| 1 |
1
악성코드와 정상 실행 프로그램들의 행위를 구분하여 특정할 수 있는 특성인자를 정의하고, 미리 수집된 악성코드를 실행하여 생성된 프로세스에 의해 호출되는 API 호출 이벤트 중 상기 정의된 특성인자에 해당하는 API 호출 이벤트를 시퀀스로 변환하며, 변환된 시퀀스의 유사도에 따라 행위 패턴을 생성하여 행위 패턴 DB에 저장하는 행위 패턴 생성부; 및타겟 프로세스가 실행되는 경우, 상기 타겟 프로세스에 의해 호출되는 API 호출 이벤트 중 상기 정의된 특성인자에 해당하는 API 호출 이벤트를 시퀀스로 변환하고, 변환된 시퀀스와 상기 행위 패턴 DB에 저장된 시퀀스의 유사도에 따라 악성코드인지를 판단하는 악성 코드 탐지부를 포함하는 것을 특징으로 하는 악성 코드 탐지 장치
|
| 2 |
2
청구항 1에 있어서,상기 행위 패턴 생성부는,악성코드에 의해 실행되는 각 프로세스별로 추출된 API 호출 이벤트에 기초하여 시간 순서에 따라 API 호출 시퀀스를 생성하고, 상기 API 호출 시퀀스를 문자 시퀀스로 변환하는 것을 특징으로 하는 악성 코드 탐지 장치
|
| 3 |
3
청구항 1에 있어서,상기 행위 패턴 생성부는,호출되는 API의 통계값을 기반으로 미리 학습된 결정 트리(Decision Tree)를 이용하여 상기 API 호출 이벤트에 대응하는 API 호출 시퀀스를 복수 개의 그룹으로 분류하며,분류된 각 그룹에 속한 API 호출 시퀀스를 다중시퀀스정렬(MSA) 알고리즘에 적용하여 각 그룹에 속한 API 호출 시퀀스의 행위 패턴에 대한 유사도를 분석하고, 각 그룹에 속한 API 호출 시퀀스의 행위 패턴에 대한 유사도에 따라 각 그룹을 복수 개의 서브 그룹으로 분류하는 것을 특징으로 하는 악성 코드 탐지 장치
|
| 4 |
4
청구항 3에 있어서,상기 행위 패턴 생성부는,분류된 각 서브 그룹의 API 호출 시퀀스를 유사 행위 패턴에 따라 통합하여 복수 개의 최종 그룹으로 분류하는 것을 특징으로 하는 악성 코드 탐지 장치
|
| 5 |
5
청구항 4에 있어서,상기 행위 패턴 생성부는,상기 분류된 복수 개의 최종 그룹에 속한 API 호출 시퀀스를 다중시퀀스정렬(MSA) 알고리즘을 통해 유사도가 높은 영역을 기준으로 정렬하고, API 호출 시퀀스에 대응하는 문자 코드의 출현 비율에 따라 행위 패턴을 생성하는 것을 특징으로 하는 악성 코드 탐지 장치
|
| 6 |
6
청구항 1에 있어서,상기 특성인자는, 악성코드에 의한 프로세스가 호출하는 API 호출 이벤트가 'Process', 'Thread', 'Memory', 'File', 'Registry', 'Network', 'Service' 및 'Other'로 분류되어 정의되고, 각 API 호출 이벤트에 대응하는 문자 코드 정보가 정의된 것을 특징으로 하는 악성 코드 탐지 장치
|
| 7 |
7
청구항 1에 있어서,상기 악성 코드 탐지부는,상기 타겟 프로세스에 의해 호출된 API 호출 이벤트 중 특성인자에 해당하는 API 호출 이벤트에 기초하여 시간 순서에 따라 API 호출 시퀀스를 생성하고, 상기 API 호출 시퀀스를 문자 시퀀스로 변환하는 것을 특징으로 하는 악성 코드 탐지 장치
|
| 8 |
8
청구항 7에 있어서,상기 악성 코드 탐지부는,상기 생성된 API 호출 시퀀스와 상기 행위 패턴 DB에 저장된 악성코드의 시퀀스를 입력값으로 두 시퀀스의 최장공통부분시퀀스(Longest Common Subsequence, LCS)를 산출하고, 산출된 최장공통부분시퀀스(LCS)의 길이와 두 시퀀스의 최소 길이를 비교하여 두 시퀀스 간 유사도를 측정하는 것을 특징으로 하는 악성 코드 탐지 장치
|
| 9 |
9
청구항 1에 있어서,상기 악성 코드 탐지부는,악성코드로 탐지된 API 호출 시퀀스의 행위 패턴을 행위 패턴 DB에 추가로 저장하는 것을 특징으로 하는 악성 코드 탐지 장치
|
| 10 |
10
악성코드와 정상 실행 프로그램들의 행위를 구분하여 특정할 수 있는 특성인자를 정의하는 단계;미리 수집된 악성코드를 실행하여 생성된 프로세스에 의해 호출되는 API 호출 이벤트 중 상기 정의된 특성인자에 해당하는 각 프로세스의 API 호출 이벤트를 시퀀스로 변환하는 단계;변환된 시퀀스의 유사도에 따라 행위 패턴을 생성하여 상기 생성된 행위 패턴을 행위 패턴 DB에 저장하는 단계;타겟 프로세스가 실행되는 경우, 상기 타겟 프로세스에 의해 호출되는 API 호출 이벤트 중 상기 정의된 특성인자에 해당하는 타겟 프로세스의 API 호출 이벤트를 시퀀스로 변환하는 단계; 및변환된 시퀀스와 상기 행위 패턴 DB에 저장된 시퀀스의 유사도에 따라 악성코드인지를 판단하는 단계를 포함하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 11 |
11
청구항 10에 있어서,상기 각 프로세스의 API 호출 이벤트를 API 호출 시퀀스로 변환하는 단계는,악성코드에 의해 실행되는 각 프로세스별로 추출된 API 호출 이벤트에 기초하여 시간 순서에 따라 API 호출 시퀀스를 생성하고, 상기 API 호출 시퀀스를 문자 시퀀스로 변환하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 12 |
12
청구항 10에 있어서,상기 생성된 행위 패턴을 행위 패턴 DB에 저장하는 단계 이전에,호출되는 API의 통계값을 기반으로 미리 학습된 결정 트리(Decision Tree)를 이용하여 상기 API 호출 이벤트에 대응하여 생성된 API 호출 시퀀스를 복수 개의 그룹으로 분류하는 단계;분류된 각 그룹에 속한 API 호출 시퀀스를 다중시퀀스정렬(MSA) 알고리즘에 적용하여 각 그룹에 속한 API 호출 시퀀스의 행위 패턴에 대한 유사도를 분석하고, 각 그룹에 속한 API 호출 시퀀스의 행위 패턴에 대한 유사도에 따라 각 그룹을 복수 개의 서브 그룹으로 분류하는 단계; 및분류된 각 서브 그룹의 API 호출 시퀀스를 유사 행위 패턴에 따라 통합하여 복수 개의 최종 그룹으로 분류하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 13 |
13
청구항 12에 있어서,상기 생성된 행위 패턴을 행위 패턴 DB에 저장하는 단계는,상기 분류된 복수 개의 최종 그룹에 속한 API 호출 시퀀스를 다중시퀀스정렬(MSA) 알고리즘을 통해 유사도가 높은 영역을 기준으로 정렬하고, API 호출 시퀀스에 대응하는 문자 코드의 출현 비율에 따라 행위 패턴을 생성하는 단계를 포함하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 14 |
14
청구항 10에 있어서,상기 타겟 프로세스의 API 호출 이벤트를 API 호출 시퀀스로 변환하는 단계는,상기 타겟 프로세스에 의해 호출된 API 호출 이벤트 중 특성인자에 해당하는 API 호출 이벤트에 기초하여 시간 순서에 따라 API 호출 시퀀스를 생성하고, 상기 API 호출 시퀀스를 문자 시퀀스로 변환하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 15 |
15
청구항 10에 있어서,상기 악성코드인지를 판단하는 단계는,상기 생성된 API 호출 시퀀스와 상기 행위 패턴 DB에 저장된 악성코드의 시퀀스를 입력값으로 두 시퀀스의 최장공통부분시퀀스(Longest Common Subsequence, LCS)를 산출하는 단계; 및산출된 최장공통부분시퀀스(LCS)의 길이와 두 시퀀스의 최소 길이를 비교하여 두 시퀀스 간 유사도를 측정하는 단계를 포함하는 것을 특징으로 하는 악성 코드 탐지 방법
|
| 16 |
16
청구항 10에 있어서,악성코드로 탐지된 API 호출 시퀀스의 행위 패턴을 행위 패턴 DB에 추가로 저장하는 단계를 더 포함하는 것을 특징으로 하는 악성 코드 탐지 방법
|
