웹 서비스

[yerinoh]

메인서비스 : 악성 / 정상 판별

부가서비스 1: 유사파일 제공 부가서비스 2: 악성행위 부분 표시

이렇게만 하는게 좋을 것 같아요. 부가서비스가 너무 많으면 메인서비스가 가려질 것 같다는 개인적인 의견입니다. 의견 주세요.

[kjh3141592]

유사파일을 제공한다는 말은, 어떤 파일 A를 업로드했을 때 유사한 파일 A'을 제공한다는 의미인가요?

1. 유사파일의 정의를 어떻게 해야 할까요? 파일의 특징이 유사하다 / 유사한 구조의 악성 코드이다. / 유사한 행위를 하는 악성 코드이다 / ... 1-1 어떤 형태로든 두 파일이 유사하다는 것을 알 수 있다면, 악성 코드의 종류를 알려준다던지 (예를 들어 클러스터링 된 집합에 트로이목마로 분류된 악성코드가 많다면 이 파일도 트로이목마로 분류하는 형태; label된 일부 데이터 필요) 악성파일의 발원지를 추출하는 형태의 활용은 어떤가요?
2. 파일의 제공 권한이 있나요? 예를 들어 악성파일의 경우 유료로 구매하거나, 재배포가 불가능한 파일이 있을 것 같아요.

[ghoxa]

저도 1번 질문과 같은 의견으로 궁금합니다. 유사하다는 것을 어떻게 정의하고 구현할지 그리고 유사한걸 알 수 있다면 그 유사한 파일을 어디서 데이터를 가져와서 표출할지! 2번은 정상은 초록 ,악성은 빨강 이런식으로 표현할수 있다면 좋을것 같은데 그때 카페 테인에서 현기가 말한것중 저런 비슷한 거 있다고 했던거 같은데 그게 이름이 뭐였는지?!

이 부가서비스 부분이 해결이 된다면 구조적으로 벡엔드에서 어떤걸 보면 좋을지 혹시 아는거나 떠오르는게 있으면 의견주세요 저도 찾아볼게요.

[shonhyeongy]

위 두 질문에 답변하면

1. 유사한 파일의 정의는 파일자체가 유사하다고 보시면됩니다. 악성코드일수도있고 카피킬러같은거라고 보시면 될듯합니다. 관련 알고리즘은 ssdeep 해쉬를 한번 보시면 될듯합니다.

2. 이 질문은 나중에 문제가 생기면 공개할수 있는 파일만 공개하면 될듯합니다.

3. 이 유사한 파일을 제공해주는 서비스는 Virustotal 이라는 곳에서 하는중입니다.