1 |
1
구동 상태의 애플리케이션을 대상으로 기 설정된 이벤트를 실행시키는 명령실행부;상기 명령실행부의 이벤트가 실행되는 애플리케이션으로부터 동적 특징데이터를 추출하는 특징데이터 추출부;상기 특징데이터 추출부가 추출한 동적 특징데이터를 패턴화하여 패턴데이터를 생성하는 변환부; 및머신러닝을 이용하여 상기 패턴데이터의 악성코드 포함 여부를 진단하는 악성코드 검사부를 포함하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
2 |
2
제1항에 있어서,상기 특징정보에는 애플리케이션의 구동 중 호출되는 API들의 종류 또는 호출 순서(sequence), API 호출 빈도, 시스템 콜(system call)의 순서 또는 호출빈도, 함수 호출 및 복귀와 관련된 콜 스택 정보, 콜 스택 프레임 할당 해제 패턴, 애플리케이션 실행 시 동적으로 할당되고 해제되는 동적 힙 할당 패턴(dynamic heap allocation pattern), 애플리케이션의 구동 중 나타나는 명령어들의 실행 순서를 반영하는 n-gram opcode, 애플리케이션의 구동 중 기본블록(Basic block)들의 실행 순서를 나타내는 동적 제어흐름그래프(control-flow graph, CFG), 애플리케이션의 구동 중 메소드(함수, 프로시저)들의 호출 순서 정보를 포함하는 CG(call graph), 프로세스간 통신(Inter-Process Communication)정보, 컴포넌트간 통신(Inter-component communication)정보, 네트워크 접근 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
3 |
3
제1항에 있어서,상기 변환부에서 생성된 패턴데이터는 사운드 포맷의 데이터이고,상기 머신러닝은 동적 데이터 분석에 강인한 머신러닝 알고리즘인 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
4 |
4
제3항에 있어서,상기 변환부는 상기 동적 특징데이터의 이진코드를 MIDI 포맷으로 변환한 후, 변환된 MIDI 포맷의 동적 특징데이터를 wav 포맷 또는 MFCC(Mel-Frequency Cepstral Coefficients) 포맷으로 변환하는 것으로 패턴데이터를 생성하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
5 |
5
제4항에 있어서,상기 변환부는 동적 특징데이터의 MIDI 포맷 변환 시, 동적 특징데이터를 1 바이트 단위로 분할한 후, 상기 1 바이트를 2 비트로 구성된 제1채널과, 6 비트로 구성된 제2채널로 구성하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
6 |
6
제5항에 있어서,상기 변환부는 제1채널과 제2채널의 음이 서로 중복되지 않게 어느 하나의 채널에 가중치를 더한 후 MIDI 포맷으로 변환하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
7 |
7
제3항에 있어서,상기 머신러닝의 학습을 위해, 공지된 악성코드를 상기 패턴데이터와 동일한 포맷으로 변환하여 상기 머신러닝에 입력하는 학습부를 더 포함하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
8 |
8
제7항에 있어서,상기 학습부는 멀웨어 패밀리(Malware family)에 따라 공지된 악성코드를 분류한 후 머신러닝에 입력하고,상기 악성코드 검사부는 탐지된 악성코드의 멀웨어 패밀리 종류를 자동 분류하는 것을 특징으로 하는 멀웨어 탐지 분류 시스템
|
9 |
9
명령실행부가 구동 상태의 애플리케이션을 대상으로 기 설정된 이벤트를 실행시키는 단계;특징데이터 추출부가 이벤트가 실행되는 상기 애플리케이션으로부터 동적 특징데이터를 추출하는 단계;변환부가 상기 동적 특징데이터를 패턴화하여 패턴데이터를 생성하는 단계; 및악성코드 검사부가 머신러닝을 이용하여 상기 패턴데이터의 악성코드 포함 여부를 진단하는 단계를 포함하는 것을 특징으로 하는 멀웨어 탐지 분류 방법
|