침입탐지시스템에서의 실시간 악성코드 탐지

Abstract

악성코드 제작자들을 갈수록 발전하고 피해자들을 감염시키기 위한 시도도 늘어가고 있다. 악성코드 감염을 위해서 공격자들은 다양한 경로를 통해 위협하고 있고 따라서 여러 방향으로 악성코드를 탐지할 필요성이 있다. 악성코드 탐지 기법은 동적 기법과 정적 기법으로 나누어질 수 있으며 두 가지 기법의 차이는 악성코드의 실행여부이다. 침입탐지 시스템은 실시간으로 침입을 탐지하기 위한 장치로 속도가 중시되어 악성코드의 전송을 탐지하기에 어려움이 따르고 있다. 하지만 침입탐지시스템에서 악성코드의 전송을 탐지해 낼 수 있다면 악성코드가 시스템에 침투하는 것 자체를 원천부터 봉쇄하여 큰 보안 강점을 가져올 수 있다. 본 논문은 침입탐지시스템(Intrusion Detection System)에서 악성 프로그램의 전송을 탐지하는 효과적인 방법 및 프레임워크를 제안한다. 논문에서 제안하는 프레임워크는 기존에 발견된 악성 프로그램 패밀리 별로 특징이 될 만한 스트링 기반 시그니처를 생성하고 탐지 시그니처에 포함시킨다. 시그니처는 악성 프로그램을 대표하면서도 작은 값의 변화에도 크게 영향을 받지 않으며 정상 프로그램과 같은 방식의 행위를 갖지만 공격을 목적으로 하는 악성 프로그램 식별에도 더 좋은 성능을 나타낸다. 완성된 시그니처는 Aho-Corasick 트리 형태로 저장되어 일부만 매치시켜 효율적인 성능을 제공한다.