| 1 |
1
악성코드 분석 모집단에 포함된 복수의 악성파일들 각각을 특정 기준에 따라 분석하여 적어도 어느 하나의 기본 블록을 결정하는 기본 블록 결정부;상기 기본 블록을 기초로 상기 복수의 악성파일들에 관한 이분 그래프를 생성하여 상기 복수의 악성파일들과 신규 파일 간의 유사도를 산출하는 악성코드 유사도 산출부; 및상기 유사도를 기초로 상기 신규 파일의 악성코드 여부를 분류하는 악성코드 분류부를 포함하되,상기 악성코드 유사도 산출부는 상기 악성코드 분석 모집단을 기초로 상기 복수의 악성파일들을 포함하는 악성파일 집합과 상기 복수의 악성파일들 각각에서 도출되는 기본 블록들을 포함하는 기본 블록 집합을 생성하는 제1 단계, 상기 악성파일 집합과 상기 기본 블록 집합 간의 대응 관계에 관한 이분 그래프를 생성하는 제2 단계, 상기 이분 그래프를 기초로 상기 기본 블록 집합의 각 기본 블록에 대해 상기 악성파일 집합 내에서의 출현 빈도수의 역수로서 블록 가중치를 산출하는 제3 단계, 상기 복수의 악성파일들 중 어느 하나와 상기 신규 파일로 구성된 파일 쌍에 대해 각각의 파일에 공통으로 대응되는 공통 기본 블록들을 결정하는 제4 단계 및 상기 공통 기본 블록들 각각의 블록 가중치를 합산하여 상기 파일 쌍에 대한 유사도를 산출하는 제5 단계를 순차적으로 수행하는 것을 특징으로 하는 이분 그래프 기반의 악성코드 탐지 장치
|
| 2 |
2
삭제
|
| 3 |
3
삭제
|
| 4 |
4
삭제
|
| 5 |
5
제1항에 있어서, 상기 악성코드 분류부는상기 신규 파일이 악성코드로 분류된 경우 해당 신규 파일을 신규 악성파일로서 상기 악성코드 분석 모집단에 등록하는 것을 특징으로 하는 이분 그래프 기반의 악성코드 탐지 장치
|
| 6 |
6
제5항에 있어서, 상기 악성코드 유사도 산출부는상기 악성코드 분석 모집단에 상기 신규 악성파일이 등록되는 경우 상기 악성파일 집합과 상기 기본 블록 집합을 각각 갱신하고 상기 기본 블록 집합의 각 기본 블록에 관한 블록 가중치를 갱신하는 것을 특징으로 하는 이분 그래프 기반의 악성코드 탐지 장치
|
| 7 |
7
제1항에 있어서, 상기 악성코드 분류부는상기 복수의 악성파일들과 상기 신규 파일에 관한 파일 쌍 중에서 상기 유사도가 가장 높은 파일 쌍을 기준으로 상기 신규 파일에 관한 악성코드 여부를 결정하는 것을 특징으로 하는 이분 그래프 기반의 악성코드 탐지 장치
|
| 8 |
8
제1항에 있어서, 상기 기본 블록 결정부는상기 악성파일을 정적 분석하여 나온 기본 단위의 명령어 시퀀스, 함수 단위의 명령어 시퀀스, 상기 악성파일을 동적 분석하여 나온 IP 주소, 도메인 주소, 문자열, 뮤텍스 및 API 중 어느 하나를 상기 기본 블록으로 결정하는 것을 특징으로 하는 이분 그래프 기반의 악성코드 탐지 장치
|
| 9 |
9
삭제
|
| 10 |
10
삭제
|
| 11 |
11
삭제
|
| 12 |
12
삭제
|
