KR20190074840A - 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법 - Google Patents

파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법 Download PDF

Info

Publication number
KR20190074840A
KR20190074840A KR1020170176502A KR20170176502A KR20190074840A KR 20190074840 A KR20190074840 A KR 20190074840A KR 1020170176502 A KR1020170176502 A KR 1020170176502A KR 20170176502 A KR20170176502 A KR 20170176502A KR 20190074840 A KR20190074840 A KR 20190074840A
Authority
KR
South Korea
Prior art keywords
file
ransomware
infection
data
journaling
Prior art date
Application number
KR1020170176502A
Other languages
English (en)
Inventor
최종무
이광희
Original Assignee
단국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 단국대학교 산학협력단 filed Critical 단국대학교 산학협력단
Priority to KR1020170176502A priority Critical patent/KR20190074840A/ko
Publication of KR20190074840A publication Critical patent/KR20190074840A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 파일 시스템 저널링 기술을 활용하여 랜섬웨어 파일을 판단 및 방지하는 데이터 무손실 저비용의 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법에 관한 것으로, 스토리지에서 데이터를 저장할 때 저널 공간에 먼저 저장하는 저널;저널 공간에 새로운 데이터가 저장 되고 해당 데이터가 실제 데이터 공간에 저장되려고 할 때 체크 포인팅(Check pointing)은 대기 상태가 되고 파일들의 랜섬웨어 감염 판단을 하는 랜섬웨어 검출부;랜섬웨어 감염확인이 되면 해당 파일을 체크 포인팅(Check pointing)을 진행하지 않고, 비감염으로 확인되면 정상적으로 체크 포인팅(Check pointing)을 진행하는 랜섬웨어 방지부;를 포함하는 것이다.

Description

파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법{System and Method for Preventing Ransomware using File System Journaling}
본 발명은 랜섬웨어 방지 기술에 관한 것으로, 구체적으로 파일 시스템 저널링 기술을 활용하여 랜섬웨어 파일을 판단 및 방지하는 데이터 무손실 저비용의 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법에 관한 것이다.
현재, 컴퓨터와 모바일 단말기 등의 데이터 프로세싱 기술과, 인터넷과 이더넷 등의 네트워크 기술이 발달하였고, 이를 기반으로 수많은 정보들이 다루어지고 있다.
이와 같은 네트워크 단말기와 통신 네트워크로 다루어지는 많은 정보들 중에는 사용자가 원하는 정보들뿐만 아니라, 악의적인 공격자에 의해 유포되는 컴퓨터 바이러스(virus), 스파이웨어(spy-ware), 애드웨어(ad-ware) 등의 악성코드도 포함된다.
이러한 악성코드들은 네트워크 단말기에 치명적인 손상과 손해를 입히거나, 사용자가 원하지 않는 동작을 수행하게 한다. 따라서, 이러한 악성코드를 지속적으로 감시하고, 악성코드에 의한 네트워크 단말기의 동작을 차단하고자 하는 노력과 기술이 지속적으로 수행 및 개발되고 있다.
악성코드 중에는 네트워크 단말기 내 파일을 강제로 변환해서 사용자의 접근을 불가능하게 하고, 사용자가 파일 접근을 시도하면 금전 또는 정보 등을 요구하는 일명 랜섬웨어가 개발되었다.
랜섬웨어는 금전 또는 정보 등의 요구조건을 제시한다는 점에서 악독한 악성코드로 알려졌고, 더욱 심각한 것은 요구조건을 충족시켜도 해당 파일을 파괴시켜서 사용자에게 피해를 주므로, 랜섬웨어는 악성코드 중에서도 최악의 악성코드였다.
이와 같은 랜섬웨어에 대한 종래 기술의 대응방식은, Anti-Virus 솔루션을 통하여 랜섬웨어 파일 자체를 탐지하는 방법과, 백업 솔루션을 이용한 데이터의 이중화 방법, 랜섬웨어 분석을 통한 복호화 방법 연구를 통한 데이터 복원 등이 가장 일반적이다.
도 1 내지 도 3은 종래 기술의 랜섬웨어 방지 기술을 나타낸 구성도이다.
도 1에서와 같이, 검출 수단(Detector)과 방지 수단(Preventer)이 구비되고, 검출 수단(Detector)이 랜섬웨어 파일을 탐지하게 되면 방지 수단(Preventer)이 그 정보를 받고 저장 수단(Storage)로 파일이 작성되지 않게 하는 방법이 현재의 기술이다.
하지만 도 2에서와 같이, 랜섬웨어를 탐지하거나 방지할 때 랜섬웨어를 파악하는 것에 있어서 Ransomware time과 Detecting time 간의 시점 간격이 존재하게 됨으로써 파일들의 Data Loss가 발생된다.
이와 같은 데이터 손상을 최소화하기 위한 종래 기술의 랜섬웨어를 방지하는 기법은 랜섬웨어가 감염된 후 저장 수단(Storage)의 여분의 공간이나 추가적인 저장 수단(Storage) 또는 백업 서버에 버저닝(Versioning)되어 있는 예전 버전을 가져와서 복구하는 형식으로 랜섬웨어를 방지한다.
하지만, 버저닝(Versioning) 기술을 사용하게 되면 저장 수단(Storage)의 중복이나 백업 서버를 활용함으로써 도 3에서와같이, 추가적인 비용이 발생된다.
이와 같이 종래 기술들은 랜섬웨어를 방지하려면 스토리지를 백업하기 위해서 스토리지를 두 배로 사용하게 된다.
스토리지 버저닝을 사용하여 백업된 데이터를 다시 불러오는 방식을 활용하여 랜섬웨어를 방지하게 되는데 스토리지 비용이 증가하고, 데이터 손실이 불가피한 경우가 있다.
따라서, 데이터 무손실 및 저비용으로 랜섬웨어의 효과적인 방지가 가능한 새로운 기술의 개발이 요구되고 있다.
대한민국 공개특허 제10-2017-0069584호 대한민국 등록특허 제10-1685014호 대한민국 공개특허 제10-2017-0136366호
본 발명은 이와 같은 종래 기술의 랜섬웨어 방지 기술의 문제를 해결하기 위한 것으로, 파일 시스템 저널링 기술을 활용하여 랜섬웨어 파일을 판단 및 방지하는 데이터 무손실 저비용의 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법을 제공하는데 그 목적이 있다.
본 발명은 파일 시스템의 저널(Journal)을 활용하여 별도의 저장장치의 중복 없이 모든 파일에 대한 손실을 예방할 수 있도록 한 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법을 제공하는데 그 목적이 있다.
본 발명은 데이터를 저널(Journal) 공간에 가지고 있다가 해당 시점에 체크포인팅(check pointing)으로 실제 데이터 공간에 작성을 하는 저널(journal)을 활용하여 실제 데이터 공간에 작성하기 전에 랜섬웨어를 판별하여 차단하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법을 제공하는데 그 목적이 있다.
본 발명은 이미 있는 저널링을 활용하여 추가적인 스토리지가 필요하지 않고 랜섬웨어를 판단하여 실제 데이터 공간에 저장함으로써 추가적인 비용은 발생하지 않고 랜섬웨어를 방지할 수 있도록 한 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법을 제공하는데 그 목적이 있다.
본 발명은 랜섬웨어 감염 판단을 위하여 엔트로피 체킹(Entropy Checking)으로 파일의 엔트로피 값을 측정하는 단계와 엔트로피 값이 높게 나왔을 땐 두 번째로 파일 시그니춰 체킹(File Signature Checking)을 수행하여 감염 판단 정확도를 높인 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법을 제공하는데 그 목적이 있다.
본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
이와 같은 목적을 달성하기 위한 본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템은 스토리지에서 데이터를 저장할 때 저널 공간에 먼저 저장하는 저널;저널 공간에 새로운 데이터가 저장 되고 해당 데이터가 실제 데이터 공간에 저장되려고 할 때 체크 포인팅(Check pointing)은 대기 상태가 되고 파일들의 랜섬웨어 감염 판단을 하는 랜섬웨어 검출부;랜섬웨어 감염확인이 되면 해당 파일을 체크 포인팅(Check pointing)을 진행하지 않고, 비감염으로 확인되면 정상적으로 체크 포인팅(Check pointing)을 진행하는 랜섬웨어 방지부;를 포함하는 것을 특징으로 한다.
여기서, 저널 공간에 데이터를 먼저 저장하기 전에 파일 시스템의 저널링(journaling) 모드를 데이터(Data) 모드로 설정하고 스토리지(Storage)상의 저널 사이즈(journal size)를 증가시키는 것을 특징으로 한다.
그리고 랜섬웨어 검출부에서 파일들의 랜섬웨어 감염 판단을 하기 위하여, 엔트로피 체킹(Entropy Checking)으로 파일의 엔트로피(Entropy)값을 측정하여 1차 랜섬웨어 감염 판단을 하는 엔트로피 체킹부와,파일 시그니춰 체킹(File Signature Checking)을 수행하여 2차 랜섬웨어 감염 판단을 하는 파일 시그니춰 체킹부를 더 포함하는 것을 특징으로 한다.
그리고 엔트로피 체킹부에서 측정된 엔트로피값을 기준값과 비교하여 기준값보다 낮으면 비감염으로 판단하고, 엔트로피 체킹부에서 엔트로피값이 기준값보다 높으면 파일 시그니춰 체킹(File Signature Checking)을 수행하여 랜섬웨어 감염 판단을 하는 것을 특징으로 한다.
그리고 엔트로피 체킹부는, 파일이 랜섬웨어의 감염으로 인해 암호화 파일이 되면 엔트로피 값이 증가하는 것을 이용하여 랜섬웨어 감염 판단을 하는 것을 특징으로 한다.
그리고 파일 시그니춰 체킹부는, 랜섬웨어의 감염으로 인해 암호화가 진행되면 파일마다 있는 고유의 시그니춰 넘버(Signature number)가 같이 암호화가 되는 것을 이용하여 파일 시그니춰(File Signature)가 변형 되었을 시에는 최종적으로 랜섬웨어 파일로 판단하는 것을 특징으로 한다.
다른 목적을 달성하기 위한 본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 방법은 스토리지에서 데이터를 저장할 때 저널 공간에 먼저 저장하는 단계;저널 공간에 새로운 데이터가 저장 되고 해당 데이터가 체크 포인팅(Check pointing)을 통해서 실제 데이터 공간에 저장되려고 할 때 체크 포인팅(Check pointing)은 대기 상태가 되고 랜섬웨어 검출부(Detector)가 파일들의 랜섬웨어 감염 판단을 진행하는 단계;감염확인이 되면 랜섬웨어 방지부(Preventer)가 해당 파일을 체크 포인팅(Check pointing)을 진행하지 않고 비감염으로 확인되면 정상적으로 체크 포인팅(Check pointing)을 진행하는 단계;를 포함하는 것을 특징으로 한다.
여기서, 저널 공간에 데이터를 먼저 저장하기 전에, 파일 시스템의 저널링(journaling) 모드를 데이터(Data) 모드로 설정하고 스토리지(Storage)상의 저널 사이즈(journal size)를 증가시키는 단계를 먼저 수행하는 것을 특징으로 한다.
그리고 랜섬웨어 감염 판단을 진행하는 단계에서, 엔트로피 체킹(Entropy Checking)으로 파일의 엔트로피(Entropy)값을 측정하여 1차 랜섬웨어 감염 판단을 하는 단계와,파일 시그니춰 체킹(File Signature Checking)을 수행하여 2차 랜섬웨어 감염 판단을 하는 단계를 진행하는 것을 특징으로 한다.
그리고 1차 랜섬웨어 감염 판단을 하는 단계에서 측정된 엔트로피값을 기준값과 비교하여 기준값보다 낮으면 비감염으로 판단하고, 측정된 엔트로피값이 기준값보다 높으면 파일 시그니춰 체킹(File Signature Checking)을 수행하여 2차 랜섬웨어 감염 판단을 하는 것을 특징으로 한다.
그리고 1차 랜섬웨어 감염 판단을 하는 단계에서, 파일이 랜섬웨어의 감염으로 인해 암호화 파일이 되면 엔트로피 값이 증가하는 것을 이용하여 랜섬웨어 감염 판단을 하는 것을 특징으로 한다.
그리고 2차 랜섬웨어 감염 판단을 하는 단계에서, 랜섬웨어의 감염으로 인해 암호화가 진행되면 파일마다 있는 고유의 시그니춰 넘버(Signature number)가 같이 암호화가 되는 것을 이용하여 파일 시그니춰(File Signature)가 변형 되었을 시에는 최종적으로 랜섬웨어 파일로 판단하는 것을 특징으로 한다.
이와 같은 본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법은 다음과 같은 효과를 갖는다.
첫째, 파일 시스템 저널링 기술을 활용하여 데이터 무손실 및 저비용의 랜섬웨어 판단 및 방지를 가능하게 한다.
둘째, 파일 시스템의 저널(Journal)을 활용하여 별도의 저장장치의 중복 없이 모든 파일에 대한 손실을 예방할 수 있다.
셋째, 데이터를 저널(Journal) 공간에 가지고 있다가 해당 시점에 체크포인팅(check pointing)으로 실제 데이터 공간에 작성을 하는 저널(journal)을 활용하여 실제 데이터 공간에 작성하기 전에 랜섬웨어를 판별하여 차단하여 데이터 안전성을 높일 수 있다.
넷째, 이미 있는 저널링을 활용하여 추가적인 스토리지가 필요하지 않고 랜섬웨어를 판단하여 실제 데이터 공간에 저장함으로써 추가적인 비용은 발생하지 않고 랜섬웨어를 방지할 수 있다.
다섯째, 랜섬웨어 감염 판단을 위하여 엔트로피 체킹(Entropy Checking)으로 파일의 엔트로피 값을 측정하는 단계와 엔트로피 값이 높게 나왔을 땐 두 번째로 파일 시그니춰 체킹(File Signature Checking)을 수행하여 감염 판단 정확도를 높인다.
도 1 내지 도 3은 종래 기술의 랜섬웨어 방지 기술을 나타낸 구성도
도 4 내지 도 7은 본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템의 구성도
도 8은 본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 방법을 나타낸 플로우 차트
이하, 본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법의 바람직한 실시 예에 관하여 상세히 설명하면 다음과 같다.
본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법의 특징 및 이점들은 이하에서의 각 실시 예에 대한 상세한 설명을 통해 명백해질 것이다.
도 4 내지 도 7은 본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템의 구성도이다.
본 발명은 파일 시스템의 저널(Journal)을 활용하여 별도의 저장장치의 중복 없이 모든 파일에 대한 손실을 예방할 수 있도록 한 것이다.
이를 위하여 본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템은 데이터를 저널(Journal) 공간에 가지고 있다가 해당 시점에 체크포인팅(check pointing)으로 실제 데이터 공간에 작성을 하는 저널(journal)을 활용하여 실제 데이터 공간에 작성하기 전에 랜섬웨어를 판별하여 차단하는 구성을 포함한다.
본 발명은 랜섬웨어 감염 판단을 위하여 엔트로피 체킹(Entropy Checking)으로 파일의 엔트로피 값을 측정하는 단계와 엔트로피 값이 높게 나왔을 땐 두 번째로 파일 시그니춰 체킹(File Signature Checking)을 수행하여 감염 판단 정확도를 높이는 구성을 포함한다.
본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템은 Ext4 파일 시스템의 저널링(journaling) 모드를 데이터(Data) 모드로 설정하고 스토리지(Storage)상의 저널 사이즈(journal size)를 증가시키고 스토리지에서 데이터를 저장할 때 저널 공간에 먼저 저장하는 저널(60)과, 저널 공간에 새로운 데이터가 저장 되고 해당 데이터가 체크 포인팅(Check pointing)을 통해서 실제 데이터 공간인 데이터 저장부(70)에 저장되려고 할 때 체크 포인팅(Check pointing)은 대기 상태가 되고 파일들의 랜섬웨어 감염 판단을 하는 랜섬웨어 검출부(Detector)(40)와, 감염확인이 되면 해당 파일을 체크 포인팅(Check pointing)을 진행하지 않고 비감염으로 확인되면 정상적으로 체크 포인팅(Check pointing)을 진행하는 랜섬웨어 방지부(Preventer)(50)를 포함한다.
여기서, 랜섬웨어 검출부(Detector)(40)에서 파일들의 랜섬웨어 감염 판단을 하기 위하여, 엔트로피 체킹(Entropy Checking)으로 파일의 엔트로피(Entropy)값을 측정하고, 엔트로피값을 기준값과 비교하여 기준값보다 낮으면 비감염으로 판단하는 엔트로피 체킹부(80)와, 엔트로피 체킹부(80)에서 엔트로피값이 기준값보다 높으면 파일 시그니춰 체킹(File Signature Checking)을 수행하여 랜섬웨어 감염 판단을 하는 파일 시그니춰 체킹부(90)를 더 포함한다.
그리고 본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 방법은 Ext4 파일 시스템의 저널링(journaling) 모드를 데이터(Data) 모드로 설정하고 스토리지(Storage)상의 저널 사이즈(journal size)를 증가시키는 단계; 스토리지에서 데이터를 저장할 때 저널 공간에 먼저 저장하는 단계; 저널 공간에 새로운 데이터가 저장 되고 해당 데이터가 체크 포인팅(Check pointing)을 통해서 실제 데이터 공간에 저장되려고 할 때 체크 포인팅(Check pointing)은 대기 상태가 되고 랜섬웨어 검출부(Detector)가 파일들의 랜섬웨어 감염 판단을 진행하는 단계; 감염확인이 되면 랜섬웨어 방지부(Preventer)가 해당 파일을 체크 포인팅(Check pointing)을 진행하지 않고 비감염으로 확인되면 정상적으로 체크 포인팅(Check pointing)을 진행하는 단계;를 포함한다.
구체적으로, 도 4에서와 같이, 저널(Journal)은 데이터를 저널 공간에 가지고 있다가 해당 시점에 체크 포인팅(Check pointing)으로 실제 데이터 공간에 작성을 하게 된다.
여기서, 도 5에서와 같이 저널을 활용하여 실제 Data 공간에 작성하기 전에 랜섬웨어를 판별하여 차단한다.
도 6에서와 같이, Ext4 파일 시스템의 저널링 모드를 데이터 모드로 설정하고 데이터 저장부(Storage)(70) 상의 저널 사이즈(journal size)를 증가 시킨다.
Ext4 파일 시스템의 데이터 모드는 메모리의 데이터를 데이터 저장부(Storage)(70)에 쓰기 전에 저널 공간에 모든 데이터를 먼저 쓴 후 아무런 오류가 생기지 않으면 나중에 데이터 저장부(Storage)(70)에 작성하는 방식이다.
즉, 스토리지에서 데이터를 저장할 때 저널 공간에 먼저 저장된다.
저널 공간에 새로운 데이터가 저장 되고 해당 데이터가 체크 포인팅(Check pointing)을 통해서 실제 데이터 공간에 저장되려고 할 때 체크 포인팅(Check pointing)은 대기 상태가 되고 랜섬웨어 검출부(Detector)(40)가 파일들의 랜섬웨어 감염 판단을 진행한다.
랜섬웨어의 감염 판단을 진행해서 감염 확인이 되면 랜섬웨어 방지부(Preventer)(50)가 해당 파일을 체크 포인팅(Check pointing)을 진행하지 않고 비감염으로 확인되면 정상적으로 체크 포인팅(Check pointing)을 진행한다.
랜섬웨어 감염 판단은 랜섬웨어 검출부(Detector)(40)안에 두 가지의 체킹 과정을 포함한다.
첫 번째로 엔트로피 체킹(Entropy Checking)으로 파일의 엔트로피 값을 측정 한다. 파일이 랜섬웨어의 감염으로 인해 암호화 파일이 되면 엔트로피 값이 크게 증가하기 때문에 파일의 엔트로피 값을 측정하여 랜섬웨어를 판단한다.
엔트로피 값이 현저하게 낮은 파일들은 암호화 파일이나 압축 파일이 아니기 때문에 노 랜섬웨어 파일(no Ransomware file)로 인지하여 체크 포인팅(Check pointing)을 진행한다.
만약, 엔트로피 값이 높게 나왔을 땐 두 번째로 파일 시그니춰 체킹(File Signature Checking)을 수행한다.
파일 시그니춰 체킹(File Signature Checking)은 파일마다 고유의 시그니춰 넘버(Signature number)가 있다.
암호화가 진행되면 해당 파일의 시그니춰 넘버(Signature number)가 같이 암호화가 되기 때문에 시그니춰 넘버(Signature number)를 확인해서 정상적인 파일인지를 확인한다.
파일 시그니춰(File Signature)가 확인이 되면 노 랜섬웨어(no Ransomware)로 인지하여 체크 포인팅(Check pointing)을 진행하고 파일 시그니춰(File Signature)가 변형 되었을 시에는 최종적으로 랜섬웨어 파일(Ransomware file)로 인지하여 체크 포인팅(Check pointing)을 수행하지 않는다.
이와 같이 이중 체킹을 통해서 확실한 랜섬웨어 검출을 진행하고 저널링의 체크 포인팅을 통하여 안전한 데이터 저장을 보장한다.
Figure pat00001
표 1은 다양한 파일들에 대하여 엔트로피 계산, 파일 시그니춰 체킹 결과를 보여준다.
아래 명령어는 Ext4 파일 시스템을 가진 스토리지(storage)를 마운트(mount)할 때 옵션을 나타낸 것이다.
#mount o data=journal,commit=5 <device> <mount path>
옵션을 data=journal을 주게 되면 저널 모드가 데이터 모드로 바뀌게 된다.
그리고 Ext4 파일 시스템의 저널링에서 커밋(commit) 주기의 기본 시간은 5초로 설정되어 있다.
저널 공간에서 랜섬웨어 검출부(Detector)(40)가 파일을 검사할 때 커밋(commit)된 데이터가 업데이트나 수정하기 전에 5초의 시간 내에 검사를 끝내므로 기본 커밋(commit) 시간을 보장한다.
표 1은 오리지널 파일(Original File)과 랜섬웨어 파일(Ransomware File)이 저널 영역을 거쳐 실제 데이터 영역에 저장될 때 랜섬웨어 검출부(Detector)(40)가 판단한 결과이다.
R은 Ransomware의 약자, NR은 No Ransomware의 약자이고 FSC는 File Signature Checking의 약자이다.
결과를 보게 되면 오리지널 파일에서 .txt 파일은 첫 번째 엔트로피 체킹에서 엔트로피 값이 설정 값보다 낮아서 NR file로 확정된다. 나머지 파일은 엔트로피 체크 값(Entropy Check cost)인 6값을 다 넘기 때문에 파일 시그니춰 체킹(File Signature Checking)으로 넘어가게 된다. 두 번째 체킹인 FSC에서 파일 시그니춰를 검사했을 때 인식 가능한 파일 시그니춰이기 때문에 O를 표시하며 NR file로 확정된다.
랜섬웨어 파일을 보게 되면 엔트로피 체킹에서 모든 파일이 엔트로피 체크 값(Entropy Check cost)을 넘기게 되고 파일 시그니춰 체킹에서도 시그니춰가 인식이 불가능하기 때문에 X로 표시 되고 모든 파일은 랜섬웨어 파일로 확정된다.
본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 방법을 구체적으로 설명하면 다음과 같다.
도 8은 본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 방법을 나타낸 플로우 차트이다.
먼저, Ext4 파일 시스템의 저널링(journaling) 모드를 데이터(Data) 모드로 설정하고 스토리지(Storage)상의 저널 사이즈(journal size)를 증가시킨다.(S801)
이어, 스토리지에서 데이터를 저장할 때 저널 공간에 먼저 저장을 한다.(S802)
그리고 저널 공간에 새로운 데이터가 저장 되고 해당 데이터가 체크 포인팅(Check pointing)을 통해서 실제 데이터 공간에 저장되려고 할 때 체크 포인팅(Check pointing)은 대기 상태가 되고 랜섬웨어 검출부(Detector)가 파일들의 랜섬웨어 감염 판단을 진행한다.(S803)
이어, 랜섬웨어 검출부(Detector)(40)에서 파일들의 랜섬웨어 감염 판단을 하기 위하여, 엔트로피 체킹(Entropy Checking)으로 파일의 엔트로피(Entropy)값을 측정하고(S804), 엔트로피값을 기준값과 비교한다.(S805)
엔트로피값이 기준값보다 낮으면 비감염으로 판단하고, 엔트로피값이 기준값보다 높으면 파일 시그니춰 체킹(File Signature Checking)을 수행하여 랜섬웨어 감염 판단을 한다.(S806)
감염확인이 되면 랜섬웨어 방지부(Preventer)가 해당 파일을 체크 포인팅(Check pointing)을 진행하지 않고 비감염으로 확인되면 정상적으로 체크 포인팅(Check pointing)을 진행한다.(S807)
이상에서 설명한 본 발명에 따른 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법은 파일 시스템의 저널(Journal)을 활용하여 별도의 저장장치의 중복 없이 모든 파일에 대한 손실을 예방할 수 있도록 한 것이다.
본 발명은 데이터를 저널(Journal) 공간에 가지고 있다가 해당 시점에 체크포인팅(check pointing)으로 실제 데이터 공간에 작성을 하는 저널(journal)을 활용하여 실제 데이터 공간에 작성하기 전에 랜섬웨어를 판별하여 차단하는 것이다.
이와 같은 본 발명은 현재 이슈가 되고 있는 랜섬웨어를 저비용으로 방지할 수 있도록 한 것으로, 이미 있는 저널링을 활용하여 추가적인 스토리지가 필요하지 않고 랜섬웨어를 판단하여 실제 데이터 공간에 저장함으로써 추가적인 비용은 발생하지 않고 랜섬웨어를 방지할 수 있다.
이와 같은 본 발명은 보안 관련 업계에서 랜섬웨어를 방지하기 위해서 사용할 수 있고 큰 데이터를 사용하는 클라우드 서버나 회사 서버에서도 사용할 수 있다.
이상에서의 설명에서와 같이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 본 발명이 구현되어 있음을 이해할 수 있을 것이다.
그러므로 명시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 하고, 본 발명의 범위는 전술한 설명이 아니라 특허청구 범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
40. 랜섬웨어 검출부 50. 랜섬웨어 방지부
60. 저널 70. 데이터 저장부
80. 엔트로피 체킹부 90. 파일 시그니춰 체킹부

Claims (12)

  1. 스토리지에서 데이터를 저장할 때 저널 공간에 먼저 저장하는 저널;
    저널 공간에 새로운 데이터가 저장 되고 해당 데이터가 실제 데이터 공간에 저장되려고 할 때 체크 포인팅(Check pointing)은 대기 상태가 되고 파일들의 랜섬웨어 감염 판단을 하는 랜섬웨어 검출부;
    랜섬웨어 감염확인이 되면 해당 파일을 체크 포인팅(Check pointing)을 진행하지 않고, 비감염으로 확인되면 정상적으로 체크 포인팅(Check pointing)을 진행하는 랜섬웨어 방지부;를 포함하는 것을 특징으로 하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템.
  2. 제 1 항에 있어서, 저널 공간에 데이터를 먼저 저장하기 전에 파일 시스템의 저널링(journaling) 모드를 데이터(Data) 모드로 설정하고 스토리지(Storage)상의 저널 사이즈(journal size)를 증가시키는 것을 특징으로 하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템.
  3. 제 1 항에 있어서, 랜섬웨어 검출부에서 파일들의 랜섬웨어 감염 판단을 하기 위하여,
    엔트로피 체킹(Entropy Checking)으로 파일의 엔트로피(Entropy)값을 측정하여 1차 랜섬웨어 감염 판단을 하는 엔트로피 체킹부와,
    파일 시그니춰 체킹(File Signature Checking)을 수행하여 2차 랜섬웨어 감염 판단을 하는 파일 시그니춰 체킹부를 더 포함하는 것을 특징으로 하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템.
  4. 제 3 항에 있어서, 엔트로피 체킹부에서 측정된 엔트로피값을 기준값과 비교하여 기준값보다 낮으면 비감염으로 판단하고,
    엔트로피 체킹부에서 엔트로피값이 기준값보다 높으면 파일 시그니춰 체킹(File Signature Checking)을 수행하여 랜섬웨어 감염 판단을 하는 것을 특징으로 하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템.
  5. 제 3 항에 있어서, 엔트로피 체킹부는,
    파일이 랜섬웨어의 감염으로 인해 암호화 파일이 되면 엔트로피 값이 증가하는 것을 이용하여 랜섬웨어 감염 판단을 하는 것을 특징으로 하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템.
  6. 제 3 항에 있어서, 파일 시그니춰 체킹부는,
    랜섬웨어의 감염으로 인해 암호화가 진행되면 파일마다 있는 고유의 시그니춰 넘버(Signature number)가 같이 암호화가 되는 것을 이용하여 파일 시그니춰(File Signature)가 변형 되었을 시에는 최종적으로 랜섬웨어 파일로 판단하는 것을 특징으로 하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템.
  7. 스토리지에서 데이터를 저장할 때 저널 공간에 먼저 저장하는 단계;
    저널 공간에 새로운 데이터가 저장 되고 해당 데이터가 체크 포인팅(Check pointing)을 통해서 실제 데이터 공간에 저장되려고 할 때 체크 포인팅(Check pointing)은 대기 상태가 되고 랜섬웨어 검출부(Detector)가 파일들의 랜섬웨어 감염 판단을 진행하는 단계;
    감염확인이 되면 랜섬웨어 방지부(Preventer)가 해당 파일을 체크 포인팅(Check pointing)을 진행하지 않고 비감염으로 확인되면 정상적으로 체크 포인팅(Check pointing)을 진행하는 단계;를 포함하는 것을 특징으로 하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 방법.
  8. 제 7 항에 있어서, 저널 공간에 데이터를 먼저 저장하기 전에,
    파일 시스템의 저널링(journaling) 모드를 데이터(Data) 모드로 설정하고 스토리지(Storage)상의 저널 사이즈(journal size)를 증가시키는 단계를 먼저 수행하는 것을 특징으로 하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 방법.
  9. 제 7 항에 있어서, 랜섬웨어 감염 판단을 진행하는 단계에서,
    엔트로피 체킹(Entropy Checking)으로 파일의 엔트로피(Entropy)값을 측정하여 1차 랜섬웨어 감염 판단을 하는 단계와,
    파일 시그니춰 체킹(File Signature Checking)을 수행하여 2차 랜섬웨어 감염 판단을 하는 단계를 진행하는 것을 특징으로 하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 방법.
  10. 제 9 항에 있어서, 1차 랜섬웨어 감염 판단을 하는 단계에서 측정된 엔트로피값을 기준값과 비교하여 기준값보다 낮으면 비감염으로 판단하고,
    측정된 엔트로피값이 기준값보다 높으면 파일 시그니춰 체킹(File Signature Checking)을 수행하여 2차 랜섬웨어 감염 판단을 하는 것을 특징으로 하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 방법.
  11. 제 9 항에 있어서, 1차 랜섬웨어 감염 판단을 하는 단계에서,
    파일이 랜섬웨어의 감염으로 인해 암호화 파일이 되면 엔트로피 값이 증가하는 것을 이용하여 랜섬웨어 감염 판단을 하는 것을 특징으로 하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 방법.
  12. 제 9 항에 있어서, 2차 랜섬웨어 감염 판단을 하는 단계에서,
    랜섬웨어의 감염으로 인해 암호화가 진행되면 파일마다 있는 고유의 시그니춰 넘버(Signature number)가 같이 암호화가 되는 것을 이용하여 파일 시그니춰(File Signature)가 변형 되었을 시에는 최종적으로 랜섬웨어 파일로 판단하는 것을 특징으로 하는 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 방법.
KR1020170176502A 2017-12-20 2017-12-20 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법 KR20190074840A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170176502A KR20190074840A (ko) 2017-12-20 2017-12-20 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170176502A KR20190074840A (ko) 2017-12-20 2017-12-20 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20190074840A true KR20190074840A (ko) 2019-06-28

Family

ID=67065853

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170176502A KR20190074840A (ko) 2017-12-20 2017-12-20 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20190074840A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113032781A (zh) * 2021-03-09 2021-06-25 广东物壹信息科技股份有限公司 一种勒索病毒的入侵检测方法
US11227053B2 (en) 2019-12-10 2022-01-18 Micro Focus Llc Malware management using I/O correlation coefficients

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101685014B1 (ko) 2016-02-19 2016-12-12 주식회사 블랙포트시큐리티 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치
KR20170069584A (ko) 2015-12-11 2017-06-21 소프트캠프(주) 랜섬웨어에 대응한 보안방법
KR20170136366A (ko) 2016-06-01 2017-12-11 삼성전자주식회사 전자 장치 및 전자 장치의 파일 데이터 저널링 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170069584A (ko) 2015-12-11 2017-06-21 소프트캠프(주) 랜섬웨어에 대응한 보안방법
KR101685014B1 (ko) 2016-02-19 2016-12-12 주식회사 블랙포트시큐리티 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치
KR20170136366A (ko) 2016-06-01 2017-12-11 삼성전자주식회사 전자 장치 및 전자 장치의 파일 데이터 저널링 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11227053B2 (en) 2019-12-10 2022-01-18 Micro Focus Llc Malware management using I/O correlation coefficients
CN113032781A (zh) * 2021-03-09 2021-06-25 广东物壹信息科技股份有限公司 一种勒索病毒的入侵检测方法

Similar Documents

Publication Publication Date Title
US9703958B2 (en) Rollback feature
US8590016B2 (en) Apparatus and method for removing malicious code inserted into file
Jeong et al. Generic unpacking using entropy analysis
CN102799500B (zh) 系统修复方法及装置
US10819738B2 (en) Detecting and protecting against ransomware
US20140053267A1 (en) Method for identifying malicious executables
US8490192B2 (en) Method and system for cleaning malicious software and computer program product and storage medium
US7636872B2 (en) Threat event-driven backup
US9721095B2 (en) Preventing re-patching by malware on a computer
CN102135925B (zh) 用于检测错误检查和纠正内存的方法和装置
US11893110B2 (en) Attack estimation device, attack estimation method, and attack estimation program
KR20190074840A (ko) 파일 시스템 저널링을 이용한 랜섬웨어 방지를 위한 시스템 및 방법
KR20090096823A (ko) 코드 보호 기법을 고려한 악성 프로그램 감지 시스템 및 그방법
CN106682512B (zh) 一种防止程序被修改的方法及其装置、系统
CN112579330B (zh) 操作系统异常数据的处理方法、装置及设备
US10880316B2 (en) Method and system for determining initial execution of an attack
CN109145602B (zh) 一种勒索软件攻击的防护方法及装置
CN108959915B (zh) 一种rootkit检测方法、装置及服务器
KR101725670B1 (ko) 웹 서버 점검을 이용해서 악성 코드를 탐지하고 차단하는 시스템 및 방법
KR101600178B1 (ko) 불법 복제 애플리케이션 탐지 방법 및 장치
JP5679347B2 (ja) 障害検知装置、障害検知方法、及びプログラム
US11636021B2 (en) Preserving system integrity using file manifests
CN105740660B (zh) 一种应用安全性的检测方法及装置
KR100562149B1 (ko) 버퍼 오버플로우 결함 검출 방법
KR101606273B1 (ko) 전자 장치가 수행하는 언인스톨러 제어 방법 및 언인스톨러 업데이트 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application