1 |
1
악성코드 시그니쳐 생성 장치가 악성코드의 패밀리에 대한 시그니쳐를 생성하는 방법에 있어서,결정부가, 상기 악성코드의 패밀리를 구성하는 복수의 악성코드 샘플들 각각을 동적 분석하여 상기 악성코드 샘플들 각각에 대해 API 호출 시퀀스를 결정하는 단계;변환부가, 상기 결정된 API 호출 시퀀스를 API 코드 시퀀스로 변환하는 단계;정렬부가, 상기 변환된 API 코드 시퀀스에 다중 서열 정렬 기법을 적용하는 단계; 및생성부가, 상기 다중 서열 정렬 기법을 적용한 결과 및 상기 결과에 포함된 API 코드별 빈도수를 이용하여 상기 악성코드의 패밀리에 대한 시그니쳐를 생성하는 단계를 포함하는 악성코드 시그니쳐 생성 방법
|
2 |
2
제1항에 있어서,상기 시그니쳐를 생성하는 단계는,상기 다중 서열 정렬 기법을 적용한 결과 생성된 복수의 악성코드의 샘플별 API 코드 시퀀스로 구성된 행렬에서 각각의 열 마다 최대 빈도수를 가지는 API 코드를 선정하는 단계;상기 선정된 API 코드를 각각의 열에 대한 대표 API 코드로 정의하는 단계; 및상기 정의된 각각의 열에 대한 대표 API 코드를 병합하여 대표 API 패턴을 추출하는 단계를 포함하는 악성코드 시그니쳐 생성 방법
|
3 |
3
제1항에 있어서,상기 적용하는 단계는,일정 길이 범위를 벗어나는 API 코드 시퀀스를 아웃라이어(outlier)로 정의하고, 정의된 API 코드 시퀀스를 배제하고 다중 서열 정렬 기법을 적용하는 악성코드 시그니쳐 생성 방법
|
4 |
4
제2항에 있어서,상기 대표 API 패턴은,상기 악성코드의 패밀리에 대한 시그니쳐로 결정되는 악성코드 시그니쳐 생성 방법
|
5 |
5
제2항에 있어서,상기 다중 서열 정렬 기법을 적용한 결과 생성된 복수의 악성코드의 샘플별 API 코드 시퀀스는,각각의 열에 포함된 API 코드의 공통 부분이 최대가 되도록 각각의 샘플별 API 코드 시퀀스 내부에 공백이 삽입될 수 있는 악성코드 시그니쳐 생성 방법
|
6 |
6
제2항에 있어서,상기 대표 API 패턴을 추출하는 단계는,상기 정의된 각각의 열에 포함된 공백의 비율을 고려하는 대표 API 코드를 병합하는 악성코드 시그니쳐 생성 방법
|
7 |
7
제1항에 있어서,상기 변환된 API 코드 시퀀스에서 동일한 API 코드가 반복되는 경우, 상기 반복되는 API 코드를 제거하는 단계를 더 포함하고,상기 적용하는 단계는,상기 상기 반복되는 API 코드가 제거된 API 코드 시퀀스에 다중 서열 정렬 기법을 적용하는 악성코드 시그니쳐 생성 방법
|
8 |
8
제1항에 있어서,상기 API 코드 시퀀스를 구성하는 API 코드는,상기 API 코드 시퀀스에 대응하는 악성코드 샘플에 대한 카테고리 및 상기 카테고리별로 정의된 API 순서에 대응하는 인덱스 정보를 포함하는 악성코드 시그니쳐 생성 방법
|
9 |
9
악성코드 탐지 장치가 악성코드를 탐지하는 방법에 있어서,결정부가, 분석 대상 샘플을 동적 분석하여 상기 분석 대상 샘플의 API 호출 시퀀스를 결정하는 단계;변환부가, 상기 결정된 API 호출 시퀀스를 API 코드 시퀀스로 변환하는 단계;확인부가, 상기 변환된 API 코드 시퀀스를 미리 저장된 악성코드의 패밀리에 대한 시그니쳐와 비교하여 유사도를 확인하는 단계; 및판단부가, 상기 확인된 유사도에 기초하여 상기 분석 대상 샘플의 악성코드 여부를 판단하는 단계를 포함하고,상기 미리 저장된 악성코드 패밀리에 대한 시그니쳐는상기 악성코드 패밀리를 구성하는 악성코드 샘플들 각각의 API 코드 시퀀스에 다중 서열 정렬 기법을 적용한 결과 및 상기 결과에 포함된 API 코드별 빈도수를 이용하여 생성되는 악성코드 탐지 방법
|
10 |
10
삭제
|
11 |
11
삭제
|
12 |
12
분석 대상 샘플을 동적 분석하여 상기 분석 대상 샘플의 API 호출 시퀀스를 결정하는 결정부;상기 결정된 API 호출 시퀀스를 API 코드 시퀀스로 변환하는 변환부;상기 변환된 API 코드 시퀀스를 미리 저장된 악성코드의 패밀리에 대한 시그니쳐와 비교하여 유사도를 확인하는 확인부; 및상기 확인된 유사도에 기초하여 상기 분석 대상 샘플의 악성코드 여부를 판단하는 판단부를 포함하고,상기 미리 저장된 악성코드 패밀리에 대한 시그니쳐는상기 악성코드 패밀리를 구성하는 악성코드 샘플들 각각의 API 코드 시퀀스에 다중 서열 정렬 기법을 적용한 결과 및 상기 결과에 포함된 API 코드별 빈도수를 이용하여 생성되는 악성코드 탐지 장치
|
13 |
13
삭제
|
14 |
14
삭제
|