Traitement en cours

Veuillez attendre...

Paramétrages

Paramétrages

Aller à Demande

1. WO2020111504 - PROCÉDÉ DE DÉTECTION DE RANÇONGICIEL ET SYSTÈME DE DÉTECTION DE RANÇONGICIEL

Numéro de publication WO/2020/111504
Date de publication 04.06.2020
N° de la demande internationale PCT/KR2019/013504
Date du dépôt international 15.10.2019
CIB
G06F 21/56 2013.01
GPHYSIQUE
06CALCUL; COMPTAGE
FTRAITEMENT ÉLECTRIQUE DE DONNÉES NUMÉRIQUES
21Dispositions de sécurité pour protéger les calculateurs, leurs composants, les programmes ou les données contre une activité non autorisée
50Contrôle des usagers, programmes ou dispositifs de préservation de l’intégrité des plates-formes, p.ex. des processeurs, des micrologiciels ou des systèmes d’exploitation
55Détection d’intrusion locale ou mise en œuvre de contre-mesures
56Détection ou traitement de programmes malveillants, p.ex. dispositions anti-virus
CPC
G06F 21/56
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
56Computer malware detection or handling, e.g. anti-virus arrangements
Déposants
  • 주식회사 심플한 SIMPLEHAN CO., LTD. [KR]/[KR]
  • 인하대학교 산학협력단 INHA UNIVERSITY RESEARCH AND BUSINESS FOUNDATION [KR]/[KR]
Inventeurs
  • 백성하 BAEK, Sung Ha
  • 양대헌 NYANG, Dae Hun
Mandataires
  • 특허법인 남촌 NAMCHON PATENT AND LAW FIRM
Données relatives à la priorité
10-2018-015265530.11.2018KR
Langue de publication coréen (KO)
Langue de dépôt coréen (KO)
États désignés
Titre
(EN) RANSOMWARE DETECTION METHOD AND RANSOMWARE DETECTION SYSTEM
(FR) PROCÉDÉ DE DÉTECTION DE RANÇONGICIEL ET SYSTÈME DE DÉTECTION DE RANÇONGICIEL
(KO) 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템
Abrégé
(EN)
The present invention relates to a ransomware detection method and a ransomware detection system which are capable of preventing ransomware by detecting ransomware activity inside a NAND flash memory-based solid state drive (SSD), and, more particularly, to a ransomware detection method and a ransomware detection system, the ransomware detection method comprising the steps of: classifying files that are infected with ransomware and periodically monitoring, at each predefined monitoring time, an IO request with respect to files having the same magic number as the classified files in order to detect the ransomware; identifying whether overwriting has occurred on a memory block having the same logic block address (LBA) as a read-requested block, on the basis of distribution of a monitored IO request header; counting the number of overwriting times according to a plurality of predefined features in order to specify operation characteristics of the ransomware, on the basis of the identifying whether overwriting has occurred; and detecting ransomware activity, on the basis of the counted number of overwriting times.
(FR)
La présente invention porte sur un procédé de détection de rançongiciels et un système de détection de rançongiciels qui sont capables d'empêcher la mise en œuvre de rançongiciels par détection d'une activité de rançongiciel à l'intérieur d'un lecteur à semi-conducteurs (SSD) basé sur une mémoire flash NAND, et, plus particulièrement, un procédé de détection de rançongiciel et un système de détection de rançongiciel, le procédé de détection de rançongiciel comprenant les étapes suivantes consistant à : classer des fichiers qui sont infectés par un rançongiciel et effectuer une surveillance périodique, à chaque moment de surveillance prédéfini, une requête i/o par rapport à des fichiers présentant le même nombre magique que les fichiers classés afin de détecter le rançongiciel ; identifier si un écrasement s'est produit ou non sur un bloc de mémoire ayant la même adresse de bloc logique (LBA) en tant que bloc demandé en lecture, sur la base de la distribution d'un en-tête de requête i/o surveillé ; compter le nombre de temps d'écrasement en fonction d'une pluralité de caractéristiques prédéfinies afin de spécifier des caractéristiques de fonctionnement du rançongiciel, sur la base de l'identification du fait que l'écrasement s'est ou non produit; et détecter l'activité du rançongiciel, sur la base du nombre décompté de temps d'écrasement.
(KO)
본 발명은 NAND 플래시 메모리 기반 SSD(Solid State Drive) 내부에서 랜섬웨어(ransomeware)의 활동을 탐지(detect)하여 랜섬웨어를 방어할 수 있는 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템에 관한 것으로, 더욱 상세하게는, 랜섬웨어에 감염되는 파일들을 분류하고 랜섬웨어 탐지를 위해 미리 정의된 모니터링 시간마다 상기 분류된 파일들과 동일한 매직넘버(magic number)를 갖는 파일들에 대해 주기적으로 IO 요청(IO request)을 모니터링하는 단계; 모니터링된 IO 요청의 헤더(IO request header)의 분포에 기초하여, 읽기(read) 요청된 블록과 동일한 논리 블록 주소(LBA)를 가진 메모리 블록을 대상으로 덮어 쓰기(overwrite)가 발생했는지 여부를 확인하는 단계; 상기 덮어 쓰기의 발생 여부 확인에 기초하여 상기 랜섬웨어의 동작 특성을 특정하기 위해 미리 정의된 복수 개의 특성(feature) 별로 덮어 쓰기(overwrite) 횟수를 카운팅하는 단계; 및 카운팅된 상기 덮어 쓰기 횟수에 기초하여 랜섬웨어의 활동(activity) 여부를 탐지하는 단계;를 포함하는 랜섬웨어 탐지 방법 및 랜섬웨어 탐지 시스템에 관한 것이다.
Également publié en tant que
Dernières données bibliographiques dont dispose le Bureau international