1 |
1
샘플 악성 코드를 정적 또는 동적 분석을 수행하여 악성 행위에 따른 기준 악성 행위 정보를 추출, 저장하는 기준 악성 행위 저장부;상기 저장된 기준 악성 행위 정보를 코드화하여 행위 코드 정보로서 저장하는 행위 코드 저장부;인터넷 상에 배포된 복수 개의 악성 코드 정보를 수집한 후, 정적 또는 동적 분석을 수행하여 각각 실제 악성 행위 정보를 추출하는 악성 행위 추출부;상기 각각의 실제 악성 행위 정보와 상기 기준 악성 행위 정보를 비교하여 일치하는 할 경우, 상기 행위 코드 정보에서 해당하는 실제 행위 코드 정보를 각각 찾아 순서화하는 실제 행위 코드 추출부;상기 순서화된 전의 또는 후의 실제 행위 코드 정보 중 임의의 두개를 1:1 비교하여 일치하는 공통 행위의 개수가 위치의 유,무에 따라 소정의 범위내에 있는지를 판단하는 유사성 검증부; 및상기 유사성 검증부의 판단 결과 소정의 범위내 있다고 판단되면 상기 두개의 실제 행위 코드 정보 중 어느 하나를 변종 악성 코드로서 추출하는 변종 악성 코드 추출부;를 포함하는 것을 특징으로 하는 변종 악성 코드 탐지 시스템
|
2 |
2
제 1항에 있어서,상기 유사성 검증부는,상기 순서화된 후의 실제 행위 코드 정보 비교에 대해서는 상기 공통 행위의 위치를 반영하는 것을 특징으로 하는 변종 악성 코드 탐지 시스템
|
3 |
3
제 1항에 있어서,상기 유사성 검증부는,상기 순서화된 전의 실제 행위 코드 정보 비교에 대해서는 상기 공통 행위의 위치를 반영하지 않는 것을 특징으로 하는 변종 악성 코드 탐지 시스템
|
4 |
4
제 2항 또는 제3항에 있어서,상기 유사성 검증부는,상기 비교시, 상기 공통 행위가 아닌 행위 개수가 소정의 범위내에 있는지를 더 반영하여 유사성을 판단하는 것을 특징으로 하는 변종 악성 코드 탐지 시스템
|
5 |
5
(a) 샘플 악성 코드를 정적 또는 동적 분석을 수행하여 악성 행위에 따른 복수 개의 기준 악성 행위 정보를 생성하는 단계;(b) 상기 생성된 복수 개의 기준 악성 행위 정보를 각각 코드화시키는 단계;(c) 인터넷 상에 배포된 복수 개의 악성 코드 정보를 수집한 후, 정적 또는 동적 분석을 수행하여 각각 실제 악성 행위 정보를 생성하는 단계;(d) 상기 생성된 각각의 실제 악성 행위 정보와 기준 악성 행위 정보를 비교하여 일치하는 할 경우, 상기 행위 코드 정보에서 해당하는 실제 행위 코드 정보를 각각 찾아 순서화하는 단계;(e) 상기 순서화된 전의 또는 후의 실제 행위 코드 정보 중 임의의 두개를 1:1 비교하여 일치하는 공통 행위의 개수가 위치의 유,무에 따라 소정의 범위내에 있는지를 판단하는 단계; 및(f) 상기 (e) 단계의 판단 결과 소정의 범위내 있다고 판단되면, 상기 두개의 실제 행위 코드 정보 중 어느 하나를 변종 악성 코드로서 생성하는 단계;를 포함하는 것을 특징으로 하는 변종 악성 코드 탐지 방법
|
6 |
6
제 5항에 있어서,상기 (e) 단계는,상기 순서화된 후의 실제 행위 코드 정보 비교에 대해서는 상기 공통 행위의 위치를 반영하여 판단하는 것을 특징으로 하는 변종 악성 코드 탐지 방법
|
7 |
7
제 6항에 있어서,상기 (e) 단계는,상기 순서화된 전의 실제 행위 코드 정보 비교에 대해서는 상기 공통 행위의 위치를 반영하지 않은 상태에서 판단하는 것을 특징으로 하는 변종 악성 코드 탐지 방법
|
8 |
8
제 6항 또는 제 7항에 있어서,상기 비교시, 상기 공통 행위가 아닌 비공통 행위의 개수가 소정의 범위내에 있는지를 더 반영하여 유사성을 판단하는 것을 특징으로 하는 변종 악성 코드 탐지 방법
|