명령 실행 모니터링과 딥 러닝을 이용한 파워셸 기반 악성코드 탐지 방법PowerShell-based Malware Detection Method Using Command Execution Monitoring and Deep Learning
- Other Titles
- PowerShell-based Malware Detection Method Using Command Execution Monitoring and Deep Learning
- Authors
- 이승현; 문종섭
- Issue Date
- 2018
- Publisher
- 한국정보보호학회
- Keywords
- PowerShell; malware; execution monitoring; deep learning
- Citation
- 정보보호학회논문지, v.28, no.5, pp.1197 - 1207
- Indexed
- KCI
- Journal Title
- 정보보호학회논문지
- Volume
- 28
- Number
- 5
- Start Page
- 1197
- End Page
- 1207
- URI
- https://scholar.korea.ac.kr/handle/2021.sw.korea/80218
- DOI
- 10.13089/JKIISC.2018.28.5.1197
- ISSN
- 1598-3986
- Abstract
- 파워셸은 닷넷 프레임워크를 기반에 둔, 커맨드 라인 셸이자 스크립트 언어로, 그 자체가 가진 다양한 기능 외에도 윈도우 운영체제 기본 탑재, 코드 은닉 및 지속의 수월함, 다양한 모의 침투 프레임워크 등 공격 도구로서 여러이점을 가지고 있다. 이에 따라 파워셸을 이용하는 악성코드가 급증하고 있으나 기존의 악성코드 탐지 기법으로 대응하기에는 한계가 존재한다. 이에 본 논문에서는 파워셸에서 실행되는 명령들을 관찰할 수 있는 개선된 모니터링기법과, Convolutional Neural Network(CNN)을 이용해 명령에서 특징을 추출하고 실행 순서에 따라Recurrent Neural Network(RNN)에 전달하여 악성 여부를 판단하는 딥 러닝 기반의 분류 모델을 제안한다.
악성코드 공유 사이트에서 수집한 파워셸 기반 악성코드 1,916개와 난독화 탐지 연구에서 공개한 정상 스크립트38,148개를 이용하여 제안한 모델을 5-fold 교차 검증으로 테스트한 결과, 약 97%의 True PositiveRate(TPR)와 1%의 False Positive Rate(FPR)로 모델이 악성코드를 효과적으로 탐지함을 보인다.
- Files in This Item
- There are no files associated with this item.
- Appears in
Collections - College of Science and Technology > Department of Electronics and Information Engineering > 1. Journal Articles
![qrcode](https://api.qrserver.com/v1/create-qr-code/?size=55x55&data=https://scholar.korea.ac.kr/handle/2021.sw.korea/80218)
Items in ScholarWorks are protected by copyright, with all rights reserved, unless otherwise indicated.