1 |
1
악성코드 탐지장치에 있어서,기저장된 또는 입력된 악성코드 및 정상코드로부터 악성표본 및 정상표본을 수집하는 정보추출부;상기 수집된 악성표본 및 정상표본에 공통으로 존재하는 코드정보를 상기 악성표본 및 상기 정상표본에서 제거하여 상기 악성표본 및 상기 정상표본의 고유정보를 생성하는 표본정보 정제부;상기 악성표본의 종 및 상기 정상표본의 종에 포함된 각각의 고유정보의 가중치를 계산하는 가중치 계산부; 및상기 계산된 가중치 및 탐지 대상 응용에 포함된 하나 이상의 고유정보의 확률에 기초하여 상기 탐지 대상 응용이 대응되는 악성표본의 종에 해당하는 악성코드임을 탐지하는 탐지부를 포함하되,상기 악성표본 및 상기 정상표본은 각각 하나 이상의 악성표본의 종 및 정상표본의 종으로 분류되고, 상기 고유정보의 확률은 상기 하나 이상의 악성표본의 종 및 정상표본의 종에 포함된 각각의 고유정보의 가중치에 기초하여 계산되는 것인, 악성코드 탐지장치
|
2 |
2
제 1 항에 있어서,상기 가중치 계산부는,상기 악성표본에 포함된 하나 이상의 고유정보 중 어느 하나의 고유정보가 포함되는 악성표본의 수 대비 상기 악성표본의 종 내의 상기 어느 하나의 고유정보가 포함된 악성표본의 비율에 기초하여 상기 악성표본의 종에 포함된 각각의 고유정보에 대한 가중치를 계산하고,상기 정상표본에 포함된 하나 이상의 고유정보 중 어느 하나의 고유정보가 포함되는 정상표본의 수 대비 상기 정상표본의 종 내의 상기 어느 하나의 고유정보가 포함된 정상표본의 비율에 기초하여 상기 정상표본의 종에 포함된 각각의 고유정보에 대한 가중치를 계산하는 악성코드 탐지장치
|
3 |
3
제 1 항에 있어서,상기 탐지부는,상기 탐지 대상 응용에 포함된 하나 이상의 고유정보, 및 상기 악성표본의 종 및 상기 정상표본의 종에 포함된 각각의 고유정보의 가중치에 기초하여 상기 탐지 대상 응용이 상기 악성표본의 종에 포함될 확률 및 상기 정상표본의 종에 포함되지 않을 확률을 산출하여 상기 탐지 대상 응용이 어느 악성표본 종과 유사한지 판단하는 악성코드 탐지장치
|
4 |
4
제 1 항에 있어서,상기 탐지부는,하기 수학식을 이용하여 상기 탐지 대상 응용이 어느 악성표본 종과 유사한지 판단하는 악성코드 탐지장치
|
5 |
5
제 4 항에 있어서,상기 탐지부는,상기 유사도가 일정한 임계치 이상인 때, 상기 탐지 대상 응용이 상기 i번째 악성표본 종에 속하는 악성코드임을 탐지하는 악성코드 탐지장치
|
6 |
6
악성코드 탐지방법에 있어서,기저장된 또는 입력된 악성코드 및 정상코드로부터 악성표본 및 정상표본을 수집하는 단계;상기 수집된 악성표본 및 정상표본에 공통으로 존재하는 코드정보를 상기 악성표본 및 상기 정상표본에서 제거하여 상기 악성표본 및 상기 정상표본의 고유정보를 생성하는 단계;상기 악성표본의 종 및 상기 정상표본의 종에 포함된 각각의 고유정보의 가중치를 계산하는 단계; 및상기 계산된 가중치 및 탐지 대상 응용에 포함된 하나 이상의 고유정보에 기초하여 상기 탐지 대상 응용이 대응되는 악성표본의 종에 해당하는 악성코드임을 탐지하는 단계를 포함하되, 상기 악성표본과 상기 정상표본은 각각 하나 이상의 악성표본의 종 및 정상표본의 종으로 분류되고, 상기 고유정보의 확률은 상기 하나 이상의 악성표본 종 및 정상표본의 종에 포함된 각각의 고유정보의 가중치에 기초하여 계산되는 것인, 악성코드 탐지방법
|
7 |
7
제 6 항에 있어서,상기 가중치를 산출하는 단계는,상기 악성표본에 포함된 하나 이상의 고유정보 중 어느 하나의 고유정보가 포함되는 악성표본의 수 대비 상기 악성표본의 종 내의 상기 어느 하나의 고유정보가 포함된 악성표본의 비율에 기초하여 상기 악성표본의 종에 포함된 각각의 고유정보에 대한 가중치를 계산하고, 상기 정상표본에 포함된 하나 이상의 고유정보 중 어느 하나의 고유정보가 포함되는 정상표본의 수 대비 상기 정상표본의 종 내의 상기 어느 하나의 고유정보가 포함된 정상표본의 비율에 기초하여 상기 정상표본의 종에 포함된 각각의 고유정보에 대한 가중치를 계산하는 악성코드 탐지방법
|
8 |
8
제 6 항에 있어서,상기 탐지하는 단계는,상기 탐지 대상 응용에 포함된 하나 이상의 고유정보, 및 상기 악성표본의 종 및 상기 정상표본의 종에 포함된 각각의 고유정보의 가중치에 기초하여 상기 탐지 대상 응용이 상기 악성표본의 종에 포함될 확률 및 상기 정상표본의 종에 포함되지 않을 확률을 산출하여 상기 탐지 대상 응용이 어느 악성표본 종과 유사한지 판단하는 악성코드 탐지방법
|
9 |
9
제 6 항에 있어서,상기 탐지하는 단계는,하기 수학식을 이용하여 상기 탐지 대상 응용이 어느 악성표본 종과 유사한지 판단하는 악성코드 탐지방법
|
10 |
10
제 9 항에 있어서,상기 탐지하는 단계는,상기 유사도가 일정한 임계치 이상인 때, 상기 탐지 대상 응용이 상기 i번째 악성표본 종에 속하는 악성코드임을 탐지하는 악성코드 탐지방법
|