국립중앙도서관 "우편 복사 서비스"로 연결 됩니다.
ScienceON
DBpia
본 논문에서는 악성코드의 시스템 콜 빈도수를 특징값으로 행위 기반 탐지(behavior-based detection)를 할 때, 시스템 콜의 속성 개수보다 학습데이터 개수가 적더라도 효과적으로 악성 코드를 탐...
다국어 입력
あ
ぁ
か
が
さ
ざ
た
だ
な
は
ば
ぱ
ま
や
ゃ
ら
わ
ゎ
ん
い
ぃ
き
ぎ
し
じ
ち
ぢ
に
ひ
び
ぴ
み
り
う
ぅ
く
ぐ
す
ず
つ
づ
っ
ぬ
ふ
ぶ
ぷ
む
ゆ
ゅ
る
え
ぇ
け
げ
せ
ぜ
て
で
ね
へ
べ
ぺ
め
れ
お
ぉ
こ
ご
そ
ぞ
と
ど
の
ほ
ぼ
ぽ
も
よ
ょ
ろ
を
ア
ァ
カ
サ
ザ
タ
ダ
ナ
ハ
バ
パ
マ
ヤ
ャ
ラ
ワ
ヮ
ン
イ
ィ
キ
ギ
シ
ジ
チ
ヂ
ニ
ヒ
ビ
ピ
ミ
リ
ウ
ゥ
ク
グ
ス
ズ
ツ
ヅ
ッ
ヌ
フ
ブ
プ
ム
ユ
ュ
ル
エ
ェ
ケ
ゲ
セ
ゼ
テ
デ
ヘ
ベ
ペ
メ
レ
オ
ォ
コ
ゴ
ソ
ゾ
ト
ド
ノ
ホ
ボ
ポ
モ
ヨ
ョ
ロ
ヲ
―
http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
예시)
- 中文 을 입력하시려면 zhongwen을 입력하시고 space를누르시면됩니다.
- 北京 을 입력하시려면 beijing을 입력하시고 space를 누르시면 됩니다.
А
Б
В
Г
Д
Е
Ё
Ж
З
И
Й
К
Л
М
Н
О
П
Р
С
Т
У
Ф
Х
Ц
Ч
Ш
Щ
Ъ
Ы
Ь
Э
Ю
Я
а
б
в
г
д
е
ё
ж
з
и
й
к
л
м
н
о
п
р
с
т
у
ф
х
ц
ч
ш
щ
ъ
ы
ь
э
ю
я
′
″
℃
Å
¢
£
¥
¤
℉
‰
$
%
F
₩
㎕
㎖
㎗
ℓ
㎘
㏄
㎣
㎤
㎥
㎦
㎙
㎚
㎛
㎜
㎝
㎞
㎟
㎠
㎡
㎢
㏊
㎍
㎎
㎏
㏏
㎈
㎉
㏈
㎧
㎨
㎰
㎱
㎲
㎳
㎴
㎵
㎶
㎷
㎸
㎹
㎀
㎁
㎂
㎃
㎄
㎺
㎻
㎽
㎾
㎿
㎐
㎑
㎒
㎓
㎔
Ω
㏀
㏁
㎊
㎋
㎌
㏖
㏅
㎭
㎮
㎯
㏛
㎩
㎪
㎫
㎬
㏝
㏐
㏓
㏃
㏉
㏜
㏆
RISS 인기검색어
https://www.riss.kr/link?id=A60298206
- 저자
- 발행기관
- 학술지명
- 권호사항
-
발행연도
2012
-
작성언어
Korean
- 주제어
-
등재정보
KCI등재
-
자료형태
학술저널
- 발행기관 URL
-
수록면
785-796(12쪽)
-
KCI 피인용횟수
0
- DOI식별코드
- 제공처
- 소장기관
-
0
상세조회 -
0
다운로드
부가정보
국문 초록 (Abstract)
본 논문에서는 악성코드의 시스템 콜 빈도수를 특징값으로 행위 기반 탐지(behavior-based detection)를 할 때, 시스템 콜의 속성 개수보다 학습데이터 개수가 적더라도 효과적으로 악성 코드를 탐지하는 기법을 제안한다. 이 연구에서는, 프로그램 코드가 동작할 때, 발생시키는 윈도우 커널 데이터인 Native API를 수집하여 빈도수로 정규화한 것을 기본적인 속성 값으로 사용하였다. 또한 악성코드와 정상 코드를 효과적으로 분류할 수 있으면서, 악성코드를 분류하기 위한 기본적인 속성의 개수보다 학습데이터 개수가 적어도 적용 가능한 GLDA(Generalized Linear Discriminant Analysis)를 사용하여, 새로운 속성 값들로 전환하였다. 분류 기법으로는 베이지언 분류법의 일종인 kNN(k-Nearest Neighbor) 분류법을 이용하여 악성 코드를 탐지하였다. 제안된 탐지 기법의 성능을 검증하기 위하여 수집된 Native API 로 기존의 연구 방법과 비교 검증하였다. 본 논문에 제안된 기법이 탐지율(detection rate) 100%인 Threshold 값에서, 다른 탐지 기법보다 낮은 오탐율(false positive rate)을 나타내었다.
다국어 초록 (Multilingual Abstract)
In this paper, we propose an effective Behavior-based detection technique using the frequency of system calls to detect malicious code, when the number of training data is fewer than the number of properties on system calls. In this study, we collect ...
In this paper, we propose an effective Behavior-based detection technique using the frequency of system calls to detect malicious code, when the number of training data is fewer than the number of properties on system calls. In this study, we collect the Native APIs which are Windows kernel data generated by running program code. Then we adopt the normalized freqeuncy of Native APIs as the basic properties. In addition, the basic properties are transformed to new properties by GLDA(Generalized Linear Discriminant Analysis) that is an effective method to discriminate between malicious code and normal code, although the number of training data is fewer than the number of properties. To detect the malicious code, kNN(k-Nearest Neighbor) classification, one of the bayesian classification technique, was used in this paper. We compared the proposed detection method with the other methods on collected Native APIs to verify efficiency of proposed method. It is presented that proposed detection method has a lower false positive rate than other methods on the threshold value when detection rate is 100%.
목차 (Table of Contents)
- 요약
- ABSTRACT
- I. 서론
- II. 관련연구
- III. 제안하는 탐지 기법
- 요약
- ABSTRACT
- I. 서론
- II. 관련연구
- III. 제안하는 탐지 기법
- IV. 실험 및 평가
- V. 결론
- 참고문헌
참고문헌 (Reference)
1 박남열, "우회기법을 이용하는 악성코드 행위기반 탐지 방법" 한국정보보호학회 16 (16): 17-28, 2006
2 G. Nebbett, "Windows nt/2000 native apireference" Macmillan Technical Publishing 2000
3 C. Kruegel, "Using decisiontrees to improve signature-based intrusiondetection, In Proceedings of the 6thInternational Workshop on the RecentAdvances in Intrusion Detection" 2820 : 173-191, 2003
4 Y. Liao, "Use of k-nearestneighbor classifier for intrusion detection" 21 (21): 439-448, 2002
5 S.J. Raudys, "Small samplesize effects in statistical pattern recognition:recommendations for practitioners" 13 (13): 252-264, 1991
6 R. P. W. Duin, "Small sample size generalization" 2 : 957-964, 1995
7 G. Hoglund, "Rootkits:subverting the windows kernel" PearsonEducation Inc. 2006
8 Q. Qian, "Research on hiddenmarkov model for system call anomalydetection, PAISI 2007" 4430 : 152-159, 2007
9 D.Q. Dai, "Regularizeddiscriminant analysis and its applicationto face recognition" 36 : 845-847, 2003
10 A. Papoulis, "Probability random variablesand stochastic processes" MCgraw-HILL 1991
1 박남열, "우회기법을 이용하는 악성코드 행위기반 탐지 방법" 한국정보보호학회 16 (16): 17-28, 2006
2 G. Nebbett, "Windows nt/2000 native apireference" Macmillan Technical Publishing 2000
3 C. Kruegel, "Using decisiontrees to improve signature-based intrusiondetection, In Proceedings of the 6thInternational Workshop on the RecentAdvances in Intrusion Detection" 2820 : 173-191, 2003
4 Y. Liao, "Use of k-nearestneighbor classifier for intrusion detection" 21 (21): 439-448, 2002
5 S.J. Raudys, "Small samplesize effects in statistical pattern recognition:recommendations for practitioners" 13 (13): 252-264, 1991
6 R. P. W. Duin, "Small sample size generalization" 2 : 957-964, 1995
7 G. Hoglund, "Rootkits:subverting the windows kernel" PearsonEducation Inc. 2006
8 Q. Qian, "Research on hiddenmarkov model for system call anomalydetection, PAISI 2007" 4430 : 152-159, 2007
9 D.Q. Dai, "Regularizeddiscriminant analysis and its applicationto face recognition" 36 : 845-847, 2003
10 A. Papoulis, "Probability random variablesand stochastic processes" MCgraw-HILL 1991
11 N. Ye, "Probabilistic techniques for intrusiondetection based on computer auditdata" 32 (32): 266-274, 2001
12 I. Jolliffe, "Principal component analysis" Encyclopedia of Statistics in BehavioralScience 2002
13 E. Parzen, "On the estimation of aprobability density function and mode" 33 (33): 1065-1076, 1962
14 "Offensive Computing"
15 M. Wang, "Nativeapi based windows anomaly intrusiondetection method using svm" 1 : 2006
16 "Machine Learning Project at theUniversity of Waikato in New Zealand"
17 A.K. Ghosh, "Learning program behavior profilesfor intrusion detection" 1 : 1999
18 "Kaspersky lab"
19 S. Rawat, "Intrusion detection usingtext processing techniques with abinary-weighted cosine metric" 43-50, 2006
20 A. Sharma, "Intrusion detection using text processingtechniques with a kernel basedsimilarity measure" 26 (26): 488-495, 2007
21 S. Cho, "Efficient anomalydetection by modeling privilege flowsusing hidden Markov model" 22 (22): 45-55, 2003
22 G. J. McLachlan, "Discriminant analysisand statistical pattern recognition" JohnWiley & Sons, Inc 2005
23 S. Radosavac, "Detectionand classification of network intrusionsusing hidden markov models" 2003
24 C. Warrender, "Detecting intrusions usingsystem calls: alternative data models" 133-145, 1999
25 D. Buckely, "Areal time intrusion detection system forthe windows environment" IADIS 2007
26 J. Ye, "An optimization criterion for generalizeddiscriminant analysis on undersampledproblems" 26 (26): 2004
27 강태우, "API call의 단계별 복합분석을 통한 악성코드 탐지" 한국정보보호학회 17 (17): 89-98, 2007
28 S. Forrest, "A sense of self for unix processes" 120-128, 1996
동일학술지(권/호) 다른 논문
-
- 한국정보보호학회
- 정대경(Daekyeong Jeong)
- 2012
- KCI등재
-
난독화된 자바스크립트의 자동 복호화를 통한 악성코드의 효율적인 탐지 방안 연구
- 한국정보보호학회
- 지선호(Sun Ho Ji)
- 2012
- KCI등재
-
모바일 시큐어코딩 자가평가(M-SCSA) 방법에 대한 연구
- 한국정보보호학회
- 김동원(Dong-Won Kim)
- 2012
- KCI등재
-
반복문 오류 주입을 이용한 개선된 Triple DES 라운드 축소 공격
- 한국정보보호학회
- 최두식(Doo-Sik Choi)
- 2012
- KCI등재
분석정보
인용정보 인용지수 설명보기
학술지 이력
| 연월일 | 이력구분 | 이력상세 | 등재구분 |
|---|---|---|---|
| 2026 | 평가예정 | 재인증평가 신청대상 (재인증) | |
| 2020-01-01 | 평가 | 등재학술지 유지 (재인증) |  |
| 2017-01-01 | 평가 | 등재학술지 유지 (계속평가) | |
| 2013-01-01 | 평가 | 등재학술지 유지 (등재유지) | |
| 2010-01-01 | 평가 | 등재학술지 유지 (등재유지) | |
| 2008-01-01 | 평가 | 등재 1차 FAIL (등재유지) | |
| 2005-01-01 | 평가 | 등재학술지 선정 (등재후보2차) | |
| 2004-01-01 | 평가 | 등재후보 1차 PASS (등재후보1차) |  |
| 2003-01-01 | 평가 | 등재후보학술지 선정 (신규평가) | |
학술지 인용정보
| 기준연도 | WOS-KCI 통합IF(2년) | KCIF(2년) | KCIF(3년) |
|---|---|---|---|
| 2016 | 0.41 | 0.41 | 0.43 |
| KCIF(4년) | KCIF(5년) | 중심성지수(3년) | 즉시성지수 |
| 0.45 | 0.4 | 0.508 | 0.04 |
연관 공개강의(KOCW)
이 자료와 함께 이용한 RISS 자료
나만을 위한 추천자료
