[논문 리뷰] Metamorphic Virus Variants Classification Using Opcode Frequency Histogram
이 논문은 코드 오버플레이션에도 불구하고 행동 유사성을 탐지할 수 있도록 오퍼코드 빈도 히스토그램과 유클리드 거리 기반의 정적 분석 방법을 제안한다. 문자열이 아닌 명령어 수준의 패tern을 분석함으로써, 메타모픽 바이러스 변종을 효과적으로 식별할 수 있으며, 기존의 문자열 기반 탐지 회피 기법을 우회할 수 있는 오퍼코드 기반 서명의 가능성을 입증한다.
In order to prevent detection and evade signature-based scanning methods, which are normally exploited by antivirus software, metamorphic viruses use several various obfuscation approaches. They transform their code in new instances as look entirely or partly different and contain dissimilar sequences of string, but their behavior and function remain unchanged. This obfuscation process allows them to stay away from the string based signature detection. In this research, we use a statistical technique to compare the similarity between two files infected by two morphed versions of a given metamorphic virus. Our proposed solution based on static analysis and it uses the histogram of machine instructions frequency in various offspring of obfuscated viruses. We use Euclidean histogram distance metric to compare a pair of portable executable (PE) files. The aim of this study is to show that for some particular obfuscation methods, the presented solution can be exploited to detect morphed varieties of a file. Hence, it can be utilized by non-string based signature scanning to identify whether a file is a version of a metamorphic virus or not.
연구 동기 및 목표
- 코드 오버플레이션을 통해 서명 기반 악성코드 방지 도구를 회피하는 메타모픽 바이러스 변종을 탐지하는 데 도전하는 것.
- 기존의 메타모픽 바이러스의 변형된 버전을 식별할 수 있는 비문자열 기반 탐지 방법을 개발하는 것.
- 오퍼코드 빈도 히스토그램이 메타모픽 바이러스 변종을 분류하는 데 있어 안정적이고 구별 가능한 특징으로 기능할 수 있는지 평가하는 것.
- 정적 분석과 히스토그램 기반 유사도 메트릭을 활용한 악성코드 가족 식별의 실현 가능성을 입증하는 것.
제안 방법
- 해당 방법은 메타모픽 바이러스의 다양한 변형 인스턴스에 의해 감염된 포트러블 엑스큐티브(PE) 파일의 기계어 코드에서 오퍼코드 시퀀스를 추출한다.
- 각 감염된 파일에 존재하는 오퍼코드의 빈도 히스토그램을 구성하여 명령어 유형의 분포를 표현한다.
- 두 오퍼코드 빈도 히스토그램 간의 유클리드 거리를 계산하여 두 PE 파일 간의 유사도를 측정한다.
- 낮은 유클리드 거리를 보이는 파일들은 동일한 메타모픽 바이러스 가족의 변종으로 간주된다.
- 이 방법은 동적 실행이나 행동 모니터링을 피하기 위해 정적 분석에만 의존한다.
실험 결과
연구 질문
- RQ1오퍼코드 빈도 히스토그램은 메타모픽 바이러스의 다양한 변형을 신뢰성 있게 구분할 수 있는가?
- RQ2오버플레이션된 바이러스 인스턴스에서 오퍼코드 히스토그램 간 유클리드 거리가 실제 코드 유사성과 어느 정도 상관이 있는가?
- RQ3이 히스토그램 기반 방법은 문자열 내용과 코드 구조가 크게 변경된 경우에도 메타모픽 바이러스 변종을 탐지할 수 있는가?
- RQ4제안된 방법은 문자열 서명에 의존하지 않고도 새로운 변형된 바이러스 변종을 동일한 바이러스 가족에 속한다고 식별하는 데 효과적인가?
주요 결과
- 제안된 방법은 오퍼코드 빈도 히스토그램과 유클리드 거리를 기반으로 메타모픽 바이러스 변종을 성공적으로 분류하였다.
- 동일한 메타모픽 바이러스 가족에 의해 감염된 파일들은 오퍼코드 히스토그램에서 낮은 유클리드 거리를 보였으며, 이는 높은 유사성을 나타냈다.
- 이 방법은 문자열 내용과 제어 흐름을 변경하는 일반적인 오버플레이션 기법에도 불구하고 기능적 동작을 유지하면서도 강건함을 입증하였다.
- 결과적으로 오퍼코드 빈도 히스토그램은 메타모픽 바이러스 변종을 탐지하기 위한 안정적이고 비문자열 기반의 서명으로 기능할 수 있음을 시사한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.