하고, 상기 블록체인을 이용하여 상기 이상 징후 데이터를 상기 피어들어게 공유하는 컨트롤러를 포함하고, 상기 컨트롤러는, 수집된 이상 징후 데이터를 이용하여 데이터 블록을 생성하는 블록 생성기와, 상기 데이터 블록을 기존의 데이터 블록에 연결하여 블록체인을 생성하는 블록체인 생성기와, 상기 블록체인을 이용하여 상기 이상 징후 데이터를 상기 피어들어게 공유하는 공유기를 포함한다.According to an embodiment of the present invention, a random access protection apparatus includes a collector for collecting abnormality symptom data related to a random access from a plurality of peers, a data block generation unit for generating a data block using the collected abnormality data, And a controller for generating a block chain by connecting to an existing data block and sharing the abnormality symptom data by using the block chain to share the abnormality symptom data by using the block chain. A block generator for generating a block chain by connecting the data block to an existing data block, and a router for sharing the abnormal symptom data with the block chain using the block chain.

상기 복수의 피어(peer)들은, 메일 시스템을 이용하는 보통 피어(committing peer), 상기 이상 징후 데이터를 검증하는 검증 피어(endorsing peer) 및 상기 이상 징후 데이터를 순서대로 정리하는 정렬 피어(odering peer)를 포함할 수 있다.The plurality of peers may include a commuting peer using a mail system, an endorsing peer for verifying the abnormal symptom data, and a sorting peer for sorting the abnormal symptom data in order .

상기 이상 징후 데이터는, 메일 IP(Internet Protocol)주소, 도메인 네임 서버 주소, 메일 수신자에게 도달할 때까지 거쳐온 라우팅 정보, 메일 표기 시간, 메일 전송 서버 고유 표기, 메일 발송자의 실제 메일 주소, 메일 발송자의 실제 PC(Personal Computer) IP 주소, 메일 본문 내용 및 메일 내 첨부파일 중 적어도 하나를 포함할 수 있다.The abnormality symptom data may include at least one of a mail IP (Internet Protocol) address, a domain name server address, routing information until reaching the mail recipient, mail notifying time, mail transmission server unique notation, actual mail address of the mail sender, An actual PC (Personal Computer) IP address of the mail server, the content of the mail body, and an attachment file in the mail.

상기 수집기는, 외부 메일에 대하여 상기 이상 징후 데이터를 자동으로 수집하거나, 상기 복수의 피어들 각각의 신고에 의하여 상기 이상 징후 데이터를 수동으로 수집할 수 있다.The collector may automatically collect the anomalous symptom data for external mail or manually collect the anomalous symptom data by reporting each of the plurality of peers.

상기 블록 생성기는, 상기 복수의 피어들을 통해 상기 이상 징후 데이터를 검증할 수 있다.The block generator may verify the anomalous symptom data through the plurality of peers.

상기 블록체인 생성기는, 상기 기존의 데이터 블록의 해쉬 값을 소유함으로써 상기 데이터 블록을 연결할 수 있다.The block chain generator may concatenate the data blocks by possessing a hash value of the existing data block.

상기 블록체인 생성기는, 상기 데이터 블록을 상기 피어들에게 전송해 검증할 수 있다.The block-chain generator may send the data block to the peers for verification.

상기 수집기 및 상기 블록 생성기는, 블록 생성 주기마다 반복하여 상기 이상 징후 데이터를 수집하고, 수집된 이상 징후 데이터를 이용하여 상기 데이터 블록을 생성할 수 있다.The collector and the block generator may collect the abnormal symptom data repeatedly for each block generation period and generate the data block using the collected abnormal symptom data.

상기 컨트롤러는, 상기 블록체인을 이용하여 보안 정책을 설정하는 보안 설정기를 더 포함할 수 있다.The controller may further include a security configurer for setting a security policy using the block chain.

도 1은 일 실시예에 따른 랜섬웨어 방지 장치의 개략적인 블록도를 나타낸다.
도 2는 도 1에 도시된 컨트롤러의 개략적인 블록도를 나타낸다.
도 3은 도 1에 도시된 랜섬웨어 방지 장치의 동작의 예를 나타낸다.
도 4는 도 1에 도시된 수집기의 동작의 예시를 나타낸다.
도 5는 도 1에 도시된 랜섬웨어 방지 장치의 동작의 순서도를 나타낸다.1 shows a schematic block diagram of an anti-rheumware protection device according to an embodiment.
Fig. 2 shows a schematic block diagram of the controller shown in Fig.
Fig. 3 shows an example of the operation of the anti-virus protection apparatus shown in Fig.
4 shows an example of the operation of the collector shown in Fig.
Fig. 5 shows a flowchart of the operation of the anti-tamper protection apparatus shown in Fig.

본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시예들은 다양한 형태로 실시될 수 있으며 본 명세서에 설명된 실시예들에 한정되지 않는다.It is to be understood that the specific structural or functional descriptions of embodiments of the present invention disclosed herein are presented for the purpose of describing embodiments only in accordance with the concepts of the present invention, May be embodied in various forms and are not limited to the embodiments described herein.

본 발명의 개념에 따른 실시예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시예들을 특정한 개시형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 변경, 균등물, 또는 대체물을 포함한다.Embodiments in accordance with the concepts of the present invention are capable of various modifications and may take various forms, so that the embodiments are illustrated in the drawings and described in detail herein. However, it is not intended to limit the embodiments according to the concepts of the present invention to the specific disclosure forms, but includes changes, equivalents, or alternatives falling within the spirit and scope of the present invention.

제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만, 예를 들어 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.The terms first, second, or the like may be used to describe various elements, but the elements should not be limited by the terms. The terms may be named for the purpose of distinguishing one element from another, for example without departing from the scope of the right according to the concept of the present invention, the first element being referred to as the second element, Similarly, the second component may also be referred to as the first component.

어떤 구성요소가 다른 구성요소에 “연결되어” 있다거나 “접속되어” 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 “직접 연결되어” 있다거나 “직접 접속되어” 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 표현들, 예를 들어 “~사이에”와 “바로~사이에” 또는 “~에 직접 이웃하는” 등도 마찬가지로 해석되어야 한다.It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between. Expressions that describe the relationship between components, for example, "between" and "immediately" or "directly adjacent to" should be interpreted as well.

본 명세서에서 사용한 용어는 단지 특정한 실시예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, “포함하다” 또는 “가지다” 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In this specification, the terms " comprises ", or " having ", and the like, are used to specify one or more of the features, numbers, steps, operations, elements, But do not preclude the presence or addition of steps, operations, elements, parts, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the meaning of the context in the relevant art and, unless explicitly defined herein, are to be interpreted as ideal or overly formal Do not.

본 명세서에서의 모듈(module)은 본 명세서에서 설명되는 각 명칭에 따른 기능과 동작을 수행할 수 있는 하드웨어를 의미할 수도 있고, 특정 기능과 동작을 수행할 수 있는 컴퓨터 프로그램 코드를 의미할 수도 있고, 또는 특정 기능과 동작을 수행시킬 수 있는 컴퓨터 프로그램 코드가 탑재된 전자적 기록 매체, 예를 들어 프로세서 또는 마이크로 프로세서를 의미할 수 있다.A module in this specification may mean hardware capable of performing the functions and operations according to the respective names described in this specification and may mean computer program codes capable of performing specific functions and operations , Or an electronic recording medium, e.g., a processor or a microprocessor, equipped with computer program code capable of performing certain functions and operations.

다시 말해, 모듈이란 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및/또는 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적 및/또는 구조적 결합을 의미할 수 있다.In other words, a module may mean a functional and / or structural combination of hardware for carrying out the technical idea of the present invention and / or software for driving the hardware.

이하, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 특허출원의 범위가 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the scope of the patent application is not limited or limited by these embodiments. Like reference symbols in the drawings denote like elements.

도 1은 일 실시예에 따른 랜섬웨어 방지 장치의 개략적인 블록도를 나타낸다.1 shows a schematic block diagram of an anti-rheumware protection device according to an embodiment.

도 1을 참조하면, 랜섬웨어 방지 장치(10)는 네트워크에 참여하고 있는 복수의 피어(peer)들로부터 이상 징후 데이터를 수집하고, 수집한 데이터를 이용하여 블록체인을 구성함으로써 랜섬웨어를 방지할 수 있다.Referring to FIG. 1, the random access protection device 10 collects abnormal symptom data from a plurality of peers participating in the network and constructs a block chain using the collected data to prevent random software .

랜섬웨어 방지 장치(10)는 수집한 데이터를 복수의 피어들에게 공유할 수 있다. 각 피어들은 공유된 데이터를 이용하여 랜섬웨어 위험에 대비할 수 있다.The anti-virus protection device 10 can share the collected data to a plurality of peers. Each peer can use the shared data to guard against Ransomware risks.

랜섬웨어 방지 장치(10)는 다양한 랜섬웨어의 사회 공학적 기법을 사용한 공격에 대하여 분석할 수 있고, 분석 결과에 기초하여 보안 정책을 설정할 수 있다.The anti-spyware protection device 10 can analyze attacks using various social engineering techniques of Ransomware and set security policies based on the analysis results.

보안 담당자는 랜섬웨어 방지 장치(10)를 이용하여 네트워크 참여자들로부터 새로 업데이트되는 정보를 분석하고, 지능형 지속 공격(Advanced Persistent Threat, APT)과 같은 랜섬웨어를 이용한 공격을 분석하고 방지할 수 있다. 랜섬웨어 방지 장치(10)가 구성된 블록체인을 이용하여 네트워크에 참여하고 있는 복수의 피어들에게 정보를 공유하고 업데이트함으로써, 각각의 피어들은 위협 정보를 인지하고 랜섬웨어를 방지할 수 있다.The security officer can analyze the newly updated information from network participants and analyze and prevent attacks using Ransomware, such as Advanced Persistent Threat (APT), using the anti-spyware device 10. [ By sharing and updating information to a plurality of peers participating in the network using the block chain in which the anti-spyware protection device 10 is configured, each of the peers can recognize the threat information and prevent the riskware.

랜섬웨어 방지 장치(10)는 기업 내 메일 사용자들과 보안 담당자를 대상으로 이상 징후 데이터를 수집하고, 취합하고 공유할 수 있다. 랜섬웨어 방지 장치(10)는 블록체인을 이용하여 지속적이고 자동적으로 랜섬웨어에 관한 이상 징후 및 사이버 위협 정보를 방지하는 메일 시스템을 제공할 수 있다.The anti-spyware protection device 10 can collect, collect, and share anomalous symptom data for mail users and security officers in the enterprise. The anti-spyware protection device 10 can continuously and automatically provide a mail system for preventing anomalous signs and cyber threat information on the RANSAWARE using a block chain.

복수의 피어들은 네트워크 참여자 또는 네트워크의 노드를 포함할 수 있다. 복수의 피어(peer)들은 메일 시스템을 이용하는 보통 피어(committing peer), 이상 징후 데이터를 검증하는 검증 피어(endorsing peer) 및 이상 징후 데이터를 순서대로 정리하는 정렬 피어(odering peer)를 포함할 수 있다. 예를 들어, 보통 피어들은 기업의 메일 시스템 이용자들일 수 있고, 검증 피어 및 정렬 피어는 기업의 보안 담당자일 수 있다.The plurality of peers may include a network participant or a node of the network. The plurality of peers may include a committing peer using a mail system, an endorsing peer for verifying abnormal symptom data, and an odering peer for arranging the abnormal symptom data in order . For example, usually the peers may be corporate mail system users, and the verification peer and sorting peer may be enterprise security personnel.

각 피어들은 프로젝트 목적에 따라 보통 피어, 검증 피어 또는 정렬 피어로 설정되어 블록체인 프로세스를 명확하게 할 수 있다. 예를 들어, 새로운 트랜잭션이 입력되면 검증 피어가 합의 및 검증을 수행하고, 정렬 피어가 정렬을 수행함으로써 트랜잭션을 블록으로 취합한 후 블록 체인을 형성할 수 있다.Each peer can be set up as a normal peer, a verification peer, or an alignment peer depending on the purpose of the project to clarify the block chain process. For example, if a new transaction is entered, the verification peer can perform consensus and verification, and the sorting peer can perform the sort to collect the transaction into blocks and form a block chain.

이상 징후 데이터는 메일 IP(Internet Protocol)주소, 도메인 네임 서버 주소, 메일 수신자에게 도달할 때까지 거쳐온 라우팅 정보, 메일 표기 시간, 메일 전송 서버 고유 표기, 메일 발송자의 실제 메일 주소, 메일 발송자의 실제 PC(Personal Computer) IP 주소, 메일 본문 내용 및 메일 내 첨부파일 중 적어도 하나를 포함할 수 있다.The anomaly data may include information such as a mail IP (Internet Protocol) address, a domain name server address, routing information that has reached the mail recipient, mail notation time, mail transmission server unique notation, actual mail address of the mail sender, A personal computer (PC) IP address, the content of the mail body, and an attachment in the mail.

랜섬웨어 방지 장치(10)는 수집기(100) 및 컨트롤러(200)를 포함한다.The anti-spyware protection device 10 includes a collector 100 and a controller 200.

수집기(100)는 복수의 피어(peer)들로부터 랜섬웨어와 관련된 이상 징후 데이터를 수집할 수 있다.The collector 100 may collect abnormal symptom data associated with Ransomware from a plurality of peers.

수집기(100)는 외부 메일에 대하여 이상 징후 데이터를 자동으로 수집하거나, 복수의 피어들 각각의 신고에 의하여 상기 이상 징후 데이터를 수동으로 수집할 수 있다.The collector 100 may collect the anomalous symptom data automatically for the external mail or manually collect the anomalous symptom data by reporting each of the plurality of peers.

컨트롤러(200)는 수집된 이상 징후 데이터를 이용하여 데이터 블록을 생성하고, 데이터 블록을 기존의 데이터 블록에 연결하여 블록체인을 생성하고, 블록체인을 이용하여 이상 징후 데이터를 피어들어게 공유할 수 있다.The controller 200 generates a data block using the collected abnormality data, connects the data block to the existing data block to generate a block chain, and uses the block chain to share the abnormal symptom data. have.

도 2는 도 1에 도시된 컨트롤러의 개략적인 블록도를 나타낸다.Fig. 2 shows a schematic block diagram of the controller shown in Fig.

도 2를 참조하면, 컨트롤러(200)는 블록 생성기(210), 블록체인 생성기(230), 공유기(250) 및 보안 설정기(270)을 포함할 수 있다.Referring to FIG. 2, the controller 200 may include a block generator 210, a block chain generator 230, a router 250, and a security configurer 270.

블록 생성기(210)는 수집된 이상 징후 데이터를 이용하여 데이터 블록을 생성할 수 있다. 블록 생성기(210)는 복수의 피어들을 통해 이상 징후 데이터를 검증할 수 있다.The block generator 210 may generate the data block using the collected abnormality data. The block generator 210 may verify abnormal symptom data through a plurality of peers.

수집기(100)와 블록 생성기(210)는 블록 생성 주기마다 반복하여 이상 징후 데이터를 수집하고, 수집된 이상 징후 데이터를 이용하여 데이터 블록을 생성할 수 있다.The collector 100 and the block generator 210 collect the abnormal symptom data repeatedly for each block generation period and generate the data block using the collected abnormal symptom data.

블록체인 생성기(230)는 데이터 블록을 기존의 데이터 블록에 연결하여 블록체인을 생성할 수 있다. 블록체인 생성기(230)는 기존의 데이터 블록의 해쉬 값을 소유함으로써 데이터 블록을 연결할 수 있다.The block chain generator 230 may generate a block chain by connecting a data block to an existing data block. The block-chain generator 230 may concatenate data blocks by owning a hash value of an existing data block.

블록체인 생성기(230)는 데이터 블록을 피어들에게 전송해 검증할 수 있다.The block chain generator 230 may send the data block to the peers for verification.

블록체인은 지정된 피어들만의 새로운 처리 및 거래내역(transaction)과 같은 업데이트 정보를 특정 조건 및 시간을 기준으로 각 피어들에게 합의를 받아 데이터를 수집할 수 있다. 블록체인은 이러한 데이터를 블록단위로 취합하고, 데이터들의 위, 변조를 막기 위해 각 블록들이 이전 블록의 고유 해쉬(hash) 값을 참조하는 구조로 이루어질 수 있다.The block chain can collect update information, such as new processing and transaction of only designated peers, by agreeing to each peer based on specific conditions and time. The block chain may be structured such that each block collects such data on a block-by-block basis, and refers to a unique hash value of the previous block in order to prevent data from being overwritten.

각각의 피어들은 블록체인을 소유하고 있고, 새로운 처리내역이 업데이트되거나 블록이 생성될 때마다 이에 대한 정보가 자동으로 공유될 수 있다. 블록체인은 분산 원장(distributed ledger)기술로 불리며, 위, 변조에 강인하고, 피어들이 분산되어 합의를 의논하고, 피어들이 정보를 공유한다는 장점을 가지고 있다.Each peer owns a block chain, and information about it can be automatically shared whenever a new process is updated or a block is created. Block chaining is called distributed ledger technology, and it has the advantage that it is robust against stray modulation, peers are dispersed to discuss consensus, and peers share information.

블록체인은 중앙 서버에 데이터를 저장하지 않고, 네트워크 내에서 공동으로 데이터를 검증하고 기록, 보관하여 공인된 제 3자 없이 데이터의 무결성 및 신뢰성을 확보할 수 있다.The block chain can be used to verify, record, and archive data in a network, without storing data on a central server, ensuring the integrity and reliability of the data without having to be authorized by a third party.

블록체인은 표 1과 같은 유형들을 가질 수 있다.The block chain can have the types shown in Table 1.

퍼블릭Public
블록체인Block chain 컨소시엄Consortium
블록체인Block chain 프라이빗Private
블록체인Block chain 관리주체Management subject 모든 참여자All participants 컨소시엄 참여자Consortium participants 기관의 관리자Manager of the institution 거버넌스Governance 법칙 변경 어려움Difficulty in changing the rule 컨소시엄 내 합의에 따라 법칙 변경Change the law according to consortium agreement 관리자의 의사결정에 따라 법칙 변경Change the rule according to manager's decision 거래 속도Transaction speed 느림Slow 빠름speed 매우 빠름Very fast 데이터 접근Data access 누구나 접근 가능Accessible to anyone 허가 받은 사용자만 접근 가능Access only to authorized users 허가 받은 사용자만 접근 가능Access only to authorized users 식별성Identification 익명성Anonymity 식별 가능Identifiable 식별 가능Identifiable 활용사례Use case 비트코인Bit coin R3 CEVR3 CEV 나스닥의 비상장 주식거래소NASDAQ's unlisted stock exchange

블록체인 생성기(230)는 시스템과 블록체인의 활용 목적, 활용 환경, 활용 범위를 고려하여 접한한 유형의 블록체인을 생성할 수 있다. 블록체인 생성기(230)는 참여자의 범위 및 접근 권한 등에 따라 블록 체인의 유형을 설정할 수 있다.The block chain generator 230 may generate one type of block chain in consideration of the purpose of utilization of the system and the block chain, utilization environment, and utilization range. The block chain generator 230 may set the type of the block chain according to the range and access right of the participants.

공유기(250)는 블록체인을 이용하여 이상 징후 데이터를 피어들어게 공유할 수 있다.The router 250 can share the abnormal symptom data by using the block chain.

보안 설정기(270)는 블록체인을 이용하여 보안 정책을 설정할 수 있다.The security configurer 270 may set a security policy using a block chain.

도 3은 도 1에 도시된 랜섬웨어 방지 장치의 동작의 예를 나타내고, 도 4는 도 1에 도시된 수집기의 동작의 예시를 나타낸다.Fig. 3 shows an example of the operation of the anti-tamper protection apparatus shown in Fig. 1, and Fig. 4 shows an example of the operation of the collector shown in Fig.

도 3 및 도 4를 참조하면, 수집기(100)는 외부메일을 수신했을 때, 자동으로 이상 징후 데이터를 수집할 수 있다. 수집기(100)는 복수의 피어들 각각의 신고에 의해서 이상 징후 데이터를 수집할 수 있다.Referring to FIGS. 3 and 4, when the collector 100 receives an external mail, it can automatically collect anomalous symptom data. The collector 100 may collect abnormal symptom data by reporting each of a plurality of peers.

예를 들어, 수집기(100)는 기업 내 메일 서버 및 시스템을 기반으로 하여, 메일 서버의 방화벽을 거쳐도 통과되는 랜섬웨어 및 악성 메일로부터 이상 징후 데이터를 자동적 및 수동적으로 수집할 수 있다.For example, the collector 100 can automatically and passively collect abnormal symptom data from the randomware and malicious mail that are passed through the firewall of the mail server based on the mail server and system in the enterprise.

블록체인은 다수의 노드로부터 데이터를 모아 공동으로 저장하는 기술이므로, 수집기(100)는 블록체인을 이용해 랜섬웨어를 방지하기 위해서 블록체인으로 수집되는 데이터 항목을 선정할 수 있다.Since the block chain is a technique of collecting data collectively from a plurality of nodes, the collector 100 can select a data item to be collected into a block chain in order to prevent randomware using a block chain.

블록체인은 여러 사용자들의 이벤트 발생에 대한 합의 및 취합을 수행하여 그 시스템이 복잡할 수 있다. 따라서, 블록체인을 위한 랜섬웨어 방지를 위해서는, 미리 시스템에서 실행 및 테스트를 수행하는 동적(dynaminc) 방지 방식보다 평판, 시그니처, 자동차단 데이터를 통해 정적(static)으로 탐지하는 방향이 더 효율적일 수 있다.The block chain can be complicated by performing consensus and aggregation of event occurrence by several users. Therefore, to prevent Ransomware for a block chain, the direction of static detection through reputation, signature, and automotive data may be more efficient than a dynamic prevention method that performs the execution and testing in advance in the system .

블록체인 네트워크에 참여하는 복수의 피어들로부터 수집할 데이터 항목을 랜섬웨어와 관련된 이상 징후 데이터로 정의할 수 있다. 예를 들어, 이상 징후 데이터는 표 2과 같은 항목들로 구성될 수 있다.Data items to be collected from a plurality of peers participating in a block-chain network can be defined as abnormality symptom data related to the random software. For example, the abnormality symptom data may be composed of items as shown in Table 2. [

항목Item 설명Explanation IP(Internet Protocol) addressInternet Protocol (IP) address 메일 IP주소Mail IP address Domain Name Server addressDomain Name Server address 도메인 네임 서버 주소Domain Name Server Address Received byReceived by 메일 수신자에게 도달할 때까지 거쳐온 라우팅(routing) 정보Routing information that has passed through the mail recipient DateDate 메일 표기 시간Mail notation time Message-IDMessage-ID 메일 전송 서버 고유 표기Mail delivery server unique notation X-Original-MAILFROMX-Original-MAILFROM 메일 발송자의 실제 메일주소The actual email address of the sender X-Original-IPX-Original-IP 메일 발송자의 실제 PC(Personal Computer) IP주소The actual PC (Personal Computer) IP address of the originator of the message. TextText 메일 본문 내용Contents of mail body filenamefilename 메일 내 첨부파일In-mail attachments

수집기(100)는 이상 징후 데이터들을 내부 메일 주소가 아닌 외부 메일 주소를 중심으로 자동적으로 수집할 수 있다. 또한, 수집기(100)는 내부 메일 사용자가 특정 메일을 신고했을 때, 수동적으로 신고된 이상 징후 데이터를 수집할 수 있다. The collector 100 can automatically collect the abnormality symptom data based on the external mail address instead of the internal mail address. In addition, the collector 100 may collect manually reported abnormality symptom data when an internal mail user reports a specific mail.

블록 생성기(210)는 표 2의 항목 데이터들에 기초하여 악성 메일 또는 랜섬웨어를 검증할 수 있다. Block generator 210 may verify malicious mail or Ransomware based on the item data of Table 2. [

예를 들어, 블록 생성기(210)는 외부에서 발송된 메일들이 실제와 달리 변조된 메일 주소와 IP 주소를 가지고 있는 경우 악성 메일로 판단할 수 있다. 또한, 블록 생성기(210)는 메일 표기 시간이 업무 시간이 아니거나 국외 시간 표기를 따르는 경우 악성 메일로 판단할 수 있다. 블록 생성기(210)는 메일 내 본문 내용과 첨부파일이 여러 사람들에게 공유될 수 있는 사회 공학적 기법을 사용하는지 여부로부터 악성메일로 판단할 수 있다.For example, the block generator 210 may determine malicious mail if mail sent from the outside has a modified mail address and an IP address. In addition, the block generator 210 may determine that the mail is malicious if the mail marking time is not the business time or follows the foreign time marking. The block generator 210 can judge from malicious e-mail whether or not the content of the body of the e-mail and the attachment file use a social engineering technique that can be shared with various people.

또한, 블록 생성기(210)는 이상 징후 데이터 항목들을 독립적으로, 또는 AND, OR 논리로 조합하여 랜섬웨어를 검증할 수 있다.In addition, the block generator 210 can verify the random software by combining the abnormality symptom data items independently, or by AND and OR logic.

블록 생성기(210)는 블록체인의 피어들로부터 새로 생성되는 데이터가 서로에게 전공되면 검증을 수행할 수 있다. 블록 생성기(210)는 블록 생성 주기 블록체인 피어들들로부터 생성되는 데이터를 취합하여 블록을 생성할 수 있다.The block generator 210 can perform verification when newly generated data from the peers of the block chain are mapped to each other. The block generator 210 may collect data generated from peers that are block generation period block chains to generate blocks.

수집기(100) 및 블록 생성기(210)는 블록 생성 주기 마다 이상 징후 데이터를 수집하여 블록을 생성할 수 있다. 예를 들어, 블록 생성 죽기는 분(min) 단위일 수 있다.The collector 100 and the block generator 210 may collect abnormal symptom data and generate blocks for each block generation period. For example, a block generation die may be in units of minutes.

블록체인 생성기(230)는 자동적 및 수동적으로 수집되는 이상 징후 데이터를 블록체인으로 생성하고, 업데이트할 수 있다.The block chain generator 230 can generate and update anomaly data that is automatically and passively collected in a block chain.

각각의 블록들은 고유의 해쉬 값을 가지고, 이전 블록의 해쉬 값을 같이 소유함으로써 연결될 수 있다. 블록체인 생성기(230)는 각각의 블록들을 서로 연결하어 링크드 리스트(linked list) 구조의 블록체인을 생성할 수 있다.Each block has a unique hash value and can be concatenated by possessing the hash value of the previous block together. The block chain generator 230 may connect the blocks to each other to generate a block chain of a linked list structure.

블록체인 생성기(230)는 연결시킨 블록을 각 피어들에게 다시 전송해 재검증을 수행할 수 있다.The block-chain generator 230 may perform re-verification by transmitting the connected block to each of the peers again.

블록체인 생성기(230)는 완전히 검증된 블록을 각 피어들의 블록체인으로 전송할 수 있다. 따라서, 원본 블록 체인과 피어들의 블록체인은 동일한 데이터를 공유할 수 있다.Block chain generator 230 may send a fully verified block to the block chain of each of the peers. Thus, the original block chain and the block chain of peers can share the same data.

예를 들어, 블록체인 생성기(230)가 생성하는 블록체인은 표 3과 같은 구성을 가질 수 있다.For example, the block chain generated by the block chain generator 230 may have the configuration shown in Table 3.

블록체인 유형Block Chain Type 프라이빗 블록체인Private block chain 관리자manager 기업 보안 담당자Corporate Security Officer 블록체인 네트워크 참여자Block Chain Network Participants 기업 메일 시스템 사용자Corporate mail system users 법칙관리Rule management 보안 담당자에 따라 법칙 관리Manage rules according to security officer 데이터 항목Data item 랜섬웨어 이상 징후 데이터Ransomware anomalous data

블록체인 생성기(230)는 기업을 타겟으로 하는 랜섬웨어를 막기 위해서 특수한 목적을 가지므로, 상대적으로 소규모이고 폐쇄적인 구조를 가지고 기업에 적합한 프라이빗 블록체인을 생성할 수 있다.Since the block chain generator 230 has a special purpose to prevent the Ransomware targeting the enterprise, it can create a private block chain suitable for a company with a relatively small and closed structure.

프라이빗 블록체인은 기업의 보안 담당자에 의해 관리될 수 있고, 기업의 보안 담당자는 프로그램 코드인 체인 코드를 구성하여 블록체인에 적용시킴으로써 블록체인에 특정 데이터 항목을 담고 상세하게 제어할 수 있다.The private block chain can be managed by the security officer of the enterprise, and the security officer of the enterprise can construct the chain code, which is the program code, and apply it to the block chain, so that the block chain can contain specific data items and control it in detail.

블록체인 생성기(230)는 수집기(100)로부터 자동적, 수동적으로 수집된 이상 징후 데이터에 기초하여 블록체인에 트랜잭션을 업데이트할 수 있다. The block chain generator 230 may update transactions in the block chain based on the anomalous data collected automatically or manually from the collector 100. [

공유기(250)는 블록체인에 이상 징후 데이터가 업데이트 될 때마다 메일 시스템 내에 이상 징후 데이터를 공유할 수 있다. 복수의 피어들은 공유된 이상 징후 데이터를 이용하여 랜섬웨어를 방지하고, 보안 담당자들은 이상 징후 데이터에 기초하여 웹 방화벽 및 보안 솔루션을 강화할 수 있다.The router 250 may share the abnormality symptom data in the mail system every time abnormality symptom data is updated in the block chain. Multiple peers use shared anomaly data to prevent Ransomware, and security personnel can enforce Web firewalls and security solutions based on anomalous sign data.

보안 설정기(270)는 공유된 이상 징후 데이터를 이용하여 보안 관제자료를 제작하거나 APT 공격을 방어할 수 있다. 보안 설정기(270)는 블록체인을 이용하여 각 피어들의 보안과 관련된 의사결정을 지원할 수 있다.The security configurer 270 may use the shared abnormality data to create security control data or defend APT attacks. The security configurer 270 may use block chains to support security related decisions of each peer.

도 5는 도 1에 도시된 랜섬웨어 방지 장치의 동작의 순서도를 나타낸다.Fig. 5 shows a flowchart of the operation of the anti-tamper protection apparatus shown in Fig.

수집기(100)는 외부 메일로부터 자동적으로 이상 징후 데이터를 수집하거나, 의심스러운 메일에 대한 각 피어들의 신고를 통해 수동적으로 이상 징후 데이터를 수집할 수 있다.The collector 100 may automatically collect abnormal symptom data from external mail or manually collect anomalous symptom data by reporting each of the peers to suspicious mail.

수집기(100)는 복수의 피어들끼리 합의를 진행하여 트랜잭션 단위로 이상 징후 데이터를 수집할 수 있다. 수집기(100) 복수의 피어들에게 요청하여 복수의 피어들로부터 이상 징후 데이터를 수집할 수 있다.The collector 100 can collect the anomalous symptom data on a transaction-by-transaction basis by negotiating a plurality of peers. The collector 100 may request a plurality of peers to collect abnormal symptom data from a plurality of peers.

블록 생성기(210)는 복수의 피어들로부터 수집한 이상 징후 데이터를 취합하여 블록을 생성할 수 있다.The block generator 210 may collect the abnormal symptom data collected from the plurality of peers to generate a block.

블록 생성기(210)는 블록의 키 값을 참조하여 실 데이터(raw data)를 담는 데이터 베이스에 이상 징후 데이터를 저장할 수 있다.The block generator 210 may store abnormal symptom data in a database containing raw data by referring to a key value of the block.

블록체인 생성기(230) 복수의 피어들에게 생성된 블록에 관한 정보를 전송하고, 복수의 피어들(230)은 전송된 정보에 기초하여 개별 블록체인을 업데이트할 수 있다.The block chain generator 230 may transmit information about the generated blocks to a plurality of peers, and the plurality of peers 230 may update the individual block chains based on the transmitted information.

공유기(250)는 생성된 블록체인을 이용하여 위험 정보를 공유할 수 있다. The router 250 may share the danger information using the generated block chain.

보안 설정기(270)는 실 데이터가 담겨진 데이터 베이스에 접근할 수 있고, 실 데이터 정보를 로드할 수 있다. 보안 설정기(270)는 실 데이터에 기초하여 보안 정책을 설정할 수 있다. 예를 들어, 보안 설정기(270)는 이상 징후 데이터들에 기초하여 장기적 데이터 분석을 수행하여 APT 공격을 탐지하고 방지할 수 있다.The security setting unit 270 can access the database containing the real data and can load the real data information. The security configurer 270 may set a security policy based on the real data. For example, the security configurer 270 may perform long-term data analysis based on the anomalous sign data to detect and prevent APT attacks.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The apparatus described above may be implemented as a hardware component, a software component, and / or a combination of hardware components and software components. For example, the apparatus and components described in the embodiments may be implemented within a computer system, such as, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA) , A programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For ease of understanding, the processing apparatus may be described as being used singly, but those skilled in the art will recognize that the processing apparatus may have a plurality of processing elements and / As shown in FIG. For example, the processing unit may comprise a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as a parallel processor.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the foregoing, and may be configured to configure the processing device to operate as desired or to process it collectively or collectively Device can be commanded. The software and / or data may be in the form of any type of machine, component, physical device, virtual equipment, computer storage media, or device , Or may be permanently or temporarily embodied in a transmitted signal wave. The software may be distributed over a networked computer system and stored or executed in a distributed manner. The software and data may be stored on one or more computer readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

Claims (18)

복수의 피어(peer)들로부터 랜섬웨어와 관련된 이상 징후 데이터를 수집하는 단계;
수집된 이상 징후 데이터를 이용하여 데이터 블록을 생성하는 단계;
상기 데이터 블록을 기존의 데이터 블록에 연결하여 블록체인을 생성하는 단계; 및
상기 블록체인을 이용하여 상기 이상 징후 데이터를 상기 피어들어게 공유하는 단계
를 포함하는 랜섬웨어 방지 방법.
Collecting abnormality symptom data related to Ransomware from a plurality of peers;
Generating a data block using the collected abnormality symptom data;
Connecting the data block to an existing data block to generate a block chain; And
And sharing the abnormal symptom data by using the block chain
The method comprising the steps of:
제1항에 있어서,
상기 복수의 피어(peer)들은,
메일 시스템을 이용하는 보통 피어(committing peer), 상기 이상 징후 데이터를 검증하는 검증 피어(endorsing peer) 및 상기 이상 징후 데이터를 순서대로 정리하는 정렬 피어(odering peer)
를 포함하는 랜섬웨어 방지 방법.
The method according to claim 1,
Wherein the plurality of peers comprises:
A commuting peer using the mail system, an endorsing peer for verifying the abnormal symptom data, and a sorting peer for sorting the abnormal symptom data in order,
The method comprising the steps of:
제1항에 있어서,
상기 이상 징후 데이터는,
메일 IP(Internet Protocol)주소, 도메인 네임 서버 주소, 메일 수신자에게 도달할 때까지 거쳐온 라우팅 정보, 메일 표기 시간, 메일 전송 서버 고유 표기, 메일 발송자의 실제 메일 주소, 메일 발송자의 실제 PC(Personal Computer) IP 주소, 메일 본문 내용 및 메일 내 첨부파일
중 적어도 하나를 포함하는 랜섬웨어 방지 방법.
The method according to claim 1,
The abnormality symptom data includes,
Mail address, the domain name server address, the routing information that has reached the mail recipient, the mail notifying time, the mail transmission server unique notation, the actual mail address of the mail sender, the actual PC of the mail sender ) IP address, contents of mail body and attachment in mail
The method comprising the steps of:
제1항에 있어서,
상기 수집하는 단계는,
외부 메일에 대하여 상기 이상 징후 데이터를 자동으로 수집하는 단계; 또는
상기 복수의 피어들 각각의 신고에 의하여 상기 이상 징후 데이터를 수동으로 수집하는 단계
를 포함하는 랜섬웨어 방지 방법.
The method according to claim 1,
Wherein the collecting comprises:
Automatically collecting the anomalous symptom data for an external mail; or
Manually collecting the anomalous symptom data by reporting each of the plurality of peers
The method comprising the steps of:
제1항에 있어서,
상기 데이터 블록을 생성하는 단계는,
상기 복수의 피어들을 통해 상기 이상 징후 데이터를 검증하는 단계
를 포함하는 랜섬웨어 방지 방법.
The method according to claim 1,
Wherein the step of generating the data block comprises:
Verifying the anomalous symptom data through the plurality of peers
The method comprising the steps of:
제1항에 있어서,
상기 블록체인을 생성하는 단계는,
상기 기존의 데이터 블록의 해쉬 값을 소유함으로써 상기 데이터 블록을 연결하는 단계
를 포함하는 랜섬웨어 방지 방법.
The method according to claim 1,
Wherein the step of generating the block chain comprises:
Connecting the data block by possessing a hash value of the existing data block
The method comprising the steps of:
제6항에 있어서,
상기 블록체인을 생성하는 단계는,
상기 데이터 블록을 상기 피어들에게 전송해 검증하는 단계
를 더 포함하는 랜섬웨어 방지 방법.
The method according to claim 6,
Wherein the step of generating the block chain comprises:
Transmitting the data block to the peers and verifying
Further comprising the steps of:
제1항에 있어서,
상기 이상 징후 데이터를 수집하는 단계 및 상기 데이터 블록을 생성하는 단계는,
블록 생성 주기마다 반복하여 수행되는
랜섬웨어 방지 방법.
The method according to claim 1,
Collecting the anomalous symptom data and generating the data block comprises:
Is repeatedly performed every block generation cycle
How to prevent ransomware.
제1항에 있어서,
상기 블록체인을 이용하여 보안 정책을 설정하는 단계
를 더 포함하는 랜섬웨어 방지 방법.
The method according to claim 1,
Setting a security policy using the block chain
Further comprising the steps of:
복수의 피어(peer)들로부터 랜섬웨어와 관련된 이상 징후 데이터를 수집하는 수집기; 및
수집된 이상 징후 데이터를 이용하여 데이터 블록을 생성하고, 상기 데이터 블록을 기존의 데이터 블록에 연결하여 블록체인을 생성하고, 상기 블록체인을 이용하여 상기 이상 징후 데이터를 상기 피어들어게 공유하는 컨트롤러
를 포함하고,
상기 컨트롤러는,
수집된 이상 징후 데이터를 이용하여 데이터 블록을 생성하는 블록 생성기;
상기 데이터 블록을 기존의 데이터 블록에 연결하여 블록체인을 생성하는 블록체인 생성기; 및
상기 블록체인을 이용하여 상기 이상 징후 데이터를 상기 피어들어게 공유하는 공유기
를 포함하는 랜섬웨어 방지 장치.
A collector for collecting abnormal symptom data associated with the Ramsomware from a plurality of peers; And
A controller for generating a data block by using the collected abnormality data, generating a block chain by connecting the data block to an existing data block, and sharing the abnormality symptom data by using the block chain,
Lt; / RTI >
The controller comprising:
A block generator for generating a data block using the collected abnormality data;
A block chain generator for connecting the data block to an existing data block to generate a block chain; And
A router for sharing the abnormality symptom data by using the block chain,
And an anti-virus protection device.
제10항에 있어서,
상기 복수의 피어(peer)들은,
메일 시스템을 이용하는 보통 피어(committing peer), 상기 이상 징후 데이터를 검증하는 검증 피어(endorsing peer) 및 상기 이상 징후 데이터를 순서대로 정리하는 정렬 피어(odering peer)
를 포함하는 랜섬웨어 방지 장치.
11. The method of claim 10,
Wherein the plurality of peers comprises:
A commuting peer using the mail system, an endorsing peer for verifying the abnormal symptom data, and a sorting peer for sorting the abnormal symptom data in order,
And an anti-virus protection device.
제10항에 있어서,
상기 이상 징후 데이터는,
메일 IP(Internet Protocol)주소, 도메인 네임 서버 주소, 메일 수신자에게 도달할 때까지 거쳐온 라우팅 정보, 메일 표기 시간, 메일 전송 서버 고유 표기, 메일 발송자의 실제 메일 주소, 메일 발송자의 실제 PC(Personal Computer) IP 주소, 메일 본문 내용 및 메일 내 첨부파일
중 적어도 하나를 포함하는 랜섬웨어 방지 장치.
11. The method of claim 10,
The abnormality symptom data includes,
Mail address, the domain name server address, the routing information that has reached the mail recipient, the mail notifying time, the mail transmission server unique notation, the actual mail address of the mail sender, the actual PC of the mail sender ) IP address, contents of mail body and attachment in mail
Wherein the at least one of the plurality of devices comprises at least one of:
제10항에 있어서,
상기 수집기는,
외부 메일에 대하여 상기 이상 징후 데이터를 자동으로 수집하거나, 상기 복수의 피어들 각각의 신고에 의하여 상기 이상 징후 데이터를 수동으로 수집하는
랜섬웨어 방지 장치.
11. The method of claim 10,
The collector includes:
The abnormality symptom data is automatically collected for the external mail or the abnormality symptom data is manually collected by the notification of each of the plurality of peers
Anti-virus protection device.
제10항에 있어서,
상기 블록 생성기는,
상기 복수의 피어들을 통해 상기 이상 징후 데이터를 검증하는
랜섬웨어 방지 장치.
11. The method of claim 10,
Wherein the block generator comprises:
And verifying the anomalous symptom data through the plurality of peers
Anti-virus protection device.
제10항에 있어서,
상기 블록체인 생성기는,
상기 기존의 데이터 블록의 해쉬 값을 소유함으로써 상기 데이터 블록을 연결하는
랜섬웨어 방지 장치.
11. The method of claim 10,
Wherein the block-
And connecting the data block by possessing a hash value of the existing data block
Anti-virus protection device.
제15항에 있어서,
상기 블록체인 생성기는,
상기 데이터 블록을 상기 피어들에게 전송해 검증하는
랜섬웨어 방지 장치.
16. The method of claim 15,
Wherein the block-
Send the data block to the peers and verify
Anti-virus protection device.
제10항에 있어서,
상기 수집기 및 상기 블록 생성기는,
블록 생성 주기마다 반복하여 상기 이상 징후 데이터를 수집하고, 수집된 이상 징후 데이터를 이용하여 상기 데이터 블록을 생성하는
랜섬웨어 방지 장치.
11. The method of claim 10,
The collector and the block generator,
Collects the abnormal symptom data repeatedly at every block generation period, and generates the data block using the collected abnormal symptom data
Anti-virus protection device.
제10항에 있어서,
상기 컨트롤러는,
상기 블록체인을 이용하여 보안 정책을 설정하는 보안 설정기
를 더 포함하는 랜섬웨어 방지 장치.
11. The method of claim 10,
The controller comprising:
A security setting unit for setting a security policy using the block chain;
Further comprising:
KR1020170171443A 2017-12-13 2017-12-13 A method and apparatus for preventing ransomware using blockchain KR101998986B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170171443A KR101998986B1 (en) 2017-12-13 2017-12-13 A method and apparatus for preventing ransomware using blockchain

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170171443A KR101998986B1 (en) 2017-12-13 2017-12-13 A method and apparatus for preventing ransomware using blockchain

Publications (2)

Publication Number Publication Date
KR20190070681A true KR20190070681A (en) 2019-06-21
KR101998986B1 KR101998986B1 (en) 2019-07-10

Family

ID=67056641

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170171443A KR101998986B1 (en) 2017-12-13 2017-12-13 A method and apparatus for preventing ransomware using blockchain

Country Status (1)

Country Link
KR (1) KR101998986B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102189301B1 (en) * 2020-04-22 2020-12-11 주식회사 한국정보보호경영연구소 System and method for providing blockchain based cloud service with robost security
KR102201679B1 (en) * 2020-06-12 2021-01-12 박성갑 My data sharing service method
KR102222804B1 (en) * 2020-03-04 2021-03-04 주식회사 와파스시스템즈 System and method for analyzing alamalicious code based on blockchain

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8095964B1 (en) * 2008-08-29 2012-01-10 Symantec Corporation Peer computer based threat detection
KR20140016762A (en) * 2012-07-31 2014-02-10 한원희 Method for sharing a file by peer-to-peer and system thereof
KR101701131B1 (en) * 2016-04-28 2017-02-13 주식회사 라피 Data recording and validation methods and systems using the connecting of blockchain between different type
KR101781583B1 (en) * 2016-08-31 2017-09-27 서강대학교산학협력단 File management and search system based on block chain and file management and search method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8095964B1 (en) * 2008-08-29 2012-01-10 Symantec Corporation Peer computer based threat detection
KR20140016762A (en) * 2012-07-31 2014-02-10 한원희 Method for sharing a file by peer-to-peer and system thereof
KR101701131B1 (en) * 2016-04-28 2017-02-13 주식회사 라피 Data recording and validation methods and systems using the connecting of blockchain between different type
KR101781583B1 (en) * 2016-08-31 2017-09-27 서강대학교산학협력단 File management and search system based on block chain and file management and search method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102222804B1 (en) * 2020-03-04 2021-03-04 주식회사 와파스시스템즈 System and method for analyzing alamalicious code based on blockchain
KR102189301B1 (en) * 2020-04-22 2020-12-11 주식회사 한국정보보호경영연구소 System and method for providing blockchain based cloud service with robost security
KR102201679B1 (en) * 2020-06-12 2021-01-12 박성갑 My data sharing service method

Also Published As

Publication number Publication date
KR101998986B1 (en) 2019-07-10

Similar Documents

Publication Publication Date Title
US11115434B2 (en) Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format
Ali et al. BCALS: Blockchain‐based secure log management system for cloud computing
KR101998986B1 (en) A method and apparatus for preventing ransomware using blockchain
Sebastian A descriptive study on cybersecurity challenges of working from home during COVID-19 pandemic and a proposed 8 step WFH cyber-attack mitigation plan
Priyadarshini Introduction on cybersecurity
Suzuki et al. Prevention and mitigation measures against phishing emails: a sequential schema model
Mathew et al. Integration of blockchain and collaborative intrusion detection for secure data transactions in industrial IoT: a survey
Casey et al. Forensic analysis as iterative learning
Sayeed et al. TRUSTEE: Towards the creation of secure, trustworthy and privacy-preserving framework
Rani et al. CSAAES: An expert system for cyber security attack awareness
Karie et al. Leveraging Artificial Intelligence Capabilities for Real-Time Monitoring of Cybersecurity Threats
Sung et al. Using system dynamics to investigate the effect of the information medium contact policy on the information security management
Potter et al. A Reflection on Typology and Verification Flaws in Consideration of Biocybersecurity/Cyberbiosecurity: Just Another Gap in the Wall
Domingo-Ferrer et al. Ethical value-centric cybersecurity: A methodology based on a value graph
Efe et al. It security trends for e-government threats
Alsubhi Awareness of Security Threats in Social Media
Dodi Cyber Security's New Challenges under Covid-19 Pandemic: Between Technique and Law
Fabian Crisis management training system for advanced security threats in cyberspace
Park et al. Hyperledger Blockchain Design for Sharing, Spreading, and Protecting National Cybersecurity Information.
Westerlund et al. A three-vector approach to blind spots in cybersecurity
Zhang et al. Controlling Network Risk in E-commerce
KR20230135786A (en) A method and apparatus for preventing ransomware using blockchain
Gordon et al. Cybersecurity & the Courthouse: safeguarding the judicial process
Hajdarevic Cyber Security Audit in Business Environments
Yadav et al. A Comprehensive Survey of IoT-Based Cloud Computing Cyber Security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant