Earticle

현재 위치 Home

악성프로그램 탐지를 위한 PE헤더 특성 분석 기술
PE Header Characteristics Analysis Technique for Malware Detection

첫 페이지 보기
  • 발행기관
    한국융합보안학회 바로가기
  • 간행물
    융합보안논문지 KCI 등재후보 바로가기
  • 통권
    제8권 제2호 (2008.06)바로가기
  • 페이지
    pp.63-70
  • 저자
    최양서, 김익균, 오진태, 류재철
  • 언어
    한국어(KOR)
  • URL
    https://www.earticle.net/Article/A168807

※ 기관로그인 시 무료 이용이 가능합니다.

4,000원

원문정보

초록

영어
In order not to make the malwares be easily analyzed, the hackers apply various anti-reversing and obfuscation techniques to the malwares. However, as the more anti-revering techniques are applied to the malwares the more abnormal characteristics in the PE file’s header which are not shown in the normal PE file, could be observed. In this letter, a new malware detection technique is proposed based on this observation. For the malware detection, we define the Characteristics Vector(CV) which can represent the characteristics of a PE file’s In the learning phase, we calculate the average CV(ACV) of malwares(ACVM) and normal files(ACVN). To detect the malwares we calculate the 2 Weighted Euclidean Distances(WEDs) from a file’s CV to ACVs and they are used to decide whether the file is a malware or not. The proposed technique is very fast and detection rate is fairly high, so it could be applied to the network based attack detection and prevention devices. Moreover, this technique is could be used to detect the unknown malwares because it does not utilize a signature but the malware’s characteristics.
한국어
최근 발생하는 다양한 악성 프로그램을 분석해 보면, 해당 악성 프로그램을 쉽게 분석할 수 없도록 하기 위해 다양한 분석 방해 기법들이 적용되고 있다. 그러나, 분석 방해 기법들이 적용될수록, 악성 프로그램의 PE파일 헤더에는 정상적인 일반 PE파일의 헤더와는 다른 특징이 더 많이 나타난다. 본 논문에서는 이를 이용하여 악성 프로그램을 탐지할 수 있는 방법을 제안하고자 한다. 이를 위해, PE파일 헤더의 특징을 표현할 수 있는 특징 벡터(Characteristic Vector, CV)를 정의하고, 정상 실행 파일의 특징 벡터의 평균(ACVN)과 악성 실행 파일의 특징 벡터의 평균(ACVM)을 사전 학습을 통해 추출한다. 이후, 임의 파일의 특징 벡터와 ACVN, ACVM간의 Weighted Euclidean Distance(WED)를 계산하고, 이를 기반으로 해당 파일이 정상파일인지 혹은 악성 실행 파일인지를 판단하는 기술을 제안한다.

목차

요약
 ABSTRACT
 1. 서론
 2. 관련 연구
  2.1 악성 프로그램 탐지 기법 분류[9]
  2.2 악성 프로그램 탐지 기법
  2.3 PE 파일 Header
 3. 분석 방해(Anti-Reversing) 기법
 4. 악성 프로그램 탐지 알고리즘
  4.1 PE헤더 특징 벡터
  4.2 평균 특징 벡터(ACV)
  4.3 악성파일 탐지 기법
 5. 실험 결과
 참고문헌

키워드

Malware Detection PE Header

저자

  • 최양서 [ Yang Seo Choi | 한국전자통신연구원 보안게이트웨이연구팀 ]
  • 김익균 [ Ik Kyun Kim | 한국전자통신연구원 보안게이트웨이연구팀 ]
  • 오진태 [ Jin Tae Oh | 한국전자통신연구원 보안게이트웨이연구팀 ]
  • 류재철 [ Jae Cheol Ryu | 충남대학교 컴퓨터공학과 ]

참고문헌

자료제공 : 네이버학술정보

간행물 정보

발행기관

  • 발행기관명
    한국융합보안학회 [Korea Information Assurance Society]
  • 설립연도
    2001
  • 분야
    공학>전자/정보통신공학
  • 소개
    본 학회는 사이버테러 및 정보전에 관한 학문연구ㆍ기술 개발ㆍ기반 구축을 도모하고 국내ㆍ외 관계기관과 학술교류와 정보교환을 통하여 회원 상호간의 전문지식을 배양하고, 궁극적으로는 국가 중요 정보기반구조를 보호함을 그 목적으로 한다.

간행물

  • 간행물명
    융합보안논문지 [Jouranl of Information and Security]
  • 간기
    연5회
  • pISSN
    1598-7329
  • 수록기간
    2001~2026
  • 등재여부
    KCI 등재
  • 십진분류
    KDC 005 DDC 005

이 권호 내 다른 논문 / 융합보안논문지 제8권 제2호

    피인용수 : 0(자료제공 : 네이버학술정보)

    함께 이용한 논문 이 논문을 다운로드한 분들이 이용한 다른 논문입니다.

      출처 : 네이버학술정보

        0개의 논문이 장바구니에 담겼습니다.

        페이지 저장
        소속기관 조회
        이용자님의 소속기관(단체)이 서비스에 가입되어 있는지 확인해 보십시오.
        기관회원에 소속되어 있는 이용자는 원문을 무료로 이용할 수 있습니다.