1 |
1
파일 또는 네트워크 패킷으로 구현될 수 있는 랜섬웨어 의심 데이터를 수신하는 데이터 수신부;상기 랜섬웨어 의심 데이터에서 각각의 거리를 상기 랜섬웨어 의심 데이터의 전체 크기에 비례하는 값으로 설정하고 상기 랜섬웨어 의심 데이터에서 상기 각각의 거리가 특정 기준 이상인 특정 부분들을 샘플링하는 데이터 샘플링부; 및상기 샘플링된 특정 부분들에 관한 엔트로피들을 계측하고, 상기 엔트로피들 간의 차이를 기초로 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 랜섬웨어 가능성 판단부를 포함하고,상기 데이터 샘플링부는 상기 랜섬웨어 의심 데이터의 제1 비트 수를 가지는 시작 부분 및 제2 비트 수를 가지는 중간 부분을 샘플링하는 랜섬웨어 검출 장치
|
2 |
2
제1항에 있어서, 상기 데이터 수신부는상기 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스가 존재하면 해당 I/O 이벤트, 해당 파일 경로(File Path) 및 해당 프로세스 ID(PID)의 정보를 획득하는 것을 특징으로 하는 랜섬웨어 검출 장치
|
3 |
3
삭제
|
4 |
4
제1항에 있어서, 상기 데이터 샘플링부는 상기 제1 및 제2 비트 수들 각각을 텍스트를 표현하는 비트 수인 8 비트보다 적은 비트 수로 설정하여 상기 샘플링의 개수를 보완하는 것을 특징으로 하는 랜섬웨어 검출 장치
|
5 |
5
제1항에 있어서, 상기 데이터 샘플링부는상기 랜섬웨어 의심 데이터의 파일 종류를 유추하고, 상기 파일 종류에 따른 메타데이터를 제1 부분으로, 비메타데이터를 제2 부분으로 샘플링하는 것을 특징으로 하는 랜섬웨어 검출 장치
|
6 |
6
삭제
|
7 |
7
제1항에 있어서, 상기 랜섬웨어 가능성 판단부는상기 엔트로피들 간의 차이를 미리 설정된 특정 암호화 임계값과 비교하여 제1 차이에 해당하면 암호화 파일로, 제2 차이에 해당하면 비암호화 파일로 판단하는 것을 특징으로 하는 랜섬웨어 검출 장치
|
8 |
8
제7항에 있어서, 상기 랜섬웨어 가능성 판단부는상기 랜섬웨어 의심 데이터가 상기 비암호화 파일로 판단되면 미리 설정된 특정 비암호화 임계값을 기초로 텍스트 파일 혹은 압축 파일로 구분하는 것을 특징으로 하는 랜섬웨어 검출 장치
|
9 |
9
제1항에 있어서, 상기 랜섬웨어 가능성 판단부는상기 샘플링된 특정 부분들에 관한 엔트로피들을 계측하고 상기 계측된 엔트로피들 중 특정 기준을 만족하지 못하면 해당 특정 부분에 관해 카이제곱 검정 기법을 통해 심층 분석을 수행하여 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 것을 특징으로 하는 랜섬웨어 검출 장치
|
10 |
10
제1항에 있어서,상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성이 특정 기준 이상이면 상기 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스의 작동을 제어하는 제어부를 더 포함하는 것을 특징으로 하는 랜섬웨어 검출 장치
|
11 |
11
제10항에 있어서, 상기 제어부는상기 랜섬웨어 의심 데이터가 암호화 파일로 판단되면 상기 프로세스의 작동을 중지시키고 디스플레이에 알림 메시지를 전송하는 것을 특징으로 하는 랜섬웨어 검출 장치
|
12 |
12
제11항에 있어서, 상기 제어부는상기 디스플레이에 상기 프로세스의 실행 재개 여부, 종료 여부 및 차단 여부를 묻는 알림 메시지를 전송하여 사용자의 응답을 요청하는 것을 특징으로 하는 랜섬웨어 검출 장치
|
13 |
13
제12항에 있어서, 상기 제어부는상기 사용자의 응답에 대응되는 동작을 수행하고, 해당 동작을 종료하면 결과를 기록하여 메모리에 저장하는 것을 특징으로 하는 랜섬웨어 검출 장치
|
14 |
14
제1항에 있어서, 상기 데이터 샘플링부는 상기 랜섬웨어 의심 데이터를 복수의 부분들로 분할하여 각각을 샘플링하고,상기 랜섬웨어 가능성 판단부는 상기 샘플링 된 복수의 부분들에 관한 엔트로피들의 편차를 기초로 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 것을 특징으로 하는 랜섬웨어 검출 장치
|
15 |
15
컴퓨터에 의해 수행되는 랜섬웨어 검출 방법에 있어서,파일 또는 네트워크 패킷으로 구현될 수 있는 랜섬웨어 의심 데이터를 수신하는 데이터 수신 단계;상기 랜섬웨어 의심 데이터에서 각각의 거리를 상기 랜섬웨어 의심 데이터의 전체 크기에 비례하는 값으로 설정하고 상기 랜섬웨어 의심 데이터에서 상기 각각의 거리가 특정 기준 이상인 특정 부분들을 샘플링 하는 데이터 샘플링 단계; 및상기 샘플링 된 특정 부분들에 관한 엔트로피들을 계측하고, 상기 엔트로피들 간의 차이를 기초로 상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성을 판단하는 랜섬웨어 가능성 판단 단계를 포함하고,상기 데이터 샘플링 단계는 상기 랜섬웨어 의심 데이터의 제1 비트 수를 가지는 시작 부분 및 제2 비트 수를 가지는 중간 부분을 샘플링하는 단계를 포함하는 랜섬웨어 검출 방법
|
16 |
16
제15항에 있어서,상기 랜섬웨어 의심 데이터에 관한 랜섬웨어 가능성이 특정 기준 이상이면 상기 랜섬웨어 의심 데이터에 관한 파일 연산을 수행하고 있는 프로세스의 작동을 제어하는 제어 단계를 더 포함하는 랜섬웨어 검출 방법
|