Earticle

초록

영어

Malware variant is a metamorphic malware to avoid malware detection systems and consists a malware family with others which have the same origin. It is hard to detect those malware variants because metamorphic techniques can change the signature of the origin. In this paper, we propose a malware family detection method using instruction frequency. Instruction frequency would be similar between malware variants in the same malware family. For the instruction frequency comparison, we extract the longest common sub-sequence (LCS) from two instruction sequences which are sorted instructions by each instruction frequency and calculate the ratio of LCS size as the similarity of them. In the experiment, our method showed the good performance of malwrae family deteciton.

한국어

악성코드 변종이란 악성코드 탐지를 회피하기 위하여 기존의 악성코드를 변형한 악성코드를 의미 하고 악성코드 변종의 그룹을 악성코드 패밀리라 부른다. 악성코드 변종에 사용되는 변형 기법의 종 류가 다양해짐에 따라, 악성코드 탐지의 허점이 커져가고 있는 상황이다. 일반적인 악성코드 탐지 기 법은 악성코드로부터 시그네쳐를 추출하고, 추출된 시그네쳐를 검사 대상 파일이 포함하고 있는지를 검사한다. 하지만 악성코드 변종에서는 변형 기법에 의해 기존의 시그네쳐가 변경 될 수 있다. 본 논 문에서는 어셈블리어 명령어의 출현 빈도 정보를 사용하여 악성코드 변종을 탐지하는 방법을 제안한 다. 명령어 출현 빈도 정보는 악성코드 변종들 간에 유사한 특징을 지니고 있어, 명령어 출현 빈도 비교를 통해 악성코드 변종들을 탐지할 수 있다. 명령어 출현 빈도를 비교하기 위하여, 명령어를 출 현 빈도에 따라 정렬한 명령어 출현 시퀀스를 비교하였다. 또한 실제 악성코드 샘플에 대한 실험을 통해 본 논문에서 제안한 방법이 악성코드 패밀리 탐지에 효과적임을 보인다.

목차

요약
 Abstract
 1. 서론
 2. 관련 연구
 3. 제안하는 방법
  3.1. 어셈블리어 코드
  3.2. 명령어 출현 빈도
  3.3. 명령어 출현 시퀀스
  3.4. Longest Common Sub-sequence
 4. 실험 및 결과
  4.1. 실험 개요
  4.2. 실험 결과
 5. 결론
 참고문헌 [Reference]

키워드

저자

• 강부중 [ BooJoong Kang | 한양대학교 전자컴퓨터통신공학과. ]
• 이여름 [ Yeoreum Lee | 한양대학교 전자컴퓨터통신공학과. ]
• 임을규 [ Eul Gyu Im | 한양대학교 컴퓨터공학부. ] 교신저자

참고문헌

발행기관

간행물

표지보기 관심저널 등록

• 간행물명

  보안공학연구논문지 [Journal of Security Engineering]

• 간기

  계간

• pISSN

  1738-7531

• 수록기간

  2005~2017

• 십진분류

  KDC 505 DDC 605