| 1 |
1
특정 시간 간격마다 주기적으로 입출력 요청의 헤더(header)를 수집하는 입출력 요청 수집부;상기 입출력 요청의 헤더에서 읽기 요청이 검출된 경우 상기 읽기 요청과 연관된 블록 정보를 포함하는 제1 엔트리를 생성하여 윈도우 단위의 탐색을 통해 제1 해시 테이블에 저장하는 제1 해시 테이블 구축부;상기 입출력 요청의 헤더에서 상기 읽기 요청의 블록과 동일한 시작 주소를 갖는 메모리 블록에 대한 덮어쓰기 요청이 검출된 경우 상기 덮어쓰기 요청과 연관된 블록 정보를 포함하는 제2 엔트리를 생성하여 상기 탐색을 통해 제2 해시 테이블에 저장하는 제2 해시 테이블 구축부; 및상기 제1 및 제2 해시 테이블들을 기초로 랜섬웨어(ransomware) 탐지를 위한 복수의 피처들을 산출하는 피처 생성부를 포함하는 회피형 랜섬웨어 탐지를 위한 피처 가공 장치
|
| 2 |
2
제1항에 있어서,상기 제1 엔트리는 상기 읽기 요청과 연관된 블록의 시작 주소와 해당 요청 시점을 포함하고,상기 제2 엔트리는 상기 덮어쓰기 요청과 연관된 블록의 시작 주소와 블록 길이 및 해당 요청 시점을 포함하는 것을 특징으로 하는 회피형 랜섬웨어 탐지를 위한 피처 가공 장치
|
| 3 |
3
제1항에 있어서, 상기 제1 및 제2 해시 테이블 구축부들은읽기 또는 덮어쓰기 요청과 연관된 블록에 해시 함수(hash function)를 적용하여 테이블 인덱스를 산출하고 상기 테이블 인덱스부터 시작하는 윈도우 영역을 결정하는 것을 특징으로 하는 회피형 랜섬웨어 탐지를 위한 피처 가공 장치
|
| 4 |
4
제3항에 있어서, 상기 제1 및 제2 해시 테이블 구축부들은상기 윈도우 영역에 대한 순차 탐색으로 상기 제1 또는 제2 엔트리에 대한 저장 위치를 결정하는 것을 특징으로 하는 회피형 랜섬웨어 탐지를 위한 피처 가공 장치
|
| 5 |
5
제4항에 있어서, 상기 제1 및 제2 해시 테이블 구축부들은상기 윈도우 영역이 풀(full)인 경우 해당 윈도우 영역에 저장된 복수의 엔트리들 중에서 가장 오래된 엔트리를 삭제하는 것을 특징으로 하는 회피형 랜섬웨어 탐지를 위한 피처 가공 장치
|
| 6 |
6
제3항에 있어서, 상기 제1 및 제2 해시 테이블 구축부들은상기 제1 또는 제2 해시 테이블이 논리적으로 구분된 복수의 부분 해시 테이블들로 이루어진 경우 상기 복수의 부분 해시 테이블들 각각에서 상기 윈도우 영역을 결정하는 것을 특징으로 하는 회피형 랜섬웨어 탐지를 위한 피처 가공 장치
|
| 7 |
7
제6항에 있어서, 상기 제1 및 제2 테이블 구축부들은상기 복수의 부분 해시 테이블들 각각에 연관되어 정의되는 복수의 해시 함수들을 상기 읽기 또는 덮어쓰기 요청과 연관된 블록에 적용하여 복수의 테이블 인덱스들을 산출하고 상기 복수의 테이블 인덱스들을 기초로 상기 윈도우 영역을 결정하는 것을 특징으로 하는 회피형 랜섬웨어 탐지를 위한 피처 가공 장치
|
| 8 |
8
제7항에 있어서, 상기 제1 및 제2 테이블 구축부들은상기 윈도우 영역에 대한 순차 탐색을 병렬적으로 수행하여 상기 제1 또는 제2 엔트리에 대한 저장 위치를 결정하는 것을 특징으로 하는 회피형 랜섬웨어 탐지를 위한 피처 가공 장치
|
| 9 |
9
제8항에 있어서, 상기 제1 및 제2 테이블 구축부들은상기 복수의 부분 해시 테이블들 각각의 윈도우 영역이 모두 풀(full)인 경우 모든 윈도우 영역에 저장된 복수의 엔트리들 중에서 가장 오래된 엔트리를 삭제하는 것을 특징으로 하는 회피형 랜섬웨어 탐지를 위한 피처 가공 장치
|
| 10 |
10
제1항에 있어서, 상기 피처 생성부는미리 정의된 타임 슬라이스(time slice) 동안 발생한 덮어쓰기의 횟수를 나타내는 OWIO, 상기 타임 슬라이스를 기반으로 하는 타임 윈도우(time window) 동안 발생한 쓰기 요청(write request)의 총 횟수 대비 덮어쓰기가 발생한 블록의 비율을 나타내는 OWST, 상기 타임 윈도우 동안 발생한 덮어쓰기의 횟수를 나타내는 PWIO, 현재 타임 윈도우에서 연속적으로 덮어쓰기가 발생한 블록(continuously overwritten block)의 평균 길이(length)를 나타내는 AVGWIO, 이전 타임 윈도우에서의 평균 덮어쓰기의 횟수 대 현재 타임 슬라이스에서의 덮어쓰기의 횟수 간의 비율을 나타내는 OWSLOPE 및 이전 타임 슬라이스에서의 평균 쓰기 횟수 대 현재 타임 슬라이스에서의 덮어쓰기 횟수의 비율을 나타내는 IO를 상기 복수의 피처들로서 산출하는 것을 특징으로 하는 회피형 랜섬웨어 탐지를 위한 피처 가공 장치
|
| 11 |
11
제1항에 있어서,상기 복수의 피처들을 학습한 결과를 기초로 상기 입출력 요청과 연관된 메모리 블록에 발생한 덮어쓰기가 랜섬웨어의 활동(activity)에 의한 것인지를 결정하는 랜섬웨어 탐지부를 더 포함하는 것을 특징으로 하는 회피형 랜섬웨어 탐지를 위한 피처 가공 장치
|
| 12 |
12
피처 가공 장치에서 수행되는 방법에 있어서,특정 시간 간격마다 주기적으로 입출력 요청의 헤더(header)를 수집하는 단계;상기 입출력 요청의 헤더에서 읽기 요청이 검출된 경우 상기 읽기 요청과 연관된 블록 정보를 포함하는 제1 엔트리를 생성하여 윈도우 단위의 병렬 탐색을 통해 제1 해시 테이블에 저장하는 단계;상기 입출력 요청의 헤더에서 상기 읽기 요청의 블록과 동일한 시작 주소를 갖는 메모리 블록에 대한 덮어쓰기 요청이 검출된 경우 상기 덮어쓰기 요청과 연관된 블록 정보를 포함하는 제2 엔트리를 생성하여 상기 병렬 탐색을 통해 제2 해시 테이블에 저장하는 단계; 및상기 제1 및 제2 해시 테이블들을 기초로 랜섬웨어(ransomware) 탐지를 위한 복수의 피처들을 산출하는 단계를 포함하는 회피형 랜섬웨어 탐지를 위한 피처 가공 방법
|
