$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

[국내논문] Section, DLL feature 기반 악성코드 분석 기술 연구
Malware Analysis Based on Section, DLL 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.27 no.5, 2017년, pp.1077 - 1086  

황준호 (호서대학교) ,  황선빈 (호서대학교) ,  김호경 (호서대학교) ,  하지희 (호서대학교) ,  이태진 (호서대학교)

초록
AI-Helper 아이콘AI-Helper

기존 악성코드를 기반으로 만들어지는 변종 악성코드들은 약간의 패턴 변화로도 기존 보안체계를 쉽게 회피할 수 있고 제작 과정이 간단하여 널리 사용되고 있다. 이러한 악성코드는 일평균 160만개 이상 출현하고 있고, 사이버 공간 뿐아니라 피해규모가 큰 IoT/ICS로 점차 확대되고 있다. 본 논문에서는 기존에 자주 이용되는 Pattern기반 분석, Sandbox기반 분석, CFG/Strings 기반 분석 등이 아니라, 큰 의미를 부여하지 않았던 PE Section 및 DLL의 특징에 기반한 분석방법을 제안한다. 제안모델을 실제 구축 및 실험결과, 유의미한 탐지율과 오탐율을 기록했으며, 기존의 다양한 분석기술을 복합 운영 시 효과적인 악성코드 대응이 가능할 것으로 기대된다.

Abstract AI-Helper 아이콘AI-Helper

Malware mutants based on existing malware is widely used because it can easily avoid the existing security system even with a slight pattern change. These malware appear on average more than 1.6 million times a day, and they are gradually expanding to IoT / ICS as well as cyber space, which has a la...

주제어

#Malware   #DLL   #Static analysis   #Classification   #Section  

질의응답

핵심어 질문 논문에서 추출한 답변
악성코드는 일평균 몇 개 이상 출현하는가? 기존 악성코드를 기반으로 만들어지는 변종 악성코드들은 약간의 패턴 변화로도 기존 보안체계를 쉽게 회피할 수 있고 제작 과정이 간단하여 널리 사용되고 있다. 이러한 악성코드는 일평균 160만개 이상 출현하고 있고, 사이버 공간 뿐아니라 피해규모가 큰 IoT/ICS로 점차 확대되고 있다. 본 논문에서는 기존에 자주 이용되는 Pattern기반 분석, Sandbox기반 분석, CFG/Strings 기반 분석 등이 아니라, 큰 의미를 부여하지 않았던 PE Section 및 DLL의 특징에 기반한 분석방법을 제안한다.
PE파일은 어떤 것들이 있는가? 전문가가 이러한 변종 악성코드들을 일일이 분석하는 것은 현실적으로 어렵기 때문에 자동화된 메커니즘을 통하여 분류하는 것이 필요하다는 것은 분명하다. PE(portable executable) 파일은 일반적으로 실행 가능한 파일로 EXE, SCR, DLL, SYS 등이 있는데 악성코드의 경우 대부분 PE 파일 이므로 프로세스나 서비스의 형태로 PE 파일 포맷을 따르게 된다. 따라서 본 논문에서는 악성코드들이 PE 파일 포맷을 따르는 것에 착안하여 PE 파일 포맷에 대하여 분석하고 feature를 선별 및 feature들의 통계학적 근거를 기반으로 한 악성코드 탐지를 수행하고 자 한다.
새로운 feature를 이용한 분석기술은 무엇을 자동으로 판별하는가? 먼저, 기존에 분석 완료된 악성코드, 정상파일에 대해서 Table 1과 같이 이전에 악성코드를 식별하기 위해서 사용한 feature들이 아닌 새로운 feature를 이용한 분석기술을 제안한다. 제안하는 알고리즘은 section과 DLL에 기반한 feature로 이를 이용하여서 baysian 가중치를 계산하고, 분석대상 파일에 대해서 악성여부를 자동으로 판별한다. PE 파일포맷에서 section과 .
질의응답 정보가 도움이 되었나요?

참고문헌 (29)

  1. Syarif Yusirwan S, Yudi Prayudi and Imam Riadi, "Implementation of Malware Analysis using Static and Dynamic Analysis Method," International Journal of Computer Applications. Volume 117 - No.6, pp11-15, May, 2015. 

  2. A. Moser, C. Kruegel, and E. Kirda, "Limits of Static Analysis for Malware Detection," IEEE, DOI10.1109/ACSAC. pp421-430, 2007.21 

  3. Hiran V. Nath and Babu M. Mehtre, "Static Malware Analysis Using Machine Learning Methods," G. Martinez Perez et al. (Eds.): SNDS 2014, CCIS 420, pp. 440-450, 2014. 

  4. Sung-tae Yu and Soo-hyun Oh, "Malware Analysis Mechanismusing Word Cloud based on API Statistics," Vol. 16, No. 10 pp. 7211-7218, 2015. 

    원문보기 상세보기 crossref

  5. Han-young Noh, "Complexity-based Packed Executable Classification with High Accuracy," School of Engineering, pp1-35, 2009. 

  6. Hee-jun kwon, Sun-woo Kim and Eul-gyu IM, "An Malware Classification System using Multi N-gram," Security Engineering Journal, Volume 9, Issue 6 pp.531-542, 12.2012. 

  7. Youngjoon Ki, Eunjin Kim and Huy Kang Kim, "A NoveApproach to Detect Malware based on API Call SequenceAnalysis," International Journal of Distributed Sensor Network, pp.9, 2015. 

  8. Scott Treadwell and Mian Zhou, "A Heuristic Approach forDetection of Obfuscated Malware," 2009 IEEE. ISI, Richardson, TX, USA, pp.291-299, June 8-11, 2009. 

  9. R. de Janeiro, "Mohaisen A, Alrawi O (2013) Unveiling zeus: automated classification of malware samples. In:22nd international conference on worldwide webcompanion," ACM New York, NY, USA. pp.829-832, May 2013. 

  10. Lee, Taejin, and Jin Kwak. "Effective and Reliable Malware Group Classification for a Massive Malware Environment," International Journal of Distributed Sensor Networks 2016 (2016). 

    상세보기

  11. A. Sami, B. Yadegari, H. Rahimi, N. Peiravian, S. Hashemi, and A. Hamze, "Malware detection based on mining API calls," in Proceedings of the 25th Annual ACM Symposium on Applied Computing (SAC '10), pp. 1020-1025,ACM,March 2010. 

  12. M. K. Shankarapani, S. Ramamoorthy, R. S. Movva, and S. Mukkamala, "Malware detection using assembly and API call sequences," Journal in Computer Virology, vol. 7, no. 2, pp. 107-119, 2011. 

    상세보기 crossref

  13. M. Christodorescu, J. Kinder, S. Jha, S. Katzenbeisser, and H. Veith, "Malware normalization," EPFL-REPORT 167534, University of Wisconsin, Madison,Wis, USA, 2005. 

  14. N. Idika and A. P. Mathur, "A survey of malware detection techniques," [Predoctoral Fellowship, and Purdue Doctoral Fellowship], Purdue University, February 2007. 

  15. Y. Ye, D. Wang, T. Li, and D. Ye, "IMDS: intelligent malware detection system," in Proceedings of the 13th 

  16. ACM SIGKDD International Conference on Knowledge Discovery and Data Mining, pp. 1043-1047,ACM,August 2007. 

  17. Wu. L, et. al, "Behavior-based malware analysis and detection," 2011 first international workshop on complexity and data mining (IWCDM). IEEE, New York, pp 39-42, 2011. 

  18. Pratiksha N and Deepti V, "Malware detection using API function frequency with ensemble based classifier." Security in computing and communications. Springer, Berlin 2013. 

  19. Kyung-moon Woo and Chong-kwon Kim, "Internet Worm Propagation Modeling using a Statistical Method," The Journal of the Korean Institute of Communication Sciences'12-03 Vol.37B No.03. pp.212-218, March 2012. 

  20. AV-TEST, Total Malware Statistics, https://www.av-test.org/ 

  21. Mandiant, Cyber Threat Intelligence Report 

  22. Kaspersky, https://usa.kaspersky.com/ 

  23. CTA(Cyber Threat Alliance), http://www.cyberthreatalliance.org/ 

  24. CSC(Cyber Security Coalition), http://www.cybersecuritycoalition.be/ 

  25. ACM workshop on Security and artificial intelligence (AISec) 

  26. Malware Normalization 

  27. https://infoscience.epfl.ch/record/167534/files/malwarenorm 

  28. http://ocslab.hksecurity.net/apimds-dataset 

  29. Dong-wook Hwang, Hong-koo Kang, Tae-jin Lee, "A Study on Malicious Activity Automatic Detection based on API calls," Proceedings of Symposium of the Korean Institute of communications and Information Sciences, 2016. 

저자의 다른 논문 :

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로