정상 행위 기반의 악성코드 탐지를 위한 응용 프레임워크 :An Application Framework for Malware Detection Based on Normal Behavior

조지영

추천

검색

자료유형: 학위논문

저자정보: 조지영 (아주대학교, 아주대학교 대학원)

지도교수: 류기열

발행연도: 2015

저작권: 아주대학교 논문은 저작권에 의해 보호받습니다.

이용수0

이 논문의 연구 히스토리 (2)

2015

정상 행위 기반의 악성코드 탐지를 위한 응용 프레임워크

조지영 소프트웨어특성화 2015.01 학위논문

2014

정상 행위 기반 악성코드 탐지 응용 프레임워크

조지영 , 류기열 , 이정태 한국정보과학회 학술발표논문집 2014.12 학술대회자료

이 논문의 후속연구가 궁금하신가요?
연관 학술논문 또는 학술발표를 통해 보다 발전된 연구결과를 확인하실 수 있습니다.
이 논문의 연구 히스토리 확인하기

초록· 키워드

오류제보하기

최근 사용자의 편의를 제공하기 위하여 컴퓨팅을 이용한 다양한 서비스가 제공됨에 따라 공인인증서나 카드정보, 로그인 정보 등과 같은 중요한 정보들을 컴퓨팅 기기에 저장하는 횟수가 증가하였다. 하지만 이를 악용하는 사례가 빈번히 발생하고 있어 정보의 보호에 대한 관심과 필요성이 높아지고 있다. 종래의 시그니처기반 탐지 기법은 악의적인 프로그램의 코드를 분석하여 악성코드마다의 시그니처 패턴을 찾아야 하기 때문에 변종에 대해 실시간으로 대응할 수 없다는 단점이 있다. 본 논문에서는 외부 모니터링 프로세스와 내부 모니터링 모듈이 상호 협력하여 악성코드의 신종 및 변종을 실시간으로 탐지할 수 있는 정상행위 기반 악성코드 탐지 응용 프레임워크를 제안하고자 한다. 응용 프레임워크는 인증된 응용 프로그램의 자원을 보장하기 위해 응용 프로세스 내부에서 작동하는 모니터링 모듈과 외부에서 작동하는 모니터링 모듈 및 이들의 협업을 이용하여 응용 프로그램의 내외부의 비정상행위를 탐지하고 차단하는 프레임워크를 제안한다. 본 응용 프레임워크는 악성코드가 실행될 수 있는 4가지 환경에 대하여 비정상 행위를 차단할 수 있다. 첫 번째는 내부 프로세스에서 악성코드가 실행될 때 악성코드가 정상적인 행위로 가장하기 위하여 내부 모니터링 장치를 통해 API 호출을 한 경우이며 두 번째는 내부의 모니터링 장치를 거치지 않고 OS의 API를 직접 접근하는 경우이고, 세 번째는 프로세스 외부에서 악성코드가 실행될 때 해당 응용프로세스가 이미 실행 중일 경우와 마지막으로 응용프로세스가 실행 중이지 않을 경우이다. 기존의 행위기반 탐지의 경우에는 비정상행위의 존재 여부를 확률적으로 판별하는 반면, 본 연구에서는 내부 모니터링 장치와 외부 모니터링 장치의 상호협력을 통해 비정상행위의 존재 여부를 확정적으로 탐지하는 것이 가능하다.

#정보보호 #악성코드 탐지 #행위기반

제１장 서 론 1
제２장 관련연구 5
제１절 악성코드 5
제１항 스파이웨어 5
제２항 컴퓨터 바이러스 6
제２절 시그니처 기반 탐지 기법 7
제３절 행위 기반 탐지 기법 7
제３장 정상행위 기반 악성코드 탐지 프레임워크 11
제１절 기본 프레임워크 12
제２절 비정상 행위 탐지 방법 14
제１항 비정상 행위 탐지 14
제２항 악성코드가 내부 모니터링 모듈을 통해 API를 호출한 경우 16
제３항 악성코드가 내부 모니터링 모듈을 통해 API를 호출하지 않은 경우 23
제４항 응용 프로그램이 실행 중일 때 악성코드가 별도의 프로세스를 생성한 경우 24
제５항 응용 프로그램이 실행 중이 아닐 때 응용 프로그램과 관련된 API 호출이 발생한 경우 26
제４장 프레임워크 설계 및 구현 29
제１절 내부 모니터링 모듈 30
제１항 규칙 관리 모듈(Rule Management Module) 30
제２항 커뮤니케이션 관리자(Communication Manager) 31
제３항 API 브릿지(API Bridge) 32
제４항 API 비교자(API Comparer) 32
제２절 외부 모니터링 프로세스 34
제１항 규칙 컨테이너(Rule Container) 34
제２항 API 후킹(API Hooking) 35
제３항 비정상 행위 탐지기(Abnormal Behavior Detector) 36
제３절 프레임워크 협업 프로세스 36
제１항 내부 모니터링 모듈을 통해 API 호출을 한 경우 36
제２항 내부 모니터링 모듈을 거치지 않고 OS의 API를 직접 호출하는 경우 37
제３항 응용 프로그램이 실행 중일 때 악성코드가 별도의 프로세스를 생성하는 경우 38
제４항 응용 프로그램이 실행 중이 아닐 때 응용 프로그램과 관련한 API 호출이 발생한 경우 38
제４절 구현 39
제１항 내부 모니터링 모듈 39
제２항 외부 모니터링 프로세스 42
제５장 결 론 47
참 고 문 헌 49
ABSTRACT 53

최근 본 자료

전체보기

구분	그룹	데이터 항목
AI 학습용 데이터	원문	원문 PDF 파일
AI 학습용 데이터	원문 + 메타 (기본/상세)	원문 PDF 파일 및 서지정보 CSV
대량 구매용 데이터	B2B 구독 방식	특정 자료 한정으로 원문 접근 권한 부여
대량 구매용 데이터	URL 전달 방식	바로 PDF 뷰어를 열람할 수 있는 URL 제공

구분	그룹	데이터 항목
AI 학습용 데이터	기본 메타	발행기관명, 간행물명, 권호명, 권(vol), 호(issue), 통권, 발행연도, 발행월, 논문명, 저자명, 시작페이지, 종료페이지, 전체페이지, 상세페이지URL
상세 메타 데이터	발행기관 메타	발행기관 이명, 영문명, 창립연도, 홈페이지URL, 발행기관 소개
	간행물 메타	부제목, 간행물 유형, ISSN, ISBN, 최초발행연도, 폐간연도, 간행빈도, 발행주기, 등재사항, 이용수, 피인용수, 권호수, 논문수, 표지이미지
	논문 메타	작성 언어, 부제목, 대등제목, 목차, 키워드, 초록, 이미지, 참고문헌, 이용수, 피인용수, 논문활용도, DBpia통합주제분류, KDC분류, DDC분류, 한국연구재단분류, UCI, DOI
	저자 메타	소속기관, 소속부서, 직급, 연구분야, 연구키워드, 이용수, 피인용수, 저자 논문활용도

구분	그룹	데이터 항목
※ 결합형/맞춤형 메타 데이터는 신청 내용에 따라 다양하게 제공 가능
이용순위 정보	주제분야별 많이 이용된 논문	“인문학”에서 많이 이용된 논문 TOP100
	이용기관별 많이 이용된 논문	“중고등학교”에서 많이 이용된 논문 TOP100
	세부기관별 많이 이용된 논문	“서울대학교”에서 많이 이용된 논문 TOP100
	키워드별 많이 이용된 논문	“Chat GPT”에서 많이 이용된 논문 TOP100
키워드 정보	많이 이용된 키워드	특정기간/분야/저널 내 많이 이용된 키워드
	많이 발행된 키워드	특정기간/분야/저널 내 많이 발행된 키워드
	많이 검색된 키워드	특정기간/분야/저널 내 많이 검색된 키워드
	연구 트렌드 키워드	특정 키워드 연관 연구동향 분석 데이터 키워드

논문 기본 정보

이 논문의 연구 히스토리 (2)

초록· 키워드

목차

최근 본 자료

댓글(0)