Search

KR-20260061575-A - Method and Device for Data Recovery of Flash Memory for Ransomware Protection

KR20260061575AKR 20260061575 AKR20260061575 AKR 20260061575AKR-20260061575-A

Abstract

본 발명의 일 실시예에 의한 랜섬웨어 방어를 위한 플래시 메모리의 데이터 회복 방법 및 그 장치는, 분석기로 분석기로 Input 및 Output 요청의 패턴을 감시하는 단계, 상기 Input 및 Output 요청을 분석한 후 위험지수를 부여하는 단계, 공격위험이 높은 상기 Input 및 Output 요청의 정보를 커널 안에 기록하는 단계를 포함하고 랜섬웨어 공격으로부터의 데이터 보안성을 높이고 데이터 손실을 최소화할 수 있는 특징이 있다.

Inventors

  • 강경태
  • 윤균홍

Assignees

  • 한양대학교 에리카산학협력단

Dates

Publication Date
20260506
Application Date
20241028

Claims (1)

  1. 분석기로 Input 및 Output 요청의 패턴을 감시하는 단계; 상기 Input 및 Output 요청을 분석한 후 위험지수를 부여하는 단계; 및 공격위험이 높은 상기 Input 및 Output 요청의 정보를 커널 안에 기록하는 단계; 를 포함하는 랜섬웨어 방어를 위한 플래시 메모리의 데이터 회복 방법 및 그 장치.

Description

랜섬웨어 방어를 위한 플래시 메모리의 데이터 회복 방법 및 그 장치 {Method and Device for Data Recovery of Flash Memory for Ransomware Protection} 본 발명은 랜섬웨어 방어를 위한 플래시 메모리의 데이터 회복 방법 및 그 장치에 관한 것으로, 메커니즘을 통해 손실 파일을 덜 없애면서 데이터 보안을 할 수 있는 방법에 관한 것임. 할리우드 장로 병원에 발생한 랜섬웨어 공격 사건(2016), 나야나 웹 회사 랜섬웨어 공격 사건(2017) 등 저장용 매체(HDD, SSD)의 정보 안전 위험을 빠지고 있다. 순수한 정기 백업 방법부터 저장매체의 특성을 이용해 공격 감지, 백업 방법들을 개선해 오고 있다. 그러나, 기존 백업 방식은 용량 더 요구하고, 커널 레벨에서 감시하려면 많은 리소스를 낭비하게 되고 관리자 권한 얻기가 쉽기 때문에 랜섬웨어 위험에 빠질 수가 있다. 기존 매체도 HDD에서 SSD에서 넘어오고 있는 와중에, 더 Lightweight한 메커니즘이 필요하다. 도 1은 FEMU이라는 시뮬레이터를 사용하여, 가상화된 Open-Channel SSD의 구조이다. 도 2는 FIO 등 공개되어 있는 I/O Testing 소프트웨어를 이용하여, 랜섬웨어 공격 패턴 분석한 결과이다. 도 3은 본 발명의 메커니즘에 관한 도면이다. 본 발명은 오픈 채널 저장장치(Open-Channel SSD)의 특성을 살려, Ransomware 공격을 방어하기 위한 메커니즘을 개발하였다. 각 I/O 요청을 분석한 후 위험지수를 부여한다. 공격위험 높은 I/O의 정보를 커널 안에 기록한 후, 짧은 시간 안에 공격패턴 맞게 한 공격들을 백업한 방법이다. 본 발명의 매커니즘은 SSD 내부에 만든 분석기가 있어 각 I/O 요청의 패턴을 감시한다. 쓰기/읽기 요청인지, 갱신 시간 언제 인지 등 메타정보를 기록해 Entorpy를 설립하여 위험지수 부여한다. 이에 따라 점수 높은 경우, 해당 I/O 복원하기 위해 커널 로그에 정보를 기록한다. 따라서, SSD 캐시에 있는 연속 페이지가 Read-Write-Overwrite인 경우, 공격으로 간주하여 Over-provisioning에 백업한다. 이러한 메커니즘을 통해 손실 파일 덜 없애면서 데이터보안을 할 수 있게 된다. 본 발명의 메커니즘의 효과는 다음과 같다. 1) 분석기 실시간 동작하면서, 각 I/O 요청들이 위험지수를 따져, 공격할 만한 I/O 요청을 감시한다. 해당 I/O 실행하기 전, 그 I/O의 속한 파일의 위치, 공격시간, 파일크기, LPA(가상주소), PPA(물리주소), 메타데이터 정보들 신속하게 커널 로그에 기록한다. 이로 인해 추후 공격하더라도 복원 더 쉽게 할 수 있고 해당 애플리케이션 공격을 기록할 수 있고 모니터링도 쉬워졌다. 2) 오픈채널 SSD의 속한 캐시를 분석하여, 짧은 시간 안에 Read-Write-Overwrite 잦은 경우, 원주소에 있는 페이지를 즉시 Over-Provisioning(OP)에 복사하고 매핑 테이블 업그레이드한다. SSD 내부는 관리자 계정 권한이 따로 있기 때문에, 내부 쉽게 얻기가 쉽지 않다. 이로 인해 OP에 있는 정보가 안전하고 랜섬웨어 공격하더라도 파일 손실하지 않기 때문에 안전하다.