The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

An Extension of Data Flow Analysis for Detecting Polymorphic Script Virus

다형성 스크립트 바이러스 탐지를 위한 자료 흐름 분석기법의 확장

  • 김철민 (아주대학교 정보통신 전문대학원 정보통신공학과) ;
  • 이형준 (아주대학교 정보통신 전문대학원 정보통신공학과) ;
  • 이성욱 (신구대학 인터넷정보과) ;
  • 홍만표 (아주대학교 정보 및 컴퓨터공학부)
  • Published : 2003.12.01
Download PDF
⟨ Previous Next ⟩

Abstract

Script viruses are easy to make a variation because they can be built easily and be spread in text format. Thus signature-based method has a limitation in detecting script viruses. In a consequence, many researches suggest simple heuristic methods, but high false-positive error is always being an obstacle. In order to overcome this problem, our previous study concentrated on analyzing data flow of codes and has low-false positive error, but still could not detect a polymorphic virus because polymorphic virus loads self body and changes it before make a descendent. We suggest a heuristic detection method which expands the detection range of previous method to include polymorphic script viruses. Expanded data flow analysis heuristic has an expanded grammar to detect Polymorphic copy Propagation. Finally, we will show the experimental result for the effectiveness of suggested method.

스크립트 바이러스는 제작이 쉽고 텍스트 형식으로 코드가 유포되는 특징으로 인해 변종 출현이 빈번하여, 시그너쳐에 의존하지 않고 탐지하려는 시도가 이루어지고 있다. 그러나 이러한 단순 휴리스틱 기법은 긍정 오류가 높은 단점이 있다. 이를 개선하기 위해 자료 흐름 분석을 이용하여 오류율을 낮춘 탐지 기법이 제시되었다. 그러나 이 기법은 탐지 대상이 다형성 바이러스여서 셀프를 읽어 들여 변형을 가한 후 새로 운 복사본을 만드는 방식으로 전파될 경우 탐지하지 못하는 단점을 지닌다. 이를 극복하기 위해 본 논문에서는 기존의 자료 흐름 분석 휴리스틱 기법이 가지는 정적 분석 기법을 확장하여 다형성 스크립트 바이러스가 가지는 특징도 탐지할 수 있도록 하는 기법을 제안한다. 확장된 자료 흐름 분석 휴리스틱 기법은 확장된 문법을 통해 기존의 기법이 인식할 수 없었던 변형된 복사 전파를 인식할 수 있다. 또한 본 논문에서는 제안된 기법을 구현하여 제안된 기법이 가지는 탐지율에 대한 실험 결과를 제시한다.

Keywords

References

  1. Igor Muttik, 'STRIPPING DOWN AN AV ENGINE,' Proceeding of VIRUS BULLETIN CONFERECE, pp. 59-68, 2000
  2. CERTCC-KR, '2002년 2월 바이러스 통계,' http://www.certcc.or.kr, 2002
  3. Vesselin Bontchev and Katrin Tocheva, 'MACRO AND SCRIPT VIRUS POLYMORPHISM,' Proceeding of VIRUS BULLETIN CONFERENCE, pp. 406-438, 2002
  4. Gabor Szappanos, 'ARE THERE ANY POLYMORPHIC MACRO VIRUSES AT ALL?,' Proceeding of VIRUS BULLETIN CONFERENCE, p. 477, 2002
  5. 이성욱, 배병우, 이형준, 조은선, 홍만표, '정적탐지분석 기법을 이용한 알려지지 않은 악성 스크립트 탐지,' 정보처리학회논문지C, 제9-C권 제5호, pp. 765-774, 2002
  6. 이성욱, '정적 분석과 코드 변환을 이용한 적극적인 악성 스크립트 대응,' 아주대학교 박사학위 논문, 2002
  7. Alex Shipp, 'Heuristic Detection of Viruses within Email,' 11th International Virus Bulletin Conference, 2001
  8. Francisco Fernandez, 'Heuristic Engines,' VIRUS BULLETIN CONFERENCE, pp. 407-444, 2001
  9. Alex Shipp, 'Heuristic Detection of Viruses within E-mail,' Proceedings of VIRUS BULLETIN CONFERENCE, pp. 467-471, 2001
  10. Symantec Anti-Virus Research Center, 'Understanding Heuristics,' Symantec White Paper, 1998
  11. Gabor Szappanos, 'VBA Emulator Engine Design,' Proceedings of VIRUS BULLETIN CONFERENCE, pp. 373-388, 2001