| 1 |
1
악성 코드 분석 시스템에 있어서,제1 바이너리(Binary) 파일이 변환된 제1 시각적 데이터에 대응하는 제1 히스토그램을 저장하는 데이터베이스;제2 바이너리(Binary) 파일의 바이트 값을 스캔하여 제2 시각적 데이터로 변환하는 데이터 변환부;상기 제2 시각적 데이터 변환 과정에서 도출되는 제2 히스토그램 생성 데이터를 이용하여 제2 히스토그램을 생성하는 히스토그램 생성부;상기 제2 히스토그램과 상기 제1 히스토그램 간의 유사도를 계산하는 유사도 계산부; 및상기 유사도를 기반으로 악성 코드를 탐지하고 분류하는 악성 코드 탐지부를 포함하는 악성 코드 분석 시스템
|
| 2 |
2
제1항에 있어서,상기 데이터 변환부는,상기 제2 바이너리의 헤더로부터 섹션과 관련된 정보를 찾아 분석하는 섹션 분석부;상기 섹션 정보에 따라 섹션이 시작되는 위치에서 차례대로 바이트를 스캔하고 상기 스캔된 바이트 값을 이미지 데이터로 이용하는 이미지 생성부; 및상기 이미지 데이터를 이용하여 비트맵 이미지 파일로 저장하는 이미지 기록부를 포함하는 것을 특징으로 하는 악성 코드 분석 시스템
|
| 3 |
3
제2항에 있어서,상기 섹션 분석부는 섹션의 개수만큼 섹션 정보를 저장하는 객체를 생성하고, 섹션의 이름, 섹션의 시작 오프셋(Offset) 정보, 섹션의 정보를 추출하여 저장하는 것을 특징으로 하는 악성 코드 분석 시스템
|
| 4 |
4
제2항에 있어서,상기 이미지 생성부는 상기 스캔된 바이트 값을 STL(Standard Template Library) 자료구조인 벡터로 저장하고,상기 스캔된 바이트 값이 완전히 기록되지 않는 경우엔 남은 부분을 검은색으로 채워 패딩하는 것을 특징으로 하는 악성 코드 분석 시스템
|
| 5 |
5
제2항에 있어서,상기 이미지 기록부는 상기 비트맵 이미지 파일의 구조에 따라 헤더를 초기화한 후, 상기 이미지 데이터를 마지막 라인부터 차례대로 기록하며,상기 이미지 데이터로 하나의 픽셀을 기록하는 경우엔 비트맵 이미지 파일에 필요한 RGB 값을 회색조가 되도록 벡터에 저장된 값을 연속으로 다수 번 기록하는 것을 특징으로 하는 악성 코드 분석 시스템
|
| 6 |
6
제1항에 있어서,상기 제2 히스토그램 생성 데이터는 상기 제2 시각적 데이터의 각 행에 대한 평균, 분산, 엔트로피 값에 대한 데이터에 해당하며, 상기 히스토그램 생성부는 상기 제2 히스토그램을 생성하기 위해 상기 제2 히스토그램 생성 데이터를 사용하는 것을 특징으로 하는 악성 코드 분석 시스템
|
| 7 |
7
제1항에 있어서,상기 히스토그램 생성부가 이용하는 상기 제2 시각적 데이터의 높이(Height)는 히스토그램의 x축 길이에 해당하며, 각 x축에 대응하는 y축의 값은 상기 제2 히스토그램 생성 데이터에 해당하는 것을 특징으로 하는 악성 코드 분석 시스템
|
| 8 |
8
제1항에 있어서,상기 유사도 계산부는 상기 제2시각적 데이터의 상기 제1 히스토그램과 데이터베이스의 히스토그램에 대해서 유사도 비교 알고리즘을 적용하며,상기 제2 히스토그램과 상기 제1 히스토그램의 x축 길이를 일치시킨 후에 유사도를 비교하는 것을 특징으로 하는 악성 코드 분석 시스템
|
| 9 |
9
제8항에 있어서,상기 제1 및 제2 히스토그램의 x축 길이 차이가 적을 경우 상기 제1 및 제2 히스토그램 중 어느 하나의 x축 길이를 확장 또는 축소시켜 상기 제2 히스토그램과 상기 제1 히스토그램의 x축 길이를 일치시키며,상기 제1 및 제2 히스토그램의 x축 길이 차이가 클 경우, 길이가 짧은 히스토그램의 최대 값을 찾고 상기 최대 값의 왼쪽 길이 l과 오른쪽 길이 r을 계산한 후, 길이가 긴 히스토그램의 최대 값을 찾아 상기 왼쪽 길이 l과 오른쪽 길이 r을 잘라냄으로써 상기 제2 시각적 데이터의 히스토그램과 상기 제1 히스토그램의 x축 길이를 일치시키는 것을 특징으로 하는 악성 코드 분석 시스템
|
| 10 |
10
제1항에 있어서,상기 데이터베이스는 기존 악성 코드에 대한 다수 개의 히스토그램 이력을 기 저장하고 있는 것을 특징으로 하는 악성 코드 분석 시스템
|
| 11 |
11
제1항에 있어서,상기 유사도 계산부는 상기 제2 히스토그램과 상기 제1 히스토그램의 전반적인 형태의 유사 여부와 극대점 간의 거리를 이용하여 상기 유사도를 계산하는 것을 특징으로 하는 악성 코드 분석 시스템
|
| 12 |
12
제1항에 있어서,상기 악성 코드 탐지부는 상기 유사도가 기 설정된 수치 이상으로 나타나면 악성 코드의 변종으로 탐지하고, 상기 제2 히스토그램을 악성 코드의 히스토그램으로서 상기 데이터베이스에 저장하는 것을 특징으로 하는 악성 코드 분석 시스템
|
| 13 |
13
악성 코드 분석 방법에 있어서,제1 바이너리(Binary) 파일이 변환된 제1 시각적 데이터에 대응하는 제1 히스토그램을 저장하는 단계;제2 바이너리(Binary) 파일의 바이트 값을 스캔하여 제2 시각적 데이터로 변환하는 단계;상기 제2 시각적 데이터 변환 과정에서 도출되는 데이터를 이용하여 상기 제2 히스토그램을 생성하는 단계;상기 제2 히스토그램과 상기 제1 히스토그램 간의 유사도를 계산하는 단계; 및상기 유사도를 기반으로 악성 코드를 탐지하고 분류하는 단계를 포함하는 악성 코드 분석 방법
|
