표제지
목차
약어표 8
논문요약 9
제1장 서론 10
제2장 관련 연구 11
1. 악성 코드의 행위 특징 11
가. downloader 와 launcher 11
나. backdoor 12
다. 인증정보 탈취기 12
라. 권한 상승 14
마. rootkit 14
2. 악성 코드 탐지기법 15
가. signature 탐지기법 15
나. heuristics 탐지기법 15
다. 순환 중복 검사 기반 탐지기법 16
라. 무결성 기반 탐지기법 16
3. 악성 코드 탐지기법의 문제점 17
제3장 행위기반 악성 코드 탐지 시스템 18
1. 행위기반 악성 코드 탐지 시스템 설계 18
2. 행위기반 악성 코드 탐지 방안 21
가. 파일 관련 행위 탐지 21
나. 프로세스 관련 행위 탐지 36
다. 네트워크 관련 행위 분석 43
라. 레지스트리 관련 행위 탐지 48
3. 행위기반 악성 코드 탐지 실험 및 결과 61
제4장 기존 악성 코드 탐지 시스템과의 비교 67
1. anti-virus 솔루션 67
2. APT 공격 대응 솔루션 69
3. EDR 솔루션 70
제5장 결론 및 향후 연구 72
참고문헌 74
ABSTRACT 76
[표 1] 파일 관련 행위에 사용되는 API 22
[표 2] 다운로드 행위 확인 시 탐지 방안 26
[표 3] 확장자를 가진 파일 생성 시 탐지 방안 29
[표 4] 악성 코드가 선호하는 파일 위치 31
[표 5] 파일 경로의 우회 방안 32
[표 6] 프로세스 관련 행위에 사용되는 API 36
[표 7] 네트워크 관련 행위에 사용되는 API 43
[표 8] 레지스트리 관련 행위에 사용되는 API 49
[표 9] 행위 분석을 위한 악성 코드 샘플 정보 61
[표 10] anti-virus 솔루션의 주요 기능 67
[그림 1] URLDownloadtoFile API를 활용한 악성 코드 다운로드 11
[그림 2] GetAsyncKeyState와 GetForegroundWindow key logger의 반복 구도 13
[그림 3] 행위기반 악성 코드 탐지 시스템 알고리즘 19
[그림 4] 행위기반 악성 코드 탐지 시스템 구조도 21
[그림 5] LoadResource API를 활용한 악성 코드 drop 28
[그림 6] autorun.inf 파일 생성 예시 29
[그림 7] ADS를 활용한 파일 생성 예시 33
[그림 8] 악성 코드 탐지 실험 결과 63
[그림 9] 악성 코드 탐지율 분석 결과 64
[그림 10] API parameter 분석 화면 65
[그림 11] 샘플 분석 시 악성 행위에 사용된 API 호출 수 66