검색 상세

정상 행위 기반의 악성코드 탐지를 위한 응용 프레임워크

An Application Framework for Malware Detection Based on Normal Behavior

초록/요약

최근 사용자의 편의를 제공하기 위하여 컴퓨팅을 이용한 다양한 서비스가 제공됨에 따라 공인인증서나 카드정보, 로그인 정보 등과 같은 중요한 정보들을 컴퓨팅 기기에 저장하는 횟수가 증가하였다. 하지만 이를 악용하는 사례가 빈번히 발생하고 있어 정보의 보호에 대한 관심과 필요성이 높아지고 있다. 종래의 시그니처기반 탐지 기법은 악의적인 프로그램의 코드를 분석하여 악성코드마다의 시그니처 패턴을 찾아야 하기 때문에 변종에 대해 실시간으로 대응할 수 없다는 단점이 있다. 본 논문에서는 외부 모니터링 프로세스와 내부 모니터링 모듈이 상호 협력하여 악성코드의 신종 및 변종을 실시간으로 탐지할 수 있는 정상행위 기반 악성코드 탐지 응용 프레임워크를 제안하고자 한다. 응용 프레임워크는 인증된 응용 프로그램의 자원을 보장하기 위해 응용 프로세스 내부에서 작동하는 모니터링 모듈과 외부에서 작동하는 모니터링 모듈 및 이들의 협업을 이용하여 응용 프로그램의 내외부의 비정상행위를 탐지하고 차단하는 프레임워크를 제안한다. 본 응용 프레임워크는 악성코드가 실행될 수 있는 4가지 환경에 대하여 비정상 행위를 차단할 수 있다. 첫 번째는 내부 프로세스에서 악성코드가 실행될 때 악성코드가 정상적인 행위로 가장하기 위하여 내부 모니터링 장치를 통해 API 호출을 한 경우이며 두 번째는 내부의 모니터링 장치를 거치지 않고 OS의 API를 직접 접근하는 경우이고, 세 번째는 프로세스 외부에서 악성코드가 실행될 때 해당 응용프로세스가 이미 실행 중일 경우와 마지막으로 응용프로세스가 실행 중이지 않을 경우이다. 기존의 행위기반 탐지의 경우에는 비정상행위의 존재 여부를 확률적으로 판별하는 반면, 본 연구에서는 내부 모니터링 장치와 외부 모니터링 장치의 상호협력을 통해 비정상행위의 존재 여부를 확정적으로 탐지하는 것이 가능하다.

more

목차

제1장 서 론 1
제2장 관련연구 5
제1절 악성코드 5
제1항 스파이웨어 5
제2항 컴퓨터 바이러스 6
제2절 시그니처 기반 탐지 기법 7
제3절 행위 기반 탐지 기법 7
제3장 정상행위 기반 악성코드 탐지 프레임워크 11
제1절 기본 프레임워크 12
제2절 비정상 행위 탐지 방법 14
제1항 비정상 행위 탐지 14
제2항 악성코드가 내부 모니터링 모듈을 통해 API를 호출한 경우 16
제3항 악성코드가 내부 모니터링 모듈을 통해 API를 호출하지 않은 경우 23
제4항 응용 프로그램이 실행 중일 때 악성코드가 별도의 프로세스를 생성한 경우 24
제5항 응용 프로그램이 실행 중이 아닐 때 응용 프로그램과 관련된 API 호출이 발생한 경우 26
제4장 프레임워크 설계 및 구현 29
제1절 내부 모니터링 모듈 30
제1항 규칙 관리 모듈(Rule Management Module) 30
제2항 커뮤니케이션 관리자(Communication Manager) 31
제3항 API 브릿지(API Bridge) 32
제4항 API 비교자(API Comparer) 32
제2절 외부 모니터링 프로세스 34
제1항 규칙 컨테이너(Rule Container) 34
제2항 API 후킹(API Hooking) 35
제3항 비정상 행위 탐지기(Abnormal Behavior Detector) 36
제3절 프레임워크 협업 프로세스 36
제1항 내부 모니터링 모듈을 통해 API 호출을 한 경우 36
제2항 내부 모니터링 모듈을 거치지 않고 OS의 API를 직접 호출하는 경우 37
제3항 응용 프로그램이 실행 중일 때 악성코드가 별도의 프로세스를 생성하는 경우 38
제4항 응용 프로그램이 실행 중이 아닐 때 응용 프로그램과 관련한 API 호출이 발생한 경우 38
제4절 구현 39
제1항 내부 모니터링 모듈 39
제2항 외부 모니터링 프로세스 42
제5장 결 론 47
참 고 문 헌 49
ABSTRACT 53

more
반출 Meta View 목록