Proceedings of the Korean Information Science Society Conference (한국정보과학회:학술대회논문집)

  • 2006.10c
  • /
  • Pages.515-520
  • /
  • 2006
  • /
  • 1598-5164(pISSN)
Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

Detection of Worm Generated by Polymorphic Engine

다형성 엔진으로 생성된 웜의 탐지 기법

  • Lee, Ki-Hun (Department of Computer Science and Engineering Pohang University of Science and Technology (POSTECH)) ;
  • Lee, Seung-Ick (Department of Computer Science and Engineering Pohang University of Science and Technology (POSTECH)) ;
  • Choi, Hong-Jun (Department of Computer Science and Engineering Pohang University of Science and Technology (POSTECH)) ;
  • Kim, Yu-Na (Department of Computer Science and Engineering Pohang University of Science and Technology (POSTECH)) ;
  • Hong, Sung-Je (Department of Computer Science and Engineering Pohang University of Science and Technology (POSTECH)) ;
  • Kim, Jong (Department of Computer Science and Engineering Pohang University of Science and Technology (POSTECH))
  • 이기훈 (포항공과대학교 컴퓨터공학과) ;
  • 이승익 (포항공과대학교 컴퓨터공학과) ;
  • 최홍준 (포항공과대학교 컴퓨터공학과) ;
  • 김유나 (포항공과대학교 컴퓨터공학과) ;
  • 홍성제 (포항공과대학교 컴퓨터공학과) ;
  • 김종 (포항공과대학교 컴퓨터공학과)
  • Published : 2006.10.20
Download PDF
⟨ Previous Next ⟩

Abstract

다형성 웜은 새로운 감염시도 때마다. 그 형태가 계속 변형되기 때문에 시그너처 기반의 탐지 기법으로는 탐지될 수 없다. 또한 이러한 다형성 웜은 주로 공개된 다형성 엔진을 이용하여 쉽게 자동적으로 생성할 수 있다. 본 연구에서는 네트워크 트래픽에 포함된 실행코드의 명령어 분포를 분석하여, 다형성 웜을 포함한 트래픽을 탐지하는 기법을 제시한다. 또한 제안하는 시스템의 성능을 모의 실험을 통해 평가한 결과, 다형성 엔진으로 생성된 웜은 전부 탐지되고 약 0.0286%의 낮은 오탐지율을 보인다.

Keywords