표제지
목차
논문요약 7
제1장 서론 9
1. 연구 배경 및 목적 9
2. 연구의 범위 및 방법 11
제2장 관련 연구 13
1. PE Format과 실행 압축 13
가. PE Format 13
나. 실행 압축 14
2. 엔트로피 15
3. 실행 압축 탐지에 관한 연구 16
가. 실행압축 탐지 도구 16
나. 엔트로피를 이용한 실행압축 악성코드 탐지 17
다. 정확한 컴퓨터 바이러스 탐지를 위한 실행압축 파일 분류 18
제3장 기 연구결과에 대한 검증 실험 21
1. 실험 준비 21
가. 실험대상 21
나. 실험 데이터 추출 21
다. 신경망 알고리즘 21
라. 통계 툴 22
마. 측정 지표 22
2. 실험 결과 22
3. 기존 연구에 대한 문제점 24
가. 섹션명(Number of standard sections / non-standard sections) 25
나. 섹션헤더의 Characteristic 속성(Number of Readable/Writable/Executable) 25
다. IAT의 엔트리 개수(Number of entries in the IAT) 25
4. 문제점에 대한 검증 26
가. 실험 과정 26
나. 실험 결과 26
5. 신경망을 이용한 실행 압축 기법 제안 28
가. 입력변수 추출 28
나. 실험 과정 30
다. 실험 결과 30
제4장 APT 대응 제안 모델 33
제5장 결론 35
참고문헌 36
ABSTRACT 38
표 1. Lyda의 엔트로피 Metrics 18
표 2. Perdisci의 속성 19
표 3. Perdisci의 실험 결과 19
표 4. Lyda 기법 실험 결과 23
표 5. Perdisci 기법 실험 결과 23
표 6. PE 조작 시 Perdisci 기법 실험 결과 27
표 7. 선정된 입력 변수 30
표 8. 실험결과 30
그림 1. 악성코드 대응 프로세스 10
그림 2. PE Format 14
그림 3. 일반파일/실행압축 파일 사례 15
그림 4. 시그니처 생성 사례 17
그림 5. 신경망 알고리즘 구성(R Script) 22
그림 6. Lyda 기법 효과성 측정 23
그림 7. Perdisci 기법 효과성 측정 24
그림 8. Perdisci 기법의 효과성(PE 헤더 변조 시) 27
그림 9. 제안 기법의 효과성 31
그림 10. 기법별 효과성 측정 결과 비교 31
그림 11. APT 공격 대응 모델 33