[go: up one dir, main page]

KR20180135601A - Method and apparatus for real-time detection and prevention of Ransomware of computer system - Google Patents

Method and apparatus for real-time detection and prevention of Ransomware of computer system Download PDF

Info

Publication number
KR20180135601A
KR20180135601A KR1020170073830A KR20170073830A KR20180135601A KR 20180135601 A KR20180135601 A KR 20180135601A KR 1020170073830 A KR1020170073830 A KR 1020170073830A KR 20170073830 A KR20170073830 A KR 20170073830A KR 20180135601 A KR20180135601 A KR 20180135601A
Authority
KR
South Korea
Prior art keywords
access
file
program
computer system
control list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020170073830A
Other languages
Korean (ko)
Inventor
김대엽
Original Assignee
김대엽
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김대엽 filed Critical 김대엽
Priority to KR1020170073830A priority Critical patent/KR20180135601A/en
Publication of KR20180135601A publication Critical patent/KR20180135601A/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 컴퓨터 시스템에서 랜섬웨어의 동작을 실시간으로 탐지하고 차단하는 방법에 관한 것이다.
본 발명은 접근 통제 리스트를 작성하고, 접근 통제 리스트에 포함된 프로그램/프로세스만 파일에 접근하도록 허용하는 것을 특징으로 한다.
본 발명은 프로그램/프로세스가 파일에 접근하는 것을 실시간으로 감시하고, 파일에 접근하려는 프로그램/프로세스가 접근 통제 리스트에 포함되어 있는지 여부에 따라 파일 접근 허요 여부를 결정하는 것을 특징으로 한다.
본 발명에 따르면 접근 통제 리스트의 관리와 운영을 통하여 랜섬웨어의 동작을 사전에 탐지하여 컴퓨터 시스템 사용자의 피해를 막을 수 있다.FIELD OF THE INVENTION The present invention relates to a method for detecting and intercepting the operation of a Raman software in real time in a computer system.
The present invention is characterized by creating an access control list and allowing only programs / processes included in the access control list to access the file.
The present invention is characterized in that it real-time monitors that a program / process accesses a file and determines whether or not a file access is permitted depending on whether a program / process to access the file is included in the access control list.
According to the present invention, it is possible to prevent the damage of the computer system user by detecting the operation of the RANUMWARE through the management and operation of the access control list in advance.

Description

컴퓨터 시스템의 랜섬웨어 실시간 탐지 와 차단 방법 및 그 장치 {Method and apparatus for real-time detection and prevention of Ransomware of computer system}Technical Field [0001] The present invention relates to a real-time detection and prevention method of a computer system,

본 발명은 컴퓨터 시스템의 랜섬웨어(Ransomware)의 행위를 실시간으로 탐지하고 차단 하는 방법 및 그 장치에 관한 것이다. 본 발명은 컴퓨터 시스템 상에 등록된 파일 종류와 해당 파일의 종류에 속하는 파일들에 대한 접근이 허용된 프로그램들의 목록을 한 쌍으로 구성하여 접근 통제 리스트를 만들고, 접근 통제 리스트에 등록되지 않은 프로그램/프로세스가 파일에 접근하여 암화화 등의 파일 변경을 시도하는 것을 실시간으로 탐지하고 차단할 수 있도록 한 것이다.The present invention relates to a method and apparatus for detecting and blocking the behavior of Ransomware of a computer system in real time. The present invention creates an access control list by constructing a pair of a list of programs permitted to access files belonging to a file type and a file registered on the computer system, The process accesses the file and attempts to change the file, such as encapsulation, in real time.

대표도 - 도 6.Representative figure - figure 6.

랜섬웨어는 악성코드의 일종으로 일반적으로 사용자 동의 없이 컴퓨터 시스템에 설치되고 동작한다.Ransomware is a kind of malicious code that normally installs and runs on a computer system without user consent.

랜섬웨어는 컴퓨터 시스템의 시스템 파일 또는 사용자 문서와 같은 중요 파일을 정상적으로 사용할 수 없도록 암호화 하거나 삭제한 후, 이 파일을 복구하는 대가를 요구한다.Ransomware requires the cost of recovering this file after encrypting or deleting important files such as system files or user documents of the computer system.

랜섬웨어에 대한 대응 방법은 안티바이러스 솔루션을 이용하여 컴퓨터 시스템에 설치되어 있는 랜섬웨어를 탐지하는 방법과 중요 파일을 백업 솔루션을 이용하여 복사해 두는 방법, 그리고 랜섬웨어를 역공학을 이용하여 분석하여 암호화된 파일을 복호화 하는 방법 등이 일반적으로 제안되고 있다.The way to cope with Ransomware is to detect the Ransomware installed on the computer system using the antivirus solution, to copy the important files using the backup solution, and to analyze the Ransomware using reverse engineering And a method of decrypting an encrypted file are generally proposed.

그러나 이와 같은 정적인 분석 및 대응 방법은 새롭게 발견된 컴퓨터 시스템의 취약점을 이용한 새로운 랜섬웨어나 기존 랜섬웨어의 변종에 능동적이고 즉각적으로 대응할 수 없다는 한계를 갖고 있다.However, these static analysis and countermeasures have limitations in that they can not actively and immediately respond to new variants of Ransomware or existing Ransomware using vulnerabilities of newly discovered computer systems.

따라서 랜섬웨어의 동작을 컴퓨터 시스템 상에서 실시간으로 탐지하고 차단하는 방법이 요구된다.Therefore, there is a need for a method to detect and block the operation of the Raman software in real time on the computer system.

본 발명은 기존의 랜섬웨어 대응 방안들의 문제점을 해결하기 위한 기술이다. 본 발명은 접근 통제 리스트를 생성하고, 컴퓨터 시스템에서 작동하는 프로그램이 파일에 대한 접근/변경을 시도할 때 이를 실시간으로 탐지 한 후, 탐지된 결과를 접근 통제 리스트의 데이터와 비교하여 파일 접근/변경 권한이 없는 프로그램인 경우, 파일 접근을 거부하거나 해당 프로그램의 동작을 중지시킴으로써 컴퓨터 시스템에 대한 랜섬웨어 공격을 실시간 탐지하고 차단하는 방법 및 그 장치를 제공한다.The present invention is a technology for solving the problems of existing Ransomware countermeasures. The present invention generates an access control list, detects a real time when a program running on a computer system attempts to access / change a file, and then compares the detected result with data of an access control list to access / The present invention provides a method and apparatus for real-time detection and blocking of a Ramsomware attack on a computer system by denying access to a file or stopping the operation of a corresponding program in the case of an unauthorized program.

상기 목적을 달성하기 위해, 본 발명에서는 접근 통제 리스트를 생성하는 제1단계; 컴퓨터 시스템에서 작동하는 프로그램이 파일에 대한 접근/변경 시도를 모니터링 하는 제2단계; 파일 접근/변경을 시도하는 프로그램에 대한 정보와 접근 통제 리스트를 비교하여 파일 접근/변경 허용 여부를 판단하는 제3단계; 파일 접근이 불허된 경우, 파일 접근을 차단하는 제4단계로 구성한다.To achieve the above object, according to the present invention, there is provided an access control list generating method comprising: a first step of generating an access control list; A second step in which a program operating in the computer system monitors an attempt to access / change the file; A third step of comparing information on a program attempting to access / change a file with an access control list to determine whether file access / change is permitted; If the file access is denied, the fourth step is to block access to the file.

1단계에서 접근 통제 리스트는 {파일 종류 정보, 파일 접근 프로그램 정보 목록} 쌍으로 구성된 요소들로 생성하는 것을 특징으로 한다. 여기서 파일 종류 정보의 일 예는 파일의 확장자이다. 파일 접근 프로그램 정보의 일 예는 컴퓨터 시스켐에서 동작하는 프로그램의 정보나 프로세스의 정보이다. 파일 접근 프로그램 정보는 복수개의 프로그램 정보를 포함할 수 있다.In the first step, the access control list is formed of elements composed of {file type information, file access program information list} pairs. One example of the file type information is an extension of the file. An example of file access program information is information of a program operating in a computer system or information of a process. The file access program information may include a plurality of program information.

접근 통제 리스트는 사용자가 입력한 {파일 종류 정보, 파일 접근 프로그램 정보 목록}으로 리스트의 요소를 구성하는 것을 특징으로 한다.The access control list is composed of elements of the list as {file type information, file access program information list} inputted by the user.

접근 통제 리스트는 컴퓨터 시스템에 설정된 구성 및 운영 정보를 이용하여 {파일 종류 정보, 파일 접근 프로그램 정보 목록}을 생성해서 리스트의 요소를 구성하는 것을 특징으로 한다.The access control list is formed by creating {file type information, file access program information list} using the configuration and operation information set in the computer system to configure the elements of the list.

2단계에서는 컴퓨터 시스템에서 작동하는 프로그램/프로세스가 파일을 읽거나 변경하기 위하여 파일에 접근하면 컴퓨터 시스템의 'I/O 관리자'가 컴퓨터 시스템의 '파일 시스템 커널/드라이버'에 파일 접근 요청을 통보하는 경우 이 통보를 파일 감시자가 컴퓨터 시스템의 '파일 시스템 커널' 보다 먼저 수신하여 처리하는 것을 특징으로 한다.In step 2, when the program / process running on the computer system accesses the file to read or change the file, the 'I / O manager' of the computer system notifies the file system kernel / driver of the computer system of the file access request The file monitor receives and processes the notification before the file system kernel of the computer system.

파일 감시자는 수신된 파일 접근 요청을 분석하여 접근 대상 파일의 종류와 접근 시도 프로그램/프로세스 정보를 획득하는 것을 특징으로 한다.The file monitor analyzes the received file access request to acquire the type of the access target file and the access attempt program / process information.

파일 감시자는 분석된 접근 대상 파일의 종류와 접근 시도 프로그램/프로세스의 정보를 '접근 관리자'에게 통보하는 것을 특징으로 한다.The file monitor notifies the 'access manager' of the type of the access target file analyzed and information of the access attempt program / process.

3단계에서는 접근 관리자는 파일 감시자가 통보한 {접근 대상 파일의 종류, 접근 시도 프로그램/프로세스의 정보}를 가지로 접근 통제 리스트를 검색하여 통보 받은 접근 대상 파일의 종류와 동일한 파일 종류로 구성된 리스트의 요소가 있는지 확인하는 것을 특징으로 한다.In step 3, the access manager searches the access control list with {file type of access target file, access attempt program / process information} notified by the file watcher, and searches the access control list for the list of file types Element is present.

접근 관리자는 파일 감시자가 통보한 {접근 대상 파일의 종류, 접근 시도 프로그램/프로세스의 정보}를 가지로 접근 통제 리스트를 검색하여 통보 받은 접근 대상 파일의 종류와 동일한 파일 종류로 구성된 리스트의 요소가 검색 되지 않으면, 통보된 접근 시도 프로그램/프로세스 정보에 해당 하는 프로그램/프로세스가 접근 대상 파일에 접근할 수 있다고 판단하는 것을 특징으로 한다. The access manager searches the access control list with {file type of access target file, access attempt program / process information} notified by the file supervisor, and retrieves an element of the list having the same file type as that of the notified access target file , It is determined that the program / process corresponding to the notified access attempt program / process information can access the access target file.

접근 관리자는 파일 감시자가 통보한 {접근 대상 파일의 종류, 접근 시도 프로그램/프로세스의 정보}를 가지로 접근 통제 리스트를 검색하여 통보 받은 접근 대상 파일의 종류와 동일한 파일 종류로 구성된 리스트의 요소가 검색되면, 통보된 접근 시도 프로그램/프로세스 정보와 동일한 정보가 검색된 요소의 파일 접근 프로그램 정보에 포함되어 있는지를 확인하는 것을 특징으로 한다.The access manager searches the access control list with {file type of access target file, access attempt program / process information} notified by the file supervisor, and retrieves an element of the list having the same file type as that of the notified access target file , It is confirmed whether the same information as the notified access attempt program / process information is included in the file access program information of the retrieved element.

접근 관리자는 파일 감시자가 통보한 접근 대상 파일의 종류와 동일한 파일 종류로 구성된 접근 통제 리스트의 요소가 검색되면, 통보된 접근 시도 프로그램/프로세스 정보와 동일한 정보가 검색된 요소의 파일 접근 프로그램 정보 목록에 포함되어 있으면 통보된 접근 시도 프로그램/프로세스 정보에 해당 하는 프로그램/프로세스가 접근 대상 파일에 접근할 수 있다고 판단하는 것을 특징으로 한다.If the access manager finds an element of the access control list composed of the same file type as the type of the access target file notified by the file supervisor, the same information as the notified access attempt program / process information is included in the file access program information list of the retrieved element The process determines that the program / process corresponding to the notified access attempt program / process information can access the access target file.

접근 관리자는 파일 감시자가 통보한 접근 대상 파일의 종류와 동일한 파일 종류로 구성된 접근 통제 리스트의 요소가 검색되면, 통보된 접근 시도 프로그램/프로세스 정보와 동일한 정보가 검색된 요소의 파일 접근 프로그램 정보 목록에 포함되어 있지 않으면, 통보된 접근 시도 프로그램/프로세스 정보에 해당 하는 프로그램/프로세스가 접근 대상 파일에 접근할 수 없다고 판단하는 것을 특징으로 한다.If the access manager finds an element of the access control list composed of the same file type as the type of the access target file notified by the file supervisor, the same information as the notified access attempt program / process information is included in the file access program information list of the retrieved element , It is determined that the program / process corresponding to the notified access trial program / process information can not access the access target file.

접근 관리자는 접근 시도 프로그램/프로세스의 접근 대상 파일에 대한 접근 허용 또는 금지와 관련된 판단 결과를 파일 감지자에게 통보하는 것을 특징으로 한다.The access manager notifies the file detector of the determination result related to the permission or prohibition of access to the access target file of the access attempt program / process.

4 단계에서는 파일 감시자가 접근 관리자로부터 접근 시도 프로그램/프로세스가 접근 대상 파일에 접근 할 수 없다는 판단 결과를 통보를 받으면, 해당 프로그램/프로세스의 접근 대상 파일에 대한 접근을 거부하도록 컴퓨터 시스템의 'I/O 관리자'에게 통보하는 것을 특징으로 한다.In step 4, when the file monitor receives notification from the access manager that the access attempt program / process can not access the file to be accessed, the I / O manager '.

파일 감시자가 접근 관리자로부터 접근 시도 프로그램/프로세스가 접근 대상 파일에 접근 할 수 없다는 판단 결과를 통보를 받으면, 해당 프로그램/프로세스의 접근 대상 파일에 대한 접근을 거부하도록 컴퓨터 시스템의 '프로세스 관리자'에게 통보하는 것을 특징으로 한다.If the file monitor receives notification of the result of the determination that the access target program / process can not access the access target file, the file monitor notifies the 'process manager' of the computer system to deny access to the access target file of the program / process .

파일 감시자가 접근 관리자로부터 접근 시도 프로그램/프로세스가 접근 대상 파일에 접근 할 수 있다는 판단 결과를 통보를 받으면, 해당 프로그램/프로세스의 접근 대상 파일에 대한 접근을 거부하도록 컴퓨터 시스템의 파일 시스템 관리자에게 통보하는 것을 특징으로 한다.When the File Watcher is informed of the result of the determination that the access attempt program / process can access the access target file from the access manager, the file monitor notifies the file system manager of the computer system to deny access to the access target file of the program / process .

본 발명의 컴퓨터 시스템의 랜섬웨어 행위에 대한 실시간 탐지 와 차단 방법 및 장치에 따르면 다음과 같은 효과가 있다.According to the real-time detection and blocking method and apparatus for the Ransomware behavior of the computer system of the present invention, the following effects can be obtained.

첫째, 랜섬웨어가 공격 대상 파일을 암호화 하기 위하여 파일을 변경하려는 시도를 실시간으로 모니터링하여 효과적으로 차단할 수 있다.First, Ransomware can effectively block the attempt to change the file to encrypt the attack target file in real time.

둘째, 기존 랜섬웨어 행위뿐만 아니라 변종 랜섬웨어나 신종 랜섬웨어의 탐지 및 차단이 가능하다.Second, detection and blocking of variant RANMSWARE and new RANMSWARE are possible as well as existing Ransomware behavior.

셋째, 사용자가 입력한 데이터 또는 컴퓨터 시스템의 구성 및 운영 설정 정보를 이용하여 컴퓨터 시스템에 저장된 파일에 접근할 수 있는 프로그램을 구분하고 파일에 대한 프로그램의 접근을 제한할 수 있기 때문에 추가적인 업데이트 없이 다양한 종류의 파일을 손쉽고 안전하게 관리할 수 있다.Third, it is possible to classify the programs that can access the files stored in the computer system and limit the access of the programs to the files by using the data inputted by the user or the configuration and operation setting information of the computer system. Therefore, Files can be managed easily and safely.

도 1은 컴퓨터 시스템에서 파일에 접근하는 절차를 설명하는 개념도이다.
도 2는 본 발명의 실시 예에 따른 컴퓨터 시스템의 랜섬웨어 행위 실시간 탐지 및 차단 장치의 구성도이다.
도 3은 본 발명의 실시 예에 따른 컴퓨터 시스템의 랜섬웨어 행위 실시간 탐지 및 차단을 위한 접근 통제 리스트 생성의 기본 동작 흐름의 예시도이다.
도 4는 본 발명의 실시 예에 따른 컴퓨터 시스템의 랜섬웨어 행위 실시간 탐지 및 차단을 위한 실시간 파일 접근 탐지 동작 흐름의 예시도이다.
도 5는 본 발명의 실시 예에 따른 컴퓨터 시스템의 랜섬웨어 행위 실시간 탐지 및 차단을 위한 실시간 파일 접근 제어 동작 흐름의 예시도이다.
도 6은 본 발명의 실시 예에 따른 컴퓨터 시스템의 랜섬웨어 행위 실시간 탐지 및 차단을 위한 상세 동작 흐름 예시도이다.1 is a conceptual diagram illustrating a procedure for accessing a file in a computer system.
FIG. 2 is a block diagram of a real-time detection and blocking device of a computer system according to an embodiment of the present invention.
FIG. 3 is a diagram illustrating a basic operation flow of access control list generation for real-time detection and blocking of a Ransomware behavior of a computer system according to an embodiment of the present invention.
FIG. 4 is a diagram illustrating a flow of a real-time file access detection operation for real-time detection and blocking of an Ransomware act in a computer system according to an embodiment of the present invention.
FIG. 5 is a diagram illustrating a flow of a real-time file access control operation for real-time detection and blocking of an Ransomware act of a computer system according to an embodiment of the present invention.
FIG. 6 is a flowchart illustrating a detailed operation flow for real-time detection and blocking of a Ransomware behavior of a computer system according to an embodiment of the present invention.

이하, 본 발명의 실시 예를 첨부 도면을 참조하여 상세히 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세한 설명에 상세하게 설명한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and are herein described in detail. It is to be understood, however, that the invention is not to be limited to the specific embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

본 발명에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, “포함하다”또는 “가지다”등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동자, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해 되어야 하다.The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, elements, components, parts, or combinations thereof.

다르게 정의하지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다.Unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs.

본 발명은 실질적 연구와 구현은 윈도운 운영체제에서 하였으나 개념 자체는 모든 플랫폼에서 범용적으로 사용할 수 있다.Although the present invention has been practiced and implemented in a Windows operating system, the concept itself can be universally used on all platforms.

1. 개요1. Overview

랜섬웨어는 컴퓨터 시스템의 중요 파일을 암호화하여 이를 풀어주는 대가로 금전적 이득을 취하는 프로그램이다. 이를 위하여 랜섬웨어는 컴퓨터 시스템의 파일에 대한 접근을 컴퓨터 시스템에 요청한다.Ransomware is a program that takes a monetary gain in return for encrypting important files of a computer system. To this end, Ransomware requests the computer system to access the files of the computer system.

일반적으로 컴퓨터 시스템의 파일은 해당 파일의 종류에 따라서 사용하는 특정 프로그램들이 컴퓨터 시스템에 지정 되어 있다. 예를 들어 파일의 확장자가 hwp인 한글 파일의 경우, 일반적으로 한글워드프로세스 프로그램을 이용하여 접근하도록 컴퓨터 시스템에 지정되어 있다. 파일의 종류에 따라 사용하는 프로그램이 여러 개 지정된 경우도 있으나, 일반적으로 개인이나 단체의 사용자의 경우 사용하는 파일의 종류의 수도 제한적이며, 각각의 파일의 종류에 따라 사용하도록 지정된 프로그램의 수도 제한적이다.In general, the files of the computer system are assigned to the computer system according to the type of the file. For example, in the case of a Hangul file whose file extension is hwp, it is usually assigned to the computer system to be accessed using a Hangul word processing program. Depending on the file type, there may be several programs to be used, but in general, the number of types of files used by individuals or groups is limited, and the number of programs designated for use is limited depending on the type of each file .

본 발명은 컴퓨터 시스템에서 파일을 사용 하는 일반적인 상황을 판단 근거로 하여, 특정 파일의 종류에 따라 접근할 수 있도록 지정된 프로그램들의 목록을 미리 작성한 후, 랜섬웨어를 포함한 지정되지 않은 프로그램이 작성된 해당 종류의 파일에 접근을 컴퓨터 시스템에 요청할 때 이를 탐지하여 접근을 차단함으로써 랜섬웨어를 막기 위해 본원출원을 발명하게 되었다.The present invention is based on a general situation of using a file in a computer system, and a list of programs designated for access according to a specific file type is created in advance, and then a corresponding type of program When the computer system is requested to access the file, it is invented to prevent the Ransomware by detecting it and blocking access.

2. 실시 예2. Example

도 1은 컴퓨터 시스템에서 동작하는 일반 사용자/시스템 프로그램/프로세스(100)가 컴퓨터 시스템에 저장되어 있는 파일(105)에 접근하기 위하여 컴퓨터 시스템에 접근을 요청할 때, 컴퓨터 시스템이 이 요청을 처리하는 절차를 나타낸다. 컴퓨터 시스템의 I/O 관리자(101)이 파일 접근 요청을 수신하면, 접근 시도 프로그램의 정보와 접근 대상 파일의 정보를 컴퓨터 시스템의 파일 시스템 커널(102)에 전달하여 파일 접근 요청을 처리한다.Figure 1 shows a flow diagram of a process in which when a generic user / system program / process 100 operating in a computer system requests access to a computer system to access a file 105 stored on the computer system, . When the I / O manager 101 of the computer system receives the file access request, it transfers the access attempt program information and the access target file information to the file system kernel 102 of the computer system to process the file access request.

도 2는 컴퓨터 시스템의 랜섬웨어 행위 실시간 탐지 및 차단 장치의 구성도이다. 점선으로 표시된 구성은 본 발명의 구성요소가 아닌, 컴퓨터 시스템 자체의 구성요소(101,102)와 사용자/시스템 프로그램/프로세스(100)와 접근할 파일(105)을 의미한다. 본 발명의 구성 요소는 파일 접근 통제 리스트를 생성하고 관리하는 접근 통제 리스트 관리자(400)와 접근 통제 리스트를 저장하는 내/외부 저장소(500), 프로그램의 파일 접근 허용 여부를 판단하는 접근 관리자(300), 그리고 프로그램의 파일 접근을 탐지하는 파일 감시자(200)로 구성된다.FIG. 2 is a block diagram of a real-time detection and blocking device of a computerized system. FIG. The dashed-line configuration refers to the components (101, 102) of the computer system itself and the files (105) to be accessed by the user / system program / process (100), not the components of the present invention. The components of the present invention include an access control list manager 400 for creating and managing a file access control list, an internal / external storage 500 for storing an access control list, an access manager 300 And a file monitor 200 for detecting file access of the program.

도 3은 컴퓨터 시스템의 랜섬웨어 행위 실시간 탐지 및 차단을 위한 접근 통제 리스트 생성하고 관리하는 기본 동작 흐름의 예시도이다. 접근 통제 리스트는 파일의 종류와 해당 파일의 종류에 접근이 허용된 프로그램/프로세스 목록을 한 쌍으로 해서 구성된 요소들로 만든다. 접근 통제 리스트 관리자(400)는 파일의 종류에 따라 접근을 허용할 프로그램의 정보를 사용자로부터 입력 받거나 (104), 컴퓨터 시스템의 구성 및 운영 정보로부터 파일 종류에 따라 허용할 프로그램을 정보를 획득(103)할 수 있다. 접근 통제 리스트 관리자(400)는 이렇게 입력/획득된 파일의 종류에 따라 접근을 허용할 프로그램 목록을 내/외부 저장소(500)에 저장하여 관리한다. 접근 통제 리스트 관리자(400)는 내/외부 저장소(500)에 저장된 파일의 종류에 따라 접근을 허용할 프로그램 목록은 필요에 따라 수정될 수 있다. 접근 통제 리스트 관리자(400)는 접근 관리자(300)의 요청에 따라 내/외부 저장소(500)에서 파일의 종류에 따라 접근을 허용할 프로그램 목록을 읽어와서 구성한 접근 통제 리스트(401)를 접근 관리자(300)에게 전달한다.3 is an exemplary diagram of a basic operation flow for creating and managing an access control list for real-time detection and blocking of the Ransomware act of a computer system. The access control list is made up of elements constituted by a pair of programs / processes that are allowed to access the file type and the file type. The access control list manager 400 receives the information of the program to allow access according to the type of the file from the user 104 or acquires the information of the program to be permitted according to the file type from the configuration and operation information of the computer system 103 )can do. The access control list manager 400 stores and manages a list of programs to be accessed according to the type of the input / acquired file in the internal / external storage 500. The access control list manager 400 may modify the list of programs to be allowed to access according to the types of files stored in the internal / external storage 500, as needed. The access control list manager 400 reads an access control list 401 constituted by reading a program list to permit access according to the file type in the internal / external storage 500 according to a request of the access manager 300, 300).

도 4는 컴퓨터 시스템의 랜섬웨어 행위 실시간 탐지 및 차단을 위한 실시간 파일 접근 탐지 동작 흐름의 예시도이다. 컴퓨터 시스템에서 동작하는 프로그램/프로세스(100)가 특정 파일(105)을 읽거나 특정 파일(105)의 내용을 변경하기 위하여 특정 파일(105)에 접근을 요청할 경우, 컴퓨터 시스템의 I/O 관리자(101)는 접근 시도 프로그램/프로세스(100) 및 접근 대상 파일(105)의 정보를 컴퓨터 시스템의 커널에 전달한다(201). 파일 감시자(200)은 I/O 관리자(101)가 전송한 접근 시도 프로그램/프로세스(100) 및 접근 대상 파일(105)의 정보(201)를 컴퓨터 시스템의 파일 시스템 커널(102) 보다 먼저 수신한다. 파일 감시자(200)는 접근 시도 프로그램/프로세스(100) 및 접근 대상 파일(105)의 정보(202)를 접근 관리자(300)에게 전달한다. 접근 관리자(300)는 도 3에서 접근 통제 리스트 관리자(400)로부터 제공 받은 접근 통제 리스트(401)의 기록을 검색하여 접근 대상 파일(105)과 같은 종류의 파일에 접근할 수 있는 프로그램/프로세스 목록에 접근 시도 프로그램/프로세스(100)가 포함되어 있는지 확인한다. 만약 도 3에서 접근 통제 리스트 관리자(400)로부터 제공된 접근 통제 리스트(401)의 기록을 검색한 결과, 접근 대상 파일(105)과 같은 종류의 파일에 접근할 수 있는 프로그램/프로세스 목록에 접근 시도 프로그램/프로세스(100)가 포함되어 있다면 접근 관리자(300)는 파일 접근 허용 메시지(203)를 파일 감시자(200)에게 전달한다. 파일 감시자(200)는 I/O 관리자(101)로부터 수신한 접근 시도 프로그램/프로세스(100) 및 접근 대상 파일(105)의 정보(201)를 컴퓨터 시스템의 파일 시스템 커널(102)에 전달하여 접근 시도 프로그램/프로세스(100)가 정상적으로 접근 대상 파일(105)을 이용할 수 있도록 한다.FIG. 4 is an exemplary view of a real-time file access detection operation flow for real-time detection and blocking of a Ransomware act of a computer system. When a program / process 100 operating in a computer system requests access to a specific file 105 to read a particular file 105 or change the contents of a particular file 105, the I / O manager 101 transfers the information of the access attempt program / process 100 and the access target file 105 to the kernel of the computer system (201). The file monitor 200 receives the information 201 of the access attempt program / process 100 and the access target file 105 transmitted by the I / O manager 101 before the file system kernel 102 of the computer system . The file monitor 200 delivers the information 202 of the access attempt program / process 100 and the access target file 105 to the access manager 300. [ The access manager 300 retrieves a record of the access control list 401 provided from the access control list manager 400 in FIG. 3 and displays a list of programs / processes that can access the file of the same kind as the access target file 105 Process program (100) is included in the program. As a result of retrieving the record of the access control list 401 provided from the access control list manager 400 in FIG. 3, the access attempt list 401 is accessed to the program / process list which can access the file of the same kind as the access target file 105 / Process 100 is included, the access manager 300 forwards the file access permission message 203 to the file monitor 200. [ The file monitor 200 transfers the information 201 of the access attempt program / process 100 and the access target file 105 received from the I / O manager 101 to the file system kernel 102 of the computer system, So that the trial program / process 100 can use the access target file 105 normally.

도 5는 컴퓨터 시스템의 랜섬웨어 행위 실시간 탐지 및 차단을 위한 실시간 파일 접근 제어 동작 흐름의 예시도이다. 컴퓨터 시스템에서 동작하는 접근 시도 프로그램/프로세스(100)가 접근 대상 파일(105)을 읽거나 그 내용을 변경하기 위하여 접근할 경우, 컴퓨터 시스템의 I/O 관리자(101)는 접근 시도 프로그램/프로세스(100) 및 접근 대상 파일(105)의 정보(201)를 컴퓨터 시스템의 커널에 전달한다. 파일 감시자(200)는 I/O 관리자(101)가 전송한 접근 시도 프로그램/프로세스(100) 및 접근 대상 파일(105)의 정보(201)를 컴퓨터 시스템의 파일 시스템 커널(102) 보다 먼저 수신한다. 파일 감시자(200)는 접근 시도 프로그램/프로세스(100) 및 접근 대상 파일(105)의 정보(202)를 접근 관리자(300)에게 전달한다. 접근 관리자(300)는 도 3에서 접근 통제 리스트 관리자(400)로부터 제공된 접근 통제 리스트(401)의 기록을 검색하여 접근 대상 파일(105)과 같은 종류의 파일에 접근할 수 있는 프로그램/프로세스 목록에 접근 대상 파일(105)을 이용하려는 접근 시도 프로그램/프로세스(100)가 포함되어 있는지 확인한다. 만약 도 3에서 접근 통제 리스트 관리자(400)로부터 제공된 접근 통제 리스트(401)의 기록을 검색한 결과, 접근 대상 파일(105)과 같은 종류의 파일에 접근할 수 있는 프로그램/프로세스 목록에 접근 시도 프로그램/프로세스(100)가 포함되어 있지 않다면 접근 관리자(300)는 파일 접근 불허 메시지(204)를 파일 감시자(200)에게 전달한다. 파일 감시자(200)는 접근 시도 프로그램/프로세스(100)의 접근 대상 파일(105)에 대한 접근 불허 메시지(205)를 I/O 관리자(101)에게 전달하여 접근 시도 프로그램/프로세스(100)의 접근 대상 파일(105)에 접근할 수 없도록 통제한다.FIG. 5 is a diagram illustrating a flow of a real-time file access control operation for real-time detection and blocking of a Ransomware act of a computer system. When the access attempt program / process 100 operating in the computer system accesses the access target file 105 or changes its contents, the I / O manager 101 of the computer system accesses the access attempt program / 100 and the information 201 of the access target file 105 to the kernel of the computer system. The file monitor 200 receives the information 201 of the access attempt program / process 100 and the access target file 105 transmitted by the I / O manager 101 before the file system kernel 102 of the computer system . The file monitor 200 delivers the information 202 of the access attempt program / process 100 and the access target file 105 to the access manager 300. [ The access manager 300 retrieves the record of the access control list 401 provided from the access control list manager 400 in FIG. 3 and stores it in a list of programs / processes accessible to the file of the same kind as the access target file 105 It is checked whether the access attempt program / process 100 to use the access target file 105 is included. As a result of retrieving the record of the access control list 401 provided from the access control list manager 400 in FIG. 3, the access attempt list 401 is accessed to the program / process list which can access the file of the same kind as the access target file 105 / Process 100 is not included, the access manager 300 forwards the file access denial message 204 to the file monitor 200. The file monitor 200 transfers the access denied message 205 to the access target file 105 of the access attempt program / process 100 to the I / O manager 101 to access the access attempt program / So that the target file 105 can not be accessed.

도 5는 컴퓨터 시스템의 랜섬웨어 행위 실시간 탐지 및 차단을 위한 실시간 파일 접근 제어 동작 흐름의 예시 중 한가지이다. 다른 예시는 파일 감시자(200)가 접근 관리자(300)로부터 파일 접근 불허 메시지(204)를 받았을 때, 컴퓨터 시스템의 프로세스 관리 커널에게 접근 시도 프로그램/프로세스(100)의 종료를 요청하여 접근 시도 프로그램/프로세스(100)의 접근 대상 파일(105)에 접근할 수 없도록 통제한다.5 is an example of a flow of a real-time file access control operation for real-time detection and blocking of a ransomware behavior of a computer system. Another example is that when the file monitor 200 receives a file access denied message 204 from the access manager 300, it requests the process management kernel of the computer system to terminate the access attempt program / process 100, So that the access object file 105 of the process 100 can not be accessed.

이러한 기본적인 동작 흐름을 좀 더 구체적으로 예시한 것이 도 6이다.FIG. 6 illustrates this basic operation flow in more detail.

먼저 접근 통제 리스트를 생성하고 관리하는 접근 통제 리스트 관리 장치를 동작시킨다 (S100).First, the access control list management apparatus for creating and managing an access control list is operated (S100).

접근 통제 리스트는 파일의 종류와 해당 파일의 종류에 접근이 허용된 프로그램/프로세스 목록을 한 쌍으로 해서 구성된다. 접근 통제 리스트는 사용자가 직접 입력한 데이터를 이용하여 작성하거나 컴퓨터 시스템의 구성 및 운영 정보를 분석하여 작성한다 (S200, S300). 접근 통제 리스트는 필요에 따라 수정될 수 있다 (S200, S300). 생성/수정된 접근 통제 리스트는 내/외부 저장소(500)에 저장된다 (S400).The access control list consists of a list of programs / processes that are allowed to access the file type and the file type. The access control list is created by using the data directly input by the user or by analyzing the configuration and operation information of the computer system (S200, S300). The access control list may be modified as needed (S200, S300). The generated / modified access control list is stored in the internal / external storage 500 (S400).

접근 관리자 장치를 동작 시킨다 (S1600).The access manager apparatus is operated (S1600).

접근 관리자 장치는 파일 감시자로부터 접근 대상 파일 및 접근 시도 프로그램/프로세스 정보가 수신되면 (S1700), 수신된 파일 및 프로그램 정보를 가지고 접근 통제 리스트 관리자로부터 제공 받은 접근 통제 리스트를 검색한다 (S1800, S1900). 만약 접근 통제 리스트에 수신된 접근 대상 파일의 종류에 대한 기록이 없다면 (S2000), 접근 시도 프로그램이 접근 대상 파일에 정상적으로 접근할 수 있음을 파일 감시자에게 통지한다 (S2200). 만약 접근 통제 리스트에 수신된 접근 대상 파일의 종류에 대한 기록이 있다면 (S2000), 해당 파일 종류의 파일에 접근이 허용된 프로그램 목록을 분석하여, 접근 시도 프로그램/프로세스가 접근이 허용된 프로그램 목록에 포함되어 있는지 확인한다. 만약 접근 시도 프로그램/프로세스가 접근이 허용된 프로그램 목록에 포함되어 있다면 접근 시도 프로그램/프로세스가 접근 대상 파일에 정상적으로 접근할 수 있음을 파일 감시자에게 통지한다 (S2200). 만약 만약 접근 시도 프로그램/프로세스가 접근이 허용된 프로그램 목록에 포함되어 있지 않다면 접근 시도 프로그램/프로세스가 접근 대상 파일에 접근할 수 없음을 파일 감시자에게 통지한다 (S2300).If the access target file and the access attempt program / process information are received from the file monitor (S1700), the access manager apparatus searches the access control list provided from the access control list manager with the received file and program information (S1800, S1900) . If there is no record of the type of access target file received in the access control list (S2000), the file monitor informs the file monitor that the access attempt program can normally access the file to be accessed (S2200). If there is a record of the type of the access target file received in the access control list (S2000), the list of the programs permitted to access the file of the corresponding file type is analyzed, and the access attempt program / Check if it is included. If the access attempt program / process is included in the access permitted program list, the file accessor is notified that the access attempt program / process can normally access the access target file (S2200). If the access attempt program / process is not included in the access permitted program list, the file access monitor notifies the file monitor that the access attempt program / process can not access the access target file (S2300).

프로그램/프로세스의 파일 접근 시도를 탐지하는 파일 감시자 장치를 동작시킨다 (S500). 파일 감시자 모듈은 지속적으로 컴퓨터 시스템에 저장된 파일들에 대한 프로그램/프로세스의 접근 시도를 모니터링한다 (S600). 이 단계는 컴퓨터 시스템의 I/O 관리자가 컴퓨터 시스템의 커널에 전송하는 시스템 메시지를 모니터링함으로써 구현한다. 컴퓨터 시스템의 I/O 관리자가 파일 접근과 관련된 시스템 메시지를 컴퓨터 시스템의 커널에 전송하면, 파일 감시자는 컴퓨터 시스템의 파일 시스템 커널보다 먼저 해당 메시지를 수신한 후, 해당 메시지로부터 접근을 시도하는 프로그램 및 접근 대상이 된 파일의 정보를 획득하여 저장한다 (S700, S800). 파일 감시자는 저장한 프로그램 및 파일 정보는 접근 관리자에게 전달 한 후, 분석 결과를 기다린다 (S900, S1000). 만약 접근 관리자로부터 파일 접근 허용 통보를 수신하면, 컴퓨터 시스템의 파일 시스템 커널에 접근을 시도하는 프로그램 및 접근 대상이 된 파일의 정보를 전달하여 해당 프로그램이 파일을 정상적으로 이용할 수 있도록 한 후(S1200), 파일 감시자가 내부적으로 저장했던(S800) 해당 파일 및 프로그램에 대한 정보를 삭제한다 (S1300). 만약 접근 관리자로부터 파일 접근 불허 통보를 수신하면(S1100), 파일 감시자는 컴퓨터 시스템의 I/O 관리자 또는 컴퓨터 시스템의 프로세스 관리자에게 접근을 시도했던 프로그램이 접근 대상 파일에 접근할 수 없도록 요청 한 후(S1400, S1500), 파일 감시자가 내부적으로 저장했던(S800) 해당 파일 및 프로그램에 대한 정보를 삭제한다 (S1300).The file monitor apparatus for detecting a file access attempt of the program / process is operated (S500). The file watcher module continuously monitors access attempts of programs / processes for files stored in the computer system (S600). This step is implemented by monitoring the system messages sent by the I / O manager of the computer system to the kernel of the computer system. When the I / O manager of the computer system sends a system message related to file access to the kernel of the computer system, the file watcher receives the message before the file system kernel of the computer system, Information of a file to be accessed is acquired and stored (S700, S800). The file monitor transmits the stored program and file information to the access manager, and then waits for the analysis result (S900, S1000). If the file access permission notification is received from the access manager, the program attempts to access the file system kernel of the computer system and the information of the file to be accessed, so that the program can use the file normally (S1200) The information about the file and the program that the file monitor internally stores (S800) is deleted (S1300). If the file manager receives the file access denial notice from the access manager (S1100), the file monitor requests the program that has attempted to access the I / O manager of the computer system or the process manager of the computer system not to access the file to be accessed S1400, and S1500) and deletes the information about the file and the program that the file monitor internally stores (S800) (S1300).

본 발명은 특정 실시 예를 들어 설명하였으나, 이에 한정하는 것은 아니다. 본 발병의 기본적인 개념하에서 랜섬웨어 행위에 대한 실시간 탐지 및 차단 순서 등은 본 발명의 기술적 사상의 범주 내에서 변경 및 수정이 가능하다.Although the present invention has been described by way of specific embodiments, it is not limited thereto. The real-time detection and blocking order of the Ransomware behavior under the basic concept of the present invention can be changed and modified within the scope of the technical idea of the present invention.

Claims (6)

{파일 종류 정보, 파일 접근 프로그램 정보 목록} 쌍으로 구성된 요소들을 포함하는 접근 통제 리스트를 생성/수정/관리하는 제1단계; 컴퓨터 시스템에 저장된 파일을 컴퓨터 시스템에서 작동하는 프로그램/프로세스가 접근/변경을 시도하는 것을 모니터링 하는 제2단계; 컴퓨터 시스템에서 작동하는 프로그램/프로세스가 파일에 접 접근/변경을 시도할 때 접근 통제 리스트를 참조하여 해당 파일에 대한 접근/변경 허용 여부를 판단하는 제3단계; 컴퓨터 시스템에서 작동하는 프로그램/프로세스의 특정 파일에 대한 접근/변경이 불허된 경우, 해당 파일에 대한 해당 프로그램/프로세스의 파일 접근/변경을 차단하는 제4단계로 이루어진 것을 특징으로 하는 컴퓨터 시스템의 랜섬웨어 실시간 탐지 및 차단 방법.A first step of creating / modifying / managing an access control list including elements constituted by pairs {file type information, file access program information list}; A second step of monitoring a program / process operating in the computer system attempting to access / change the file stored in the computer system; A third step of referring to the access control list when the program / process operating in the computer system attempts to access / change the file, and determines whether the file is allowed to be accessed / changed; And a fourth step of blocking file access / modification of the corresponding program / process to the file when the access / change of the specific file of the program / process operating in the computer system is not permitted. Real - time detection and prevention of software. 1항에 있어서, {파일 종류 정보, 파일 접근 프로그램 정보 목록} 쌍으로 구성된 접근 통제 리스트를 생성 또는 수정할 때, 사용자로부터 데이터를 입력 받아 접근 통제 리스트를 생성/수정하거나 컴퓨터 시스템의 운영 및 설정 데이터를 사용하여 접근 통제 리스트를 생성/수정하는 방법.1, when creating or modifying an access control list composed of {file type information, file access program information list} pairs, it is possible to generate and modify an access control list by receiving data from a user, How to create / modify access control list using. 1항에 있어서 접근 대상 파일에 대한 접근 시도 프로그램/프로세스가 접근/변경하려고 할 때, 이를 모니터링 하기 위하여 컴퓨터 시스템의 커널 단에 장치를 설치하고 운영하여 파일의 접근 상황을 컴퓨터 시스템의 파일 시스템 커널보다 먼저 탐지해서 처리하는 방법.In Section 1, when an attempt is made to access / modify a file to be accessed, a device is installed and operated at the kernel end of the computer system to monitor the access status of the file, How to detect and process it first. 1항에 있어서 접근 대상 파일에 대한 접근 시도 프로그램/프로세스의 접근 허용 여부를 판단하기 위하여 접근 통제 리스트의 데이터를 확인할 때, 접근 대상 파일의 종류에 대한 정보가 접근 통제 리스트에 포함되어 있는 경우, 접근 대상 파일과 같은 종류의 파일에 대하여 접근이 허용된 프로그램 목록에 접근 시도 프로그램/프로세스가 포함되어 있지 않을 때, 접근 시도 프로그램/프로세스가 접근 대상 파일에 접근하여 접근 대상 파일을 읽거나 변경하는 것을 금지하는 방법.If the access control list contains information about the type of file to be accessed when checking the access control list data to determine whether or not the access attempt program / process is permitted to access the file to be accessed, When the program / process is not included in the list of programs allowed to access for the same type of file as the target file, the access attempt program / process does not access or read the file to be accessed. How to. 4항에 있어서 접근 시도 프로그램이 접근 대상 파일에 접근하여 접근 대상 파일을 읽거나 변경하는 것을 금지할 때 컴퓨터 시스템의 I/O 관리자에게 접근 대상 파일에 접근 시도 프로그램이 접근할 수 없도록 요청하는 방법; 4항에 있어서 접근 시도 프로그램이 접근 대상 파일에 접근하여 접근 대상 파일을 읽거나 변경하는 것을 금지할 때 컴퓨터 시스템의 프로세스 관리자에게 접근 시도 프로그램의 실행 중단을 요청하는 방법.In Section 4, when the access attempt program accesses the access target file and prohibits the reading or modification of the access target file, it requests the I / O manager of the computer system not to access the access target file. In Section 4, when the access attempt program accesses the access target file and prohibits reading or changing the access target file, it requests the process manager of the computer system to suspend execution of the access attempt program. 4항에 있어서 접근 대상 파일에 대한 접근 시도 프로그램의 접근 허용 여부를 판단하기 위하여 접근 통제 리스트의 데이터를 확인할 때, 5항의 경우 이외의 경우에는 모든 접근 시도 프로그램이 접근 대상 파일에 접근하여 접근 대상 파일을 읽거나 변경하는 것을 허용하는 방법.If the access control list data is checked in order to determine whether the access attempt program for the access target file is permitted in step 4, the access target file is accessed by all the access attempt programs except for the case of step 5, How to allow to read or change.
KR1020170073830A 2017-06-13 2017-06-13 Method and apparatus for real-time detection and prevention of Ransomware of computer system Ceased KR20180135601A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170073830A KR20180135601A (en) 2017-06-13 2017-06-13 Method and apparatus for real-time detection and prevention of Ransomware of computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170073830A KR20180135601A (en) 2017-06-13 2017-06-13 Method and apparatus for real-time detection and prevention of Ransomware of computer system

Publications (1)

Publication Number Publication Date
KR20180135601A true KR20180135601A (en) 2018-12-21

Family

ID=64960135

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170073830A Ceased KR20180135601A (en) 2017-06-13 2017-06-13 Method and apparatus for real-time detection and prevention of Ransomware of computer system

Country Status (1)

Country Link
KR (1) KR20180135601A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210087304A (en) * 2020-01-02 2021-07-12 주식회사 스텔스솔루션 System and method for proventing malware
GB2627941A (en) * 2023-03-08 2024-09-11 Platinum High Integrity Tech Limted File-system protection

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210087304A (en) * 2020-01-02 2021-07-12 주식회사 스텔스솔루션 System and method for proventing malware
GB2627941A (en) * 2023-03-08 2024-09-11 Platinum High Integrity Tech Limted File-system protection

Similar Documents

Publication Publication Date Title
US20230082183A1 (en) Code monitoring and restricting of egress operations
US10628560B1 (en) Permission request system and method
US7506364B2 (en) Integrated access authorization
US8281410B1 (en) Methods and systems for providing resource-access information
US20110239306A1 (en) Data leak protection application
JP4854000B2 (en) Confidential file protection method
KR101685014B1 (en) Detection and blocking method of ransome ware of computer system and device thereof
US20110289557A1 (en) Managing security in a network
CN111400723A (en) Mandatory access control method and system for operating system kernel based on TEE extension
US20240163264A1 (en) Real-time data encryption/decryption security system and method for network-based storage
CN102034052A (en) Operation system architecture based on separation of permissions and implementation method thereof
US20240152610A1 (en) Methods and systems for detecting and blocking malicious actions in operating system
US20250181715A1 (en) Abnormally permissive role definition detection systems
US20110126293A1 (en) System and method for contextual and behavioral based data access control
JP2012003787A (en) Integrated access authorization
US8132261B1 (en) Distributed dynamic security capabilities with access controls
US12229258B2 (en) System, method, and apparatus for smart whitelisting/blacklisting
KR20180135601A (en) Method and apparatus for real-time detection and prevention of Ransomware of computer system
KR102488337B1 (en) Method and apparatus for managing digital information using digital forensic
US12282546B2 (en) Abnormal classic authorization detection systems
KR20030090568A (en) System for protecting computer resource and method thereof
RU2405198C2 (en) Integrated access authorisation
KR102227558B1 (en) Data security method based on program protection
Salehi et al. Welcome to Binder: A kernel level attack model for the Binder in Android operating system
JP4371995B2 (en) Shared file access control method, system, server device, and program

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20170613

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20180719

Patent event code: PE09021S01D

PG1501 Laying open of application
E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20190227

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20180719

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I

J201 Request for trial against refusal decision
PJ0201 Trial against decision of rejection

Patent event date: 20190409

Comment text: Request for Trial against Decision on Refusal

Patent event code: PJ02012R01D

Patent event date: 20190227

Comment text: Decision to Refuse Application

Patent event code: PJ02011S01I

Appeal kind category: Appeal against decision to decline refusal

Appeal identifier: 2019101001189

Request date: 20190409

J501 Disposition of invalidation of trial
PJ0501 Disposition of invalidation of trial

Appeal kind category: Appeal against decision to decline refusal

Request date: 20190409

Appeal identifier: 2019101001189

E601 Decision to refuse application
E801 Decision on dismissal of amendment
PE0601 Decision on rejection of patent

Patent event date: 20190624

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20180719

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I

PE0801 Dismissal of amendment

Patent event code: PE08012E01D

Comment text: Decision on Dismissal of Amendment

Patent event date: 20190624

Patent event code: PE08011R01I

Comment text: Amendment to Specification, etc.

Patent event date: 20190410

Patent event code: PE08011R01I

Comment text: Amendment to Specification, etc.

Patent event date: 20190409

Patent event code: PE08011R01I

Comment text: Amendment to Specification, etc.

Patent event date: 20181019