1 |
1
악성 코드를 갖는 파일의 패킹 유무에 따라 상기 파일을 언패킹하여 적어도 둘 이상의 스트링을 추출하거나, 상기 파일에서 적어도 둘 이상의 스트링을 추출하는 스트링 추출부와,상기 추출된 스트링 각각에 대한 엔트로피를 계산하는 엔트로피 계산부와,상기 스트링 각각을 노드로 설정한 후 상기 스트링 각각에 대한 연결 관계를 기반으로 상기 노드들간 방향성을 설정하고, 상기 스트링에 대한 엔트로피에 의거하여 상기 노드의 색상을 설정하여 상기 파일에 대한 그래프를 생성하는 그래프 생성부를 포함하는 것을 특징으로 하는악성 코드 시각화 장치
|
2 |
2
제 1 항에 있어서,상기 엔트로피 계산부는,상기 스트링에 대한 길이, 패턴 또는 빈도수를 이용하여 상기 스트링에 대한 엔트로피를 계산하는 것을 특징으로 하는악성 코드 시각화 장치
|
3 |
3
악성 코드를 갖는 파일에 대한 그래프를 저장하고 있는 악성 코드 데이터베이스를 이용한 악성 코드 탐지 장치로서,임의의 실행 파일에서 스트링을 추출한 후 상기 스트링에 대한 엔트로피를 계산하는 데이터 추출부와,상기 스트링을 노드로 설정하고, 상기 스트링 각각에 대한 연결 관계를 기반으로 상기 노드들간의 방향성을 설정한 후 상기 스트링에 대한 엔트로피를 이용하여 상기 노드들의 색상을 설정하여 상기 임의의 실행 파일에 대한 그래프를 생성하는 데이터 표출부와,상기 임의의 실행 파일에 대한 그래프와 상기 악성 코드 데이터베이스에 저장된 그래프간의 비교를 통해 상기 임의의 실행 파일에 대한 악성 코드 감염 여부를 탐지하는 분석부를 포함하는 것을 특징으로 하는 악성 코드 탐지 장치
|
4 |
4
제 3 항에 있어서,상기 분석부는,상기 임의의 실행 파일에 대한 그래프와 상기 악성 코드 데이터베이스에 저장된 그래프간의 비교를 통해 기 설정된 임계값 이상의 유사도를 갖는 그래프가 상기 악성 코드 데이터베이스에 존재할 경우 상기 임의의 실행 파일이 악성 코드에 감염된 것으로 탐지하는 것을 특징으로 하는악성 코드 탐지 장치
|
5 |
5
제 3 항에 있어서,상기 분석부는,상기 임의의 실행 파일이 악성 코드에 감염된 것으로 탐지되면, 상기 임의의 실행 파일에 대한 그래프를 이용하여 상기 악성 코드 데이터베이스를 업데이트하는 것을 특징으로 하는악성 코드 탐지 장치
|
6 |
6
제 3 항에 있어서,상기 데이터 추출부는,상기 스트링에 대한 길이, 패턴 또는 빈도수를 이용하여 상기 스트링에 대한 엔트로피를 계산하는 것을 특징으로 하는악성 코드 탐지 장치
|
7 |
7
악성 파일에 대한 스트링, 상기 스트링의 연결 관계 및 상기 스트링의 엔트로피를 이용하여 상기 악성 파일 각각의 그래프를 생성하며, 상기 생성된 악성 파일 각각의 그래프를 이용하여 악성 코드 데이터베이스를 생성하는 단계와,임의의 실행 파일이 수신됨에 따라 상기 임의의 실행 파일에서 스트링을 추출하는 단계와,상기 추출한 스트링의 연결 관계 및 엔트로피를 산출하여 상기 임의의 실행 파일에 대한 그래프를 생성하는 단계와,상기 생성된 임의의 실행 파일의 그래프와 상기 악성 코드 데이터베이스에 저장된 그래프간의 유사도를 계산하는 단계와,상기 계산된 유사도를 기반으로 기 설정된 임계값 이상을 갖는 그래프가 상기 악성 코드 데이터베이스에 존재할 경우 상기 임의의 실행 파일에 악성 코드가 존재하는 것으로 탐지하는 단계를 포함하는 것을 특징으로 하는악성 코드 탐지 방법
|
8 |
8
제 7 항에 있어서,상기 악성 코드 데이터베이스를 생성하는 단계는,상기 악성 파일이 패킹되어 있는 경우 상기 악성 파일을 언패킹하여 적어도 둘 이상의 스트링을 추출하는 단계와,상기 추출된 스트링 각각에 대한 엔트로피를 계산하는 단계와,상기 스트링 각각을 노드로 설정한 후 상기 스트링 각각에 대한 연결 관계를 기반으로 상기 노드들간 방향성을 설정하고, 상기 스트링에 대한 엔트로피에 의거하여 상기 노드의 색상을 설정하여 상기 악성 파일에 대한 그래프를 생성하는 단계를 포함하는 것을 특징으로 하는악성 코드 탐지 방법
|
9 |
9
제 7 항에 있어서,상기 악성 코드 탐지 방법은,상기 임의의 실행 파일에 악성 코드가 존재하는 것으로 탐지되면, 상기 임의의 실행 파일에 대한 그래프를 이용하여 상기 악성 코드 데이터베이스를 업데이트하는 단계를 더 포함하는 것을 특징으로 하는악성 코드 탐지 방법
|