Implementation of Engine Generating Mutation Worm Signature Using LCSeq

LCSeq를 이용한 변형 웜 시그니쳐 생성 엔진 구현

We introduce the way to detect the mutation worm. We implemented the program that can generate signature using LCSeq(Longest Common Subsequence) technique in Suffix Tree studied as pattern recognition algorithm. We also showed the process to detect the mutation of CodeRed worm and Nimda worm and evaluated signatures generated by snort and LCSeq.

본 논문에서는 알려지지 않은 변형 웜을 탐지하기 위한 방법을 제안한다. 그 방법으로, 페이로드 영역에서 시그니쳐 생성 방안들을 패턴인식 알고리즘으로 연구되었던 Suffix Tree중에서 Longest Common Subsequence(LCSeq) 기법을 이용하여 새로운 시그니쳐를 자동적으로 생성할 수 있는 프로그램을 설계하여 구현하였다. 테스트를 통해 코드레드 웜과 님다 웜의 변종을 검출하는 과정을 보여주고 기존 snort의 시그니쳐와 LCSeq를 이용해 생성된 시그니쳐를 비교 평가하였다.