KR100942798B1 - 악성코드 탐지장치 및 방법 - Google Patents
악성코드 탐지장치 및 방법 Download PDFInfo
- Publication number
- KR100942798B1 KR100942798B1 KR1020070122412A KR20070122412A KR100942798B1 KR 100942798 B1 KR100942798 B1 KR 100942798B1 KR 1020070122412 A KR1020070122412 A KR 1020070122412A KR 20070122412 A KR20070122412 A KR 20070122412A KR 100942798 B1 KR100942798 B1 KR 100942798B1
- Authority
- KR
- South Korea
- Prior art keywords
- executable file
- layer
- malicious
- normal
- center value
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
Claims (15)
- 실행파일을 분석하여 상기 실행파일의 각 필드 영역에 따른 계층을 분류하고, 상기 각 계층의 바이트 분포에 대한 클러스터링 연산을 수행하여 중심 값을 산출하는 실행파일 분석기; 및상기 각 계층에 대한 중심 값, 및 미리 준비된 악성 코드의 중심 값을 참조하여 상기 실행파일에 대한 악성 코드 여부를 탐지하는 악성코드 분류기;를 포함하는 것을 특징으로 하는 악성코드 탐지장치.
- 제 1 항에 있어서, 상기 실행파일 분석기는,상기 실행파일 내의 각 필드영역에 대한 시작점과 그 크기를 감지하고, 상기 필드 영역에 대한 시작점과 크기에 기초하여 상기 실행파일을 각 계층별로 분류하는 것을 특징으로 하는 악성코드 탐지장치.
- 제 1 항에 있어서,상기 각 계층의 필드영역은 다른 계층의 필드영역을 포함하지 않는 것을 특징으로 하는 악성코드 탐지장치.
- 제 1 항에 있어서,상기 악성코드 분류기를 통해 분류된 정상 실행파일이 저장되는 정상 시행파일 저장부 및 적어도 하나의 상기 악성코드를 포함하는 악성 실행파일이 저장되는 악성 실행파일 저장부를 구비한 데이터베이스;를 더 포함하는 악성코드 탐지장치.
- 제 4 항에 있어서,상기 실행파일 분석기는, 상기 데이터베이스에 저장된 적어도 하나의 상기 정상 실행파일 및 상기 악성 실행파일을 이용하여 상기 실행파일의 악성코드를 탐지하기 위한 비교값을 산출하는 것을 특징으로 하는 악성코드 탐지장치.
- 제 4 항에 있어서, 상기 실행파일 분석기는,상기 정상 실행파일 및 상기 악성 실행파일의 바이트 분포를 측정하여 각 계층별 클러스터링 중심값을 산출하는 클러스터링 연산부;를 더 포함하는 악성코드 탐지장치.
- 제 6 항에 있어서,상기 악성코드 분류기는, 상기 실행파일의 각 계층별로 분류된 필드영역의 바이트 분포값과, 상기 정상 실행파일 및 상기 악성 실행파일의 각 계층별 클러스터링 중심값을 비교하여, 상기 악성코드에 대한 유사성을 판단하는 것을 특징으로 하는 악성코드 탐지장치.
- 제 7 항에 있어서,상기 악성코드 분류기는, 상기 실행파일의 각 계층별로 분류된 필드영역의 바이트 분포값과, 상기 정상 실행파일 및 상기 악성 실행파일의 각 계층별 클러스터링 중심값 사이의 거리를 측정하여 상기 악성코드에 대한 유사성을 판단하는 것을 특징으로 하는 악성코드 탐지장치.
- 제 1 항에 있어서,상기 악성코드 분류기는, 상기 실행파일의 각 계층별로 분류된 필드영역 중 적어도 어느 하나의 계층에 대해 상기 악성코드가 탐지되면, 상기 실행파일을 악성 실행파일로 분류하는 것을 특징으로 하는 악성코드 탐지장치.
- 실행파일을 분석하여 상기 실행파일의 각 필드영역 별로 계층을 분류하는 단계;상기 각 계층별로 분류된 필드영역의 바이트 분포를 측정하여, 각 계층별로 악성코드에 대한 유사성을 비교하는 단계; 및상기 각 계층별로 분류된 필드영역 중 적어도 어느 하나의 계층에 대한 클러스터링 연산 값이 상기 악성코드의 클러스터링 연산 값과 유사한 것으로 판단되면, 상기 실행파일을 악성 실행파일로 분류하는 단계;를 포함하는 악성코드 탐지방법.
- 제 10 항에 있어서, 상기 계층을 분류하는 단계는,상기 실행파일을 분석하여 상기 실행파일 내의 필드영역에 대한 시작점과 크기에 기초하여 상기 실행파일을 각 계층별로 분류하는 것을 특징으로 하는 악성코 드 탐지방법.
- 제 10 항에 있어서,기 저장된 적어도 하나의 정상 실행파일 및 악성 실행파일의 바이트 분포를 측정하여 각 계층별 클러스터링 중심값을 산출하는 단계;를 더 포함하는 악성코드 탐지방법.
- 제 12 항에 있어서, 상기 유사성을 비교하는 단계는,상기 실행파일의 각 계층별로 분류된 필드영역의 바이트 분포값과, 상기 정상 실행파일 및 상기 악성 실행파일의 각 계층별 클러스터링 중심값을 비교하는 단계;를 포함하는 악성코드 탐지방법.
- 제 13 항에 있어서,상기 실행파일의 각 계층별로 분류된 필드영역의 바이트 분포값과, 상기 정상 실행파일 및 상기 악성 실행파일의 각 계층별 클러스터링 중심값 사이의 거리를 측정하여 비교하는 것을 특징으로 하는 악성코드 탐지방법.
- 제 14 항에 있어서,어느 하나의 계층에 대한 필드영역의 바이트 분포값이, 상기 정상 실행파일의 클러스터링 중심값 보다 상기 악성 실행파일의 클러스터링 중심값과 가까운 경 우, 상기 악성코드와 유사한 것으로 판단하는 것을 특징으로 하는 악성코드 탐지방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070122412A KR100942798B1 (ko) | 2007-11-29 | 2007-11-29 | 악성코드 탐지장치 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070122412A KR100942798B1 (ko) | 2007-11-29 | 2007-11-29 | 악성코드 탐지장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090055669A KR20090055669A (ko) | 2009-06-03 |
KR100942798B1 true KR100942798B1 (ko) | 2010-02-18 |
Family
ID=40987172
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070122412A KR100942798B1 (ko) | 2007-11-29 | 2007-11-29 | 악성코드 탐지장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100942798B1 (ko) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101116770B1 (ko) * | 2010-04-21 | 2012-02-28 | 주식회사 안철수연구소 | 악성코드 진단 및 치료 장치 및 그 방법 |
KR101329037B1 (ko) * | 2011-12-21 | 2013-11-14 | 한국인터넷진흥원 | 변종 악성 코드를 탐지하기 위한 시스템 및 방법 |
KR101375793B1 (ko) | 2010-11-09 | 2014-04-01 | 네이버비즈니스플랫폼 주식회사 | 백신 프로그램의 오진검수 방법 및 시스템 |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101138746B1 (ko) * | 2010-03-05 | 2012-04-24 | 주식회사 안철수연구소 | 실행 파일을 이용한 악성 코드 차단 장치 및 방법 |
KR101217709B1 (ko) | 2010-12-31 | 2013-01-02 | 주식회사 안랩 | 악성코드 탐지 장치 및 방법 |
CN102930206B (zh) * | 2011-08-09 | 2015-02-25 | 腾讯科技(深圳)有限公司 | 病毒文件的聚类划分处理方法和装置 |
KR101291125B1 (ko) * | 2011-11-22 | 2013-08-01 | 주식회사 안랩 | 악성코드 진단 및 치료 서비스 장치, 방법 및 그 방법을 실행시키기 위한 기록매체 |
KR101345740B1 (ko) * | 2012-02-22 | 2013-12-30 | 박원형 | 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 |
KR101428781B1 (ko) * | 2012-11-15 | 2014-08-08 | 한국전자통신연구원 | 컴파일러 정보 유사도를 이용한 실행파일 분류 장치 및 방법 |
KR101579347B1 (ko) * | 2013-01-02 | 2015-12-22 | 단국대학교 산학협력단 | 실행 파일의 특징 정보를 이용한 소프트웨어 유사도 탐지 방법 및 장치 |
KR102121741B1 (ko) | 2018-08-03 | 2020-06-11 | 국민대학교산학협력단 | 이분 그래프 기반의 악성 코드 탐지 장치 |
KR102225820B1 (ko) | 2019-08-19 | 2021-03-10 | 국민대학교산학협력단 | 악성코드 분석용 머신러닝을 위한 하이브리드 피처 벡터 생성 장치 및 방법 |
KR102255600B1 (ko) | 2019-08-26 | 2021-05-25 | 국민대학교산학협력단 | Gan을 이용한 문서형 악성코드 탐지 장치 및 방법 |
KR102472850B1 (ko) | 2021-01-07 | 2022-12-01 | 국민대학교산학협력단 | 하이브리드 인공지능 기반의 악성코드 탐지 장치 및 방법 |
KR102318991B1 (ko) * | 2021-02-05 | 2021-10-29 | (주)에스투더블유 | 유사도 기반의 악성코드 진단 방법 및 장치 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100424724B1 (ko) | 2001-07-27 | 2004-03-27 | 김상욱 | 네트워크 흐름 분석에 의한 침입 탐지 장치 |
KR100620313B1 (ko) * | 2005-06-15 | 2006-09-06 | (주)이월리서치 | 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법 |
KR20070095718A (ko) * | 2006-03-22 | 2007-10-01 | 한국전자통신연구원 | 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법 |
-
2007
- 2007-11-29 KR KR1020070122412A patent/KR100942798B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100424724B1 (ko) | 2001-07-27 | 2004-03-27 | 김상욱 | 네트워크 흐름 분석에 의한 침입 탐지 장치 |
KR100620313B1 (ko) * | 2005-06-15 | 2006-09-06 | (주)이월리서치 | 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법 |
KR20070095718A (ko) * | 2006-03-22 | 2007-10-01 | 한국전자통신연구원 | 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101116770B1 (ko) * | 2010-04-21 | 2012-02-28 | 주식회사 안철수연구소 | 악성코드 진단 및 치료 장치 및 그 방법 |
KR101375793B1 (ko) | 2010-11-09 | 2014-04-01 | 네이버비즈니스플랫폼 주식회사 | 백신 프로그램의 오진검수 방법 및 시스템 |
KR101329037B1 (ko) * | 2011-12-21 | 2013-11-14 | 한국인터넷진흥원 | 변종 악성 코드를 탐지하기 위한 시스템 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
KR20090055669A (ko) | 2009-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100942798B1 (ko) | 악성코드 탐지장치 및 방법 | |
Galal et al. | Behavior-based features model for malware detection | |
US10891378B2 (en) | Automated malware signature generation | |
US7519998B2 (en) | Detection of malicious computer executables | |
Hasan et al. | RansHunt: A support vector machines based ransomware analysis framework with integrated feature set | |
Kim et al. | Improvement of malware detection and classification using API call sequence alignment and visualization | |
JP5713478B2 (ja) | 署名を利用せずに悪意プロセスを検出するシステムおよび方法 | |
Alasmary et al. | Graph-based comparison of IoT and android malware | |
US8479296B2 (en) | System and method for detecting unknown malware | |
Glanz et al. | CodeMatch: obfuscation won't conceal your repackaged app | |
US20090013405A1 (en) | Heuristic detection of malicious code | |
KR101212553B1 (ko) | 악성 파일 검사 장치 및 방법 | |
US20100077482A1 (en) | Method and system for scanning electronic data for predetermined data patterns | |
Shahzad et al. | Detection of spyware by mining executable files | |
Karbalaie et al. | Semantic malware detection by deploying graph mining | |
Medhat et al. | A new static-based framework for ransomware detection | |
Zakeri et al. | A static heuristic approach to detecting malware targets | |
Savenko et al. | Dynamic Signature-based Malware Detection Technique Based on API Call Tracing. | |
Yücel et al. | Imaging and evaluating the memory access for malware | |
Laurenza et al. | Malware triage for early identification of advanced persistent threat activities | |
Alshamrani | Design and analysis of machine learning based technique for malware identification and classification of portable document format files | |
KR102318991B1 (ko) | 유사도 기반의 악성코드 진단 방법 및 장치 | |
Bernardi et al. | Data-aware process discovery for malware detection: an empirical study | |
Maleki et al. | An improved method for packed malware detection using PE header and section table information | |
Mehra et al. | DaCoMM: detection and classification of metamorphic malware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130205 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140123 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150126 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160127 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20170124 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20180410 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20181124 Year of fee payment: 10 |