- PDF 무료 다운로드

Size: px

Start display at page:

Download ""

영필 반
5 years ago
Views:

1 ( ) ( ) ( ) ( ) ( ) << >> 1.,. 2.,. : 0131( ) + 3.,, [ ( ), ]. (patent.go.kr) > > 5 4. ( ),. 5. PCT ( ) ( ).. : -PCT/ : 12, 6,, 16 [ (PTO/SB/39). 6., , ( ),

4 발명의설명 발명의명칭 파일시스템에서의랜섬웨어탐지방법및그장치 {METHOD AND APPARATUS FOR DETECTION RANSOMWARE IN FILE SYSTEMS} 기술분야 본발명은컴퓨터사용환경에서랜섬웨어에대한탐지를수행하여파일시스 템내의파일들이암호화되는위협으로부터파일들을보호하기위한파일시스템에 서의랜섬웨어탐지방법및그장치에관한것이다. 발명의배경이되는기술 랜섬웨어는사용자의컴퓨터에접근하여사용자가보유한사진, 문서, 음악 및영상그리고컴퓨터데이터베이스등을암호화하여비트코인을요구하는악성 코드로써 2016 년기준 13 만명의피해자와피해액이 3000 억원이상인것으로추정 된다. 초기의랜섬웨어는윈도우운영체제를중심으로배포되었으나오늘날랜섬웨 어는리눅스웹서버및안드로이드모바일기기의데이터까지감염할수있다. 특 히최근등장한랜섬웨어는개인의민감한정보를암호화시킨후주소록상의지인 에게배포하겠다는협박을통해비용을지불하도록유도하고있다. 이러한랜섬웨 어들은비트코인이가진추적불가한은닉성과익명성, 환전의신속성, 변종개발 의용이성에유혹당한공격자들에의해지금현재도계속진화중에있다. 랜섬웨어는기본적으로데이터를암호화하는 Encryption Ransomware, 사용 25-1

5 자화면을장악하는 Lock Screen Ransomware, 부트영역을훼손하는 Master Boot Record (MBR) Ransomware, 안드로이드기기를대상으로하는 Mobile device ransomware (Android) 로크게나눌수있으며, 2017 년국내에보고된랜섬웨어는 275 종에이른다. 이러한랜섬웨어는 2013 년 Locky, Cryptolocker 랜섬웨어의등장을시작으로 최근까지도전세계컴퓨터사용자들을위협하고있다. 따라서, 랜섬웨어를탐지하 고예방할수있는기술은컴퓨터보안에있어없어서는안되는중요한요소중의 하나로자리매김하고있다. 랜섬웨어탐지기술과관련된연구는전세계적으로활발하게이루어지고있 으며, 크게랜섬웨어의정적분석탐지기법과동적분석탐지기법으로분류할수 있다. 랜섬웨어의정적분석탐지기법은이미랜섬웨어로분류된악성소프트웨어 의소스코드및시그니처를이용하여탐지를수행하는방법으로서, 향후이와유 사한랜섬웨어가동작하는경우쉽고빠르게찾아낼수있는장점이있다. 그러나, 랜섬웨어의정적분석탐지기법은이미알려진랜섬웨어의경우에탐지가가능하 며, 신종 / 변종랜섬웨어의경우에탐지가힘들다는한계점이있다. 랜섬웨어의동적분석탐지기법은랜섬웨어의행위패턴분석에기반하여 랜섬웨어가동작할때나타나는특징들을분석하고, 이를이용하여탐지하는방법 으로서, 랜섬웨어의공통된행위들을타겟으로하기때문에신종 / 변종랜섬웨어의 출현시에탐지가가능하다는장점이있다. 그러나, 랜섬웨어의동적분석탐지기 25-2

6 법은패턴모니터링에소비되는리소스가정적분석탐지기법에비해커서컴퓨팅 파워가작은단말에서는해당기법을적용하기힘들고, 분석된행위패턴을우회할 수있는랜섬웨어가출현할경우에미탐지발생가능성이있다는문제점이있다. 이와같이, 랜섬웨어로감염으로인한피해를예방하기위해다양한랜섬웨 어탐지솔루션이등장하고있다. 그러나, 종래의랜섬웨어탐지기법들은기법의 특성에맞는상황에서는유용하게될수있지만, 일부상황에서는신종랜섬웨어 혹은변종랜섬웨어를탐지하는데한계점이있다. 이는랜섬웨어공격자들에게악 용되어새로운공격기법을제시하게하고, 새로운위협이가해지게되므로이를 방어하기위한새로운방어기법이필요하다. 선행기술문헌 특허문헌 ( 특허문헌 1) 대한민국등록특허제 호 " 랜섬웨어검출장치및방 법 " ( 특허문헌 2) 대한민국등록특허제 호 " 컴퓨터시스템의랜섬웨어 행위에대한선제적인탐지차단방법및그장치 " 발명의내용 해결하고자하는과제 본발명은전술한문제점을해결하기위하여, 본발명의일실시예에따라 컴퓨팅환경및컴퓨터관련기기사용환경에서파일시스템내파일변경기록에 대한분석을통해랜섬웨어행위를탐지하는데에목적이있다. 25-3

7 다만, 본실시예가이루고자하는기술적과제는상기된바와같은기술적 과제로한정되지않으며, 또다른기술적과제들이존재할수있다. 과제의해결수단 상기한기술적과제를달성하기위한기술적수단으로서본발명의일실시 예에따른파일시스템에서의랜섬웨어탐지방법은, 파일시스템내파일의이벤트 발생에따른로그파일이기록되는기록모듈을이용하여파일의랜섬웨어를탐지하 는랜섬웨어탐지장치에의해수행되는파일시스템에서의랜섬웨어탐지방법에있 어서, 가상환경에서샘플랜섬웨어를실행하고, 상기샘플랜섬웨어에의한파일 시스템행위를기설정된행위모델링코드에따라로그파일로상기기록모듈에 저장하는샘플랜섬웨어실행단계 ; 상기기록모듈에서로그파일을파싱하여각 파일에서발생된행위들에대해파일변경기록분석을수행하여연속된행위모델 링코드로이루어진코드열로변환하는기록분석단계 ; 기설정된랜섬웨어행위 규칙에기초하여상기변환된코드열을분석하여정상프로그램과분류되는랜섬웨 어행위패턴을수집하는패턴분류단계 ; 및상기랜섬웨어행위패턴을이용하여 실제환경에서랜섬웨어를탐지하는탐지단계를포함하는것이다. 또한, 본발명의다른일실시예에따른파일시스템에서의랜섬웨어탐지장 치는, 파일시스템내파일의이벤트발생에따른로그파일이기록되는기록모듈을 이용하여파일의랜섬웨어를탐지하는파일시스템에서의랜섬웨어탐지장치에있 어서, 파일시스템에서의랜섬웨어탐지방법을수행하기위한프로그램이기록된 메모리 ; 및상기프로그램을실행하기위한프로세서를포함하며, 상기프로세서 25-4

8 는, 상기프로그램의실행에의해, 가상환경에서샘플랜섬웨어를실행하여파일시 스템행위를기설정된행위모델링코드에따라로그파일로상기기록모듈에저 장하고, 상기기록모듈에서로그파일을파싱하여각파일에서발생된행위들에 대해파일변경기록분석을수행하여연속된행위모델링코드로이루어진코드열 로변환한후기설정된랜섬웨어행위규칙에기초하여상기변환된코드열을분 석하여정상프로그램과분류되는랜섬웨어행위패턴을수집하며, 상기수집된랜 섬웨어행위패턴을이용하여실제환경에서랜섬웨어를탐지하는것이다. 발명의효과 전술한본발명의과제해결수단에의하면, 기존의랜섬웨어의행위패턴 분석에기반의랜섬웨어탐지방법에비해패턴모니터링에소비되는리소스사용 이적고, 랜섬웨어가우회할수없는행위들에대한패턴화를진행하여랜섬웨어 탐지를수행함으로써미탐지발생가능성을최소화할수있으며, 신종 / 변종랜섬웨 어에대한탐지도가능하다는효과가있다. 도면의간단한설명 도 1 은본발명의일실시예에따른파일시스템에서의랜섬웨어탐지장치 의구성을나타낸도면이다. 도 2 는도 1 의구성요소인프로세서의랜섬웨어탐지방법에대한수행과정 을설명하는흐름도이다. 도 3 은본발명의일실시예에따른파일시스템에서의랜섬웨어탐지방법을 설명하는순서도이다. 25-5

9 도 4 는본발명의일실시예에따른파일시스템에서의랜섬웨어탐지방법 의탐지단계를설명하기위한도면이다. 도 5 는일반적인랜섬웨어의파일암호화를위한행위패턴을설명하는예시 도이다. 도 6 은본발명의일실시예에따른랜섬웨어행위규칙을통해추출된행위 패턴리스트를설명하는도면이다. 도 7 은본발명의일실시예에따른랜섬웨어행위규칙을통해행위패턴이 형성되는과정을유한상태기계의형태로설명하는도면이다. 발명을실시하기위한구체적인내용 아래에서는첨부한도면을참조하여본발명이속하는기술분야에서통상의 지식을가진자가용이하게실시할수있도록본발명의실시예를상세히설명한 다. 그러나본발명은여러가지상이한형태로구현될수있으며여기에서설명하 는실시예에한정되지않는다. 그리고도면에서본발명을명확하게설명하기위해 서설명과관계없는부분은생략하였으며, 명세서전체를통하여유사한부분에대 해서는유사한도면부호를붙였다. 명세서전체에서, 어떤부분이다른부분과 " 연결 " 되어있다고할때, 이는 " 직접적으로연결 " 되어있는경우뿐아니라, 그중간에다른소자를사이에두고 " 전기적으로연결 " 되어있는경우도포함한다. 또한어떤부분이어떤구성요소를 " 포함 " 한다고할때, 이는특별히반대되는기재가없는한다른구성요소를제외하 는것이아니라다른구성요소를더포함할수있는것을의미하며, 하나또는그 25-6

10 이상의다른특징이나숫자, 단계, 동작, 구성요소, 부분품또는이들을조합한것 들의존재또는부가가능성을미리배제하지않는것으로이해되어야한다. 이하의실시예는본발명의이해를돕기위한상세한설명이며, 본발명의 권리범위를제한하는것이아니다. 따라서본발명과동일한기능을수행하는동 일범위의발명역시본발명의권리범위에속할것이다. 도 1 은본발명의일실시예에따른파일시스템에서의랜섬웨어탐지장치 의구성을나타낸도면이다. 도 1 을참조하면, 파일시스템에서의랜섬웨어탐지장치 (100) 는통신모 듈 (110), 메모리 (120), 프로세서 (130) 및기록모듈 (140) 을포함한다. 통신모듈 (110) 은통신망과연동하여사용자단말에통신인터페이스를제공 하는데, 사용자단말로부터전송되는데이터요청을수신하고, 이에대한응답으로 서사용자단말에데이터를송신하는역할을수행할수있다. 여기서, 통신모듈 (110) 은다른네트워크장치와유무선연결을통해제어 신호또는데이터신호와같은신호를송수신하기위해필요한하드웨어및소프트 웨어를포함하는장치일수있다. 메모리 (120) 는파일시스템에서의랜섬웨어탐지방법을수행하기위한프로 그램이기록된다. 또한, 프로세서 (130) 가처리하는데이터를일시적또는영구적으 로저장하는기능을수행한다. 여기서, 메모리 (120) 는휘발성저장매체 (volatile storage media) 또는비휘발성저장매체 (non-volatile storage media) 를포함할 수있으나, 본발명의범위가이에한정되는것은아니다. 25-7

11 프로세서 (130) 는일종의파일시스템에서의랜섬웨어탐지방법을제공하는 전체과정을제어한다. 프로세서 (130) 가수행하는각단계에대해서는도도 2 및 도 3 을참조하여후술하기로한다. 여기서, 프로세서 (130) 는프로세서 (processor) 와같이데이터를처리할수 있는모든종류의장치를포함할수있다. 여기서, ' 프로세서 (processor)' 는, 예를 들어프로그램내에포함된코드또는명령으로표현된기능을수행하기위해물리 적으로구조화된회로를갖는, 하드웨어에내장된데이터처리장치를의미할수 있다. 이와같이하드웨어에내장된데이터처리장치의일예로써, 마이크로프로 세서 (microprocessor), 중앙처리장치 (central processing unit: CPU), 프로세서코 어 (processor core), 멀티프로세서 (multiprocessor), ASIC(application-specific integrated circuit), FPGA(field programmable gate array) 등의처리장치를망 라할수있으나, 본발명의범위가이에한정되는것은아니다. 기록모듈 (140) 은적어도하나이상의데이터베이스로구성되고, 샘플랜섬 웨어세트, 파일시스템의행위에대한로그파일데이터세트, 수집된행위패턴 데이터등랜섬웨어탐지방법을수행하면서누적되는데이터가저장된다. 도 2 는도 1 의구성요소인프로세서의랜섬웨어탐지방법에대한수행과정 을설명하는흐름도이고, 도 3 은본발명의일실시예에따른파일시스템에서의랜 섬웨어탐지방법을설명하는순서도이다. 도 2 및도 3 을참고하면, 파일시스템에서의랜섬웨어탐지방법은프로세 서 (130) 에서파일시스템내파일의이벤트발생에따른로그파일이기록되는기록 25-8

12 모듈 (140) 과연계하여파일의랜섬웨어를탐지한다. 먼저, 프로세서 (130) 는랜섬웨어샘플세트가저장된데이터베이스에서샘플 랜섬웨어를불러오고, 가상환경구동모듈 (131) 을통해가상환경에서샘플랜섬웨 어가실행되도록함으로써샘플랜섬웨어에의한파일시스템의행위를기설정된 행위모델링코드에따라이벤트로그파일로로그파일데이터세트가저장된데이 터베이스에저장한다 (S310). 이때, 행위모델링코드는파일생성 (Create, C), 파일삭제 (Delete, D), 파 일명변경을포함한파일이동 (Move, M) 및파일갱신 (Update, U) 으로분류및정 의될수있다. 프로세서 (130) 의파싱모듈 (132) 은로그파일데이터세트가저장된데이터베 이스에서파일시스템의로그파일을파싱하고, 각파일에서발생된행위들에대해 파일변경기록분석을수행하여연속된행위모델링코드로이루어진코드열로변 환한다 (S320). 즉, 프로세서 (130) 는랜섬웨어가파일을암호화할때발생되는행위 들을모델링하고, 해당행위들이파일시스템의데이터베이스상에얼마나많이기 록되는지, 어떠한행위패턴들이자주나타나는지를분석한다. 행위패턴분류모듈 (133) 은상기변환된코드열을분석하여복수의행위로 이루어진행위패턴을분류한후기설정된랜섬웨어행위규칙에기초하여정상 프로그램과분류되는랜섬웨어행위패턴을패턴데이터수집을위한데이터베이스 에저장한다 (S330). 실제로, 파일시스템의기록모듈 (140) 에는가상환경구동모듈 (131) 을통해 25-9

13 파일시스템행위들이, 예를들면 CCMUDDCMUCUDCUUUMU 와같이연속된코드열, 즉문자열로변환될수있다. 따라서, 행위패턴분류모듈 (133) 은코드열에서랜섬웨어행위규칙에기초 하여각파일에대해 4 개이상의행위로이루어진행위패턴그룹을추출하고, 행 위패턴그룹에서복수의행위로이루어진행위패턴을분류한후행위별빈도수, 행위패턴별빈도수를체크한다. 또한, 행위패턴분류모듈 (133) 은정상프로그램 에서나타나는행위별빈도수와기설정된횟수이상나타나는행위패턴을분류할 수있다. 행위패턴분류모듈 (133) 은행위패턴그룹에서기설정된횟수이상나타나 는행위별빈도수또는행위패턴별빈도수를정상프로그램에서나타나는행위별 빈도수또는행위패턴별빈도수와비교하고, 두빈도수의차이값에따라행위또 는행위패턴별로가중치를부여하여랜섬웨어행위패턴을산출한다. 이때, 랜섬 웨어실행시발생된행위패턴별빈도수가정상프로그램에서나타나는행위패턴 별빈도수와차이가클수록가중치를높게설정한다. 예를들어, 행위패턴분류모듈 (133) 은랜섬웨어실행시의행위패턴빈도 수와정상프로그램실행시의행위패턴빈도수를비교했을때랜섬웨어실행시 특정한행위패턴의빈도수가유난히높게나타나는경우, 해당행위패턴의가중 치를높게부여한다. 그러나, 랜섬웨어실행시특정한행위패턴의빈도수가정상 프로그램에서의행위패턴의빈도수가유사하게나타날경우, 해당행위패턴은가 중치를낮게부여한다

14 따라서, 랜섬웨어실행시행위패턴의빈도수와정상프로그램실행시행위 패턴의빈도수간에차이가크다는것은해당행위패턴이랜섬웨어에서특징적으 로많이발견되었다는것을의미이기때문에랜섬웨어행위패턴으로수집한다. 탐지모듈 (134) 은수집된랜섬웨어행위패턴을이용하여실제환경에서랜섬 웨어탐지를수행한다 (S340). 도 4 는본발명의일실시예에따른파일시스템에서의랜섬웨어탐지방법 의탐지단계를설명하기위한도면으로서, 4 개의파일 (file1, file2, file3, file4) 이 file 1, 3, 2, 4, 3, 4, 1, 2, 2, 2, 3, 4, 3, 2, 3 의순서대로 CCDMDUDCMUMMDMC 와같은행위패턴을발생하였다고가정할경우, 각파일들에서발 생한행위들을순서대로정리한것이다. 탐지모듈 (134) 은파일시스템행위가기설정된발생개수가될때마다각 파일별로행위패턴그룹을분석하여랜섬웨어행위패턴과일치하는행위패턴이 존재하는지를판단한다. 만일, 랜섬웨어행위패턴과일치하는행위패턴이존재하는경우, 탐지모 듈 (134) 은행위패턴분류단계에서부여된해당행위패턴에부여된가중치를기 설정된기준값에합산하여탐지수치를증가시키고, 탐지수치가기설정된임계수치 이상이되면해당행위패턴을랜섬웨어행위패턴으로판단하여랜섬웨어탐지를 수행한다. 도 5 는일반적인랜섬웨어의파일암호화를위한행위패턴을설명하는예시 도이고, 도 6 은본발명의일실시예에따른랜섬웨어행위규칙을통해추출된행 25-11

15 위패턴리스트를설명하는도면이고, 도 7 은본발명의일실시예에따른랜섬웨 어행위규칙을통해행위패턴이형성되는과정을유한상태기계의형태로설명 하는도면이다. 도 5 의 (a) 에도시된바와같이, 일반적으로랜섬웨어는원본파일을읽어와 새롭게암호화된파일을생성하고, 원본파일을삭제하는행위를하거나, 도 5 의 (b) 에도시된바와같이, 파일이동이 3 회나타나므로 MMM 의행위패턴으로표현할 수있다. 이러한랜섬웨어행위들을정황화하고정상프로그램들과분류하기위해랜 섬웨어행위규칙을정의한다. 랜섬웨어행위규칙은모든파일의변경행위가단 일파일에대한행위로정의되는제 1 규칙, 파일생성 (C) 과파일삭제 (D) 의행위는 하나의쌍으로존재하는행위로정의되는제 2 규칙, 선두부에파일생성 (C) 이존재 하지않으면파일이동 (M) 및파일갱신 (U) 은파일삭제 (D) 에후속되는행위로출 현되지않는다고정의되는제 3 규칙, 파일갱신 (U) 이행위패턴의선두부에존재하 는경우에무의미한것으로정의되는제 4 규칙및 4 개이상의행위패턴그룹에 대해 3 개의행위로이루어진행위패턴의반복으로나타내도록정의되는제 5 규칙 으로이루어진다. 랜섬웨어행위규칙중제 1 규칙, 제 2 규칙및제 3 규칙을적용하면, 도 6 에 도시된바와같은행위패턴리스트가추출되고, 이렇게추출된행위패턴리스트 에제 4 규칙및제 5 규칙을적용하면최종적으로 CDM, CDU, CMD, CUD, DCM, DCU, MMM 및 MUM 의 8 개의행위패턴을랜섬웨어행위패턴으로분류할수있다

16 도 7 에도시된바와같이, 랜섬웨어행위규칙중제 4 규칙및제 5 규칙에 대한내용을확인할수있고, 이러한랜섬웨어행위패턴이형성되는과정을무한 상태머신의형태로표현하면, CDM, CDU, CMD, CUD, DCM, DCU, MMM 및 MUM 의 8 개의 행위패턴들이모두출현되는것을알수있다. 이와같이, 본발명의일실시예에따른파일시스템에서의랜섬웨어탐지 방법은기기개발시장및랜섬웨어탐지관련소프트웨어개발시장등에서기업 등보안을필요로하는컴퓨팅환경에서사용할수있는랜섬웨어탐지관련백신 및보안제품에적용될수있다. 이상에서설명한본발명의실시예에따른파일시스템에서의랜섬웨어탐지 방법은, 컴퓨터에의해실행되는프로그램모듈과같은컴퓨터에의해실행가능한 명령어를포함하는기록매체의형태로도구현될수있다. 이러한기록매체는컴 퓨터판독가능매체를포함하며, 컴퓨터판독가능매체는컴퓨터에의해액세스 될수있는임의의가용매체일수있고, 휘발성및비휘발성매체, 분리형및비 분리형매체를모두포함한다. 또한, 컴퓨터판독가능매체는컴퓨터저장매체를 포함하며, 컴퓨터저장매체는컴퓨터판독가능명령어, 데이터구조, 프로그램모 듈또는기타데이터와같은정보의저장을위한임의의방법또는기술로구현된 휘발성및비휘발성, 분리형및비분리형매체를모두포함한다. 전술한본발명의설명은예시를위한것이며, 본발명이속하는기술분야의 통상의지식을가진자는본발명의기술적사상이나필수적인특징을변경하지않 고서다른구체적인형태로쉽게변형이가능하다는것을이해할수있을것이다

17 그러므로이상에서기술한실시예들은모든면에서예시적인것이며한정적이아닌 것으로이해해야만한다. 예를들어, 단일형으로설명되어있는각구성요소는분 산되어실시될수도있으며, 마찬가지로분산된것으로설명되어있는구성요소들 도결합된형태로실시될수있다. 본발명의범위는상기상세한설명보다는후술하는특허청구범위에의하여 나타내어지며, 특허청구범위의의미및범위그리고그균등개념으로부터도출되 는모든변경또는변형된형태가본발명의범위에포함되는것으로해석되어야 한다. 부호의설명 100: 파일시스템에서의랜섬웨어탐지장치 110: 통신모듈 120: 메모리 130: 프로세서 140: 기록모듈 131: 가상머신구동모듈 132: 파싱모듈 133: 행위패턴분류모듈 134: 탐지모듈 25-14

18 청구범위 청구항 1 파일시스템내파일의이벤트발생에따른로그파일이기록되는기록모듈을 이용하여파일의랜섬웨어를탐지하는랜섬웨어탐지장치에의해수행되는파일시 스템에서의랜섬웨어탐지방법에있어서, 가상환경에서샘플랜섬웨어를실행하고, 상기샘플랜섬웨어에의한파일시 스템행위를기설정된행위모델링코드에따라로그파일로상기기록모듈에저 장하는샘플랜섬웨어실행단계 ; 상기기록모듈에서로그파일을파싱하여각파일에서발생된행위들에대 해파일변경기록분석을수행하여연속된행위모델링코드로이루어진코드열로 변환하는기록분석단계 ; 기설정된랜섬웨어행위규칙에기초하여상기변환된코드열을분석하여 정상프로그램과분류되는랜섬웨어행위패턴을수집하는패턴분류단계 ; 및 상기랜섬웨어행위패턴을이용하여실제환경에서랜섬웨어를탐지하는탐 지단계를포함하는것인, 파일시스템에서의랜섬웨어탐지방법. 청구항 2 제 1 항에있어서, 상기행위모델링코드는, 파일생성 (Create, C), 파일삭제 (Delete, D), 파일명변경을포함한파일 이동 (Move, M) 및파일갱신 (Update, U) 으로분류및정의하는것인, 파일시스템 25-15

19 에서의랜섬웨어탐지방법. 청구항 3 제 2 항에있어서, 상기랜섬웨어행위규칙은, 모든파일의변경행위가단일파일에대한행위로정의되는제 1 규칙, 상기파일생성 (C) 과파일삭제 (D) 는하나의쌍으로존재하는행위로정의되 는제 2 규칙, 상기파일생성 (C) 이존재하지않으면상기파일이동 (M) 및파일갱신 (U) 은 파일삭제 (D) 에후속되는행위로출현되지않는다고정의되는제 3 규칙, 상기파일갱신 (U) 이행위패턴의선두부에존재하는경우에무시하도록정 의되는제 4 규칙및 기설정된개수이상의행위패턴그룹에대해복수의행위로이루어진행위 패턴의반복으로나타내도록정의되는제 5 규칙을포함하는것인, 파일시스템에서 의랜섬웨어탐지방법. 청구항 4 제 3 항에있어서, 상기패턴분류단계는, 상기랜섬웨어행위규칙을적용하여 CDM, CDU, CMD, CUD, DCM, DCU, MMM 및 MUM 의행위패턴을랜섬웨어행위패턴으로분류하는것인, 파일시스템에서의랜 섬웨어탐지방법

20 청구항 5 제 1 항에있어서, 상기패턴분류단계는, 상기코드열에서상기랜섬웨어행위규칙에기초하여각파일에대한행위 패턴그룹을추출하고, 상기행위패턴그룹에서복수의행위로이루어진행위패 턴을분류한후행위별빈도수, 행위패턴별빈도수를체크하는단계 ; 정상프로그램에서나타나는행위별빈도수, 기설정된횟수이상나타나는 행위패턴을분류하는단계 ; 및 상기행위패턴그룹에서기설정된횟수이상나타나는행위별빈도수또는 행위패턴별빈도수를상기정상프로그램에서나타나는행위별빈도수또는행위 패턴별빈도수와비교하고, 두빈도수의차이값에따라행위또는행위패턴별로 가중치를부여하여랜섬웨어행위패턴을산출하는단계를포함하는것인, 파일시 스템에서의랜섬웨어탐지방법. 청구항 6 제 5 항에있어서, 상기랜섬웨어실행시행위패턴그룹에서발생된행위패턴별빈도수가정상 프로그램에서나타나는행위패턴별빈도수와차이가클수록가중치를높게설정하 는것인, 파일시스템에서의랜섬웨어탐지방법. 청구항 7 제 5 항에있어서, 25-17

21 상기탐지단계는, 상기파일시스템행위가기설정된발생개수가될때마다각파일별로행 위패턴그룹을분석하여상기랜섬웨어행위패턴과일치하는행위패턴이존재하 는지를판단하는단계 ; 상기랜섬웨어행위패턴과일치하는행위패턴이존재하는경우, 해당행위 패턴에부여된가중치를기설정된기준값에합산하여탐지수치를증가시키는단 계 ; 및 상기탐지수치가기설정된임계수치이상인경우, 상기행위패턴을랜섬웨 어행위패턴으로판단하여랜섬웨어탐지를수행하는단계를포함하는것인, 파일 시스템에서의랜섬웨어탐지방법. 청구항 8 파일시스템내파일의이벤트발생에따른로그파일이기록되는기록모듈을 이용하여파일의랜섬웨어를탐지하는파일시스템에서의랜섬웨어탐지장치에있 어서, 파일시스템에서의랜섬웨어탐지방법을수행하기위한프로그램이기록된 메모리 ; 및 상기프로그램을실행하기위한프로세서를포함하며, 상기프로세서는, 상기프로그램의실행에의해, 가상환경에서샘플랜섬웨어를실행하여파일시스템행위를기설정된행위 모델링코드에따라로그파일로상기기록모듈에저장하고, 상기기록모듈에서 25-18

22 로그파일을파싱하여각파일에서발생된행위들에대해파일변경기록분석을 수행하여연속된행위모델링코드로이루어진코드열로변환한후기설정된랜섬 웨어행위규칙에기초하여상기변환된코드열을분석하여정상프로그램과분류 되는랜섬웨어행위패턴을수집하며, 상기수집된랜섬웨어행위패턴을이용하여 실제환경에서랜섬웨어를탐지하는것인, 파일시스템에서의랜섬웨어탐지장치. 청구항 9 제 8 항에있어서, 상기프로세서는, 상기샘플랜섬웨어를실행하기위한가상환경을구현하는가상머신구동 모듈 ; 상기기록모듈에서파일시스템의로그파일을파싱하는파싱모듈 ; 파일시스템행위에대한파일변경기록분석을통해각파일에대한행위 패턴그룹을추출하고, 상기행위패턴그룹에서복수의행위로이루어진행위패 턴을분류한후상기랜섬웨어행위규칙에기초하여상기랜섬웨어행위패턴을 수집하는행위패턴분류모듈 ; 및 상기랜섬웨어행위패턴을이용하여랜섬웨어탐지를수행하는탐지모듈을 포함하는것인, 파일시스템에서의랜섬웨어탐지장치

23 요약서 요약 본발명의일실시예에따른파일시스템에서의랜섬웨어탐지방법은, 파일 시스템내파일의이벤트발생에따른로그파일이기록되는기록모듈을이용하여 파일의랜섬웨어를탐지하는랜섬웨어탐지장치에의해수행되는파일시스템에서의 랜섬웨어탐지방법에있어서, 가상환경에서샘플랜섬웨어를실행하고, 상기샘플 랜섬웨어에의한파일시스템행위를기설정된행위모델링코드에따라로그파일 로상기기록모듈에저장하는샘플랜섬웨어실행단계 ; 상기기록모듈에서로그 파일을파싱하여각파일에서발생된행위들에대해파일변경기록분석을수행하 여연속된행위모델링코드로이루어진코드열로변환하는기록분석단계 ; 기설 정된랜섬웨어행위규칙에기초하여상기변환된코드열을분석하여정상프로그 램과분류되는랜섬웨어행위패턴을수집하는패턴분류단계 ; 및상기랜섬웨어 행위패턴을이용하여실제환경에서랜섬웨어를탐지하는탐지단계를포함할수 있다. 대표도 도

24 도면 도

25 도

26 도

27 도 4 도

28 도 6 도

명세서청구범위청구항 1 문서에포함된악성공격코드를탐지하는시스템에있어서, 상기악성공격코드를탐지하는프로그램이저장된메모리, 기수집된악성공격코드에기초하여분류된행위시그너처가저장된데이터베이스및상기프로그램을실행시키는프로세서를포함하되, 상기프로세서는상기악성공격코드를탐지하는프로그램이실행

명세서청구범위청구항 1 문서에포함된악성공격코드를탐지하는시스템에있어서, 상기악성공격코드를탐지하는프로그램이저장된메모리, 기수집된악성공격코드에기초하여분류된행위시그너처가저장된데이터베이스및상기프로그램을실행시키는프로세서를포함하되, 상기프로세서는상기악성공격코드를탐지하는프로그램이실행 (19) 대한민국특허청 (KR) (12) 등록특허공보 (B1) (51) 국제특허분류 (Int. Cl.) G06F 21/56 (2013.01) G06F 21/60 (2013.01) (21) 출원번호 10-2014-0182578 (22) 출원일자 2014 년 12 월 17 일 심사청구일자 2014 년 12 월 17 일 (65) 공개번호 10-2016-0073801