1 |
1
분석 모집단 중 어느 하나의 대상파일을 이용하여 고정 크기의 입력파일로 변환하는 대상파일 변환부;상기 입력파일을 기초로 생성된 적어도 하나의 n-그램에 대해 피처 해싱(Feature Hashing)을 이용하여 CNN 입력을 생성하는 CNN 입력 생성부; 및상기 CNN 입력을 CNN에 입력하여 상기 대상파일이 멀웨어인지 여부를 결정하는 멀웨어 탐지부를 포함하되,상기 CNN 입력 생성부는 상기 입력파일을 기초로 2, 3 및 4-그램을 각각 생성하는 제1 단계; 고정된 크기의 정수 배열을 생성하고 상기 정수 배열의 각 원소 값을 0으로 초기화하는 제2 단계; 각각의 2, 3 및 4-그램을 제1 해시에 통과시켜 상기 정수 배열의 인덱스 값을 산출하는 제3 단계; 상기 인덱스 값을 상기 제1 해시와 다른 제2 해시에 통과시켜 산출된 해시 값에 따라 상기 인덱스 값이 지정하는 배열 칸의 값을 1만큼 증가 또는 감소시키는 제4 단계; 및 모든 2, 3 및 4-그램을 상기 정수 배열에 반영시킨 후 모든 배열 칸의 값을 정규화시키는 제5 단계를 순차적으로 수행함으로써 상기 CNN 입력을 생성하는 것을 특징으로 하는 CNN 학습 기반의 멀웨어 분석 장치
|
2 |
2
제1항에 있어서,상기 대상파일이 멀웨어인 경우 기 설정된 적어도 하나의 멀웨어 그룹 중 어느 하나에 속하는지를 결정하는 멀웨어 분류부를 더 포함하는 것을 특징으로 하는 CNN 학습 기반의 멀웨어 분석 장치
|
3 |
3
제1항에 있어서, 상기 대상파일 변환부는상기 대상파일의 크기가 상기 고정 크기보다 작은 경우에는 상기 대상파일과 동일한 파일을 상기 대상파일의 끝에 연결하여 상기 고정 크기로 변환하고,상기 대상파일의 크기가 상기 고정 크기보다 큰 경우에는 상기 대상파일의 끝에 제로 패딩(Zero-padding)을 하여 상기 고정 크기의 배수로 변환하는 것을 특징으로 하는 CNN 학습 기반의 멀웨어 분석 장치
|
4 |
4
삭제
|
5 |
5
제1항에 있어서, 상기 멀웨어 탐지부는상기 CNN 입력을 기초로 특정 수의 합성곱 연산 및 풀링 연산을 수행하여 특징을 추출하고, 상기 추출된 특징을 입력으로 하여 특정 수의 은닉층을 통과시킴으로써 상기 대상파일이 멀웨어인지 여부를 결정하는 것을 특징으로 하는 CNN 학습 기반의 멀웨어 분석 장치
|
6 |
6
제5항에 있어서, 상기 멀웨어 탐지부는맥스 풀링(Max pooling), 최소 풀링(Min pooling) 및 평균 풀링(Average pooling) 중 어느 하나를 이용하여 상기 풀링 연산을 수행하는 것을 특징으로 하는 CNN 학습 기반의 멀웨어 분석 장치
|
7 |
7
제5항에 있어서, 상기 멀웨어 탐지부는전 단계의 은닉층에서 다음 단계의 은닉층으로 정보를 전달할 때마다 특정 비율에 해당하는 정보만을 전달하는 것을 특징으로 하는 CNN 학습 기반의 멀웨어 분석 장치
|
8 |
8
제5항에 있어서, 상기 멀웨어 탐지부는상기 CNN의 출력층에 도달한 노드 값들에 대해 소프트맥스 함수를 적용하여 산출된 확률 값을 기초로 상기 대상파일이 멀웨어인지 여부를 결정하는 것을 특징으로 하는 CNN 학습 기반의 멀웨어 분석 장치
|
9 |
9
제2항에 있어서, 상기 멀웨어 분류부는상기 적어도 하나의 멀웨어 그룹 각각에 대해 상기 대상파일이 속할 확률을 산출한 후 가장 높은 확률과 연관된 멀웨어 그룹을 상기 대상파일의 유형으로 결정하는 것을 특징으로 하는 CNN 학습 기반의 멀웨어 분석 장치
|
10 |
10
대상파일 변환부, CNN 입력 생성부 및 멀웨어 탐지부를 포함하는 멀웨어 분석 장치에서 수행되는 방법에 있어서,상기 대상파일 변환부에서, 분석 모집단 중 어느 하나의 대상파일을 이용하여 고정 크기의 입력파일로 변환하는 단계;상기 CNN 입력 생성부에서, 상기 입력 파일을 기초로 생성된 적어도 하나의 n-그램에 대해 피처 해싱(Feature Hashing)을 이용하여 CNN 입력을 생성하는 단계; 및상기 멀웨어 탐지부에서, 상기 CNN 입력을 CNN에 입력하여 상기 대상파일이 멀웨어인지 여부를 결정하는 단계를 포함하되,상기 CNN 입력을 생성하는 단계는 상기 입력파일을 기초로 2, 3 및 4-그램을 각각 생성하는 제1 단계; 고정된 크기의 정수 배열을 생성하고 상기 정수 배열의 각 원소 값을 0으로 초기화하는 제2 단계; 각각의 2, 3 및 4-그램을 제1 해시에 통과시켜 상기 정수 배열의 인덱스 값을 산출하는 제3 단계; 상기 인덱스 값을 상기 제1 해시와 다른 제2 해시에 통과시켜 산출된 해시 값에 따라 상기 인덱스 값이 지정하는 배열 칸의 값을 1만큼 증가 또는 감소시키는 제4 단계; 및 모든 2, 3 및 4-그램을 상기 정수 배열에 반영시킨 후 모든 배열 칸의 값을 정규화시키는 제5 단계를 순차적으로 수행함으로써 상기 CNN 입력을 생성하는 단계인 것을 특징으로 하는 CNN 학습 기반의 멀웨어 분석 방법
|
11 |
11
제10항에 있어서,상기 멀웨어 분석 장치는 멀웨어 분류부를 더 포함하고,상기 멀웨어 분류부에서, 상기 대상파일이 멀웨어인 경우 기 설정된 적어도 하나의 멀웨어 그룹 중 어느 하나에 속하는지를 결정하는 단계를 더 포함하는 것을 특징으로 하는 CNN 학습 기반의 멀웨어 분석 방법
|
12 |
12
제10항의 방법을 컴퓨터에서 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체
|