다형성 스크립트 바이러스 탐지를 위한 자료 흐름 분석기법의 확장

다형성 스크립트 바이러스 탐지를 위한 자료 흐름 분석기법의 확장

ㆍ 저자명: 김철민,이형준,이성욱,홍만표,Kim. Chol-Min,Lee. Hyoung-Jun,Lee. Seong-Uck,Hong. Man-Pyo
ㆍ 간행물명: 정보처리학회논문지. The KIPS transactions. Part C Part C
ㆍ 권/호정보: 2003년|7호|pp.843-850 (8 pages)
ㆍ 발행정보: 한국정보처리학회
ㆍ 파일정보: 정기간행물|
PDF텍스트
ㆍ 주제분야: 기타

이 논문은 한국과학기술정보연구원과 논문 연계를 통해 무료로 제공되는 원문입니다.

서지반출

기타언어초록

스크립트 바이러스는 제작이 쉽고 텍스트 형식으로 코드가 유포되는 특징으로 인해 변종 출현이 빈번하여, 시그너쳐에 의존하지 않고 탐지하려는 시도가 이루어지고 있다. 그러나 이러한 단순 휴리스틱 기법은 긍정 오류가 높은 단점이 있다. 이를 개선하기 위해 자료 흐름 분석을 이용하여 오류율을 낮춘 탐지 기법이 제시되었다. 그러나 이 기법은 탐지 대상이 다형성 바이러스여서 셀프를 읽어 들여 변형을 가한 후 새로 운 복사본을 만드는 방식으로 전파될 경우 탐지하지 못하는 단점을 지닌다. 이를 극복하기 위해 본 논문에서는 기존의 자료 흐름 분석 휴리스틱 기법이 가지는 정적 분석 기법을 확장하여 다형성 스크립트 바이러스가 가지는 특징도 탐지할 수 있도록 하는 기법을 제안한다. 확장된 자료 흐름 분석 휴리스틱 기법은 확장된 문법을 통해 기존의 기법이 인식할 수 없었던 변형된 복사 전파를 인식할 수 있다. 또한 본 논문에서는 제안된 기법을 구현하여 제안된 기법이 가지는 탐지율에 대한 실험 결과를 제시한다.

기타언어초록

Script viruses are easy to make a variation because they can be built easily and be spread in text format. Thus signature-based method has a limitation in detecting script viruses. In a consequence, many researches suggest simple heuristic methods, but high false-positive error is always being an obstacle. In order to overcome this problem, our previous study concentrated on analyzing data flow of codes and has low-false positive error, but still could not detect a polymorphic virus because polymorphic virus loads self body and changes it before make a descendent. We suggest a heuristic detection method which expands the detection range of previous method to include polymorphic script viruses. Expanded data flow analysis heuristic has an expanded grammar to detect Polymorphic copy Propagation. Finally, we will show the experimental result for the effectiveness of suggested method.

키워드

스크립트 바이러스 자료 흐름 분석 바이러스 다형성 Script Virus Data Flow Analysis Virus Polymorphism

다운URL