1 |
1
악성코드 데이터를 분류하는 방법에 있어서,악성코드 데이터를 수신하는 단계;상기 악성코드 데이터를 섹션 코드 별로 분리하는 단계;상기 섹션 코드 각각에 대응하는 바이너리 정보를 변환하여 1차원 벡터를 생성하는 단계;상기 생성된 1차원 벡터를 유한 신호로 간주하고, 상기 유한 신호를 주파수 영역으로 변환하는 단계;상기 주파수 영역에서 각 주파수 별 신호 성분의 세기에 기초하여 특징점을 추출하는 단계; 및상기 추출된 특징점에 기초하여 상기 악성코드 데이터를 특정 악성코드 그룹으로 분류하는 단계;를 포함하고,상기 1차원 벡터를 생성하는 단계는,상기 섹션 코드 각각에 대응하는 바이너리 정보 중 opcode에 대응하는 바이너리 정보를 변환하여 1차원 벡터를 생성하는 단계;를 포함하는 방법
|
2 |
2
삭제
|
3 |
3
제 1항에 있어서, 상기 분류하는 단계는, 머신 러닝 기법이 적용되어 학습된 모델에 상기 추출된 특징점을 입력하는 단계; 및상기 모델을 구동하여 상기 악성코드 데이터를 특정 악성코드 그룹으로 분류하는 단계; 를 포함하는, 방법
|
4 |
4
제 3항에 있어서,상기 학습된 모델은 그레디언트 부스팅(Gradient Boosting) 모델인 것인, 방법
|
5 |
5
제 3항에 있어서,상기 분류하는 단계는,상기 추출된 특징점에 대해 배깅(Bagging; Bootstrap Aggregating) 알고리즘을 적용하여 오버피팅(overfitting)을 방지하는 단계;를 더 포함하는, 방법
|
6 |
6
제 1항에 있어서,상기 변환하는 단계는,이산 코사인 변환(Discrete Cosine Transform)을 적용하여 상기 유한 신호를 상기 주파수 영역으로 변환하는 단계;를 포함하는, 방법
|
7 |
7
제 6항에 있어서,상기 변환하는 단계는,이산 푸리에 변환(Discrete Fourier Transform)을 적용하여 상기 유한 신호를 상기 주파수 영역으로 변환하는 단계;를 포함하는, 방법
|
8 |
8
제 1항에 있어서,상기 변환하는 단계는, 코사인 변환(Cosine Transform), 푸리에 변환(Fourier Transform), 국소 푸리에 변환(Short-Time Fourier Transform), 하르 변환(Haar transform) 및 웨이블릿 변환(Wavelet Transform) 중 적어도 어느 하나를 적용하여 상기 유한 신호를 상기 주파수 영역으로 변환하는 단계;를 포함하는, 방법
|
9 |
9
제 1항에 있어서,상기 변환하는 단계는,상기 변환된 주파수 영역에서 DC 성분을 제거하고, 낮은 주파수(low frequency) 영역의 데이터 중 일부를 제거하는 단계;를 더 포함하는, 방법
|
10 |
10
제 1항에 있어서,상기 악성코드 데이터는, 어셈블러(ASseMbler, ASM) 파일 형식 또는 바이트(bytes) 파일 형식인 것인, 방법
|
11 |
11
적어도 하나의 프로그램을 저장하는 저장부; 악성코드 데이터를 수신하는 통신부; 및상기 적어도 하나의 프로그램을 실행함으로써 악성코드 데이터를 분류하기 위한 적어도 하나의 프로세서;를 포함하며,상기 저장부는, 상기 적어도 하나의 프로세서가,상기 악성코드 데이터를 섹션 코드 별로 분리하는 단계;상기 섹션 코드 각각에 대응하는 바이너리 정보 중 opcode에 대응하는 바이너리 정보를 변환하여 1차원 벡터를 생성하는 단계;상기 생성된 1차원 벡터를 유한 신호로 간주하고, 상기 유한 신호를 주파수 영역으로 변환하는 단계;상기 주파수 영역에서 각 주파수 별 신호 성분의 세기에 기초하여 특징점을 추출하는 단계; 및상기 추출된 특징점에 기초하여 상기 악성코드 데이터를 특정 악성코드 그룹으로 분류하는 단계;를 실행하도록 하는 명령어들을 포함하는 것을 특징으로 하는, 장치
|
12 |
12
제 1항의 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
|