| 1 |
1
악성코드의 기능 분석을 위한 대표그래프 생성 방법에 있어서,미리 저장된 악성파일로부터 소스코드(Source Code)를 획득하는 단계;상기 소스코드를 분석하여 각 노드(Node)가 상기 소스코드의 일부로 구성된 제1 그래프(Graph)를 생성하는 단계;상기 제1 그래프의 상기 노드를 분석하여 파라미터(Parameter)간 의존관계를 분석하는 단계;상기 분석된 파라미터간 의존관계를 나타내는 제2 그래프를 생성하는 단계;상기 제2 그래프를 유사도를 기준으로 군집화 하는 단계; 및상기 군집화된 제2 그래프의 군집에서 군집의 기능을 대표하는 대표그래프를 생성하는 단계; 를 포함하는 대표그래프 생성 방법
|
| 2 |
2
제 1 항에 있어서, 상기 제1 그래프는 상기 소스코드를 파싱(Parsing)하여 추상 구문 트리(Abstract Syntax Tree)를 생성한 뒤, 상기 추상 구문 트리를 분석하여 기본블록으로 구성한 제어 흐름 그래프(Control Flow Graph)이고,상기 파라미터는 API(Application Programming Interface) 파라미터이고, 상기 제2 그래프는 API 파라미터간 의존관계를 나타내는 ADG(API Dependency Graph)인 것인, 대표 그래프 생성 방법
|
| 3 |
3
제 1 항에 있어서,상기 대표그래프를 저장하여 데이터베이스(DB)화 하는 것을 포함하는, 대표그래프 생성 방법
|
| 4 |
4
제 1 항에 있어서,상기 대표그래프를 생성하는 단계는,각각의 제2 그래프를 더하여 출현빈도가 임계값을 초과하는 노드만을 연결하여 생성하는 것인, 대표 그래프 생성 방법
|
| 5 |
5
제 1 항에 있어서,상기 군집화 하는 단계는,K-means Clustering 방식을 이용하는 것인, 대표그래프 생성 방법
|
| 6 |
6
악성코드의 기능 분석 방법에 있어서,분석대상 악성파일의 소스코드를 획득하는 단계;상기 소스코드를 분석하여 각 노드가 상기 소스코드의 일부로 구성된 제1 그래프를 생성하는 단계;상기 제1 그래프의 상기 노드를 분석하여 파라미터(Parameter)간 의존관계를 분석하는 단계;상기 분석된 파라미터간 의존관계를 나타내는 제2 그래프를 생성하는 단계; 및미리 저장된 대표그래프 각각과 상기 생성된 제2 그래프의 유사도를 비교하여 악성코드의 기능을 분석하는 단계; 를 포함하는 악성코드의 기능 분석 방법
|
| 7 |
7
제 6 항에 있어서, 상기 제1 그래프는 상기 소스코드를 파싱(Parsing)하여 추상 구문 트리(Abstract Syntax Tree)를 생성한 뒤, 상기 추상 구문 트리를 분석하여 기본블록으로 구성한 제어 흐름 그래프(Control Flow Graph)이고,상기 파라미터는, API(Application Programming Interface) 파라미터이고, 상기 제2 그래프는 API 파라미터간 의존관계를 나타내는 ADG(API Dependency Graph)인 것인, 악성코드의 기능 분석 방법
|
| 8 |
8
제 6 항에 있어서,상기 유사도를 비교하는 것은, 상기 생성된 제2 그래프의 노드와 상기 미리 저장된 각각의 대표그래프 노드의 교집합 대 합집합의 비율을 유사도 판단 지표로 이용하는 것을 포함하는, 악성코드의 기능 분석 방법
|
| 9 |
9
악성코드의 기능 분석을 위한 대표그래프 생성 장치에 있어서,적어도 하나의 인스트럭션(Instruction)을 저장하기 위한 메모리; 및상기 메모리에 저장된 적어도 하나의 인스트럭션을 실행하는 적어도 하나의 프로세서; 를 포함하고,상기 프로세서는, 하나 이상의 인스트럭션을 실행함으로써 미리 저장된 악성파일로부터 소스코드(Source Code)를 획득하고,상기 소스코드를 분석하여 각 노드(Node)가 상기 소스코드의 일부로 구성된 제1 그래프(Graph)를 생성하고,상기 제1 그래프의 상기 노드를 분석하여 파라미터(Parameter)간 의존관계를 분석하고,상기 분석된 파라미터간 의존관계를 나타내는 제2 그래프를 생성하고,상기 제2 그래프를 유사도를 기준으로 군집화 하고,상기 군집화된 제2 그래프의 군집에서 군집의 기능을 대표하는 대표그래프를 생성하는, 대표그래프 생성 장치
|
| 10 |
10
제 9 항에 있어서,상기 제1 그래프는 상기 소스코드를 파싱(Parsing)하여 추상 구문 트리(Abstract Syntax Tree)를 생성한 뒤, 상기 추상 구문 트리를 분석하여 기본블록으로 구성한 제어 흐름 그래프(Control Flow Graph)이고,상기 파라미터는 API(Application Programming Interface) 파라미터이고, 상기 제2 그래프는 API 파라미터간 의존관계를 나타내는 ADG(API Dependency Graph)인, 대표그래프 생성 장치
|
| 11 |
11
제 9 항에 있어서,상기 대표그래프를 저장하여 데이터베이스(DB)화 하는 것을 포함하는, 대표그래프 생성 장치
|
| 12 |
12
제 9 항에 있어서,상기 대표그래프를 생성하는 것은, 각각의 제2 그래프를 더하여 출현빈도가 임계값을 초과하는 노드만을 연결하여 생성하는 것인, 대표그래프 생성 장치
|
| 13 |
13
제 9 항에 있어서,상기 군집화 하는 것은, K-means Clustering 방식을 이용하는 것인, 대표그래프 생성 장치
|
| 14 |
14
악성코드의 기능 분석 장치에 있어서,적어도 하나의 인스트럭션(Instruction)을 저장하기 위한 메모리; 및상기 메모리에 저장된 적어도 하나의 인스트럭션을 실행하는 적어도 하나의 프로세서; 를 포함하고,상기 프로세서는, 하나 이상의 인스트럭션을 실행함으로써 분석대상 악성파일의 소스코드를 획득하고,상기 소스코드를 분석하여 각 노드가 상기 소스코드의 일부로 구성된 제1 그래프를 생성하고,상기 제1 그래프의 상기 노드를 분석하여 파라미터(Parameter)간 의존관계를 분석하고,상기 분석된 파라미터간 의존관계를 나타내는 제2 그래프를 생성하고,미리 저장된 대표그래프 각각과 상기 생성된 제2 그래프의 유사도를 비교하여 악성코드의 기능을 분석하는, 악성코드의 기능 분석 장치
|
| 15 |
15
제 14 항에 있어서,상기 제1 그래프는 상기 소스코드를 파싱(Parsing)하여 추상 구문 트리(Abstract Syntax Tree)를 생성한 뒤, 상기 추상 구문 트리를 분석하여 기본블록으로 구성한 제어 흐름 그래프(Control Flow Graph)이고,상기 파라미터는 API(Application Programming Interface) 파라미터이고, 상기 제2 그래프는 API 파라미터간 의존관계를 나타내는 ADG(API Dependency Graph)인 것인, 악성코드의 기능 분석 장치
|
| 16 |
16
제 14 항에 있어서,상기 유사도를 비교하는 것은, 상기 생성된 제2 그래프의 노드와 상기 미리 저장된 각각의 대표그래프 노드의 교집합 대 합집합의 비율을 유사도 판단 지표로 이용하는 것을 포함하는, 악성코드의 기능 분석 장치
|
| 17 |
17
제 1 항 내지 제 8 항 중 어느 한 항에 따른 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
|
