Journal of KIISE:Information Networking (한국정보과학회논문지:정보통신)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

Detection Of Unknown Malicious Scripts using Code Insertion Technique

코드 삽입 기법을 이용한 알려지지 않은 악성 스크립트 탐지

  • 이성욱 (아주대학교 컴퓨터공학과) ;
  • 방효찬 (한국전자통신연구원 능동보안기술연구원) ;
  • 홍만표 (아주대학교 정보및컴퓨터공학부)
  • Published : 2002.12.01
Download PDF
⟨ Previous Next ⟩

Abstract

Server-side anti-viruses are useful to protect their domains, because they can detect malicious codes at the gateway of their domains. In prevailing local network, all clients cannot be perfectly controlled by domain administrators, so server-side inspection, for example in e-mail server, is used as an efficient technique of detecting mobile malicious codes. However, current server-side anti-virus systems perform only signature-based detection for known malicious codes, simple filtering, and file name modification. One of the main reasons that they don't have detection features, for unknown malicious codes, is that activity monitoring technique is unavailable for server machines. In this paper, we propose a detection technique that is executed at the server, but it can monitor activities at the clients without any anti-virus features. we describe its implementation.

서버 수준의 안티바이러스는 특정 도메인 내에 진입하는 악성코드를 진입점에서 감지하므로 모든 클라이언트를 완벽하게 통제하기 어려운 실제 상황에서 전자우편 서버 등에 유용하게 사용된다. 그러나, 알려지지 않은 악성 코드에 감지에 유용한 행위 감시 기법은 서버에 적용이 어려우므로, 현재의 서버용 안티바이러스들은 이미 알려진 악성 코드에 대한 시그너쳐 기반의 감지, 단순한 필터링 그리고 파일명 변경과 같은 기능만을 수행한다. 본 논문에서는 서버에서의 실행만으로 별도의 안티바이러스가 탑재되지 않은 클라이언트에서도 지속적인 행위 감시가 가능하도록 하는 악성 스크립트 감지 기법을 제안하고 그 구현에 관해 기술한다.

Keywords

References

  1. Eugene H. Spafford, 'Computer Viruses as Artificial Life,' Journal of Artificial Life, MIT Press, 1994
  2. 배병우, 이성욱, 조은선, 홍만표, '정적 분석 기법을 이용한 악성 스크립트 탐지', 2001년 한국정보보호학회 종합학술발표회 논문집, Vol. 11, No.1, pp.91-95, 2001. 11
  3. 차민석, '악성 스크립트의 종류와 역사', 안철수연구소, 2002
  4. Frederick B. Cohen, 'Computer Viruses: Theory and Experiments,' Computers and Security 6, 1987, pp.22-35 https://doi.org/10.1016/0167-4048(87)90122-2
  5. Frederick B. Cohen, 'A Short Course on Computer Viruses,' John Wiley & Sons, Inc, 1994
  6. David M. Chess, Steve R. White, 'Undetectable Computer Viruses,' Virus Bulletin Conference, 2000. 9
  7. Vesselin Bontchev, 'Macro Virus Identification Problems,' 7th International Virus Bulletin Conference, 1997
  8. Mark Kennedy, 'Script- Based Mobile Threats,' Symantec AntiVirus Research Center, 2000. 6
  9. Baudouin Le Charlier, Morton Swimmer, Abdelaziz Mounji, 'Dynamic detection and classification of computer viruses using general behaviour patterns,' Fifth International Virus Bulletin Conference, Boston, September 20-22, 1995
  10. Francisco Fernandez, 'Heuristic Engines,' 11th International Virus Bulletin Conference, 2001. 9
  11. Gabor Szappanos, 'VBA Emulator Engine Design,' Virus Bulletin Conference, 2001. 9
  12. David Evans, Andrew Twyman, 'Flexible Policy-Directed Code Safely,' IEEE Security and Privacy, Oakland, CA, May 9-12, 1999 https://doi.org/10.1109/SECPRI.1999.766716
  13. Microsoft, VBScript User's Guide, http://msdn.microsoft.com, Microsoft, 2001