1 |
1
컴퓨팅 시스템에 있어서,악성코드를 탐지하기 위한 디코이 파일(decoy file)에 대한 프로세스의 접근에 따라, 상기 디코이 파일이 훼손되었는지 여부를 검사하는 디코이 검사기; 상기 프로세스의 파일 접근 경로의 호핑(hopping) 거리에 기초하여, 상기 프로세스의 상기 파일 접근 경로의 엔트로피를 검사하는 엔트로피 검사기; 및상기 디코이 파일의 훼손 여부 및 상기 파일 접근 경로의 엔트로피(entropy)에 기초하여, 상기 프로세스를 종료시킬지 여부를 결정하는 프로세스 제어기를 포함하며, 상기 디코이 검사기는,상기 컴퓨팅 시스템의 파일시스템에 관한 구조 정보를 추출하고, 상기 구조 정보에 기초하여 상기 디코이 파일을 배치하는, 컴퓨팅 시스템
|
2 |
2
제1항에 있어서,상기 컴퓨팅 시스템은,상기 프로세스의 상기 파일 접근 경로를 모니터링하고, 모니터링된 상기 프로세스의 상기 파일 접근 경로에 관한 정보를 상기 디코이 검사기와 상기 엔트로피 검사기로 전달하는 파일시스템 입출력 모니터를 더 포함하는, 컴퓨팅 시스템
|
3 |
3
삭제
|
4 |
4
제1항에 있어서,상기 디코이 검사기는,상기 파일시스템의 상기 구조 정보에 기초하여 상기 파일시스템을 파티셔닝하고, 파티셔닝된 상기 파일시스템에 상기 디코이 파일을 배치하는, 컴퓨팅 시스템
|
5 |
5
제4항에 있어서,상기 디코이 검사기는,상기 파일시스템의 상기 구조 정보에서의 상위노드와 하위노드 관계에 기초하여 상기 파일시스템을 파티셔닝 하는, 컴퓨팅 시스템
|
6 |
6
제5항에 있어서,상기 디코이 검사기는,DFS(Depth First Search) 알고리즘 및 BFS(Breadth First Search) 알고리즘 중에서 적어도 어느 하나의 알고리즘에 기초하여, 상기 파티셔닝된 상기 파일 시스템 내에서 상기 디코이 파일을 배치할 위치를 결정하는, 컴퓨팅 시스템
|
7 |
7
제6항에 있어서,상기 디코이 검사기는,상기 디코이 파일을 배치할 위치에 포함된 파일들 각각의 파일명, 확장자, 크기, 및 파일내용 중에서 적어도 어느 하나에 기초하여, 상기 디코이 파일의 파일명, 확장자, 크기, 및 파일내용 중에서 적어도 어느 하나를 결정하여 생성하는, 컴퓨팅 시스템
|
8 |
8
제7항에 있어서,상기 디코이 검사기는,상기 디코이 파일을 배치할 위치에 포함된 상기 파일들 각각의 확장자 중에서 최다 확장자를 상기 디코이 파일의 확장자로 결정하는, 컴퓨팅 시스템
|
9 |
9
제8항에 있어서,상기 디코이 검사기는,상기 디코이 파일을 배치할 위치에 포함된 상기 파일들의 평균 크기와 동일한 크기로 상기 디코이 파일의 크기를 결정하는, 컴퓨팅 시스템
|
10 |
10
제9항에 있어서,상기 디코이 검사기는,상기 디코이 파일을 배치할 위치에 포함된 상기 파일들 중에서 상기 평균 크기 이상의 크기를 갖는 파일의 파일내용에서 상기 평균 크기만큼을 복사하여 상기 디코이 파일의 파일내용을 구성하는, 컴퓨팅 시스템
|
11 |
11
제10항에 있어서,상기 프로세스의 상기 파일 접근 경로의 호핑 거리는,상기 프로세스가 접근하는 파일들 각각과 루트 디렉토리(root directory) 간의 거리에 기초하여 결정되는, 컴퓨팅 시스템
|
12 |
12
제11항에 있어서,상기 프로세스의 상기 파일 접근 경로의 호핑 거리는,상기 프로세스가 접근하는 파일들 각각과 상기 루트 디렉토리 간의 거리의 합에서 상기 프로세스가 접근하는 파일들 각각에 대한 공통 경로의 두 배 값을 뺀 거리인, 컴퓨팅 시스템
|
13 |
13
제12항에 있어서,상기 엔트로피 검사기는,상기 프로세스의 상기 파일 접근 경로의 호핑 거리의 집합을 구하고, 상기 호핑 거리의 집합의 엔트로피를 계산하여 기준값과 비교하는, 컴퓨팅 시스템
|
14 |
14
컴퓨팅 시스템의 파일시스템에 관한 구조 정보를 추출하고, 상기 구조 정보에 기초하여 악성코드를 탐지하기 위한 디코이 파일(decoy file)을 배치하는 단계;상기 디코이 파일에 대한 프로세스의 접근에 따라, 상기 디코이 파일이 훼손되었는지 여부를 검사하는 단계; 상기 프로세스의 파일 접근 경로의 호핑(hopping) 거리에 기초하여, 상기 프로세스의 상기 파일 접근 경로의 엔트로피(entropy)를 검사하는 단계; 및상기 디코이 파일의 훼손 여부 및 상기 파일 접근 경로의 엔트로피에 기초하여, 상기 프로세스를 종료시킬지 여부를 결정하는 단계를 포함하는, 악성코드를 탐지하는 방법
|
15 |
15
프로세서(processor)와 결합되어 악성코드를 탐지하는 방법을 수행하기 위한 매체에 저장된 프로그램으로서,컴퓨팅 시스템의 파일시스템에 관한 구조 정보를 추출하고, 상기 구조 정보에 기초하여 악성코드를 탐지하기 위한 디코이 파일(decoy file)을 배치하는 단계;상기 디코이 파일에 대한 프로세스의 접근에 따라, 상기 디코이 파일이 훼손되었는지 여부를 검사하는 단계;상기 프로세스의 파일 접근 경로의 호핑(hopping) 거리에 기초하여, 상기 프로세스의 상기 파일 접근 경로의 엔트로피(entropy)를 검사하는 단계; 및상기 디코이 파일의 훼손 여부 및 상기 파일 접근 경로의 엔트로피에 기초하여, 상기 프로세스를 종료시킬지 여부를 결정하는 단계를 수행하는 프로그램 코드를 포함하는, 프로그램
|