| 1 |
1
악성코드 탐지 및 분류 시스템에 있어서,악성코드 바이너리 파일로부터 상기 바이너리 파일에 존재하는 모든 표현되는 문자열을 추려내는 문자열 추출부;상기 문자열 추출부로부터 추출된 문자열 중 악성코드 탐지 및 분류에 방해되는 요소들을 정제하는 문자열 정제부; 및상기 문자열 정제부로부터 정제된 문자열의 비교를 통해서 하나의 바이너리가 다른 바이너리와 얼마나 유사한지 판단하는 문자열 비교부;를 포함하는 것을 특징으로 하는 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 시스템
|
| 2 |
2
제 1항에 있어서,상기 문자열은 바이너리 데이터가 아스키 혹은 유니코드 표준에 정의된 문자영역 데이터를 연속으로 갖는 데이터인 것을 특징으로 하는 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 시스템
|
| 3 |
3
제 1항에 있어서,상기 문자열 추출부로부터 추출된 문자열들은 10글자 이하의 모든 문자열, 10글자 이상이지만 의미 없는 문자열, 윈도우즈 DLL파일 및 API명, 프로그램 언어가 지원하는 라이브러리 함수 명, PE 파일 포맷이 기본적으로 가지는 문자열로 분류되는 것을 특징으로 하는 것을 특징으로 하는 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 시스템
|
| 4 |
4
악성코드 탐지 및 분류 방법에 있어서,문자열 추출부에 의해 악성코드 바이너리 파일로부터 상기 바이너리 파일에 존재하는 모든 표현되는 문자열을 추려내는 단계; 문자열 정제부에 의해 추출된 문자열 중 악성코드 탐지 및 분류에 방해되는 요소들을 정제하는 단계;문자열 비교부에 의해 정제된 문자열을 비교하는 단계; 및상기 문자열 비교부에 의해 비교된 문자열 하나의 바이너리가 다른 바이너리와 얼마나 유사한지 판단하는 단계;를 포함하는 것을 특징으로 하는 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 방법
|
| 5 |
5
제 4항에 있어서,상기 문자열 정제부에 의해 추출된 문자열 중 악성코드 탐지 및 분류에 방해되는 요소들을 정제하는 단계에서,한 문자열의 문자 조합이 하기와 같은 문자열 정제수식에 만족하면 해당 문자열은 삭제되는 것을 특징으로 하는 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 방법
|
| 6 |
6
제 4항에 있어서,상기 문자열 비교부에 의해 정제된 문자열을 비교하는 단계에서,상기 문자열 비교부는 두 문자열 집합 간에 동일한 문자열 수 측정하는 방법으로 문자열을 비교하는 것을 특징으로 하는 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 방법
|
| 7 |
7
제 4항에 있어서,상기 문자열 비교부에 의해 정제된 문자열을 비교하는 단계에서,상기 문자열 비교부는 두 문자열 집합 간에 일정 임계치 이상의 Edit Distance 값을 보이는 문자열 수를 측정하는 방법으로 문자열을 비교하는 것을 특징으로 하는 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 방법
|
| 8 |
8
제 4항에 있어서,상기 문자열 비교부에 의해 비교된 문자열 하나의 바이너리가 다른 바이너리와 얼마나 유사한지 판단하는 단계에서,두 문자열 간에 Levenshtein distance 값을 계산한 후 아래 수식의 결과를 기반으로 유사도를 점수화하는 것을 특징으로 하는 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 방법
|
| 9 |
9
제 8항에 있어서,상기 유사도 점수는 최소 0에서 최대 1까지 표현되며, 1에 가까울수록 두 문자열을 유사하다고 판단하는 것을 특징으로 하는 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 방법
|
| 10 |
10
제 4항에 있어서,상기 문자열 비교부에 의해 비교된 문자열 하나의 바이너리가 다른 바이너리와 얼마나 유사한지 판단하는 단계에서,URL 유사도 판단은 URL 전송시 반드시 들어가는 문자를 포함한 문자열을 추린 후, 비교 문자열 집합과의 문자열의 유사도를 판단하는 것을 특징으로 하는 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 방법
|
| 11 |
11
제 10항에 있어서,상기 URL 전송시 반드시 들어가는 문자는 http://, GET, POST인 것을 특징으로 하는 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 방법
|
