| 1 |
1
디바이스에 저장된 파일들 중 중요 파일을 결정하는 단계;상기 디바이스에 설치된 어플리케이션의 파일 접근 요청을 획득하는 단계;상기 어플리케이션의 파일 접근 요청의 대상이 상기 중요 파일이고, 상기 중요 파일이 암호화된 경우, 상기 어플리케이션이 미리 분석된 정상 어플리케이션인지 판단하는 단계; 및상기 어플리케이션이 미리 분석된 정상 어플리케이션이 아닌 경우, 상기 어플리케이션을 소정 분석 방법에 따라 분석하여, 상기 어플리케이션이 랜섬웨어인지 여부를 판단하는 단계;를 포함하는, 랜섬웨어 감지 방법
|
| 2 |
2
제1항에 있어서,상기 중요 파일을 결정하는 단계는,상기 파일들 중 사용자에 의해 선택된 파일을 상기 중요 파일로 결정하는 단계를 포함하는, 랜섬웨어 감지 방법
|
| 3 |
3
제1항에 있어서,상기 랜섬웨어 감지 방법은,상기 중요 파일의 섀넌 엔트로피 값에 기초하여 상기 중요 파일이 암호화되었는지를 판단하는 단계를 더 포함하는, 랜섬웨어 감지 방법
|
| 4 |
4
제3항에 있어서,상기 중요 파일이 암호화되었는지를 판단하는 단계는,상기 중요 파일을 분할하는 단계;상기 분할된 파일들 각각의 섀넌 엔트로피 값을 산출하는 단계; 및상기 산출된 섀넌 엔트로피 값의 평균과 미리 결정된 값을 비교하여 상기 중요 파일이 암호화되었는지를 판단하는 단계를 포함하는, 랜섬웨어 감지 방법
|
| 5 |
5
제4항에 있어서,상기 중요 파일을 분할하는 단계는,소정 크기의 바이트(byte) 단위로 상기 중요 파일을 분할하는 단계를 포함하는, 랜섬웨어 감지 방법
|
| 6 |
6
제3항에 있어서,상기 중요 파일이 암호화되었는지를 판단하는 단계는,상기 중요 파일을 동일 크기의 소정 개수의 파일로 분할하는 단계;상기 소정 개수의 파일들 중 첫 번째 파일의 섀넌 엔트로피 값을 산출하는 단계; 및상기 산출된 첫 번째 파일의 섀넌 엔트로피 값과 미리 결정된 값을 비교하여 상기 중요 파일이 암호화되었는지를 판단하는 단계를 포함하는, 랜섬웨어 감지 방법
|
| 7 |
7
제1항에 있어서,상기 랜섬웨어 감지 방법은,상기 어플리케이션이 미리 분석된 정상 어플리케이션인 경우, 상기 어플리케이션이 랜섬웨어가 아닌 것으로 판단하는 단계를 더 포함하는, 랜섬웨어 감지 방법
|
| 8 |
8
제1항에 있어서,상기 소정 분석 방법은,정적 분석 방법 및 동적 분석 방법 중 적어도 하나를 포함하는, 랜섬웨어 감지 방법
|
| 9 |
9
제1항에 있어서,상기 미리 정의된 분석 방법은, 정적 분석 방법이되,상기 어플리케이션을 소정 분석 방법에 따라 분석하여, 상기 어플리케이션이 랜섬웨어인지 여부를 판단하는 단계는,상기 어플리케이션의 파일에 존재하는 문자열을 획득하는 단계;상기 획득한 문자열과 블랙리스트 내 문자열을 비교하는 단계; 및상기 획득한 문자열이 상기 블랙리스트 내 문자열에 대응하는 경우, 상기 어플리케이션을 랜섬웨어로 판단하는 단계를 포함하는, 랜섬웨어 감지 방법
|
| 10 |
10
제1항에 있어서,상기 랜섬웨어 감지 방법은,상기 어플리케이션이 랜섬웨어로 판단되면, 이에 대한 판단 결과를 출력하는 단계; 및사용자의 선택에 따라 상기 어플리케이션을 상기 디바이스에서 삭제하거나, 상기 어플리케이션이 랜섬웨어가 아닌 것으로 최종 결정하는 단계를 포함하는, 랜섬웨어 감지 방법
|
| 11 |
11
적어도 하나의 프로세서; 및상기 프로세서에 전기적으로 연결된 메모리를 포함하고,상기 메모리는, 상기 프로세서가 실행 시에, 디바이스에 저장된 파일들 중 중요 파일을 결정하고,상기 디바이스에 설치된 어플리케이션의 파일 접근 요청을 획득하고,상기 어플리케이션의 파일 접근 요청의 대상이 상기 중요 파일이고, 상기 중요 파일이 암호화된 경우, 상기 어플리케이션이 미리 분석된 정상 어플리케이션인지 판단하고,상기 어플리케이션이 미리 분석된 정상 어플리케이션이 아닌 경우, 상기 어플리케이션을 소정 분석 방법에 따라 분석하여, 상기 어플리케이션이 랜섬 웨어인지 여부를 판단하는 인스트럭션들을 저장하는 랜섬웨어 감지 장치
|
