[go: up one dir, main page]

KR102331885B1 - Detecting abnormal data flow in storage writing process through current charging of capacitor - Google Patents

Detecting abnormal data flow in storage writing process through current charging of capacitor Download PDF

Info

Publication number
KR102331885B1
KR102331885B1 KR1020200020452A KR20200020452A KR102331885B1 KR 102331885 B1 KR102331885 B1 KR 102331885B1 KR 1020200020452 A KR1020200020452 A KR 1020200020452A KR 20200020452 A KR20200020452 A KR 20200020452A KR 102331885 B1 KR102331885 B1 KR 102331885B1
Authority
KR
South Korea
Prior art keywords
data
capacitor
data flow
charge amount
measurement module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020200020452A
Other languages
Korean (ko)
Other versions
KR20210105678A (en
Inventor
박기웅
정혜림
안성규
Original Assignee
세종대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 세종대학교산학협력단 filed Critical 세종대학교산학협력단
Priority to KR1020200020452A priority Critical patent/KR102331885B1/en
Publication of KR20210105678A publication Critical patent/KR20210105678A/en
Application granted granted Critical
Publication of KR102331885B1 publication Critical patent/KR102331885B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Debugging And Monitoring (AREA)

Abstract

커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 방법 및 장치가 제시된다. 본 발명에서 제안하는 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 방법은 외부장치로부터 저장장치에 데이터 입력 시, 외부장치와 저장장치 사이에 데이터 채널을 통해 전송되는 데이터의 입력 전류를 데이터 흐름 측정 모듈을 통해 측정하는 단계, 데이터 흐름 측정 모듈을 통해 측정된 입력 전류에 관한 각 데이터의 입력 미세전류가 데이터 흐름 측정 모듈 내부의 커패시터에 입력되어 커패시터의 충전량이 변동되는 단계, 해당 커패시터들의 충전량을 측정하는 단계 및 측정된 커패시터의 충전량을 이용하여 데이터 규칙성을 연산하는 단계를 포함한다.A method and apparatus for detecting an abnormal data flow in a storage device write process using a capacitor element microcurrent charge amount are presented. The method for detecting abnormal data flow in the storage device write process using the microcurrent charge amount of the capacitor element proposed in the present invention is the input current of data transmitted through the data channel between the external device and the storage device when data is input from the external device to the storage device. is measured through the data flow measurement module, the input microcurrent of each data related to the input current measured through the data flow measurement module is input to a capacitor inside the data flow measurement module to change the charge amount of the capacitor, the corresponding capacitor measuring the charge amount of the capacitors and calculating data regularity using the measured charge amount of the capacitor.

Description

커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 방법 및 이를 위한 매체{Detecting abnormal data flow in storage writing process through current charging of capacitor}Method for detecting abnormal data flow in storage device writing process using microcurrent charge amount of capacitor element and medium therefor

본 발명은 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for detecting an abnormal data flow in a storage device write process using a microcurrent charge amount of a capacitor element.

규칙성을 갖는 데이터 흐름에서 비정상적인 데이터 흐름을 탐지하기 위한 방법을 제시하는 발명으로 비정상적인 데이터 흐름의 예로 랜섬웨어를 들 수 있다. Ransomware is an example of an abnormal data flow as an invention that proposes a method for detecting an abnormal data flow in a data flow with regularity.

랜섬웨어는 컴퓨터에 잠입하여 사용자 저장장치에 저장된 문서들에 대해 암호화를 수행하여 사용자에게 금전 지불을 요구하고 그때 이를 해독해주는 악성 프로그램이다. Ransomware is a malicious program that infiltrates the computer and encrypts the documents stored in the user's storage device, demands payment from the user, and decrypts it at that time.

커패시터는 하드웨어 소자로 회로에 흐르는 전류를 보완하는 기능으로 쓰이며 회로에 전류를 많을 경우 해당 소자에 충전하거나 회로에 전류가 부족한 경우 회로에 전류를 보충하는 기능을 수행한다. Capacitor is a hardware element that is used to supplement the current flowing in the circuit. If the circuit has too much current, the capacitor is charged to the element, or if the circuit has insufficient current, the capacitor is used to supplement the circuit.

비정상 데이터 흐름이나 랜섬웨어를 탐지하고 이로 인한 불이익을 막기 위한 소프트웨어적 랜섬웨어 및 비정상 데이터 흐름 탐지 기술의 연구 및 발명도 진행되었지만, 랜섬웨어는 이를 회피하기 위해 진화되고 있다. Research and invention of software ransomware and abnormal data flow detection technology to detect abnormal data flow or ransomware and prevent disadvantages due to this have also been conducted, but ransomware is evolving to avoid them.

규칙성을 갖는 데이터 흐름에서 비정상적인 데이터 흐름을 탐지하기 위한 방법을 제시하는 발명으로 비정상적인 데이터 흐름의 예로 랜섬웨어를 들 수 있다. Ransomware is an example of an abnormal data flow as an invention that proposes a method for detecting an abnormal data flow in a data flow with regularity.

랜섬웨어는 컴퓨터에 잠입하여 사용자 저장장치에 저장된 문서들에 대해 암호화를 수행하여 사용자에게 금전 지불을 요구하고 그때 이를 해독해주는 악성 프로그램이다. Ransomware is a malicious program that infiltrates the computer and encrypts the documents stored in the user's storage device, demands payment from the user, and decrypts it at that time.

커패시터는 하드웨어 소자로 회로에 흐르는 전류를 보완하는 기능으로 쓰이며 회로에 전류를 많을 경우 해당 소자에 충전하거나 회로에 전류가 부족한 경우 회로에 전류를 보충하는 기능을 수행한다. Capacitor is a hardware element and is used to supplement the current flowing in the circuit. If the circuit has too much current, the capacitor is charged to the element, or if the circuit has insufficient current, the capacitor is used to supplement the circuit.

비정상 데이터 흐름이나 랜섬웨어를 탐지하고 이로 인한 불이익을 막기 위한 소프트웨어적 랜섬웨어 및 비정상 데이터 흐름 탐지 기술의 연구 및 발명도 진행되었지만, 랜섬웨어는 이를 회피하기 위해 진화되고 있다. Research and invention of software ransomware and abnormal data flow detection technology to detect abnormal data flow or ransomware and prevent disadvantages due to this have also been conducted, but ransomware is evolving to avoid them.

일 측면에 있어서, 본 발명에서 제안하는 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 방법은 외부장치로부터 저장장치에 데이터 입력 시, 외부장치와 저장장치 사이에 데이터 채널을 통해 전송되는 데이터의 입력 전류를 데이터흐름 측정 모듈을 통해 측정하는 단계, 데이터 흐름 측정 모듈을 통해 측정된 입력 전류에 관한 각 데이터의 입력 미세전류가 데이터 흐름 측정 모듈 내부의 커패시터에 입력되어 커패시터의 충전량이 변동되는 단계, 해당 커패시터들의 충전량을 측정하는 단계 및 측정된 커패시터의 충전량을 이용하여 데이터 규칙성을 연산하는 단계를 포함한다. In one aspect, the method for detecting abnormal data flow in the storage device write process using the microcurrent charge amount of the capacitor element proposed in the present invention transmits data between the external device and the storage device through a data channel when data is input from an external device to the storage device Measuring the input current of the data to be measured through the data flow measurement module, the input microcurrent of each data related to the input current measured through the data flow measurement module is input to the capacitor inside the data flow measurement module, and the charge amount of the capacitor is changed and measuring the charge amount of the corresponding capacitors, and calculating data regularity using the measured charge amount of the capacitor.

복수의 데이터 채널에서 발생하는 전류를 데이터 흐름 측정 모듈의 커패시터에 입력하고 각 커패시터의 충전량의 표준편차를 연산하여 각각의 데이터가 어떠한 전류 패턴을 가지고 있는지 측정한다. The current generated from a plurality of data channels is input to the capacitor of the data flow measurement module, and the standard deviation of the charge amount of each capacitor is calculated to measure what kind of current pattern each data has.

저장장치로의 규칙적인 데이터 입출력 과정에서 발생하는 미세전류를 이용하여, 데이터 입출력 과정에서 측정된 각각의 복수의 데이터 채널에 연결된 하드웨어 커패시터의 충전량의 규칙성과 비례하는 데이터의 규칙성을 측정한다. Using the microcurrent generated in the process of regular data input/output to the storage device, the regularity of data proportional to the regularity of the charge amount of the hardware capacitors connected to each of the plurality of data channels measured in the data input/output process is measured.

측정된 데이터의 규칙성을 통해 정상적인 파일, 정상적인 데이터의 입력 및 비정상 데이터의 입력 흐름을 구분한다. Through the regularity of the measured data, a normal file, normal data input, and abnormal data input flow are distinguished.

측정된 커패시터의 충전량을 이용하여 데이터 규칙성을 연산하는 단계는 커패시터의 충전량의 불규칙성이 미리 정해진 기준 보다 낮은 경우, 랜섬웨어 감염을 포함하는 악성행위 또는 비정상 데이터 흐름이 발생하지 않은 것으로 판단하고, 커패시터의 충전량의 불규칙성이 미리 정해진 기준보다 높은 경우, 암호화의 특징으로 인해 랜섬웨어를 포함하는 악성행위 또는 비정상 데이터 흐름으로 저장장치의 데이터가 변화되는 것으로 판단한다. In the step of calculating data regularity using the measured charge amount of the capacitor, when the irregularity of the charge amount of the capacitor is lower than a predetermined standard, it is determined that malicious behavior or abnormal data flow including ransomware infection has not occurred, and the capacitor If the irregularity of the charging amount is higher than a predetermined standard, it is determined that the data in the storage device is changed due to a malicious action including ransomware or an abnormal data flow due to the characteristics of encryption.

또 다른 일 측면에 있어서, 본 발명에서 제안하는 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 장치는 외부장치로부터 저장장치에 데이터 입력 시, 외부장치와 저장장치 사이에 데이터 채널을 통해 전송되는 데이터의 입력 전류를 측정하는 데이터 흐름 측정 모듈을 포함하고, 데이터 흐름 측정 모듈은 측정된 입력 전류에 관한 각 데이터의 입력 미세전류가 입력되어 충전량이 변동되는 커패시터 모듈, 해당 커패시터들의 충전량을 측정하는 커패시터 충전량 측정 모듈 및 측정된 커패시터의 충전량을 이용하여 데이터 규칙성을 연산하는 표준편차 측정 모듈을 포함한다.In another aspect, the device for detecting abnormal data flow in the storage device writing process using the microcurrent charge amount of the capacitor element proposed in the present invention establishes a data channel between the external device and the storage device when data is input from the external device to the storage device. and a data flow measurement module for measuring an input current of data transmitted through the data flow measurement module, wherein the input microcurrent of each data related to the measured input current is input to the capacitor module whose charge amount is changed, and the charge amount of the corresponding capacitors It includes a capacitor charge amount measurement module to measure and a standard deviation measurement module for calculating data regularity using the measured charge amount of the capacitor.

본 발명의 실시예들에 따르면 데이터 채널에서 발생하는 미세전류를 이용하여 커패시터를 통한 데이터 흐름의 규칙성을 판단하고 데이터 흐름이 불규칙하거나 비정상적일 경우를 탐지할 수 있어 랜섬웨어와 같은 암호화 공격에 대비할 수 있으며, 상기 저장장치에 있는 데이터를 보호할 수 있는 효과가 있다. 또한, 본 발명의 실시예에 따라 데이터 흐름 측정 모듈은 하드웨어 방식으로 구성되어 있어 소프트웨어 탐지 방법을 회피하는 악성행위를 근본적으로 차단할 수 있어 저장매체에 대한 보안이 향상되는 효과가 있다. According to the embodiments of the present invention, it is possible to determine the regularity of the data flow through the capacitor using the microcurrent generated in the data channel and detect the case where the data flow is irregular or abnormal, so that it is possible to prepare for an encryption attack such as ransomware. and has the effect of protecting the data in the storage device. In addition, according to an embodiment of the present invention, since the data flow measurement module is configured in a hardware manner, it is possible to fundamentally block malicious actions that evade the software detection method, thereby improving the security of the storage medium.

도 1은 본 발명의 일 실시예에 따른 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 방법이 적용되는 환경을 나타낸다.
도 2는 본 발명의 일 실시예에 따른 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름을 검출하기 위한 데이터 흐름 측정 모듈의 내부 구성을 나타낸다.
도 4는 본 발명의 일 실시예에 따른 정상적인 데이터 흐름이 수행될 때의 데이터 흐름 측정 모듈 내부 커패시터의 미세전류 충전량 예시를 나타낸다.
도 5는 본 발명의 일 실시예에 따른 비정상적인 데이터 흐름이 수행될 때의 데이터 흐름 측정 모듈 내부 커패시터의 미세전류 충전량 예시를 나타낸다.
도 6은 본 발명의 일 실시예에 따른 비정상적인 데이터 흐름 구분을 위한 매체의 구조를 나타낸다.
도 7은 본 발명의 일 실시예에 따른 정상적인 파일과 비정상적인 파일의 흐름을 비교하는 예시도이다. 1 illustrates an environment in which an abnormal data flow detection method is applied in a storage device write process using a microcurrent charge amount of a capacitor element according to an embodiment of the present invention.
2 is a flowchart illustrating an abnormal data flow detection method in a storage device write process using a microcurrent charge amount of a capacitor element according to an embodiment of the present invention.
3 is a diagram illustrating an internal configuration of a data flow measurement module for detecting an abnormal data flow in a storage device write process using a microcurrent charge amount of a capacitor element according to an embodiment of the present invention.
4 shows an example of the amount of microcurrent charge of the internal capacitor of the data flow measurement module when the normal data flow is performed according to an embodiment of the present invention.
5 shows an example of a microcurrent charge amount of a data flow measurement module internal capacitor when abnormal data flow is performed according to an embodiment of the present invention.
6 shows a structure of a medium for classifying abnormal data flows according to an embodiment of the present invention.
7 is an exemplary diagram comparing the flow of a normal file and an abnormal file according to an embodiment of the present invention.

이하, 본 발명의 실시 예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 방법이 적용되는 환경을 나타낸다. 1 illustrates an environment in which an abnormal data flow detection method is applied in a storage device write process using a microcurrent charge amount of a capacitor element according to an embodiment of the present invention.

본 발명에서는 저장장치에 흐르는 전류의 양으로 소자에 충전되는 전류양을 판단하여 데이터 흐름의 비정상 여부를 탐지하는 방법을 제안한다.The present invention proposes a method of detecting whether data flow is abnormal by determining the amount of current charged in the device based on the amount of current flowing through the storage device.

도 1을 참조하면, 본 발명의 실시 예에 따른 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 장치는 저장장치(120)로 데이터를 저장하기 위해 데이터 쓰기 연산을 수행하는 PC(110)와 데이터가 전송되는 데이터 채널(131), 데이터 저장장치(120), 데이터 채널(131)로부터 데이터를 측정할 부가적 채널(132), 데이터 흐름 측정모듈(140)을 포함하는 환경에서 적용된다.Referring to FIG. 1 , in the process of writing a storage device using a microcurrent charge amount of a capacitor element according to an embodiment of the present invention, the abnormal data flow detection device is a PC ( 110), the data channel 131 through which data is transmitted, the data storage device 120, the additional channel 132 for measuring data from the data channel 131, and the data flow measurement module 140. do.

본 발명은 데이터 쓰기 연산을 수행하는 PC(다시 말해, 외부장치)(110)로부터 하드웨어 저장장치의 데이터 입출력을 수행하는 데이터 채널(131)에 데이터 흐름 측정모듈(140)을 부착하여 저장장치(120)에 기록되기 위한 데이터의 흐름을 커패시터 충전량으로 구분할 수 있다. The present invention attaches the data flow measurement module 140 to the data channel 131 for performing data input/output of the hardware storage device from the PC (that is, an external device) 110 performing the data write operation to the storage device 120 . The flow of data to be written to ) can be divided by the amount of charge in the capacitor.

저장장치(120), 데이터 채널(131)과 상기 데이터 흐름 측정 모듈(140)의 연결은 저장장치(120)에 규칙적인 데이터가 입출력되는 과정에서 발생하는 미세전류가 하드웨어 커패시터에 영향을 끼칠 수 있다. When the storage device 120, the data channel 131, and the data flow measurement module 140 are connected, a microcurrent generated in the process of regularly inputting and outputting data to the storage device 120 may affect the hardware capacitor. .

본 발명의 실시예에 따르면, 데이터 입출력 과정에서 측정된 각각의 복수의 데이터 채널에 연결된 하드웨어 커패시터의 충전량의 규칙성과 비례하여 입출력되는 데이터의 규칙성을 측정할 수 있으며, 이를 통해 정상적인 파일 또는 데이터의 입력과 비정상 데이터 입력 흐름을 구분할 수 있다. According to an embodiment of the present invention, the regularity of input/output data can be measured in proportion to the regularity of the charge amount of the hardware capacitors connected to each of the plurality of data channels measured in the data input/output process, and through this, a normal file or data It is possible to distinguish between input and abnormal data input flow.

도 2는 본 발명의 일 실시예에 따른 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 방법을 설명하기 위한 흐름도이다. 2 is a flowchart illustrating an abnormal data flow detection method in a storage device write process using a microcurrent charge amount of a capacitor element according to an embodiment of the present invention.

제안하는 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 방법은 외부장치로부터 저장장치에 데이터 입력 시, 외부장치와 저장장치 사이에 데이터 채널을 통해 전송되는 데이터의 입력 전류를 데이터 흐름 측정 모듈을 통해 측정하는 단계(210), 데이터 흐름 측정 모듈을 통해 측정된 입력 전류에 관한 각 데이터의 입력 미세전류가 데이터 흐름 측정 모듈 내부의 커패시터에 입력되어 커패시터의 충전량이 변동되는 단계(220), 해당 커패시터들의 충전량을 측정하는 단계(230) 및 측정된 커패시터의 충전량을 이용하여 데이터 규칙성을 연산하는 단계(240)를 포함한다. The proposed method for detecting abnormal data flow in the storage device writing process using the microcurrent charge amount of the capacitor element is the data flow of the data input current transmitted through the data channel between the external device and the storage device when data is input from the external device to the storage device. Measuring through the measurement module (210), the input microcurrent of each data regarding the input current measured through the data flow measurement module is input to the capacitor inside the data flow measurement module, and the charge amount of the capacitor is changed (220) , measuring the amount of charge of the capacitors ( 230 ) and calculating the data regularity using the measured amount of charge of the capacitor ( 240 ).

단계(210)에서, 외부장치로부터 저장장치에 데이터 입력 시, 외부장치와 저장장치 사이에 데이터 채널을 통해 전송되는 데이터의 입력 전류를 데이터 흐름 측정 모듈을 통해 측정한다. In step 210, when data is input from the external device to the storage device, the input current of data transmitted through the data channel between the external device and the storage device is measured through the data flow measurement module.

단계(220)에서, 데이터 흐름 측정 모듈을 통해 측정된 입력 전류에 관한 각 데이터의 입력 미세전류가 데이터 흐름 측정 모듈 내부의 커패시터에 입력되어 커패시터의 충전량이 변동된다. In step 220 , the input microcurrent of each data regarding the input current measured through the data flow measurement module is input to the capacitor inside the data flow measurement module to change the amount of charge of the capacitor.

단계(230)에서, 해당 커패시터들의 충전량을 측정하고, 단계(240)에서 측정된 커패시터의 충전량을 이용하여 데이터 규칙성을 연산한다. In step 230, the charge amount of the corresponding capacitors is measured, and data regularity is calculated using the charge amount of the capacitor measured in step 240 .

본 발명의 일 실시예에 따른 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 방법은 복수의 데이터 채널에서 발생하는 전류를 데이터 흐름 측정 모듈의 커패시터에 입력하고 각 커패시터의 충전량의 표준편차를 연산하여 각각의 데이터가 어떠한 전류 패턴을 가지고 있는지 측정한다. In the method for detecting abnormal data flow in the process of writing a storage device using a microcurrent charge amount of a capacitor element according to an embodiment of the present invention, the current generated in a plurality of data channels is input to the capacitor of the data flow measurement module and the standard charge amount of each capacitor is inputted. Calculate the deviation to measure the current pattern of each data.

저장장치로의 규칙적인 데이터 입출력 과정에서 발생하는 미세전류를 이용하여, 데이터 입출력 과정에서 측정된 각각의 복수의 데이터 채널에 연결된 하드웨어 커패시터의 충전량의 규칙성과 비례하는 데이터의 규칙성을 측정한다. Using the microcurrent generated in the process of regular data input/output to the storage device, the regularity of data proportional to the regularity of the charge amount of the hardware capacitors connected to each of the plurality of data channels measured in the data input/output process is measured.

측정된 데이터의 규칙성을 통해 정상적인 파일, 정상적인 데이터의 입력 및 비정상 데이터의 입력 흐름을 구분한다. Through the regularity of the measured data, a normal file, normal data input, and abnormal data input flow are distinguished.

본 발명의 실시예에 따른 측정된 커패시터의 충전량을 이용하여 데이터 규칙성을 연산하는 단계(240)에서 커패시터의 충전량의 불규칙성이 미리 정해진 기준 보다 낮은 경우, 랜섬웨어 감염을 포함하는 악성행위 또는 비정상 데이터 흐름이 발생하지 않은 것으로 판단하고, 커패시터의 충전량의 불규칙성이 미리 정해진 기준보다 높은 경우, 암호화의 특징으로 인해 랜섬웨어를 포함하는 악성행위 또는 비정상 데이터 흐름으로 저장장치의 데이터가 변화되는 것으로 판단한다. When the irregularity of the charge amount of the capacitor is lower than a predetermined criterion in the step 240 of calculating the data regularity using the measured charge amount of the capacitor according to the embodiment of the present invention, malicious behavior or abnormal data including a ransomware infection If it is determined that no flow has occurred, and the irregularity of the charge amount of the capacitor is higher than a predetermined standard, it is determined that the data in the storage device is changed due to a malicious action including ransomware or an abnormal data flow due to the characteristics of encryption.

도 3은 본 발명의 일 실시예에 따른 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름을 검출하기 위한 데이터 흐름 측정 모듈의 내부 구성을 나타낸다. 3 illustrates an internal configuration of a data flow measurement module for detecting an abnormal data flow in a storage device write process using a microcurrent charge amount of a capacitor element according to an embodiment of the present invention.

본 발명의 실시예에 따른 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상 데이터 흐름 검출 장치는 외부장치로부터 저장장치에 데이터 입력 시, 외부장치와 저장장치 사이에 데이터 채널을 통해 전송되는 데이터의 입력 전류를 측정하는 데이터 흐름 측정 모듈(300)을 포함한다. In the process of writing to the storage device using the microcurrent charge of the capacitor element according to the embodiment of the present invention, the abnormal data flow detection device detects the data transmitted through the data channel between the external device and the storage device when data is input from the external device to the storage device. and a data flow measurement module 300 for measuring the input current.

데이터 흐름 측정 모듈(300)은 커패시터 모듈(310), 커패시터 충전량 측정 모듈(320), 표준편차 측정 모듈(330) 및 타이머(340)를 포함한다. The data flow measurement module 300 includes a capacitor module 310 , a capacitor charge amount measurement module 320 , a standard deviation measurement module 330 , and a timer 340 .

커패시터 모듈(310)은 측정된 입력 전류에 관한 각 데이터의 입력 미세전류가 입력되어 충전량이 변동된다. In the capacitor module 310, an input microcurrent of each data related to the measured input current is input, and the amount of charge is changed.

커패시터 충전량 측정 모듈(320)은 해당 커패시터들의 충전량을 측정한다. The capacitor charge amount measurement module 320 measures the charge amount of the corresponding capacitors.

표준편차 측정 모듈(330)은 측정된 커패시터의 충전량을 이용하여 데이터 규칙성을 연산한다. The standard deviation measurement module 330 calculates data regularity using the measured charge amount of the capacitor.

타이머(340)에서 발생하는 타이밍에 따라 커패시터 충전량 측정 모듈(320)에 의해 커패시터 충전량이 측정되고 표준편차 측정 모듈(230)에 의해 커패시터 모듈(310)의 각 커패시터들 간의 편차를 계산한다.According to the timing generated by the timer 340 , the capacitor charge amount is measured by the capacitor charge amount measurement module 320 , and a deviation between the capacitors of the capacitor module 310 is calculated by the standard deviation measurement module 230 .

데이터 흐름 측정 모듈(300)은 복수의 데이터 채널에서 발생하는 전류를 데이터 흐름 측정 모듈의 커패시터에 입력하고 각 커패시터의 충전량의 표준편차를 연산하여 각각의 데이터가 어떠한 전류 패턴을 가지고 있는지 측정한다. The data flow measurement module 300 inputs currents generated from a plurality of data channels into capacitors of the data flow measurement module, calculates the standard deviation of the charge amount of each capacitor, and measures which current pattern each data has.

저장장치로의 규칙적인 데이터 입출력 과정에서 발생하는 미세전류를 이용하여, 데이터 입출력 과정에서 측정된 각각의 복수의 데이터 채널에 연결된 하드웨어 커패시터의 충전량의 규칙성과 비례하는 데이터의 규칙성을 측정한다. Using the microcurrent generated in the process of regular data input/output to the storage device, the regularity of data proportional to the regularity of the charge amount of the hardware capacitors connected to each of the plurality of data channels measured in the data input/output process is measured.

측정된 데이터의 규칙성을 통해 정상적인 파일, 정상적인 데이터의 입력 및 비정상 데이터의 입력 흐름을 구분한다. Through the regularity of the measured data, a normal file, normal data input, and abnormal data input flow are distinguished.

표준편차 측정 모듈(330)은 커패시터의 충전량의 불규칙성이 미리 정해진 기준 보다 낮은 경우, 랜섬웨어 감염을 포함하는 악성행위 또는 비정상 데이터 흐름이 발생하지 않은 것으로 판단하고, 커패시터의 충전량의 불규칙성이 미리 정해진 기준보다 높은 경우, 암호화의 특징으로 인해 랜섬웨어를 포함하는 악성행위 또는 비정상 데이터 흐름으로 저장장치의 데이터가 변화되는 것으로 판단한다. When the irregularity of the charge amount of the capacitor is lower than a predetermined standard, the standard deviation measurement module 330 determines that a malicious action or an abnormal data flow including a ransomware infection has not occurred, and the irregularity of the charge amount of the capacitor is a predetermined standard If it is higher, it is determined that the data in the storage device is changed due to the malicious behavior or abnormal data flow including ransomware due to the characteristics of encryption.

도 4는 본 발명의 일 실시예에 따른 정상적인 데이터 흐름이 수행될 때의 데이터 흐름 측정 모듈 내부 커패시터의 미세전류 충전량 예시를 나타낸다.4 shows an example of the amount of microcurrent charge of the internal capacitor of the data flow measurement module when the normal data flow is performed according to an embodiment of the present invention.

본 발명의 실시 예에 따른 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 정상적인 데이터 흐름 수행때의 데이터 흐름 측정 모듈 내부 커패시터의 미세전류 충전량 예시를 나타낸다. An example of the micro-current charge amount of the capacitor inside the data flow measurement module when a normal data flow is performed in the storage device write process using the micro-current charge amount of the capacitor element according to an embodiment of the present invention is shown.

도 5는 본 발명의 일 실시예에 따른 비정상적인 데이터 흐름이 수행될 때의 데이터 흐름 측정 모듈 내부 커패시터의 미세전류 충전량 예시를 나타낸다. 5 shows an example of a microcurrent charge amount of a data flow measurement module internal capacitor when abnormal data flow is performed according to an embodiment of the present invention.

본 발명의 실시 예에 따른 커패시터 소자 미세전류 충전량을 이용한 저장장치 쓰기 과정에서 비정상적인 데이터 흐름이 수행될 때의 데이터 흐름 측정 모듈 내부 커패시터의 미세전류 충전량 예시를 나타낸다.An example of the microcurrent charge amount of the capacitor inside the data flow measurement module when an abnormal data flow is performed in the storage device write process using the microcurrent charge amount of the capacitor element according to an embodiment of the present invention is shown.

본 발명의 실시예에 따른 데이터 흐름 측정 모듈 또는 매체는 일반 PC 플랫폼에서 저장매체를 위한 읽기/쓰기 연산이 수행될 때 구동된다. 데이터를 측정할 부가적 채널을 통해 데이터 흐름 측정 모듈에 입력되는 미세전류는 데이터 흐름 측정 모듈 내부에 있는 커패시터 모듈 내부에 위치하는 커패시터의 충전량을 변동시키고 상기 타이머에서 발생하는 타이밍에 따라 커패시터 충전량 측정 모듈에서 커패시터 충전량 측정모듈에 의해 측정되고 표준편차 측정 모듈에 의해 각 커패시터들 간의 편차를 계산한다.The data flow measurement module or medium according to an embodiment of the present invention is driven when a read/write operation for a storage medium is performed in a general PC platform. The microcurrent input to the data flow measurement module through the additional channel to measure data changes the charge amount of the capacitor located inside the capacitor module inside the data flow measurement module, and according to the timing generated by the timer, the capacitor charge amount measurement module is measured by the capacitor charge measurement module in , and the deviation between each capacitor is calculated by the standard deviation measurement module.

도 6은 본 발명의 일 실시예에 따른 비정상적인 데이터 흐름 구분을 위한 매체의 구조를 나타낸다. 6 shows a structure of a medium for classifying abnormal data flows according to an embodiment of the present invention.

도 6을 참조하면, 상기 목적의 달성을 위해 본 발명의 실시예에 따른 비정상 데이터 흐름 탐지 방법은 저장장치에 존재하는 복수의 데이터 채널에 데이터 흐름 측정 모듈을 장착하고 데이터 입출력 단계의 상기 커패시터 전하량을 측정하므로써, 전하량의 불규칙성이 낮아지는 경우에는 랜섬웨어 감염과 같은 악성행위나 비정상 데이터 흐름이 발생하지 않은 것으로 판단하며, 상기 커패시터에 축적된 전하량의 불규칙성이 높아지는 경우에는 암호화의 특징으로 인하여 랜섬웨어와 같은 악성행위나 비정상 데이터 흐름으로 인하여 저장장치의 데이터가 변화되는 것으로 판단하여 그 행위 여부를 판단할 수 있다. Referring to FIG. 6 , in order to achieve the above object, the abnormal data flow detection method according to an embodiment of the present invention installs a data flow measurement module in a plurality of data channels existing in a storage device and measures the amount of charge of the capacitor in the data input/output step. By measuring, if the irregularity of the amount of charge is lowered, it is determined that no malicious behavior such as ransomware infection or abnormal data flow has occurred. If the irregularity of the amount of charge accumulated in the capacitor increases, It is determined that the data in the storage device is changed due to the same malicious behavior or abnormal data flow, so that the behavior can be determined.

다시 말해, 데이터 채널(610)로부터 데이터를 측정할 부가적 채널을 통해 데이터 흐름 측정 모듈에 입력되는 미세전류는 데이터 흐름 측정 모듈 내부에 있는 NOT 게이트(630) 및 저항(640)을 거쳐 커패시터 모듈 내부에 위치하는 커패시터의 충전량을 변동시키고 상기 타이머에서 발생하는 타이밍에 따라 커패시터 충전량 측정 모듈에서 커패시터 충전량 측정모듈에 의해 측정되고 표준편차 측정 모듈에 의해 각 커패시터들 간의 편차를 계산한다. 그리고 결과를 상태 메모리(650)에 저장할 수 있다. 표준편차를 연산하여 하나의 데이터(파일)가 어떤 전류 패턴을 가지고 있는지 측정하고, 결과를 상태 메모리(650)에 저장할 수 있다. In other words, the microcurrent input from the data channel 610 to the data flow measurement module through an additional channel to measure data passes through the NOT gate 630 and the resistor 640 inside the data flow measurement module inside the capacitor module. The charge amount of the capacitor located in . is measured by the capacitor charge amount measurement module in the capacitor charge amount measurement module according to the timing generated by the timer, and the deviation between the respective capacitors is calculated by the standard deviation measurement module. And the result may be stored in the state memory 650 . The standard deviation may be calculated to measure which current pattern one data (file) has, and the result may be stored in the state memory 650 .

본 발명의 일 실시예에 따르면, 저장장치에 데이터가 저장되는 데이터 채널에 부착된 커패시터를 확인하여 전류 충전 수치를 통하여 하드웨어 방식으로 랜섬웨어를 탐지하기 때문에 소프트웨어 방식의 랜섬웨어 탐지보다 빠르게 수행할 수 있는 효과가 있다. 랜섬웨어가 소프트웨어 방식의 탐지 기술을 피해 변형이 되더라도 본 발명의 일 실시예에 따르면 하드웨어 방식의 탐지 기술로 변형된 랜섬웨어의 탐지를 수행할 수 있다.According to an embodiment of the present invention, since ransomware is detected in a hardware manner through a current charging value by checking a capacitor attached to a data channel in which data is stored in the storage device, it can be performed faster than software-type ransomware detection. there is an effect Even if the ransomware is transformed by avoiding the software-based detection technology, according to an embodiment of the present invention, the modified ransomware can be detected by the hardware-based detection technology.

본 발명의 실시예에 따르면, 규칙성있는 데이터 흐름을 갖는 시스템에서 랜섬웨어와 같은 악성행위나 비정상적인 데이터 흐름을 빠르게 탐지되어야 하는 상황에서 빠르고 정확하게 탐지하여 문제를 해결할 수 있다. According to an embodiment of the present invention, it is possible to solve the problem by quickly and accurately detecting a malicious behavior such as ransomware or an abnormal data flow in a system having a regular data flow in a situation where the abnormal data flow should be detected quickly.

도 7은 본 발명의 일 실시예에 따른 정상적인 파일과 비정상적인 파일의 흐름을 비교하는 예시도이다. 7 is an exemplary diagram comparing the flow of a normal file and an abnormal file according to an embodiment of the present invention.

본 발명의 실시예에 따르면 데이터 채널을 통해 저장장치로 입력되는 데이터의 엔트로피를 측정하여 정상적인 파일과 비정상적인 파일의 흐름을 비교 할 수 있다. According to an embodiment of the present invention, the flow of a normal file and an abnormal file can be compared by measuring the entropy of data input to the storage device through the data channel.

데이터 채널에서 저장장치로 입력되는 과정에 있어 데이터 채널에서 발생하는 전류를 커패시터 및 NOT 게이트를 통한 커패시터에 입력하고 각 커패시터의 충전량의 표준편차를 연산하여 하나의 데이터(다시 말해, 파일)가 어떤 전류 패턴을 가지고 있는지 측정할 수 있다.In the process of input from the data channel to the storage device, the current generated in the data channel is input to the capacitor through the capacitor and the NOT gate, and the standard deviation of the charge amount of each capacitor is calculated to determine what current You can measure whether you have a pattern.

예를 들어 일반 파일과, 암호화 파일을 구분하고자 했을 때, 도 7의 왼쪽 프리퀀시(Frequency)와 같이 일반 파일의 경우 각 커패시터의 패턴이 불규칙 적으로 측정될 것이고, 도 7의 오른쪽 프리퀀시(Frequency)와 비정상 파일은 각 커패시터의 패턴이 유사하게 측정될 것이다. For example, when trying to distinguish between a normal file and an encrypted file, the pattern of each capacitor will be measured irregularly in the case of a normal file as shown in the left frequency (Frequency) of FIG. 7, and the right frequency (Frequency) and The abnormal pile will measure the pattern of each capacitor similarly.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다.  또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다.  이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다.  예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다.  또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The device described above may be implemented as a hardware component, a software component, and/or a combination of the hardware component and the software component. For example, devices and components described in the embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable array (FPA), It may be implemented using one or more general purpose or special purpose computers, such as a programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For convenience of understanding, although one processing device is sometimes described as being used, one of ordinary skill in the art will recognize that the processing device includes a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that can include For example, the processing device may include a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as parallel processors.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다.  소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다.  소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may comprise a computer program, code, instructions, or a combination of one or more thereof, which configures a processing device to operate as desired or is independently or collectively processed You can command the device. The software and/or data may be any kind of machine, component, physical device, virtual equipment, computer storage medium or device, to be interpreted by or to provide instructions or data to the processing device. may be embodied in The software may be distributed over networked computer systems, and stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다.  상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.  상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.  컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.  프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.  The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the embodiment, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and carry out program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다.  예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with reference to the limited embodiments and drawings, various modifications and variations are possible from the above description by those skilled in the art. For example, the described techniques are performed in a different order than the described method, and/or the described components of the system, structure, apparatus, circuit, etc. are combined or combined in a different form than the described method, or other components Or substituted or substituted by equivalents may achieve an appropriate result.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

Claims (10)

커패시터 모듈, 커패시터 충전량 측정 모듈, 표준편차 측정 모듈 및 타이머를 포함하는 데이터 흐름 측정 모듈의 비정상 데이터 흐름 검출 방법에 있어서,
외부장치로부터 저장장치에 데이터 입력 시, 외부장치와 저장장치 사이에 데이터 채널을 통해 전송되는 데이터의 입력 전류를 데이터 흐름 측정 모듈을 통해 측정하는 단계;
데이터 흐름 측정 모듈을 통해 측정된 입력 전류에 관한 각 데이터의 입력 미세전류가 데이터 흐름 측정 모듈 내부의 커패시터 모듈에 입력되어 커패시터 모듈 내 커패시터들의 충전량이 변동되는 단계;
해당 커패시터들의 충전량을 측정하는 단계; 및
측정된 커패시터들의 충전량을 이용하여 데이터 규칙성을 연산하는 단계
를 포함하고,
데이터 흐름을 측정하기 위한 복수의 데이터 채널에서 발생하는 미세전류를 데이터 흐름 측정 모듈의 커패시터 모듈에 입력하여 커패시터들의 충전량을 변동시키고,
상기 타이머에서 발생하는 타이밍에 따라 커패시터 충전량 측정 모듈에서 커패시터들의 충전량을 측정하며,
측정된 각 커패시터의 충전량의 표준편차를 표준편차 측정 모듈을 통해 연산하여 각각의 데이터가 어떠한 전류 패턴을 가지고 있는지 측정하고,
저장장치로의 규칙적인 데이터 입출력 과정에서 발생하는 미세전류를 이용하여, 데이터 입출력 과정에서 측정된 각각의 복수의 데이터 채널에 연결된 하드웨어 커패시터들의 충전량의 규칙성과 비례하는 데이터의 규칙성을 측정하는
비정상 데이터 흐름 검출 방법. A method for detecting abnormal data flow of a data flow measurement module including a capacitor module, a capacitor charge amount measurement module, a standard deviation measurement module and a timer, the method comprising:
measuring, through a data flow measurement module, an input current of data transmitted through a data channel between the external device and the storage device when data is input from the external device to the storage device;
a step of changing the amount of charge of capacitors in the capacitor module by inputting an input microcurrent of each data related to the input current measured through the data flow measurement module to a capacitor module inside the data flow measurement module;
measuring the charge amount of the corresponding capacitors; and
Calculating data regularity using the measured charge amounts of capacitors
including,
By inputting microcurrents generated from a plurality of data channels for measuring data flow into the capacitor module of the data flow measuring module, the amount of charge of the capacitors is varied,
Measuring the charge amount of the capacitors in the capacitor charge amount measurement module according to the timing generated by the timer,
Calculate the standard deviation of the measured charge amount of each capacitor through the standard deviation measurement module to measure what kind of current pattern each data has,
A method of measuring the regularity of data that is proportional to the regularity of the charge amount of hardware capacitors connected to each of the plurality of data channels measured in the data input/output process by using a microcurrent generated in the process of regular data input/output to the storage device.
Abnormal data flow detection method. 삭제delete 삭제delete 제1항에 있어서,
측정된 데이터의 규칙성을 통해 정상적인 파일, 정상적인 데이터의 입력 및 비정상 데이터의 입력 흐름을 구분하는
비정상 데이터 흐름 검출 방법. According to claim 1,
Through the regularity of the measured data, the normal file, normal data input, and abnormal data input flow are separated.
Abnormal data flow detection method. 제1항에 있어서,
측정된 커패시터들의 충전량을 이용하여 데이터 규칙성을 연산하는 단계는,
커패시터 모듈 내 커패시터들 중 충전량의 불규칙성이 미리 정해진 기준 보다 낮은 커패시터의 경우, 해당 커패시터는 랜섬웨어 감염을 포함하는 악성행위 또는 비정상 데이터 흐름이 발생하지 않은 것으로 판단하고, 충전량의 불규칙성이 미리 정해진 기준보다 높은 커패시터의 경우, 해당 커패시터는 암호화의 특징으로 인해 랜섬웨어를 포함하는 악성행위 또는 비정상 데이터 흐름으로 저장장치의 데이터가 변화되는 것으로 판단하는
비정상 데이터 흐름 검출 방법. According to claim 1,
The step of calculating the data regularity using the measured charge amounts of the capacitors,
Among the capacitors in the capacitor module, in the case of a capacitor whose charge amount is lower than a predetermined standard, it is determined that malicious behavior or abnormal data flow including ransomware infection has not occurred in the capacitor, and the charge amount irregularity is lower than the predetermined standard. In the case of a high capacitor, the capacitor determines that the data in the storage device is changed due to malicious behavior including ransomware or abnormal data flow due to the characteristics of encryption.
Abnormal data flow detection method. 외부장치로부터 저장장치에 데이터 입력 시, 외부장치와 저장장치 사이에 데이터 채널을 통해 전송되는 데이터의 입력 전류를 측정하는 데이터 흐름 측정 모듈
을 포함하고,
데이터 흐름 측정 모듈은,
측정된 입력 전류에 관한 각 데이터의 입력 미세전류가 입력되어 충전량이 변동되는 복수의 커패시터들을 포함하는 커패시터 모듈;
해당 커패시터들의 충전량을 측정하는 커패시터 충전량 측정 모듈; 및
측정된 커패시터들의 충전량을 이용하여 데이터 규칙성을 연산하는 표준편차 측정 모듈
을 포함하고,
데이터 흐름을 측정하기 위한 복수의 데이터 채널에서 발생하는 미세전류를 데이터 흐름 측정 모듈의 커패시터 모듈에 입력하여 커패시터들의 충전량을 변동시키고,
데이터 흐름 측정 모듈의 타이머에서 발생하는 타이밍에 따라 커패시터 충전량 측정 모듈에서 커패시터들의 충전량을 측정하며,
측정된 각 커패시터의 충전량의 표준편차를 표준편차 측정 모듈을 통해 연산하여 각각의 데이터가 어떠한 전류 패턴을 가지고 있는지 측정하고,
저장장치로의 규칙적인 데이터 입출력 과정에서 발생하는 미세전류를 이용하여, 데이터 입출력 과정에서 측정된 각각의 복수의 데이터 채널에 연결된 하드웨어 커패시터들의 충전량의 규칙성과 비례하는 데이터의 규칙성을 측정하는
비정상 데이터 흐름 검출 장치. A data flow measurement module that measures the input current of data transmitted through the data channel between the external device and the storage device when data is input from an external device to the storage device
including,
data flow measurement module,
a capacitor module including a plurality of capacitors to which an input microcurrent of each data relating to the measured input current is input and the amount of charge is changed;
a capacitor charge amount measurement module for measuring the charge amount of the corresponding capacitors; and
A standard deviation measurement module that calculates data regularity using the measured charge amounts of capacitors
including,
By inputting microcurrents generated in a plurality of data channels for measuring data flow into the capacitor module of the data flow measuring module, the charge amount of the capacitors is varied,
According to the timing generated by the timer of the data flow measurement module, the capacitor charge amount measurement module measures the charge amount of the capacitors,
Calculates the standard deviation of the measured charge amount of each capacitor through the standard deviation measurement module to measure what kind of current pattern each data has,
A method of measuring the regularity of data that is proportional to the regularity of the charge amount of hardware capacitors connected to each of the plurality of data channels measured in the data input/output process by using the microcurrent generated in the process of regular data input/output to the storage device.
Abnormal data flow detection device. 삭제delete 삭제delete 제6항에 있어서,
측정된 데이터의 규칙성을 통해 정상적인 파일, 정상적인 데이터의 입력 및 비정상 데이터의 입력 흐름을 구분하는
비정상 데이터 흐름 검출 장치. 7. The method of claim 6,
Through the regularity of the measured data, the normal file, normal data input, and abnormal data input flow are separated.
Abnormal data flow detection device. 제6항에 있어서,
표준편차 측정 모듈은,
커패시터 모듈 내 커패시터들 중 충전량의 불규칙성이 미리 정해진 기준 보다 낮은 커패시터의 경우, 해당 커패시터는 랜섬웨어 감염을 포함하는 악성행위 또는 비정상 데이터 흐름이 발생하지 않은 것으로 판단하고, 충전량의 불규칙성이 미리 정해진 기준보다 높은 커패시터의 경우, 해당 커패시터는 암호화의 특징으로 인해 랜섬웨어를 포함하는 악성행위 또는 비정상 데이터 흐름으로 저장장치의 데이터가 변화되는 것으로 판단하는
비정상 데이터 흐름 검출 장치.7. The method of claim 6,
The standard deviation measurement module is
Among the capacitors in the capacitor module, in the case of a capacitor whose charge amount is lower than a predetermined standard, it is determined that malicious behavior or abnormal data flow including ransomware infection has not occurred in the capacitor, and the charge amount irregularity is lower than the predetermined standard. In the case of a high capacitor, the capacitor determines that the data in the storage device is changed due to malicious behavior including ransomware or abnormal data flow due to the characteristics of encryption.
Abnormal data flow detection device.
KR1020200020452A 2020-02-19 2020-02-19 Detecting abnormal data flow in storage writing process through current charging of capacitor Active KR102331885B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200020452A KR102331885B1 (en) 2020-02-19 2020-02-19 Detecting abnormal data flow in storage writing process through current charging of capacitor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200020452A KR102331885B1 (en) 2020-02-19 2020-02-19 Detecting abnormal data flow in storage writing process through current charging of capacitor

Publications (2)

Publication Number Publication Date
KR20210105678A KR20210105678A (en) 2021-08-27
KR102331885B1 true KR102331885B1 (en) 2021-11-26

Family

ID=77504561

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200020452A Active KR102331885B1 (en) 2020-02-19 2020-02-19 Detecting abnormal data flow in storage writing process through current charging of capacitor

Country Status (1)

Country Link
KR (1) KR102331885B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114880384B (en) * 2022-07-11 2022-09-23 杭州宇谷科技有限公司 Unsupervised two-wheeled electric vehicle charging time sequence abnormity detection method and system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101418962B1 (en) * 2009-12-11 2014-07-15 한국전자통신연구원 Secure device and method for preventing side chnannel attack
JP2014501957A (en) * 2010-11-03 2014-01-23 ヴァージニア テック インテレクチュアル プロパティーズ,インコーポレーテッド Use of power fingerprint (PFP) to monitor computer system reliability and enhance security

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Colin O’Flynn, "A Framework for Embedded Hardware Security Analysis"(2017.06.)

Also Published As

Publication number Publication date
KR20210105678A (en) 2021-08-27

Similar Documents

Publication Publication Date Title
CN109711158B (en) Device-based anti-malware
US11438159B2 (en) Security privilege escalation exploit detection and mitigation
CN110048997B (en) Security system and method for handling fault injection attacks
KR101759008B1 (en) Profiling code execution
JP5891274B2 (en) Data storage device and its protection method from abnormal voltage
US10521585B2 (en) Method and apparatus for detecting side-channel attack
US9313222B2 (en) Method, electronic device, and user interface for on-demand detecting malware
US20210240823A1 (en) System and method for coping with fault injection attacks
WO2018235068A1 (en) A cache unit useful for secure execution
WO2017099922A1 (en) System management mode disabling and verification techniques
WO2018063756A1 (en) System, apparatus and method for performing on-demand binary analysis for detecting code reuse attacks
US11170077B2 (en) Validating the integrity of application data using secure hardware enclaves
EP3543886A1 (en) Data integrity verification in a non-volatile memory during secure boot
KR102331885B1 (en) Detecting abnormal data flow in storage writing process through current charging of capacitor
KR20210132736A (en) Runtime code execution validity
KR20170119903A (en) Apparatus and method for controlling malware including ransomware
CN108090352A (en) Detection system and detection method
EP3494509B1 (en) Sequence verification
KR102382889B1 (en) Method and system for detecting web shell using process information
KR101988747B1 (en) Ransomware dectecting method and apparatus based on machine learning through hybrid analysis
KR102259158B1 (en) Efficient ransomware detection method and system using bloom-filter
CN110516445B (en) Identification method, device and storage medium for anti-detection malicious code
KR102817568B1 (en) Method and system for verifying data integrity
KR20160014464A (en) Memory system and data protecting method thereof
KR102338885B1 (en) A Method and an Apparatus for Detecting Dynamic Defacement in Application

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20200219

PA0201 Request for examination
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20210525

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20211122

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20211123

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20211124

End annual number: 3

Start annual number: 1

PG1601 Publication of registration