| 1 |
1
악성코드 식별 장치가 변종 악성코드를 식별하는 방법에 있어서,상기 악성코드 식별 장치가 식별하고자 하는 복수의 악성코드들 각각에 대하여 정적 분석을 수행함으로써, 상기 각각의 악성코드를 기존 악성코드 또는 변종 악성코드로 1차 분류하는 단계;상기 1차 분류에 따라 상기 각각의 악성코드가 기존 악성코드로 분류된 경우, 상기 기존 악성코드의 정적 특징에 따라 분류하기 위해 미리 학습된 학습데이터를 기반으로 상기 기존 악성코드를 2차 분류하고, 상기 1차 분류에 따라 상기 각각의 악성코드가 변종 악성코드로 분류된 경우, 상기 변종 악성코드로 분류된 악성코드들의 동적 특징을 고려하여 군집화(clustering)를 수행함으로써 상기 변종 악성코드를 2차 분류하는 단계;상기 2차 분류된 기존 악성코드 및 변종 악성코드가 각각 적어도 하나 존재하면, 상기 2차 분류된 기존 악성코드 및 변종 악성코드 각각의 정적 특징 및 동적 특징을 고려하여 상기 2차 분류된 기존 악성코드 및 변종 악성코드의 유사도를 산출하고, 산출된 유사도와 기 설정된 기준 값을 비교함에 따라 상기 2차 분류된 기존 악성코드 및 변종 악성코드의 관계를 식별하는 단계;를 포함하는 변종 악성코드 식별 방법
|
| 2 |
2
제1항에 있어서, 상기 관계 식별 결과에 따라서 상기 2차 분류된 변종 악성코드를 상기 2차 분류된 기존 악성코드가 속하는 제1 그룹으로 통합하거나, 상기 2차 분류된 변종 악성코드를 새로운 제2 그룹으로 생성하는 단계를 더 포함하는 변종 악성코드 식별 방법
|
| 3 |
3
제2항에 있어서,상기 통합된 제1 그룹 또는 상기 생성된 제2 그룹을 이용하여, 상기 제1 그룹으로 통합하거나 상기 제2 그룹을 생성한 이후 시점에 유입되는 변종 악성코드를 식별하기 위한 상기 학습데이터로 학습시킴으로써, 상기 학습데이터를 업데이트하는 단계를 더 포함하는 것을 특징으로 하는 변종 악성코드 식별 방법
|
| 4 |
4
삭제
|
| 5 |
5
삭제
|
| 6 |
6
제2항에 있어서, 상기 제1 그룹으로 통합하거나 상기 제2 그룹을 생성하는 단계는,상기 산출된 유사도가 상기 기준 값보다 크거나 동일하면 상기 1차 분류된 기존 악성코드와 상기 변종 악성코드를 상기 제1 그룹으로 통합하고,상기 산출된 유사도가 상기 기준 값보다 작으면 상기 변종 악성코드에 대한 상기 제2 그룹을 생성하는 것을 특징으로 하는 더 포함하는 변종 악성코드 식별 방법
|
| 7 |
7
제1항에 있어서,상기 변종 악성코드를 2차 분류하는 단계는,상기 변종 악성코드로 분류된 악성코드들에 대하여 군집화를 수행함으로써 적어도 하나의 변종 군집을 생성하는 단계; 및 상기 적어도 하나의 변종 군집을 대표하는 대표 악성코드를 선정하는 단계;를 더 포함하는 것을 특징으로 하는 변종 악성코드 식별 방법
|
| 8 |
8
제7항에 있어서,상기 대표 악성코드를 선정하는 단계는,상기 적어도 하나의 변종 군집의 중심점(Centroid)을 선정하는 단계;상기 생성된 변종 군집에 대한 중심점과 상기 변종 군집에 소속된 적어도 하나의 변종 악성 코드와의 거리를 계산하는 단계; 및상기 계산 결과에 따라 상기 중심점과 가장 가까운 거리에 위치하는 변종 코드를 상기 대표 악성코드로 선정하는 단계;를 더 포함하는 것을 특징으로 하는 변종 악성코드 식별 방법
|
| 9 |
9
제1항에 있어서,상기 1차 분류하는 단계는,상기 식별하고자 하는 복수의 악성코드들 간의 유사도를 분석하고, 분석 결과에 따라 상기 악성코드들을 기존 악성코드 또는 변종 악성코드로 분류하는 것을 특징으로 하는 변종 악성코드 식별 방법
|
| 10 |
10
식별하고자 하는 복수의 악성코드들 각각에 대하여 정적 분석을 수행함으로써, 상기 각각의 악성코드를 기존 악성코드 또는 변종 악성코드로 1차 분류하는 1차 분류모듈;상기 1차 분류에 따라 상기 각각의 악성코드가 기존 악성코드로 분류된 경우, 상기 기존 악성코드의 특징에 따라 분류하기 위해 미리 학습된 학습데이터를 기반으로 상기 기존 악성코드를 2차 분류하고, 상기 1차 분류에 따라 상기 각각의 악성코드가 변종 악성코드로 분류된 경우, 상기 변종 악성코드로 분류된 악성코드들의 특징을 고려하여 군집화(clustering)를 수행함으로써 상기 변종 악성코드를 2차 분류하는 2차 분류 모듈; 및상기 2차 분류된 기존 악성코드 및 변종 악성코드가 각각 적어도 하나 존재하면, 상기 2차 분류된 기존 악성코드 및 변종 악성코드 각각의 정적 특징 및 동적 특징을 고려하여 상기 2차 분류된 기존 악성코드 및 변종 악성코드의 유사도를 산출하고, 산출된 유사도와 기 설정된 기준 값을 비교함에 따라 상기 2차 분류된 기존 악성코드 및 변종 악성코드의 관계를 식별하는 관계 식별부;를 포함하는 변종 악성코드 식별 장치
|
| 11 |
11
제10항에 있어서,상기 관계 식별 결과에 따라서 상기 2차 분류된 변종 악성코드를 상기 2차 분류된 기존 악성코드가 속하는 제1 그룹으로 통합하는 그룹통합부 및 상기 2차 분류된 변종 악성코드를 새로운 제2 그룹을 생성하는 그룹생성부를 더 포함하는 변종 악성코드 식별 장치
|
| 12 |
12
제11항에 있어서,상기 통합된 제1 그룹 또는 상기 생성된 제2 그룹을 이용하여, 상기 제1 그룹으로 통합하거나 상기 제2 그룹을 생성한 이후 시점에 유입되는 변종 악성코드를 식별하기 위한 상기 학습데이터로서 학습시키는 지도학습부를 더 포함하는 것을 특징으로 하는 변종 악성코드 식별 장치
|
| 13 |
13
제11항에 있어서, 상기 그룹통합부는 상기 산출된 유사도가 상기 기준 값보다 크거나 동일하면 상기 2차 분류된 기존 악성코드와 상기 변종 악성코드를 상기 제1 그룹으로 통합하고, 상기 그룹생성부는 상기 산출된 유사도가 상기 기준 값보다 작으면 상기 변종 악성코드에 대한 상기 제2 그룹을 생성하는 것을 특징으로 하는 변종 악성코드 식별 장치
|
| 14 |
14
제10항에 있어서, 상기 2차 분류 모듈은,상기 변종 악성코드로 분류된 악성코드들에 대하여 군집화를 수행함으로써 적어도 하나의 변종 군집을 생성하고, 상기 적어도 하나의 변종 군집을 대표하는 대표 악성코드를 선정하는 것을 특징으로 하는 변종 악성코드 식별 장치
|
| 15 |
15
컴퓨터에서 제1항 내지 제3항 및 제6항 내지 제9항 중 어느 한 항에 따른 변종 악성코드 식별 방법을 실행시키기 위한 컴퓨터 판독 가능 매체에 저장된 컴퓨터 프로그램
|
