KR20110014903A - 파일 가공 방법과 장치, 시그너쳐 생성 방법과 장치, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 - Google Patents

파일 가공 방법과 장치, 시그너쳐 생성 방법과 장치, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 Download PDF

Info

Publication number
KR20110014903A
KR20110014903A KR1020090072504A KR20090072504A KR20110014903A KR 20110014903 A KR20110014903 A KR 20110014903A KR 1020090072504 A KR1020090072504 A KR 1020090072504A KR 20090072504 A KR20090072504 A KR 20090072504A KR 20110014903 A KR20110014903 A KR 20110014903A
Authority
KR
South Korea
Prior art keywords
file
conversion rule
unit
conversion
converted
Prior art date
Application number
KR1020090072504A
Other languages
English (en)
Other versions
KR101228901B1 (ko
Inventor
황규범
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020090072504A priority Critical patent/KR101228901B1/ko
Publication of KR20110014903A publication Critical patent/KR20110014903A/ko
Application granted granted Critical
Publication of KR101228901B1 publication Critical patent/KR101228901B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Bioethics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 파일 가공 방법과 장치, 시그너쳐 생성 방법과 장치, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 변환 파일을 생성하며, 이 변환 파일을 오진 검증에 이용할 수 있도록 함으로써, 원본 파일의 유통 보안성을 제공하여 기업체에서는 보안에 대한 부담감 없이 원본 파일, 즉 오진 검증을 위한 정상 파일을 제공할 수 있으며, 보안업체에서는 손쉽게 오진 검증을 위한 정상 파일들을 수집할 수 있고, 원본 파일을 규칙성 있게 변환하는 단순화 과정을 통해 변환 파일을 생성하므로 파일의 압축률을 향상시켜 유통의 편리성이 제고되며, 원본 파일로부터 생성한 변환 파일을 파일 진단을 위한 시그너쳐를 생성할 때에 또는 기 생성된 시그너쳐를 검증할 때에 이용할 수 있도록 함으로써, 파일 진단 또는 오진 검증에 이용할 수 있는 시그너쳐 데이터베이스를 손쉽게 구축할 수 있는 이점이 있다.
원본 파일, 오진 검증, 시그너쳐, 바이러스, 악성 코드

Description

파일 가공 방법과 장치, 시그너쳐 생성 방법과 장치, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체{FILE PROCESSING METHOD AND APPARATUS, SIGNATURE GENERATING METHOD AND APPARATUS, COMPUTER READABLE MEDIA STORING PROGRAM FOR METHOD THEREFOR}
본 발명은 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공한 변환 파일을 생성하는 파일 가공 방법과 장치, 이 변환 파일을 이용하여 파일 진단 또는 오진 검증을 위한 시그너쳐(signature)를 생성하는 방법과 장치, 파일 가공 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체, 시그너쳐 생성 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
광범위한 인터넷의 보급이 이루어지고 있는 한편, 통신망을 통한 악성 소프트웨어(Malicious Software) 또는 악성 코드(Malicious Code)의 전염경로가 다양해지고 있으며, 이로 인한 피해 정도가 매년 증가하고 있다. 악성 코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등의 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 이러한 악성 코드의 종류로는 바이러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor), 논리폭탄(logic bomb), 트랩도어(trap door) 등의 해킹툴, 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다. 이들은 자기복제나 자동번식 기능을 통하여, 사용자 아이디(ID)와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경, 시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심 자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으키고 있으며, 그 피해도 매우 다양하고 심각하다.
이러한, 악성 코드를 차단하기 위한 안티바이러스 프로그램은 악성 코드 파일에 관련된 시그너쳐가 저장된 데이터베이스를 구비하며, 데이터베이스에 저장된 시그너쳐는 안티바이러스 프로그램을 제작하는 회사에서 제작 및 배포한다.
파일 관련 시그너쳐를 추출하기 위해서는 파일 전부에 대한 진단 값 혹은 일부에 대한 진단 값을 사용하고 있다. 파일 전부에 대한 진단 값을 사용하는 경우 파일 크기와 MD5(Message-Digest algorithm), SHA-1(Secure Hash Algorithm)과 같은 해쉬 검증값을 이용하는 방법이 있는데, 이는 속도가 느리고 데이터 양이 많아 사용하는데 매우 어려움이 있다는 단점이 있다. 이런 이유로 파일의 일부 내용을 진단 정보로 하여 진단하는 방식을 널리 사용하고 있다.
하지만, 파일 일부에 대한 진단 값을 이용하여 악성 코드를 진단하는 방법 또한 악성 코드가 아닌 일반적인 정상 파일을 악성 코드로 진단하는 오진 가능성이 있다.
이런 이유로, 시그너쳐를 생성한 후 이를 검증하는 오진 검증 과정을 거치게 되는데, 오진 검증은 시그너쳐의 배포 이전에 검증 대상이 되는 모든 정상 파일들에 대한 진단을 하는 것을 통해 이루어진다.
하지만, 시그너쳐에 대한 오진 검증 방법은 정상 파일들을 수집한 후 진단하는 형태를 취하고 있으나 현실적으로 모든 정상 파일들을 수집하는 것은 거의 불가능하다.
특히, 안티바이러스 프로그램을 사용하는 기업체들이 보안상의 이유로 기업 내의 정상 파일들을 제공하는 것을 꺼려하기 때문에 오진 검증에 더욱 어려움이 따른다.
본 발명은 이와 같은 종래 기술의 문제점을 해결하기 위해 제안한 것으로서, 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공한 변환 파일을 생성하는 파일 가공 방법과 장치를 제공하여 오진 검증을 위해 정상 파일을 제공하더라도 보안상의 문제가 발생하지 않도록 한다.
아울러, 이렇게 생성한 변환 파일을 이용하여 파일 진단을 위한 시그너쳐를 생성하는 방법과 장치를 제공하여 파일 진단 또는 오진 검증에 이용할 수 있는 시그너쳐 데이터베이스를 손쉽게 구축할 수 있도록 한다.
또한, 파일 가공 방법이나 시그너쳐 생성 방법을 수행하는 프로그램이 기록 된 컴퓨터로 읽을 수 있는 기록매체를 제공하여 유통의 편리성을 제고한다.
본 발명의 제 1 관점으로서 파일 가공 방법은, 기 설정된 파일 변환 규칙을 파악하여 상기 파일 변환 규칙에 따라 원본 파일을 분석하는 단계와, 상기 원본 파일의 분석 결과를 바탕으로 하여 상기 파일 변환 규칙에 따라 상기 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 변환 파일을 생성하는 단계와, 상기 변환 파일을 저장하는 단계를 포함할 수 있다.
여기서, 상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 기 설정 크기의 비트 값을 단위 비트로 치환할 수 있다.
상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 상대적으로 더 작은 크기의 비트로 치환할 수 있다.
상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 단위 비트로 치환할 수 있다.
상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 임의로 기본값을 정하여 기록할 수 있다.
상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 명령어 코드에 대해 빈도수를 조사하여 가장 낮은 명령어 코드로 변경할 수 있다.
상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 바이크 코드를 대표값으로 바꿀 수 있다.
상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 단위 숫자로 채우고, 나머지 영역을 복수 문자로 채울 수 있다.
상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 규칙성 있는 문자열로 채우고, 나머지 영역을 복수 문자로 채울 수 있다.
상기 저장하는 단계는, 상기 변환 파일을 압축하여 저장할 수 있다.
상기 변환 파일을 생성하는 단계는, 상기 원본 파일을 규칙성 있게 변환하는 단순화 과정을 통해 상기 변환 파일의 압축률을 향상시킬 수 있다.
본 발명의 제 2 관점으로서, 상기 제 1 관점에 따른 상기 파일 가공 방법들 중에서 어느 하나의 파일 가공 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명의 제 3 관점에 따른 파일 가공 장치는, 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 변환 파일을 생성하기 위한 파일 변환 규칙을 저장하는 변환 규칙 저장부와, 상기 파일 변환 규칙을 파악하여 상기 파일 변환 규칙에 따라 상기 원본 파일을 분석하는 파일 분석부와, 상기 파일 분석부로부터 상기 원본 파일의 분석 결과를 제공받아 상기 파일 변환 규칙에 의거하여 상기 원본 파일로부터 상기 변환 파일을 생성하는 파일 변환부와, 상기 파일 변환부가 생성한 상기 변환 파일을 저장하는 변환 파일 저장부를 포함할 수 있다.
여기서, 상기 파일 변환부는, 상기 파일 변환 규칙에 따라 기 설정 크기의 비트 값을 단위 비트로 치환할 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 상대적으로 더 작은 크기의 비트로 치환할 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 단위 비트로 치환할 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 임의로 기본값을 정하여 기록할 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 명령어 코드에 대해 빈도수를 조사하여 가장 낮은 명령어 코드로 변경할 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 바이크 코드를 대표값으로 바꿀 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 단위 숫자로 채우고, 나머지 영역을 복수 문자로 채울 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 규칙성 있는 문자열로 채우고, 나머지 영역을 복수 문자로 채울 수 있다.
상기 파일 변환부는, 상기 변환 파일을 압축하며,상기 변환 파일 저장부는, 상기 파일 변환부가 압축한 상기 변환 파일을 저장할 수 있다.
상기 파일 변환부는, 상기 원본 파일을 규칙성 있게 변환하는 단순화 과정을 통해 상기 변환 파일의 압축률을 향상시킬 수 있다.
본 발명의 제 4 관점에 따른 시그너쳐 생성 방법은, 기 설정된 파일 변환 규칙을 파악하여 상기 파일 변환 규칙에 따라 정상 파일과 감염 파일을 분석하는 단계와, 상기 정상 파일과 상기 감염 파일의 분석 결과를 바탕으로 하여 상기 파일 변환 규칙에 따라 상기 정상 파일과 상기 감염 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 제 1 변환 파일과 제 2 변환 파일을 생성하는 단계와, 상기 제 1 변환 파일과 상기 제 2 변환 파일을 상호 비교하여 그 비교 결과에 따라 상이한 영역에서 시그너쳐를 추출하는 단계와, 추출한 상기 시그너쳐를 데이터베이스에 저장하는 단계를 포함할 수 있다.
여기서, 상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 기 설정 크기의 비트 값을 단위 비트로 치환할 수 있다.
상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 상대적으로 더 작은 크기의 비트로 치환할 수 있다.
상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 단위 비트로 치환할 수 있다.
상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 임의로 기본값을 정하여 기록할 수 있다.
상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 명령어 코드에 대해 빈도수를 조사하여 가장 낮은 명령어 코드로 변경할 수 있다.
상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 바이크 코드를 대표값으로 바꿀 수 있다.
상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 단위 숫자로 채우고, 나머지 영역을 복수 문자로 채울 수 있다.
상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 규칙성 있는 문자열로 채우고, 나머지 영역을 복수 문자로 채울 수 있다.
본 발명의 제 5 관점으로서, 상기 제 4 관점에 따른 상기 시그너쳐 생성 방법들 중에서 어느 하나의 파일 가공 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명의 제 6 관점에 따른 시그너쳐 생성 장치는, 정상 파일 또는 감염 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 변환 파일을 생성하기 위한 파일 변환 규칙을 저장하는 변환 규칙 저장부와, 상기 파일 변환 규칙을 파악하여 상기 파일 변환 규칙에 따라 상기 정상 파일 또는 상기 감염 파일을 분석하는 파일 분석부와, 상기 파일 분석부로부터 상기 정상 파일 또는 상기 감염 파일의 분석 결과를 제공받아 상기 파일 변환 규칙에 의거하여 상기 정상 파일로부터 제 1 변환 파일을 생성하거나 상기 감염 파일로부터 제 2 변환 파일을 생성하는 파일 변환부와, 상기 제 1 변환 파일과 상기 제 2 변환 파일을 상호 비교하여 그 비교 결과에 따라 상이한 영역에서 시그너쳐를 추출하는 시그너쳐 추출부와, 상기 시그너쳐 추출부가 추출한 상기 시그너쳐를 저장하는 시그너쳐 데이터베이스를 포함할 수 있다.
여기서, 상기 파일 변환부는, 상기 파일 변환 규칙에 따라 기 설정 크기의 비트 값을 단위 비트로 치환할 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 상대적으로 더 작은 크기의 비트로 치환할 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 단위 비트로 치환할 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 임의로 기본값을 정하여 기록할 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 명령어 코드에 대해 빈도수를 조사하여 가장 낮은 명령어 코드로 변경할 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 바이크 코드를 대표값으로 바꿀 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 단위 숫자로 채우고, 나머지 영역을 복수 문자로 채울 수 있다.
상기 파일 변환부는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 규칙성 있는 문자열로 채우고, 나머지 영역을 복수 문자로 채울 수 있다.
상기 파일 변환부는, 상기 변환 파일을 압축하며, 상기 변환 파일 저장부는, 상기 파일 변환부가 압축한 상기 변환 파일을 저장할 수 있다.
상기 파일 변환부는, 상기 원본 파일을 규칙성 있게 변환하는 단순화 과정을 통해 상기 변환 파일의 압축률을 향상시킬 수 있다.
본 발명의 실시예에 의하면, 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 변환 파일을 생성하며, 이 변환 파일을 오진 검증에 이용할 수 있도록 한다. 따라서, 원본 파일의 유통 보안성을 제공하여 기업체에서는 보안에 대한 부담감 없이 원본 파일, 즉 오진 검증을 위한 정상 파일을 제공할 수 있으며, 보안업체에서는 손쉽게 오진 검증을 위한 정상 파일들을 수집할 수 있다.
아울러, 원본 파일을 규칙성 있게 변환하는 단순화 과정을 통해 변환 파일을 생성하므로 파일의 압축률을 향상시켜 유통의 편리성이 제고된다.
그리고, 원본 파일로부터 생성한 변환 파일을 파일 진단을 위한 시그너쳐를 생성할 때 또는 기 생성된 시그너쳐를 검증할 때에 이용할 수 있도록 함으로써, 파일 진단 또는 오진 검증에 이용할 수 있는 시그너쳐 데이터베이스를 손쉽게 구축할 수 있는 효과가 있다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그 램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
도 1은 본 발명의 실시예에 따른 파일 가공 장치의 블록 구성도이다.
이에 나타낸 바와 같이 파일 가공 장치(100)는, 파일 분석부(110), 파일 변환부(120), 변환 규칙 저장부(130), 변환 파일 저장부(140) 등을 포함할 수 있다.
변환 규칙 저장부(130)는 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 변환 파일을 생성하기 위한 파일 변환 규칙을 저장한다. 이러한 파일 변환 규칙은 두 가지의 변환 특성을 만족하도록 설계할 수 있다. 첫째는 앞서 기재한 바와 같이 변환 파일로부터 원본 파일의 내용을 추정하거나 복원할 수 없어 야 하는 것이며, 이는 파일의 보안성을 제고하기 위한 것이다. 둘째는 단순화에 의해 파일 압축률이 상승하여야 한다는 것이며, 이는 파일의 경량성을 제고하기 위한 것이다.
파일 변환 규칙을 실시예를 통해 살펴보면 아래와 같다.
실시예1 - 기 설정 크기의 비트 값을 단위 비트로 치환한다. 예컨대, 단위 비트를 1비트로 설정하며, 8비트 값을 찾아서 1로 치환하며, 8비트 값이 없을 경우에는 0으로 치환한다.
실시예2 - 기 설정 크기의 바이트 블록을 상대적으로 더 작은 크기의 비트로 치환한다. 예컨대, 각 8바이트 블록 혹은 더 큰 블록의 값을 4비트로 치환한다.
실시예3 - 기 설정 크기의 바이트 블록의 평균 값을 단위 비트로 치환한다. 예컨대, 단위 비트를 1비트로 설정하며, 각 8바이트 블록을 1비트(0∼F)로 치환한다.
실시예4 - 0을 제외한 값을 임의로 기본값을 정하여 기록한다. 예컨대, 0을 제외한 값을 기본값 11로 기록한다.
실시예5 - 복수의 명령어 코드에 대해 빈도수를 조사하여 가장 낮은 명령어 코드로 변경한다.
실시예6 - 바이트 코드(16 진수)를 대표값으로 바꾼다. 가령 10∼1F를 11로 바꾸며, 20∼2F를 21로 바꾼다.
실시예7 - 값이 있는 원본 코드 영역을 단위 숫자로 채우고, 나머지 영역을 복수 문자로 채운다. 예컨대, 단위 숫자를 단일자리 숫자로 설정하며, 원본 코드 영역은 0으로 채우고, 나머지 영역을 FF로 채운다.
실시예8 - 원본 코드 영역을 규칙성 있는 문자열로 채우고, 나머지 영역을 복수 문자로 채운다. 예컨대, 원본 코드 영역을 00-FF 등 규칙성 있는 문자열로 채우고, 나머지 영역은 FF로 채운다.
이와 같은 파일 변환 규칙들 중에서 어느 하나의 규칙을 선택하여 파일 변환에 이용할 수도 있으며, 복수의 규칙을 선택하여 파일 변환에 이용할 수도 있다. 즉 적어도 하나 이상의 규칙을 선택하여 파일 변화에 이용한다. 이러한 파일 변환 규칙에 의해 원본 파일을 다양한 형태의 패턴 중에서 어느 하나의 패턴을 가지도록 단순화하는 패턴화가 수행된다.
파일 분석부(110)는 변환 규칙 저장부(130)에 저장된 파일 변환 규칙을 파악하며, 파악한 파일 변환 규칙에 따라 원본 파일을 분석하여 그 분석 결과를 파일 변환부(120)에게 제공한다.
파일 변환부(120)는 파일 분석부(110)로부터 원본 파일의 분석 결과를 제공받으며, 변환 규칙 저장부(130)에 저장된 파일 변환 규칙에 의거하여 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공한 변환 파일을 생성한다.
도 3과 도 4에는 파일 분석부(110)로 입력되는 원본 파일(311, 321)과 파일 변환부(120)가 생성하는 변환 파일(313, 323)을 예시하였다. 원본 파일(311)과 변환 파일(313)을 비교하거나 원본 파일(321)과 변환 파일(323)을 비교하여 보면 알 수 있듯이 변환 파일(313, 323)은 원본 파일(311, 321)에 비해 상대적으로 단순화되었음을 알 수 있다. 이와 같은 단순화는 파일 압축률을 상승시키기 위한 것이다. 즉 원본 파일(311, 321)을 그대로 압축하였을 때보다 변환 파일(313, 323)을 압축하였을 때에 훨씬 작은 크기의 파일로 압축된다.
변환 파일 저장부(140)는 파일 변환부(120)에 의해 생성된 변환 파일을 저장한다. 이처럼 변환 파일 저장부(140)에 저장된 변환 파일은 파일 진단을 위한 시그너쳐를 생성할 때와 오진 검증을 할 때에 이용할 수 있다. 예컨대, 오진 검증은 변환 파일 저장부(140)에 저장된 모든 변환 파일을 대상으로 하는 진단에서 모두 정상 파일로 진단하는 지를 검증한다.
이와 같이 구성된 파일 가공 장치(100)에 의한 파일 가공 과정을 도 6의 흐름도를 추가로 참조하여 설명하면 다음과 같다.
먼저, 파일 가공 장치(100)가 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 변환 파일을 생성하는 파일 가공 모드에 진입하며(S401), 파일 분석부(110)는 변환 규칙 저장부(130)에 저장된 파일 변환 규칙을 파악하고(S403), 파악한 파일 변환 규칙에 따라 원본 파일을 분석하여 그 분석 결과를 파일 변환부(120)에게 제공한다(S405). 예컨대, 실시예1의 파일 변환 규칙의 경우에는 원본 파일을 8비트 단위로 구분하여 파일 변환부(120)에게 제공하며, 실시예7의 파일 변환 규칙의 경우에는 원본 파일을 원본 코드 영역과 나머지 영역으로 구분하여 파일 변환부(120)에게 제공한다.
그리고, 파일 변환부(120)는 파일 분석부(110)로부터 원본 파일의 분석 결과를 제공받으며, 변환 규칙 저장부(130)에 저장된 파일 변환 규칙에 의거하여 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공한 변환 파일을 생성한다(S407).
도 4에 예시된 원본 파일(321)과 변환 파일(323)을 비교하여 보면, 원본 파일(321)의 00이 변환 파일(323)에서는 모두 FF로 변경되었고, 사각형으로 구분된 부분은 코드 영역으로서 00이 아닌 수를 이용하여 8바이트 단위로 규칙성을 주는 단순화를 통해 원본 파일(321)을 변환 파일(323)로 가공한 것이다.
아울러, 파일 변환부(120)는 파일의 경량성을 제고하기 위해 변환 파일(313, 323)을 압축하며(S409), 압축한 변환 파일을 변환 파일 저장부(140)에 저장한다(S411). 파일 변환부(120)가 파일 변환 규칙에 따라 한 바이트의 값을 256개에서 16개로 단순화한 경우라면 원본 파일(311, 321)의 크기가 476KB일 때에 변환 파일(313, 323)을 압축하면 54KB의 크기로 줄일 수 있다. 물론 단계 S409를 통한 압축 과정은 파일의 경량성을 향상시켜 유통의 편리성을 제고하기 위한 것이며, 변환 파일(313, 323)에 대한 압축 과정을 거치지 않고 곧바로 변환 파일 저장부(140)에 저장할 수도 있다.
이와 같은 본 발명의 실시예에 따른 파일 가공 장치 및 방법에 의하면, 원본 파일을 이용하여 역추적이 불가능한 변환 파일을 생성함으로써, 원본 파일의 유통 보안성을 제공하여 기업체에서는 보안에 대한 부담감 없이 원본 파일을 제공할 수 있다.
지금까지 설명한 실시 예에서는 파일 분석부(110), 파일 변환부(120), 변환 규칙 저장부(130) 및 변환 파일 저장부(140)가 원본 파일을 가공하여 변환 파일을 생성하는 것에 대해 설명하였지만, 이들은 파일 진단을 위한 시그너쳐를 생성할 때에 또는 기 생성된 시그너쳐를 검증할 때에도 이용할 수 있다. 이러한 시그너쳐 생성 장치 및 방법에 대해 설명하면 다음과 같다.
도 2는 본 발명의 실시예에 따른 시그너쳐 생성 장치의 블록 구성도이다.
이에 나타낸 바와 같이 시그너쳐 생성 장치(200)는, 파일 분석부(110), 파일 변환부(120), 변환 규칙 저장부(130), 변환 파일 저장부(140), 시그너쳐 추출부(210), 시그너쳐 데이터베이스(220) 등을 포함할 수 있다.
변환 규칙 저장부(130)는 도 1을 참조하여 설명한 실시예와 마찬가지로 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 변환 파일을 생성하기 위한 파일 변환 규칙을 저장한다.
파일 분석부(110)는 도 1을 참조하여 설명한 실시예와 마찬가지로 변환 규칙 저장부(130)에 저장된 파일 변환 규칙을 파악하며, 파악한 파일 변환 규칙에 따라 원본 파일을 분석하여 그 분석 결과를 파일 변환부(120)에게 제공한다. 즉, 원본 파일 중에서 정상 파일의 분석 결과와 감염 파일의 분석 결과를 구분하여 파일 변환부(120)에게 제공한다.
파일 변환부(120)는 도 1을 참조하여 설명한 실시예와 마찬가지로 파일 분석부(110)로부터 원본 파일의 분석 결과를 제공받으며, 변환 규칙 저장부(130)에 저장된 파일 변환 규칙에 의거하여 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공한 변환 파일을 생성한다.
도 5에는 파일 변환부(120)가 정상 파일을 가공하여 생성한 변환 파일(331)과 감염 파일을 가공하여 생성한 변환 파일(333)을 예시하였다.
변환 파일 저장부(140)는 파일 변환부(120)에 의해 생성된 변환 파일을 저장한다.
시그너쳐 추출부(210)는 파일 변환부(120)가 정상 파일을 가공하여 생성한 변환 파일(331)과 감염 파일을 가공하여 생성한 변환 파일(333)을 상호 비교하며, 그 비교 결과에 따라 변환 파일(331)과 변환 파일(333)의 상이한 영역에서 시그너쳐를 추출한다.
시그너쳐 데이터베이스(220)는 시그너쳐 추출부(210)에 의해 추출된 시그너쳐를 저장한다. 이처럼 시그너쳐가 저장된 시그너쳐 데이터베이스(220)는 안티바이러스 프로그램이 파일 진단을 할 때에 이용할 수 있다.
이와 같이 구성된 시그너쳐 생성 장치(200)에 의한 시그너쳐 생성 과정을 도 7의 흐름도를 추가로 참조하여 설명하면 다음과 같다.
먼저, 시그너쳐 생성 장치(200)가 파일 진단을 위한 시그너쳐를 생성하는 시그너쳐 생성 모드에 진입하며(S501), 파일 분석부(110)는 변환 규칙 저장부(130)에 저장된 파일 변환 규칙을 파악하고(S503), 파악한 파일 변환 규칙에 따라 원본 파일을 분석하여 그 분석 결과를 파일 변환부(120)에게 제공한다(S505). 예컨대, 실시예1의 파일 변환 규칙의 경우에는 원본 파일을 8비트 단위로 구분하여 파일 변환부(120)에게 제공하며, 실시예7의 파일 변환 규칙의 경우에는 원본 파일을 원본 코 드 영역과 나머지 영역으로 구분하여 파일 변환부(120)에게 제공한다.
그리고, 파일 변환부(120)는 파일 분석부(110)로부터 원본 파일의 분석 결과를 제공받으며, 변환 규칙 저장부(130)에 저장된 파일 변환 규칙에 의거하여 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공한 변환 파일을 생성한 후에 변환 파일을 변환 파일 저장부(140)에 저장한다(S507). 즉 도 5에 예시한 바와 같이 정상 파일을 가공한 변환 파일(331)과 감염 파일을 가공한 변환 파일(333)을 각각 생성한다.
다음으로, 시그너쳐 추출부(210)는 파일 변환부(120)가 정상 파일을 가공하여 생성한 변환 파일(331)과 감염 파일을 가공하여 생성한 변환 파일(333)을 상호 비교하며(S509), 그 비교 결과에 따라 변환 파일(331)과 변환 파일(333)의 상이한 영역에서 시그너쳐를 추출한다(S511). 도 5에 예시한 변환 파일(333)은 0x4F1F0 영역으로부터 악성 코드가 삽입된 경우이다. 변환 파일(331)은 0x41, 0xA1, …, 0xD1, 0xB1 등으로 나열되지만 변환 파일(333)은 0x11, 0xC1, …, 0xB1, 0xF1 등으로 변경되어 있으며, 이렇게 변경된 영역에서 시그너쳐를 추출한다.
끝으로, 시그너쳐 추출부(210)는 감염 파일을 가공하여 생성한 변환 파일(333)에서 추출된 시그너쳐를 저장하며(S513), 이처럼 시그너쳐가 저장된 시그너쳐 데이터베이스(220)는 안티바이러스 프로그램이 파일 진단을 할 때에 또는 기 생성된 시그너쳐를 검증할 때에 이용할 수 있다.
도 1은 본 발명의 실시예에 따른 파일 가공 장치의 블록 구성도,
도 2는 본 발명의 실시예에 따른 시그너쳐 생성 장치의 블록 구성도,
도 3과 도 4는 본 발명의 실시예에 따라 파일 가공 장치 또는 시그너쳐 생성 장치가 이용할 수 있는 원본 파일과 이 원본 파일로부터 생성한 변환 파일의 예시도,
도 5는 본 발명의 실시예에 따라 시그너쳐 생성 장치가 생성할 수 있는 정상 파일에 의한 변환 파일과 감염 파일에 의한 변환 파일의 예시도,
도 6은 본 발명의 실시예에 따른 파일 가공 방법을 설명하기 위한 흐름도,
도 2는 본 발명의 실시예에 따른 시그너쳐 생성 방법을 설명하기 위한 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
100 : 파일 가공 장치 110 : 파일 분석부
120 : 파일 변환부 130 : 변환 규칙 저장부
140 : 변환 파일 저장부 200 : 시그너쳐 생성 장치
210 : 시그너쳐 추출부 220 : 시그너쳐 데이터베이스

Claims (44)

  1. 기 설정된 파일 변환 규칙을 파악하여 상기 파일 변환 규칙에 따라 원본 파일을 분석하는 단계와,
    상기 원본 파일의 분석 결과를 바탕으로 하여 상기 파일 변환 규칙에 따라 상기 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 변환 파일을 생성하는 단계와,
    상기 변환 파일을 저장하는 단계
    를 포함하는 파일 가공 방법.
  2. 제 1 항에 있어서,
    상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 기 설정 크기의 비트 값을 단위 비트로 치환하는
    파일 가공 방법.
  3. 제 1 항에 있어서,
    상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 상대적으로 더 작은 크기의 비트로 치환하는
    파일 가공 방법.
  4. 제 1 항에 있어서,
    상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록의 평균 값을 단위 비트로 치환하는
    파일 가공 방법.
  5. 제 1 항에 있어서,
    상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 임의로 기본값을 정하여 기록하는
    파일 가공 방법.
  6. 제 1 항에 있어서,
    상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 명령어 코드에 대해 빈도수를 조사하여 가장 낮은 명령어 코드로 변경하는
    파일 가공 방법.
  7. 제 1 항에 있어서,
    상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 바이트 코드를 대표값으로 바꾸는
    파일 가공 방법.
  8. 제 1 항에 있어서,
    상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 단위 숫자로 채우고, 나머지 영역을 복수 문자로 채우는
    파일 가공 방법.
  9. 제 1 항에 있어서,
    상기 변환 파일을 생성하는 단계는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 규칙성 있는 문자열로 채우고, 나머지 영역을 복수 문자로 채우는
    파일 가공 방법.
  10. 제 1 항에 있어서,
    상기 저장하는 단계는, 상기 변환 파일을 압축하여 저장하는
    파일 가공 방법.
  11. 제 10 항에 있어서,
    상기 변환 파일을 생성하는 단계는, 상기 원본 파일을 규칙성 있게 변환하는 단순화 과정을 통해 상기 변환 파일의 압축률을 향상시키는
    파일 가공 방법.
  12. 제 1 항 내지 제 10 항 중 어느 한 항의 상기 파일 가공 방법을 수행하는 프 로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체.
  13. 원본 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 변환 파일을 생성하기 위한 파일 변환 규칙을 저장하는 변환 규칙 저장부와,
    상기 파일 변환 규칙을 파악하여 상기 파일 변환 규칙에 따라 상기 원본 파일을 분석하는 파일 분석부와,
    상기 파일 분석부로부터 상기 원본 파일의 분석 결과를 제공받아 상기 파일 변환 규칙에 의거하여 상기 원본 파일로부터 상기 변환 파일을 생성하는 파일 변환부와,
    상기 파일 변환부가 생성한 상기 변환 파일을 저장하는 변환 파일 저장부
    를 포함하는 파일 가공 장치.
  14. 제 13 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 기 설정 크기의 비트 값을 단위 비트로 치환하는
    파일 가공 장치.
  15. 제 13 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 상대적으로 더 작은 크기의 비트로 치환하는
    파일 가공 장치.
  16. 제 13 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 단위 비트로 치환하는
    파일 가공 장치.
  17. 제 13 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 임의로 기본값을 정하여 기록하는
    파일 가공 장치.
  18. 제 13 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 명령어 코드에 대한 빈도수를 조사하여 가장 낮은 명령어 코드로 변경하는
    파일 가공 장치.
  19. 제 13 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 바이트 코드를 대표값으로 바꾸는
    파일 가공 장치.
  20. 제 13 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 단위 숫자로 채우고, 나머지 영역을 복수 문자로 채우는
    파일 가공 장치.
  21. 제 13 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 규칙성 있는 문자열로 채우고, 나머지 영역을 복수 문자로 채우는
    파일 가공 장치.
  22. 제 13 항에 있어서,
    상기 파일 변환부는, 상기 변환 파일을 압축하며,
    상기 변환 파일 저장부는, 상기 파일 변환부가 압축한 상기 변환 파일을 저장하는
    파일 가공 장치.
  23. 제 22 항에 있어서,
    상기 파일 변환부는, 상기 원본 파일을 규칙성 있게 변환하는 단순화 과정을 통해 상기 변환 파일의 압축률을 향상시키는
    파일 가공 장치.
  24. 기 설정된 파일 변환 규칙을 파악하여 상기 파일 변환 규칙에 따라 정상 파일과 감염 파일을 분석하는 단계와,
    상기 정상 파일과 상기 감염 파일의 분석 결과를 바탕으로 하여 상기 파일 변환 규칙에 따라 상기 정상 파일과 상기 감염 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 제 1 변환 파일과 제 2 변환 파일을 생성하는 단계와,
    상기 제 1 변환 파일과 상기 제 2 변환 파일을 상호 비교하여 그 비교 결과에 따라 상이한 영역에서 시그너쳐를 추출하는 단계와,
    추출한 상기 시그너쳐를 데이터베이스에 저장하는 단계
    를 포함하는 시그너쳐 생성 방법.
  25. 제 24 항에 있어서,
    상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 기 설정 크기의 비트 값을 단위 비트로 치환하는
    시그너쳐 생성 방법.
  26. 제 24 항에 있어서,
    상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 상대적으로 더 작은 크기의 비트로 치환하는
    시그너쳐 생성 방법.
  27. 제 24 항에 있어서,
    상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 단위 비트로 치환하는
    시그너쳐 생성 방법.
  28. 제 24 항에 있어서,
    상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 임의로 기본값을 정하여 기록하는
    시그너쳐 생성 방법.
  29. 제 24 항에 있어서,
    상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 명령어 코드에 대해 빈도수를 조사하여 가장 낮은 명령어 코드로 변경하는
    시그너쳐 생성 방법.
  30. 제 24 항에 있어서,
    상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 바이트 코드를 대표값으 로 바꾸는
    시그너쳐 생성 방법.
  31. 제 24 항에 있어서,
    상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 단위 숫자로 채우고, 나머지 영역을 복수 문자로 채우는
    시그너쳐 생성 방법.
  32. 제 24 항에 있어서,
    상기 생성하는 단계는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 규칙성 있는 문자열로 채우고, 나머지 영역을 복수 문자로 채우는
    시그너쳐 생성 방법.
  33. 제 24 항 내지 제 32 항 중 어느 한 항의 상기 시그너쳐 생성 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체.
  34. 정상 파일 또는 감염 파일을 그 내용을 추정하거나 복원할 수 없는 형태로 가공하여 변환 파일을 생성하기 위한 파일 변환 규칙을 저장하는 변환 규칙 저장부와,
    상기 파일 변환 규칙을 파악하여 상기 파일 변환 규칙에 따라 상기 정상 파 일 또는 상기 감염 파일을 분석하는 파일 분석부와,
    상기 파일 분석부로부터 상기 정상 파일 또는 상기 감염 파일의 분석 결과를 제공받아 상기 파일 변환 규칙에 의거하여 상기 정상 파일로부터 제 1 변환 파일을 생성하거나 상기 감염 파일로부터 제 2 변환 파일을 생성하는 파일 변환부와,
    상기 제 1 변환 파일과 상기 제 2 변환 파일을 상호 비교하여 그 비교 결과에 따라 상이한 영역에서 시그너쳐를 추출하는 시그너쳐 추출부와,
    상기 시그너쳐 추출부가 추출한 상기 시그너쳐를 저장하는 시그너쳐 데이터베이스
    를 포함하는 시그너쳐 생성 장치.
  35. 제 34 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 기 설정 크기의 비트 값을 단위 비트로 치환하는
    시그너쳐 생성 장치.
  36. 제 34 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 상대적으로 더 작은 크기의 비트로 치환하는
    시그너쳐 생성 장치.
  37. 제 34 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 기 설정 크기의 바이트 블록을 단위 비트로 치환하는
    시그너쳐 생성 장치.
  38. 제 34 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 임의로 기본값을 정하여 기록하는
    시그너쳐 생성 장치.
  39. 제 34 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 명령어 코드에 대해 빈도수를 조사하여 가장 낮은 명령어 코드로 변경하는
    시그너쳐 생성 장치.
  40. 제 34 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 바이트 코드를 대표값으로 바꾸는
    시그너쳐 생성 장치.
  41. 제 34 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 단위 숫자로 채우고, 나머지 영역을 복수 문자로 채우는
    시그너쳐 생성 장치.
  42. 제 34 항에 있어서,
    상기 파일 변환부는, 상기 파일 변환 규칙에 따라 원본 코드 영역을 규칙성 있는 문자열로 채우고, 나머지 영역을 복수 문자로 채우는
    시그너쳐 생성 장치.
  43. 제 34 항에 있어서,
    상기 파일 변환부는, 상기 변환 파일을 압축하며,
    상기 변환 파일 저장부는, 상기 파일 변환부가 압축한 상기 변환 파일을 저장하는
    시그너쳐 생성 장치.
  44. 제 34 항에 있어서,
    상기 파일 변환부는, 상기 원본 파일을 규칙성 있게 변환하는 단순화 과정을 통해 상기 변환 파일의 압축률을 향상시키는
    시그너쳐 생성 장치.
KR1020090072504A 2009-08-06 2009-08-06 파일 가공 방법과 장치, 시그너쳐 생성 방법과 장치, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 KR101228901B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090072504A KR101228901B1 (ko) 2009-08-06 2009-08-06 파일 가공 방법과 장치, 시그너쳐 생성 방법과 장치, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090072504A KR101228901B1 (ko) 2009-08-06 2009-08-06 파일 가공 방법과 장치, 시그너쳐 생성 방법과 장치, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체

Publications (2)

Publication Number Publication Date
KR20110014903A true KR20110014903A (ko) 2011-02-14
KR101228901B1 KR101228901B1 (ko) 2013-02-06

Family

ID=43773889

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090072504A KR101228901B1 (ko) 2009-08-06 2009-08-06 파일 가공 방법과 장치, 시그너쳐 생성 방법과 장치, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체

Country Status (1)

Country Link
KR (1) KR101228901B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101282477B1 (ko) * 2011-09-30 2013-08-23 에스케이씨앤씨 주식회사 데이터 변조 방법 및 시스템
CN105938535A (zh) * 2015-09-18 2016-09-14 重庆邮电大学 一种提高计算机文件安全性的处理方法
WO2018016830A1 (ko) * 2016-07-18 2018-01-25 한양대학교 산학협력단 파일 암호화 방지 장치 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050116962A (ko) * 2004-06-09 2005-12-14 주식회사 퓨쳐위즈 저작권 보호를 위한 파일의 제공장치와 재생장치 및파일의 변환 방법과 재생 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101282477B1 (ko) * 2011-09-30 2013-08-23 에스케이씨앤씨 주식회사 데이터 변조 방법 및 시스템
CN105938535A (zh) * 2015-09-18 2016-09-14 重庆邮电大学 一种提高计算机文件安全性的处理方法
WO2018016830A1 (ko) * 2016-07-18 2018-01-25 한양대학교 산학협력단 파일 암호화 방지 장치 및 방법

Also Published As

Publication number Publication date
KR101228901B1 (ko) 2013-02-06

Similar Documents

Publication Publication Date Title
Shaukat et al. RansomWall: A layered defense system against cryptographic ransomware attacks using machine learning
Scaife et al. Cryptolock (and drop it): stopping ransomware attacks on user data
Ma et al. Cdrep: Automatic repair of cryptographic misuses in android applications
Liu et al. SQLProb: a proxy-based architecture towards preventing SQL injection attacks
JP6636096B2 (ja) マルウェア検出モデルの機械学習のシステムおよび方法
RU2486588C1 (ru) Система и способ эффективного лечения компьютера от вредоносных программ и последствий их работы
US8713681B2 (en) System and method for detecting executable machine instructions in a data stream
Caballero et al. Input generation via decomposition and re-stitching: Finding bugs in malware
Jethva et al. Multilayer ransomware detection using grouped registry key operations, file entropy and file signature monitoring
Muralidharan et al. File packing from the malware perspective: Techniques, analysis approaches, and directions for enhancements
Karbab et al. Fingerprinting Android packaging: Generating DNAs for malware detection
Poudyal et al. Analysis of crypto-ransomware using ML-based multi-level profiling
US11824883B2 (en) Variable DCF security scores and data threat portfolio views
Vehabovic et al. Ransomware detection and classification strategies
Kardile Crypto ransomware analysis and detection using process monitor
Cicala et al. Analysis of encryption key generation in modern crypto ransomware
KR101228901B1 (ko) 파일 가공 방법과 장치, 시그너쳐 생성 방법과 장치, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체
Awad et al. Volatile Memory Extraction-Based Approach for Level 0‐1 CPS Forensics
CN110955897A (zh) 基于大数据的软件研发安全管控可视化方法及系统
CN109033818B (zh) 终端、验证方法和计算机可读存储介质
Masid et al. Application of the SAMA methodology to Ryuk malware
Dubin Content disarm and reconstruction of PDF files
CN115906184B (zh) 一种控制进程访问文件的方法、装置、介质及电子设备
Abusnaina et al. Burning the adversarial bridges: Robust windows malware detection against binary-level mutations
Rahaman et al. CHIRON: deployment-quality detection of Java cryptographic vulnerabilities

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160128

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180129

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190128

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200128

Year of fee payment: 8