1 |
1
입력받은 신규 악성코드를 신규 악성코드 샘플로서 등록하되, 상기 신규 악성코드 샘플의 상세 정보를 추출하여 등록하는 악성코드 등록부;상기 신규 악성코드 샘플을 가상환경에서 실제로 실행시키는 동적 분석 및 상기 신규 악성코드 샘플을 역 공학 과정을 통해 함수 단위의 어셈블리 코드 또는 중간언어를 추출하는 정적 분석을 수행하여, 상기 신규 악성코드 샘플의 상세 정보를 분석하고, 악성코드 분석 정보를 생성하는 악성코드 분석부;상기 악성코드 분석 정보를 근거로 악성코드 특징 정보를 포함한 악성코드 DNA 정보를 추출하는 악성코드 DNA 추출부;상기 추출된 악성코드 DNA 정보와 기저장된 악성코드 샘플의 악성코드 DNA 정보를 DNA 타입별로 유사도 비교를 행하는 악성코드 DNA 비교부; 및상기 악성코드 DNA 비교부에서 계산된 유사도를 기반으로 상기 신규 악성코드 샘플과 상기 기저장된 악성코드 샘플 간의 전체 유사도를 계산하여 특정 개수의 악성코드 샘플을 유사 악성코드 검색결과로서 추출하고, 상기 유사 악성코드 검색결과로 추출된 상기 악성코드 샘플의 상기 악성코드 DNA 정보를 이용하여, 상기 신규 악성코드 샘플의 제작자 그룹 정보를 예측하는 유사 악성코드 검색부; 를 포함하며, 상기 신규 악성코드 샘플은 웹 서버의 사용자 인터페이스를 통해 입력되고,상기 악성코드 DNA 비교부에서 상기 유사도 비교를 수행할 DNA 정보의 종류는 상기 사용자 인터페이스를 통해 등록되며,상기 사용자 인터페이스는, 상기 제작자 그룹 정보에 상응하는 제작자 그룹명 입력에 사용되고, 상기 신규 악성코드 샘플의 상세 정보, 상기 DNA 타입별로 추출된 악성코드 DNA 정보, 상기 유사 악성코드 검색결과 및 상기 유사 악성코드 검색결과에 상응하는 제작자 그룹 정보 중 어느 하나 이상을 포함하는 아이템을 디스플레이하는 샘플 분석 결과 화면을 제공하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 장치
|
2 |
2
청구항 1에 있어서,상기 신규 악성코드 샘플의 상세 정보는 상기 신규 악성코드 샘플의 파일명, 상기 신규 악성코드 샘플의 파일 포맷, 상기 신규 악성코드 샘플의 파일 생성 시간과 날짜, 상기 신규 악성코드 샘플의 크기, 파일 해쉬값, 및 파일 업로드 시간 중에서 하나 이상을 포함하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 장치
|
3 |
3
청구항 1에 있어서,상기 악성코드 특징 정보는 APICALL 정보, 네트워크 정보, IMPORT, EXPORT, Mutex, DROP 파일, 파일 생성 및 파일 오픈 정보, 레지스트리 변경 정보, 문자열 정보, 및 함수 단위의 명령어 시퀀스 정보를 포함하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 장치
|
4 |
4
청구항 1에 있어서,상기 악성코드 DNA 비교부는 상기 신규 악성코드 샘플과 상기 기저장된 악성코드 샘플의 DNA 정보의 합 집합 분의 두 DNA 정보들의 교집합으로 상기 유사도를 계산하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 장치
|
5 |
5
청구항 1에 있어서,상기 유사 악성코드 검색부는 상기 신규 악성코드 샘플과 상기 기등록된 악성코드 샘플들간의 전체 유사도를 코사인(COSINE) 유사도 계산 알고리즘에 의해 산출하여 가장 유사도가 높은 순으로 특정 개수의 악성코드 샘플을 추출하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 장치
|
6 |
6
삭제
|
7 |
7
청구항 1에 있어서,상기 악성코드 DNA 추출부에서 추출된 악성코드 DNA 정보가 기저장된 화이트리스트에 존재하는지를 비교하되, 상기 추출된 악성코드 DNA 정보가 상기 기저장된 화이트리스트에 존재하면 해당 DNA 정보를 상기 추출된 악성코드 DNA 정보에서 제외시키는 화이트리스트 비교부;를 추가로 포함하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 장치
|
8 |
8
청구항 1에 있어서,상기 악성코드 DNA 추출부에서 추출된 악성코드 DNA 정보가 기저장된 블랙리스트에 존재하는지를 비교하되, 상기 추출된 악성코드 DNA 정보가 상기 기저장된 블랙리스트에 존재하면 해당 DNA 정보를 상기 블랙리스트에 포함되는 정보로 표시하고 저장하는 블랙리스트 비교부;를 추가로 포함하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 장치
|
9 |
9
청구항 8에 있어서,상기 블랙리스트 비교부는 상기 해당 DNA 정보를 상기 블랙리스트에 포함되는 정보로 표시함에 따라 웹 서버의 사용자 인터페이스를 통해 해당 악성코드가 블랙리스트 데이터를 포함하고 있음을 알려주는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 장치
|
10 |
10
청구항 1에 있어서,상기 신규 악성코드 샘플의 상세 정보, 상기 악성코드 DNA 추출부에서 추출된 악성코드 DNA 정보, 및 상기 유사 악성코드 검색결과를 저장하는 데이터베이스;를 추가로 포함하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 장치
|
11 |
11
악성코드 등록부가, 입력받은 신규 악성코드를 신규 악성코드 샘플로서 등록하되, 상기 신규 악성코드 샘플의 상세 정보를 추출하여 등록하는 단계;악성코드 분석부가, 상기 신규 악성코드 샘플을 가상환경에서 실제로 실행시키는 동적 분석 및 상기 신규 악성코드 샘플을 역 공학 과정을 통해 함수 단위의 어셈블리 코드 또는 중간언어를 추출하는 정적 분석을 수행하여, 상기 신규 악성코드 샘플의 상세 정보를 분석하고, 악성코드 분석 정보를 생성하는 단계;악성코드 DNA 추출부가, 상기 분석하는 단계에서의 악성코드 분석 정보를 근거로 악성코드 특징 정보를 포함한 악성코드 DNA 정보를 추출하는 단계;악성코드 DNA 비교부가, 상기 추출된 악성코드 DNA 정보와 기저장된 악성코드 샘플의 악성코드 DNA 정보를 DNA 타입별로 유사도 비교를 행하는 단계; 유사 악성코드 검색부가, 상기 악성코드 DNA 비교부에서 계산된 유사도를 기반으로 상기 신규 악성코드 샘플과 상기 기저장된 악성코드 샘플 간의 전체 유사도를 계산하여 특정 개수의 악성코드 샘플을 유사 악성코드 검색결과로서 추출하는 단계; 및상기 유사 악성코드 검색부가, 상기 유사 악성코드 검색결과로 추출된 상기 악성코드 샘플의 상기 악성코드 DNA 정보를 이용하여, 상기 신규 악성코드 샘플의 제작자 그룹 정보를 예측하는 단계를 포함하며, 상기 신규 악성코드 샘플은 웹 서버의 사용자 인터페이스를 통해 입력되고,상기 DNA 타입별로 유사도 비교를 행하는 단계에서 상기 유사도 비교를 수행할 DNA 정보의 종류는 상기 사용자 인터페이스를 통해 등록되며,상기 사용자 인터페이스는, 상기 제작자 그룹 정보에 상응하는 제작자 그룹명 입력에 사용되고, 상기 신규 악성코드 샘플의 상세 정보, 상기 DNA 타입별로 추출된 악성코드 DNA 정보, 상기 유사 악성코드 검색결과 및 상기 유사 악성코드 검색결과에 상응하는 제작자 그룹 정보 중 어느 하나 이상을 포함하는 아이템을 디스플레이하는 샘플 분석 결과 화면을 제공하는 것을 특징으로 하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 방법
|
12 |
12
청구항 11에 있어서,상기 신규 악성코드 샘플의 상세 정보는 상기 신규 악성코드 샘플의 파일명, 상기 신규 악성코드 샘플의 파일 포맷, 상기 신규 악성코드 샘플의 파일 생성 시간과 날짜, 상기 신규 악성코드 샘플의 크기, 파일 해쉬값, 및 파일 업로드 시간 중에서 하나 이상을 포함하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 방법
|
13 |
13
청구항 11에 있어서,상기 악성코드 특징 정보는 APICALL 정보, 네트워크 정보, IMPORT, EXPORT, Mutex, DROP 파일, 파일 생성 및 파일 오픈 정보, 레지스트리 변경 정보, 문자열 정보, 및 함수 단위의 명령어 시퀀스 정보를 포함하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 방법
|
14 |
14
청구항 11에 있어서,상기 DNA 타입별로 유사도 비교를 행하는 단계는,상기 신규 악성코드 샘플과 상기 기저장된 악성코드 샘플의 DNA 정보의 합 집합 분의 두 DNA 정보들의 교집합으로 상기 유사도를 계산하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 방법
|
15 |
15
청구항 11에 있어서,상기 특정 개수의 악성코드 샘플을 유사 악성코드 검색결과로서 추출하는 단계는,상기 신규 악성코드 샘플과 상기 기등록된 악성코드 샘플들간의 전체 유사도를 코사인(COSINE) 유사도 계산 알고리즘에 의해 산출하여 가장 유사도가 높은 순으로 특정 개수의 악성코드 샘플을 추출하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 방법
|
16 |
16
삭제
|
17 |
17
청구항 11에 있어서,화이트리스트 비교부가, 상기 악성코드 DNA 정보를 추출하는 단계에서 추출된 악성코드 DNA 정보가 기저장된 화이트리스트에 존재하는지를 비교하되, 상기 추출된 악성코드 DNA 정보가 상기 기저장된 화이트리스트에 존재하면 해당 DNA 정보를 상기 추출된 악성코드 DNA 정보에서 제외시키는 단계;를 추가로 포함하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 방법
|
18 |
18
청구항 11에 있어서,블랙리스트 비교부가, 상기 악성코드 DNA 정보를 추출하는 단계에서 추출된 악성코드 DNA 정보가 기저장된 블랙리스트에 존재하는지를 비교하되, 상기 추출된 악성코드 DNA 정보가 상기 기저장된 블랙리스트에 존재하면 해당 DNA 정보를 상기 블랙리스트에 포함되는 정보로 표시하고 저장하는 단계;를 추가로 포함하는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 방법
|
19 |
19
청구항 18에 있어서,상기 블랙리스트에 포함되는 정보로 표시하고 저장하는 단계는,상기 해당 DNA 정보를 상기 블랙리스트에 포함되는 정보로 표시함에 따라 웹 서버의 사용자 인터페이스를 통해 해당 악성코드가 블랙리스트 데이터를 포함하고 있음을 알려주는 것을 특징으로 하는 악성코드 특징 정보 기반의 유사 악성코드 검색 방법
|