KR102185831B1 - 디해시 기반 악성코드 분석 장치 및 방법 - Google Patents
디해시 기반 악성코드 분석 장치 및 방법 Download PDFInfo
- Publication number
- KR102185831B1 KR102185831B1 KR1020190090026A KR20190090026A KR102185831B1 KR 102185831 B1 KR102185831 B1 KR 102185831B1 KR 1020190090026 A KR1020190090026 A KR 1020190090026A KR 20190090026 A KR20190090026 A KR 20190090026A KR 102185831 B1 KR102185831 B1 KR 102185831B1
- Authority
- KR
- South Korea
- Prior art keywords
- dehash
- file
- image
- malicious
- value
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Abstract
본 발명은 디해시(Dhash) 기반 악성코드 분석 장치 및 방법에 관한 것으로, 특히 새롭게 등장하는 악성코드 중 다수가 기존에 발생했던 악성코드의 변종이라는 것과 변종 악성코드는 원본 악성코드와 비슷한 바이너리 데이터를 갖는 특징을 갖는다는 것을 고려해 유사 악성코드에 대하여 효과적으로 대응할 수 있는 디해시 기반 악성코드 분석 장치 및 방법에 관한 것이다.
또한, 본 발명에 따르면, PE 파일의 바이너리 데이터로부터 이미지를 제작한 후에, 변종 악성 코드 탐지에 이용할 수 있는 디해시값을 추출하여 데이터베이스에 저장하는 디해시 모듈; 및 분석 대상 파일 입력받아 이미지를 생성한 후에, 디해시값을 추출한 후에 패턴을 데이터베이스에 저장된 패턴들과 비교하여 악성 여부를 판단하는 패턴 매칭 모듈을 포함하는 디해시 기반 악성코드 분석 장치 및 방법이 제공된다.
또한, 본 발명에 따르면, PE 파일의 바이너리 데이터로부터 이미지를 제작한 후에, 변종 악성 코드 탐지에 이용할 수 있는 디해시값을 추출하여 데이터베이스에 저장하는 디해시 모듈; 및 분석 대상 파일 입력받아 이미지를 생성한 후에, 디해시값을 추출한 후에 패턴을 데이터베이스에 저장된 패턴들과 비교하여 악성 여부를 판단하는 패턴 매칭 모듈을 포함하는 디해시 기반 악성코드 분석 장치 및 방법이 제공된다.
Description
본 발명은 디해시(Dhash) 기반 악성코드 분석 장치 및 방법에 관한 것으로, 특히 새롭게 등장하는 악성코드 중 다수가 기존에 발생했던 악성코드의 변종이라는 것과 변종 악성코드는 원본 악성코드와 비슷한 바이너리 데이터를 갖는 특징을 갖는다는 것을 고려해 유사 악성코드에 대하여 효과적으로 대응할 수 있는 디해시 기반 악성코드 분석 장치 및 방법에 관한 것이다.
최근 모바일 기기와 사물인터넷의 발전에 따라 네트워크가 광범위하게 구축되었고, 인터넷 사용량 역시 증가하고 있는 추세이다.
다양해진 네트워크로 인해 악성코드 생성 도구가 유포되는 등으로 인해 악성코드의 출현이 기하급수적으로 증가하였으며 악성코드로 인한 민간 기업의 피해 역시 증가하고 있다.
또한 악성코드 역시 진화를 계속하고 있는데 패킹과 같은 코드 난독화 기법의 대중화로 기존의 악성코드를 이용한 변종 악성코드가 제작되어 안티 바이러스가 악성코드를 탐지하는데 어려움이 더해지고 있다. 이렇듯 새로운 변종 악성코드는 지속적으로 증가하고 있으므로 정확한 악성코드 탐지 기법이 요구된다.
상기와 같은 문제점을 해결하기 위한 본 발명은 새롭게 등장하는 악성코드 중 다수가 기존에 발생했던 악성코드의 변종이라는 것과 변종 악성코드는 원본 악성코드와 비슷한 바이너리 데이터를 갖는 특징을 갖는다는 것을 고려해 유사 악성코드에 대하여 효과적으로 대응할 수 있는 디해시 기반 악성코드 분석 장치 및 방법을 제공하는데 있다.
본 발명의 장치는 PE 파일의 바이너리 데이터로부터 이미지를 제작한 후에, 변종 악성 코드 탐지에 이용할 수 있는 디해시값을 추출하여 데이터베이스에 저장하는 디해시 모듈; 및 분석 대상 파일 입력받아 이미지를 생성한 후에, 디해시값을 추출한 후에 패턴을 데이터베이스에 저장된 패턴들과 비교하여 악성 여부를 판단하는 패턴 매칭 모듈을 포함한다.
또한, 본 발명의 방법은 (A)디해시 모듈이 PE 파일의 바이너리 데이터로부터 이미지를 제작한 후에, 변종 악성 코드 탐지에 이용할 수 있는 디해시값을 추출하여 데이터베이스에 저장하는 단계; 및 (B) 패턴 매칭 모듈이 분석 대상 파일 입력받아 이미지를 생성한 후에, 디해시값을 추출한 후에 패턴을 데이터베이스에 저장된 패턴들과 비교하여 악성 여부를 판단하는 단계를 포함한다.
본 발명은 악성코드를 이용해 시각화 이미지를 제작하고 디해시(Dhash)를 추출해 10-그램(gram)으로 나누어 데이터베이스(Database)를 구성함으로써 분석 대상의 파일이 입력되었을 때 신속하게 분류가 가능하며 변종 악성코드 탐지 기법에 있어 기존의 탐지 기법과 상호 보완이 가능하다.
도 1은 본 발명의 바람직한 일 실시예에 따른 디해시 기반 악성코드 분석 장치의 구성도이다.
도 2는 도 1의 이미지 생성부에서 이미지를 생성하는 과정을 설명하는 도면이다.
도 3은 본 발명의 바람직한 일 실시예에 따른 디해시 기반 악성코드 분석 방법의 흐름도이다.
도 4는 N-그램(gram)을 이용한 블록화를 설명하기 위한 도면이다.
도 2는 도 1의 이미지 생성부에서 이미지를 생성하는 과정을 설명하는 도면이다.
도 3은 본 발명의 바람직한 일 실시예에 따른 디해시 기반 악성코드 분석 방법의 흐름도이다.
도 4는 N-그램(gram)을 이용한 블록화를 설명하기 위한 도면이다.
이하, 첨부된 도면을 참조하여 기술되는 바람직한 실시예를 통하여 본 발명을 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 기술하기로 한다.
본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명 실시예들의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.
본 발명 명세서 전반에 걸쳐 사용되는 용어들은 본 발명 실시예에서의 기능을 고려하여 정의된 용어들로서, 사용자 또는 운용자의 의도, 관례 등에 따라 충분히 변형될 수 있는 사항이므로, 이 용어들의 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 바람직한 일 실시예에 따른 디해시 기반 악성코드 분석 장치의 구성도이다.
도 1을 참조하면, 본 발명의 바람직한 일 실시예에 따른 디해시 기반 악성코드 분석 장치는 디해시 모듈(100) 및 패턴 매칭 모듈(200)을 포함한다.
그리고, 디해시 모듈(100)은 이미지 생성부(110), 디해시 추출부(120) 및 그램 추출부(130)를 포함한다.
상기 디해시 모듈(100)은 PE 파일의 바이너리 데이터로부터 M*M 사이즈의 이미지를 제작한 후에, 디해시값(Dhash)을 추출한 후에 N-그램(gram)으로 나누어 블록화하여 블록화된 패턴들을 데이터베이스에 저장한다.
이를 좀더 상세히 살펴보면, 이미지 생성부(110)는 PE 파일의 바이너리 데이터로부터 M*M 사이즈의 이미지를 제작한다.
이를 도 2를 참조하면, 이미지 생성부(100)는 PE 파일을 파일 크기에 관계없이 N*N 이미지로 변환하게 되는데, M*M 바이트(byte)보다 큰 크기의 파일의 경우에 그 배수만큼 바이트(byte)를 평균(average)하여 표현하고, M*M 바이트(byte)보다 작은 크기의 파일의 경우에 M*M 바이트(byte)의 크기가 될 때 까지 기존 파일 바이트(byte) 패턴을 반복한다.
상기 이미지 생성부(100)는 각 바이트(byte)를 8개의 비트(bit)로 쪼개어 각 자릿수에 값을 부여하며, 비트(Bit)와 자릿수의 곱을 합하여 255이하의 수로 변환하며, 최종적으로 파일의 M*M 바이트(byte)의 각 바이트(byte)에 대해 RGB 값으로 변환 완료한다.
그리고, 상기 이미지 생성부(100)는 변환 완료된 파일의 RGB 값들을 이미지로 표현하며, 출력(Output) 파일 형식은 파일명.png로, M*M의 크기로 나타나게 된다. 여기에서, M*M은 64*64일 수 있다.
상기 디해시 추출부(120)는 변종 악성 코드 탐지에 이용할 수 있는 디해시값(Dhash: Difference hash)을 추출한다.
그리고, 그램 추출부(130)는 디해시값을 N-그램(gram)(일예로 N은 10일 수 있음)으로 나누어 블록화하여 블록화된 패턴들을 데이터베이스에 저장한다.
한편, 패턴 매칭 모듈(200)은 분석 대상 파일을 입력받아 이미지를 생성한 후에, 디해시값을 추출한 후에 N-그램으로 나누어 블록화한후에 블록화된 패턴을 데이터베이스에 저장된 패턴들과 비교하여 악성 여부를 판단한다.
이를 좀더 상세히 살펴보면, 유사도 비교부(210)는 분석 대상 파일의 바이너리 데이터로부터 64*64 사이즈의 이미지를 제작하고, 변종 악성 코드 탐지에 이용할 수 있는 디해시값(Dhash: Difference hash)을 추출하며, 디해시값을 N-그램(gram)(일예로 N은 10일 수 있음)으로 나누어 블록화하여 블록화된 패턴들을 데이터베이스에 저장된 블록화된 패턴과 비교하여 일치하는 경우에 전수 비교 대상으로 선정한다.
유사도 판단부(220)는 전수비교 대상으로 선정된 패턴들을 분석 대상과의 디해시(Dhash) 전수 비교를 통해 해밍 거리(Hamming Distance)를 도출한다.
다음으로, 악성 판단부(230)는 해밍 거리(Hamming Distance)가 작은 순서로 5개의 패턴을 나열하고 최소 해밍 거리(Hamming Distance)가 임계값(threshold)을 만족할 경우 가중치 보팅(Weight Voting)을 진행해 분석 대상 파일의 악성 여부를 판단한다.
도 3은 본 발명의 바람직한 일 실시예에 따른 디해시 기반 악성코드 분석 방법의 흐름도이다.
도 3을 참조하면, 본 발명의 바람직한 일 실시예에 따른 디해시 기반 악성코드 분석 방법은 디해시 모듈이 PE 파일의 바이너리 데이터로부터 이미지를 제작한 후에, 변종 악성 코드 탐지에 이용할 수 있는 디해시값을 추출하여 N-그램(gram)으로 나누어 블록화하여 데이터베이스에 저장하는 단계(S100)와 패턴 매칭 모듈이 분석 대상 파일 입력받아 이미지를 생성한 후에, 디해시값을 추출한 후에 N-그램으로 나누어 블록화한후에 블록화된 패턴을 데이터베이스에 저장된 패턴들과 비교하여 악성 여부를 판단하는 단계(S200)를 포함한다.
이를 좀더 상세히 살펴보면, 디해시 모듈은 PE파일의 바이너리 데이터로부터 M*M 사이즈의 이미지를 제작한다.여기에서, M*M은 64*64일 수 있다.
만일 파일의 크기가 64*64 사이즈보다 크다면 축소하고, 작을 경우 확대를 하는 패딩 과정을 거치면서 사이즈를 맞춰 이미지를 제작한다.
상기 디해시 모듈은 디해시(Dhash) 추출을 위해, 먼저 이미지를 입력 받아 9*8픽셀의 이미지로 축소한다(S110).
다음으로 디해시 모듈은 이미지를 회색조로 변환시키고 인접한 픽셀 간 상대적인 기울기(gradient) 방향을 식별한다.
마지막으로 디해시 모듈은 왼쪽 픽셀과 오른쪽 픽셀의 밝기 차이에 따라 비트를 할당해 한 열의 9개 픽셀 사이로부터 8개의 해시(hash) 값을 산출하게 되는데 이 과정을 8번 반복해 총 64bit의 해시(hash)값을 출력한다(S120).
기존 디해시(Dhash) 기법의 경우 분석 대상 파일 입력 시 패턴과의 전수비교를 통해 해밍 거리(Hamming Distance)를 도출했지만 전수비교는 분석 대상 파일 1개에 대해 패턴 전체 개수만큼의 해밍 거리(Hamming Distance) 연산을 요구하므로 성능 저하의 요인이 될 수 있었다. 이에 연산 횟수를 줄여 성능을 향상시키고자 10-그램(gram)을 이용하여 상기 디해시 모듈은 64bit의 디해시(Dhash)를 10-그램(gram)으로 나누어 블록화된 패턴을 형성한다(S130).
64bit의 디해시(Dhash)는 10-그램(gram)으로 나누었을 시 도 4와 같이 55개의 블록을 생성하게 되므로 두 개의 디해시(Dhash)를 10-그램(gram)으로 비교할 경우 최소 7개의 서로 다른 bit가 있어야 10-그램(gram)이 전부 일치하지 않게 된다.
이는 일치하는 10-gram이 하나도 없는 경우 최소 7이상의 해밍 거리(Hamming Distance)를 가진다는 것을 의미한다. 디해시(Dhash)의 경우 2이상의 해밍 거리(Hamming Distance)를 가진 대상은 신뢰가 불가능하다고 판단하므로 10-gram이 일치하지 않는 경우 분석 대상에서 제외하게 된다.
10-gram과 10-gram의 위치 정보, 파일의 악성/정상여부 3개의 속성(attribute)으로 데이터베이스를 구성하고, 10-gram과 순서(sequence)를 인덱스(index)로 설정하여 10-gram으로 인한 데이터베이스의 행 수 증가 및 검색 속도 저하 문제를 해결한다.
한편, 패턴 매칭 모듈이 분석 대상 파일 입력받아 이미지를 생성한 후에, 디해시값을 추출한 후에 N-그램으로 나누어 블록화한후에 블록화된 패턴을 데이터베이스에 저장된 패턴들과 비교하여 악성 여부를 판단한다(S200).
이를 좀더 상세히 살펴보면, 패턴 매칭 모듈이 분석 대상 파일을 입력받아 위에서 설명한 데이터베이스 구축과 동일한 방법으로 이미지의 디해시(Dhash)와 10-그램(gram)을 추출한다.
그리고, 패턴 매칭 모듈은 데이터베이스의 10-그램(gram)과 순서(sequence)가 분석 대상 파일과 일치하는 경우(S210) 해당 패턴을 분석 대상과의 전수비교 대상으로 선정한다(S220).
반면에 일치하는 항목이 없다면 패턴 매칭 모듈은 데이터베이스에는 분석 대상 파일과 7미만의 해밍 거리(Haamming Distance)를 가지는 항목이 없다는 것을 의미하므로 분석 불가 파일로 분류한다.
패턴 매칭 모듈은 전수비교 대상으로 선정된 패턴들은 분석 대상과의 디해시(Dhash) 전수비교를 통해 해밍 거리(Hamming Distance)를 도출한다(S230).
그리고, 패턴 매칭 모듈은 해밍 거리(Hamming Distance)가 작은 순서로 5개의 패턴을 나열하고 최해밍 거리(Hamming Distance)가 임계값(threshold)을 만족할 경우 가중치 보팅(Weight Voting)을 진행해 분석 대상 파일의 악성 여부를 판단한다(S240).
여기에서 가중치 보팅(Weight Voting)은 분석 대상 파일과 유사 파일의 거리와 악성 여부에 따라 가중치(Weight)를 부여하는 공식으로 아래 수식 (1)에서 는 분석 대상 파일과 번째 유사 파일의 해밍 거리(Hamming distance)인 과 전체 유사 파일 거리 중 최소 거리 의 차를 의미한다.
(수학식 1)
수학식1의 과정을 통해 n번째 유사 파일의 가중치(Weight)를 도출할 수 있다.
유사 파일의 악성 여부에 따라 비교 분석 대상의 가중치(Weight)를 유도하는 과정은 수학식 2와 같다.
(수학식 2)
수학식2에서 는 분석 대상 파일의 가중치(Weight)를 의미한다. 분석 대상 파일의 가 0보다 큰 경우 유사 파일의 라벨(label)이 정상인 의 합이 라벨(label)이 악성인 의 합보다 크다는 것을 나타낸다.
이는 라벨(label)이 악성인 유사 파일의 해밍 거리(Hamming Distance)가 더 가깝다는 것을 의미하는 것으로 따라서 최종 판단은 악성이 된다.
본 발명은 첨부된 도면에 의해 참조되는 바람직한 실시예를 중심으로 기술되었지만, 이러한 기재로부터 후술하는 특허청구범위에 의해 포괄되는 범위내에서 본 발명의 범주를 벗어남이 없이 다양한 변형이 가능하다는 것은 명백하다.
100 : 디해시 모듈
110 : 이미지 생성부
120 : 디해시 추출부
130 : 그램 추출부
200 : 패턴 매칭 모듈
210 : 유사도 비교부
220 : 유사도 판단부
230 : 악성 판단부
110 : 이미지 생성부
120 : 디해시 추출부
130 : 그램 추출부
200 : 패턴 매칭 모듈
210 : 유사도 비교부
220 : 유사도 판단부
230 : 악성 판단부
Claims (10)
- PE 파일의 바이너리 데이터로부터 이미지를 제작한 후에, 변종 악성 코드 탐지에 이용할 수 있는 디해시값을 추출하여 데이터베이스에 저장하는 디해시 모듈; 및
분석 대상 파일 입력받아 이미지를 생성한 후에, 디해시값을 추출한 후에 패턴을 데이터베이스에 저장된 패턴들과 비교하여 악성 여부를 판단하는 패턴 매칭 모듈을 포함하고,
상기 패턴 매칭 모듈은
분석 대상 파일의 바이너리 데이터로부터 이미지를 제작하고, 디해시값(Dhash: Difference hash)을 추출하며, 디해시값을 N-그램(gram)으로 나누어 블록화하여 블록화된 패턴들을 데이터베이스에 저장된 블록화된 패턴과 비교하여 일치하는 경우에 전수 비교 대상으로 선정하는 유사도 비교부;
전수비교 대상으로 선정된 패턴들을 분석 대상과의 디해시(Dhash) 전수 비교를 통해 해밍 거리(Hamming Distance)를 도출하는 유사도 판단부; 및
해밍 거리(Hamming Distance)가 작은 순서로 패턴을 나열하고 최소 해밍 거리(Hamming Distance)가 임계값(threshold)을 만족할 경우 가중치 보팅(Weight Voting)을 진행해 분석 대상 파일의 악성 여부를 판단하는 악성 판단부를 포함하는 디해시 기반 악성코드 분석 장치. - 청구항 1항에 있어서,
상기 디해시 모듈은 PE 파일의 바이너리 데이터로부터 이미지를 제작한 후에, 변종 악성 코드 탐지에 이용할 수 있는 디해시값을 추출하여 N-그램(gram)으로 나누어 블록화하여 데이터베이스에 저장하고,
상기 패턴 매칭 모듈은 분석 대상 파일 입력받아 이미지를 생성한 후에, 디해시값을 추출한 후에 N-그램으로 나누어 블록화한후에 블록화된 패턴을 데이터베이스에 저장된 패턴들과 비교하여 악성 여부를 판단하는 디해시 기반 악성코드 분석 장치. - 청구항 2항에 있어서,
상기 디해시 모듈은
PE 파일의 바이너리 데이터로부터 N*N 사이즈의 이미지를 제작하는 이미지 생성부;
상기 이미지로부터 변종 악성 코드 탐지에 이용할 수 있는 디해시를 추출하는 디해시 추출부; 및
디해시값을 N-그램(gram)으로 나누어 블록화하는 그램 추출부를 포함하는 디해시 기반 악성코드 분석 장치. - 청구항 3항에 있어서,
상기 N-그램(gram)에서 N은 10인 것을 특징으로 하는 디해시 기반 악성코드 분석 장치. - 삭제
- (A)디해시 모듈이 PE 파일의 바이너리 데이터로부터 이미지를 제작한 후에, 변종 악성 코드 탐지에 이용할 수 있는 디해시값을 추출하여 N-그램(gram)으로 나누어 블록화하여 데이터베이스에 저장하는 단계; 및
(B) 패턴 매칭 모듈이 분석 대상 파일 입력받아 이미지를 생성한 후에, 디해시값을 추출한 후에 N-그램으로 나누어 블록화한후에 블록화된 패턴을 데이터베이스에 저장된 패턴들과 비교하여 악성 여부를 판단하는 단계를 포함하고,
상기 (B) 단계는
(B-1) 상기 패턴 매칭 모듈이 분석 대상 파일의 바이너리 데이터로부터 이미지를 제작하고, 디해시값(Dhash: Difference hash)을 추출하며, 디해시값을 N-그램(gram)으로 나누어 블록화하여 블록화된 패턴들을 데이터베이스에 저장된 블록화된 패턴과 비교하여 일치하는 경우에 전수 비교 대상으로 선정하는 단계;
(B-2) 상기 패턴 매칭 모듈이 전수비교 대상으로 선정된 패턴들을 분석 대상과의 디해시(Dhash) 전수 비교를 통해 해밍 거리(Hamming Distance)를 도출하는 단계; 및
(B-3) 상기 패턴 매칭 모듈이 해밍 거리(Hamming Distance)가 작은 순서로 패턴을 나열하고 최소 해밍 거리(Hamming Distance)가 임계값(threshold)을 만족할 경우 가중치 보팅(Weight Voting)을 진행해 분석 대상 파일의 악성 여부를 판단하는 단계를 포함하는 디해시 기반 악성코드 분석 방법. - 삭제
- 청구항 6항에 있어서,
상기 (A) 단계는
(A-1) 상기 디해시 모듈이 PE 파일의 바이너리 데이터로부터 64*64 사이즈의 이미지를 제작하는 단계;
(A-2) 상기 디해시 모듈이 상기 이미지로부터 변종 악성 코드 탐지에 이용할 수 있는 디해시를 추출하는 단계; 및
(A-3) 상기 디해시 모듈이 디해시값을 N-그램(gram)으로 나누어 블록화하는 단계를 포함하는 디해시 기반 악성코드 분석 방법. - 청구항 8항에 있어서,
상기 N-그램(gram)에서 N은 10인 것을 특징으로 하는 디해시 기반 악성코드 분석 방법. - 삭제
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190090026A KR102185831B1 (ko) | 2019-07-25 | 2019-07-25 | 디해시 기반 악성코드 분석 장치 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190090026A KR102185831B1 (ko) | 2019-07-25 | 2019-07-25 | 디해시 기반 악성코드 분석 장치 및 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102185831B1 true KR102185831B1 (ko) | 2020-12-03 |
Family
ID=73779545
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190090026A KR102185831B1 (ko) | 2019-07-25 | 2019-07-25 | 디해시 기반 악성코드 분석 장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102185831B1 (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102318991B1 (ko) * | 2021-02-05 | 2021-10-29 | (주)에스투더블유 | 유사도 기반의 악성코드 진단 방법 및 장치 |
WO2023038273A1 (ko) * | 2021-09-08 | 2023-03-16 | 고려대학교 산학협력단 | 바이너리 파일 고정화와 웨이블릿 신호처리를 통한 바이너리 파일 특징 정보 추출 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101412203B1 (ko) | 2012-12-28 | 2014-06-27 | 주식회사 안랩 | 악성코드 관련 긴급검사수행장치 및 악성코드 관련 긴급검사수행장치의 동작 방법 |
KR101863615B1 (ko) * | 2017-05-24 | 2018-06-01 | (주)이스트소프트 | 신경망 학습 기반의 변종 악성 코드를 탐지하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 |
KR20180127612A (ko) | 2017-05-19 | 2018-11-29 | 주식회사 익스트러스 | 가상환경에서 악성코드의 분석회피 방지 시스템 |
-
2019
- 2019-07-25 KR KR1020190090026A patent/KR102185831B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101412203B1 (ko) | 2012-12-28 | 2014-06-27 | 주식회사 안랩 | 악성코드 관련 긴급검사수행장치 및 악성코드 관련 긴급검사수행장치의 동작 방법 |
KR20180127612A (ko) | 2017-05-19 | 2018-11-29 | 주식회사 익스트러스 | 가상환경에서 악성코드의 분석회피 방지 시스템 |
KR101863615B1 (ko) * | 2017-05-24 | 2018-06-01 | (주)이스트소프트 | 신경망 학습 기반의 변종 악성 코드를 탐지하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102318991B1 (ko) * | 2021-02-05 | 2021-10-29 | (주)에스투더블유 | 유사도 기반의 악성코드 진단 방법 및 장치 |
WO2023038273A1 (ko) * | 2021-09-08 | 2023-03-16 | 고려대학교 산학협력단 | 바이너리 파일 고정화와 웨이블릿 신호처리를 통한 바이너리 파일 특징 정보 추출 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Lerch-Hostalot et al. | Unsupervised steganalysis based on artificial training sets | |
KR20170108330A (ko) | 악성 코드 탐지 장치 및 방법 | |
KR101432429B1 (ko) | 시각적 데이터 생성을 이용한 악성 코드 분석 시스템과 그 방법 | |
KR102185831B1 (ko) | 디해시 기반 악성코드 분석 장치 및 방법 | |
CN106874180A (zh) | 检测系统及其方法 | |
KR101930293B1 (ko) | 정적 분석과 동적 분석을 이용하여 변종 악성코드를 식별하는 장치 및 방법 | |
US10614312B2 (en) | Method and apparatus for determining signature actor and identifying video based on probability of appearance of signature actor | |
CN111368289B (zh) | 一种恶意软件检测方法和装置 | |
CN110493262B (zh) | 一种改进分类的网络攻击检测方法及系统 | |
CN111159697B (zh) | 一种密钥检测方法、装置及电子设备 | |
JP2019512127A (ja) | 文字列距離計算方法及び装置 | |
KR101030130B1 (ko) | 중복 콘텐츠 검출 장치 및 검출 방법 | |
Darus et al. | Android malware classification using XGBoost on data image pattern | |
US9600644B2 (en) | Method, a computer program and apparatus for analyzing symbols in a computer | |
CN102243707B (zh) | 字符识别结果验证设备和字符识别结果验证方法 | |
JP2006318219A (ja) | 類似スライド検索プログラム及び検索方法 | |
CN111783812A (zh) | 违禁图像识别方法、装置和计算机可读存储介质 | |
CN110581856A (zh) | 一种恶意代码的检测方法及系统 | |
Rodrigues et al. | Using graph embeddings and machine learning to detect cryptography misuse in source code | |
Feichtner et al. | Obfuscation-resilient code recognition in Android apps | |
KR101033670B1 (ko) | 문서 간 유사도 산출 시스템 및 방법 | |
JP5347793B2 (ja) | 文字認識装置、文字認識プログラムおよび文字認識方法 | |
KR101863569B1 (ko) | 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치 | |
KR101893029B1 (ko) | 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치 | |
CN111669477A (zh) | 图像处理方法、系统、装置、设备及计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |