1 |
1
악성 어플리케이션 탐지 장치가, 신규 어플리케이션의 소스 코드를 추출하는 단계;상기 악성 어플리케이션 탐지 장치가, 상기 소스 코드로부터 메서드를 추출하고, 상기 메서드에 대응되는 제1 바이너리와 악성으로 분류된 어플리케이션에 포함된 메서드에 대응되는 제2 바이너리를 메서드 단위로 비교하여 유사도를 산출하는 단계;상기 악성 어플리케이션 탐지 장치가, 상기 유사도가 기 설정된 임계값 미만인 경우, 상기 신규 어플리케이션에 대한 위험도를 산출하는 단계; 및상기 악성 어플리케이션 탐지 장치가, 상기 위험도를 이용하여 상기 신규 어플리케이션의 악성 여부를 판단하는 단계를 포함하되,상기 위험도를 산출하는 단계는,악성으로 분류된 제1 학습 대상 어플리케이션에 포함된 특징을 기초로 악성으로 태깅된 n차원의 제1 학습 대상 특징 벡터를 생성하고, 정상으로 분류된 제2 학습 대상 어플리케이션에 포함된 특징을 기초로 정상으로 태깅된 n차원의 제2 학습 대상 특징 벡터를 생성하는 제1 단계;유전자 알고리즘을 이용하여, 상기 제1 학습 대상 특징 벡터 및 상기 제2 학습 대상 특징 벡터에 대한 학습을 수행하고, 상기 학습을 통해 각각의 특징 별 가중치를 갱신하는 제2 단계;상기 제1 단계 및 상기 제2 단계를 반복하여, n차원의 특징 벡터를 구성하는 각각의 특징에 대한 특징 별 가중치를 결정하는 단계;상기 신규 어플리케이션의 소스 코드에 제1 특징 내지 제n 특징 각각의 포함 여부를 기준으로 n차원의 탐지 대상 특징 벡터를 생성하는 단계; 및상기 탐지 대상 특징 벡터를 구성하는 각각의 요소의 값과 상기 결정된 특징 별 가중치에 대한 가중치 합(weighted sum)을 통해 상기 신규 어플리케이션의 위험도를 연산하는 단계를 포함하는,악성 어플리케이션 탐지 방법
|
2 |
2
제1항에 있어서,상기 소스 코드를 추출하는 단계는,상기 신규 어플리케이션을 디컴파일 또는 디어셈블 하여 소스 코드를 추출하는 단계를 포함하는,악성 어플리케이션 탐지 방법
|
3 |
3
제1항에 있어서,상기 제1 특징 내지 제n 특징은,상기 제1 학습 대상 어플리케이션에 포함된 특징 및 상기 제2 학습 대상 어플리케이션에 포함된 특징 중에서, 등장 빈도를 기준으로 선별된 API 또는 시스템 명령어인 것인,악성 어플리케이션 탐지 방법
|
4 |
4
삭제
|
5 |
5
제1항에 있어서,상기 위험도를 연산하는 단계는,상기 탐지 대상 특징 벡터를 구성하는 각각의 요소의 값과 상기 결정된 특징 별 가중치에 대한 가중치 합으로 산출된 값이 0부터 100까지의 범위에 포함되도록 스케일링 하는 단계를 포함하는,악성 어플리케이션 탐지 방법
|
6 |
6
제1항에 있어서,상기 악성 여부를 판단하는 단계는,상기 위험도를 기 설정된 임계값과 비교하여 악성 여부를 판단하는 단계를 포함하는,악성 어플리케이션 탐지 방법
|
7 |
7
네트워크 인터페이스;하나 이상의 프로세서;상기 프로세서에 의하여 수행되는 컴퓨터 프로그램을 로드하는 메모리; 및신규 어플리케이션을 저장하는 스토리지를 포함하되,상기 컴퓨터 프로그램은,상기 신규 어플리케이션의 소스 코드를 추출하는 오퍼레이션;상기 소스 코드로부터 메서드를 추출하고, 상기 메서드에 대응되는 제1 바이너리와 악성으로 분류된 어플리케이션에 포함된 메서드에 대응되는 제2 바이너리를 메서드 단위로 비교하여 유사도를 산출하는 오퍼레이션;상기 유사도가 기 설정된 임계값 미만인 경우, 상기 신규 어플리케이션에 대한 위험도를 산출하는 오퍼레이션; 및상기 위험도를 이용하여 상기 신규 어플리케이션의 악성 여부를 판단하는 오퍼레이션을 포함하되,상기 위험도를 산출하는 오퍼레이션은,악성으로 분류된 제1 학습 대상 어플리케이션에 포함된 특징을 기초로 악성으로 태깅된 n차원의 제1 학습 대상 특징 벡터를 생성하고, 정상으로 분류된 제2 학습 대상 어플리케이션에 포함된 특징을 기초로 정상으로 태깅된 n차원의 제2 학습 대상 특징 벡터를 생성하는 제1 오퍼레이션;유전자 알고리즘을 이용하여, 상기 제1 학습 대상 특징 벡터 및 상기 제2 학습 대상 특징 벡터에 대한 학습을 수행하고, 상기 학습을 통해 각각의 특징 별 가중치를 갱신하는 제2 오퍼레이션;상기 제1 오퍼레이션 및 상기 제2 오퍼레이션을 반복하여, n차원의 특징 벡터를 구성하는 각각의 특징에 대한 특징 별 가중치를 결정하는 오퍼레이션;상기 신규 어플리케이션의 소스 코드에 제1 특징 내지 제n 특징 각각의 포함 여부를 기준으로 n차원의 탐지 대상 특징 벡터를 생성하는 오퍼레이션; 및상기 탐지 대상 특징 벡터를 구성하는 각각의 요소의 값과 상기 결정된 특징 별 가중치에 대한 가중치 합(weighted sum)을 통해 상기 신규 어플리케이션의 위험도를 연산하는 오퍼레이션을 포함하는,악성 어플리케이션 탐지 장치
|