1 |
1
진단 대상 앱에 포함된 특징기능을 추출하는 특징 추출부와;멀웨어가 포함되지 않은 정상 앱 그룹에서 추출된 특징기능의 정상 리스트 또는 멀웨어가 포함된 악성 앱 그룹에서 추출된 특징기능의 악성 리스트를 이용하여 상기 진단 대상 앱의 멀웨어 포함 여부를 진단하는 악성코드 진단부를 포함하고;상기 정상 리스트 및 상기 악성 리스트의 특징기능들은 앱들에 포함된 경우의 수가 많은 순서로 정렬되고,상기 악성코드 진단부는 상기 정상 리스트 또는 상기 악성 리스트 중 기 설정된 범위의 상위 특징기능 정보를 이용하여 멀웨어를 진단하고;상기 악성코드 진단부는상기 특징 추출부가 진단 대상 앱에서 추출한 복수의 특징기능을 대상으로,추출된 특징기능 중 정상 리스트에만 존재하는 정상 특징기능과, 악성 리스트에만 존재하는 악성 특징기능을 정제하며,전체 정상 특징기능의 수 및 각 정상 특징기능의 정상 리스트 상의 순위 를 이용하여 을 연산하고,전체 악성 특징기능의 수 및 각 악성 특징기능의 정상 리스트 상의 순위 를 이용하여 를 연산하며,상기 가 상기 보다 크면 상기 진단 대상 앱을 정상 앱으로 판단하고,상기 가 상기 보다 작으면 상기 진단 대상 앱을 악성 앱으로 판단하며,상기 가 상기 와 같으면 잠재적인 불필요 앱(Potentially Unwanted App, PUA)판단하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
2 |
2
제1항에 있어서,상기 특징기능은 API(Application Program Interface), 퍼미션(Permission) 중 적어도 하나를 포함하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
3 |
3
삭제
|
4 |
4
제1항에 있어서, 상기 악성코드 진단부는상기 정상 리스트 중 악성 앱에 포함된 경우의 수가 기 설정된 수 이하인 상위 특징기능 중 복수개를 진단 대상 앱이 포함하고 있으면, 상기 진단 대상 앱이 정상 앱인 것으로 판단하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
5 |
5
제1항에 있어서, 상기 악성코드 진단부는상기 악성 리스트 중 정상 앱에 포함된 경우의 수가 기 설정된 수 이하인 상위 특징기능 중 복수개를 진단 대상 앱이 포함하고 있으면, 상기 진단 대상 앱이 악성 앱인 것으로 판단하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
6 |
6
삭제
|
7 |
7
제1항에 있어서, 상기 악성코드 진단부는정상 리스트에 포함된 특징기능의 총 개수를 , 정상 특징기능의 개별 순위를 p, 악성 리스트에 포함된 특징기능의 총 개수를 , 악성 특징기능의 개별 순위를 q로 정의하고,정상 리스트의 개별 특징기능을 순차적으로 진단 대상 앱에 포함된 특징기능과 대비하여 동일한 특징기능이 있을 때 변수 D에 대해 의 연산을 수행하며,악성 리스트의 개별 특징기능을 순차적으로 진단 대상 앱에 포함된 특징기능과 대비하여 동일한 특징기능이 있을 때 의 연산을 수행하고,최종 D의 값이 0보다 크면 정상 앱, D의 값이 0보다 작으면 악성 앱으로 판단하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
8 |
8
제1항에 있어서, 상기 악성코드 진단부는상기 정상 리스트 또는 상기 악성 리스트를 이용하여 진단 대상 앱을 필터링하는 표층 진단부와;상기 표층 진단부에서 진단 대상 앱이 정상 앱이 아닌 것으로 진단하거나, 악성 앱으로 진단한 경우, 머신러닝을 이용하여 재차 멀웨어 포함 여부를 진단하는 심층 진단부를 포함하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
9 |
9
제 8항에 있어서,상기 악성 리스트는 멀웨어 패밀리에 대응하는 멀웨어 카테고리 별로 생성되고,상기 표층 진단부는 상기 악성 리스트를 이용한 필터링 시 악성 앱에 멀웨어 카테고리를 함께 정의하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
10 |
10
제1항에 있어서, 상기 악성코드 진단부는 기계학습 분류기인 랜덤포레스트(random forest)를 포함하는 머신러닝 모델을 이용하여 상기 진단 대상 앱의 멀웨어 포함 여부를 진단하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
11 |
11
특징 추출부가 진단 대상 앱에 포함된 특징기능을 추출하는 단계와;악성코드 진단부가 멀웨어가 포함되지 않은 정상 앱 그룹에서 추출된 특징기능의 정상 리스트 또는 멀웨어가 포함된 악성 앱 그룹에서 추출된 특징기능의 악성 리스트를 이용하여 상기 진단 대상 앱의 멀웨어 포함 여부를 진단하는 단계;상기 정상 리스트 및 상기 악성 리스트의 특징 기능들은 앱들에 포함된 경우의 수가 많은 순서로 정렬하는 단계;상기 악성코드 진단부는 상기 정상 리스트 또는 상기 악성 리스트 중 기 설정된 범위의 상위 특징기능 정보를 이용하여 멀웨어를 진단하는 단계;상기 악성코드 진단부는 상기 특징 추출부가 진단 대상 앱에서 추출한 복수의 특징기능을 대상으로, 추출된 특징기능 중 정상 리스트에만 존재하는 정상 특징기능과, 악성 리스트에만 존재하는 악성 특징기능을 정제하는 단계;를 포함하고전체 정상 특징기능의 수 및 각 정상 특징기능의 정상 리스트 상의 순위 를 이용하여 을 연산하고,전체 악성 특징기능의 수 및 각 악성 특징기능의 정상 리스트 상의 순위 를 이용하여 를 연산하며,상기 가 상기 보다 크면 상기 진단 대상 앱을 정상 앱으로 판단하고,상기 가 상기 보다 작으면 상기 진단 대상 앱을 악성 앱으로 판단하며,상기 가 상기 와 같으면 잠재적인 불필요 앱(Potentially Unwanted App, PUA)판단하는 단계를 포함하는 것을 특징으로 하는 멀웨어 탐지 분류 방법
|