Native API 의 효과적인 전처리 방법을 이용한 악성 코드 탐지 방법에 관한 연구

Vol. 22, No. 4, pp. 785-796, 8월. 2012
10.13089/JKIISC.2012.22.4.785, Full Text:
Keywords: Malicious Code, Intrusion Detection System, GLDA
Abstract

본 논문에서는 악성코드의 시스템 콜 빈도수를 특징값으로 행위 기반 탐지(behavior-based detection)를 할 때, 시스템 콜의 속성 개수보다 학습데이터 개수가 적더라도 효과적으로 악성 코드를 탐지하는 기법을 제안한다. 이 연구에서는, 프로그램 코드가 동작할 때, 발생시키는 윈도우 커널 데이터인 Native API를 수집하여 빈도수로 정규화한 것을 기본적인 속성 값으로 사용하였다. 또한 악성코드와 정상 코드를 효과적으로 분류할 수 있으면서, 악성코드를 분류하기 위한 기본적인 속성의 개수보다 학습데이터 개수가 적어도 적용 가능한 GLDA(Generalized Linear Discriminant Analysis)를 사용하여, 새로운 속성 값들로 전환하였다. 분류 기법으로는 베이지언 분류법의 일종인 kNN(k-Nearest Neighbor) 분류법을 이용하여 악성 코드를 탐지하였다. 제안된 탐지 기법의 성능을 검증하기 위하여 수집된 Native API 로 기존의 연구 방법과 비교 검증하였다. 본 논문에 제안된 기법이 탐지율(detection rate) 100%인 Threshold 값에서, 다른 탐지 기법보다 낮은 오탐율(false positive rate)을 나타내었다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
S. Bae, J. Cho, T. Shon and J. Moon, "Malicious Code Detection using the Effective Preprocessing Method Based on Native API," Journal of The Korea Institute of Information Security and Cryptology, vol. 22, no. 4, pp. 785-796, 2012. DOI: 10.13089/JKIISC.2012.22.4.785.

[ACM Style]
Seong-Jae Bae, Jae-Ik Cho, Tae-Shik Shon, and Jong-Sub Moon. 2012. Malicious Code Detection using the Effective Preprocessing Method Based on Native API. Journal of The Korea Institute of Information Security and Cryptology, 22, 4, (2012), 785-796. DOI: 10.13089/JKIISC.2012.22.4.785.