1 |
1
기 학습된 악성코드 탐지모델을 이용하여 앱(app)으로부터 악성코드를 탐지하는 방법에 있어서,상기 앱에 포함된 자바 바이트코드(java bitecode)를 네이티브 코드(native code)로 변환하는 과정;상기 앱의 모든 네이티브 코드로부터 추출한 코드 세그먼트(code segment)를 기초로 연속된 인스트럭션 코드(instructions code)의 쌍인 인스트럭션 코드 쌍(pair of consecutive instructions code)을 추출하는 과정;상기 인스트럭션 코드 쌍으로부터 2 이상의 피처 추출 알고리즘을 이용하여 각 피처 추출 알고리즘이 공통적으로 추출한 피처(feature)를 획득하는 과정; 및획득한 피처를 상기 악성코드 탐지모델의 입력 데이터로 하여, 악성코드 탐지를 수행한 결과를 획득하는 과정을 포함하는 것을 특징으로 하는 악성코드 탐지방법
|
2 |
2
제1항에 있어서,상기 앱에 네이티브 코드가 본래부터 포함되어있는 경우, 상기 네이티브 코드로 변환하는 과정 이후에, 변환된 네이티브 코드와 상기 앱의 공유 라이브러리(shared library)에 포함된 네이티브 코드를 병합하는 과정을 더 포함하는 것을 특징으로 하는 악성코드 탐지방법
|
3 |
3
제1항에 있어서,상기 코드 세그먼트는, 상기 앱의 모든 네이티브 코드를 역어셈블링(disassembling)한 어셈블리 코드(assembly code)의 코드 세그먼트인 것을 특징으로 하는 악성코드 탐지방법
|
4 |
4
제1항에 있어서,상기 인스트럭션 코드 쌍은, 앱과 악성코드에 공통적으로 사용되는 인스트럭션 코드로서 기 설정된 인스트럭션 코드를 포함하지 않는 것을 특징으로 하는 악성코드 탐지방법
|
5 |
5
제1항에 있어서,상기 피처를 획득하는 과정은,싱기 각 피처 추출 알고리즘으로부터 추출된 피처를 중요도(importance)를 기초로 기 지정된 개수만큼 추출하고, 추출된 피처들 중 공통되는 피처를 획득하는 것을 특징으로 하는 악성코드 탐지방법
|
6 |
6
제1항에 있어서,상기 2 이상의 피처 추출 알고리즘의 적어도 한 알고리즘은, Pearson correlation 알고리즘, Mutual information 알고리즘, Kendall correlation 알고리즘, Spearmen correlation 알고리즘, Chi squared 알고리즘 및 Fischer scored 알고리즘인 것을 특징으로 하는 악성코드 탐지방법
|
7 |
7
제1항 내지 제6항에 따른 악성코드 탐지방법의 각 과정을 실행시키기 위하여 컴퓨터로 읽을 수 있는 기록매체에 저장된 컴퓨터 프로그램
|
8 |
8
앱(app)의 악성코드(malware)를 탐지하기 위한 악성코드 탐지모델(malware detection model)을 학습시키는 방법에 있어서,데이터 셋(dataset)의 각 앱에 포함된 자바 바이트코드(java bitecode)를 네이티브 코드(native code)로 변환하는 과정;상기 앱의 모든 네이티브 코드로부터 추출한 코드 세그먼트(code segment)로부터 연속된 인스트럭션 코드의 쌍인 인스트럭션 코드 쌍(pair of consecutive instructions code)을 추출하는 과정;상기 인스트럭션 코드 쌍으로부터 2 이상의 피처 추출 알고리즘을 이용하여 각 피처 추출 알고리즘이 공통적으로 추출한 피처(feature)를 획득하는 과정; 및획득한 피처를 기초로 상기 악성코드 탐지모델을 기계학습(machine learning)시키는 과정을 포함하는 것을 특징으로 하는 악성코드 탐지모델 학습방법
|
9 |
9
제8항에 있어서,상기 데이터 셋의 상기 각 앱 중 네이티브 코드가 본래부터 포함되어있는 앱이 존재하는 경우, 상기 네이티브 코드로 변환하는 과정 이후에, 변환된 네이티브 코드와 네이티브 코드가 본래부터 포함되어있는 앱의 공유 라이브러리(shared library)에 포함된 네이티브 코드를 병합하는 과정을 더 포함하는 것을 특징으로 하는 악성코드 탐지모델 학습방법
|
10 |
10
제8항에 있어서,상기 피처를 획득하는 과정은,상기 각 피처 추출 알고리즘으로부터 추출된 피처를 중요도(importance)를 기초로 기 지정된 개수만큼 추출하고, 추출된 피처들 중 공통되는 피처를 획득하는 것을 특징으로 하는 악성코드 탐지방법
|