KR20090055669A - 악성코드 탐지장치 및 방법 - Google Patents
악성코드 탐지장치 및 방법 Download PDFInfo
- Publication number
- KR20090055669A KR20090055669A KR1020070122412A KR20070122412A KR20090055669A KR 20090055669 A KR20090055669 A KR 20090055669A KR 1020070122412 A KR1020070122412 A KR 1020070122412A KR 20070122412 A KR20070122412 A KR 20070122412A KR 20090055669 A KR20090055669 A KR 20090055669A
- Authority
- KR
- South Korea
- Prior art keywords
- executable file
- layer
- malicious
- normal
- malicious code
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
Claims (15)
- 실행파일을 분석하여 상기 실행파일의 각 필드영역에 따라 계층을 분류하고, 각 계층의 필드영역에 대한 바이트 분포를 측정하는 실행파일 분석기; 및상기 실행파일 분석기를 통해 각 계층별로 분류된 필드영역의 바이트 분포에 기초하여 적어도 하나의 악성코드를 탐지하는 악성코드 분류기;를 포함하는 악성코드 탐지장치.
- 제 1 항에 있어서, 상기 실행파일 분석기는,상기 실행파일 내의 각 필드영역에 대한 시작점과 그 크기를 감지하고, 상기 필드 영역에 대한 시작점과 크기에 기초하여 상기 실행파일을 각 계층별로 분류하는 것을 특징으로 하는 악성코드 탐지장치.
- 제 1 항에 있어서,상기 각 계층의 필드영역은 다른 계층의 필드영역을 포함하지 않는 것을 특징으로 하는 악성코드 탐지장치.
- 제 1 항에 있어서,상기 악성코드 분류기를 통해 분류된 정상 실행파일이 저장되는 정상 시행파일 저장부 및 적어도 하나의 상기 악성코드를 포함하는 악성 실행파일이 저장되는 악성 실행파일 저장부를 구비한 데이터베이스;를 더 포함하는 악성코드 탐지장치.
- 제 4 항에 있어서,상기 실행파일 분석기는, 상기 데이터베이스에 저장된 적어도 하나의 상기 정상 실행파일 및 상기 악성 실행파일을 이용하여 상기 실행파일의 악성코드를 탐지하기 위한 비교값을 산출하는 것을 특징으로 하는 악성코드 탐지장치.
- 제 4 항에 있어서, 상기 실행파일 분석기는,상기 정상 실행파일 및 상기 악성 실행파일의 바이트 분포를 측정하여 각 계층별 클러스터링 중심값을 산출하는 클러스터링 연산부;를 더 포함하는 악성코드 탐지장치.
- 제 6 항에 있어서,상기 악성코드 분류기는, 상기 실행파일의 각 계층별로 분류된 필드영역의 바이트 분포값과, 상기 정상 실행파일 및 상기 악성 실행파일의 각 계층별 클러스터링 중심값을 비교하여, 상기 악성코드에 대한 유사성을 판단하는 것을 특징으로 하는 악성코드 탐지장치.
- 제 7 항에 있어서,상기 악성코드 분류기는, 상기 실행파일의 각 계층별로 분류된 필드영역의 바이트 분포값과, 상기 정상 실행파일 및 상기 악성 실행파일의 각 계층별 클러스터링 중심값 사이의 거리를 측정하여 상기 악성코드에 대한 유사성을 판단하는 것을 특징으로 하는 악성코드 탐지장치.
- 제 1 항에 있어서,상기 악성코드 분류기는, 상기 실행파일의 각 계층별로 분류된 필드영역 중 적어도 어느 하나의 계층에 대해 상기 악성코드가 탐지되면, 상기 실행파일을 악성 실행파일로 분류하는 것을 특징으로 하는 악성코드 탐지장치.
- 실행파일을 분석하여 상기 실행파일의 각 필드영역 별로 계층을 분류하는 단계;상기 각 계층별로 분류된 필드영역의 바이트 분포를 측정하여, 각 계층별로 악성코드에 대한 유사성을 비교하는 단계; 및상기 각 계층별로 분류된 필드영역 중 적어도 어느 하나의 계층에 대해 상기 악성코드와 유사한 것으로 판단되면, 상기 실행파일을 악성 실행파일로 분류하는 단계;를 포함하는 악성코드 탐지방법.
- 제 10 항에 있어서, 상기 계층을 분류하는 단계는,상기 실행파일을 분석하여 상기 실행파일 내의 필드영역에 대한 시작점과 크기에 기초하여 상기 실행파일을 각 계층별로 분류하는 것을 특징으로 하는 악성코 드 탐지방법.
- 제 10 항에 있어서,기 저장된 적어도 하나의 정상 실행파일 및 악성 실행파일의 바이트 분포를 측정하여 각 계층별 클러스터링 중심값을 산출하는 단계;를 더 포함하는 악성코드 탐지방법.
- 제 12 항에 있어서, 상기 유사성을 비교하는 단계는,상기 실행파일의 각 계층별로 분류된 필드영역의 바이트 분포값과, 상기 정상 실행파일 및 상기 악성 실행파일의 각 계층별 클러스터링 중심값을 비교하는 단계;를 포함하는 악성코드 탐지방법.
- 제 13 항에 있어서,상기 실행파일의 각 계층별로 분류된 필드영역의 바이트 분포값과, 상기 정상 실행파일 및 상기 악성 실행파일의 각 계층별 클러스터링 중심값 사이의 거리를 측정하여 비교하는 것을 특징으로 하는 악성코드 탐지방법.
- 제 14 항에 있어서,어느 하나의 계층에 대한 필드영역의 바이트 분포값이, 상기 정상 실행파일의 클러스터링 중심값 보다 상기 악성 실행파일의 클러스터링 중심값과 가까운 경 우, 상기 악성코드와 유사한 것으로 판단하는 것을 특징으로 하는 악성코드 탐지방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070122412A KR100942798B1 (ko) | 2007-11-29 | 2007-11-29 | 악성코드 탐지장치 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070122412A KR100942798B1 (ko) | 2007-11-29 | 2007-11-29 | 악성코드 탐지장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090055669A true KR20090055669A (ko) | 2009-06-03 |
KR100942798B1 KR100942798B1 (ko) | 2010-02-18 |
Family
ID=40987172
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070122412A KR100942798B1 (ko) | 2007-11-29 | 2007-11-29 | 악성코드 탐지장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100942798B1 (ko) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011108864A2 (ko) * | 2010-03-05 | 2011-09-09 | 주식회사 안철수연구소 | 실행 파일을 이용한 악성 코드 차단 장치 및 방법 |
KR101116770B1 (ko) * | 2010-04-21 | 2012-02-28 | 주식회사 안철수연구소 | 악성코드 진단 및 치료 장치 및 그 방법 |
WO2013077565A1 (ko) * | 2011-11-22 | 2013-05-30 | 주식회사 안랩 | 악성코드 진단 및 치료 서비스 장치 및 방법 |
KR101345740B1 (ko) * | 2012-02-22 | 2013-12-30 | 박원형 | 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 |
EP2743854A1 (en) * | 2011-08-09 | 2014-06-18 | Tencent Technology (Shenzhen) Company Limited | Clustering processing method and device for virus files |
KR20140089044A (ko) * | 2013-01-02 | 2014-07-14 | 단국대학교 산학협력단 | 실행 파일의 특징 정보를 이용한 소프트웨어 유사도 탐지 방법 및 장치 |
KR101428781B1 (ko) * | 2012-11-15 | 2014-08-08 | 한국전자통신연구원 | 컴파일러 정보 유사도를 이용한 실행파일 분류 장치 및 방법 |
US9129109B2 (en) | 2010-12-31 | 2015-09-08 | Anhlab, Inc. | Method and apparatus for detecting a malware in files |
KR20200015198A (ko) | 2018-08-03 | 2020-02-12 | 국민대학교산학협력단 | 이분 그래프 기반의 악성 코드 탐지 장치 |
KR20210021838A (ko) | 2019-08-19 | 2021-03-02 | 국민대학교산학협력단 | 악성코드 분석용 머신러닝을 위한 하이브리드 피처 벡터 생성 장치 및 방법 |
KR20210024748A (ko) | 2019-08-26 | 2021-03-08 | 국민대학교산학협력단 | Gan을 이용한 문서형 악성코드 탐지 장치 및 방법 |
KR102318991B1 (ko) * | 2021-02-05 | 2021-10-29 | (주)에스투더블유 | 유사도 기반의 악성코드 진단 방법 및 장치 |
KR20220099749A (ko) | 2021-01-07 | 2022-07-14 | 국민대학교산학협력단 | 하이브리드 인공지능 기반의 악성코드 탐지 장치 및 방법 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101375793B1 (ko) | 2010-11-09 | 2014-04-01 | 네이버비즈니스플랫폼 주식회사 | 백신 프로그램의 오진검수 방법 및 시스템 |
KR101329037B1 (ko) * | 2011-12-21 | 2013-11-14 | 한국인터넷진흥원 | 변종 악성 코드를 탐지하기 위한 시스템 및 방법 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100424724B1 (ko) | 2001-07-27 | 2004-03-27 | 김상욱 | 네트워크 흐름 분석에 의한 침입 탐지 장치 |
KR100620313B1 (ko) * | 2005-06-15 | 2006-09-06 | (주)이월리서치 | 마이크로소프트 실행파일의 구조적 특성을 이용한 악성프로그램 검출 시스템 및 방법 |
KR20070095718A (ko) * | 2006-03-22 | 2007-10-01 | 한국전자통신연구원 | 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법 |
-
2007
- 2007-11-29 KR KR1020070122412A patent/KR100942798B1/ko active IP Right Grant
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011108864A3 (ko) * | 2010-03-05 | 2012-01-12 | 주식회사 안철수연구소 | 실행 파일을 이용한 악성 코드 차단 장치 및 방법 |
CN102918541A (zh) * | 2010-03-05 | 2013-02-06 | 株式会社Ahnlab | 阻断恶意代码使用执行文件的装置和方法 |
WO2011108864A2 (ko) * | 2010-03-05 | 2011-09-09 | 주식회사 안철수연구소 | 실행 파일을 이용한 악성 코드 차단 장치 및 방법 |
KR101116770B1 (ko) * | 2010-04-21 | 2012-02-28 | 주식회사 안철수연구소 | 악성코드 진단 및 치료 장치 및 그 방법 |
US9129109B2 (en) | 2010-12-31 | 2015-09-08 | Anhlab, Inc. | Method and apparatus for detecting a malware in files |
EP2743854A4 (en) * | 2011-08-09 | 2015-03-25 | Tencent Tech Shenzhen Co Ltd | CLUSTERING PROCESSING AND DEVICE FOR VIRUS FILES |
EP2743854A1 (en) * | 2011-08-09 | 2014-06-18 | Tencent Technology (Shenzhen) Company Limited | Clustering processing method and device for virus files |
WO2013077565A1 (ko) * | 2011-11-22 | 2013-05-30 | 주식회사 안랩 | 악성코드 진단 및 치료 서비스 장치 및 방법 |
KR101345740B1 (ko) * | 2012-02-22 | 2013-12-30 | 박원형 | 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 |
KR101428781B1 (ko) * | 2012-11-15 | 2014-08-08 | 한국전자통신연구원 | 컴파일러 정보 유사도를 이용한 실행파일 분류 장치 및 방법 |
KR20140089044A (ko) * | 2013-01-02 | 2014-07-14 | 단국대학교 산학협력단 | 실행 파일의 특징 정보를 이용한 소프트웨어 유사도 탐지 방법 및 장치 |
KR20200015198A (ko) | 2018-08-03 | 2020-02-12 | 국민대학교산학협력단 | 이분 그래프 기반의 악성 코드 탐지 장치 |
KR20210021838A (ko) | 2019-08-19 | 2021-03-02 | 국민대학교산학협력단 | 악성코드 분석용 머신러닝을 위한 하이브리드 피처 벡터 생성 장치 및 방법 |
KR20210024748A (ko) | 2019-08-26 | 2021-03-08 | 국민대학교산학협력단 | Gan을 이용한 문서형 악성코드 탐지 장치 및 방법 |
KR20220099749A (ko) | 2021-01-07 | 2022-07-14 | 국민대학교산학협력단 | 하이브리드 인공지능 기반의 악성코드 탐지 장치 및 방법 |
KR102318991B1 (ko) * | 2021-02-05 | 2021-10-29 | (주)에스투더블유 | 유사도 기반의 악성코드 진단 방법 및 장치 |
Also Published As
Publication number | Publication date |
---|---|
KR100942798B1 (ko) | 2010-02-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100942798B1 (ko) | 악성코드 탐지장치 및 방법 | |
Galal et al. | Behavior-based features model for malware detection | |
US10891378B2 (en) | Automated malware signature generation | |
US7519998B2 (en) | Detection of malicious computer executables | |
Hasan et al. | RansHunt: A support vector machines based ransomware analysis framework with integrated feature set | |
Kim et al. | Improvement of malware detection and classification using API call sequence alignment and visualization | |
Alasmary et al. | Graph-based comparison of IoT and android malware | |
US9928369B2 (en) | Information technology vulnerability assessment | |
Rieck et al. | Automatic analysis of malware behavior using machine learning | |
Glanz et al. | CodeMatch: obfuscation won't conceal your repackaged app | |
US20090013405A1 (en) | Heuristic detection of malicious code | |
US20100077482A1 (en) | Method and system for scanning electronic data for predetermined data patterns | |
Medhat et al. | A new static-based framework for ransomware detection | |
Shahzad et al. | Detection of spyware by mining executable files | |
Zakeri et al. | A static heuristic approach to detecting malware targets | |
Savenko et al. | Dynamic Signature-based Malware Detection Technique Based on API Call Tracing. | |
Laurenza et al. | Malware triage for early identification of advanced persistent threat activities | |
Karampatziakis et al. | Using file relationships in malware classification | |
Yücel et al. | Imaging and evaluating the memory access for malware | |
Patil et al. | Malware analysis using machine learning and deep learning techniques | |
Maleki et al. | An improved method for packed malware detection using PE header and section table information | |
Alshamrani | Design and analysis of machine learning based technique for malware identification and classification of portable document format files | |
KR102318991B1 (ko) | 유사도 기반의 악성코드 진단 방법 및 장치 | |
Mehra et al. | DaCoMM: detection and classification of metamorphic malware | |
Bernardi et al. | Data-aware process discovery for malware detection: an empirical study |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130205 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140123 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150126 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160127 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20170124 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20180410 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20181124 Year of fee payment: 10 |