The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

A Method for Efficient Malicious Code Detection based on the Conceptual Graphs

개념 그래프 기반의 효율적인 악성 코드 탐지 기법

  • 김성석 (조선대학교 대학원 전자계산학과) ;
  • 최준호 (조선대학교 대학원 전자계산학과) ;
  • 배용근 (조선대학교 컴퓨터공학부) ;
  • 김판구 (조선대학교 컴퓨터공학부)
  • Published : 2006.02.01
Download PDF
⟨ Previous Next ⟩

Abstract

Nowadays, a lot of techniques have been applied for the detection of malicious behavior. However, the current techniques taken into practice are facing with the challenge of much variations of the original malicious behavior, and it is impossible to respond the new forms of behavior appropriately and timely. There are also some limitations can not be solved, such as the error affirmation (positive false) and mistaken obliquity (negative false). With the questions above, we suggest a new method here to improve the current situation. To detect the malicious code, we put forward dealing with the basic source code units through the conceptual graph. Basically, we use conceptual graph to define malicious behavior, and then we are able to compare the similarity relations of the malicious behavior by testing the formalized values which generated by the predefined graphs in the code. In this paper, we show how to make a conceptual graph and propose an efficient method for similarity measure to discern the malicious behavior. As a result of our experiment, we can get more efficient detection rate.

현재까지 존재하는 무수한 악성 행위에 대응하기 위해서 다양한 기법들이 제안되었다 그러나 현존하는 악성행위 탐지 기법들은 기존의 행위에 대한 변종들과 새로운 형태의 악성행위에 대해서 적시 적절하게 대응하지 못하였고 긍정 오류(false positive)와 틀린 부정(negative false) 등을 해결하지 못한 한계점을 가지고 있다. 위와 같은 문제점을 개선하고자 한다. 여기서는 소스코드의 기본 단위(token)들을 개념화하여 악성행위 탐지에 응용하고자 한다. 악성 코드를 개념 그래프로 정의할 수 있고, 정의된 그래프를 통하여 정규화 표현으로 바꿔서 코드 내 악성행위 유사관계를 비교할 수 있다. 따라서 본 논문에서는, 소스코드를 개념 그래프화하는 방법을 제시하며, 정확한 악성행위 판별을 위한 유사도 측정방안을 제시한다. 실험결과, 향상된 악성 코드 탐지율을 얻었다.

Keywords

References

  1. Frithjof Dau, 'Mathematical Foundations of Conceptual Graphs', 13th ICCS, In Tutorial, 2005
  2. O. Erdogan and P. Cao. Hash-av : Fast virus signature scanning by cache-resident filters. In http://crypto.stanford.edu/~cao/hash-av/, 2005
  3. G. Mishne and M. de Rijke 'Source Code Retrieval using Conceptual Similarity', RIAO 2004, pp.539-554, 2004
  4. Christodorescu, Jha, 'Static Analysis of Executables to Detect Malicious Patterns', 12th USENIX Security Symposium, 2003
  5. 이형준, 김천민, 이성욱, 홍만표, '정적 분석을 이용한 다형성 스크립트 바이러스의 탐지 기법 설계', 한국정보과학회, 학술발표논문집 Vol.30, No.1, pp.407-409, 2003
  6. Svetlana Hensman, 'Construction of Conceptual Graph Representation of Texts', HLT-NAACL, pp.49-54, 2004
  7. Karalopoulos, M. Kokla, M. Kavouras, 'Geographic Knowledge Representation Using Conceptual Graphs', 7th AGILE Conference on Geographic Information Science, Crete, Greece, 2004
  8. J.-F. Baget, 'Simple conceptual graphs revisited: Hypergraphs and conjunctive types for efficient projection algorithms', In Proc. of ICCS, 2003
  9. Jiwei Zhong, Haiping Zhu, Jianming Li and Yong Yu, 'Conceptual Graph Matching for Semantic Search', In Proc. of ICCS, 2002
  10. Lei Zhang and Yong Yu, 'Learning to Generate CGs from Domain Specific Sentences', In proc, of ICCS, LNAI 2120(Springer), 2001
  11. Harry S. Delugach, 'CharGer : A Graphical Conceptual Graph Editor', In proc, of ICCS, 2001
  12. Pavlin Dobrev, Albena Strupchaska, Kristina Toutanova, 'CGWorld-2001-New Features and New Directions', In proc. of ICCS, 2001
  13. M. Montes y Gomez, A. Gelbukh, A. Lopez Lopez, Ricardo Baeza-Yates, 'Flexible Comparison of Conceptual Graphs', In Proc. of DEXA-2001, pp.102-111, 2001
  14. Francisco Fernandez, 'Heuristic Engines', 11th International Virus Bulletin Conference, 2001
  15. Igor Muttik, 'Stripping down an AV Engines', Virus Bulletin Conference, 2000
  16. Montes y-Gomez, Gelbukh and Lopez-Lopez, 'Comparison of Conceptual Graphs', Lecture Notes in Artificial Intelligence 1793, 2000
  17. Sowa, John F, 'Conceptual Graph Standard, American National Standard NCITS.T2/ISO/JTC1/SC32 WG2 N 0000. [Access Online: April 2001], URL : http://www.bestweb.net/~sowa/cg/cgstand.htm, 2001
  18. Sowa, John F, 'Conceptual Structures: Information Processing in Mind and Machine', Ed. Addison-Wesley, 1983
  19. '2004년 웜.바이러스 동향 종합분석 및 전망', 국가사이버안전센터, NCSC-TR05005, 2005
  20. '악성 코드 대응 기술 동향', 국가보안기술연구소, 제8권 1호, pp.1-4, 2003
  21. http://www.huminf.aau.dk/cg/index.html
  22. http://www.cs.uah.edu/~delugach/CharGer/
  23. http://msdn.microsoft.com
  24. http:;/www.webkb.org/doc/CGIF.htrnl
  25. http://www.jfsowa.com/