KR20090065977A - 파일의 바이러스 감염여부 판정방법 - Google Patents

파일의 바이러스 감염여부 판정방법 Download PDF

Info

Publication number
KR20090065977A
KR20090065977A KR1020070133545A KR20070133545A KR20090065977A KR 20090065977 A KR20090065977 A KR 20090065977A KR 1020070133545 A KR1020070133545 A KR 1020070133545A KR 20070133545 A KR20070133545 A KR 20070133545A KR 20090065977 A KR20090065977 A KR 20090065977A
Authority
KR
South Korea
Prior art keywords
file
data
virus
virus infection
normalized
Prior art date
Application number
KR1020070133545A
Other languages
English (en)
Inventor
유인선
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020070133545A priority Critical patent/KR20090065977A/ko
Priority to US12/077,614 priority patent/US20090158434A1/en
Publication of KR20090065977A publication Critical patent/KR20090065977A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 파일의 바이러스 감염여부 판정방법에 관한 것으로, 원본 파일을 복사한 후, 상기 복사된 파일 데이터를 변환하여 간단화하는 단계와, 상기 간단화된 파일 데이터를 정규화하는 단계와, 상기 정규화된 파일 데이터를 이용하여 데이터간의 친밀도 분포를 획득하는 단계와, 상기 획득된 데이터간의 친밀도 분포를 분석하여 미리 설정된 조밀한 분포패턴이 존재할 경우, 바이러스 감염으로 판정하는 단계를 포함함으로써, 스팸 필터링(Spam Filtering)이나 바이러스정보에 대한 데이터베이스(DB)가 없이도 파일의 바이러스 감염여부도 판정할 수 있어 새롭게 발생하는 바이러스에 대한 예방도 가능하다.
파일, 스팸, 바이러스, 친밀도 분포, 데이터베이스

Description

파일의 바이러스 감염여부 판정방법{A VIRUS DETECTING METHOD TO DETERMINE A FILE'S VIRUS INFECTION}
본 발명은 파일의 바이러스 감염여부 판정방법에 관한 것으로, 보다 상세하게는 스팸 필터링이나 바이러스정보에 대한 데이터베이스(DB)가 없이도 파일에 대한 바이러스 감염여부를 효과적으로 판정할 수 있도록 한 파일의 바이러스 감염여부 판정방법에 관한 것이다.
일반적으로, 기존의 안티바이러스(AntiVirus) 기술들은 바이러스가 발생하여 그로 인한 피해가 발생된 후에 그 바이러스를 분석하여 바이러스 서명(Virus Signature)들을 찾아내어 그것을 바이러스 서명 데이터베이스(DB)에 업데이트(Update)를 시켜야만 그 바이러스를 탐지할 수 있다.
그리고, 이미 발생된 바이러스의 변형이 나와서 피해를 입히게 되면, 이에 따른 변형된 바이러스에 대한 분석이 다시 이루어져서 이에 대한 서명(Signature) 역시 데이터베이스(DB)에 업데이트(Update)시켜야 한다.
이렇게 바이러스 서명 데이터베이스(DB)에 의존하게 되면 새로운 바이러스나 바이러스 변형에 대하여 데이터베이스(DB)가 업데이트(Update)될 때까지는 무방비 상태에 놓이게 된다. 따라서, 데이터베이스(DB)에 의존하지 않고, 사전 예방차원에서 먼저 탐지하여 바이러스의 피해를 방어할 수 있는 기술이 필요한 상태이다.
전술한 바와 같이, 종래의 안티바이러스 기술들은 바이러스 서명 데이터베이스(DB)에 의존적이어서, 데이터베이스(DB)에 없는 바이러스가 들어올 때에는 바이러스 탐지를 못하게 된다.
또한, 바이러스 서명을 계속적으로 데이터베이스(DB)에 업데이트 시켜야 하는데, 이렇게 되면 데이터베이스(DB)의 사이즈(size)가 계속 증가할 수밖에 없게 된다. 이렇게 되면 데이터베이스(DB) 사이즈로 인해 경량화를 요하는 곳에서는 대응이 불가능할 수 있다.
즉, 종래의 방법은 항상 바이러스로 인한 피해가 발생한 후에 그 바이러스를 분석하여 해당 바이러스 서명을 만드는 후속 조치 작업이라 새로운 바이러스에 대한 대비가 부적합한 문제점이 있다.
본 발명은 전술한 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 기존의 바이러스 서명(Signature) 정보에 의존하여 바이러스를 탐지해 내는 방법에서 벗어나, 바이러스 정보가 없이도 데이터간의 친밀도 분포를 이용하여 바이러스의 감염여부를 인공 지능적인 방법을 이용하여 스스로 판단함으로써, 바이러 스로 인한 피해 사례가 발생하기 전에 미리 사전 예방 차원에서 효과적으로 처리할 수 있으며, 또한 기존에 이미 피해가 발생되었던 바이러스의 변조에 대해서도 효과적으로 탐지할 수 있기 때문에 이러한 바이러스의 피해를 최대한 줄일 수 있도록 한 파일의 바이러스 감염여부 판정방법을 제공하는데 있다.
전술한 목적을 달성하기 위하여 본 발명의 제1 측면은, (a) 원본 파일을 복사한 후, 상기 복사된 파일 데이터를 변환하여 간단화하는 단계; (b) 상기 간단화된 파일 데이터를 정규화하는 단계; (c) 상기 정규화된 파일 데이터를 이용하여 데이터간의 친밀도 분포를 획득하는 단계; 및 (d) 상기 획득된 데이터간의 친밀도 분포를 분석하여 미리 설정된 조밀한 분포패턴이 존재할 경우, 바이러스 감염으로 판정하는 단계를 포함하는 파일의 바이러스 감염여부 판정방법을 제공하는 것이다.
바람직하게는, 상기 단계(a)에서, 상기 복사된 파일 데이터를 변환하여 간단화하기 이전에, 상기 복사된 파일의 포맷에 따라 파일 헤더의 고의 변경 여부를 검사하는 단계를 더 포함할 수 있다.
바람직하게는, 상기 단계(a)에서, 상기 복사된 파일 데이터를 변환하여 간단화하기 이전에, 상기 복사된 파일의 포맷을 검사하여 바이러스에 의해 고의로 수정된 부분이 존재할 경우, 바이러스 감염으로 판정할 수 있다.
바람직하게는, 상기 단계(a)에서, 상기 데이터 변환은 바이너리 형태의 파일 데이터를 간단한 십진수 형태로 변환한다.
바람직하게는, 상기 원본 파일은 일반 파일 또는 실행 파일이다.
바람직하게는, 상기 원본 파일은 사용자 단말기에 이미 존재하거나, 특정 경로를 통해 외부로부터 유입될 수 있다.
바람직하게는, 상기 사용자 단말기는 데스크탑, 노트북, PDA, 핸드폰, WebPDA 또는 TCP 네트워킹이 가능한 무선 모바일 디바이스 중 선택된 어느 하나이다.
바람직하게는, 상기 특정 경로는 인터넷, 이메일, 블루투스(Bluetooth) 또는 ActiveSync 중 선택된 어느 하나이다.
바람직하게는, 상기 단계(b)에서, 상기 정규화는 간단화된 파일 데이터를 특정 범위내의 데이터로 변환하여 표준화한다.
바람직하게는, 상기 단계(c)에서, 상기 데이터간의 친밀도 분포는, 자체조직도(Seif-Organizing Maps, SOM) 학습 알고리즘을 이용하여 상기 정규화된 파일 데이터에 대한 최적화된 코드맵(codemap)을 구성한 후, 주변의 값들의 평균값들을 중심으로 새로운 매트릭스(matrix)를 구성하여 획득될 수 있다.
바람직하게는, 상기 단계(c)는, (c-1) 상기 정규화된 파일 데이터의 중간값과 아이겐벡터들을 획득한 후, 상기 획득된 중간값과 아이겐벡터들을 이용하여 코드맵을 구성하는 단계; (c-2) 상기 구성된 코드맵을 통해 상기 정규화된 파일 데이터와 차이값을 계산하여 가장 잘 매칭되는 베스트 매치 데이터 벡터들을 획득하는 단계; (c-3) 상기 획득된 베스트 매치 데이터 벡터들을 이용하여 다시 한 번 전체 데이터를 계산하기 위해서 상기 코드맵을 다른 맵으로 이동한 후, 상기 정규화된 파일 데이터와 다시 차이값을 계산하여 가장 잘 매칭된 값들을 중심으로 저장하는 단계; 및 (c-4) 전체적으로 주변 값들의 평균값들을 중심으로 다시 데이터들이 정리되어 새로운 매트릭스를 구성하는 단계를 포함할 수 있다.
본 발명의 제2 측면은, 상술한 파일의 바이러스 감염여부 판정방법을 실행시키기 위한 프로그램을 기록한 기록매체를 제공한다.
이상에서 설명한 바와 같은 본 발명의 파일의 바이러스 감염여부 판정방법에 따르면, 기존의 바이러스 서명(Signature) 정보에 의존하여 바이러스를 탐지해 내는 방법에서 벗어나, 바이러스 정보가 없이도 바이러스의 감염여부를 파일 데이터간의 친밀도 분포를 바탕으로 인공 지능적인 방법을 이용하여 바이러스 패턴의 유무를 찾아내어 스스로 판단함으로써, 바이러스로 인한 피해 사례가 발생하기 전에 미리 사전 예방 차원에서 효과적으로 처리할 수 있으며, 또한 기존에 이미 피해가 발생되었던 바이러스의 변조에 대해서도 효과적으로 탐지할 수 있기 때문에 이러한 바이러스의 피해를 최대한 줄일 수 있는 이점이 있다.
또한, 본 발명에 따르면, 바이러스 서명 정보 데이터베이스(DB)를 필요로 하지 않기 때문에 서버(Server)쪽에서 클라이언트(Client)쪽으로 데이터베이스(DB)를 주기적으로 업데이트(Update)시키지 않아도 되며, 예컨대, 메일 서버단, 데스크탑 또는 노트북, 그리고 모바일 디바이스(스마트폰, PDA폰 등), IPTV 및 네트워크에 연결된 가전제품 등에 모두 적용할 수 있는 이점이 있다.
이하, 첨부 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다. 그러나, 다음에 예시하는 본 발명의 실시예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 다음에 상술하는 실시예에 한정되는 것은 아니다. 본 발명의 실시예는 당업계에서 통상의 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위하여 제공되어지는 것이다.
먼저, 본 발명의 일 실시예에 따른 파일의 바이러스 감염여부 판정방법은, 파일이 블루투스(Bluetooth)를 통하여 받은 경우든, 인터넷(Internet)을 통하여 다운로드(Download) 받은 것이든, 액티브싱크(ActiveSync)를 통하여 받은 것이든 어떤 경로를 통하여 외부에서 내부 사용자 단말기(예컨대, 데스크탑, 노트북, PDA, 핸드폰, WebPDA 또는 TCP 네트워킹이 가능한 무선 모바일 디바이스 등)로 투입이 되는 경우에 이에 대한 파일의 바이러스 감염여부를 효과적으로 판정할 수 있다.
그리고, 이렇게 외부에서 유입된 파일에 의해 내부 파일들이 바이러스에 감염이 된 경우에도 존재하는 파일들에 대해서도 바이러스의 감염여부를 효과적으로 판정할 수 있다.
한편, 파일에 바이러스가 감염되는 경우는 크게 두 가지가 있다. 첫 번째는, MS 워드(Word)나 엑셀(Excel) 등과 같은 일반 파일에 바이러스가 감염되는 매크로 바이러스(Macros Virus) 감염의 경우와, 두 번째는 *.COM 이나 *.EXE 등과 같은 실 행 파일에 바이러스가 감염이 되는 경우로 나눌 수 있다.
도 1a 및 도 1b는 본 발명의 일 실시예에 적용된 일반 및 실행 파일에서의 바이러스 감염 부위를 설명하기 위한 도면이다.
도 1a를 참조하면, 매크로 바이러스의 경우를 나타낸 것으로 MS 워드(Word)나 엑셀(Excel) 등과 같이 문서 파일에서 매크로가 들어가는 부분에 바이러스 매크로(Macros Virus)가 삽입되는 경우이다.
도 1b를 참조하면, MS-DOS의 COM이나 EXE 파일에 Windows에서는 Portable Executable(PE) 파일에 바이러스가 삽입이 되는 경우로서 실행 파일에 걸리는 바이러스를 나타낸 것이다.
도 2는 본 발명의 일 실시예에 따른 파일의 바이러스 감염여부 판정방법을 설명하기 위한 전체적인 흐름도이다.
도 2를 참조하면, 우선 원본 파일을 복사하여 읽고, 파일 포맷에 따라 파일 헤더의 고의 변경을 체크하거나, 각 파일 포맷을 검사하여 바이러스 패턴 검사 전에 바이러스에서 고의로 수정된 부분이 발견될 경우에는 걸러낼 수 있도록 한다(S100).
그런 다음, 파일 포맷에 대한 변경 검사가 모두 무사히 통과되면, 이 파일 포맷에서 바이러스 패턴 추출과 관련이 없는 부분들을 제거하여(S200), 데이터변환 작업을 통해 해당 파일 데이터를 간단화(Simplified)한다(S300). 이때, 상기 데이터변환 작업은 바이너리(Binary) 형태의 파일 데이터를 간단한 십진수(Short Integer) 형태로 변환하는 과정이다.
이후에, 정규화 작업을 통해 상기 단계S300에서 간단화된 파일 데이터를 정규화(Normalization)한다(S400). 즉, 상기 정규화 작업은 간단화된 파일 데이터를 특정 범위(예컨대, [0∼1] 범위 등)내의 데이터로 변환하여 표준화하는 작업이다.
다음으로, 상기 단계S400에서 정규화된 파일 데이터를 이용하여 후술하는 데이터간의 친밀도 분포를 획득한 후(S500), 상기 획득된 데이터간의 친밀도 분포를 분석하여 미리 설정된 조밀한 분포패턴이 존재할 경우에 해당 파일이 바이러스 감염된 것으로 판정한다(S600).
여기서, 상기 조밀한 분포패턴은 데이터들의 분포가 어떤 점을 중심으로 조밀하게 모여진 패턴을 말하는 것으로서, 바이러스에 감염된 데이터에 대해서는 이런 조밀한 데이터의 분포가 나타나게 된다. 이에 따라, 이러한 조밀한 분포패턴의 유무에 의해 바이러스의 감염여부를 용이하게 알 수 있다.
도 3은 본 발명의 일 실시예에 적용된 데이터간의 친밀도 분포를 획득하기 위한 구체적인 흐름도이다.
도 3을 참조하면, 본 발명의 일 실시예에 적용된 데이터간의 친밀도 분포는 여러 단계의 데이터 계산 과정을 거쳐 획득할 수 있다. 즉, 통상의 자체조직도(Seif-Organizing Maps, SOM) 학습 알고리즘을 이용하여 도 2의 단계S400에서 정규화된 파일 데이터 밀집도에 대한 최적화된 코드맵(CodeMap)을 구성한 후, 주변 값들의 평균값들을 중심으로 새로운 매트릭스(Matrix)를 구성하여 획득할 수 있다.
이를 구체적으로 설명하면, 우선 상기 정규화된 파일 데이터의 중간값(Median Value)과 아이겐벡터들(EigenVectors)을 획득한 후(S510), 상기 획득된 중간값과 아이겐벡터들을 이용하여 코드맵(CodeMap)을 구성한다(S520).
이후에, 상기 단계S520에서 구성된 코드맵은 상기 정규화된 파일 데이터와 차이값을 계산하여 가장 잘 매칭(Matching)이 되는 데이터 즉, 베스트 매치(Best Match) 데이터 벡터들을 획득한다(S530).
다음으로, 상기 단계S530에서 획득된 베스트 매치 데이터 벡터들은 다시 한 번 전체 데이터를 계산하기 위해서 상기 코드맵을 다른 맵(Map)으로 이동한 후(S540), 상기 정규화된 파일 데이터와 다시 차이값을 계산하여 차이값이 적은 값 즉, 가장 잘 매칭된 값들을 중심으로 저장한다(S550).
그런 다음, 전체적으로 주변 값들(Surrounding Values)의 평균값들을 중심으로 다시 데이터들이 정리가 되어 새로운 매트릭스(Matrix)를 구성한다(S560).
한편, 상기의 단계S510 내지 단계S550은 통상의 자체조직도(SOM) 학습 알고리즘을 적용한 것으로서, 이러한 자체조직도(SOM) 학습 알고리즘은 선행문헌으로 널리 알려진 [Teuvo Kohonen, "Self-Organization and Associative Memory", 3rd edition, New York: Springer-Verlag, 1998.], [Teuvo Kohonen, "Self-Organizing Maps", Springer, Berlin, Heidelberg, 1995.]에 자세하게 기술되어 있다.
도 4a 내지 도 4e는 본 발명의 일 실시예에 따른 바이러스 감염여부 판정방법을 통해 바이러스 감염 판정된 파일을 설명하기 위한 실제적인 데이터 도면으로 서, 도 4a는 바이너리 형태의 파일 데이터를 간단한 십진수 형태로 변환한 데이터의 일부분을 나타낸 도면이고, 도 4b는 도 4a의 간단화된 파일 데이터를 정규화한 후 데이터의 일부분을 나타낸 도면이고, 도 4c는 도 4b의 데이터를 자체조직도(SOM) 학습 알고리즘을 수행한 후 새로운 매트릭스(New Matrix)를 구성하여 얻어진 데이터의 일부분을 나타낸 도면이고, 도 4d는 도 4c에서 얻어진 데이터 값들 중 미리 설정된 기준값(예컨대, 72)보다 큰 값들은 남겨두고 나머지를 제거하여 데이터간의 친밀도 분포를 획득한 데이터를 나타낸 도면이고, 도 4e는 도 4d에서 획득한 데이터들을 알아보기 쉽게 하기 위하여 문자'S'로 대치시킨 데이터를 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 적용된 조밀한 분포패턴을 설명하기 위한 실제적인 데이터 도면으로서, 도 5의 (a) 및 (b)은 도 4d 및 도 4e에 해당되며, 도 5의 (b)에서 문자'S'의 모임이 적어도 정사각형의 약 3/4 만큼이 채워진 형태로 나타나게 되면, 그것을 "조밀한 분포패턴"이라고 결정할 수 있다.
한편, 문자'S'가 새로운 매트릭스를 덮거나 할 수 있는데(이것은 데이터의 친밀도가 모두 비슷한 경우에 나타남.), 이런 경우는 아무리 문자'S'가 한곳에 모여있는 형태라고 해도 조밀한 분포패턴이라고 결정하지 않는다.
전술한 바와 같이, 본 발명은 바이러스 감염여부를 바이러스 서명 데이터베이스(DB)없이 스스로 판정할 수 있는 방법이어서, 새롭게 발생하는 바이러스에 대 한 예방을 효율적으로 할 수 있다.
또한, 본 발명에 따르면, 전자메일 서버, 안티바이러스 서버, 데스크탑 안티바이러스, 모바일용 안티바이러스 등에 탑재되어 바이러스를 탐지할 수 있으므로 컴퓨터 시스템들을 바이러스로부터의 공격에서 좀 더 안전하게 보호할 수 있다.
한편, 본 발명의 일 실시예에 따른 파일의 바이러스 감염여부 판정방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.
예컨대, 컴퓨터가 읽을 수 있는 기록매체로는 롬(ROM), 램(RAM), 시디-롬(CD-ROM), 자기 테이프, 하드디스크, 플로피디스크, 이동식 저장장치, 비휘발성 메모리(flash memory), 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다.
또한, 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다.
전술한 본 발명에 따른 파일의 바이러스 감염여부 판정방법에 대한 바람직한 실시예에 대하여 설명하였지만, 본 발명은 이에 한정되는 것이 아니고 특허청구범위와 발명의 상세한 설명 및 첨부한 도면의 범위 안에서 여러 가지로 변형하여 실 시하는 것이 가능하고 이 또한 본 발명에 속한다.
도 1a 및 도 1b는 본 발명의 일 실시예에 적용된 일반 및 실행 파일에서의 바이러스 감염 부위를 설명하기 위한 도면.
도 2는 본 발명의 일 실시예에 따른 파일의 바이러스 감염여부 판정방법을 설명하기 위한 전체적인 흐름도.
도 3은 본 발명의 일 실시예에 적용된 데이터간의 친밀도 분포를 획득하기 위한 구체적인 흐름도.
도 4a 내지 도 4e는 본 발명의 일 실시예에 따른 바이러스 감염여부 판정방법을 통해 바이러스 감염 판정된 파일을 설명하기 위한 실제적인 데이터 도면.
도 5는 본 발명의 일 실시예에 적용된 조밀한 분포패턴을 설명하기 위한 실제적인 데이터 도면.

Claims (12)

  1. (a) 원본 파일을 복사한 후, 상기 복사된 파일 데이터를 변환하여 간단화하는 단계;
    (b) 상기 간단화된 파일 데이터를 정규화하는 단계;
    (c) 상기 정규화된 파일 데이터를 이용하여 데이터간의 친밀도 분포를 획득하는 단계; 및
    (d) 상기 획득된 데이터간의 친밀도 분포를 분석하여 미리 설정된 조밀한 분포패턴이 존재할 경우, 바이러스 감염으로 판정하는 단계를 포함하는 파일의 바이러스 감염여부 판정방법.
  2. 제1 항에 있어서,
    상기 단계(a)에서, 상기 복사된 파일 데이터를 변환하여 간단화하기 이전에, 상기 복사된 파일의 포맷에 따라 파일 헤더의 고의 변경 여부를 검사하는 단계를 더 포함하는 것을 특징으로 하는 파일의 바이러스 감염여부 판정방법.
  3. 제1 항에 있어서,
    상기 단계(a)에서, 상기 복사된 파일 데이터를 변환하여 간단화하기 이전에, 상기 복사된 파일의 포맷을 검사하여 바이러스에 의해 고의로 수정된 부분이 존재할 경우, 바이러스 감염으로 판정하는 것을 특징으로 하는 파일의 바이러스 감염여부 판정방법.
  4. 제1 항에 있어서,
    상기 단계(a)에서, 상기 데이터 변환은 바이너리 형태의 파일 데이터를 간단한 십진수 형태로 변환하는 것을 특징으로 하는 파일의 바이러스 감염여부 판정방법.
  5. 제1 항에 있어서,
    상기 원본 파일은 일반 파일 또는 실행 파일인 것을 특징으로 하는 파일의 바이러스 감염여부 판정방법.
  6. 제1 항에 있어서,
    상기 원본 파일은 사용자 단말기에 이미 존재하거나, 특정 경로를 통해 외부로부터 유입되는 것을 특징으로 하는 파일의 바이러스 감염여부 판정방법.
  7. 제6 항에 있어서,
    상기 사용자 단말기는 데스크탑, 노트북, PDA, 핸드폰, WebPDA 또는 TCP 네트워킹이 가능한 무선 모바일 디바이스 중 선택된 어느 하나인 것을 특징으로 하는 파일의 바이러스 감염여부 판정방법.
  8. 제6 항에 있어서,
    상기 특정 경로는 인터넷, 이메일, 블루투스(Bluetooth) 또는 ActiveSync 중 선택된 어느 하나인 것을 특징으로 하는 파일의 바이러스 감염여부 판정방법.
  9. 제1 항에 있어서,
    상기 단계(b)에서, 상기 정규화는 간단화된 파일 데이터를 특정 범위내의 데이터로 변환하여 표준화하는 것을 특징으로 하는 파일의 바이러스 감염여부 판정방법.
  10. 제1 항에 있어서,
    상기 단계(c)에서, 상기 데이터간의 친밀도 분포는,
    자체조직도(Seif-Organizing Maps, SOM) 학습 알고리즘을 이용하여 상기 정규화된 파일 데이터에 대한 최적화된 코드맵(codemap)을 구성한 후, 주변의 값들의 평균값들을 중심으로 새로운 매트릭스(matrix)를 구성하여 획득되는 것을 특징으로 하는 파일의 바이러스 감염여부 판정방법.
  11. 제1 항에 있어서,
    상기 단계(c)는,
    (c-1) 상기 정규화된 파일 데이터의 중간값과 아이겐벡터들을 획득한 후, 상기 획득된 중간값과 아이겐벡터들을 이용하여 코드맵을 구성하는 단계;
    (c-2) 상기 구성된 코드맵을 통해 상기 정규화된 파일 데이터와 차이값을 계산하여 가장 잘 매칭되는 베스트 매치 데이터 벡터들을 획득하는 단계;
    (c-3) 상기 획득된 베스트 매치 데이터 벡터들을 이용하여 다시 한 번 전체 데이터를 계산하기 위해서 상기 코드맵을 다른 맵으로 이동한 후, 상기 정규화된 파일 데이터와 다시 차이값을 계산하여 가장 잘 매칭된 값들을 중심으로 저장하는 단계; 및
    (c-4) 전체적으로 주변 값들의 평균값들을 중심으로 다시 데이터들이 정리되어 새로운 매트릭스를 구성하는 단계를 포함하는 것을 특징으로 하는 파일의 바이러스 감염여부 판정방법.
  12. 제1 항 내지 제11 항 중 어느 한 항의 방법을 컴퓨터로 실행시킬 수 있는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020070133545A 2007-12-18 2007-12-18 파일의 바이러스 감염여부 판정방법 KR20090065977A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070133545A KR20090065977A (ko) 2007-12-18 2007-12-18 파일의 바이러스 감염여부 판정방법
US12/077,614 US20090158434A1 (en) 2007-12-18 2008-03-20 Method of detecting virus infection of file

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070133545A KR20090065977A (ko) 2007-12-18 2007-12-18 파일의 바이러스 감염여부 판정방법

Publications (1)

Publication Number Publication Date
KR20090065977A true KR20090065977A (ko) 2009-06-23

Family

ID=40755128

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070133545A KR20090065977A (ko) 2007-12-18 2007-12-18 파일의 바이러스 감염여부 판정방법

Country Status (2)

Country Link
US (1) US20090158434A1 (ko)
KR (1) KR20090065977A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010101429A2 (ko) 2009-03-04 2010-09-10 주식회사 엘지화학 아미드 화합물을 포함하는 전해질 및 이를 구비한 전기화학소자

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100977365B1 (ko) * 2007-12-20 2010-08-20 삼성에스디에스 주식회사 바이러스 및 네트워크 공격에 대한 자기 방어 기능을 갖는모바일 디바이스 및 이를 이용한 자기 방어 방법
US20090313700A1 (en) * 2008-06-11 2009-12-17 Jefferson Horne Method and system for generating malware definitions using a comparison of normalized assembly code
RU2420791C1 (ru) * 2009-10-01 2011-06-10 ЗАО "Лаборатория Касперского" Метод отнесения ранее неизвестного файла к коллекции файлов в зависимости от степени схожести
US8875273B2 (en) 2010-12-17 2014-10-28 Isolated Technologies, Inc. Code domain isolation
US10484421B2 (en) 2010-12-17 2019-11-19 Isolated Technologies, Llc Code domain isolation
JP6734479B2 (ja) * 2017-06-14 2020-08-05 日本電信電話株式会社 特定支援装置、特定支援方法及び特定支援プログラム
CN108197472A (zh) * 2017-12-20 2018-06-22 北京金山安全管理系统技术有限公司 宏处理方法、装置、存储介质及处理器
CN116992449B (zh) * 2023-09-27 2024-01-23 北京安天网络安全技术有限公司 一种相似样本文件确定方法及装置、电子设备及存储介质

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
JP4393720B2 (ja) * 2001-01-31 2010-01-06 富士通株式会社 パターン認識装置および方法
CN1147795C (zh) * 2001-04-29 2004-04-28 北京瑞星科技股份有限公司 检测和清除已知及未知计算机病毒的方法、系统
US7644352B2 (en) * 2001-06-13 2010-01-05 Mcafee, Inc. Content scanning of copied data
US7487544B2 (en) * 2001-07-30 2009-02-03 The Trustees Of Columbia University In The City Of New York System and methods for detection of new malicious executables
US20040111632A1 (en) * 2002-05-06 2004-06-10 Avner Halperin System and method of virus containment in computer networks
US7343624B1 (en) * 2004-07-13 2008-03-11 Sonicwall, Inc. Managing infectious messages as identified by an attachment
US7546471B2 (en) * 2005-01-14 2009-06-09 Microsoft Corporation Method and system for virus detection using pattern matching techniques
WO2007117567A2 (en) * 2006-04-06 2007-10-18 Smobile Systems Inc. Malware detection system and method for limited access mobile platforms

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010101429A2 (ko) 2009-03-04 2010-09-10 주식회사 엘지화학 아미드 화합물을 포함하는 전해질 및 이를 구비한 전기화학소자

Also Published As

Publication number Publication date
US20090158434A1 (en) 2009-06-18

Similar Documents

Publication Publication Date Title
KR20090065977A (ko) 파일의 바이러스 감염여부 판정방법
KR100859664B1 (ko) 전자메일의 바이러스 감염여부 판정방법
CN109145600B (zh) 使用静态分析元素检测恶意文件的系统和方法
KR100977365B1 (ko) 바이러스 및 네트워크 공격에 대한 자기 방어 기능을 갖는모바일 디바이스 및 이를 이용한 자기 방어 방법
US20210006593A1 (en) Optically analyzing text strings such as domain names
US8775333B1 (en) Systems and methods for generating a threat classifier to determine a malicious process
EP2618538A1 (en) Apparatus Method and Medium for Detecting Payload Anomoly using N-Gram Distribution of Normal Data
US20120174227A1 (en) System and Method for Detecting Unknown Malware
US11470097B2 (en) Profile generation device, attack detection device, profile generation method, and profile generation computer program
WO2010138466A1 (en) Systems and methods for efficeint detection of fingerprinted data and information
JP2019057268A (ja) マルウェア検出モデルの機械学習のシステムおよび方法
EP1560112A1 (en) Detection of files that do not contain executable code
US20090113548A1 (en) Executable Download Tracking System
RU2739830C1 (ru) Система и способ выбора средства обнаружения вредоносных файлов
CN111241544B (zh) 一种恶意程序识别方法、装置、电子设备及存储介质
US11556643B2 (en) Systems and methods for determining measurements of similarity between various types of data
Yan et al. Early detection of cyber security threats using structured behavior modeling
US20190102549A1 (en) System and method of identifying a malicious intermediate language file
CN107070845B (zh) 用于检测网络钓鱼脚本的系统和方法
US20200021608A1 (en) Information processing apparatus, communication inspecting method and medium
CN116305129B (zh) 一种基于vsto的文档检测方法及装置、设备及介质
CN113726826B (zh) 一种威胁情报生成方法及装置
US11811815B2 (en) IP-based security control method and system thereof
US11551137B1 (en) Machine learning adversarial campaign mitigation on a computing device
CN113542222A (zh) 一种基于双域vae的零日多步威胁识别方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application