| 1 |
1
파일시스템 내 파일의 이벤트 발생에 따른 로그 파일이 기록되는 기록모듈을 이용하여 파일의 랜섬웨어를 탐지하는 랜섬웨어 탐지장치에 의해 수행되는 파일시스템에서의 랜섬웨어 탐지 방법에 있어서, 가상환경에서 샘플 랜섬웨어를 실행하고, 상기 샘플 랜섬웨어에 의한 파일시스템 행위를 기 설정된 행위 모델링 코드에 따라 로그 파일로 상기 기록모듈에 저장하는 샘플 랜섬웨어 실행 단계;상기 기록 모듈에서 로그 파일을 파싱하여 각 파일에서 발생된 행위들에 대해 파일 변경 기록 분석을 수행하여 연속된 행위 모델링 코드로 이루어진 코드열로 변환하는 기록 분석 단계;기 설정된 랜섬웨어 행위 규칙에 기초하여 상기 변환된 코드열을 분석하여 정상 프로그램과 분류되는 랜섬웨어 행위 패턴을 수집하는 패턴 분류 단계; 및 상기 랜섬웨어 행위 패턴을 이용하여 실제 환경에서 랜섬웨어를 탐지하는 탐지 단계를 포함하되,상기 패턴 분류 단계는, 상기 코드열에서 상기 랜섬웨어 행위 규칙에 기초하여 각 파일에 대한 행위 패턴 그룹을 추출하고, 상기 행위 패턴 그룹에서 복수의 행위로 이루어진 행위 패턴을 분류한 후 행위별 빈도수, 행위 패턴별 빈도수를 체크하는 단계;랜섬웨어에 감염되지 않은 정상 프로그램에서 나타나는 행위별 빈도수와 또는 행위 패턴별 빈도수가 기 설정된 횟수 이상 나타나는 행위 패턴을 분류하는 단계; 및상기 행위 패턴 그룹에서 기 설정된 횟수 이상 나타나는 행위별 빈도수 또는 행위 패턴별 빈도수를 상기 정상 프로그램에서 나타나는 행위별 빈도수 또는 행위 패턴별 빈도수와 비교하고, 두 빈도수의 차이값에 따라 행위 또는 행위 패턴 별로 가중치를 부여하여 랜섬웨어 행위 패턴을 산출하는 단계를 포함하는 것인, 파일 시스템에서의 랜섬웨어 탐지 방법
|
| 2 |
2
제 1 항에 있어서,상기 행위 모델링 코드는,파일 생성(Create, C), 파일 삭제(Delete, D), 파일명 변경을 포함한 파일 이동(Move, M) 및 파일 갱신(Update, U)으로 분류 및 정의하는 것인, 파일 시스템에서의 랜섬웨어 탐지 방법
|
| 3 |
3
제 2 항에 있어서,상기 랜섬웨어 행위 규칙은,모든 파일의 변경 행위가 단일 파일에 대한 행위로 정의되는 제1 규칙, 상기 파일 생성(C)과 파일 삭제(D)는 하나의 쌍으로 존재하는 행위로 정의되는 제2 규칙, 상기 파일 생성(C)이 존재하지 않으면 상기 파일 이동(M) 및 파일 갱신(U)은 파일 삭제(D)에 후속되는 행위로 출현되지 않는다고 정의되는 제3 규칙, 상기 파일 갱신(U)이 행위 패턴의 선두부에 존재하는 경우에 무시하도록 정의되는 제4 규칙 및 기 설정된 개수 이상의 행위 패턴 그룹에 대해 복수의 행위로 이루어진 행위 패턴의 반복으로 나타내도록 정의되는 제5 규칙을 포함하는 것인, 파일 시스템에서의 랜섬웨어 탐지 방법
|
| 4 |
4
제 3 항에 있어서,상기 패턴 분류 단계는, 상기 랜섬웨어 행위 규칙을 적용하여 CDM, CDU, CMD, CUD, DCM, DCU, MMM 및 MUM의 행위 패턴을 랜섬웨어 행위 패턴으로 분류하는 것인, 파일 시스템에서의 랜섬웨어 탐지 방법
|
| 5 |
5
삭제
|
| 6 |
6
제 1 항에 있어서,상기 샘플 랜섬웨어 실행시 행위패턴그룹에서 발생된 행위 패턴별 빈도수가 랜섬웨어에 감염되지 않은 정상 프로그램에서 나타나는 행위 패턴별 빈도수와 차이가 클수록 가중치를 높게 설정하는 것인, 파일 시스템에서의 랜섬웨어 탐지 방법
|
| 7 |
7
제 1 항에 있어서,상기 탐지 단계는, 상기 파일 시스템 행위가 기 설정된 발생개수가 될 때마다 각 파일 별로 행위 패턴 그룹을 분석하여 상기 랜섬웨어 행위 패턴과 일치하는 행위 패턴이 존재하는 지를 판단하는 단계;상기 랜섬웨어 행위 패턴과 일치하는 행위 패턴이 존재하는 경우, 해당 행위 패턴에 부여된 가중치를 기 설정된 기준값에 합산하여 탐지수치를 증가시키는 단계; 및상기 탐지 수치가 기설정된 임계수치 이상인 경우, 상기 행위 패턴을 랜섬웨어 행위 패턴으로 판단하여 랜섬웨어 탐지를 수행하는 단계를 포함하는 것인, 파일 시스템에서의 랜섬웨어 탐지 방법
|
| 8 |
8
파일시스템 내 파일의 이벤트 발생에 따른 로그 파일이 기록되는 기록모듈을 이용하여 파일의 랜섬웨어를 탐지하는 파일 시스템에서의 랜섬웨어 탐지장치에 있어서,파일 시스템에서의 랜섬웨어 탐지 방법을 수행하기 위한 프로그램이 기록된 메모리; 및상기 프로그램을 실행하기 위한 프로세서를 포함하며,상기 프로세서는, 상기 프로그램의 실행에 의해,가상환경에서 샘플 랜섬웨어를 실행하여 파일시스템 행위를 기 설정된 행위 모델링 코드에 따라 로그 파일로 상기 기록모듈에 저장하고, 상기 기록 모듈에서 로그 파일을 파싱하여 각 파일에서 발생된 행위들에 대해 파일 변경 기록 분석을 수행하여 연속된 행위 모델링 코드로 이루어진 코드열로 변환한 후 기 설정된 랜섬웨어 행위 규칙에 기초하여 상기 변환된 코드열을 분석하여 정상 프로그램과 분류되는 랜섬웨어 행위 패턴을 수집하며, 상기 수집된 랜섬웨어 행위 패턴을 이용하여 실제 환경에서 랜섬웨어를 탐지하되,상기 코드열에서 상기 랜섬웨어 행위 규칙에 기초하여 각 파일에 대한 행위 패턴 그룹을 추출하고, 상기 행위 패턴 그룹에서 복수의 행위로 이루어진 행위 패턴을 분류한 후 행위별 빈도수, 행위 패턴별 빈도수를 체크하고, 랜섬웨어에 감염되지 않은 정상 프로그램에서 나타나는 행위별 빈도수와 또는 행위 패턴별 빈도수가 기 설정된 횟수 이상 나타나는 행위 패턴을 분류하며, 상기 행위 패턴 그룹에서 기 설정된 횟수 이상 나타나는 행위별 빈도수 또는 행위 패턴별 빈도수를 상기 정상 프로그램에서 나타나는 행위별 빈도수 또는 행위 패턴별 빈도수와 비교하고, 두 빈도수의 차이값에 따라 행위 또는 행위 패턴 별로 가중치를 부여하여 랜섬웨어 행위 패턴을 산출하는 것인, 파일 시스템에서의 랜섬웨어 탐지 장치
|
| 9 |
9
제 8 항에 있어서,상기 프로그램은,상기 샘플 랜섬웨어를 실행하기 위한 가상 환경을 구현하는 가상머신 구동 모듈;상기 기록모듈에서 파일시스템의 로그파일을 파싱하는 파싱 모듈;파일시스템 행위에 대한 파일 변경 기록 분석을 통해 각 파일에 대한 행위 패턴 그룹을 추출하고, 상기 행위 패턴 그룹에서 복수의 행위로 이루어진 행위 패턴을 분류한 후 상기 랜섬웨어 행위 규칙에 기초하여 상기 랜섬웨어 행위 패턴을 수집하는 행위 패턴 분류 모듈; 및 상기 랜섬웨어 행위 패턴을 이용하여 랜섬웨어 탐지를 수행하는 탐지 모듈을 포함하는 것인, 파일 시스템에서의 랜섬웨어 탐지 장치
|
