| 1 |
1
악성 코드를 함수 단위로 분리하고, 분리한 함수 단위 악성 코드 각각에 대하여 블룸 필터를 적용하여 상기 함수 단위 악성 코드의 필터 값을 추출하는 악성 코드 분석부; 및
미확인 샘플로부터 필터 값을 추출하고, 상기 함수 단위 악성 코드의 필터 값과 상기 미확인 샘플의 필터 값을 비교하여 상기 미확인 샘플에 악성 코드가 포함되었는지 여부를 탐지하는 악성 코드 탐지부
를 포함하는 것을 특징으로 하는 악성 코드 탐지 시스템
|
| 2 |
2
제1항에 있어서,
상기 악성 코드 분석부는 상기 악성 코드가 수행하는 악성 행위를 추적하여 분석하는 것을 특징으로 하는 악성 코드 탐지 시스템
|
| 3 |
3
제2항에 있어서,
상기 악성 코드 분석부는, 상기 악성 코드를 API 후킹하여 상기 악성 코드에 포함된 상기 함수 단위에 의한 악성 행위를 분석하는 것을 특징으로 하는 악성 코드 탐지 시스템
|
| 4 |
4
제3항에 있어서,
상기 악성 행위는 상기 함수 단위에 의하여 파일, 레지스트리, 및 프로세스가 변경되는 동작 또는 네트워크가 특정 주소로 연결 되는 동작 중에 적어도 하나를 포함하는 것을 특징으로 하는 악성 코드 탐지 시스템
|
| 5 |
5
제2항에 있어서,
상기 악성 코드 분석부는 상기 함수 단위 악성 코드의 필터 값을 상기 함수가 수행하는 악성 행위 별로 분류하여 저장하는 것을 특징으로 하는 악성 코드 탐지 시스템
|
| 6 |
6
제5항에 있어서,
상기 악성 코드 분석부는 상기 함수 단위 악성 코드의 필터 값을 악성 코드 진단명, 악성 코드 분류명, 파일 변화, 레지스트리 변화, 프로세스 변화, 네트워크 연결 및 필터 값이 필드로 구성된 데이터베이스에 저장하는 것을 특징으로 하는 악성 코드 탐지 시스템
|
| 7 |
7
제2항에 있어서,
상기 악성 코드 탐지부는,
상기 미확인 샘플을 함수 단위로 분리하는 분석부;
상기 분석부가 분리한 함수 단위 미확인 샘플 각각에 대하여 블룸 필터링을 적용하여 상기 미확인 샘플의 필터 값을 추출하는 블룸 필터;
상기 함수 단위 악성 코드의 필터 값과 상기 미확인 샘플의 필터 값을 비교하여 유사도를 계산하는 유사도 계산부; 및
상기 유사도에 기초하여 상기 미확인 샘플에 악성 코드가 포함되었는지 여부를 판별하는 악성 코드 판별부
를 포함하는 것을 특징으로 하는 악성 코드 탐지 시스템
|
| 8 |
8
제7항에 있어서,
상기 악성 코드 판별부는 상기 유사도 계산부에서 계산된 유사도의 값 중에서 가장 높은 유사도의 값이 특정 임계 값보다 높은지 여부를 확인하고, 상기 가장 높은 유사도의 값이 상기 특정 임계 값보다 높은 경우에 상기 미확인 샘플이 악성 코드를 포함하고 있는 것으로 판단하는 것을 특징으로 하는 악성 코드 탐지 시스템
|
| 9 |
9
제8항에 있어서,
상기 악성 코드 판별부는 상기 가장 높은 유사도의 값에 대응하는 함수 단위 악성 코드에 따라 상기 미확인 샘플에 포함된 악성 코드의 종류를 분류하여 표시하는 것을 특징으로 하는 악성 코드 탐지 시스템
|
| 10 |
10
제8항에 있어서,
상기 악성 코드 판별부는 상기 가장 높은 유사도의 값이 특정 임계 값보다 낮은 경우에, 상기 미확인 샘플의 행위를 추적하여 분석하고, 상기 미확인 샘플의 행위와 상기 악성 코드의 행위를 비교하여 행위 유사도를 계산하며, 상기 미확인 샘플이 상기 행위 유사도가 가장 높은 악성 코드를 포함하고 있는 것으로 판단하는 것을 특징으로 하는 악성 코드 탐지 시스템
|
| 11 |
11
제10항에 있어서,
상기 악성 코드 판별부는 상기 행위 유사도가 가장 높은 악성 코드의 행위 유사도 값이 행위 임계 값보다 높은지 여부를 확인하고, 상기 행위 유사도 값이 상기 행위 임계 값보다 낮은 경우에 상기 미확인 샘플에 악성 코드가 없는 것으로 판단하는 것을 특징으로 하는 악성 코드 탐지 시스템
|
| 12 |
12
악성 코드를 함수 단위로 분리하는 단계;
분리한 함수 단위 악성 코드 각각에 대하여 블룸 필터를 적용하여 상기 함수 단위 악성 코드의 필터 값을 추출하는 단계;
미확인 샘플로부터 필터 값을 추출하는 단계; 및
상기 함수 단위 악성 코드의 필터 값과 상기 미확인 샘플의 필터 값을 비교하여 상기 미확인 샘플에 악성 코드가 포함되었는지 여부를 탐지하는 단계
를 포함하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 13 |
13
제12항에 있어서,
상기 악성 코드가 수행하는 악성 행위를 추적하여 분석하는 단계를 더 포함하는 악성 코드 탐지 방법
|
| 14 |
14
제13항에 있어서,
상기 악성 행위를 추적하여 분석하는 단계는, 상기 악성 코드를 API 후킹하여 상기 악성 코드에 포함된 상기 함수 단위에 의한 악성 행위를 분석하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 15 |
15
제14항에 있어서,
상기 악성 행위는 상기 함수 단위에 의하여 파일, 레지스트리, 및 프로세스가 변경되는 동작 또는 네트워크가 특정 주소로 연결 되는 동작 중에 적어도 하나를 포함하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 16 |
16
제13항에 있어서,
상기 함수 단위 악성 코드의 필터 값을 추출하는 단계는 상기 함수 단위 악성 코드의 필터 값을 상기 함수가 수행하는 악성 행위 별로 분류하여 저장하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 17 |
17
제16항에 있어서,
상기 함수 단위 악성 코드의 필터 값을 추출하는 단계는 상기 함수 단위 악성 코드의 필터 값을 악성 코드 진단명, 악성 코드 분류명, 파일 변화, 레지스트리 변화, 프로세스 변화, 네트워크 연결 및 필터 값이 필드로 구성된 데이터베이스에 저장하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 18 |
18
제13항에 있어서,
상기 미확인 샘플로부터 필터 값을 추출하는 단계는,
상기 미확인 샘플을 함수 단위로 분리하는 단계; 및
분리된 함수 단위 미확인 샘플 각각에 대하여 블룸 필터링을 적용하여 상기 미확인 샘플의 필터 값을 추출하는 단계
를 포함하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 19 |
19
제13항에 있어서,
상기 탐지하는 단계는,
상기 함수 단위 악성 코드의 필터 값과 상기 미확인 샘플의 필터 값을 비교하여 유사도를 계산하는 단계; 및
상기 유사도에 기초하여 상기 미확인 샘플에 악성 코드가 포함되었는지 여부를 판별하는 단계
를 포함하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 20 |
20
제19항에 있어서,
상기 판별하는 단계는,
상기 유사도를 계산하는 단계에서 계산된 유사도의 값 중에서 가장 높은 유사도의 값을 선택하는 단계;
상기 가장 높은 유사도의 값이 특정 임계 값보다 높은지 여부를 확인하는 단계; 및
상기 가장 높은 유사도의 값이 상기 특정 임계 값보다 높은 경우에 상기 미확인 샘플이 악성 코드를 포함하고 있는 것으로 판단하는 단계
를 포함하는 악성 코드 탐지 방법
|
| 21 |
21
제20항에 있어서,
상기 가장 높은 유사도의 값에 대응하는 함수 단위 악성 코드에 따라 상기 미확인 샘플에 포함된 악성 코드의 종류를 분류하여 표시하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 22 |
22
제20항에 있어서,
상기 판별하는 단계는
상기 가장 높은 유사도의 값이 특정 임계 값보다 낮은 경우에, 상기 미확인 샘플의 행위를 추적하여 분석하는 단계;
상기 미확인 샘플의 행위와 상기 악성 코드의 행위를 비교하여 행위 유사도를 계산하는 단계; 및
상기 미확인 샘플이 상기 행위 유사도가 가장 높은 악성 코드를 포함하고 있는 것으로 판단하는 단계
를 더 포함하는 악성 코드 탐지 방법
|
| 23 |
23
제22항에 있어서,
상기 판별하는 단계는
상기 행위 유사도가 가장 높은 악성 코드의 행위 유사도 값이 행위 임계 값보다 높은지 여부를 확인하는 단계; 및
상기 행위 유사도 값이 상기 행위 임계 값보다 낮은 경우에 상기 미확인 샘플에 악성 코드가 없는 것으로 판단하는 단계
를 더 포함하는 악성 코드 탐지 방법
|
