Similar documents
명세서청구범위청구항 1 문서에포함된악성공격코드를탐지하는시스템에있어서, 상기악성공격코드를탐지하는프로그램이저장된메모리, 기수집된악성공격코드에기초하여분류된행위시그너처가저장된데이터베이스및상기프로그램을실행시키는프로세서를포함하되, 상기프로세서는상기악성공격코드를탐지하는프로그램이실행

특허청구의 범위 청구항 1 삭제 청구항 2 단일 개의 운영체제를 갖는 클라이언트 단말에 있어서, 제1 운영체제와, 상기 제1 운영체제 하에서 사용되는 파일을 저장하는 메모리; 및 상기 메모리에 저장된 파일을 운영체제 제공장치로 전송하고 상기 메모리를 포맷하며, 상기 운

(52) CPC 특허분류 G06F 21/31 ( ) H04M 1/72519 ( ) (72) 발명자 박희정 경기도성남시분당구서판교로 29, 911 동 1401 호 ( 판교동, 판교원마을한림풀에버아파트 ) 여상직 경기용인시수지구대지로 27, 103 동


이 발명을 지원한 국가연구개발사업 과제고유번호 A 부처명 지식경제부 연구관리전문기관 연구사업명 IT핵심기술개발 연구과제명 융합형 포털서비스를 위한 이용자 참여형 방송기술개발 기여율 주관기관 전자부품연구원 연구기간 2008년 03월 01일 ~ 2

<4D F736F F F696E74202D C61645FB3EDB8AEC7D5BCBA20B9D720C5F8BBE7BFEBB9FD2E BC8A3C8AF20B8F0B5E55D>

비휘발성메모리의맵핑정보, 및상기맵핑정보가저장된시점에서할당된제 1 물리블록주소를상기비휘발성메모리에저장하는맵핑정보저장모듈 ; 상기제 1 물리블록주소로부터현재할당된제 2 물리블록주소까지스캔을수행하는스캔모듈 ; 및 상기스캔결과에따라상기제 1 물리블록주소및상기제 2 물리블록주소

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

학습목차 2.1 다차원배열이란 차원배열의주소와값의참조

대 표 도 - 2 -

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

슬라이드 1

5th-KOR-SANGFOR NGAF(CC)

특허청구의범위청구항 1 복수의영상검출부로부터출력되는영상의히스토그램 (histogram) 을계산하는단계 ; 상기복수의영상검출부로부터출력되는영상을히스토그램평활화 (histogram equalization) 하는단계 ; 상기복수의영상검출부중하나의영상검출부를선택하는단계 ; 및

특허청구의범위청구항 1 영상제공서버에서의실시간으로영상을제공하는방법에있어서, 클라이언트로부터매장의종류를포함하는검색어를수신하는단계 ; 수신된검색어에기초하여특정지역내에서상기매장의종류에해당하는적어도하나의매장을검색하고검색결과를상기클라이언트에전송하는단계 ; 상기클라이언트로부터발생

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

목차 01. 개요 감염경로 워너크립터동작방식 ) 동작과정상세분석 ) 감염증상 ) 파일암호화및복호화방식 안랩대응현황 AhnLab, Inc. All rights reserved.

리눅스 프로세스 관리

한것으로스마트단말기에의하여드론조종앱을설치하는제 1 단계 ; 스마트단말기에의하여드론의불루투스통 신부에부여된고유식별번호를입력저장하고드론의불루투스를인식하며드론의블루투스통신부로부터회신되 는신호의수신레벨을분석하여최대통신거리를확인하여저장하는제 2 단계 ; 스마트단말기에의하여최대통

특허청구의범위청구항 1 하나이상의어플리케이션을포함하는이동단말장치 ; 및상기이동단말장치와 HTTPS 기반의파일통신을수행하는가입자정보카드장치를포함하며, 상기가입자정보카드장치는, 메모리영역을포함하여파일이저장된저장부 ; 및상기이동단말장치와연결되어상기어플리케이션중의하나와상기저장

2) 활동하기 활동개요 활동과정 [ 예제 10-1]main.xml 1 <LinearLayout xmlns:android=" 2 xmlns:tools="

이발명을지원한국가연구개발사업 과제고유번호 No 부처명 한국연구재단 연구관리전문기관 - 연구사업명 일반연구자지원사업 연구과제명 유무선통합환경에서의안전한클라우드데이터센터구축을위한지능형보안관제기술개 발 기여율 1/1 주관기관 순천향대학교산학협력단 연구기

(72) 발명자 박세웅 서울특별시관악구신림동산 56-1 서울대학교뉴미디어통신공동연구소 최진구 서울특별시영등포구당산동 2 가대우메종아파트 101 동 909 호 - 2 -

서 인코딩한 데이터를 무선으로 송신하기 위한 무선 송신 수단; 및 통화중 상기 입력 수단으로부터의 음원 데이터 전송신 호에 따라 상기 저장 수단에 저장되어 있는 해당 음원 데이터를 상기 디코딩 수단에 의해 디코딩하고, 상기 디코딩한 음원 데이터와 상기 입력 수단을 통해

이발명을지원한국가연구개발사업 과제고유번호 부처명 미래창조부 연구관리전문기관 한국산업기술평가관리원 연구사업명 산업융합원천기술개발 연구과제명 단일노드 48TB 이상을지원하는개방형하둡스토리지어플라이언스 (Hadoop Storage Appliance) 개발 기

(72) 발명자 신일훈 경기 수원시 영통구 영통동 황골마을1단지아파트 151동 702호 나세욱 서울 용산구 용산동2가 18-5 김효준 경기 용인시 기흥구 상갈동 금화마을주공아파트 407동 1204호 윤송호 경기 용인시 수지구 풍덕천2동 삼성5차아파트 신동

ActFax 4.31 Local Privilege Escalation Exploit

이 발명을 지원한 국가연구개발사업 과제고유번호 부처명 방송통신위원회 연구사업명 방송통신기술개발사업 연구과제명 안전한 전자파환경 조성 주관기관 한국전자통신연구원 연구기간 ~

특허청구의 범위 청구항 1 복수개의 프리캐스트 콘크리트 부재(1)를 서로 결합하여 연속화시키는 구조로서, 삽입공이 형성되어 있고 상기 삽입공 내면에는 나사부가 형성되어 있는 너트형 고정부재(10)가, 상기 프리캐스 트 콘크리트 부재(1) 내에 내장되도록 배치되는 내부

[2015 년랜섬웨어침해신고현황 ] [2016 년랜섬웨어침해신고현황 ] 년글로벌랜섬웨어피해규모전세계적으로랜섬웨어피해와해커에게지급된비트코인이얼마나될까? IT전문글로벌미디어인 'IT World' 에따르면, 2016년도랜섬웨어에의한데이터암호화에따른피해액은집계되지

슬라이드 1

Microsoft PowerPoint - 권장 사양

이발명을지원한국가연구개발사업 과제고유번호 NRF-2012R1A1A4A 부처명 교육과학기술부 연구관리전문기관 한국연구재단 연구사업명 지역대학우수과학자지원사업 연구과제명 저주파신호와바이스태틱레이다를동시에이용한스텔스형표적의인식에관한연구 기여율 1/1 주관기관

ISP and CodeVisionAVR C Compiler.hwp

Cloud Friendly System Architecture

(52) CPC 특허분류 G06F 11/1016 ( ) G06F 12/0246 ( ) G06F 12/0253 ( ) 이발명을지원한국가연구개발사업 과제고유번호 부처명 연구관리전문기관 연구사업명 연구과제명 교육부 기여율

청구항 1. 소정데이터를저장하는비휘발성메모리 ; 상기비휘발성메모리를구비한휴대용장치의전원상태를체크하는전원상태체크부 ; 및 상기체크된전원상태를기초로상기비휘발성메모리에할당된물리블록을회수하는블록회수부를포함하는전원상태에따라비휘발성메모리의블록회수를수행하는장치. 청구항 2. 제 1

Microsoft PowerPoint - [#4-2] File System Forensic Analysis.pptx

(52) CPC 특허분류 H04W 88/08 ( ) 이발명을지원한국가연구개발사업 과제고유번호 B 부처명 미래창조과학부및정보통신기술진흥센터 연구관리전문기관 정보통신기술진흥센터 연구사업명 정보통신 방송연구개발사업-방송통신산업기술개발사업 연구

슬라이드 1

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

<4D F736F F F696E74202D20B5A5C0CCC5CDBAA3C0CCBDBA5F3130C1D6C2F75F32C2F7BDC32E >

특허청구의범위청구항 1 이동단말장치와연결되는단말기인터페이스부 ; 상기단말기인터페이스부가상기이동단말장치로부터인터넷트래픽을수신하는경우, 상기수신된인터넷트래픽에대한악성코드검사를수행하고, 상기악성코드검사결과상기인터넷트래픽에악성코드가존재하는경우상기악성코드를치료하는악성코드처리부

EQST Insight_201910

이발명을지원한국가연구개발사업 과제고유번호 07기술혁신A01 부처명 국토해양부 연구사업명 건설기술혁신사업 연구과제명 SMART 도로-자동차연계기술개발 (SMART 도로-자동차통합정보기반관리시스템구축 ) 주관기관 메타빌드주식회사 연구기간 ~

실용신안등록청구의범위청구항 1 안드로이드기반스마트폰앱 (Application Program, 애플리케이션프로그램 ) 을통하여제어장치를제어하는실습장치에있어서, 통신이설정된컴퓨터 (400) 로부터전송되는안드로이드기반스마트폰앱을저장하는메모리 (130) 와, 상기스마트폰앱에의

(52) CPC 특허분류 B01D 53/62 ( ) Y02C 10/10 ( ) (72) 발명자 이정현 대전광역시서구대덕대로 246 넥서스밸리 B 동 1417 호 박영철 대전광역시유성구반석동로 33 반석마을 5 단지아파트 505 동 201 호 이발명

<4D F736F F F696E74202D20BBB7BBB7C7D15F FBEDFB0A3B1B3C0B05FC1A638C0CFC2F72E BC8A3C8AF20B8F0B5E55D>

청구항 1. 주저장매체 ; 상기주저장매체의캐쉬로사용되며, 데이터의고정여부에따라고정영역및비고정영역을포함하는비휘발성메모리 ; 및 상기비휘발성메모리에할당되는블록을관리하는블록관리부를포함하는비휘발성메모리가캐쉬로사용되는저장장치. 청구항 2. 제 1 항에있어서, 상기블록관리부는,

이 발명을 지원한 국가연구개발사업 과제고유번호 부처명 교육과학기술부 연구사업명 기초사업연구-일반연구자지원사업-기본연구지원사업(유형II) 연구과제명 시공간 부호 협력 통신을 위한 동기 알고리즘 연구 기 여 율 1/1 주관기관 서울시립대학교 산학협력단

이발명을지원한국가연구개발사업 과제고유번호 NRF-2012M3C4A 부처명 미래창조과학부 연구관리전문기관 한국연구재단 연구사업명 차세대정보컴퓨팅기술개발사업 연구과제명 소셜및정보네트워크빅데이터마이닝소프트웨어원천기술개발 기여율 1/1 주관기관 서울대학교 연구기간

Microsoft PowerPoint - chap01-C언어개요.pptx

항은 발명의 상세한 설명에는 그 발명이 속하는 기술분야에서 통상의 지식을 가진 자 (이하 통상의 기술자 라고 한다)가 용이하게 실시할 수 있을 정도로 그 발명의 목적 구성 및 효과를 기재하여야 한다고 규정하고 있다. 이는 특허출원된 발명의 내용을 제 3자가 명세서만으로

U.Tu System Application DW Service AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형

*2008년1월호진짜

1_12-53(김동희)_.hwp

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

게시판 스팸 실시간 차단 시스템

Ä¡¿ì³»ÁöÃÖÁ¾

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

이발명을지원한국가연구개발사업 과제고유번호 부처명 미래창조과학부 연구관리전문기관 정보통신산업진흥원 연구사업명 대학ICT연구센터지원육성사업 연구과제명 산업기밀정보유출방지를위한융합보안 SW연구및전문인력양성 기여율 1/1 주관기관 중앙대학교산학협력단 연구기

DBMS & SQL Server Installation Database Laboratory

Secure Programming Lecture1 : Introduction

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

도 1 명세서 도면의 간단한 설명 도 1은 본 발명의 일실시예에 따른 비접촉 USB 리더기의 블럭도를 나타낸다. 도 2는 도 1의 비접촉 USB 리더기를 이용한 인프라 구축 시스템의 개략도를 나타낸다. 도 3은 도 1의 비접촉 USB 리더기를 이용한 이용 방법에 대한

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

ASEC REPORT VOL.76 April, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작성

특허청구의범위청구항 1 리더장치와출입관리서버를포함하는출입통제시스템이출입을통제할수있는출입통제방법에있어서, (a) 상기리더장치가이동단말에전기적으로결합된스마트카드로부터수신한카드보안키와상기출입관리서버로부터수신한인증보안키를이용하여상기스마트카드를 1차인증하는단계 ; (b) 상기

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

특허청구의 범위 청구항 1 소스 컴퓨팅 디바이스로부터 복수의 컴퓨팅 디바이스들 중 적어도 하나의 컴퓨팅 디바이스로의 무선 액세스 포 인트를 통한 데이터 송신들에 대한 (i) 현재 데이터 레이트 및 (ii) 최고 데이터 레이트를 구축하는 단계; 상기 복수의 컴퓨팅 디바이

ASEC REPORT VOL.80 August, 2016 ASEC(AhnLab Security Emergency response Center) 은악성코드및보안위협으로부터고객을안전하게지키기위하여보안전문가로구성된 글로벌보안조직입니다. 이리포트는주식회사안랩의 ASEC 에서작

특허청구의 범위 청구항 1 알람을 출력하기 위한 출력 인터페이스; 사용자의 안구전도값을 측정하기 위한 안구전도 측정부; 및 상기 안구전도 측정부가 측정한 안구전도값을 이용하여 사용자의 졸음 상태를 감지하고, 그에 따라 상기 출력 인터페이스로 알람을 출력하는 졸음상태 판

특허청구의 범위 청구항 1 고유한 USB-ID를 가지며, 강제 포맷이나 프로그램 삭제가 불가능한 CD영역과 데이터의 읽기, 쓰기가 가능한 일 반영역으로 분할되어 있고 상기 CD영역에 임산부 도우미 프로그램이 임산부 PC(200)에 연결되면 자동 설치 및 실행되게 탑재된

B _00_Ko_p1-p51.indd

USB 케이블만을이용한리눅스 NFS 개발환경 (VirtualBox) 최초작성 : 2010 년 10 월 21 일 작성자 : 김정현 수정내용 최초작성 by 김정현 스크립트추가, 설명보충 by 유형목 1. VritualBox

PowerPoint Presentation

(72) 발명자 배경렬 대구광역시동구아양로 37 길 ( 신암동 ) 손현식 대구광역시동구송라로 109( 신암동 ) 이발명을지원한국가연구개발사업 과제고유번호 부처명 지식경제부 연구사업명 정보통신기술인력양성 연구과제명 스마트자동차를위한 AU

특허청구의범위청구항 1 통신망을통해적어도하나의의료기관단말기와접속되는의료정보통합관리시스템으로서, HL7 메시지구조를정의하고있으며, 상기정의된 HL7 메시지구조를처리하기위한 HL7 엔진을구비하고, 상기의료기관단말기를모니터링하여, 신규데이터의입력이벤트가발생한경우상기의료기관단

특허청구의범위청구항 1 선박의안티재머 (Anti-Jammer) 위성항법시스템으로서, GPS 신호및 DGPS 신호를자함의 INS(Intertial Navigation System) 신호와비교하여기준오차범위초과시수신되는 GPS 신호와 DGPS 신호를재밍 (Jamming)

Microsoft PowerPoint - 6.pptx

태에서미리정한시간에따라파지력을변화시킬때, 상기미리정한시간에따라검출되는제 2 생체신호에대한특징벡터인제 2 시너지벡터와, 상기제 2 생체신호를상기제 2 생체신호에대응되는파지력정보로변환시킬수있는변환행렬을상기분류자세별로저장하여포함하고있는자세정보저장부와, 상기제 1 시너지벡터와

ad-hoc 무선망, 친화도, 스케줄링, 타스크, 우선순위 명세서 도면의간단한설명 도 1 은본발명의실시예에따른무선망의구성을보이고있는도면. 도 2 는본발명의일실시예에따른무선망에서의스케줄링을위한이동단말의제어흐름을보이고있는도면. 도 3 은본발명의일실시예에따른무선망에서의스케줄

ICT EXPERT INTERVIEW ITS/ ICT? 차량과 인프라 간 통신(V2I) Nomadic 단말 통신(V2P) 차량 간 통신(V2V) IVN IVN [ 1] ITS/ ICT TTA Journal Vol.160 l 9

1. 랜섬웨어최신동향 랜섬웨어최신동향 국내외랜섬웨어피해사례 랜섬웨어개요 랜섬웨어공격과정 랜섬웨어주요감염경로 랜섬웨어의위협과피해 랜섬웨어의종류 랜섬웨어방어

PowerPoint 프레젠테이션

제목을 입력하세요

용성을높이고유지보수를용이하게하는모바일금융서비스제공시스템및방법을제공하는데있다. 본발명의다른목적은, 스크립트형태의명령어를해석하고이에따라동작을수행할무선단말기용스크립트엔진을제공하여, 모바일서비스시무선송수신데이터의양을저감하고, 모바일솔류션의업데이트및변경을매우용이하게수행할수있는모

특허청구의 범위 청구항 1 제1 내지 제6 암이 각각의 관절부를 가지며 형성되며, 상기 제1 내지 제6 암 각각은 제1 내지 제6 링크에 의해 링크되고, 상기 제1 내지 제6 암 내부에는 각각의 암을 구동하는 구동모듈이 각각 내장되며, 상기 구동모듈 각각의 선단에는 1

금오공대 컴퓨터공학전공 강의자료

특허청구의범위청구항 1 네트워크를통해외부음악메타데이터제공자로부터음악메타데이터가수신되면상기음악메타데이터를임시음악메타데이터에저장하는단계와, 상기임시저장되는음악메타데이터를파싱처리하여메타데이터요소를분리하는단계와, 상기파싱처리된음악메타데이터중주요필드정보를전처리정제하는단계와, 상


공개특허 (51) Int. Cl. G06F 12/08 ( ) (19) 대한민국특허청 (KR) (12) 공개특허공보 (A) (11) 공개번호 (43) 공개일자 년 07 월 02 일 (21) 출원

1. 안드로이드개발환경설정 안드로이드개발을위해선툴체인을비롯한다양한소프트웨어패키지가필요합니다 툴체인 (Cross-Compiler) 설치 안드로이드 2.2 프로요부터는소스에기본툴체인이 prebuilt 라는이름으로포함되어있지만, 리눅스 나부트로더 (U-boot)

<443A5C4C C4B48555C B3E25C32C7D0B1E25CBCB3B0E8C7C1B7CEC1A7C6AE425CBED0C3E0C7C1B7CEB1D7B7A55C D616E2E637070>

PowerPoint Presentation

PowerPoint 프레젠테이션

InsertColumnNonNullableError(#colName) 에해당하는메시지출력 존재하지않는컬럼에값을삽입하려고할경우, InsertColumnExistenceError(#colName) 에해당하는메시지출력 실행결과가 primary key 제약에위배된다면, Ins

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

Transcription:

http://www.patent.go.kr/jsp/kiponet/ir/receipt/online/applnooffcact.so 2018-05-29 2018.05.29 ( ) ( ) 10-2018-0061144 ( 1-1-2018-0526653-11) (2-2004-017068-0) (9-2011-100001-9) << >> 1.,. 2.,. : 0131( ) + 3.,, [ ( ), ]. (patent.go.kr) > > 5 4. ( ),. 5. PCT ( ) ( ).. : http://www.kipo.go.kr- -PCT/ : 12, 6,, 16 [ (PTO/SB/39). 6.,. 10-2010-0000000, 40-2010-0000000 7. ( ), 62 133. 8..

http://www.patent.go.kr/jsp/kiponet/ir/receipt/online/applnooffcact.so 2018-05-29

http://www.patent.go.kr/jsp/kiponet/ir/receipt/online/applnooffcact.so 2018-05-29

발명의설명 발명의명칭 파일시스템에서의랜섬웨어탐지방법및그장치 {METHOD AND APPARATUS FOR DETECTION RANSOMWARE IN FILE SYSTEMS} 기술분야 본발명은컴퓨터사용환경에서랜섬웨어에대한탐지를수행하여파일시스 템내의파일들이암호화되는위협으로부터파일들을보호하기위한파일시스템에 서의랜섬웨어탐지방법및그장치에관한것이다. 발명의배경이되는기술 랜섬웨어는사용자의컴퓨터에접근하여사용자가보유한사진, 문서, 음악 및영상그리고컴퓨터데이터베이스등을암호화하여비트코인을요구하는악성 코드로써 2016 년기준 13 만명의피해자와피해액이 3000 억원이상인것으로추정 된다. 초기의랜섬웨어는윈도우운영체제를중심으로배포되었으나오늘날랜섬웨 어는리눅스웹서버및안드로이드모바일기기의데이터까지감염할수있다. 특 히최근등장한랜섬웨어는개인의민감한정보를암호화시킨후주소록상의지인 에게배포하겠다는협박을통해비용을지불하도록유도하고있다. 이러한랜섬웨 어들은비트코인이가진추적불가한은닉성과익명성, 환전의신속성, 변종개발 의용이성에유혹당한공격자들에의해지금현재도계속진화중에있다. 랜섬웨어는기본적으로데이터를암호화하는 Encryption Ransomware, 사용 25-1

자화면을장악하는 Lock Screen Ransomware, 부트영역을훼손하는 Master Boot Record (MBR) Ransomware, 안드로이드기기를대상으로하는 Mobile device ransomware (Android) 로크게나눌수있으며, 2017 년국내에보고된랜섬웨어는 275 종에이른다. 이러한랜섬웨어는 2013 년 Locky, Cryptolocker 랜섬웨어의등장을시작으로 최근까지도전세계컴퓨터사용자들을위협하고있다. 따라서, 랜섬웨어를탐지하 고예방할수있는기술은컴퓨터보안에있어없어서는안되는중요한요소중의 하나로자리매김하고있다. 랜섬웨어탐지기술과관련된연구는전세계적으로활발하게이루어지고있 으며, 크게랜섬웨어의정적분석탐지기법과동적분석탐지기법으로분류할수 있다. 랜섬웨어의정적분석탐지기법은이미랜섬웨어로분류된악성소프트웨어 의소스코드및시그니처를이용하여탐지를수행하는방법으로서, 향후이와유 사한랜섬웨어가동작하는경우쉽고빠르게찾아낼수있는장점이있다. 그러나, 랜섬웨어의정적분석탐지기법은이미알려진랜섬웨어의경우에탐지가가능하 며, 신종 / 변종랜섬웨어의경우에탐지가힘들다는한계점이있다. 랜섬웨어의동적분석탐지기법은랜섬웨어의행위패턴분석에기반하여 랜섬웨어가동작할때나타나는특징들을분석하고, 이를이용하여탐지하는방법 으로서, 랜섬웨어의공통된행위들을타겟으로하기때문에신종 / 변종랜섬웨어의 출현시에탐지가가능하다는장점이있다. 그러나, 랜섬웨어의동적분석탐지기 25-2

법은패턴모니터링에소비되는리소스가정적분석탐지기법에비해커서컴퓨팅 파워가작은단말에서는해당기법을적용하기힘들고, 분석된행위패턴을우회할 수있는랜섬웨어가출현할경우에미탐지발생가능성이있다는문제점이있다. 이와같이, 랜섬웨어로감염으로인한피해를예방하기위해다양한랜섬웨 어탐지솔루션이등장하고있다. 그러나, 종래의랜섬웨어탐지기법들은기법의 특성에맞는상황에서는유용하게될수있지만, 일부상황에서는신종랜섬웨어 혹은변종랜섬웨어를탐지하는데한계점이있다. 이는랜섬웨어공격자들에게악 용되어새로운공격기법을제시하게하고, 새로운위협이가해지게되므로이를 방어하기위한새로운방어기법이필요하다. 선행기술문헌 특허문헌 ( 특허문헌 1) 대한민국등록특허제 10-1817636 호 " 랜섬웨어검출장치및방 법 " ( 특허문헌 2) 대한민국등록특허제 10-1685014 호 " 컴퓨터시스템의랜섬웨어 행위에대한선제적인탐지차단방법및그장치 " 발명의내용 해결하고자하는과제 본발명은전술한문제점을해결하기위하여, 본발명의일실시예에따라 컴퓨팅환경및컴퓨터관련기기사용환경에서파일시스템내파일변경기록에 대한분석을통해랜섬웨어행위를탐지하는데에목적이있다. 25-3

다만, 본실시예가이루고자하는기술적과제는상기된바와같은기술적 과제로한정되지않으며, 또다른기술적과제들이존재할수있다. 과제의해결수단 상기한기술적과제를달성하기위한기술적수단으로서본발명의일실시 예에따른파일시스템에서의랜섬웨어탐지방법은, 파일시스템내파일의이벤트 발생에따른로그파일이기록되는기록모듈을이용하여파일의랜섬웨어를탐지하 는랜섬웨어탐지장치에의해수행되는파일시스템에서의랜섬웨어탐지방법에있 어서, 가상환경에서샘플랜섬웨어를실행하고, 상기샘플랜섬웨어에의한파일 시스템행위를기설정된행위모델링코드에따라로그파일로상기기록모듈에 저장하는샘플랜섬웨어실행단계 ; 상기기록모듈에서로그파일을파싱하여각 파일에서발생된행위들에대해파일변경기록분석을수행하여연속된행위모델 링코드로이루어진코드열로변환하는기록분석단계 ; 기설정된랜섬웨어행위 규칙에기초하여상기변환된코드열을분석하여정상프로그램과분류되는랜섬웨 어행위패턴을수집하는패턴분류단계 ; 및상기랜섬웨어행위패턴을이용하여 실제환경에서랜섬웨어를탐지하는탐지단계를포함하는것이다. 또한, 본발명의다른일실시예에따른파일시스템에서의랜섬웨어탐지장 치는, 파일시스템내파일의이벤트발생에따른로그파일이기록되는기록모듈을 이용하여파일의랜섬웨어를탐지하는파일시스템에서의랜섬웨어탐지장치에있 어서, 파일시스템에서의랜섬웨어탐지방법을수행하기위한프로그램이기록된 메모리 ; 및상기프로그램을실행하기위한프로세서를포함하며, 상기프로세서 25-4

는, 상기프로그램의실행에의해, 가상환경에서샘플랜섬웨어를실행하여파일시 스템행위를기설정된행위모델링코드에따라로그파일로상기기록모듈에저 장하고, 상기기록모듈에서로그파일을파싱하여각파일에서발생된행위들에 대해파일변경기록분석을수행하여연속된행위모델링코드로이루어진코드열 로변환한후기설정된랜섬웨어행위규칙에기초하여상기변환된코드열을분 석하여정상프로그램과분류되는랜섬웨어행위패턴을수집하며, 상기수집된랜 섬웨어행위패턴을이용하여실제환경에서랜섬웨어를탐지하는것이다. 발명의효과 전술한본발명의과제해결수단에의하면, 기존의랜섬웨어의행위패턴 분석에기반의랜섬웨어탐지방법에비해패턴모니터링에소비되는리소스사용 이적고, 랜섬웨어가우회할수없는행위들에대한패턴화를진행하여랜섬웨어 탐지를수행함으로써미탐지발생가능성을최소화할수있으며, 신종 / 변종랜섬웨 어에대한탐지도가능하다는효과가있다. 도면의간단한설명 도 1 은본발명의일실시예에따른파일시스템에서의랜섬웨어탐지장치 의구성을나타낸도면이다. 도 2 는도 1 의구성요소인프로세서의랜섬웨어탐지방법에대한수행과정 을설명하는흐름도이다. 도 3 은본발명의일실시예에따른파일시스템에서의랜섬웨어탐지방법을 설명하는순서도이다. 25-5

도 4 는본발명의일실시예에따른파일시스템에서의랜섬웨어탐지방법 의탐지단계를설명하기위한도면이다. 도 5 는일반적인랜섬웨어의파일암호화를위한행위패턴을설명하는예시 도이다. 도 6 은본발명의일실시예에따른랜섬웨어행위규칙을통해추출된행위 패턴리스트를설명하는도면이다. 도 7 은본발명의일실시예에따른랜섬웨어행위규칙을통해행위패턴이 형성되는과정을유한상태기계의형태로설명하는도면이다. 발명을실시하기위한구체적인내용 아래에서는첨부한도면을참조하여본발명이속하는기술분야에서통상의 지식을가진자가용이하게실시할수있도록본발명의실시예를상세히설명한 다. 그러나본발명은여러가지상이한형태로구현될수있으며여기에서설명하 는실시예에한정되지않는다. 그리고도면에서본발명을명확하게설명하기위해 서설명과관계없는부분은생략하였으며, 명세서전체를통하여유사한부분에대 해서는유사한도면부호를붙였다. 명세서전체에서, 어떤부분이다른부분과 " 연결 " 되어있다고할때, 이는 " 직접적으로연결 " 되어있는경우뿐아니라, 그중간에다른소자를사이에두고 " 전기적으로연결 " 되어있는경우도포함한다. 또한어떤부분이어떤구성요소를 " 포함 " 한다고할때, 이는특별히반대되는기재가없는한다른구성요소를제외하 는것이아니라다른구성요소를더포함할수있는것을의미하며, 하나또는그 25-6

이상의다른특징이나숫자, 단계, 동작, 구성요소, 부분품또는이들을조합한것 들의존재또는부가가능성을미리배제하지않는것으로이해되어야한다. 이하의실시예는본발명의이해를돕기위한상세한설명이며, 본발명의 권리범위를제한하는것이아니다. 따라서본발명과동일한기능을수행하는동 일범위의발명역시본발명의권리범위에속할것이다. 도 1 은본발명의일실시예에따른파일시스템에서의랜섬웨어탐지장치 의구성을나타낸도면이다. 도 1 을참조하면, 파일시스템에서의랜섬웨어탐지장치 (100) 는통신모 듈 (110), 메모리 (120), 프로세서 (130) 및기록모듈 (140) 을포함한다. 통신모듈 (110) 은통신망과연동하여사용자단말에통신인터페이스를제공 하는데, 사용자단말로부터전송되는데이터요청을수신하고, 이에대한응답으로 서사용자단말에데이터를송신하는역할을수행할수있다. 여기서, 통신모듈 (110) 은다른네트워크장치와유무선연결을통해제어 신호또는데이터신호와같은신호를송수신하기위해필요한하드웨어및소프트 웨어를포함하는장치일수있다. 메모리 (120) 는파일시스템에서의랜섬웨어탐지방법을수행하기위한프로 그램이기록된다. 또한, 프로세서 (130) 가처리하는데이터를일시적또는영구적으 로저장하는기능을수행한다. 여기서, 메모리 (120) 는휘발성저장매체 (volatile storage media) 또는비휘발성저장매체 (non-volatile storage media) 를포함할 수있으나, 본발명의범위가이에한정되는것은아니다. 25-7

프로세서 (130) 는일종의파일시스템에서의랜섬웨어탐지방법을제공하는 전체과정을제어한다. 프로세서 (130) 가수행하는각단계에대해서는도도 2 및 도 3 을참조하여후술하기로한다. 여기서, 프로세서 (130) 는프로세서 (processor) 와같이데이터를처리할수 있는모든종류의장치를포함할수있다. 여기서, ' 프로세서 (processor)' 는, 예를 들어프로그램내에포함된코드또는명령으로표현된기능을수행하기위해물리 적으로구조화된회로를갖는, 하드웨어에내장된데이터처리장치를의미할수 있다. 이와같이하드웨어에내장된데이터처리장치의일예로써, 마이크로프로 세서 (microprocessor), 중앙처리장치 (central processing unit: CPU), 프로세서코 어 (processor core), 멀티프로세서 (multiprocessor), ASIC(application-specific integrated circuit), FPGA(field programmable gate array) 등의처리장치를망 라할수있으나, 본발명의범위가이에한정되는것은아니다. 기록모듈 (140) 은적어도하나이상의데이터베이스로구성되고, 샘플랜섬 웨어세트, 파일시스템의행위에대한로그파일데이터세트, 수집된행위패턴 데이터등랜섬웨어탐지방법을수행하면서누적되는데이터가저장된다. 도 2 는도 1 의구성요소인프로세서의랜섬웨어탐지방법에대한수행과정 을설명하는흐름도이고, 도 3 은본발명의일실시예에따른파일시스템에서의랜 섬웨어탐지방법을설명하는순서도이다. 도 2 및도 3 을참고하면, 파일시스템에서의랜섬웨어탐지방법은프로세 서 (130) 에서파일시스템내파일의이벤트발생에따른로그파일이기록되는기록 25-8

모듈 (140) 과연계하여파일의랜섬웨어를탐지한다. 먼저, 프로세서 (130) 는랜섬웨어샘플세트가저장된데이터베이스에서샘플 랜섬웨어를불러오고, 가상환경구동모듈 (131) 을통해가상환경에서샘플랜섬웨 어가실행되도록함으로써샘플랜섬웨어에의한파일시스템의행위를기설정된 행위모델링코드에따라이벤트로그파일로로그파일데이터세트가저장된데이 터베이스에저장한다 (S310). 이때, 행위모델링코드는파일생성 (Create, C), 파일삭제 (Delete, D), 파 일명변경을포함한파일이동 (Move, M) 및파일갱신 (Update, U) 으로분류및정 의될수있다. 프로세서 (130) 의파싱모듈 (132) 은로그파일데이터세트가저장된데이터베 이스에서파일시스템의로그파일을파싱하고, 각파일에서발생된행위들에대해 파일변경기록분석을수행하여연속된행위모델링코드로이루어진코드열로변 환한다 (S320). 즉, 프로세서 (130) 는랜섬웨어가파일을암호화할때발생되는행위 들을모델링하고, 해당행위들이파일시스템의데이터베이스상에얼마나많이기 록되는지, 어떠한행위패턴들이자주나타나는지를분석한다. 행위패턴분류모듈 (133) 은상기변환된코드열을분석하여복수의행위로 이루어진행위패턴을분류한후기설정된랜섬웨어행위규칙에기초하여정상 프로그램과분류되는랜섬웨어행위패턴을패턴데이터수집을위한데이터베이스 에저장한다 (S330). 실제로, 파일시스템의기록모듈 (140) 에는가상환경구동모듈 (131) 을통해 25-9

파일시스템행위들이, 예를들면 CCMUDDCMUCUDCUUUMU 와같이연속된코드열, 즉문자열로변환될수있다. 따라서, 행위패턴분류모듈 (133) 은코드열에서랜섬웨어행위규칙에기초 하여각파일에대해 4 개이상의행위로이루어진행위패턴그룹을추출하고, 행 위패턴그룹에서복수의행위로이루어진행위패턴을분류한후행위별빈도수, 행위패턴별빈도수를체크한다. 또한, 행위패턴분류모듈 (133) 은정상프로그램 에서나타나는행위별빈도수와기설정된횟수이상나타나는행위패턴을분류할 수있다. 행위패턴분류모듈 (133) 은행위패턴그룹에서기설정된횟수이상나타나 는행위별빈도수또는행위패턴별빈도수를정상프로그램에서나타나는행위별 빈도수또는행위패턴별빈도수와비교하고, 두빈도수의차이값에따라행위또 는행위패턴별로가중치를부여하여랜섬웨어행위패턴을산출한다. 이때, 랜섬 웨어실행시발생된행위패턴별빈도수가정상프로그램에서나타나는행위패턴 별빈도수와차이가클수록가중치를높게설정한다. 예를들어, 행위패턴분류모듈 (133) 은랜섬웨어실행시의행위패턴빈도 수와정상프로그램실행시의행위패턴빈도수를비교했을때랜섬웨어실행시 특정한행위패턴의빈도수가유난히높게나타나는경우, 해당행위패턴의가중 치를높게부여한다. 그러나, 랜섬웨어실행시특정한행위패턴의빈도수가정상 프로그램에서의행위패턴의빈도수가유사하게나타날경우, 해당행위패턴은가 중치를낮게부여한다. 25-10

따라서, 랜섬웨어실행시행위패턴의빈도수와정상프로그램실행시행위 패턴의빈도수간에차이가크다는것은해당행위패턴이랜섬웨어에서특징적으 로많이발견되었다는것을의미이기때문에랜섬웨어행위패턴으로수집한다. 탐지모듈 (134) 은수집된랜섬웨어행위패턴을이용하여실제환경에서랜섬 웨어탐지를수행한다 (S340). 도 4 는본발명의일실시예에따른파일시스템에서의랜섬웨어탐지방법 의탐지단계를설명하기위한도면으로서, 4 개의파일 (file1, file2, file3, file4) 이 file 1, 3, 2, 4, 3, 4, 1, 2, 2, 2, 3, 4, 3, 2, 3 의순서대로 CCDMDUDCMUMMDMC 와같은행위패턴을발생하였다고가정할경우, 각파일들에서발 생한행위들을순서대로정리한것이다. 탐지모듈 (134) 은파일시스템행위가기설정된발생개수가될때마다각 파일별로행위패턴그룹을분석하여랜섬웨어행위패턴과일치하는행위패턴이 존재하는지를판단한다. 만일, 랜섬웨어행위패턴과일치하는행위패턴이존재하는경우, 탐지모 듈 (134) 은행위패턴분류단계에서부여된해당행위패턴에부여된가중치를기 설정된기준값에합산하여탐지수치를증가시키고, 탐지수치가기설정된임계수치 이상이되면해당행위패턴을랜섬웨어행위패턴으로판단하여랜섬웨어탐지를 수행한다. 도 5 는일반적인랜섬웨어의파일암호화를위한행위패턴을설명하는예시 도이고, 도 6 은본발명의일실시예에따른랜섬웨어행위규칙을통해추출된행 25-11

위패턴리스트를설명하는도면이고, 도 7 은본발명의일실시예에따른랜섬웨 어행위규칙을통해행위패턴이형성되는과정을유한상태기계의형태로설명 하는도면이다. 도 5 의 (a) 에도시된바와같이, 일반적으로랜섬웨어는원본파일을읽어와 새롭게암호화된파일을생성하고, 원본파일을삭제하는행위를하거나, 도 5 의 (b) 에도시된바와같이, 파일이동이 3 회나타나므로 MMM 의행위패턴으로표현할 수있다. 이러한랜섬웨어행위들을정황화하고정상프로그램들과분류하기위해랜 섬웨어행위규칙을정의한다. 랜섬웨어행위규칙은모든파일의변경행위가단 일파일에대한행위로정의되는제 1 규칙, 파일생성 (C) 과파일삭제 (D) 의행위는 하나의쌍으로존재하는행위로정의되는제 2 규칙, 선두부에파일생성 (C) 이존재 하지않으면파일이동 (M) 및파일갱신 (U) 은파일삭제 (D) 에후속되는행위로출 현되지않는다고정의되는제 3 규칙, 파일갱신 (U) 이행위패턴의선두부에존재하 는경우에무의미한것으로정의되는제 4 규칙및 4 개이상의행위패턴그룹에 대해 3 개의행위로이루어진행위패턴의반복으로나타내도록정의되는제 5 규칙 으로이루어진다. 랜섬웨어행위규칙중제 1 규칙, 제 2 규칙및제 3 규칙을적용하면, 도 6 에 도시된바와같은행위패턴리스트가추출되고, 이렇게추출된행위패턴리스트 에제 4 규칙및제 5 규칙을적용하면최종적으로 CDM, CDU, CMD, CUD, DCM, DCU, MMM 및 MUM 의 8 개의행위패턴을랜섬웨어행위패턴으로분류할수있다. 25-12

도 7 에도시된바와같이, 랜섬웨어행위규칙중제 4 규칙및제 5 규칙에 대한내용을확인할수있고, 이러한랜섬웨어행위패턴이형성되는과정을무한 상태머신의형태로표현하면, CDM, CDU, CMD, CUD, DCM, DCU, MMM 및 MUM 의 8 개의 행위패턴들이모두출현되는것을알수있다. 이와같이, 본발명의일실시예에따른파일시스템에서의랜섬웨어탐지 방법은기기개발시장및랜섬웨어탐지관련소프트웨어개발시장등에서기업 등보안을필요로하는컴퓨팅환경에서사용할수있는랜섬웨어탐지관련백신 및보안제품에적용될수있다. 이상에서설명한본발명의실시예에따른파일시스템에서의랜섬웨어탐지 방법은, 컴퓨터에의해실행되는프로그램모듈과같은컴퓨터에의해실행가능한 명령어를포함하는기록매체의형태로도구현될수있다. 이러한기록매체는컴 퓨터판독가능매체를포함하며, 컴퓨터판독가능매체는컴퓨터에의해액세스 될수있는임의의가용매체일수있고, 휘발성및비휘발성매체, 분리형및비 분리형매체를모두포함한다. 또한, 컴퓨터판독가능매체는컴퓨터저장매체를 포함하며, 컴퓨터저장매체는컴퓨터판독가능명령어, 데이터구조, 프로그램모 듈또는기타데이터와같은정보의저장을위한임의의방법또는기술로구현된 휘발성및비휘발성, 분리형및비분리형매체를모두포함한다. 전술한본발명의설명은예시를위한것이며, 본발명이속하는기술분야의 통상의지식을가진자는본발명의기술적사상이나필수적인특징을변경하지않 고서다른구체적인형태로쉽게변형이가능하다는것을이해할수있을것이다. 25-13

그러므로이상에서기술한실시예들은모든면에서예시적인것이며한정적이아닌 것으로이해해야만한다. 예를들어, 단일형으로설명되어있는각구성요소는분 산되어실시될수도있으며, 마찬가지로분산된것으로설명되어있는구성요소들 도결합된형태로실시될수있다. 본발명의범위는상기상세한설명보다는후술하는특허청구범위에의하여 나타내어지며, 특허청구범위의의미및범위그리고그균등개념으로부터도출되 는모든변경또는변형된형태가본발명의범위에포함되는것으로해석되어야 한다. 부호의설명 100: 파일시스템에서의랜섬웨어탐지장치 110: 통신모듈 120: 메모리 130: 프로세서 140: 기록모듈 131: 가상머신구동모듈 132: 파싱모듈 133: 행위패턴분류모듈 134: 탐지모듈 25-14

청구범위 청구항 1 파일시스템내파일의이벤트발생에따른로그파일이기록되는기록모듈을 이용하여파일의랜섬웨어를탐지하는랜섬웨어탐지장치에의해수행되는파일시 스템에서의랜섬웨어탐지방법에있어서, 가상환경에서샘플랜섬웨어를실행하고, 상기샘플랜섬웨어에의한파일시 스템행위를기설정된행위모델링코드에따라로그파일로상기기록모듈에저 장하는샘플랜섬웨어실행단계 ; 상기기록모듈에서로그파일을파싱하여각파일에서발생된행위들에대 해파일변경기록분석을수행하여연속된행위모델링코드로이루어진코드열로 변환하는기록분석단계 ; 기설정된랜섬웨어행위규칙에기초하여상기변환된코드열을분석하여 정상프로그램과분류되는랜섬웨어행위패턴을수집하는패턴분류단계 ; 및 상기랜섬웨어행위패턴을이용하여실제환경에서랜섬웨어를탐지하는탐 지단계를포함하는것인, 파일시스템에서의랜섬웨어탐지방법. 청구항 2 제 1 항에있어서, 상기행위모델링코드는, 파일생성 (Create, C), 파일삭제 (Delete, D), 파일명변경을포함한파일 이동 (Move, M) 및파일갱신 (Update, U) 으로분류및정의하는것인, 파일시스템 25-15

에서의랜섬웨어탐지방법. 청구항 3 제 2 항에있어서, 상기랜섬웨어행위규칙은, 모든파일의변경행위가단일파일에대한행위로정의되는제 1 규칙, 상기파일생성 (C) 과파일삭제 (D) 는하나의쌍으로존재하는행위로정의되 는제 2 규칙, 상기파일생성 (C) 이존재하지않으면상기파일이동 (M) 및파일갱신 (U) 은 파일삭제 (D) 에후속되는행위로출현되지않는다고정의되는제 3 규칙, 상기파일갱신 (U) 이행위패턴의선두부에존재하는경우에무시하도록정 의되는제 4 규칙및 기설정된개수이상의행위패턴그룹에대해복수의행위로이루어진행위 패턴의반복으로나타내도록정의되는제 5 규칙을포함하는것인, 파일시스템에서 의랜섬웨어탐지방법. 청구항 4 제 3 항에있어서, 상기패턴분류단계는, 상기랜섬웨어행위규칙을적용하여 CDM, CDU, CMD, CUD, DCM, DCU, MMM 및 MUM 의행위패턴을랜섬웨어행위패턴으로분류하는것인, 파일시스템에서의랜 섬웨어탐지방법. 25-16

청구항 5 제 1 항에있어서, 상기패턴분류단계는, 상기코드열에서상기랜섬웨어행위규칙에기초하여각파일에대한행위 패턴그룹을추출하고, 상기행위패턴그룹에서복수의행위로이루어진행위패 턴을분류한후행위별빈도수, 행위패턴별빈도수를체크하는단계 ; 정상프로그램에서나타나는행위별빈도수, 기설정된횟수이상나타나는 행위패턴을분류하는단계 ; 및 상기행위패턴그룹에서기설정된횟수이상나타나는행위별빈도수또는 행위패턴별빈도수를상기정상프로그램에서나타나는행위별빈도수또는행위 패턴별빈도수와비교하고, 두빈도수의차이값에따라행위또는행위패턴별로 가중치를부여하여랜섬웨어행위패턴을산출하는단계를포함하는것인, 파일시 스템에서의랜섬웨어탐지방법. 청구항 6 제 5 항에있어서, 상기랜섬웨어실행시행위패턴그룹에서발생된행위패턴별빈도수가정상 프로그램에서나타나는행위패턴별빈도수와차이가클수록가중치를높게설정하 는것인, 파일시스템에서의랜섬웨어탐지방법. 청구항 7 제 5 항에있어서, 25-17

상기탐지단계는, 상기파일시스템행위가기설정된발생개수가될때마다각파일별로행 위패턴그룹을분석하여상기랜섬웨어행위패턴과일치하는행위패턴이존재하 는지를판단하는단계 ; 상기랜섬웨어행위패턴과일치하는행위패턴이존재하는경우, 해당행위 패턴에부여된가중치를기설정된기준값에합산하여탐지수치를증가시키는단 계 ; 및 상기탐지수치가기설정된임계수치이상인경우, 상기행위패턴을랜섬웨 어행위패턴으로판단하여랜섬웨어탐지를수행하는단계를포함하는것인, 파일 시스템에서의랜섬웨어탐지방법. 청구항 8 파일시스템내파일의이벤트발생에따른로그파일이기록되는기록모듈을 이용하여파일의랜섬웨어를탐지하는파일시스템에서의랜섬웨어탐지장치에있 어서, 파일시스템에서의랜섬웨어탐지방법을수행하기위한프로그램이기록된 메모리 ; 및 상기프로그램을실행하기위한프로세서를포함하며, 상기프로세서는, 상기프로그램의실행에의해, 가상환경에서샘플랜섬웨어를실행하여파일시스템행위를기설정된행위 모델링코드에따라로그파일로상기기록모듈에저장하고, 상기기록모듈에서 25-18

로그파일을파싱하여각파일에서발생된행위들에대해파일변경기록분석을 수행하여연속된행위모델링코드로이루어진코드열로변환한후기설정된랜섬 웨어행위규칙에기초하여상기변환된코드열을분석하여정상프로그램과분류 되는랜섬웨어행위패턴을수집하며, 상기수집된랜섬웨어행위패턴을이용하여 실제환경에서랜섬웨어를탐지하는것인, 파일시스템에서의랜섬웨어탐지장치. 청구항 9 제 8 항에있어서, 상기프로세서는, 상기샘플랜섬웨어를실행하기위한가상환경을구현하는가상머신구동 모듈 ; 상기기록모듈에서파일시스템의로그파일을파싱하는파싱모듈 ; 파일시스템행위에대한파일변경기록분석을통해각파일에대한행위 패턴그룹을추출하고, 상기행위패턴그룹에서복수의행위로이루어진행위패 턴을분류한후상기랜섬웨어행위규칙에기초하여상기랜섬웨어행위패턴을 수집하는행위패턴분류모듈 ; 및 상기랜섬웨어행위패턴을이용하여랜섬웨어탐지를수행하는탐지모듈을 포함하는것인, 파일시스템에서의랜섬웨어탐지장치. 25-19

요약서 요약 본발명의일실시예에따른파일시스템에서의랜섬웨어탐지방법은, 파일 시스템내파일의이벤트발생에따른로그파일이기록되는기록모듈을이용하여 파일의랜섬웨어를탐지하는랜섬웨어탐지장치에의해수행되는파일시스템에서의 랜섬웨어탐지방법에있어서, 가상환경에서샘플랜섬웨어를실행하고, 상기샘플 랜섬웨어에의한파일시스템행위를기설정된행위모델링코드에따라로그파일 로상기기록모듈에저장하는샘플랜섬웨어실행단계 ; 상기기록모듈에서로그 파일을파싱하여각파일에서발생된행위들에대해파일변경기록분석을수행하 여연속된행위모델링코드로이루어진코드열로변환하는기록분석단계 ; 기설 정된랜섬웨어행위규칙에기초하여상기변환된코드열을분석하여정상프로그 램과분류되는랜섬웨어행위패턴을수집하는패턴분류단계 ; 및상기랜섬웨어 행위패턴을이용하여실제환경에서랜섬웨어를탐지하는탐지단계를포함할수 있다. 대표도 도 2 25-20

도면 도 1 25-21

도 2 25-22

도 3 25-23

도 4 도 5 25-24

도 6 도 7 25-25

2024 © docsplayer.org 개인정보보호 | 약관 | 지원