| 1 |
1
악성코드 진단 대상 애플리케이션을 분석하여 난독화 또는 패킹 여부를 판단하는 은폐 검사부;상기 애플리케이션에서 특징데이터를 추출하는 데이터 추출부;상기 데이터 추출부가 추출한 특징데이터를 패턴화하여 패턴데이터를 생성하는 데이터 변환부; 및상기 데이터 변환부가 생성한 패턴데이터를 종래 악성코드 패턴이 학습된 머신러닝을 이용하여 악성코드 포함 여부를 진단하는 멀웨어 진단부를 포함하고,상기 데이터 추출부는 상기 애플리케이션에서 악성코드가 포함될 수 있는 주요부분의 데이터를 특징데이터로서 선택 추출하는 정적 특징 추출부를 포함하고,상기 데이터 변환부는 상기 주요부분을 이진코드(binary code) 형태로 로드한 후 기 설정된 단위로 분할하고, 분할된 이진코드를 대응되는 명암 또는 색상으로 변환하는 정적 변환부를 포함하고,상기 멀웨어 진단부는 상기 정적 변환부에서 생성된 패턴데이터를 대상으로 악성코드 포함 여부를 진단하며 정적 데이터 분석에 강인한 머신러닝이 포함되는 정적 진단부를 포함하는 것을 특징으로 하는 은폐된 멀웨어 탐지 분류 시스템
|
| 2 |
2
제1항에 있어서, 상기 멀웨어 진단부는,상기 애플리케이션이 난독화된 경우 상기 패턴데이터를 난독화 데이터셋(data set)으로 학습된 난독화진단 머신러닝을 이용하여 악성코드 포함 여부를 진단하고,상기 애플리케이션이 패킹화된 경우 상기 패턴데이터를 패킹 데이터셋으로 학습된 패킹진단 머신러닝을 이용하여 악성코드 포함 여부를 진단하며,상기 애플리케이션이 난독화 또는 패킹되지 않은 경우 상기 패턴데이터를 비(非)은폐 데이터셋으로 학습된 비은폐진단 머신러닝을 이용하여 악성코드 포함 여부를 진단하는 것을 특징으로 하는 은폐된 멀웨어 탐지 분류 시스템
|
| 3 |
3
제1항에 있어서, 상기 은폐 검사부는,상기 애플리케이션을 이미지 포맷으로 패턴화하는 은폐 변환부;상기 은폐 변환부가 패턴화한 애플리케이션을 대상으로 난독화 또는 패킹 여부를 식별하며, 정적 데이터 분석에 강인한 은폐검사 머신러닝을 포함하는 은폐 진단부로 구성되는 것을 특징으로 하는 은폐된 멀웨어 탐지 분류 시스템
|
| 4 |
4
삭제
|
| 5 |
5
제1항에 있어서,상기 주요부분은 상기 애플리케이션의 실행코드 영역인 것을 특징으로 하는 안드로이드 은폐된 멀웨어 탐지 분류 시스템
|
| 6 |
6
제1항에 있어서,상기 데이터 추출부는, 상기 애플리케이션을 구동시키는 구동부; 구동 상태의 애플리케이션을 대상으로 기 설정된 이벤트를 실행시키는 명령실행부; 상기 명령실행부의 이벤트가 실행되는 애플리케이션으로부터 특징데이터를 추출하는 동적 특징 추출부를 포함하고,상기 데이터 변환부는 상기 특징데이터를 사운드 포맷의 패턴데이터로 변환하는 동적 변환부를 포함하고,상기 멀웨어 진단부는 상기 동적 변환부에서 생성된 패턴데이터를 대상으로 악성코드 포함 여부를 진단하며 동적 데이터 분석에 강인한 머신러닝이 포함되는 동적 진단부를 포함하는 것을 특징으로 하는 은폐된 멀웨어 탐지 분류 시스템
|
| 7 |
7
제6항에 있어서,상기 동적 변환부는 상기 특징데이터의 이진코드를 MIDI 포맷으로 변환한 후, 변환된 MIDI 포맷의 특징데이터를 wav 포맷 또는 MFCC(Mel-Frequency Cepstral Coefficients) 포맷으로 변환하는 것으로 패턴데이터를 생성하는 것을 특징으로 하는 은폐된 멀웨어 탐지 분류 시스템
|
| 8 |
8
제7항에 있어서,상기 동적 변환부는 특징데이터의 MIDI 포맷 변환 시, 특징데이터를 1 바이트 단위로 분할한 후, 상기 1 바이트를 2 비트로 구성된 제1채널과, 6 비트로 구성된 제2채널로 구성하는 것을 특징으로 하는 은폐된 멀웨어 탐지 분류 시스템
|
| 9 |
9
제8항에 있어서,상기 동적 변환부는 상기 제1채널과 상기 제2채널의 음이 서로 중복되지 않게 어느 하나의 채널에 가중치를 더한 후 MIDI 포맷으로 변환하는 것을 특징으로 하는 은폐된 멀웨어 탐지 분류 시스템
|
| 10 |
10
제1항에 있어서,상기 멀웨어 진단부의 머신러닝을 학습하기 위해, 공지된 악성코드를 상기 패턴데이터와 동일한 포맷으로 변환하여 상기 머신러닝에 입력하는 학습부를 더 포함하고,상기 학습부는 멀웨어 패밀리(Malware family)에 따라 공지된 악성코드를 분류한 후 머신러닝에 입력하며,상기 멀웨어 진단부는 악성코드 탐지 시 멀웨어 패밀리 종류를 자동 분류하는 것을 특징으로 하는 은폐된 멀웨어 탐지 분류 시스템
|
| 11 |
11
(a) 은폐 검사부가 악성코드 진단 대상 애플리케이션을 분석하여 난독화 또는 패킹 여부를 판단하는 단계;(b) 데이터 추출부가 상기 애플리케이션에서 특징데이터를 추출하는 단계;(c) 데이터 변환부가 상기 특징데이터를 패턴화하여 패턴데이터를 생성하는 단계; 및(d) 멀웨어 진단부가 상기 패턴데이터를 종래 악성코드 패턴이 학습된 머신러닝을 이용하여 악성코드 포함 여부를 진단하는 단계를 포함하고,(e) 상기 데이터 추출부의 정적 특징 추출부에서 상기 애플리케이션의 악성코드가 포함될 수 있는 주요부분의 데이터를 특징데이터로서 선택 추출하는 단계;(f) 상기 데이터 변환부의 정적 변환부는 상기 주요부분을 이진코드(binary code) 형태로 로드한 후 기 설정된 단위로 분할하고, 분할된 이진코드를 대응되는 명암 또는 색상으로 변환하는 단계;(g) 상기 멀웨어 진단부의 정적 진단부는 상기 정적 변환부에서 생성된 패턴데이터를 대상으로 악성코드 포함 여부를 진단하며 정적 데이터 분석에 강인한 머신러닝 분석 단계를 포함하는 것을 특징으로 하는 은폐된 멀웨어 탐지 분류 방법
|
| 12 |
12
제11항에 있어서, 상기 (a) 단계는,상기 애플리케이션을 이미지 포맷으로 패턴화하는 단계;상기 패턴화된 애플리케이션을 대상으로 정적 데이터 분석에 강인한 은폐검사 머신러닝을 이용하여 난독화 또는 패킹 여부를 식별하는 단계를 포함하는 것을 특징으로 하는 은폐된 멀웨어 탐지 분류 방법
|
