한국정보처리학회:학술대회논문집 (Proceedings of the Korea Information Processing Society Conference)
- 한국정보처리학회 2001년도 춘계학술발표논문집 (상)
- /
- Pages.425-428
- /
- 2001
- /
- 2005-0011(pISSN)
- /
- 2671-7298(eISSN)
샌드박스의 동적 클래스 계층구조를 통한 악성코드 탐지 기법의 설계
Design Mechanism for Malicious Code Detection with Sandboxes in Dynamic Class Hierarchies
- 김철민 (아주대학교 정보통신전문대학원) ;
- 임영환 (아주대학교 정보통신전문대학원) ;
-
홍만표
(아주대학교 정보통신전문대학원)
;
-
예홍진
(아주대학교 정보통신전문대학원)
;
-
조은선
(아주대학교 정보통신전문대학원)
;
- 이철원 (한국전자통신연구소) ;
- 박현동 (한국전자통신연구소)
- Kim, Chol-Min (Dept. of Computer and Information Engineering in Ajou University) ;
- Lim, Young-Hwan (Dept. of Computer and Information Engineering in Ajou University) ;
-
Hong, Man-Pyo
(Dept. of Computer and Information Engineering in Ajou University)
;
-
Yeh, Hong-Jin
(Dept. of Computer and Information Engineering in Ajou University)
;
-
Cho, Eun-Sun
(Dept. of Computer and Information Engineering in Ajou University)
;
- Lee, Chol-Won (Electronics and Telecommunications Research Institute) ;
- Park, Hyun-Dong (Electronics and Telecommunications Research Institute)
- 발행 : 2001.04.13
초록
알려지지 않은 악성 코드의 수행을 막는 방법으로 프로그램의 실행 환경을 제한하는 '샌드박스' 기법이 많이 쓰여져 왔다. 코드의 비정상 행위를 탐지하는 이 방식은 얼마나 다양한 샌드박스들을 두는가에 따라 적용성(configurability)과 편리성(ease of use) 간의 양면성 (trade-off)을 가진다. 기존의 MAPbox는 이 두 가지를 동시에 만족시키기 위해 프로그램의 종류별로 샌드박스를 두는 클래스별 샌드박스 적용 기법을 사용한다[3]. 그러나, 이 방법은 정적으로 클래스들이 결정되므로 적용성에 한계가 있다. 본 논문에서는 MAPbox의 개념에 동적 클래스 생성 기능을 추가함으로써 적용성을 높이는 기법을 소개하고 실제로 구현한다. MAPbox에 비해 적용성이 높아진 예로 MAPbox에서는 정상행위이지만 비정상행위로 판단되는 경우가 제안된 기법을 통해 올바르게 판단됨을 보인다.
키워드