SSD INTERNAL DEFENSE METHOD INCURRING NO DATA LOSS DUE TO RANSOMWARE, AND RANSOMWARE DETECTION SYSTEM

• Main Authors: BAEK, Sung Ha, NYANG, Dae Hun
• Format: Patent
• Language: English; French; Korean
• Published: 06.06.2019
• Subjects: CALCULATING; COMPUTING; COUNTING; ELECTRIC DIGITAL DATA PROCESSING; PHYSICS

An SSD internal defense method incurring no data loss due to ransomware, and a ransomware detection system are disclosed. A method for detecting ransomware operating in a NAND flash memory can comprise the steps of: periodically monitoring IO requests at every pre-defined monitoring period for ransomware detection; checking, on the basis of distribution of the header of the monitored IO requests, whether an overwrite occurred on a memory block having the same logical block address (LBA) as a read-requested block; counting, on the basis of the checking of whether overwriting occurred, the number of overwrites for each of a plurality of pre-defined features in order to specify operational features of the ransomware; and detecting activity of the ransomware on the basis of the counted number of overwrites. L'invention porte sur un procédé de défense interne de SSD ne provoquant pas de perte de données due à un rançongiciel et sur un système de détection de rançongiciel. Un procédé de détection d'un rançongiciel dans une mémoire flash NON-ET peut comprendre les étapes consistant à : surveiller périodiquement une demande d'E/S à chaque instant de surveillance prédéfini pour la détection de rançongiciel ; vérifier, sur la base d'une distribution d'un en-tête de la demande d'E/S surveillée, si un écrasement s'est produit sur un bloc de mémoire ayant la même adresse de bloc logique (LBA) en tant que bloc demandé en lecture ; compter, sur la base de la vérification du fait qu'un écrasement s'est produit ou non, le nombre d'écrasements pour chaque caractéristique parmi une pluralité de caractéristiques prédéfinies afin de spécifier une caractéristique de fonctionnement du rançongiciel ; et détecter une activité du rançongiciel sur la base du nombre compté d'écrasements. 랜섬웨어에 대한 데이터 손실이 없는 SSD 내부 방어 방법 및 랜섬웨어 탐지 시스템이 개시된다. NAND 플래시 메모리에서 동작하는 랜섬웨어 탐지 방법에 있어서, 랜섬웨어 탐지를 위해 미리 정의된 모니터링 시간마다 주기적으로 IO 요청(IO request)을 모니터링하는 단계, 모니터링된 IO 요청의 헤더(IO request header)의 분포에 기초하여, 읽기(read) 요청된 블록과 동일한 논리 블록 주소(LBA)를 가진 메모리 블록을 대상으로 덮어 쓰기(overwrite)가 발생했는지 여부를 확인하는 단계, 상기 덮어 쓰기의 발생 여부 확인에 기초하여 상기 랜섬웨어의 동작 특성을 특정하기 위해 미리 정의된 복수개의 특성(feature) 별로 덮어 쓰기(overwrite) 횟수를 카운팅하는 단계, 및 카운팅된 상기 덮어 쓰기 횟수에 기초하여 랜섬웨어의 활동(activity) 여부를 탐지하는 단계를 포함할 수 있다.