1 |
1
악성 패밀리에 포함된 적어도 하나의 악성 어플리케이션로부터 추출된 복수의 클래스들을 이용하여 상기 악성 패밀리를 대표하는 적어도 하나의 시그니처를 생성하는 단계; 및상기 생성된 시그니처를 이용하여 대상 어플리케이션이 악성 어플리케이션인지 여부를 판단하는 단계를 포함하고,상기 적어도 하나의 악성 어플리케이션이 제1 악성 어플리케이션 및 제2 악성 어플리케이션을 포함하고,상기 악성 패밀리를 대표하는 적어도 하나의 시그니처를 생성하는 단계는상기 적어도 하나의 시그니처를 생성하기 위하여 상기 제1 악성 어플리케이션에 대응하는 복수의 제1 클래스들 각각에 대한 명령어들의 사용과 관련된 정보와 상기 제2 악성 어플리케이션에 대응하는 복수의 제2 클래스들 각각에 대한 명령어들의 사용과 관련된 정보를 비교하는 단계를 포함하는 클래스 단위의 시그니처를 이용한 악성 어플리케이션 탐지 방법
|
2 |
2
제1항에 있어서,상기 복수의 클래스들 각각에 대하여 명령어들의 사용과 관련된 정보를 추출하는 단계를 더 포함하는 클래스 단위의 시그니처를 이용한 악성 어플리케이션 탐지 방법
|
3 |
3
제2항에 있어서,상기 복수의 클래스들 각각에 대하여 명령어들의 사용과 관련된 정보를 추출하는 단계는상기 적어도 하나의 악성 어플리케이션에 대하여 역어셈블(disassemble)을 수행하는 단계; 및상기 복수의 클래스들 각각에 대한 어셈블리 코드 파일을 획득하는 단계를 포함하는 클래스 단위의 시그니처를 이용한 악성 어플리케이션 탐지 방법
|
4 |
4
제3항에 있어서,상기 복수의 클래스들 각각에 대하여 명령어들의 사용과 관련된 정보를 추출하는 단계는상기 어셈블리 코드 파일에 포함된 명령어들을 추출하는 단계; 및상기 명령어들의 사용과 관련된 정보를 추출하기 위하여 상기 추출된 명령어들의 개수 또는 사용 빈도에 대한 정보를 획득하는 단계를 더 포함하는 클래스 단위의 시그니처를 이용한 악성 어플리케이션 탐지 방법
|
5 |
5
삭제
|
6 |
6
제1항에 있어서,상기 대상 어플리케이션이 악성 어플리케이션인지 여부를 판단하는 단계는상기 대상 어플리케이션이 악성 어플리케이션인지 여부를 판단하기 위하여 상기 대상 어플리케이션에 포함된 명령어들의 개수 또는 사용 빈도에 대한 정보를 획득하는 단계를 포함하는 클래스 단위의 시그니처를 이용한 악성 어플리케이션 탐지 방법
|
7 |
7
제1항에 있어서,상기 대상 어플리케이션이 악성 어플리케이션인지 여부를 판단하는 단계는상기 대상 어플리케이션에 포함된 명령어들 중에서 미리 설정된 사용 빈도 이상으로 사용되거나, 미리 설정된 순위보다 높은 순위의 사용 빈도를 갖는 상위 명령어들을 추출하는 단계; 및상기 상위 명령어들과 상기 시그니처에 포함된 적어도 일부의 명령어들을 비교하는 단계를 포함하는 클래스 단위의 시그니처를 이용한 악성 어플리케이션 탐지 방법
|
8 |
8
제7항에 있어서,상기 비교 결과에 따라 상기 대상 어플리케이션에 포함된 명령어들과 상기 시그니처에 명령어들 사이의 동일성 혹은 유사성을 판단하는 단계를 더 포함하는 클래스 단위의 시그니처를 이용한 악성 어플리케이션 탐지 방법
|
9 |
9
적어도 하나의 악성 어플리케이션을 포함하는 복수의 악성 패밀리들 각각을 대표하는 적어도 하나의 시그니처를 로딩하는 단계; 및상기 로딩된 적어도 하나의 시그니처를 이용하여 대상 어플리케이션이 악성 어플리케이션인지 여부를 판단하는 단계를 포함하고,상기 적어도 하나의 시그니처는상기 적어도 하나의 악성 어플리케이션에 대응하는 상기 복수의 클래스들 각각에 대하여 명령어들의 사용과 관련된 정보를 포함하고,상기 적어도 하나의 악성 어플리케이션이 제1 악성 어플리케이션 및 제2 악성 어플리케이션을 포함하고,상기 로딩된 적어도 하나의 시그니처는, 상기 제1 악성 어플리케이션에 대응하는 복수의 제1 클래스들 각각에 대한 명령어들의 사용과 관련된 정보와 상기 제2 악성 어플리케이션에 대응하는 복수의 제2 클래스들 각각에 대한 명령어들의 사용과 관련된 정보를 비교하여 생성되는 클래스 단위의 시그니처를 이용한 악성 어플리케이션 탐지 방법
|
10 |
10
제9항에 있어서,상기 대상 어플리케이션이 악성 어플리케이션인지 여부를 판단하는 단계는상기 대상 어플리케이션에 포함된 명령어들의 개수 또는 사용 빈도에 대한 정보를 획득하는 단계; 및상기 적어도 하나의 시그니처에 포함된 상기 적어도 하나의 악성 어플리케이션에 대응하는 상기 복수의 클래스들 각각에 대하여 명령어들의 사용과 관련된 정보와 상기 대상 어플리케이션에 포함된 명령어들의 개수 또는 사용 빈도에 대한 정보를 비교하는 단계를 포함하는 클래스 단위의 시그니처를 이용한 악성 어플리케이션 탐지 방법
|