다형성 엔진으로 생성된 웜의 탐지 기법

Detection of Worm Generated by Polymorphic Engine

  • 이기훈 (포항공과대학교 컴퓨터공학과) ;
  • 이승익 (포항공과대학교 컴퓨터공학과) ;
  • 최홍준 (포항공과대학교 컴퓨터공학과) ;
  • 김유나 (포항공과대학교 컴퓨터공학과) ;
  • 홍성제 (포항공과대학교 컴퓨터공학과) ;
  • 김종 (포항공과대학교 컴퓨터공학과)
  • Lee, Ki-Hun (Department of Computer Science and Engineering Pohang University of Science and Technology (POSTECH)) ;
  • Lee, Seung-Ick (Department of Computer Science and Engineering Pohang University of Science and Technology (POSTECH)) ;
  • Choi, Hong-Jun (Department of Computer Science and Engineering Pohang University of Science and Technology (POSTECH)) ;
  • Kim, Yu-Na (Department of Computer Science and Engineering Pohang University of Science and Technology (POSTECH)) ;
  • Hong, Sung-Je (Department of Computer Science and Engineering Pohang University of Science and Technology (POSTECH)) ;
  • Kim, Jong (Department of Computer Science and Engineering Pohang University of Science and Technology (POSTECH))
  • 발행 : 2006.10.20

초록

다형성 웜은 새로운 감염시도 때마다. 그 형태가 계속 변형되기 때문에 시그너처 기반의 탐지 기법으로는 탐지될 수 없다. 또한 이러한 다형성 웜은 주로 공개된 다형성 엔진을 이용하여 쉽게 자동적으로 생성할 수 있다. 본 연구에서는 네트워크 트래픽에 포함된 실행코드의 명령어 분포를 분석하여, 다형성 웜을 포함한 트래픽을 탐지하는 기법을 제시한다. 또한 제안하는 시스템의 성능을 모의 실험을 통해 평가한 결과, 다형성 엔진으로 생성된 웜은 전부 탐지되고 약 0.0286%의 낮은 오탐지율을 보인다.

키워드