| 1 |
1
랜섬웨어 탐지 시스템에 의해 수행되는 랜섬웨어 탐지 방법에 있어서,낸드 플래시 메모리에서 발생된 읽기 요청에 대한 논리 블록 주소를 블룸 필터(Bloom-filter)에 저장하는 단계;상기 낸드 플래시 메모리에서 쓰기 요청이 발생함에 따라 상기 읽기 요청에 대한 논리 블록 주소가 저장된 블룸 필터를 대상으로 덮어쓰기(overwrite)가 발생하였는지 여부를 검사하는 단계; 및상기 블룸 필터에 상기 덮어쓰기가 발생한 것으로 판단함에 따라 랜섬웨어 탐지에 사용되는 특징값을 이용하여 랜섬웨어의 활동 여부를 탐지하는 단계를 포함하는 랜섬웨어 탐지 방법
|
| 2 |
2
제1항에 있어서,상기 저장하는 단계는, 비트 배열을 가지고 있는 복수 개의 블룸 필터를 생성하는 단계를 포함하고,상기 복수 개의 블룸 필터는,상기 읽기 요청에 대한 논리 블록 주소와 관련된 원소를 추가하기 위하여 상기 복수 개의 블룸 필터 각각에서 동일한 k개의 해시 함수를 사용하여 k개의 해시값을 계산하고, 계산된 각 해시값에 대응하는 비트를 모두 1로 설정하고, 상기 쓰기 요청에 대한 논리 블록 주소와 관련된 원소를 검사하기 위하여 k개의 해시 함수를 사용하여 k개의 해시값을 계산하고, 계산된 각 해시값에 대응하는 비트가 모두 1인지 상기 복수 개의 블룸 필터의 각각에서 검사되는것을 특징으로 하는 랜섬웨어 탐지 방법
|
| 3 |
3
제1항에 있어서,상기 블룸 필터에 상기 읽기 요청에 대한 논리 블록 주소를 저장하고, 상기 덮어쓰기(overwrite)가 발생하였는지 여부를 검사하는 수행 속도를 조절하기 위하여 상기 블룸 필터에 특정 처리를 수행하는 단계를 더 포함하고, 상기 수행하는 단계는,복수 개의 블룸 필터 각각의 동일한 k개의 비트 위치에서 원소 검사를 수행하고, k * 블록 길이(block length) 크기의 정수형 2차원 배열에 논리 블록 주소를 k개의 해시 함수로 블록 길이만큼 계산한 해시값을 저장하는 단계를 포함하는 랜섬웨어 탐지 방법
|
| 4 |
4
제3항에 있어서,상기 수행하는 단계는,블룸 필터에 원소 추가와 원소 검사를 수행할 때, k개의 해시 함수로 비암호학적 해시 함수를 이용하여 k개의 해시 함수를 획득하도록 하는 비암호학적 해싱(Non-Cryptographic Hashing)을 수행하는 단계 를 포함하는 랜섬웨어 탐지 방법
|
| 5 |
5
제1항에 있어서,상기 저장하는 단계는,상기 낸드 플래시 메모리에서 읽기 요청이 발생함에 따라 상기 읽기 요청이 발생한 시간 정보, 시작 주소, 크기 정보를 수집하고, 상기 수집된 시간 정보에 기초하여 상기 읽기 요청에 대한 논리 블록 주소(LBA)를 상기 블룸 필터에 저장하는 단계를 포함하는 랜섬웨어 탐지 방법
|
| 6 |
6
제5항에 있어서,상기 저장하는 단계는,기 설정된 시간 범위에 기초하여 상기 읽기 요청에 대한 논리 블록 주소를 상기 블룸 필터에 저장하고, 상기 읽기 요청이 상기 기 설정된 시간 범위를 초과할 경우, 상기 읽기 요청에 대한 논리 블록 주소를 상기 블록 필터 다음의 블록 필터에 저장하는 단계를 포함하는 랜섬웨어 탐지 방법
|
| 7 |
7
제1항에 있어서,상기 덮어쓰기(overwrite)가 발생하였는지 여부를 검사하는 단계는,상기 낸드 플래시 메모리에서 쓰기 요청이 발생함에 따라 상기 쓰기 요청이 발생한 시작 주소, 크기 정보를 수집하여 복수 개의 블룸 필터로부터 상기 읽기 요청에 대한 논리 블록 주소를 포함하는 블룸 필터를 검사하는 단계를 포함하는 랜섬웨어 탐지 방법
|
| 8 |
8
제1항에 있어서,상기 랜섬웨어의 활동 여부를 탐지하는 단계는,상기 읽기 요청에 대한 논리 블록 주소를 포함하는 블룸 필터가 존재할 경우, 상기 읽기 요청에 대한 논리 블록 주소를 포함하는 블룸 필터에 덮어쓰기가 발생한 것으로 판단하는 단계를 포함하는 랜섬웨어 탐지 방법
|
| 9 |
9
제1항에 있어서,상기 특징값은, 미리 정의된 타임 슬라이스(times slice) 동안 발생한 덮어 쓰기(overwrite)의 횟수를 나타내는 OWIO, 상기 타임 슬라이스를 기반으로 하는 타임 윈도우(time window) 동안 발생한 쓰기 요청(write request)의 총 수 대비 덮어 쓰기(overwrite)가 발생한 블록의 비율을 나타내는 OWST, 타임 윈도우 동안 발생한 덮어 쓰기(overwrite)의 수를 나타내는 PWIO, 현재 타임 윈도우에서 연속적으로 덮어 쓰기가 발생한 블록 (continuously overwritten block)의 평균 길이(length)를 나타내는 AVGWIO, 이전 타임 윈도우에서의 평균 덮어 쓰기(overwrite)의 개수 대 현재 타임 슬라이스(time slice)에서의 덮어쓰기(overwrite)의 개수 간의 비율 을 나타내는 OWSLOPE, 이전 타임 슬라이스에서의 평균 쓰기 횟수 대 현재 타임 슬라이스에서의 덮어 쓰기 횟수 의 비율을 나타내는 IO로부터 계산된 값을 포함하고, 상기 랜섬웨어의 활동 여부를 탐지하는 단계는,상기 랜섬웨어의 탐지에 사용되는 특징값을 계산하기 위한 덮어쓰기 횟수로부터 계산된 특징값을 이진 의사 결정 트리에 기반하여 랜섬웨어의 활동 여부를 판단하는 단계를 포함하는 랜섬웨어 탐지 방법
|
| 10 |
10
랜섬웨어 탐지 시스템에 있어서,낸드 플래시 메모리에서 발생된 읽기 요청에 대한 논리 블록 주소를 블룸 필터(Bloom-filter)에 저장하는 논리 블록 주소 저장부;상기 낸드 플래시 메모리에서 쓰기 요청이 발생함에 따라 상기 읽기 요청에 대한 논리 블록 주소가 저장된 블룸 필터를 대상으로 덮어쓰기(overwrite)가 발생하였는지 여부를 검사하는 덮어쓰기 검사부; 및상기 블룸 필터에 상기 덮어쓰기가 발생한 것으로 판단함에 따라 랜섬웨어 탐지에 사용되는 특징값을 이용하여 랜섬웨어의 활동 여부를 탐지하는 랜섬웨어 탐지부를 포함하는 랜섬웨어 탐지 시스템
|
