공통속성과 가중치를 이용한 변종 악성코드 탐지 방법 :Malware Variant Detection Method Using Common Attributes and Weights

박성빈

추천

검색

자료유형: 학위논문

저자정보: 박성빈 (전남대학교, 전남대학교 대학원)

지도교수: 노봉남

발행연도: 2013

저작권: 전남대학교 논문은 저작권에 의해 보호받습니다.

이용수1

이 논문의 연구 히스토리 (2)

2013

공통속성과 가중치를 이용한 변종 악성코드 탐지 방법

박성빈 정보보호협동과정 2013.01 학위논문

2012

자동화된 도구에 의해 생성된 변종 악성코드의 공통 속성을 이용한 탐지 방법

박성빈 , 김민수 , 노봉남 한국정보기술학회논문지 2012.09 학술저널

이 논문의 후속연구가 궁금하신가요?
연관 학술논문 또는 학술발표를 통해 보다 발전된 연구결과를 확인하실 수 있습니다.
이 논문의 연구 히스토리 확인하기

초록· 키워드

오류제보하기

최근 악성코드는 급속한 속도로 증가하고 있는 스마트 플랫폼 사용자와 소셜 네트워크의 등장으로 인해 과거보다 더욱 다양하고 빠르게 확산되고 있다. 특히 변종 악성코드가 급증하고 있는 것으로 나타나고 있으며, 그 원인 중 하나로 자동화된 악성코드 생성도구의 유포를 들 수 있다. 생성도구는 비전문가도 손쉽게 악성코드를 생성할 수 있도록 도와주기 때문에 변종 악성코드의 증가와 밀접한 관련이 있다. 이러한 악성코드 생성도구는 인터넷을 통해 유포되거나 높은 금액으로 불법 거래되기도 한다. 유포된 도구로 만들어진 악성코드는 사용자의 금융 관련 정보를 탈취하거나 서비스 거부 공격을 위한 봇넷 감염 등의 보안 위협을 발생시킨다. 이러한 보안 위협에 대응하기 위한 국내？외 많은 안티 바이러스 업체들의 지속적인 노력에도 불구하고, 감당하기 힘들만큼 많은 양의 변종 악성코드가 만들어지고 있다. 변종 악성코드는 많은 변조 기술을 이용하여 기존의 시그니처 기반의 탐지 방법을 간단히 우회할 수 있다. 이를 보완하기 위해 연구된 휴리스틱 기반의 탐지 방법은 악성코드의 특징을 기반으로 변종을 탐지하지만 알려지지 않은 악성코드를 탐지하기에는 역부족이다. 최근에는 대부분 악성코드의 행위를 보고 판단하는 행위기반 탐지 방법이 주로 사용되고 있다. 하지만 휴리스틱 방식이든 행위기반 방식이든 새로운 변종 악성코드를 탐지하기는 그리 쉬운 일이 아니다. 최대한 샘플을 빨리 수집하여 신속하게 업데이트를 수행하는 것이 무엇보다 중요하다. 따라서 자동화된 도구에 의해 생성되는 수많은 변종 악성코드에 대응하기 위한 탐지 및 분류 시스템에 대한 연구가 필요하다.
본 논문에서는 변종 악성코드를 탐지하기 위한 방법으로 공통속성과 가중치를 이용한 방법을 제안한다. 자동생성 도구에서 만들어진 변종 악성코드 집합은 행위에 있어서 약간의 차이가 있을 뿐 논리적 구조의 핵심은 동일하기 때문에 대부분 유사한 속성을 가지고 있다. 탐지율 검증을 위해 8개의 생성도구와 이슈가 되었던 변종 악성코드 1종을 수집한다. 각 생성도구에서 각각 100개의 샘플을 생성하고, 수집한 변종 악성코드는 23개로 총 823개의 샘플을 이용한다. 생성한 악성코드 샘플의 분석을 통해 추출한 7개 항목의 속성을 통합하여 만들어진 공통속성을 데이터베이스화 하여 탐지하고자 하는 샘플과의 유사도 비교를 통해 탐지를 수행한다. 그리고 각 생성도구별 특징에 따라 속성별 가중치를 다르게 부여함으로서 탐지율을 높인다. 이와 같은 방법으로 실험한 결과 평균 89% 이상의 탐지율을 보인다. 따라서 본 논문에서 제안하는 방법은 자동화된 도구에 의해 생성되는 수많은 변종 악성코드의 보안 위협에 기여할 수 있다.

#malware #variants of malware

1. 서론 1
가. 연구 배경 및 목적 1
나. 연구 내용 및 범위 3
다. 논문 구성 3
2. 관련 연구 4
가. 악성코드 개요 4
1) 악성코드 정의 및 분류 4
2) 악성코드 특징 및 기술 7
나. 변종 악성코드 동향 및 보안 위협 9
1) 스턱스넷(Stuxnet)과 유사한 듀큐(Duqu) 변종 악성코드 9
2) 제우스(Zeus) 새로운 변종 악성코드 Gameover 11
3) 페이스북을 이용한 제우스(Zeus) 변종 악성코드 12
4) 부팅장애를 일으키는 ws2help.dll 변종 악성코드 13
5) 변종 MBR 루트킷(Rootkit) 13
다. 악성코드 분석 방법 14
1) 정적 분석 방법 14
2) 동적 분석 방법 15
라. 최근 변종 악성코드 탐지 방법 연구 16
1) 변종 악성코드 탐지 16
2) 행위 그래프 기반의 변종 악성코드 탐지 19
3) Opcode 통계 기능을 이용한 PE 파일의 변종 악성코드 탐지 23
3. 변종 악성코드 생성도구 분석 및 공통 속성 추출 25
가. 변종 악성코드 생성도구 개요 25
나. 변종 악성코드 생성도구 분석 26
1) JPS Virus Maker 26
2) Necronomikons Windoze 26
3) NX Virus Creation Lab 27
4) Pinch3 Builder 27
5) SAT TCK 28
6) Necro Virus Maker 28
7) Toxic CV 28
8) Zeus Builder 29
다. 변종 악성코드 공통 속성 추출 31
1) 동적 분석을 이용한 악성코드 속성 추출 32
2) 추출한 속성 전처리 34
3) 공통 속성 추출 알고리즘 37
라. 변종 악성코드 공통 속성 프로파일 39
4. 데이터베이스 설계 및 유사도 비교 방법 41
가. 데이터베이스 설계 및 구축 41
1) 데이터베이스 설계 41
2) 데이터베이스 구축 43
나. 유사도 비교 방법 45
5. 실험 및 결과 49
가. 악성코드 탐지 및 분류 실험 49
나. 속성 가중치 부여 50
다. 실험 결과 53
6. 결론 및 향후 연구 55
참고문헌 57
영문초록 63
부록 65

최근 본 자료

전체보기

구분	그룹	데이터 항목
AI 학습용 데이터	원문	원문 PDF 파일
AI 학습용 데이터	원문 + 메타 (기본/상세)	원문 PDF 파일 및 서지정보 CSV
대량 구매용 데이터	B2B 구독 방식	특정 자료 한정으로 원문 접근 권한 부여
대량 구매용 데이터	URL 전달 방식	바로 PDF 뷰어를 열람할 수 있는 URL 제공

구분	그룹	데이터 항목
AI 학습용 데이터	기본 메타	발행기관명, 간행물명, 권호명, 권(vol), 호(issue), 통권, 발행연도, 발행월, 논문명, 저자명, 시작페이지, 종료페이지, 전체페이지, 상세페이지URL
상세 메타 데이터	발행기관 메타	발행기관 이명, 영문명, 창립연도, 홈페이지URL, 발행기관 소개
	간행물 메타	부제목, 간행물 유형, ISSN, ISBN, 최초발행연도, 폐간연도, 간행빈도, 발행주기, 등재사항, 이용수, 피인용수, 권호수, 논문수, 표지이미지
	논문 메타	작성 언어, 부제목, 대등제목, 목차, 키워드, 초록, 이미지, 참고문헌, 이용수, 피인용수, 논문활용도, DBpia통합주제분류, KDC분류, DDC분류, 한국연구재단분류, UCI, DOI
	저자 메타	소속기관, 소속부서, 직급, 연구분야, 연구키워드, 이용수, 피인용수, 저자 논문활용도

구분	그룹	데이터 항목
※ 결합형/맞춤형 메타 데이터는 신청 내용에 따라 다양하게 제공 가능
이용순위 정보	주제분야별 많이 이용된 논문	“인문학”에서 많이 이용된 논문 TOP100
	이용기관별 많이 이용된 논문	“중고등학교”에서 많이 이용된 논문 TOP100
	세부기관별 많이 이용된 논문	“서울대학교”에서 많이 이용된 논문 TOP100
	키워드별 많이 이용된 논문	“Chat GPT”에서 많이 이용된 논문 TOP100
키워드 정보	많이 이용된 키워드	특정기간/분야/저널 내 많이 이용된 키워드
	많이 발행된 키워드	특정기간/분야/저널 내 많이 발행된 키워드
	많이 검색된 키워드	특정기간/분야/저널 내 많이 검색된 키워드
	연구 트렌드 키워드	특정 키워드 연관 연구동향 분석 데이터 키워드

논문 기본 정보

이 논문의 연구 히스토리 (2)

초록· 키워드

목차

최근 본 자료

댓글(0)