KR101711882B1 - 악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기 - Google Patents

악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기 Download PDF

Info

Publication number
KR101711882B1
KR101711882B1 KR1020150166482A KR20150166482A KR101711882B1 KR 101711882 B1 KR101711882 B1 KR 101711882B1 KR 1020150166482 A KR1020150166482 A KR 1020150166482A KR 20150166482 A KR20150166482 A KR 20150166482A KR 101711882 B1 KR101711882 B1 KR 101711882B1
Authority
KR
South Korea
Prior art keywords
file
detection model
type
detected
entropy
Prior art date
Application number
KR1020150166482A
Other languages
English (en)
Other versions
KR20170003356A (ko
Inventor
즈앙 장
창쿤 즈하오
리앙 카오
지키앙 동
Original Assignee
이윤티안 시오., 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이윤티안 시오., 엘티디. filed Critical 이윤티안 시오., 엘티디.
Publication of KR20170003356A publication Critical patent/KR20170003356A/ko
Application granted granted Critical
Publication of KR101711882B1 publication Critical patent/KR101711882B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • G06F15/18
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N99/00Subject matter not provided for in other groups of this subclass
    • GPHYSICS
    • G10MUSICAL INSTRUMENTS; ACOUSTICS
    • G10LSPEECH ANALYSIS TECHNIQUES OR SPEECH SYNTHESIS; SPEECH RECOGNITION; SPEECH OR VOICE PROCESSING TECHNIQUES; SPEECH OR AUDIO CODING OR DECODING
    • G10L19/00Speech or audio signals analysis-synthesis techniques for redundancy reduction, e.g. in vocoders; Coding or decoding of speech or audio signals, using source filter models or psychoacoustic analysis
    • G10L2019/0001Codebooks
    • G10L2019/0013Codebook search algorithms
    • G10L2019/0014Selection criteria for distances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기를 개시한다. 상기 방법의 일 구체적 실시예는, 검출할 파일을 획득하고, 상기 검출할 파일의 엔트로피 벡터를 확정하며, 트레이닝 된 검출 모형을 이용하여 상기 검출할 파일의 엔트로피 벡터를 검출하여 상기 검출할 파일이 악성 취약점 파일인지 확정하되, 상기 검출할 파일의 파일 유형과 상기 검출 모형에 대응하는 파일 유형은 동일하다. 해당 실시예는 검출할 파일의 엔트로피 벡터를 추출하고, 검출할 파일의 엔트로피 벡터를 기반으로 해당 검출할 파일이 악성 취약점 파일인지 확정한다. 기존의 기술에서의 악성 취약점 파일에 대한 스캐닝 속도가 늦고, 스캐닝 능력 및 효율이 낮은 기술적 문제들을 해소하고 악성 취약점 파일의 스캐닝 효율을 향상 시킨다.

Description

악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기{METHOD, DEVICE AND TERMINAL DEVICE FOR DETECTING A MALICIOUS VULNERABILITY FILE}
본 발명은 통상적으로 컴퓨터 기술 분야에 관한 것으로, 보다 상세하게는 취약점 검출 기술 분야에 관한 것이며, 특히 악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기이다.
현재, 컴퓨터 기술이 부단히 발전함에 따라, 컴퓨터는 사람들의 일상생활 속에 광범위하게 응용되고 있으며, 그의 기능 또한 점점 다양해짐으로써 사람들의 생활과 공작에 없어서는 안 될 중요한 도구로 자리 매김을 하였다. 그러나, 일부 사람 또는 단체에서는 선진적 공격 수단을 이용하여 특정 목표물에 대해 장기적이고 지속적인 인터넷 공격을 진행함으로써 악성 코드의 실행 및 민감 정보의 노출을 초래하여 인터넷 안전을 위협하였다.
기존의 악성 취약점 파일을 검출하는 방법은 정적 검출 방법과, 동적으로 실행하는 검출 방법과 같은 두 가지 유형으로 구분되고 있다. 정적 특징을 검출하는 방법은 비교적 자주 이용되는 방법으로, A) 파일 형식의 이상 여부를 통하여 이상 문서를 검출하는 방법; 및 B) 취약점이 이용하는 파일의 고정 특징을 검출하여 이상 문서를 검출하는 방법과 같은 두 가지 방법이 존재한다. 동적으로 검출하는 방법은 일종의 계발적 검출 방법이다. 비교적 고급의 계발적 환경에서는 시뮬레이션 환경을 이용하여 실행할 문서를 실행하고 정상적인 문서에 존재하지 않을 동작들을 검출한다. 문서가 쉘코드(shellcode)(기입 데이터, 취약점 코드에 속함)를 유발할 경우는, 예를 들면, 인터넷을 연결하는 동작, 프로그램을 실행하는 동작, 프로세스를 주입하는 동작 등 문서 자체에 존재하지 않을 동작들이 존재함을 의미한다.
그러나, 정적 검출 방법에 있어서, 문서 구조를 구성하고 쉘코드(shellcode)를 변화함으로써 정적 검출 방법을 아주 쉽게 우회할 수 있다. 따라서, 정적 검출 방법의 계발적 스캐닝 능력은 매우 낮으며, 새로 발생한 악성 취약점 파일에 대해 아무런 스캐닝 능력도 구비하지 못한다. 동적으로 검출을 실행하는 방법에 있어서, 여러 가지 방법으로 동적으로 실행되는 시뮬레이션 환경을 검출할 수 있어, 상응한 바이러스 코드를 유발하지 않으므로 검출 실패를 초래한다. 따라서, 동적으로 검출을 실행하는 방법은 일정한 계발 능력을 구비하나, 효율이 낮고, 속도가 느리며 계발 능력이 너무 높지 못하다.
본 발명은 기존의 기술 중 악성 취약점 파일에 대한 스캐닝 속도가 늦고, 스캐닝 능력 및 효율이 낮은 기술적 문제들을 해소하는 악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기를 제공하고자 한다.
제1 방면에 있어서, 본 발명은 악성 취약점 파일을 검출하기 위한 방법을 제공한다. 상기 방법은, 검출할 파일을 획득하는 단계; 상기 검출할 파일의 엔트로피 벡터를 확정하는 단계; 및 트레이닝 된 검출 모형을 이용하여 상기 검출할 파일의 엔트로피 벡터를 검출하여 상기 검출할 파일이 악성 취약점 파일인지 확정하는 단계를 포함하되, 상기 검출할 파일의 파일 유형과 상기 검출 모형에 대응하는 파일 유형은 동일하다.
일부 실시예에 있어서, 상기 검출 모형은, 파일 유형이 동일하고 안전 유형이 알려진 다수의 파일을 트레이닝 파일로 획득하고, 상기 안전 유형에 따라 상기 트레이닝 파일에 대해 안전 유형의 표시를 진행하고, 상기 트레이닝 파일의 엔트로피 벡터를 확정하고, 상기 트레이닝 파일의 엔트로피 벡터 및 안전 유형 표시를 기반으로 상기 검출 모형을 트레이닝하여 출력하는 방식으로 획득하되, 상기 안전 유형은 악성 취약점 파일 유형 및 비악성 취약점 파일 유형을 포함한다.
일부 실시예에 있어서, 상기 검출 모형을 트레이닝하여 출력하는 단계는, 상기 트레이닝 파일의 엔트로피 벡터 및 안전 유형 표시를 기반으로 초기 검출 모형을 획득하는 단계; 상기 초기 검출 모형의 오판율이 기정 역치보다 작은지 측정하는 단계; 상기 오판율이 상기 기정 역치보다 작지 않을 경우, 현재 검출 모형을 수정하는 단계 및 수정된 검출모형의 오판율이 상기 기정 역치보다 작은지 측정하는 단계를 순환적으로 진행하는 단계; 및 상기 수정된 검출 모형의 오판율이 상기 기정 역치보다 작음에 대응하여, 순환을 정지하고 상기 수정된 검출 모형을 출력하는 단계를 포함한다.
일부 실시예에 있어서, 상기 초기 검출 모형을 획득하는 단계는, 제1 파일로 트레이닝 파일로부터 부분적 파일을 획득하는 단계; 상기 제1 파일의 엔트로피 벡터에 대해 특징 분류를 진행하는 단계; 및 상기 특징 분류의 결과 및 상기 제1 파일의 안전 유형 표시를 기반으로 상기 초기 검출 모형을 습득하는 단계를 포함한다.
일부 실시예에 있어서, 검출 모형의 오판율이 상기 기정 역치보다 작은지 측정하는 단계는, 제2 파일로 상기 트레이닝 파일로부터 부분적 파일을 획득하는 단계; 측정할 검출 모형을 이용하여 상기 제2 파일의 엔트로피 벡터를 검출하는 단계; 검출 결과 및 상기 제2 파일의 안전 유형 표시에 의하여 오판율을 확정하는 단계; 및 상기 오판율과 상기 기정 역치를 비교하여 상기 오판율이 상기 기정 역치보다 작은지 확정하는 단계를 포함하되, 상기 제2 파일은 상기 제1 파일을 포함하지 않는다.
일부 실시예에 있어서, 상기 현재 검출 모형을 수정하는 단계는, 상기 제1 파일의 수량을 증가하여 검출 모형을 다시 습득하는 단계; 및 엔트로피 벡터의 차원 수를 조정하여 검출 모형을 다시 습득하는 단계 중 적어도 하나를 포함한다.
일부 실시예에 있어서, 파일의 엔트로피 벡터는, 파일을 기정 수량의 섹션으로 분할하고, 각 섹션의 엔트로피를 획득하고, 상기 섹션의 수량을 엔트로피 벡터의 차원 수로 하고, 각 섹션을 하나의 엔트로피 벡터의 방향에 대응하고, 각 섹션의 엔트로피를 기반으로 파일의 엔트로피 벡터를 확정하는 방식으로 확정한다.
제2 방면에 있어서, 본 발명은 악성 취약점 파일을 검출하기 위한 장치를 제공한다. 상기 장치는, 검출할 파일을 획득하는 획득 유닛; 상기 검출할 파일의 엔트로피 벡터를 확정하는 확정 유닛; 트레이닝 된 검출 모형을 이용하여 상기 검출할 파일의 엔트로피 벡터를 검출하여 상기 검출할 파일이 악성 취약점 파일인지 확정하는 검출 유닛을 포함하되, 상기 검출할 파일의 파일 유형과 상기 검출 모형에 대응하는 파일 유형은 동일하다.
일부 실시예에 있어서, 상기 검출 모형은, 트레이닝 파일로 파일 유형이 동일하고 안전 유형이 알려진 다수의 파일을 획득하고, 상기 안전 유형에 따라 상기 트레이닝 파일에 대해 안전 유형의 표시를 진행하고, 상기 트레이닝 파일의 엔트로피 벡터를 확정하고, 상기 트레이닝 파일의 엔트로피 벡터 및 안전 유형 표시를 기반으로 상기 검출 모형을 트레이닝하여 출력하는 방식으로 획득하되, 상기 안전 유형은 악성 취약점 파일 유형 및 비악성 취약점 파일 유형을 포함한다.
일부 실시예에 있어서, 상기 검출 모형을 트레이닝하여 출력하는 단계는, 상기 트레이닝 파일의 엔트로피 벡터 및 안전 유형 표시를 기반으로 초기 검출 모형을 획득하는 단계; 상기 초기 검출 모형의 오판율이 기정 역치보다 작은지 측정하는 단계; 상기 오판율이 상기 기정 역치보다 작지 않을 경우, 현재 검출 모형을 수정하는 단계 및 수정된 검출모형의 오판율이 상기 기정 역치보다 작은지 측정하는 단계를 순환적으로 진행하는 단계; 및 상기 수정된 검출 모형의 오판율이 상기 기정 역치보다 작음에 대응하여, 순환을 정지하고 상기 수정된 검출 모형을 출력하는 단계를 포함한다.
일부 실시예에 있어서, 상기 초기 검출 모형을 획득하는 단계는, 제1 파일로 트레이닝 파일로부터 부분적 파일을 획득하는 단계; 상기 제1 파일의 엔트로피 벡터에 대해 특징 분류를 진행하는 단계; 및 상기 특징 분류의 결과 및 상기 제1 파일의 안전 유형 표시를 기반으로 상기 초기 검출 모형을 습득하는 단계를 포함한다.
일부 실시예에 있어서, 검출 모형의 오판율이 상기 기정 역치보다 작은지 측정하는 단계는, 제2 파일로 상기 트레이닝 파일로부터 부분적 파일을 획득하는 단계; 측정할 검출 모형을 이용하여 상기 제2 파일의 엔트로피 벡터를 검출하는 단계; 검출 결과 및 상기 제2 파일의 안전 유형 표시에 의하여 오판율을 확정하는 단계; 및 상기 오판율과 상기 기정 역치를 비교하여 상기 오판율이 상기 기정 역치보다 작은지 확정하는 단계를 포함하되, 상기 제2 파일은 상기 제1 파일을 포함하지 않는다.
일부 실시예에 있어서, 상기 현재 검출 모형을 수정하는 단계는, 상기 제1 파일의 수량을 증가하여 검출 모형을 다시 습득하는 단계; 및 엔트로피 벡터의 차원 수를 조정하여 검출 모형을 다시 습득하는 단계 중 적어도 하나를 포함한다.
일부 실시예에 있어서, 상기 확정 유닛은, 파일을 기정 수량의 섹션으로 분할하고, 각 섹션의 엔트로피를 획득하고, 상기 섹션의 수량을 엔트로피 벡터의 차원 수로 하고, 각 섹션을 하나의 엔트로피 벡터의 방향에 대응하고, 각 섹션의 엔트로피를 기반으로 파일의 엔트로피 벡터를 확정한다.
제3 방면에 있어서, 본 발명은 악성 취약점 파일을 검출하기 위한 단말기를 제공한다. 상기 단말기는, 프로세서 및 메모리 장치를 포함하되, 상기 메모리 장치는 트레이닝 된 검출 모형을 저장하고, 상기 프로세서는 검출할 파일을 획득하고, 상기 검출할 파일의 엔트로피 벡터를 확정하고, 트레이닝 된 검출 모형을 이용하여 상기 검출할 파일의 엔트로피 벡터를 검출하여 상기 검출할 파일이 악성 취약점 파일인지 확정하되, 상기 검출할 파일의 파일 유형과 상기 검출 모형에 대응하는 파일 유형은 동일하다.
일부 실시예에 있어서, 상기 검출 모형은, 트레이닝 파일로 파일 유형이 동일하고 안전 유형이 알려진 다수의 파일을 획득하고, 상기 안전 유형에 따라 상기 트레이닝 파일에 대해 안전 유형의 표시를 진행하고, 상기 트레이닝 파일의 엔트로피 벡터를 확정하고, 상기 트레이닝 파일의 엔트로피 벡터 및 안전 유형 표시를 기반으로 상기 검출 모형을 트레이닝하여 출력하는 방식으로 획득하되, 상기 안전 유형은 악성 취약점 파일 유형 및 비악성 취약점 파일 유형을 포함한다.
본 발명은 악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기를 제공한다. 본 발명에 있어서, 검출할 파일의 엔트로피 벡터를 추출하고, 검출할 파일의 엔트로피 벡터를 기반으로 해당 검출할 파일이 악성 취약점 파일인지 확정한다. 기존의 기술 중 악성 취약점 파일에 대한 스캐닝 속도가 늦고, 스캐닝 능력 및 효율이 낮은 기술적 문제들을 해소하고 악성 취약점 파일의 스캐닝 효율을 향상 시킨다.
본 발명의 기타 특징, 목적 및 장점들은 하기 도면을 결합하여 진행하는 비제한적 실시예들에 대한 구제적인 설명을 통하여 더욱 명확해 질 것이다.
도1은 본 발명의 실시예가 제공하는 악성 취약점 파일을 검출하기 위한 방법의 일 실시예의 흐름도이다.
도2는 본 발명의 실시예가 제공하는 악성 취약점 파일 내용의 엔트로피 곡선 변화의 예시도이다.
도3은 본 발명의 실시예가 제공하는 쉘코드(shellcode)를 포함하는 파일의 내용의 엔트로피 곡선 변화의 예시도이다.
도4는 본 발명의 실시예가 제공하는 검출 모형을 획득하는 방법의 일 실시예의 흐름도이다.
도5는 본 발명의 실시예가 제공하는 악성 취약점 파일을 검출하기 위한 장치의 일 실시예의 예시적 구조도이다.
도6은 본 발명의 실시예가 제공하는 단말기의 일 실시예의 예시적 구조도이다.
이하, 첨부된 도면 및 실시예들을 결합하여 본 발명을 상세히 설명하기로 한다. 본 명세서에 설명된 구체적인 실시예들은 오직 해당 발명을 설명하기 위한 것일 뿐, 해당 발명을 한정하기 위한 것이 아님을 이해하여야 할 것이다. 또한, 설명의 편의를 위하여, 도면에는 오직 본 발명에 관련된 부분만이 도시되어 있다.
본 발명의 실시예 및 실시예의 특징들은 서로 모순되지 않는 한 상호 조합될 수 있다. 이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명하기로 한다.
본 발명에 관한 단말기는 스마트 폰, 태블릿 PC, PDA, 랩톱 휴대용 컴퓨터 및 데스크톱 컴퓨터를 포함할 수 있으나, 이에 한정된 것은 아니다. 설명의 목적 및 간명을 위하여, 이하의 설명에서는 데스크톱 컴퓨터를 결합하여 본 발명의 예시적 실시예를 설명하고자 한다.
도1은 본 발명에 따른 악성 취약점 파일을 검출하기 위한 방법의 일 실시예의 흐름(100)을 도시한다.
도1에 도시된 바와 같이, 단계(101)에서, 검출할 파일을 획득한다.
다음, 단계(102)에서, 검출할 파일의 엔트로피 벡터를 확정한다.
일반적으로, 악성 취약점 파일은 문서에서 대량의 중복된 문자열을 구성하고 ROP(Return-oriented programming, 반환 지향 프로그래밍)을 구성하며 기타 모듈 중의 코드를 실행함으로써, DEP(Data Execution Prevention, 데이터 실행 방지)를 우회하여 비리온을 방출한다.
본 실시예에서, 일부 악성 취약점 파일에 대해 심도 깊은 분석을 진행함으로써, 구성된 의심스러운 파일이 바이러스 파일의 암호화를 파일의 종단에 위치시켜 이 부분 내용의 엔트로피가 필연코 매우 크며 대량의 중복된 데이터가 기입됨으로 인하여 파일의 엔트로피 곡선이 종단에 돌연 증가함을 발견하였다.
예를 들면, 도2는 악성 취약점 파일 내용의 엔트로피 곡선 변화의 예시도이다. 도2에 도시된 바와 같이, 횡좌표는 파일 내용의 세그먼트의 위치를 표시하고, 횡좌표의 원점은 파일 헤더의 위치를 표시하며, 횡좌표의 값이 클수록 문서의 내용 세그먼트가 더욱 뒤로 미치게 된다. 종좌표는 파일 중 횡좌표 위치의 내용 세그먼트에 대응되는 엔트로피를 표시한다. 도2로부터 알 수 있는바, 악성 취약점 파일 내용은 종단 위치의 세그먼트의 엔트로피에 돌연 증가한다.
또한 예를 들면, 도3은 쉘코드(shellcode)를 포함한 파일의 내용 엔트로피 곡선 변화의 예시도이다. 도3에 도시된 바와 같이, 횡좌표는 파일 내용의 세그먼트의 위치를 표시하고, 횡좌표의 원점은 파일 헤더의 위치를 표시하며, 횡좌표의 값이 클수록 문서의 내용 세그먼트가 더욱 뒤로 미치게 된다. 종좌표는 파일 중 횡좌표 위치의 내용 세그먼트에 대응되는 엔트로피를 표시한다. 도3으로부터 알 수 있는 바와 같이, 쉘코드(shellcode)를 포함하는 파일의 내용 엔트로피는 대량의 연속되는 4 근처의 데이터를 포함한다.
따라서, 본 실시예에서, 검출할 파일의 엔트로피 벡터의 특징에 의하여 검출할 파일이 악성 취약점 파일인지 판단할 수 있다.
파일 세그먼트의 엔트로피는 해당 파일 세그먼트의 무질서 정도, 문자, 그래픽, 코드, 압축 패키지, 응용 프로그램 등을 표시하고, 조직하는 방식이 부동함에 따라 엔트로피도 부동함을 설명하고자 한다. 예를 들면, 그래픽이 압축되고 압축 패키지도 압축되었으므로 그의 엔트로피는 매우 높을 것이고, 일정한 규율이 있을 것이다. 데이터 코드의 정보 엔트로피를 이용하여 코드의 상태를 표시할 수 있다.
본 실시예에서, 하기와 같은 방식으로 파일의 엔트로피 벡터를 확정할 수 있다. 먼저, 파일을 기정 수량의 섹션으로 등가 분할하고, 각 섹션의 메세지 엔트로피를 산출하여 전체 파일 코드의 변화 정황을 표시한다. 여기서, 기정 수량은 사용자가 미리 설정한 하나의 값일 수 있고, 본 발명은 기정 수량의 구체적 수치를 한정하지 않음을 이해하여야 한다. 상기 섹션의 수량을 엔트로피 벡터의 차원 수로 하고, 각 섹션은 하나의 엔트로피 벡터의 방향에 대응되며, 각 섹션의 엔트로피를 기반으로 파일의 엔트로피 벡터를 확정한다. 예를 들면, 파일을 각각 섹션i, 섹션j, 섹션k과 같은 3개의 섹션으로 등가 분할한다고 가정하면, 이 3개의 섹션에 대응되는 엔트로피를 산출한 결과가 각각 a, b, c일 경우, 해당 파일의 엔트로피 벡터는 3 차원 벡터이고, 엔트로피 벡터는
Figure 112015115661426-pat00001
으로 표시할 수 있다.
마지막으로, 단계(103)에서, 트레이닝 된 검출 모형을 이용하여 상기 검출할 파일의 엔트로피 벡터를 검출하여 검출할 파일이 악성 취약점 파일인지 확정한다.
본 실시예에서, 트레이닝 된 검출 모형을 이용하여 상기 검출할 파일의 엔트로피 벡터를 검출하고, 검출할 파일의 엔트로피 벡터의 특징을 분석하며, 검출할 파일의 엔트로피 벡터의 특징에 의하여 해당 검출할 파일이 악성 취약점 파일인지 확정할 수 있다.
악성 취약점 파일의 파일 유형이 부동하면, 그들의 엔트로피 벡터의 특징도 부동함을 설명하고자 한다. 따라서, 각종 파일 유형은 일종의 검출 모형에 대응되고, 검출할 파일을 검출할 경우, 선택된 검출 모형에 대응하는 파일 유형은 검출할 파일의 파일 유형과 동일하다.
본 발명의 상기 실시예가 제공하는 방법은, 검출할 파일의 엔트로피 벡터를 추출하고, 검출할 파일의 엔트로피 벡터를 기반으로 해당 검출할 파일이 악성 취약점 파일인지 확정한다. 기존의 기술에서의 악성 취약점 파일에 대한 스캐닝 속도가 늦고, 스캐닝 능력 및 효율이 낮은 기술적 문제들을 해소하고 악성 취약점 파일의 스캐닝 효율을 향상 시킨다.
도4는 검출 모형을 획득하는 방법의 일 실시예를 보여주기 위한 흐름도(400)이다.
도4에 도시된 바와 같이, 단계(401)에서, 트레이닝 파일로 파일 유형이 동일하고 안전 유형이 알려진 다수의 파일들을 획득한다.
본 실시예에서, 트레이닝 파일로 파일 유형이 동일한 다수의 파일들을 임의로 획득하고, 이러한 파일들의 안전 유형은 이미 알려지되, 안전 유형은 악성 취약점 파일 유형 및 비악성 취약점 파일 유형을 포함한다. 상기 트레이닝 파일의 안전 유형은 기타 방법으로 획득할 수도 있음을 설명하고자 한다. 본 발명은 상기 트레이닝 파일의 안전 유형을 확정하는 구체적 방법을 한정하지 않음을 이해하여야 한다.
다음, 단계(402)에서, 안전 유형에 따라 상기 트레이닝 파일에 대해 안전 유형의 표시를 진행한다.
본 실시예에서, 트레이닝 파일의 안전 유형에 따라 상기 트레이닝 파일에 대해 표시를 진행하고, 본 실시예의 일 구현에서, 특수한 색상을 이용하여 트레이닝 파일에 대해 안전 유형의 표시를 진행할 수 있고, 부동한 색상은 부동한 안전 유형을 표시한다. 본 실시예의 다른 일 구현에서, 특수 부호를 이용하여 안전 유형을 표시할 수 있고, 부동한 부호는 부동한 안전 유형을 표시한다. 기타 방식을 이용하여 상기 트레이닝 파일에 대해 안전 유형의 표시를 진행할 수 있으며 본 발명은 이를 한정하지 않음을 이해하여야 한다.
다음, 단계(403)에서, 상기 트레이닝 파일의 엔트로피 벡터를 확정한다.
마지막으로, 단계(404)에서, 상기 트레이닝 파일의 엔트로피 벡터와 안전 유형 표시를 기반으로 검출 모형을 트레이닝하여 출력한다.
본 실시예에서, 먼저, 상기 트레이닝 파일의 엔트로피 벡터와 안전 유형 표시를 기반으로 초기 검출 모형을 획득한다. 구체적으로, 제1 파일로 트레이닝 파일로부터 부분적 파일을 획득하고, 제1 파일의 엔트로피 벡터를 특징 분류한다. SVM(Support Vector Machine, 서포트 벡터 머신) 함수를 이용하여 제1 파일의 엔트로피 벡터를 특징 분류할 수 있다. 기타 방식을 이용하여 제1 파일의 엔트로피 벡터를 특징 분류할 수도 있으며, 본 발명은 특징 분류에 이용되는 구체적 방식, 방면을 한정하지 않음을 이해하여야 한다. 다음, 특징 분류의 결과 및 제1 파일의 안전 유형 표시를 기반으로 초기 검출 모형 습득한다.
다음, 상기 초기 검출 모형의 오판율이 기정 역치보다 작은지 측정한다. 구체적으로, 제2 파일(제2 파일은 제1 파일을 포함하지 않음)로 트레이닝 파일 중 제1 파일을 포함하지 않는 부분적 파일로부터 다수의 파일을 획득하고, 초기 검출 모형(측정할 검출 모형)을 이용하여 각 제2 파일의 엔트로피 벡터를 검출하고, 각 제2 파일의 안전 유형을 판단한다. 다음, 초기 검출 모형 판단 결과와 각 제2 파일의 안전 유형 표시를 비교한다. 초기 검출 모형의 판단 결과가 해당 제2 파일의 안전 유형 표시에 대응하는 안전 유형과 일치할 경우, 해당 판단 결과는 정확한 것이다. 초기 검출 모형의 판단 결과가 해당 제2 파일의 안전 유형 표시에 대응하는 안전 유형과 일치하지 않을 경우, 해당 판단 결과는 잘못된 것이다. 측정한 총 횟수에서 잘못된 판단 결과가 발생하는 횟수를 나누어 해당 초기 검출 모형의 오판율을 획득한다. 오판율과 기정 역치를 비교하여 오판율이 기정 역치보다 작은지 확정한다.
따라서, 초기 검출 모형의 오판율이 기정 역치보다 크거나 같을 경우, 해당 모형의 정확도가 부족함을 설명하고, 따라서, 현재 검출 모형을 수정하는 단계 및 수정된 검출 모형의 오판율이 기정 역치보다 작은지 측정하는 단계를 순환적으로 진행한다. 구체적으로, 현재 검출 모형을 수정하는 단계는, 제1 파일의 수량을 증가하여 검출 모형을 다시 습득하는 단계 및 엔트로피 벡터의 차원 수를 조정하고 검출 모형을 다시 습득하는 단계 중 적어도 하나를 포함할 수 있다.
마지막으로 수정된 검출 모형의 오판율이 기정 역치보다 작으면, 해당 모형의 정확도가 이미 조건에 만족함을 설명하므로 순환을 정지하고 수정된 검출 모형을 출력한다.
도면에는 특정 순서로 본 발명 방법의 조작을 설명하였으나, 상기 특정 순서로 이러한 조작을 진행하여야 하는 것을 요구하거나 암시하는 것이 아니며 또한 도시된 모든 조작을 실행하여야만 기대하는 결과를 실현할 수 있는 것이 아님에 주의하여야 한다. 반대로, 흐름도에 도시된 단계의 실행 순서는 바뀔 수 있다. 예를 들면, 도4의 흐름도(400)에서, 단계(403)을 먼저 진행하여 상기 트레이닝 파일의 엔트로피 벡터를 확정하고, 단계(402)를 진행하여 안전 유형에 따라 상기 트레이닝 파일에 대해 각각 안전 유형의 표시를 진행할 수 있다. 부가적으로 또는 대안으로, 일부 단계를 생략할 수 있으며 다수의 단계를 한 단계로 병합하여 실행할 수 있으며, 및/또는 한 단계를 다수의 단계로 분할하여 실행할 수 있다.
도5는 본 발명에 따른 악성 취약점 파일을 검출하기 위한 장치의 일 실시예의 예시적 구조도이다.
도5에 도시된 바와 같이, 본 실시예의 장치(500)는, 획득 유닛(501),확정 유닛(502) 및 검출 유닛(503)을 포함한다. 여기서, 획득 유닛(501)은 검출할 파일을 획득한다. 확정 유닛(502)은 검출할 파일의 엔트로피 벡터를 확정한다. 검출 유닛(503)은 트레이닝 된 검출 모형을 이용하여 검출할 파일의 엔트로피 벡터를 검출하여 검출할 파일이 악성 취약점 파일인지 확정하되, 검출할 파일의 파일 유형과 검출 모형에 대응하는 파일 유형은 동일하다.
일부 선택적 실시예에서, 검출 모형은 하기와 같은 방식으로 획득한다. 트레이닝 파일로 파일 유형이 동일하고 안전 유형이 알려진 다수의 파일들을 획득한다. 여기서, 안전 유형은 악성 취약점 파일 유형 및 비악성 취약점 파일 유형을 포함한다. 안전 유형에 따라 트레이닝 파일에 대해 안전 유형의 표시를 진행한다. 트레이닝 파일의 엔트로피 벡터를 획득한다. 트레이닝 파일의 엔트로피 벡터와 안전 유형 표시를 기반으로 검출 모형을 트레이닝하여 출력한다.
일부 선택적 실시예에서, 검출 모형을 트레이닝하여 출력하는 단계는, 트레이닝 파일의 엔트로피 벡터와 안전 유형 표시를 기반으로 초기 검출 모형을 획득하는 단계를 포함한다. 초기 검출 모형의 오판율이 기정 역치보다 작은지 측정한다. 작지 않을 경우, 현재 검출 모형을 수정하는 단계 및 수정된 검출 모형이 오판율이 기정 역치보다 작은지 측정하는 단계를 순환적으로 진행한다. 수정된 검출 모형의 오판율이 기정 역치보다 작음에 대응하여 순환을 정지하고 상기 수정된 검출 모형을 출력한다.
일부 선택적 실시예에서, 초기 검출 모형을 획득하는 단계는, 제1 파일로 트레이닝 파일로부터 부분적 파일을 획득하는 단계를 포함한다. 제1 파일의 엔트로피 벡터에 대해 특징 분류를 진행한다. 특징 분류의 결과 및 제1 파일의 안전 유형 표시를 기반으로 초기 검출 모형을 습득한다.
일부 선택적 실시예에서, 검출 모형의 오판율이 기정 역치보다 작은지 측정하는 단계는, 제2 파일로 트레이닝 파일로부터 부분적 파일을 획득하는 단계를 포함한다. 측정할 검출 모형을 이용하여 제2 파일의 엔트로피 벡터를 검출한다. 검출한 경과 및 제2 파일의 안전 유형 표시에 의하여 오판율을 확정한다. 오판율과 기정 역치를 비교하여 오판율이 기정 역치보다 작은지 확정한다. 여기서, 제2 파일은 제1 파일을 포함하지 않는다.
일부 선택적 실시예에서, 현재 검출 모형을 수정하는 단계는, 제1 파일의 수량을 증가하여 검출 모형을 다시 습득하는 단계 및 엔트로피 벡터의 차원 수를 조정하고 검출 모형을 다시 습득하는 단계 중의 적어도 하나를 포함할 수 있다.
일부 선택적 실시예에서, 확정 유닛은 파일을 기정 수량의 섹션으로 분할하고, 각 섹션의 엔트로피를 획득하고, 섹션의 수량을 엔트로피 벡터의 차원 수로 하고, 각 섹션이 하나의 엔트로피 벡터의 방향에 대응하고, 각 섹션의 엔트로피를 기반으로 파일의 엔트로피 벡터를 확정하도록 설정된다.
장치(500)에 기재된 모듈 또는 유닛은 도1 내지 도4를 참조하여 설명한 방법 중의 각 단계에 대응되는 것이 응당 자명할 것이다. 따라서, 상기 방법에 대해 설명한 조작 및 특징 또한 장치(500) 및 이에 포함된 모듈에 적용될 수 있으므로, 중복된 설명은 생략한다. 장치(500)은 단말기에 미리 설치될 수 있고, 다운로드 등의 방식을 통하여 단말기에 로딩될 수도 있다. 장치(500) 중의 상응하는 모듈 또는 유닛은 단말기 중의 유닛과 서로 조합되어 본 발명의 실시예의 방안을 실현할 수 있다.
도6은 본 발명에 따른 단말기의 일 실시예의 예시적 구조도이다.
도6에 도시된 바와 같이, 본 실시예의 단말기(600)는, 적어도 하나의 프로세서(601) (예를 들면, CPU(Central Processing Unit, 중앙 처리 유닛), 적어도 하나의 통신 인터페이스(602), 적어도 하나의 사용자 인터페이스(603), 메모리 장치(604), 적어도 하나의 통신 버스라인(605)을 포함한다. 통신 버스라인(605)은 상기 어셈블리 사이의 연결 통신을 실현한다. 단말기(600)는 표시 어셈블리, 키보드 또는 클릭 장치(예를 들면, 마우스, 트랙 볼(trackball), 터치 패널 또는 터치 스크린) 등과 같은 사용자 인터페이스(603)를 선택적으로 포함할 수 있다. 메모리 장치(604)는 고속 RAM(Random Access Memory, 랜덤 액세스 메모리 장치)을 포함할 수 있고, 불휘발성 메모리 장치(non-volatile memory), 예를 들면, 적어도 하나의 자기 디스크 메모리 장치를 포함할 수도 있다. 메모리 장치(604)는 전술한 프로세서(601)로부터 이격된 메모리 장치를 선택적으로 포함할 수 있다.
일부 실시예에서, 메모리 장치(604)는 실행 가능한 모듈 또는 데이터 구조 또는 이들의 서브 집합 또는 이들의 확장 집합을 저장한다.
운영 시스템(614)은 각종 시스템 프로그램을 포함하고 각종 기초 업무를 실현하고 하드웨어에 따른 임무를 처리한다.
응용 프로그램(624)은 각종 응용 프로그램을 포함하고 각종 응용 업무를 실현한다.
본 실시예에서, 메모리 장치(604)는 트레이닝 된 검출 모형을 저장한다. 프로세서(601)는 검출할 파일을 획득하고, 검출할 파일의 엔트로피 벡터를 확정하고, 트레이닝 된 검출 모형을 이용하여 검출할 파일의 엔트로피 벡터를 검출하여 검출할 파일이 악성 취약점 파일인지 확정하되, 검출할 파일의 파일 유형과 상기 검출 모형에 대응하는 파일 유형은 동일하다.
실시예들에서, 검출 모형은 하기와 같은 방식으로 획득한다. 트레이닝 파일로 파일 유형이 동일하고 안전 유형이 알려진 다수의 파일들을 획득한다. 여기서, 안전 유형은 악성 취약점 파일 유형 및 비악성 취약점 파일 유형을 포함한다. 안전 유형에 따라 트레이닝 파일에 대해 안전 유형의 표시를 진행한다. 트레이닝 파일의 엔트로피 벡터를 확정한다. 트레이닝 파일의 엔트로피 벡터와 안전 유형 표시를 기반으로 검출 모형을 트레이닝하여 출력한다.
본 발명에 설명된 관련된 유닛 모듈은 소프트웨어 방식으로 실현할 수 있으며, 하드웨어 방식으로 실현할 수도 있다. 설명된 유닛 모듈은 프로세서에 설치될 수 있으며, 예를 들면, 프로세서가 획득 유닛, 확정 유닛, 검출 유닛을 포함한다고 설명할 수 있다. 여기서, 이러한 유닛의 명칭은 일부 경우에 해당 유닛 모듈 자체를 한정하지 않는다. 예를 들면, 획득 유닛은 "검출할 파일을 획득하는 유닛"으로 설명할 수도 있다.
한편, 본 발명은 또한 컴퓨터 판독 가능한 기록 매체를 제공한다. 이러한 컴퓨터 판독 가능한 기록 매체는 상기 실시예 중 상기 장치에 포함되는 컴퓨터 판독 가능한 기록 매체이거나, 장치에 설치되지 않은 독립적으로 존재하는 컴퓨터 판독 가능한 기록 매체일 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에는 하나 이상의 프로그램이 저장되어 있을 수 있고, 하나 이상의 프로세서는 이러한 프로그램으로 본 발명에 설명된 악성 취약점 파일을 검출하기 위한 방법을 실행한다.
이상의 설명은 오직 본 발명의 바람직한 실시예 및 이용하는 기술 원리에 대한 설명일 뿐이다. 본 발명의 청구 범위는 상기 기술적 특징의 특정 조합으로 이루어진 기술적 방안에 한정되는 것이 아니라, 본 발명의 사상을 벗어나지 않는 한 상기 기술적 특징 또는 그의 등가 특징들의 임의의 조합으로 이루어진 기타 기술적 방안도 포함하는 것이 본 분야에서 통상 지식을 가진 자에게 자명할 것이다. 상기 특징과 본 발명에 개시된 유사한 기능을 구비한 기술적 특징을 서로 교체하여 형성된 기술적 방안을 예로 들 수 있으나, 이에 한정된 것은 아니다.

Claims (14)

  1. 검출할 파일을 획득하는 단계;
    상기 검출할 파일을 기정 수량의 섹션으로 분할하는 단계;
    각 섹션의 엔트로피를 획득하는 단계;
    상기 각 섹션의 엔트로피를 기반으로 상기 검출할 파일의 엔트로피 벡터를 확정하는 단계; 및
    트레이닝 된 검출 모형을 이용하여 상기 검출할 파일의 엔트로피 벡터를 검출하여 상기 검출할 파일이 악성 취약점 파일인지 확정하는 단계를 포함하되,
    상기 검출할 파일의 파일 유형과 상기 검출 모형에 대응하는 파일 유형은 동일한 것을 특징으로 하는 악성 취약점 파일을 검출하기 위한 방법.
  2. 제 1 항에 있어서,
    상기 검출 모형은, 파일 유형이 동일하고 안전 유형이 알려진 다수의 파일을 트레이닝 파일로 획득하고, 상기 안전 유형에 따라 상기 트레이닝 파일에 대해 안전 유형의 표시를 진행하고, 상기 트레이닝 파일의 엔트로피 벡터를 확정하고, 상기 트레이닝 파일의 엔트로피 벡터 및 안전 유형 표시를 기반으로 상기 검출 모형을 트레이닝하여 출력하는 방식으로 획득하되,
    상기 안전 유형은 악성 취약점 파일 유형 및 비악성 취약점 파일 유형을 포함하는 것을 특징으로 하는 악성 취약점 파일을 검출하기 위한 방법.
  3. 제 2 항에 있어서,
    상기 검출 모형을 트레이닝하여 출력하는 단계는,
    상기 트레이닝 파일의 엔트로피 벡터 및 안전 유형 표시를 기반으로 초기 검출 모형을 획득하는 단계;
    상기 초기 검출 모형의 오판율이 기정 역치보다 작은지 측정하는 단계;
    상기 오판율이 상기 기정 역치보다 작지 않을 경우, 현재 검출 모형을 수정하는 단계 및 수정된 검출 모형의 오판율이 상기 기정 역치보다 작은지 측정하는 단계를 순환적으로 진행하는 단계; 및
    상기 수정된 검출 모형의 오판율이 상기 기정 역치보다 작음에 대응하여, 순환을 정지하고 상기 수정된 검출 모형을 출력하는 단계를 포함하는 것을 특징으로 하는 악성 취약점 파일을 검출하기 위한 방법.
  4. 제 3 항에 있어서,
    상기 초기 검출 모형을 획득하는 단계는,
    제1 파일로 트레이닝 파일로부터 부분적 파일을 획득하는 단계;
    상기 제1 파일의 엔트로피 벡터에 대해 특징 분류를 진행하는 단계; 및
    상기 특징 분류의 결과 및 상기 제1 파일의 안전 유형 표시를 기반으로 상기 초기 검출 모형을 습득하는 단계를 포함하는 것을 특징으로 하는 악성 취약점 파일을 검출하기 위한 방법.
  5. 제 4 항에 있어서,
    검출 모형의 오판율이 상기 기정 역치보다 작은지 측정하는 단계는,
    제2 파일로 상기 트레이닝 파일로부터 부분적 파일을 획득하는 단계;
    측정할 검출 모형을 이용하여 상기 제2 파일의 엔트로피 벡터를 검출하는 단계;
    검출 결과 및 상기 제2 파일의 안전 유형 표시에 의하여 오판율을 확정하는 단계; 및
    상기 오판율과 상기 기정 역치를 비교하여 상기 오판율이 상기 기정 역치보다 작은지 확정하는 단계를 포함하되,
    상기 제2 파일은 상기 제1 파일을 포함하지 않는 것을 특징으로 하는 악성 취약점 파일을 검출하기 위한 방법.
  6. 제 5 항에 있어서,
    상기 현재 검출 모형을 수정하는 단계는,
    상기 제1 파일의 수량을 증가하여 검출 모형을 다시 습득하는 단계; 및
    엔트로피 벡터의 차원 수를 조정하여 검출 모형을 다시 습득하는 단계 중 적어도 하나를 포함하는 것을 특징으로 하는 악성 취약점 파일을 검출하기 위한 방법.
  7. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    파일의 엔트로피 벡터는,
    상기 섹션의 수량을 엔트로피 벡터의 차원 수로 하고, 각 섹션을 하나의 엔트로피 벡터의 방향에 대응하는 것을 특징으로 하는 악성 취약점 파일을 검출하기 위한 방법.
  8. 검출할 파일을 획득하는 획득 유닛;
    상기 검출할 파일을 기정 수량의 섹션으로 분할하고, 각 섹션의 엔트로피를 획득하며, 상기 각 섹션의 엔트로피를 기반으로 상기 검출할 파일의 엔트로피 벡터를 확정하는 확정 유닛; 및
    트레이닝 된 검출 모형을 이용하여 상기 검출할 파일의 엔트로피 벡터를 검출하여 상기 검출할 파일이 악성 취약점 파일인지 확정하는 검출 유닛을 포함하되,
    상기 검출할 파일의 파일 유형과 상기 검출 모형에 대응하는 파일 유형은 동일한 것을 특징으로 하는 악성 취약점 파일을 검출하기 위한 장치.
  9. 제 8 항에 있어서,
    상기 검출 모형은,
    트레이닝 파일로 파일 유형이 동일하고 안전 유형이 알려진 다수의 파일을 획득하고, 상기 안전 유형에 따라 상기 트레이닝 파일에 대해 안전 유형의 표시를 진행하고, 상기 트레이닝 파일의 엔트로피 벡터를 확정하고, 상기 트레이닝 파일의 엔트로피 벡터 및 안전 유형 표시를 기반으로 상기 검출 모형을 트레이닝하여 출력하는 방식으로 획득하되,
    상기 안전 유형은 악성 취약점 파일 유형 및 비악성 취약점 파일 유형을 포함하는 것을 특징으로 하는 악성 취약점 파일을 검출하기 위한 장치.
  10. 제 8 항 또는 제 9 항에 있어서,
    상기 확정 유닛은,
    상기 섹션의 수량을 엔트로피 벡터의 차원 수로 하고, 각 섹션을 하나의 엔트로피 벡터의 방향에 대응하는 것을 특징으로 하는 악성 취약점 파일을 검출하기 위한 장치.
  11. 프로세서 및 메모리 장치를 포함하되,
    상기 메모리 장치는 트레이닝 된 검출 모형을 저장하고,
    상기 프로세서는 검출할 파일을 획득하고, 상기 검출할 파일을 기정 수량의 섹션으로 분할하고, 각 섹션의 엔트로피를 획득하며, 상기 각 섹션의 엔트로피를 기반으로 상기 검출할 파일의 엔트로피 벡터를 확정하고, 트레이닝 된 검출 모형을 이용하여 상기 검출할 파일의 엔트로피 벡터를 검출하여 상기 검출할 파일이 악성 취약점 파일인지 확정하되, 상기 검출할 파일의 파일 유형과 상기 검출 모형에 대응하는 파일 유형은 동일한 것을 특징으로 하는 단말기.
  12. 제 11 항에 있어서,
    상기 검출 모형은,
    트레이닝 파일로 파일 유형이 동일하고 안전 유형이 알려진 다수의 파일을 획득하고, 상기 안전 유형에 따라 상기 트레이닝 파일에 대해 안전 유형의 표시를 진행하고, 상기 트레이닝 파일의 엔트로피 벡터를 확정하고, 상기 트레이닝 파일의 엔트로피 벡터 및 안전 유형 표시를 기반으로 상기 검출 모형을 트레이닝하여 출력하는 방식으로 획득하되, 상기 안전 유형은 악성 취약점 파일 유형 및 비악성 취약점 파일 유형을 포함하는 것을 특징으로 하는 단말기.
  13. 컴퓨터 판독 가능한 명령을 저장하는 비휘발성 컴퓨터 기록 매체에 있어서,
    프로세서로 상기 컴퓨터 판독 가능한 명령을 실행할 경우, 상기 프로세서는,
    검출할 파일을 획득하고,
    상기 검출할 파일을 기정 수량의 섹션으로 분할하고,
    각 섹션의 엔트로피를 획득하며,
    상기 각 섹션의 엔트로피를 기반으로 상기 검출할 파일의 엔트로피 벡터를 확정하고,
    트레이닝 된 검출 모형을 이용하여 상기 검출할 파일의 엔트로피 벡터를 검출하여 상기 검출할 파일이 악성 취약점 파일인지 확정하도록 작동 가능하되,
    상기 검출할 파일의 파일 유형과 상기 검출 모형에 대응하는 파일 유형은 동일한 것을 특징으로 하는 비휘발성 컴퓨터 기록 매체.
  14. 제 13 항에 있어서,
    상기 프로세서는,
    트레이닝 파일로 파일 유형이 동일하고 안전 유형이 알려진 다수의 파일을 획득하고, 상기 안전 유형에 따라 상기 트레이닝 파일에 대해 안전 유형의 표시를 진행하고, 상기 트레이닝 파일의 엔트로피 벡터를 확정하고, 상기 트레이닝 파일의 엔트로피 벡터 및 안전 유형 표시를 기반으로 검출 모형을 트레이닝하여 출력하는 방식으로 상기 검출 모형을 획득하도록 작동 가능하되,
    상기 안전 유형은 악성 취약점 파일 유형 및 비악성 취약점 파일 유형을 포함하는 것을 특징으로 하는 비휘발성 컴퓨터 기록 매체.
KR1020150166482A 2015-06-30 2015-11-26 악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기 KR101711882B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510377521.3 2015-06-30
CN201510377521.3A CN106295337B (zh) 2015-06-30 2015-06-30 用于检测恶意漏洞文件的方法、装置及终端

Publications (2)

Publication Number Publication Date
KR20170003356A KR20170003356A (ko) 2017-01-09
KR101711882B1 true KR101711882B1 (ko) 2017-03-03

Family

ID=57651270

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150166482A KR101711882B1 (ko) 2015-06-30 2015-11-26 악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기

Country Status (4)

Country Link
US (1) US10176323B2 (ko)
JP (1) JP6138896B2 (ko)
KR (1) KR101711882B1 (ko)
CN (1) CN106295337B (ko)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US9864956B1 (en) * 2017-05-01 2018-01-09 SparkCognition, Inc. Generation and use of trained file classifiers for malware detection
US10616252B2 (en) 2017-06-30 2020-04-07 SparkCognition, Inc. Automated detection of malware using trained neural network-based file classifiers and machine learning
US10305923B2 (en) 2017-06-30 2019-05-28 SparkCognition, Inc. Server-supported malware detection and protection
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
CN108763931B (zh) * 2018-05-28 2021-11-16 上海交通大学 基于Bi-LSTM和文本相似性的漏洞检测方法
CN110689133B (zh) * 2018-06-20 2023-09-05 深信服科技股份有限公司 一种训练机器学习引擎的方法、***及相关装置
CN109194609B (zh) * 2018-07-20 2021-07-27 西安四叶草信息技术有限公司 一种检测漏洞文件的方法及装置
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10922139B2 (en) 2018-10-11 2021-02-16 Visa International Service Association System, method, and computer program product for processing large data sets by balancing entropy between distributed data segments
US10880328B2 (en) * 2018-11-16 2020-12-29 Accenture Global Solutions Limited Malware detection
KR101963756B1 (ko) * 2018-11-19 2019-03-29 세종대학교산학협력단 소프트웨어 취약점 예측 모델 학습 장치 및 방법, 소프트웨어 취약점 분석 장치 및 방법
CN109858249B (zh) * 2019-02-18 2020-08-07 暨南大学 移动恶意软件大数据的快速智能比对和安全检测方法
CN111723373A (zh) * 2019-03-19 2020-09-29 国家计算机网络与信息安全管理中心 复合式二进制文档的漏洞利用文件检测方法及装置
CN109992969B (zh) * 2019-03-25 2023-03-21 腾讯科技(深圳)有限公司 一种恶意文件检测方法、装置及检测平台
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11636208B2 (en) 2019-07-19 2023-04-25 Palo Alto Networks, Inc. Generating models for performing inline malware detection
US11374946B2 (en) * 2019-07-19 2022-06-28 Palo Alto Networks, Inc. Inline malware detection
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11388072B2 (en) * 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
CN111191242A (zh) * 2019-08-09 2020-05-22 腾讯科技(深圳)有限公司 漏洞信息确定方法、装置、计算机可读存储介质及设备
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11310256B2 (en) 2020-09-23 2022-04-19 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
CN112966267A (zh) * 2021-03-02 2021-06-15 北京六方云信息技术有限公司 基于机器学习的恶意文件检测方法及***
CN113050015B (zh) * 2021-03-26 2023-01-17 联想(北京)有限公司 一种数据处理方法及电子装置
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11934667B1 (en) * 2021-06-30 2024-03-19 Amazon Technologies, Inc. Encrypted-data-only media operations
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
CN116578536B (zh) * 2023-07-12 2023-09-22 北京安天网络安全技术有限公司 文件检测方法、存储介质及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014085854A (ja) 2012-10-24 2014-05-12 Nippon Telegr & Teleph Corp <Ntt> 類似度評価システム、類似度評価装置、利用者端末、類似度評価方法、およびプログラム
KR101432429B1 (ko) * 2013-02-26 2014-08-22 한양대학교 산학협력단 시각적 데이터 생성을 이용한 악성 코드 분석 시스템과 그 방법

Family Cites Families (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6578018B1 (en) * 1999-07-27 2003-06-10 Yamaha Hatsudoki Kabushiki Kaisha System and method for control using quantum soft computing
US7376635B1 (en) * 2000-07-21 2008-05-20 Ford Global Technologies, Llc Theme-based system and method for classifying documents
US6775405B1 (en) * 2000-09-29 2004-08-10 Koninklijke Philips Electronics, N.V. Image registration system and method using cross-entropy optimization
JP2003207565A (ja) * 2002-01-10 2003-07-25 Mitsubishi Electric Corp 類識別装置及び類識別方法
US7593904B1 (en) * 2005-06-30 2009-09-22 Hewlett-Packard Development Company, L.P. Effecting action to address an issue associated with a category based on information that enables ranking of categories
US8176414B1 (en) * 2005-09-30 2012-05-08 Google Inc. Document division method and system
US20070152854A1 (en) * 2005-12-29 2007-07-05 Drew Copley Forgery detection using entropy modeling
US8490194B2 (en) * 2006-01-31 2013-07-16 Robert Moskovitch Method and system for detecting malicious behavioral patterns in a computer, using machine learning
KR20070095718A (ko) * 2006-03-22 2007-10-01 한국전자통신연구원 유형별 트래픽 특성 분류를 통한 인터넷 웜 트래픽 탐지시스템 및 방법
WO2008055156A2 (en) * 2006-10-30 2008-05-08 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting an anomalous sequence of function calls
US8069484B2 (en) * 2007-01-25 2011-11-29 Mandiant Corporation System and method for determining data entropy to identify malware
US8019700B2 (en) * 2007-10-05 2011-09-13 Google Inc. Detecting an intrusive landing page
US20090113128A1 (en) * 2007-10-24 2009-04-30 Sumwintek Corp. Method and system for preventing virus infections via the use of a removable storage device
US20100205198A1 (en) * 2009-02-06 2010-08-12 Gilad Mishne Search query disambiguation
US8266698B1 (en) * 2009-03-09 2012-09-11 Symantec Corporation Using machine infection characteristics for behavior-based detection of malware
US8744171B1 (en) * 2009-04-29 2014-06-03 Google Inc. Text script and orientation recognition
JP5126694B2 (ja) * 2009-07-21 2013-01-23 日本電気株式会社 学習システム
JP2011034177A (ja) * 2009-07-30 2011-02-17 Sony Corp 情報処理装置および情報処理方法、並びにプログラム
US8924314B2 (en) * 2010-09-28 2014-12-30 Ebay Inc. Search result ranking using machine learning
US8869277B2 (en) * 2010-09-30 2014-10-21 Microsoft Corporation Realtime multiple engine selection and combining
CN103839006B (zh) * 2010-11-29 2017-07-28 北京奇虎科技有限公司 基于机器学习的程序识别方法及装置
US9349006B2 (en) * 2010-11-29 2016-05-24 Beijing Qihoo Technology Company Limited Method and device for program identification based on machine learning
US8521667B2 (en) * 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
CN102024112B (zh) * 2010-12-17 2012-08-01 四川大学 基于静态特征的pe文件加壳检测方法
KR101228899B1 (ko) * 2011-02-15 2013-02-06 주식회사 안랩 벡터량 산출을 이용한 악성코드의 분류 및 진단 방법과 장치
US8402543B1 (en) * 2011-03-25 2013-03-19 Narus, Inc. Machine learning based botnet detection with dynamic adaptation
US20130018650A1 (en) * 2011-07-11 2013-01-17 Microsoft Corporation Selection of Language Model Training Data
US9501640B2 (en) * 2011-09-14 2016-11-22 Mcafee, Inc. System and method for statistical analysis of comparative entropy
US20130097704A1 (en) * 2011-10-13 2013-04-18 Bitdefender IPR Management Ltd. Handling Noise in Training Data for Malware Detection
US8549645B2 (en) * 2011-10-21 2013-10-01 Mcafee, Inc. System and method for detection of denial of service attacks
US20160213353A1 (en) * 2011-10-28 2016-07-28 Hironari Masui Ultrasound imaging apparatus, ultrasound imaging method and ultrasound imaging program
JP2013103072A (ja) * 2011-11-16 2013-05-30 Ntt Docomo Inc メンタル状態推定装置、メンタル状態推定システム、メンタル状態推定方法、メンタル状態推定プログラム、及び携帯端末
US8918353B2 (en) * 2012-02-22 2014-12-23 Knowmtech, Llc Methods and systems for feature extraction
CN102708313B (zh) * 2012-03-08 2015-04-22 珠海市君天电子科技有限公司 针对大文件的病毒检测***及方法
US8837720B2 (en) * 2012-03-16 2014-09-16 Paul de Roulet Cryptographically secure pseudorandom number generator
KR20130126814A (ko) * 2012-04-26 2013-11-21 한국전자통신연구원 데이터마이닝을 이용한 트래픽 폭주 공격 탐지 및 심층적 해석 장치 및 방법
US9548987B1 (en) * 2012-06-11 2017-01-17 EMC IP Holding Company LLC Intelligent remediation of security-related events
US9292688B2 (en) * 2012-09-26 2016-03-22 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection
US9607272B1 (en) * 2012-10-05 2017-03-28 Veritas Technologies Llc System and method for training data generation in predictive coding
US9465942B1 (en) * 2013-04-08 2016-10-11 Amazon Technologies, Inc. Dictionary generation for identifying coded credentials
US9471883B2 (en) * 2013-05-09 2016-10-18 Moodwire, Inc. Hybrid human machine learning system and method
US20160055044A1 (en) * 2013-05-16 2016-02-25 Hitachi, Ltd. Fault analysis method, fault analysis system, and storage medium
US9288220B2 (en) * 2013-11-07 2016-03-15 Cyberpoint International Llc Methods and systems for malware detection
KR101807441B1 (ko) * 2013-12-04 2017-12-08 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 가상 머신들 간의 사이드 채널 공격들의 검출
US9386034B2 (en) * 2013-12-17 2016-07-05 Hoplite Industries, Inc. Behavioral model based malware protection system and method
KR102131099B1 (ko) * 2014-02-13 2020-08-05 삼성전자 주식회사 지식 그래프에 기초한 사용자 인터페이스 요소의 동적 수정 방법
US9342869B2 (en) * 2014-04-29 2016-05-17 Adobe Systems Incorporated Discriminative indexing for patch-based image enhancement
CN105260628B (zh) * 2014-06-03 2019-01-11 腾讯科技(深圳)有限公司 分类器训练方法和装置、身份验证方法和***
US9483742B1 (en) * 2014-10-27 2016-11-01 Amazon Technologies, Inc. Intelligent traffic analysis to detect malicious activity
US9465940B1 (en) * 2015-03-30 2016-10-11 Cylance Inc. Wavelet decomposition of software entropy to identify malware
KR101716564B1 (ko) * 2015-04-02 2017-03-15 현대오토에버 주식회사 하둡 기반의 악성코드 탐지 방법과 시스템
US20160307113A1 (en) * 2015-04-20 2016-10-20 Xerox Corporation Large-scale batch active learning using locality sensitive hashing
US20170193230A1 (en) * 2015-05-03 2017-07-06 Microsoft Technology Licensing, Llc Representing and comparing files based on segmented similarity
CN105095755A (zh) * 2015-06-15 2015-11-25 安一恒通(北京)科技有限公司 文件识别方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014085854A (ja) 2012-10-24 2014-05-12 Nippon Telegr & Teleph Corp <Ntt> 類似度評価システム、類似度評価装置、利用者端末、類似度評価方法、およびプログラム
KR101432429B1 (ko) * 2013-02-26 2014-08-22 한양대학교 산학협력단 시각적 데이터 생성을 이용한 악성 코드 분석 시스템과 그 방법

Also Published As

Publication number Publication date
JP6138896B2 (ja) 2017-05-31
US10176323B2 (en) 2019-01-08
JP2017016626A (ja) 2017-01-19
CN106295337B (zh) 2018-05-22
CN106295337A (zh) 2017-01-04
KR20170003356A (ko) 2017-01-09
US20170004306A1 (en) 2017-01-05

Similar Documents

Publication Publication Date Title
KR101711882B1 (ko) 악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기
JP7201078B2 (ja) データ引数を動的に識別し、ソースコードを計装するためのシステムと方法
CN101964036B (zh) 漏洞检测方法及装置
US8850581B2 (en) Identification of malware detection signature candidate code
KR101720686B1 (ko) 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법
US9686303B2 (en) Web page vulnerability detection method and apparatus
US10380349B2 (en) Security analysis using relational abstraction of data structures
US9563422B2 (en) Evaluating accessibility compliance of a user interface design
US20160048505A1 (en) Techniques for automatically swapping languages and/or content for machine translation
JP5942750B2 (ja) ビジュアル比較方法
BR112019013067B1 (pt) Método e dispositivo para processamento de serviço
KR20120078018A (ko) 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템
WO2022180702A1 (ja) 解析機能付与装置、解析機能付与プログラム及び解析機能付与方法
US9817909B1 (en) Accessing information from a firmware using two-dimensional barcodes
US10007788B2 (en) Method of modeling behavior pattern of instruction set in N-gram manner, computing device operating with the method, and program stored in storage medium to execute the method in computing device
KR101963756B1 (ko) 소프트웨어 취약점 예측 모델 학습 장치 및 방법, 소프트웨어 취약점 분석 장치 및 방법
JP5441043B2 (ja) プログラム、情報処理装置、及び情報処理方法
CA2811617A1 (en) Commit sensitive tests
CN114254069A (zh) 域名相似度的检测方法、装置和存储介质
EP3506136B1 (en) Detecting stack cookie utilization in a binary software component using binary static analysis
US11003346B2 (en) Prototype storing method
KR101824583B1 (ko) 커널 자료구조 특성에 기반한 악성코드 탐지 시스템 및 그의 제어 방법
Greer Unsupervised interpretable feature extraction for binary executables using libcaise
US10565084B2 (en) Detecting transitions
CN113886774B (zh) 一种反调试方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200219

Year of fee payment: 4