| 1 |
1
악성코드 분류 시스템에 있어서,
기존 악성코드의 파일, 레지스트리, 네트워크 및 프로세스와 관련한 DB를 구축하고 있는 분석 데이터베이스부;
악성코드를 그룹핑(Grouping)하고, 각 그룹에 대한 클러스터를 정의함으로써, 기존의 악성코드와 분류하고자 하는 악성코드의 유사도를 측정하는 악성코드 분류부; 및
상기 악성코드 분류부를 통해 측정된 가장 유사도가 소정 개수의 목록을 표시하고, 각각의 값에 대한 계산결과를 챠트형태로 표시하는 결과 표시부; 를 포함하되,
상기 분석 데이터베이스부는, 기존 악성코드에 관한 악성 정보, 분석관리 정보 및 점수 정보와 관련한 DB를 더 포함하는 것을 특징으로 하는 악성코드 분류 시스템
|
| 2 |
2
제 1 항에 있어서,
상기 악성코드 분류부는,
악성코드를 다수개로 그룹핑하며, 각 그룹내에서 클러스터를 정의하고, 클러스터별로 각 점수가 배정된 테이블을 구현하고 있는 악성코드 그룹핑 설정모듈; 및
상기 분석 데이터베이스부에 구성되어 있는 기존의 악성코드와, 분류하고자 하는 악성코드를 비교하되, 각 점수가 배정된 악성코드 그룹별 테이블을 바탕으로 분류하고자 하는 악성코드의 유사도 점수를 계산함으로써, 기존의 악성코드와 분류하고자 하는 악성코드의 유사도를 측정하는 유사도 측정모듈; 을 포함하는 것을 특징으로 하는 악성코드 분류 시스템
|
| 3 |
3
제 1 항에 있어서,
상기 유사도 측정모듈은,
상기 분석 데이터베이스부에 구성되어 있는 기존의 모든 악성코드 샘플과 비교하지 않고, 다수개의 샘플을 대표할 수 있는 '기준 악성코드'를 설정하는 것을 특징으로 하는 악성코드 분류 시스템
|
| 4 |
4
제 1 항에 있어서,
상기 유사도 측정모듈은,
분류하고자 하는 악성코드를, 다수개의 악성코드의 각 파일(FILE), 레지스트리(REGISTRY), 네트워크(NETWORK), 프로세스(PROCESS) 테이블에 대하여 유사도를 측정함으로써, 해당 클러스터에서 유사도가 높은 순으로 소정 개수의 목록을 추출하는 것을 특징으로 하는 악성코드 분류 시스템
|
| 5 |
5
제 1 항에 있어서,
상기 악성코드는, 트로이 목마(TROJAN), 다운로더(DOWMLOADER), 파일 바이러스(FILE VIRUS), 웜(WORM), 드롭퍼(DROPPER), 키로거(KEYLOGGER), 봇(BOT), 백도어(BACKDOOR) 및 애드웨어/스파이웨어(ADWARE/SPYWARE)를 포함하는 것을 특징으로 하는 악성코드 분류 시스템
|
