A Study on Feature Extraction for Detection for Obfuscated Javascript Based on Executable Code Units

난독화 된 자바스크립트 탐지를 위한 실행 단위 코드 기반 특징 추출에 관한 연구

  • 강익선 (한국과학기술원, 사이버보안연구센터) ;
  • 조호묵 (한국과학기술원, 사이버보안연구센터)
  • Published : 2014.07.16

Abstract

악성코드 유포를 위해 가장 많이 사용되는 Drive-by-download 공격에는 주로 자바스크립트가 사용되며, 공격자는 탐지 시스템의 우회하고 행위 분석을 어렵게 하기 위해 공격에 사용되는 스크립트를 난독화 한다. 난독화 된 자바스크립트를 탐지하기 위한 여러 기존의 연구들이 있었지만 최소한의 코드가 난독화 되어 있거나 정상 코드와 혼재할 경우 난독화 여부를 판단하기 어려운 한계가 있다. 본 논문에서는 난독화 된 자바 스크립트를 효과적으로 탐지하기 위해 전체 스크립트를 실행 단위 코드로 나눠 분석에 필요한 특징을 효과적으로 추출하는 방법을 제안한다.

Keywords