1 |
1
삭제
|
2 |
2
프로세서; 및상기 프로세서에 연결된 메모리;를 포함하며, 상기 메모리는 상기 프로세서에 의해 실행 가능한,입력되는 실행프로그램의 함수 호출 시퀀스를 미리 저장된 인덱스정보를 이용하여 분석한 결과를 통해 상기 실행프로그램의 악성 코드 가능성을 판단하도록 하는 프로그램 명령어들을 저장하되,상기 인덱스정보는 미리 저장된 복수의 코드들에서 추출된 서브시퀀스의 식별 정보와 악성 코드 가능성에 대한 정보가 매칭되어 저장된 정보이고,상기 악성 코드 가능성에 대한 정보는,미리 저장된 복수의 악성 코드들에서 추출된 제1 서브시퀀스와 상기 복수의 악성 코드들 간의 관련성에 대한 제1 신뢰도를 포함하는, 악성 코드 탐지 장치
|
3 |
3
제2항에 있어서,상기 제1 서브시퀀스는,상기 복수의 악성 코드들에 대한 제1 함수 호출 시퀀스가 미리 설정된 방법에 따라 코드화되고, 코드화된 상기 제1 함수 호출 시퀀스에 슬라이딩 윈도우가 적용되어 추출된 것인, 악성 코드 탐지 장치
|
4 |
4
제2항에 있어서,상기 제1 신뢰도는,제1 유사도와 제1 빈도가 이용되어 생성된 정보이되,상기 제1 유사도는 제1 모델의 전향 알고리즘을 통해 생성된 정보이고,상기 제1 모델은 상기 복수의 악성 코드들에 대한 은닉 마르코프 모델이며,상기 제1 빈도는 상기 제1 서브시퀀스가 상기 복수의 악성 코드들에서 추출되는 빈도에 대한 정보인, 악성 코드 탐지 장치
|
5 |
5
제2항에 있어서,상기 악성 코드 가능성에 대한 정보는,미리 저장된 복수의 정상 코드들에서 추출된 제2 서브시퀀스와 상기 복수의 정상 코드들 간의 관련성에 대한 제2 신뢰도를 포함하는, 악성 코드 탐지 장치
|
6 |
6
제5항에 있어서,상기 제2 서브시퀀스는,상기 복수의 정상 코드들에 대한 제2 함수 호출 시퀀스가 미리 설정된 방법에 따라 코드화되고, 코드화된 상기 제2 함수 호출 시퀀스에 슬라이딩 윈도우가 적용되어 추출된 것인, 악성 코드 탐지 장치
|
7 |
7
제5항에 있어서,상기 제2 신뢰도는,제2 유사도와 제2 빈도가 이용되어 생성된 정보이되,상기 제2 유사도는 제2 모델의 전향 알고리즘을 통해 생성된 정보이고,상기 제2 모델은 상기 복수의 정상 코드들에 대한 은닉 마르코프 모델이며,상기 제2 빈도는 상기 제2 서브시퀀스가 상기 복수의 정상 코드들에서 추출되는 빈도에 대한 정보인, 악성 코드 탐지 장치
|
8 |
8
제5항에 있어서,상기 실행프로그램의 함수 호출 시퀀스 분석은, 상기 실행프로그램의 함수 호출 시퀀스에서 제3 서브시퀀스가 순차적으로 추출되고, 상기 인덱스정보에서 순차적으로 독출된 상기 제3 서브시퀀스에 상응하는 제1 신뢰도 및 제2 신뢰도 중 하나 이상을 이용하여 분석하는 것인, 악성 코드 탐지 장치
|
9 |
9
제8항에 있어서,상기 제3 서브시퀀스는,상기 실행프로그램의 함수 호출 시퀀스가 미리 설정된 방법에 따라 코드화되고, 코드화된 상기 실행프로그램의 함수 호출 시퀀스에 슬라이딩 윈도우가 적용되어 순차적으로 추출된 것인, 악성 코드 탐지 장치
|
10 |
10
제8항에 있어서,상기 악성 코드 가능성 판단은,제1 전체평균값이 제2 전체평균값보다 미리 설정된 임계상 이상 큰 값인지 여부를 통해 판단하는 것이되, 상기 제1 전체평균값은 순차적으로 독출되는 상기 제1 신뢰도가 모두 합산된 값이고, 상기 제2 전체평균값은 순차적으로 독출되는 상기 제2 신뢰도가 모두 합산된 값인
|
11 |
11
제8항에 있어서,상기 악성 코드 가능성 판단은,제1 일부평균값이 제2 일부평균값보다 미리 설정된 임계상 이상 큰 값인지 여부를 통해 판단하는 것이되, 상기 제1 일부평균값은 순차적으로 독출되는 상기 제1 신뢰도 중 가장 최근에 독출된 m개의 제1 신뢰도가 합산된 값이고, 상기 제2 일부평균값은 순차적으로 독출되는 상기 제2 신뢰도 중 가장 최근에 독출된 상기 m개의 제2 신뢰도가 합산된 값이며, 상기 m은 2 이상의 자연수인
|
12 |
12
제2항에 있어서,연결된 사용자장치로부터 상기 실행프로그램의 함수 호출 시퀀스를 수신하고, 입력된 알림정보를 상기 사용자장치로 전송하는 통신부;를 더 포함하되,상기 프로세서는 상기 실행프로그램이 악성 코드로 판단되면 상기 알림정보를 생성하여 상기 통신부로 출력하며, 상기 사용자장치는 상기 실행프로그램이 실행되면 상기 함수 호출 시퀀스를 상기 통신부로 전송하고, 상기 알림정보를 디스플레이하는, 악성 코드 탐지 장치
|
13 |
13
삭제
|
14 |
14
악성 코드 탐지 장치에서 수행되는 악성 코드 탐지 방법에 있어서,실행프로그램의 함수 호출 시퀀스가 입력되는 단계;함수 호출 시퀀스를 미리 저장된 인덱스정보를 이용하여 분석하는 단계; 및 상기 분석 결과를 통해 상기 실행프로그램의 악성 코드 가능성을 판단하는 단계;를 포함하되,상기 인덱스정보는 미리 저장된 복수의 코드들에서 추출된 서브시퀀스의 식별 정보와 악성 코드 가능성에 대한 정보가 매칭되어 저장된 정보이고,상기 악성 코드 가능성에 대한 정보는,미리 저장된 복수의 악성 코드들에서 추출된 제1 서브시퀀스와 상기 복수의 악성 코드들 간의 관련성에 대한 제1 신뢰도를 포함하고, 미리 저장된 복수의 정상 코드들에서 추출된 제2 서브시퀀스와 상기 복수의 정상 코드들 간의 관련성에 대한 제2 신뢰도를 포함하는, 악성 코드 탐지 방법
|
15 |
15
제14항에 있어서,상기 실행프로그램의 함수 호출 시퀀스를 분석하는 단계는,상기 실행프로그램의 함수 호출 시퀀스에서 제3 서브시퀀스를 순차적으로 추출하는 단계; 및상기 인덱스정보에서 상기 제3 서브시퀀스에 상응하는 제1 신뢰도 및 제2 신뢰도를 순차적으로 독출하는 단계; 를 포함하고,상기 실행프로그램의 악성 코드 가능성을 판단하는 단계는,상기 제1 신뢰도를 m개 이상 합산하여 제1 평균값을 생성하는 단계 - 단, 상기 m은 2 이상의 자연수임;상기 제2 신뢰도를 상기 m개 이상 합산하여 제2 평균값을 생성하는 단계; 및상기 제1 평균값이 상기 제2 평균값보다 미리 설정된 임계값 이상 큰 값인지 여부를 판단하는 단계;를 포함하는, 악성 코드 탐지 방법
|