1 |
1
CPU에서 현재 실행 중인 OP 코드(Operation Code)를 입력 받으며, 상기 OP 코드 값의 신호를 주파수 도메인으로 변환하여 제1 OP 코드 주파수 파형을 생성하는 주파수 변환부, 랜섬웨어 암호화 알고리즘에 대응하는 OP 코드를 주파수 도메인으로 변환한 값인 제2 OP 코드 주파수 파형을 저장하고 있는 메모리, 그리고 상기 제1 OP 코드 주파수 파형과 상기 제2 OP 코드 주파수 파형을 비교하여, 랜섬웨어가 동작하고 있는지 여부를 판단하는 랜섬웨어 판단부를 포함하는 랜섬웨어 감지 장치
|
2 |
2
제1항에 있어서, 상기 CPU로부터 상기 OP 코드에 대응하는 프로세서 트레이서 패킷을 수신하며, 상기 프로세서 트레이서 패킷을 상기 OP 코드로 디코딩한 후 상기 주파수 변환부로 출력하는 OP 코드 디코딩부를 더 포함하는 랜섬웨어 감지 장치
|
3 |
3
제1항에 있어서, 상기 랜섬웨어 판단부는 상기 제1 OP 코드 주파수 파형과 상기 제2 OP 코드 주파수 파형간에 유사도를 계산하고 상기 유사도가 소정의 기준치를 초과하는 경우 랜섬웨어가 동작하고 있는 것으로 판단하는 랜섬웨어 감지 장치
|
4 |
4
제3항에 있어서, 상기 랜섬웨어 판단부는 상기 제1 OP 코드 주파수 파형과 상기 제2 OP 코드 주파수 파형간에, 메인 주파수를 서로 비교하고 상관 계수를 계산하여, 상기 유사도를 계산하는 랜섬웨어 감지 장치
|
5 |
5
제1항에 있어서, 상기 랜섬웨어 판단부는 랜섬웨어가 동작하고 있는 것으로 판단한 경우, 상기 CPU에서 실행중인 코드를 복구용 저장장치에 저장하는 랜섬웨어 감지 장치
|
6 |
6
제1항에 있어서, 상기 랜섬웨어 판단부는 랜섬웨어가 동작하고 있는 것으로 판단하는 경우, 상기 CPU로 해당 프로세스를 중단할 것을 요청하는 랜섬웨어 감지 장치
|
7 |
7
제1항에 있어서, 상기 주파수 변환부는 상기 OP 코드 값의 신호를 FFT(Fast Fourier Transform)하여 상기 제1 OP 코드 주파수 파형을 생성하는 랜섬웨어 감지 장치
|
8 |
8
제1항에 있어서, 상기 OP 코드 값은 십진수인 랜섬웨어 감지 장치
|
9 |
9
CPU를 포함하는 컴퓨터 시스템에서 랜섬웨어가 동작하는지 여부를 감지하는 랜섬웨어 감지 장치가 동작하는 방법으로서, 상기 CPU로부터 현재 실행 중인 PT(Processor Tracer) 패킷을 수신하는 단계, 상기 PT 패킷을 OP 코드(Operation Code)로 디코딩하는 단계, 상기 OP 코드 값의 신호를 주파수 도메인으로 변환하여 제1 OP 코드 주파수 파형을 생성하는 단계, 랜섬웨어 암호화 알고리즘에 대응하는 OP 코드를 주파수 도메인으로 변환한 값인 제2 OP 코드 주파수 파형을 저장하는 단계, 그리고상기 제1 OP 코드 주파수 파형과 상기 제2 OP 코드 주파수 파형을 비교하여, 랜섬웨어가 동작하고 있는지 여부를 판단하는 단계를 포함하는 방법
|
10 |
10
제9항에 있어서, 상기 판단하는 단계는, 상기 제1 OP 코드 주파수 파형과 상기 제2 OP 코드 주파수 파형 간에 유사도를 계산하는 단계, 그리고상기 유사도를 통해, 랜섬웨어가 동작하고 있는지 여부를 판단하는 단계를 포함하는 방법
|
11 |
11
제9항에 있어서, 상기 판단하는 단계에서 랜섬웨어가 동작하고 있는 것으로 판단된 경우, 상기 CPU에서 실행 중인 코드를 저장하는 단계를 더 포함하는 방법
|
12 |
12
제9항에 있어서, 상기 판단하는 단계에서 랜섬웨어가 동작하고 있는 것으로 판단된 경우, 상기 CPU로 해당 프로세스를 중단할 것을 요청하는 단계를 더 포함하는 방법
|
13 |
13
제9항에 있어서, 상기 제1 OP 코드 주파수 파형을 생성하는 단계는, 상기 OP 코드 값을 신호로서 간주하여 주파수 도메인으로 변환하는 단계를 포함하는 방법
|
14 |
14
CPU에서 랜섬웨어가 동작되는지 여부를 감지하는 장치가 동작하는 방법으로서, CPU에서 현재 동작 중인 OP 코드(Operation Code)를 입력 받는 단계, 상기 OP 코드 값의 신호를 주파수 도메인으로 변환하는 단계, 그리고상기 주파수 도메인에 대응되는 제1 값을 분석하여, 랜섬웨어가 동작하고 있는지 여부를 판단하는 단계를 포함하는 방법
|
15 |
15
제14항에 있어서, 상기 판단하는 단계는, 랜섬웨어 암호화 알고리즘에 대응하는 OP 코드를 주파수 도메인으로 변환한 값인 제2 값과 상기 제1 값을 비교하여, 렌섬웨어가 동작하고 있는지 여부를 판단하는 단계를 포함하는 방법
|