WO2021045312A1 - 해시 코드 기반의 검색 장치 및 검색 방법 - Google Patents

Abstract

본 발명은 해시 코드 기반의 검색 장치 및 검색 방법에 관한 것으로, 실시예들 중에서, 문서에서 적어도 하나의 토큰을 포함하는 토큰 집합을 추출하는 토큰 집합 추출부, N개(상기 N은 자연수)의 해시 함수 각각을 상기 적어도 하나의 토큰에 적용하여 N 개의 해시 코드를 생성하는 해시 코드 생성부 및 상기 N 개의 해시 코드로 상기 문서에 대한 인덱싱을 수행하여 검색용 인덱스를 생성하는 인덱스 생성부를 포함한다.

Description

해시 코드 기반의 검색 장치 및 검색 방법

본 발명은 해시 코드 기반의 검색 기술에 관한 것으로, 보다 상세하게는, 문서에 관한 인덱스 저장공간을 줄이고 문서의 검색 속도를 향상시킬 수 있는 해시 코드 기반의 검색 장치 및 검색 방법에 관한 것이다.

인터넷 및 컴퓨터 기술이 지속적으로 개발됨에 따라, 이는 전세계 사람들에게 일반적으로 보급되었다. 또한, 인터넷 및 컴퓨터 기술의 지속적인 개발에 따라, 이러한 기술을 악용하여 부당한 이익을 챙기려는 시도도 증가하고 있다. 예를 들면, 악성코드(Malware)를 사용자들의 컴퓨터에 설치 및 배포하여, 사용자들로부터 부당한 이익을 챙기는 방법이 증가하고 있다. 여기서, 악성코드(Malware)란, 컴퓨터 사용자의 승인 없이 컴퓨터에 침투하거나 설치되어, 악의적인 행동을 하는 프로그램을 의미한다. 이러한 새로운 악성코드와 변종 악성코드는 'AV-TEST'(Anti-Virus 시험기관) 통계 기준으로 하루에 평균 390,000개가 발생하고 있으며 특히 악성코드 자신을 숨기는 다양한 방법들이 시도되고, 자동화 변조 보급되는 패턴을 보이고도 있다.

현재의 악성코드 탐지 기술은 시그니처(Signature) 기반의 패턴탐지가 핵심을 이루고 있고, 악성코드의 패턴은 분석가에 의하여 수작업으로 분석되며, 악성코드 패턴(Pattern)을 추출하여 악성코드 데이터베이스에 등록하여 비교하고 있다.

본 발명의 일 실시예는 문서에 관한 인덱스 저장공간을 줄이고 문서의 검색 속도를 향상시킬 수 있는 해시 함수 기반의 검색 장치 및 방법을 제공하고자 한다.

본 발명의 일 실시예는 사용자의 검색어를 기초로 문서 들을 검색하고 문서들 간의 유사도를 순서화 하여 제시할 수 있는 해시 함수 기반의 검색 장치 및 방법을 제공하고자 한다.

본 발명의 일 실시예는 문서가 수신되면 문서에 대해 슁글링(shingling)을 하고 최소 해시 함수(MinHash)를 적용하여 해시 코드로 변환하고 기존의 악성코드와 유사 여부를 결정하여, 문서의 악성 여부를 결정할 수 있는 해시 함수 기반의 검색 장치 및 방법을 제공하고자 한다.

실시예들 중에서, 문서에서 적어도 하나의 토큰을 포함하는 토큰 집합을 추출하는 토큰 집합 추출부, N개(상기 N은 자연수)의 해시 함수 각각을 상기 적어도 하나의 토큰에 적용하여 N 개의 해시 코드를 생성하는 해시 코드 생성부 및 상기 N 개의 해시 코드로 상기 문서에 대한 인덱싱을 수행하여 검색용 인덱스를 생성하는 인덱스 생성부를 포함한다.

상기 토큰 집합 추출부는 상기 문서에 대한 N-gram 기반의 슁글링 연산(shingling operation)을 수행하여 상기 적어도 하나의 토큰을 생성할 수 있다.

상기 토큰 집합 추출부는 상기 문서에 대한 N-gram 기반의 슁글링 연산을 수행하여 상기 적어도 하나의 토큰을 생성하고 중복되는 토큰 뒤에 숫자를 붙여 유지시킬 수 있다.

상기 토큰 집합 추출부는 상기 문서에 대한 N-gram 기반의 슁글링 연산을 수행하여 상기 적어도 하나의 토큰을 생성하고 중복되는 토큰을 제거할 수 있다.

상기 해시 코드 생성부는 상기 N 개의 해시 함수를 결정하고, 상기 N 개의 해시 함수 중 하나를 상기 적어도 하나의 토큰에 적용하여 하나의 해시 코드를 생성할 수 있다.

상기 해시 코드 생성부는 상기 문서의 유형을 기초로 해시 함수 모집단에서 상기 N 개의 해시 함수를 선택할 수 있다.

상기 해시 코드 생성부는 상기 N 개의 해시 함수 각각을 최소 해시 함수(MinHash function)로 구성하여 각각이 상기 적어도 하나의 토큰을 입력 받아 가장 작은 값을 가지는 최소 값을 상기 해시 코드로 결정할 수 있다.

상기 인덱스 생성부는 상기 N 개의 해시 코드를 고정된 크기의 인덱스 집합으로 구성하여 상기 문서의 인덱스 저장 용량을 감소시킬 수 있다.

실시예들 중에서, 상기 토큰 집합 추출부, 상기 해시 코드 생성부 및 상기 인덱스 생성부에 검색어를 입력 받고 상기 검색어와 상기 검색용 인덱스 간의 유사도를 기초로 상기 문서를 검색하는 문서 검색부를 더 포함할 수 있다.

상기 해시 코드 기반의 검색 장치는 상기 문서를 악성코드로 수신하여 상기 검색용 인덱스를 악성코드 용 인덱스로 생성할 수 있다.

실시예들 중에서, 문서에서 적어도 하나의 토큰을 포함하는 토큰 집합을 추출하는 단계, N개(상기 N은 자연수)의 해시 함수 각각을 상기 적어도 하나의 토큰에 적용하여 N 개의 해시 코드를 생성하는 단계 및 상기 N 개의 해시 코드로 상기 문서에 대한 인덱싱을 수행하여 검색용 인덱스를 생성하는 단계를 포함한다.

개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.

본 발명의 일 실시예에 따른 해시 함수 기반의 검색장치 및 검색방법은 문서에 대한 슁글링(Shingling)과 최소 해시 함수(Minhash)의 적용을 통해 인덱스 저장공간을 줄이고 문서의 검색 속도를 향상시킬 수 있다.

본 발명의 일 실시예에 따른 해시 함수 기반의 검색장치 및 검색방법은 최소 해시 함수(Minhash)의 적용을 통해 문서들 간의 유사도를 자카드 유사도(Jaccard Similarity)의 순서와 동일하게 순서화 하여 제시할 수 있다.

본 발명의 일 실시예에 따른 해시 함수 기반의 검색장치 및 검색방법은 문서가 수신되면 문서에 대해 슁글링(shingling)을 하고 최소 해시 함수(MinHash)를 적용하여 해시 코드로 변환하고 기존의 악성코드와 유사 여부를 결정하여, 문서의 악성 여부를 결정할 수 있는 해시 함수 기반의 검색 장치 및 방법을 제공하고자 한다.

도 1은 본 발명의 일 실시예에 따른 해시 코드 기반의 검색 시스템을 설명하는 도면이다.

도 2는 도 1에 있는 해시 코드 기반의 검색 장치의 물리적 구성을 설명하는 블록도이다.

도 3은 도 1에 있는 해시 코드 기반의 검색 장치의 기능적 구성을 설명하는 블록도이다.

도 4는 도 1에 있는 해시 코드 기반의 검색 장치에서 수행되는 검색 과정을 설명하는 순서도이다.

도 5는 일반적인 역 인덱스(Inverted indexing)검색 방법과 최소 해시 함수(MinHash)를 이용한 검색 방법들을 비교한 도면이다.

본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다 거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.

한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.

"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.

어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.

본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽힐 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.

여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.

도 1은 본 발명의 일 실시예에 따른 해시 코드 기반의 검색 시스템(100)을 설명하는 도면이다.

도 1을 참조하면, 해시 코드 기반의 검색 시스템(100)은 사용자 단말(110), 해시 코드 기반의 검색 장치(130) 및 해시 함수 모집단 데이터베이스(150)를 포함할 수 있다.

사용자 단말(110)은 해시 코드 기반의 검색 장치(130)와 네트워크를 통해 연결될 수 있고 검색어를 입력할 수 있는 컴퓨팅 장치에 해당할 수 있고, 예를 들어, 반드시 이에 한정되지 않지만, 스마트폰, 노트북, 태블릿 PC 또는 컴퓨터로 구현될 수 있다. 사용자 단말(110)은 해시 코드 기반의 검색 장치(130)과 블루투스, WiFi와 같은 무선 네트워크를 통해 연결될 수 있거나 또는 유선 네트워크를 통해 연결될 수 있다. 사용자 단말(110)은 문서 또는 문서의 일 종류로서 악성코드를 해시 코드 기반의 검색 장치(130)에 제공할 수 있다.

해시 코드 기반의 검색 장치(130)는 컴퓨팅 서버로 구현될 수 있고, 사용자 단말(110)로부터 검색어를 입력 받으며 기존의 문서와 유사도를 판단하여 가장 유사한 문서 또는 가장 유사한 문서를 기초로 생성된 검색 결과를 사용자 단말(110)에 제공할 수 있다. 일 실시예에서, 가장 유사한 문서는 단수 혹은 복수에 해당할 수 있고, 복수인 경우, 가장 유사한 순서대로 Y 개(Y는 자연수)를 제공할 수 있다.

해시 코드 기반의 검색 장치(130)는 프로세서(210), 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)를 포함할 수 있으며, 이에 대해서는 도 2에서 보다 자세히 설명한다.

해시 함수 모집단 데이터베이스(150)는 독립적인 장치에 의해 운용 되어 논리적으로 단일 데이터베이스를 구성할 수 있고, 적어도 N개 이상의 해시 함수의 데이터를 저장한다. 해시 함수 모집단 데이터베이스(150)는 해시 코드 기반의 검색 장치(130)의 요청에 따라 해시 함수를 해시 코드 기반의 검색 장치(130)에 전송할 수 있다. 일 실시예에서, 해시 함수 모집단 데이터베이스(150)는 문서의 유형을 수신하여 해시 함수를 결정할 수 있다. 다른 일 실시예에서, 해시 함수 모집단 데이터베이스(150)는 별도의 요청이 없는 경우에는 랜덤하게 해시 함수를 결정할 수 있다.

도 2는 도 1에 있는 해시 코드 기반의 검색 장치(130)의 물리적 구성을 설명하는 블록도이다.

도 2를 참조하면, 해시 코드 기반의 검색 장치(130)는 프로세서(210), 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)를 포함한다.

프로세서(210)는 사용자의 요청에 따라 해시 함수를 생성하여 제공하는 과정에서의 동작들을 처리하는 각 프로시저를 실행할 수 있고, 그 과정 전반에서 읽혀지거나 작성되는 메모리(230)를 관리할 수 있으며, 메모리(230)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄 할 수 있다. 프로세서(210)는 해시 코드 기반의 검색 장치(130)의 동작 전반을 제어할 수 있고, 메모리(230), 사용자 입출력부(250) 및 네트워크 입출력부(270)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(210)는 해시 코드 기반의 검색 장치(130)의 CPU(Central Processing Unit)로 구현될 수 있다.

메모리(230)는 SSD(Solid State Disk) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 해시 코드 기반의 검색 장치(130)에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다.

사용자 입출력부(250)는 사용자 입력을 수신하기 위한 환경 및 사용자에게 특정 정보를 출력하기 위한 환경을 포함할 수 있다. 예를 들어, 사용자 입출력부(250)는 터치 패드, 터치 스크린, 화상 키보드 또는 포인팅 장치와 같은 어댑터를 포함하는 입력장치 및 모니터 또는 터치스크린과 같은 어댑터를 포함하는 출력장치를 포함할 수 있다. 일 실시예에서, 사용자 입출력부(250)는 원격 접속을 통해 접속되는 컴퓨팅 장치에 해당할 수 있고, 그러한 경우, 해시 코드 기반의 검색 장치(130)는 서버로서 수행될 수 있다.

네트워크 입출력부(270)은 네트워크를 통해 외부 장치 또는 시스템과 연결하기 위한 환경을 포함하고, 예를 들어, LAN(Local Area Network), MAN(Metropolitan Area Network), WAN(Wide Area Network) 및 VAN(Value Added Network) 등의 통신을 위한 어댑터를 포함할 수 있다.

도 3은 도 1에 있는 해시 코드 기반의 검색 장치(130)의 기능적 구성을 설명하는 블록도이다.

도 3을 참조하면, 해시 코드 기반의 검색 장치(130)는 토큰 집합 추출부(310), 해시 코드 생성부(330), 인덱스 생성부(350), 검색부(370) 및 제어부(390)를 포함한다.

토큰 집합 추출부(310)는 문서를 토큰 집합으로 추출할 수 있고, 토큰 집합은 적어도 하나의 토큰(Token)을 포함한다. 여기에서, 문서는 텍스트 파일 또는 이진 파일에 해당할 수 있다. 토큰(Token)은 주어진 문서에서 가장 적은 단위의 분류 요소로서, 예를 들어, 텍스트 문서의 경우 단어에 해당할 수 있고, 이진 문서의 경우 이진 스트링에 해당할 수 있다. 일 실시예에서, 토큰은 사용자에 의해 미리 규정된 분리자(separator)에 의해 구분된 문서 절편에 해당할 수 있다. 예를 들어, 분리자는 사용자 정의 문자 또는 스페이스, 콤마, 콜론, 세미콜론과 같은 특수 문자에 해당할 수 있다.

일 실시예에서, 토큰 집합 추출부(310)는 N-gram 기반의 슁글링 연산(shingling operation)을 수행하여 적어도 하나의 토큰을 생성할 수 있다. N-gram이란 긴 길이의 문서를 나누는 것으로, 문서를 토큰으로 분해할 때 사용될 수 있고, 문서에 있는 토큰의 크기를 제어할 수 있다. 보다 구체적으로, N-gram은 토큰의 크기를 기초로 1-gram, Bi-gram 및 Tri-gram 방식으로 분류될 수 있다. 예를 들어, 토큰 집합 추출부(310)는 문서가 (rose is a rose)를 포함하는 경우, 1-gram을 통해 {(rose),(is),(a),(rose)}의 토큰집합을 획득할 수 있고, Bi-gram을 통해 {(roese,is),(is,a),(a,rose)}의 토큰집합을 획득할 수 있다.

일 실시예에서, 토큰 집합 추출부(310)는 N-gram 기반의 슁글링 연산을 수행하여 적어도 하나의 토큰을 생성하고, 토큰이 중복되는 경우에는 중복되는 토큰 뒤에 중복 회수를 포함시킬 수 있다. 예를 들어, 토큰 집합 추출부(310)는 문서가 (a rose is a rose is a rose)를 포함하고 크기 4의 슁글(shingle)이 적용되는 경우에는, {(a,rose,is,a,1), (rose,is,a,rose,1), (is,a,rose,is,1), (a,rose,is,a,2), (rose,is,a,rose,2)}의 토큰집합을 얻을 수 있다.

일 실시예에서, 토큰 집합 추출부(310)는 N-gram 기반의 슁글링 연산을 수행하여 적어도 하나의 토큰을 생성하고 중복되는 토큰을 제거할 수 있다. 예를 들어, 토큰 집합 추출부(310)는 문서가 (a rose is a rose is a rose)를 포함하고 크기 4의 슁글(shingle)이 적용되는 경우에는, {(a,rose,is,a), (rose,is,a,rose), (is,a,rose,is)}의 토큰집합을 얻을 수 있다.

해시 코드 생성부(330)는 N개(N은 자연수)의 해시 함수(Hash Function) 각각을 적어도 하나의 토큰에 적용하여 N 개의 해시 코드를 생성할 수 있다. 해시 코드 생성부(330)는 문서가 토큰 집합으로 분해되면 토큰 집합에 대해 해시 함수를 적용하여 해시 코드를 결정할 수 있고, 이러한 적용 및 결정 과정을 N번 반복하여 N 개의 해시 함수로 N 개의 해시 코드를 생성할 수 있다. 해시 코드 생성부(330)는 해시 함수를 가변적 개수를 가지는 토큰으로 구성된 토큰 집합에 적용하여 고정된 길이의 해시 코드를 생성할 수 있고, 예를 들어, 해시 코드는 해시값을 기초로 산출될 수 있다. 해시 코드 생성부(330)는 해시 함수로서 최소 해시 함수(MinHash Function)를 채용할 수 있고, 최소 해시 함수를 통해 상대적으로 CPU, 메모리와 같은 시스템 자원을 적게 소모하여 검색속도를 증가시킬 수 있다. 최소 해시 함수는 도 5를 참조하여 후술한다.

해시 코드 생성부(330)는 N 개의 해시 함수를 결정할 수 있다. 일 실시예에서, 해시 코드 생성부(330)는 해시 코드의 고정 크기를 기초로 해시 함수를 결정할 수 있고, 예를 들어, 해시 코드 생성부(330)는 해시 함수가 32bit, 64bit, 128bit, 160bit, 192bit, 224bit, 256bit, 512bit, 1024bit 또는 2056bit의 출력 값을 가지도록 결정할 수 있다. 다른 일 실시예에서, 해시 코드 생성부(330)는 문서의 유형을 기초로 해시 함수 모집단에서 N 개의 해시 함수를 선택할 수 있다. 예를 들어, 해시 코드 생성부(330)는 문서가 텍스트 파일에 해당하는 경우에는 상대적으로 고정 크기가 큰 해시 코드를 출력하는 해시 함수를 선택할 수 있다. 다른 예를 들어, 해시 코드 생성부(330)는 문서가 이진 파일에 해당하는 경우에는 상대적으로 고정 크기가 적은 해시 코드를 출력하는 해시 함수를 선택할 수 있다.

일 실시예에서, 해시 코드 생성부(330)는 N 개의 해시 함수 각각을 최소 해시 함수(Minhash)로 구성하여 각각이 적어도 하나의 토큰을 입력 받아 가장 작은 값을 가지는 최소 값을 해시 코드로 결정할 수 있다. 해시 코드 생성부(330)는 최소 해시 함수를 구성하기 위해 슁글 들로 구성된 행렬(Matrix)을 생성하고, 행렬의 각 행(row)은 하나의 문서로 간주될 수 있다. 다음으로, 해시 코드 생성부(330)는 행렬의 열(column) 인덱스를 셔플한 셔플 리스트(permutation)를 다수 생성하고, 각 열에 대해 셔플한 리스트를 1~n 까지 순서대로 확인하면서, 1이 나오면 시그니처 매트릭스(signature matrix)를 셔플 리스트 번호로 채운다.

다른 일 실시예에서, 해시 코드 생성부(330)는 N 개의 해시 함수 중 M (M은 N보다 작은 자연수) 개를 최소 해시 함수(Minhash)로 구성하고 (N-M) 개를 최대 해시 함수(MaxHash)로 구성하여 각각이 적어도 하나의 토큰을 입력 받아 최소 값 또는 최대 값을 해시 코드로 결정할 수 있다.

인덱스 생성부(350)는 N 개의 해시 코드를 고정된 크기의 인덱스 집합으로 구성하여 문서의 인덱스 저장 용량을 감소시킬 수 있다. 일래스틱 서치(elastic search)는 문서에 대해 슁글링(shingling)하여 곧바로 인덱싱 하기 때문에 저장 용량이 늘어나는 단점이 있다. 인덱스 생성부(350)는 고정된 크기의 해시 코드에 인덱싱 하여 저장 용량을 절약할 수 있다. 일 실시예에서, 문서에 대해 슁글링을 하고 최소 해시 함수를 적용한 후에 인덱싱을 하는 경우, 해시 코드 기반의 검색 장치(130)는 검색어에 슁글링을 하고 최소 해시 함수를 적용한 해시코드와 이상의 문서에 대한 인덱싱파일 간의 유사도를 검출하면 되므로 기 저장된 문서와 인덱싱파일을 삭제하여 저장공간을 절약할 수 있다.

검색부(370)는 검색어를 입력 받고 검색어와 검색용 인덱스 간의 유사도를 기초로 문서를 검색할 수 있다. 일 실시예에서, 검색부(370)는 일반 문서의 경우, 일반 문서의 경우, 토큰 집합 추출부(310), 해시 코드 생성부(330) 및 인덱스 생성부(350)에 의해 생성된 문서의 인덱스 값과 검색어의 해시코드 값을 비교한다.

다른 일 실시예에서, 검색부(370)는 악성코드 문서의 경우, 토큰 집합 추출부(310), 해시 코드 생성부(330) 및 인덱스 생성부(350)에 의해 생성된 악성코드 문서의 인덱스 값과 입력되는 문서의 해시코드 값을 비교한다.일 실시예에서, 검색부(370)는 유사도를 검사하는 과정에서 자카드 유사도(Jaccard similarity)를 이용할 수 있다. 2 개의 슁글링 된 집합 A 및 B 간의 자카드 지수는 다음의 [수학식 1]과 같이 산출된다.

[수학식 1]

이다.

예를 들어, 검색부(370)는 검색어와 인덱싱 된 문서 사이의 유사도에 대해서 자카드 유사도를 이용하여 최대값을 1로 하는 유사도를 산출할 수 있다. 자카드 지수는 2 개의 토큰 집합이 동일한 경우 1의 값을 가지고 2 개의 토큰 집합에 공통의 원소가 존재하지 않는다면 0의 값을 가진다.

일 실시예에서, 검색부(370)는 문서의 슁글링 집합을 삭제하지 않은 경우에는 검색어의 슁글링 집합과 문서의 슁글링 집합을 비교하여 자카드 유사도를 검출하여 문서와 검색어간 유사도를 판단할 수 있다.

일 실시예에서, 검색부(370)는 문서의 슁글링 집합을 삭제한 경우에는 문서의 인덱싱 되어 있는 고정된 개수의 해시값과 검색어의 고정된 개수의 해시값을 이용하여 자카드 유사도를 검출하여 문서와 검색어간 유사도를 판단할 수 있다. 예를 들어, 1 번 문서에 대해 슁글링을 적용하여 도출된 집합을 X, 2 번 문서에 대해 슁글링을 적용하여 도출된 집합을 Y라 하고 각각의 집합 X, Y에 대해 크기가 k인 최소 해시 함수를 적용한 집합은 X`, Y` 이라 한다면, 아래와 같이 [수학식2]로 나타낼 수 있다.

[수학식2]

문서의 인덱싱 되어 있는 고정된 개수의 해시값과 검색어의 고정된 개수의 해시값 간의 자카드 유사도는 문서의 슁글링 집합과 검색어의 슁글링 집합 간의 자카드 유사도와 비슷하다. 이에 대해서는 도 5에서 자세히 알아본다.

도 4는 도 1에 있는 해시 코드 기반의 검색 장치(130)에서 수행되는 검색 과정을 설명하는 순서도이다.

도 4에서, 해시 코드 기반의 검색 장치(130)에서 수행되는 검색 과정(400)은 단계들 S410 내지 S470을 포함한다.

해시 코드 기반의 검색 장치(130)는 토큰 집합 추출부(310)를 통해 문서에 대해 슁글링 연산을 수행하여 토큰 집합을 추출할 수 있다(단계 S410). 토큰 집합을 추출하는 단계(S410)는 해시 함수를 적용할 대상을 만드는 과정이다. 일 실시예에서, 문서 또는 악성코드 집합에 대해 N-gram기반의 슁글링 연산을 수행하여 토큰을 생성할 수 있다.

해시 코드 기반의 검색 장치(130)는 해시 코드 생성부(330)를 통해 N 개의 해시 함수에 토큰 집합을 대입하여 N 개의 해시 코드를 생성할 수 있다(단계 S430). 해시 코드를 생성하는 단계(S430)는 토큰 집합을 추출하는 단계(S410)에서 추출된 토큰에 대해 N개의 해시 함수를 적용하여 N 개의 해시 코드를 생성하는 단계로서, 인덱싱을 하기 위한 전처리 과정이다.

해시 코드 기반의 검색 장치(130)는 인덱스 생성부(350)를 통해 N 개의 해시 코드를 인덱스 할 수 있다(단계 S450). N 개의 해시 코드를 인덱스 하는 단계(S450)는 고정된 크기의 해시 코드를 인덱싱하여, 저장공간을 줄이는 과정이다.

해시 코드 기반의 검색 장치(130)는 검색부(370)를 통해 검색어를 입력 받고 검색어와 문서 간의 유사도를 기초로 검색할 수 있다(단계 S470). 검색어와 문서 간의 유사도를 기초로 검색하는 단계(S470)는 일 실시예에서, 유사도를 검사하는 과정에서 자카드 유사도를 이용할 수 있다.

도 5는 일반적인 역 인덱스(Inverted indexing) 검색 방법과 최소 해시 함수(MinHash)를 이용한 검색 방법을 비교한 도면이다.

도 5a는 일반적인 역 인덱스 검색 방법을 설명하고, 도 5b는 최소 해시 함수를 이용한 검색 방법을 설명한다.

도 5a에서, 일반적인 역 인덱스 검색 방법은 A1(510), B1(520) 집합과 임의적인 Q1집합(530)간의 구성요소의 유사도를 판단하는데 사용될 수 있다. Q1집합(530) 및 A1집합(510) 또는 B1집합(520) 간의 유사도는 Q1집합(530)과 A1집합(510) 간의 3가지 구성요소가 동일하므로 Q1집합(530)과 A1집합(510) 간의 유사도가 더 높다는 결과가 도출된다. 하지만 Q1집합(530) 및 A1집합(510) 또는 B1집합(520) 간의 자카드 지수(Jaccard Index) 값은 J(A1,Q1)=3/10이고 J(B1,Q1)=2/6으로 B1집합(520)과 Q1집합(530) 간의 자카드 지수 값이 더 높다. 일반적인 역 인덱스 검색 방법은 유사한 구성요소의 개수와 자카드 지수의 순서가 동일하지 않다는 문제 뿐만 아니라, A1(510), B1(520) 집합의 크기가 큰 경우에는 검색속도의 감소라는 문제점을 가지고 있다.

일 실시예에서, 최소 해시 함수 기반의 역 인덱스 검색 방법은 최소 해시 함수의 개수에 의해 파일의 사이즈가 결정된다는 점에서 일반적인 역 인덱스 검색 방법의 저장용량 및 속도문제를 해결하고 유사도 순서에 따라 높은 자카드 지수 값을 보장할 수 있다. 도 5b의 최소 해시 함수 기반의 역 인덱스 검색 방법을 살펴보면, 최소 해시 함수(540)의 사이즈를 3으로 하여 A2(551), B2(561) 그리고 Q2(571)를 대입하여 A2`(552), B2`(562), Q2`(572) 값을 구할 수 있다. Q2`집합(572)과 A2`집합(552) 또는 B2`집합(562)간의 유사도를 측정해 보면, 다음과 같은 [수학식 3]가 도출된다.

[수학식 3]

이러한 결과는 J(B2,Q2)>J(A2,Q2)라는 결과와 동일한 결과이다.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

본 발명을 지원한 국가연구개발사업

과제고유번호:1711093221

부처명:과학기술정보통신부

연구관리전문기관:정보통신기획평가원

연구사업명:정보보호핵심원천기술개발(R＆D)

연구과제명:보안 빅데이터 자동 분석을 위한 실시간 유사도 측정 원천 기술 연구

기여율:1/2

주관기관:국민대학교산학협력단

연구기간:2019.01.01~2019.12.31

본 발명을 지원한 국가연구개발사업

과제고유번호:1711082836

부처명:과학기술정보통신부

연구관리전문기관:정보통신기획평가원

연구사업명:정보보호핵심원천기술개발(R＆D)

연구과제명:I/O 분포를 이용한 행위 기반의 랜섬웨어 탐지 기술

기여율:1/2

주관기관:인하대학교산학협력단

연구기간:2019.01.01~2019.12.31

[부호의 설명]

100: 해시 코드 기반의 검색 시스템

110: 사용자 단말 130: 해시 코드 기반의 검색 장치

150: 해시 함수 모집단 데이터베이스

210: 프로세서 230: 메모리

250: 사용자 입출력부 270: 네트워크 입출력부

310: 토큰 집합 추출부 330: 해시 코드 생성부

350: 인덱스 생성부 370: 검색부

390: 제어부

510: A1집합 520: B1집합

530: Q1집합

540: 최소 해시 함수(Minhash)

551: A2집합 552: A2`집합

561: B2집합 562: B2`집합

571: Q2집합 572: Q2`집합

Claims (11)

1. 문서에서 적어도 하나의 토큰을 포함하는 토큰 집합을 추출하는 토큰 집합 추출부;

   N개(상기 N은 자연수)의 해시 함수 각각을 상기 적어도 하나의 토큰에 적용하여 N 개의 해시 코드를 생성하는 해시 코드 생성부; 및

   상기 N 개의 해시 코드로 상기 문서에 대한 인덱싱을 수행하여 검색용 인덱스를 생성하는 인덱스 생성부를 포함하는 해시 코드 기반의 검색 장치.
2. 제1항에 있어서, 상기 토큰 집합 추출부는

   상기 문서에 대한 N-gram 기반의 슁글링 연산(shingling operation)을 수행하여 상기 적어도 하나의 토큰을 생성하는 것을 특징으로 하는 해시 코드 기반의 검색 장치.
3. 제1항에 있어서, 상기 토큰 집합 추출부는

   상기 문서에 대한 N-gram 기반의 슁글링 연산을 수행하여 상기 적어도 하나의 토큰을 생성하고 중복되는 토큰 뒤에 숫자를 붙여 유지시키는 것을 특징으로 하는 해시 코드 기반의 검색 장치.
4. 제1항에 있어서, 상기 토큰 집합 추출부는

   상기 문서에 대한 N-gram 기반의 슁글링 연산을 수행하여 상기 적어도 하나의 토큰을 생성하고 중복되는 토큰을 제거하는 것을 특징으로 하는 해시 코드 기반의 검색 장치.
5. 제1항에 있어서, 상기 해시 코드 생성부는

   상기 N 개의 해시 함수를 결정하고, 상기 N 개의 해시 함수 중 하나를 상기 적어도 하나의 토큰에 적용하여 하나의 해시 코드를 생성하는 것을 특징으로 하는 해시 코드 기반의 검색 장치.
6. 제5항에 있어서, 상기 해시 코드 생성부는

   상기 문서의 유형을 기초로 해시 함수 모집단에서 상기 N 개의 해시 함수를 선택하는 것을 특징으로 하는 해시 코드 기반의 검색 장치.
7. 제1항에 있어서, 상기 해시 코드 생성부는

   상기 N 개의 해시 함수 각각을 최소 해시 함수(MinHash function)로 구성하여 각각이 상기 적어도 하나의 토큰을 입력 받아 가장 작은 값을 가지는 최소 값을 상기 해시 코드로 결정하는 것을 특징으로 하는 해시 코드 기반의 검색 장치.
8. 제1항에 있어서, 상기 인덱스 생성부는

   상기 N 개의 해시 코드를 고정된 크기의 인덱스 집합으로 구성하여 상기 문서의 인덱스 저장 용량을 감소시키는 것을 특징으로 하는 해시 코드 기반의 검색 장치.
9. 제1항에 있어서,

   검색어를 입력 받고 상기 검색어와 상기 검색용 인덱스 간의 유사도를 기초로 상기 문서를 검색하는 문서 검색부를 더 포함하는 것을 특징으로 하는 해시 코드 기반의 검색 장치.
10. 제1항에 있어서, 상기 해시 코드 기반의 검색 장치는

    상기 문서를 악성코드로 수신하여 상기 검색용 인덱스를 악성코드 용 인덱스로 생성하는 것을 특징으로 하는 해시 코드 기반의 검색 장치.
11. 문서에서 적어도 하나의 토큰을 포함하는 토큰 집합을 추출하는 단계;

    N개(상기 N은 자연수)의 해시 함수 각각을 상기 적어도 하나의 토큰에 적용하여 N 개의 해시 코드를 생성하는 단계; 및

    상기 N 개의 해시 코드로 상기 문서에 대한 인덱싱을 수행하여 검색용 인덱스를 생성하는 단계를 포함하는 해시 코드 기반의 검색 방법.

Images