METHOD FOR CLASSIFYING MALICIOUS CODE BY USING SEQUENCE OF FUNCTIONS' EXECUTION AND DEVICE USING THE SAME
본 발명에 따르면, 악성코드를 분류하는 방법으로서, (a) 미확인 코드가 실행되면, 장치가, 상기 미확인 코드의 실행 과정에서 호출되는 적어도 하나의 특정 호출 함수 정보 - 상기 특정 호출 함수 정보는, 전체 호출 함수 정보에 대응되는 전체 행위 기반 키워드 중 특정 행위 기반 키워드에 대응되는 함수 정보임 - 및 상기 특정 호출 함수 정보에 대응되는 호출 순서 정보를 참조로 하여, 제1 시퀀스를 획득하는 단계; (b) 상기 장치가, 복수의 과거 악성코드에 대응되는 복수의 참조 시퀀스 - 상기 복수의 참조 시퀀스는 소정의 데이터베...
Gespeichert in:
| Hauptverfasser: | , |
|---|---|
| Format: | Patent |
| Sprache: | eng ; kor |
| Schlagworte: | |
| Online-Zugang: | Volltext bestellen |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| container_end_page | |
|---|---|
| container_issue | |
| container_start_page | |
| container_title | |
| container_volume | |
| creator | KANG PILL SANG SHIN KANG SIK |
| description | 본 발명에 따르면, 악성코드를 분류하는 방법으로서, (a) 미확인 코드가 실행되면, 장치가, 상기 미확인 코드의 실행 과정에서 호출되는 적어도 하나의 특정 호출 함수 정보 - 상기 특정 호출 함수 정보는, 전체 호출 함수 정보에 대응되는 전체 행위 기반 키워드 중 특정 행위 기반 키워드에 대응되는 함수 정보임 - 및 상기 특정 호출 함수 정보에 대응되는 호출 순서 정보를 참조로 하여, 제1 시퀀스를 획득하는 단계; (b) 상기 장치가, 복수의 과거 악성코드에 대응되는 복수의 참조 시퀀스 - 상기 복수의 참조 시퀀스는 소정의 데이터베이스에 저장되어 있음 - 중 적어도 하나의 제2 시퀀스와 상기 제1 시퀀스를 참조로 하여, 상기 제1 시퀀스와 상기 제2 시퀀스의 유사도를 판단하는 단계; 및 (c) 상기 유사도가 제1 임계치 이상인 것으로 판단되는 경우, 상기 장치가, 상기 유사도를 판단할 때 참조된 상기 제2 시퀀스에 대응되는 특정 과거 악성코드와 상기 제1 시퀀스에 대응되는 상기 미확인 코드를 동일한 특정 악성코드 클러스터 - 상기 특정 악성코드 클러스터는 상기 특정 과거 악성코드에 대응되는 악성코드 클러스터임 - 에 포함되는 것으로 판단하고, 상기 유사도가 상기 제1 임계치 미만인 것으로 판단되는 경우, 상기 장치가, 상기 미확인 코드를 별도 검사 대상으로 분류하는 단계; 를 포함하되, 상기 행위 기반 키워드는, 상기 전체 호출 함수 각각을 행위 별로 분류할 수 있도록 사전에 정해진 키워드로서 'FindFirst', 'FindNext', 'CreateFile', 'OpenFile', 'WriteFile', 'CloseHandle', 'Process', 'Crypt' 및 'SetFile' 키워드를 포함하는 것을 특징으로 하며, 상기 (a) 단계 이전에, (a0) 상기 장치가, 상기 데이터베이스에 저장된 상기 복수의 참조 시퀀스를, 복수의 악성코드 클러스터 중 어느 악성코드 클러스터에 속하는지 분류하는 단계; 를 더 포함하고, 상기 (b) 단계는, 상기 장치가, 상기 복수의 악성코드 클러스터 중 상기 특정 악성코드 클러스터에서 상기 제2 시퀀스를 선택하는 것을 특징으로 하며, 상기 (b) 단계에서, 상기 유사도의 판단은, 상기 장치가, (i) 상기 제1 시퀀스의 길이값 및 상기 제2 시퀀스의 길이값들의 평균인 제1 평균값을 계산하여, 상기 제1 시퀀스 및 상기 제2 시퀀스 중에서 상기 제1 평균값을 초과하는 길이의 시퀀스를 제외한 나머지 시퀀스의 길이값들의 평균인 제2 평균값을 구하는 프로세스, (ii) 상기 제2 시퀀스 중 적어도 일부와 상기 제1 시퀀스의 조합을 참조로 하여 적어도 하나의 최장공통부분시퀀스(Longest Common Subsequence, LCS)를 구하는 프로세스, 및 (iii) 상기 LCS의 길이값들 중 가장 큰 값을 상기 제2 평균값으로 나누어 획득된 결과값을 참조로 하여 유사도를 판단하는 프로세스를 수행함에 의하여 이루어지는 것을 특징으로 하고, 상기 (a) 단계에서, 상기 제1 시퀀스에, 상기 특정 행위 기반 키워드 중 악의적인 영향을 주지 않는 함수의 행위 기반 키워드에 대응되는 구성요소가 둘 이상 연속하여 포함된 경우, 상기 장치가, 상기 구성요소를 병합하여 상기 제1 시퀀스를 업데이트하는 것을 특징으로 하는 악성코드 분류 방법이 제공된다. |
| format | Patent |
| fullrecord | <record><control><sourceid>epo_EVB</sourceid><recordid>TN_cdi_epo_espacenet_KR102068605BB1</recordid><sourceformat>XML</sourceformat><sourcesystem>PC</sourcesystem><sourcerecordid>KR102068605BB1</sourcerecordid><originalsourceid>FETCH-epo_espacenet_KR102068605BB13</originalsourceid><addsrcrecordid>eNqNi0EKwjAQRbtxIeodBly4ElrF4jadTGywTWgnEbsqRSIIooV6f7ToAVz9x-P9aXQryeVWgrI1YCGYtWq0OUApCo3aega0kiBrwPPomSpPBgmsAuUNOm0Nr4DOhH5kEEaCpJP-JN-HywlYlDSPJtfuPoTFb2fRUpHDfB36ZxuGvruER3i1xzqJN3G6T-NdliXb_6o3CEU2hA</addsrcrecordid><sourcetype>Open Access Repository</sourcetype><iscdi>true</iscdi><recordtype>patent</recordtype></control><display><type>patent</type><title>METHOD FOR CLASSIFYING MALICIOUS CODE BY USING SEQUENCE OF FUNCTIONS' EXECUTION AND DEVICE USING THE SAME</title><source>esp@cenet</source><creator>KANG PILL SANG ; SHIN KANG SIK</creator><creatorcontrib>KANG PILL SANG ; SHIN KANG SIK</creatorcontrib><description>본 발명에 따르면, 악성코드를 분류하는 방법으로서, (a) 미확인 코드가 실행되면, 장치가, 상기 미확인 코드의 실행 과정에서 호출되는 적어도 하나의 특정 호출 함수 정보 - 상기 특정 호출 함수 정보는, 전체 호출 함수 정보에 대응되는 전체 행위 기반 키워드 중 특정 행위 기반 키워드에 대응되는 함수 정보임 - 및 상기 특정 호출 함수 정보에 대응되는 호출 순서 정보를 참조로 하여, 제1 시퀀스를 획득하는 단계; (b) 상기 장치가, 복수의 과거 악성코드에 대응되는 복수의 참조 시퀀스 - 상기 복수의 참조 시퀀스는 소정의 데이터베이스에 저장되어 있음 - 중 적어도 하나의 제2 시퀀스와 상기 제1 시퀀스를 참조로 하여, 상기 제1 시퀀스와 상기 제2 시퀀스의 유사도를 판단하는 단계; 및 (c) 상기 유사도가 제1 임계치 이상인 것으로 판단되는 경우, 상기 장치가, 상기 유사도를 판단할 때 참조된 상기 제2 시퀀스에 대응되는 특정 과거 악성코드와 상기 제1 시퀀스에 대응되는 상기 미확인 코드를 동일한 특정 악성코드 클러스터 - 상기 특정 악성코드 클러스터는 상기 특정 과거 악성코드에 대응되는 악성코드 클러스터임 - 에 포함되는 것으로 판단하고, 상기 유사도가 상기 제1 임계치 미만인 것으로 판단되는 경우, 상기 장치가, 상기 미확인 코드를 별도 검사 대상으로 분류하는 단계; 를 포함하되, 상기 행위 기반 키워드는, 상기 전체 호출 함수 각각을 행위 별로 분류할 수 있도록 사전에 정해진 키워드로서 'FindFirst', 'FindNext', 'CreateFile', 'OpenFile', 'WriteFile', 'CloseHandle', 'Process', 'Crypt' 및 'SetFile' 키워드를 포함하는 것을 특징으로 하며, 상기 (a) 단계 이전에, (a0) 상기 장치가, 상기 데이터베이스에 저장된 상기 복수의 참조 시퀀스를, 복수의 악성코드 클러스터 중 어느 악성코드 클러스터에 속하는지 분류하는 단계; 를 더 포함하고, 상기 (b) 단계는, 상기 장치가, 상기 복수의 악성코드 클러스터 중 상기 특정 악성코드 클러스터에서 상기 제2 시퀀스를 선택하는 것을 특징으로 하며, 상기 (b) 단계에서, 상기 유사도의 판단은, 상기 장치가, (i) 상기 제1 시퀀스의 길이값 및 상기 제2 시퀀스의 길이값들의 평균인 제1 평균값을 계산하여, 상기 제1 시퀀스 및 상기 제2 시퀀스 중에서 상기 제1 평균값을 초과하는 길이의 시퀀스를 제외한 나머지 시퀀스의 길이값들의 평균인 제2 평균값을 구하는 프로세스, (ii) 상기 제2 시퀀스 중 적어도 일부와 상기 제1 시퀀스의 조합을 참조로 하여 적어도 하나의 최장공통부분시퀀스(Longest Common Subsequence, LCS)를 구하는 프로세스, 및 (iii) 상기 LCS의 길이값들 중 가장 큰 값을 상기 제2 평균값으로 나누어 획득된 결과값을 참조로 하여 유사도를 판단하는 프로세스를 수행함에 의하여 이루어지는 것을 특징으로 하고, 상기 (a) 단계에서, 상기 제1 시퀀스에, 상기 특정 행위 기반 키워드 중 악의적인 영향을 주지 않는 함수의 행위 기반 키워드에 대응되는 구성요소가 둘 이상 연속하여 포함된 경우, 상기 장치가, 상기 구성요소를 병합하여 상기 제1 시퀀스를 업데이트하는 것을 특징으로 하는 악성코드 분류 방법이 제공된다.</description><language>eng ; kor</language><subject>CALCULATING ; COMPUTING ; COUNTING ; ELECTRIC DIGITAL DATA PROCESSING ; PHYSICS</subject><creationdate>2020</creationdate><oa>free_for_read</oa><woscitedreferencessubscribed>false</woscitedreferencessubscribed></display><links><openurl>$$Topenurl_article</openurl><openurlfulltext>$$Topenurlfull_article</openurlfulltext><thumbnail>$$Tsyndetics_thumb_exl</thumbnail><linktohtml>$$Uhttps://worldwide.espacenet.com/publicationDetails/biblio?FT=D&date=20200121&DB=EPODOC&CC=KR&NR=102068605B1$$EHTML$$P50$$Gepo$$Hfree_for_read</linktohtml><link.rule.ids>230,308,780,885,25562,76317</link.rule.ids><linktorsrc>$$Uhttps://worldwide.espacenet.com/publicationDetails/biblio?FT=D&date=20200121&DB=EPODOC&CC=KR&NR=102068605B1$$EView_record_in_European_Patent_Office$$FView_record_in_$$GEuropean_Patent_Office$$Hfree_for_read</linktorsrc></links><search><creatorcontrib>KANG PILL SANG</creatorcontrib><creatorcontrib>SHIN KANG SIK</creatorcontrib><title>METHOD FOR CLASSIFYING MALICIOUS CODE BY USING SEQUENCE OF FUNCTIONS' EXECUTION AND DEVICE USING THE SAME</title><description>본 발명에 따르면, 악성코드를 분류하는 방법으로서, (a) 미확인 코드가 실행되면, 장치가, 상기 미확인 코드의 실행 과정에서 호출되는 적어도 하나의 특정 호출 함수 정보 - 상기 특정 호출 함수 정보는, 전체 호출 함수 정보에 대응되는 전체 행위 기반 키워드 중 특정 행위 기반 키워드에 대응되는 함수 정보임 - 및 상기 특정 호출 함수 정보에 대응되는 호출 순서 정보를 참조로 하여, 제1 시퀀스를 획득하는 단계; (b) 상기 장치가, 복수의 과거 악성코드에 대응되는 복수의 참조 시퀀스 - 상기 복수의 참조 시퀀스는 소정의 데이터베이스에 저장되어 있음 - 중 적어도 하나의 제2 시퀀스와 상기 제1 시퀀스를 참조로 하여, 상기 제1 시퀀스와 상기 제2 시퀀스의 유사도를 판단하는 단계; 및 (c) 상기 유사도가 제1 임계치 이상인 것으로 판단되는 경우, 상기 장치가, 상기 유사도를 판단할 때 참조된 상기 제2 시퀀스에 대응되는 특정 과거 악성코드와 상기 제1 시퀀스에 대응되는 상기 미확인 코드를 동일한 특정 악성코드 클러스터 - 상기 특정 악성코드 클러스터는 상기 특정 과거 악성코드에 대응되는 악성코드 클러스터임 - 에 포함되는 것으로 판단하고, 상기 유사도가 상기 제1 임계치 미만인 것으로 판단되는 경우, 상기 장치가, 상기 미확인 코드를 별도 검사 대상으로 분류하는 단계; 를 포함하되, 상기 행위 기반 키워드는, 상기 전체 호출 함수 각각을 행위 별로 분류할 수 있도록 사전에 정해진 키워드로서 'FindFirst', 'FindNext', 'CreateFile', 'OpenFile', 'WriteFile', 'CloseHandle', 'Process', 'Crypt' 및 'SetFile' 키워드를 포함하는 것을 특징으로 하며, 상기 (a) 단계 이전에, (a0) 상기 장치가, 상기 데이터베이스에 저장된 상기 복수의 참조 시퀀스를, 복수의 악성코드 클러스터 중 어느 악성코드 클러스터에 속하는지 분류하는 단계; 를 더 포함하고, 상기 (b) 단계는, 상기 장치가, 상기 복수의 악성코드 클러스터 중 상기 특정 악성코드 클러스터에서 상기 제2 시퀀스를 선택하는 것을 특징으로 하며, 상기 (b) 단계에서, 상기 유사도의 판단은, 상기 장치가, (i) 상기 제1 시퀀스의 길이값 및 상기 제2 시퀀스의 길이값들의 평균인 제1 평균값을 계산하여, 상기 제1 시퀀스 및 상기 제2 시퀀스 중에서 상기 제1 평균값을 초과하는 길이의 시퀀스를 제외한 나머지 시퀀스의 길이값들의 평균인 제2 평균값을 구하는 프로세스, (ii) 상기 제2 시퀀스 중 적어도 일부와 상기 제1 시퀀스의 조합을 참조로 하여 적어도 하나의 최장공통부분시퀀스(Longest Common Subsequence, LCS)를 구하는 프로세스, 및 (iii) 상기 LCS의 길이값들 중 가장 큰 값을 상기 제2 평균값으로 나누어 획득된 결과값을 참조로 하여 유사도를 판단하는 프로세스를 수행함에 의하여 이루어지는 것을 특징으로 하고, 상기 (a) 단계에서, 상기 제1 시퀀스에, 상기 특정 행위 기반 키워드 중 악의적인 영향을 주지 않는 함수의 행위 기반 키워드에 대응되는 구성요소가 둘 이상 연속하여 포함된 경우, 상기 장치가, 상기 구성요소를 병합하여 상기 제1 시퀀스를 업데이트하는 것을 특징으로 하는 악성코드 분류 방법이 제공된다.</description><subject>CALCULATING</subject><subject>COMPUTING</subject><subject>COUNTING</subject><subject>ELECTRIC DIGITAL DATA PROCESSING</subject><subject>PHYSICS</subject><fulltext>true</fulltext><rsrctype>patent</rsrctype><creationdate>2020</creationdate><recordtype>patent</recordtype><sourceid>EVB</sourceid><recordid>eNqNi0EKwjAQRbtxIeodBly4ElrF4jadTGywTWgnEbsqRSIIooV6f7ToAVz9x-P9aXQryeVWgrI1YCGYtWq0OUApCo3aega0kiBrwPPomSpPBgmsAuUNOm0Nr4DOhH5kEEaCpJP-JN-HywlYlDSPJtfuPoTFb2fRUpHDfB36ZxuGvruER3i1xzqJN3G6T-NdliXb_6o3CEU2hA</recordid><startdate>20200121</startdate><enddate>20200121</enddate><creator>KANG PILL SANG</creator><creator>SHIN KANG SIK</creator><scope>EVB</scope></search><sort><creationdate>20200121</creationdate><title>METHOD FOR CLASSIFYING MALICIOUS CODE BY USING SEQUENCE OF FUNCTIONS' EXECUTION AND DEVICE USING THE SAME</title><author>KANG PILL SANG ; SHIN KANG SIK</author></sort><facets><frbrtype>5</frbrtype><frbrgroupid>cdi_FETCH-epo_espacenet_KR102068605BB13</frbrgroupid><rsrctype>patents</rsrctype><prefilter>patents</prefilter><language>eng ; kor</language><creationdate>2020</creationdate><topic>CALCULATING</topic><topic>COMPUTING</topic><topic>COUNTING</topic><topic>ELECTRIC DIGITAL DATA PROCESSING</topic><topic>PHYSICS</topic><toplevel>online_resources</toplevel><creatorcontrib>KANG PILL SANG</creatorcontrib><creatorcontrib>SHIN KANG SIK</creatorcontrib><collection>esp@cenet</collection></facets><delivery><delcategory>Remote Search Resource</delcategory><fulltext>fulltext_linktorsrc</fulltext></delivery><addata><au>KANG PILL SANG</au><au>SHIN KANG SIK</au><format>patent</format><genre>patent</genre><ristype>GEN</ristype><title>METHOD FOR CLASSIFYING MALICIOUS CODE BY USING SEQUENCE OF FUNCTIONS' EXECUTION AND DEVICE USING THE SAME</title><date>2020-01-21</date><risdate>2020</risdate><abstract>본 발명에 따르면, 악성코드를 분류하는 방법으로서, (a) 미확인 코드가 실행되면, 장치가, 상기 미확인 코드의 실행 과정에서 호출되는 적어도 하나의 특정 호출 함수 정보 - 상기 특정 호출 함수 정보는, 전체 호출 함수 정보에 대응되는 전체 행위 기반 키워드 중 특정 행위 기반 키워드에 대응되는 함수 정보임 - 및 상기 특정 호출 함수 정보에 대응되는 호출 순서 정보를 참조로 하여, 제1 시퀀스를 획득하는 단계; (b) 상기 장치가, 복수의 과거 악성코드에 대응되는 복수의 참조 시퀀스 - 상기 복수의 참조 시퀀스는 소정의 데이터베이스에 저장되어 있음 - 중 적어도 하나의 제2 시퀀스와 상기 제1 시퀀스를 참조로 하여, 상기 제1 시퀀스와 상기 제2 시퀀스의 유사도를 판단하는 단계; 및 (c) 상기 유사도가 제1 임계치 이상인 것으로 판단되는 경우, 상기 장치가, 상기 유사도를 판단할 때 참조된 상기 제2 시퀀스에 대응되는 특정 과거 악성코드와 상기 제1 시퀀스에 대응되는 상기 미확인 코드를 동일한 특정 악성코드 클러스터 - 상기 특정 악성코드 클러스터는 상기 특정 과거 악성코드에 대응되는 악성코드 클러스터임 - 에 포함되는 것으로 판단하고, 상기 유사도가 상기 제1 임계치 미만인 것으로 판단되는 경우, 상기 장치가, 상기 미확인 코드를 별도 검사 대상으로 분류하는 단계; 를 포함하되, 상기 행위 기반 키워드는, 상기 전체 호출 함수 각각을 행위 별로 분류할 수 있도록 사전에 정해진 키워드로서 'FindFirst', 'FindNext', 'CreateFile', 'OpenFile', 'WriteFile', 'CloseHandle', 'Process', 'Crypt' 및 'SetFile' 키워드를 포함하는 것을 특징으로 하며, 상기 (a) 단계 이전에, (a0) 상기 장치가, 상기 데이터베이스에 저장된 상기 복수의 참조 시퀀스를, 복수의 악성코드 클러스터 중 어느 악성코드 클러스터에 속하는지 분류하는 단계; 를 더 포함하고, 상기 (b) 단계는, 상기 장치가, 상기 복수의 악성코드 클러스터 중 상기 특정 악성코드 클러스터에서 상기 제2 시퀀스를 선택하는 것을 특징으로 하며, 상기 (b) 단계에서, 상기 유사도의 판단은, 상기 장치가, (i) 상기 제1 시퀀스의 길이값 및 상기 제2 시퀀스의 길이값들의 평균인 제1 평균값을 계산하여, 상기 제1 시퀀스 및 상기 제2 시퀀스 중에서 상기 제1 평균값을 초과하는 길이의 시퀀스를 제외한 나머지 시퀀스의 길이값들의 평균인 제2 평균값을 구하는 프로세스, (ii) 상기 제2 시퀀스 중 적어도 일부와 상기 제1 시퀀스의 조합을 참조로 하여 적어도 하나의 최장공통부분시퀀스(Longest Common Subsequence, LCS)를 구하는 프로세스, 및 (iii) 상기 LCS의 길이값들 중 가장 큰 값을 상기 제2 평균값으로 나누어 획득된 결과값을 참조로 하여 유사도를 판단하는 프로세스를 수행함에 의하여 이루어지는 것을 특징으로 하고, 상기 (a) 단계에서, 상기 제1 시퀀스에, 상기 특정 행위 기반 키워드 중 악의적인 영향을 주지 않는 함수의 행위 기반 키워드에 대응되는 구성요소가 둘 이상 연속하여 포함된 경우, 상기 장치가, 상기 구성요소를 병합하여 상기 제1 시퀀스를 업데이트하는 것을 특징으로 하는 악성코드 분류 방법이 제공된다.</abstract><oa>free_for_read</oa></addata></record> |
| fulltext | fulltext_linktorsrc |
| identifier | |
| ispartof | |
| issn | |
| language | eng ; kor |
| recordid | cdi_epo_espacenet_KR102068605BB1 |
| source | esp@cenet |
| subjects | CALCULATING COMPUTING COUNTING ELECTRIC DIGITAL DATA PROCESSING PHYSICS |
| title | METHOD FOR CLASSIFYING MALICIOUS CODE BY USING SEQUENCE OF FUNCTIONS' EXECUTION AND DEVICE USING THE SAME |
| url | https://sfx.bib-bvb.de/sfx_tum?ctx_ver=Z39.88-2004&ctx_enc=info:ofi/enc:UTF-8&ctx_tim=2025-01-10T09%3A16%3A36IST&url_ver=Z39.88-2004&url_ctx_fmt=infofi/fmt:kev:mtx:ctx&rfr_id=info:sid/primo.exlibrisgroup.com:primo3-Article-epo_EVB&rft_val_fmt=info:ofi/fmt:kev:mtx:patent&rft.genre=patent&rft.au=KANG%20PILL%20SANG&rft.date=2020-01-21&rft_id=info:doi/&rft_dat=%3Cepo_EVB%3EKR102068605BB1%3C/epo_EVB%3E%3Curl%3E%3C/url%3E&disable_directlink=true&sfx.directlink=off&sfx.report_link=0&rft_id=info:oai/&rft_id=info:pmid/&rfr_iscdi=true |