| 1 |
1
악성코드 진화관계를 분석하는 방법에 있어서,복수의 악성코드 바이너리들 각각의 제 1복잡도를 계산하는 단계;상기 계산된 제 1복잡도를 이용하여 최초로 생성된 근원 바이너리를 선별하는 단계; 및 상기 계산된 제 1복잡도 및 상기 복수의 악성코드 바이너리들 간의 거리도를 기초로 하여 상기 근원 바이너리 외 상기 복수의 악성코드 바이너리들의 진화 순서를 추론하는 단계;를 포함하는 악성코드 진화관계 분석 방법
|
| 2 |
2
제 1항에 있어서,상기 근원 바이너리를 선별하는 단계는,상기 복수의 악성코드 바이너리들 중 같은 패밀리로 분류된 악성코드 바이너리들로부터 상기 제 1복잡도가 가장 낮은 악성코드 바이너리를 상기 근원 바이너리로 선별하는 단계;를 포함하는 악성코드 진화관계 분석 방법
|
| 3 |
3
제 1항에 있어서, 상기 제 1복잡도를 계산하는 단계는,동적 분석과 정적 분석을 이용하여 상기 제 1복잡도를 계산하는 단계;를 포함하고, 상기 동적 분석은, 상기 복수의 악성코드 바이너리들 각각이 호출하는 API 시퀀스 개수를 추출하고, 상기 정적 분석은, 상기 복수의 악성코드 바이너리들 각각의 제 2복잡도를 추출하되, 상기 추출된 제 2복잡도는 노드(Node)의 개수와 엣지(Edge)의 개수의 합으로 결정되는, 악성코드 진화관계 분석 방법
|
| 4 |
4
제 1항에 있어서,상기 제 1복잡도는, 다음 수학식 1에 따라 계산하는 악성코드 진화관계 분석 방법
|
| 5 |
5
제 4항에 있어서,상기 복수의 악성코드 바이너리들 중 임의의 악성코드 바이너리가 패킹되어 있을 경우, 상기 보다 작고, 상기 임의의 악성코드 바이너리가 안티디버깅 되어 있을 경우, 상기 보다 작고,상기 임의의 악성코드 바이너리가 패킹 및 안티디버깅 되어 있지 않을 경우, 상기 가 동일한 것을 포함하는, 악성코드 진화관계 분석 방법
|
| 6 |
6
제 1항에 있어서,상기 거리도는,다음 수학식2에 따라 계산되는 악성코드 진화관계 분석 방법
|
| 7 |
7
제 6항에 있어서,상기 유사도는 API 시퀀스의 개수를 이용하여 계산하는, 악성코드 진화관계 분석 방법
|
| 8 |
8
제 7항에 있어서,상기 유사도는 니들만-브니쉬 알고리즘(Needleman-Wunsch Algorithm), 스미스-워터맨 알고리즘(Smith-Waterman Algorithm) 및 히르쉬베르크 알고리즘(Hirschberg's Algorithm)중 적어도 어느 하나를 이용하는, 악성코드 진화관계 분석 방법
|
| 9 |
9
제 1항에 있어서,상기 진화 순서를 추론하는 단계는,상기 근원 바이너리를 으로 식별하는 단계;상기 복수의 악성코드 바이너리들 중 진화 순서가 식별된 악성코드 바이너리들의 집합은 이며, 상기 복수의 악성코드 바이너리들 중 진화 순서가 식별되지 않은 악성코드 바이너리들의 집합은 라 할 때, 상기 의 악성코드 바이너리들을 상기 제 1복잡도에 따라 오름차순으로 정렬하는 단계;상기 에서 상기 제 1복잡도가 가장 낮은 악성코드 바이너리를 로 선택하는 단계;다음 수학식 3을 만족하는 상기 의 악성코드 바이너리를 로 선택하는 단계;[수학식 3] (여기서, 상기는 임의의 악성코드 바이너리 각각을 의미하며, 상기 는 상기 간의 거리도임)상기 선택된 식별하는 단계;상기 에서 자식이 없는 악성코드 바이너리들인 와 상기 식별된에 대해 를 계산하는 단계; 상기 에 대해 를 계산하는 단계;상기 가 상기 보다 적다면, 상기를 상기의 부모로 식별하는 단계; 및 상기 에 상기 복수의 악성코드 바이너리들이 전부 포함될 때까지 반복하여 진화 순서를 식별하는 단계;를 포함하는 악성코드 진화관계 분석 방법
|
| 10 |
10
제 9항에 있어서,상기 진화 순서를 추론하는 단계는,상기 식별된 진화 순서에 따라 그래프를 도출하는 단계;를 더 포함하는 악성코드 진화관계 분석 방법
|
| 11 |
11
제 1 항 내지 제 10 항 중 어느 한 항에 따른 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
|
| 12 |
12
악성코드 진화관계를 분석하는 장치에 있어서,메모리; 및프로세서;를 포함하고,상기 프로세서는,복수의 악성코드 바이너리들 각각의 제 1복잡도를 계산하고,상기 계산된 제 1복잡도를 이용하여 최초로 생성된 근원 바이너리를 선별하고,상기 계산된 제 1복잡도 및 상기 복수의 악성코드 바이너리들 간의 거리도를 기초로 하여 상기 근원 바이너리 외 상기 복수의 악성코드 바이너리들의 진화 순서를 추론하는 악성코드 진화관계 분석 장치
|
