1 |
1
전자 장치에 있어서,프로세서; 및상기 프로세서에 전기적으로 연결되는 메모리를 포함하고,상기 프로세서는,적어도 하나의 악성 코드의 속성에 연관되는 복수의 제1 파라미터 및 상기 적어도 하나의 악성 코드가 실행되는 시스템에 연관되는 복수의 제2 파라미터를 획득하고,상기 복수의 제1 파라미터들 사이의 제 1 비교 방식에 따른 제 1 비교 결과 및 상기 복수의 제2 파라미터들 사이의 제 2 비교 방식에 따른 제 2 비교 결과에 기초하여, 상기 적어도 하나의 악성 코드 사이의 유사도를 획득하고,상기 획득된 유사도에 기초하여 상기 적어도 하나의 악성 코드를 적어도 하나의 군집으로 분류하도록 설정된 전자 장치
|
2 |
2
제 1항에 있어서,상기 적어도 하나의 제1 파라미터는 상기 적어도 하나의 악성 코드의 명칭(name), 파일 타입(file type), 파일 사이즈(file size), 헤더(header) 정보 중 적어도 하나에 기초하여 결정되는 전자 장치
|
3 |
3
제1항에 있어서, 상기 프로세서는,상기 악성 코드가 시스템 상에서 실행될 경우에 생성되는 콜 시퀀스의 문자열을 비교하여 상기 복수의 제2 파라미터를 획득하도록 설정되는 전자 장치
|
4 |
4
제1항에 있어서,상기 제1 비교 방식은 Jaccard 유사도 측정 방식을 포함하며, 상기 제2 비교 방식은 Nilsimsa 유사도 측정 방식을 포함하는 전자 장치
|
5 |
5
제4항에 있어서,상기 프로세서는, 상기 적어도 하나의 악성 코드 중 제1 악성 코드의 상기 복수의 제1 파라미터의 집합과 상기 적어도 하나의 악성 코드 중 제2 악성 코드의 상기 복수의 제2 파라미터의 집합의 교집합의 크기와 합집합의 크기의 비율을 Jaccard 유사도로 획득하도록 설정된 전자 장치
|
6 |
6
제1항에 있어서,상기 프로세서는 상기 제1 비교 결과 및 상기 제2 비교 결과의 평균 값에 기초하여 상기 유사도를 획득하도록 설정된 전자 장치
|
7 |
7
제1항에 있어서,상기 프로세서는, 상기 적어도 하나의 악성 코드 중 제1 악성 코드 및 제2 악성 코드의 상기 유사도가 임계치 이상인 경우 상기 제1 악성 코드 및 상기 제2 악성 코드를 같은 군집으로 분류하는 전자 장치
|
8 |
8
제1항에 있어서,상기 프로세서는 상기 적어도 하나의 악성 코드 사이의 유사도 및 상기 적어도 하나의 군집에 기초하여 상기 적어도 하나의 악성 코드의 네트워크 그래프를 생성하도록 설정된 전자 장치
|
9 |
9
적어도 하나의 악성 코드의 속성에 연관되는 복수의 제1 파라미터 및 상기 적어도 하나의 악성 코드가 실행되는 시스템에 연관되는 복수의 제2 파라미터를 획득하는 동작,상기 복수의 제1 파라미터들 사이의 제 1 비교 방식에 따른 제 1 비교 결과 및 상기 복수의 제2 파라미터들 사이의 제 2 비교 방식에 따른 제 2 비교 결과에 기초하여, 상기 적어도 하나의 악성 코드 사이의 유사도를 획득하는 동작, 및상기 획득된 유사도에 기초하여 상기 적어도 하나의 악성 코드를 적어도 하나의 군집으로 분류하는 동작을 포함하는 악성 코드를 분류하는 방법
|
10 |
10
제9항에 있어서,상기 적어도 하나의 제1 파라미터는 상기 적어도 하나의 악성 코드의 명칭(name), 파일 타입(file type), 파일 사이즈(file size), 헤더(header) 정보 중 적어도 하나에 기초하여 결정되는 악성 코드를 분류하는 방법
|
11 |
11
제9항에 있어서,상기 복수의 제2 파라미터를 획득하는 동작은,상기 악성 코드가 시스템 상에서 실행될 경우에 생성되는 콜 시퀀스의 문자열을 비교하여 상기 복수의 제2 파라미터를 획득하는 동작을 포함하는 악성 코드를 분류하는 방법
|
12 |
12
제9항에 있어서,상기 제1 비교 방식은 Jaccard 유사도 측정 방식을 포함하며, 상기 제2 비교 방식은 Nilsimsa 유사도 측정 방식을 포함하는 악성 코드를 분류하는 방법
|
13 |
13
제12항에 있어서,상기 유사도를 획득하는 동작은,상기 적어도 하나의 악성 코드 중 제1 악성 코드의 상기 복수의 제1 파라미터의 집합과 상기 적어도 하나의 악성 코드 중 제2 악성 코드의 상기 복수의 제2 파라미터의 집합의 교집합의 크기와 합집합의 크기의 비율을 Jaccard 유사도로 획득하는 동작을 포함하는 악성 코드를 분류하는 방법
|
14 |
14
제9항에 있어서,상기 유사도를 획득하는 동작은,상기 제1 비교 결과 및 상기 제2 비교 결과의 평균 값에 기초하여 상기 유사도를 획득하는 동작을 더 포함하는 악성 코드를 분류하는 방법
|
15 |
15
제9항에 있어서,상기 획득된 유사도에 기초하여 상기 적어도 하나의 악성 코드를 적어도 하나의 군집으로 분류하는 동작은, 상기 적어도 하나의 악성 코드 중 제1 악성 코드 및 제2 악성 코드의 상기 유사도가 임계치 이상인 경우 상기 제1 악성 코드 및 상기 제2 악성 코드를 같은 군집으로 분류하는 동작을 포함하는 악성 코드를 분류하는 방법
|
16 |
16
제9항에 있어서,상기 적어도 하나의 악성 코드 사이의 유사도 및 상기 적어도 하나의 군집에 기초하여 상기 적어도 하나의 악성 코드의 네트워크 그래프를 생성하는 동작을 더 포함하는 악성 코드를 분류하는 방법
|
17 |
17
컴퓨터 상에서 수행하기 위한 프로그램을 기록한 비일시적 컴퓨터 판독 가능한 기록 매체에 있어서,상기 프로그램은, 프로세서에 의한 실행 시, 상기 프로세서가,적어도 하나의 악성 코드의 속성에 연관되는 복수의 제1 파라미터 및 상기 적어도 하나의 악성 코드가 실행되는 시스템에 연관되는 복수의 제2 파라미터를 획득하는 동작,상기 복수의 제1 파라미터들 사이의 제 1 비교 방식에 따른 제 1 비교 결과 및 상기 복수의 제2 파라미터들 사이의 제 2 비교 방식에 따른 제 2 비교 결과에 기초하여, 상기 적어도 하나의 악성 코드 사이의 유사도를 획득하는 동작, 및상기 획득된 유사도에 기초하여 상기 적어도 하나의 악성 코드를 적어도 하나의 군집으로 분류하는 동작을 수행하는, 기록 매체
|
18 |
18
제17항에 있어서,상기 적어도 하나의 제1 파라미터는 상기 적어도 하나의 악성 코드의 명칭(name), 파일 타입(file type), 파일 사이즈(file size), 헤더(header) 정보 중 적어도 하나에 기초하여 결정되는 기록 매체
|
19 |
19
제17항에 있어서, 상기 복수의 제2 파라미터를 획득하는 동작은,상기 악성 코드가 시스템 상에서 실행될 경우에 생성되는 콜 시퀀스의 문자열을 비교하여 상기 복수의 제2 파라미터를 획득하는 동작을 수행하는 기록 매체
|
20 |
20
제17항에 있어서,상기 제1 비교 방식은 Jaccard 유사도 측정 방식을 포함하며, 상기 제2 비교 방식은 Nilsimsa 유사도 측정 방식을 포함하는 기록 매체
|