1 |
1
분류 대상 실행파일의 헤더에서 분류 대상 컴파일러 정보를 획득하는 컴파일러 정보 획득부;실행파일 그룹들 각각의 샘플 컴파일러 정보 및 상기 분류 대상 컴파일러 정보 간의 유사도 값들을 산출하는 유사도 산출부; 및상기 유사도 값들이 기설정된 값을 초과하는지 여부에 따라 상기 분류 대상 실행파일이 상기 실행파일 그룹들 각각에 해당하는지 여부를 달리 판단하여 상기 분류 대상 실행파일을 분류하는 실행파일 분류부를 포함하고,상기 컴파일러 정보 획득부는상기 헤더의 도스 스텁(Dos Stub) 및 엔티 헤더(NT Header) 사이에 포함된 데이터로부터 상기 분류 대상 컴파일러 정보를 획득하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 장치
|
2 |
2
청구항 1에 있어서,상기 분류 대상 실행파일의 헤더는피이 포맷(Portable Executable Format, PE Format)의 헤더인 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 장치
|
3 |
3
삭제
|
4 |
4
청구항 2에 있어서,상기 유사도 산출부는상기 실행파일 그룹들 중 어느 하나의 샘플 컴파일러 정보를 이용하여 샘플 슁글(shingle) 집합을 생성하고,상기 분류 대상 컴파일러 정보를 이용하여 분류 대상 슁글 집합을 생성하고,상기 샘플 슁글 집합 및 상기 분류 대상 슁글 집합의 교집합의 원소 개수를 상기 샘플 슁글 집합 및 상기 분류 대상 슁글 집합의 합집합의 원소 개수로 나누어 유사도를 산출하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 장치
|
5 |
5
청구항 4에 있어서,상기 유사도 산출부는상기 분류 대상 컴파일러 정보를 4바이트 단위로 하나의 원소로 하여 상기 분류 대상 슁글 집합을 생성하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 장치
|
6 |
6
삭제
|
7 |
7
청구항 5에 있어서,상기 실행파일 분류부는상기 실행파일 그룹들 중 어느 하나인 실행파일 그룹의 샘플 컴파일러 정보 및 상기 분류 대상 컴파일러 정보 간의 유사도 값이 상기 기설정된 값을 초과하는 경우상기 분류 대상 실행파일을 상기 실행파일 그룹에 해당하는 것으로 판단하고,상기 실행파일 그룹의 샘플 컴파일러 정보 및 상기 분류 대상 컴파일러 정보 간의 유사도 값이 상기 기설정된 값을 초과하지 않는 경우상기 분류 대상 실행파일을 상기 실행파일 그룹에 해당하지 않는 것으로 판단하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 장치
|
8 |
8
청구항 7에 있어서,상기 실행파일 분류부는상기 분류 대상 실행파일이 상기 실행파일 그룹들 전부에 대하여 해당하지 않는 것으로 판단된 경우,새로이 실행파일 그룹을 생성하고,상기 분류 대상 실행파일을 새로이 생성된 상기 실행파일 그룹에 해당하는 것으로 판단하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 장치
|
9 |
9
청구항 8에 있어서,상기 분류 대상 실행파일은압축, 코드 변형 및 난독화된 실행파일을 포함하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 장치
|
10 |
10
분류 대상 실행파일의 헤더에서 분류 대상 컴파일러 정보를 획득하는 단계;실행파일 그룹들 각각의 샘플 컴파일러 정보 및 상기 분류 대상 컴파일러 정보 간의 유사도 값들을 산출하는 단계; 및상기 유사도 값들이 기설정된 값을 초과하는지 여부에 따라 상기 분류 대상 실행파일이 상기 실행파일 그룹들 각각에 해당하는지 여부를 달리 판단하여 상기 분류 대상 실행파일을 분류하는 단계를 포함하고,상기 컴파일러 정보를 획득하는 단계는상기 헤더의 도스 스텁(Dos Stub) 및 엔티 헤더(NT Header) 사이에 포함된 데이터로부터 상기 분류 대상 컴파일러 정보를 획득하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 방법
|
11 |
11
청구항 10에 있어서,상기 분류 대상 실행파일의 헤더는피이 포맷(Portable Executable Format, PE Format)의 헤더인 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 방법
|
12 |
12
삭제
|
13 |
13
청구항 11에 있어서,상기 유사도 값들을 산출하는 단계는상기 실행파일 그룹들 중 어느 하나의 샘플 컴파일러 정보를 이용하여 샘플 슁글(shingle) 집합을 생성하고,상기 분류 대상 컴파일러 정보를 이용하여 분류 대상 슁글 집합을 생성하고,상기 샘플 슁글 집합 및 상기 분류 대상 슁글 집합의 교집합의 원소 개수를 상기 샘플 슁글 집합 및 상기 분류 대상 슁글 집합의 합집합의 원소 개수로 나누어 유사도를 산출하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 방법
|
14 |
14
청구항 13에 있어서,상기 유사도 값들을 산출하는 단계는상기 분류 대상 컴파일러 정보를 4바이트 단위로 하나의 원소로 하여 상기 분류 대상 슁글 집합을 생성하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 방법
|
15 |
15
청구항 14에 있어서,상기 분류 대상 실행파일을 분류하는 단계는상기 유사도 값들이 기설정된 값을 초과하는지 여부에 따라 상기 분류 대상 실행파일이 상기 실행파일 그룹들 중 어느 하나에 해당하는지 여부를 달리 판단하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 방법
|
16 |
16
청구항 15에 있어서,상기 분류 대상 실행파일을 분류하는 단계는상기 실행파일 그룹들 중 어느 하나인 실행파일 그룹의 샘플 컴파일러 정보 및 상기 분류 대상 컴파일러 정보 간의 유사도 값이 상기 기설정된 값을 초과하는 경우상기 분류 대상 실행파일을 상기 실행파일 그룹에 해당하는 것으로 판단하고,상기 실행파일 그룹의 샘플 컴파일러 정보 및 상기 분류 대상 컴파일러 정보 간의 유사도 값이 상기 기설정된 값을 초과하지 않는 경우상기 분류 대상 실행파일을 상기 실행파일 그룹에 해당하지 않는 것으로 판단하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 방법
|
17 |
17
청구항 16에 있어서,상기 분류 대상 실행파일을 분류하는 단계는상기 분류 대상 실행파일이 상기 실행파일 그룹들 전부에 대하여 해당하지 않는 것으로 판단된 경우,새로이 실행파일 그룹을 생성하고,상기 분류 대상 실행파일을 새로이 생성된 상기 실행파일 그룹에 해당하는 것으로 판단하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 방법
|
18 |
18
청구항 17에 있어서,상기 분류 대상 실행파일은압축, 코드 변형 및 난독화된 실행파일을 포함하는 것을 특징으로 하는 컴파일러 정보 유사도를 이용한 실행파일 분류 방법
|