1 |
1
전자 장치의 악성 스크립트 탐지 방법에 있어서,시스템 이벤트로부터 대상 스크립트의 실행을 탐지하는 단계;상기 대상 스크립트의 실행 로그를 기초로 행위를 확인하는 단계;확인된 행위를 기초로 상기 대상 스크립트에 대응하는 대상 벡터를 생성하는 단계; 및상기 대상 벡터를 기초로 상기 대상 스크립트의 악성 여부를 확인하는 단계를 포함하는, 악성 스크립트 탐지 방법
|
2 |
2
제1항에 있어서,상기 행위를 확인하는 단계는,미리 정의된 명령어 사전을 이용하여, 상기 실행 로그로부터 적어도 하나의 명령어를 확인하고, 상기 적어도 하나의 명령어에 관한 정보를 확인하는 단계; 및상기 대상 벡터를 생성하는 단계는,상기 적어도 하나의 명령어에 관한 정보를 기초로 상기 대상 스크립트에 대응하는 상기 대상 벡터를 구성하는 단계를 포함하는, 악성 스크립트 탐지 방법
|
3 |
3
제2항에 있어서,상기 대상 벡터를 구성하는 단계는,상기 적어도 하나의 명령어 각각의 식별자를 나열하는 단계를 포함하는, 악성 스크립트 탐지 방법
|
4 |
4
제1항에 있어서,상기 악성 여부를 확인하는 단계는,상기 대상 벡터 및 기준 벡터 사이의 유사도를 확인하고, 확인된 유사도를 기초로 상기 대상 스크립트의 악성 여부를 판정하는 단계를 포함하는, 악성 스크립트 탐지 방법
|
5 |
5
제4항에 있어서,상기 악성 여부를 판정하는 단계는,상기 유사도가 기 설정된 수치 이상인 경우, 상기 대상 스크립트를 악성 스크립트로 판정하는 단계를 포함하는, 악성 스크립트 탐지 방법
|
6 |
6
제4항에 있어서,상기 유사도는 자카드 유사도(Jaccard Similarity)인, 악성 스크립트 탐지 방법
|
7 |
7
제1항에 있어서,상기 악성 여부를 확인하는 단계는,소정의 알고리즘을 이용하여 상기 대상 벡터에 대한 적어도 하나의 최근접 이웃(nearest neighbor) 기준 벡터를 확인하는 단계; 및상기 적어도 하나의 최근접 이웃 기준 벡터 중 악성으로 분류되는 최근접 이웃 기준 벡터의 수가 상기 최근접 이웃 기준 벡터 중 악성이 아닌 것으로 분류되는 최근접 이웃 기준 벡터의 수 이상인 경우, 상기 대상 스크립트를 악성 스크립트로 판정하는 단계를 포함하는, 악성 스크립트 탐지 방법
|
8 |
8
제1항에 있어서,상기 악성 여부를 확인하는 단계는,입력 벡터를 처리하여 상기 입력 벡터에 대응하는 스크립트의 악성 여부를 출력하도록 학습된 인공신경망을 이용하여, 상기 대상 벡터로부터 상기 대상 스크립트의 악성 여부를 확인하는 단계를 포함하는, 악성 스크립트 탐지 방법
|
9 |
9
제1항에 있어서,상기 대상 스크립트는 파워쉘(Powershell) 스크립트를 포함하는, 악성 스크립트 탐지 방법
|
10 |
10
전자 장치로서, 적어도 하나의 프로그램이 저장된 메모리; 및상기 적어도 하나의 프로그램을 실행함으로써,시스템 이벤트로부터 대상 스크립트의 실행을 탐지하고,상기 대상 스크립트의 실행 로그를 기초로 행위를 확인하고,확인된 행위를 기초로 상기 대상 스크립트에 대응하는 대상 벡터를 생성하고,상기 대상 벡터를 기초로 상기 대상 스크립트의 악성 여부를 확인하는 프로세서를 포함하는, 전자 장치
|
11 |
11
전자 장치의 악성 스크립트 탐지 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 비일시적 기록매체로서, 상기 악성 스크립트 탐지 방법은,시스템 이벤트로부터 대상 스크립트의 실행을 탐지하는 단계;상기 대상 스크립트의 실행 로그를 기초로 행위를 확인하는 단계;확인된 행위를 기초로 상기 대상 스크립트에 대응하는 대상 벡터를 생성하는 단계; 및상기 대상 벡터를 기초로 상기 대상 스크립트의 악성 여부를 확인하는 단계를 포함하는, 비일시적 기록 매체
|