본문 바로가기
HOME> 논문 > 논문 검색상세

논문 상세정보

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology v.28 no.5, 2018년, pp.1197 - 1207  
본 등재정보는 저널의 등재정보를 참고하여 보여주는 베타서비스로 정확한 논문의 등재여부는 등재기관에 확인하시기 바랍니다.

명령 실행 모니터링과 딥 러닝을 이용한 파워셸 기반 악성코드 탐지 방법
PowerShell-based Malware Detection Method Using Command Execution Monitoring and Deep Learning

이승현   (고려대학교 정보보호대학원  ); 문종섭   (고려대학교 정보보호대학원  );
  • 초록

    파워셸은 닷넷 프레임워크를 기반에 둔, 커맨드 라인 셸이자 스크립트 언어로, 그 자체가 가진 다양한 기능 외에도 윈도우 운영체제 기본 탑재, 코드 은닉 및 지속의 수월함, 다양한 모의 침투 프레임워크 등 공격 도구로서 여러 이점을 가지고 있다. 이에 따라 파워셸을 이용하는 악성코드가 급증하고 있으나 기존의 악성코드 탐지 기법으로 대응하기에는 한계가 존재한다. 이에 본 논문에서는 파워셸에서 실행되는 명령들을 관찰할 수 있는 개선된 모니터링 기법과, Convolutional Neural Network(CNN)을 이용해 명령에서 특징을 추출하고 실행 순서에 따라 Recurrent Neural Network(RNN)에 전달하여 악성 여부를 판단하는 딥 러닝 기반의 분류 모델을 제안한다. 악성코드 공유 사이트에서 수집한 파워셸 기반 악성코드 1,916개와 난독화 탐지 연구에서 공개한 정상 스크립트 38,148개를 이용하여 제안한 모델을 5-fold 교차 검증으로 테스트한 결과, 약 97%의 True Positive Rate(TPR)와 1%의 False Positive Rate(FPR)로 모델이 악성코드를 효과적으로 탐지함을 보인다.


    PowerShell is command line shell and scripting language, built on the .NET framework, and it has several advantages as an attack tool, including built-in support for Windows, easy code concealment and persistence, and various pen-test frameworks. Accordingly, malwares using PowerShell are increasing rapidly, however, there is a limit to cope with the conventional malware detection technique. In this paper, we propose an improved monitoring method to observe commands executed in the PowerShell and a deep learning based malware classification model that extract features from commands using Convolutional Neural Network(CNN) and send them to Recurrent Neural Network(RNN) according to the order of execution. As a result of testing the proposed model with 5-fold cross validation using 1,916 PowerShell-based malwares collected at malware sharing site and 38,148 benign scripts disclosed by an obfuscation detection study, it shows that the model effectively detects malwares with about 97% True Positive Rate(TPR) and 1% False Positive Rate(FPR).


  • 주제어

    PowerShell .   malware .   execution monitoring .   deep learning.  

  • 참고문헌 (24)

    1. S. Albelwi and A. Mahmood, "A frame work for designing the architectures of deep convolutional neural networks," Entropy, vol. 19, no. 6, pp. 242-263, May 2017 
    2. D. Bohannon, "Invoke-obfuscation: powershell obfusk8tion techniques & how to (try to) d""etect 'th'+'em," DerbyCon, Sep. 2016 
    3. D. Bohannon and L. Holmes, "Revokeobfuscation: powershell obfuscation de tection and evasion using science," Blackhat USA, July 2017 
    4. F.A. Gers, J. Schmidhuber, and F. Cummins, "Learning to forget: continua l prediction with LSTM," 9th International Conference on Artificial Neural Networks, pp. 850-855, Sep. 1999 
    5. D. Hendler, S. Kels, and A. Rubin, "Detecting malicious powershell comman ds using deep neural networks," Proceedings of the 2018 on Asia Conference on Computer and Communications Security. ACM, pp. 187-197, June 2018 
    6. R. Kazanciyan and M. Hastings, "Investigating powershell attacks," BlackHat USA, Aug. 2014 
    7. D.P. Kingma and J.L. Ba, "Adam: a method for stochastic optimization," arXiv preprint arXiv:1412.6980v9, Jan. 2017 
    8. N. Mittal, "AMSI: how windows 10 plans to stop script-based attacks and how well it does it," Blackhat USA, Aug. 2016 
    9. V. Nair and G.E. Hinton, "Rectified linear units improve restricted boltzma nn machines," Proceedings of the 27th international conference on machine learning, pp. 807-814, June 2010 
    10. S.M. Pontiroli and F.R. Martinez, "The tao of .NET and powershell malware analysis," Virus Bulletin Conference, Sep. 2015 
    11. A. Rousseau, "Hijacking .NET to defend powershell," arXiv preprint arXiv:1709.07508, Sep. 2017 
    12. N. Srivastava, G. Hinton, A. Krizhevsky, I. Sutskever, and R. Salakhutdinov, "Dropout: a simple way to prevent neural networks from overfitting," The Journal of Machine Learning Research, vol. 15, no. 1, pp. 1929-1958, June 2014 
    13. S. Tanda, "Powershell inside out: applied .NET hacking for enhanced visibility," Code Blue, Nov. 2017 
    14. D. Tran, H. Mac, V. Tong, H.A. Tran, and L.G. Nguyen, "A LSTM based framework for handling multiclass imbalance in DGA botnet detection," Neurocomputing, vol. 275, pp. 2401-2413, Jan. 2018 
    15. McAfee, "McAfee labs threats report march 2018," McAfee, Mar. 2018 
    16. Symantec, "Increased use of powershell in attacks," Symantec, 2016 
    17. https://aka.ms/PowerShellCorpus 
    18. FireEye, "Malicious powershell detection via machine learning," https://www.fireeye.com/blog/threat-research/2018/07/malicious-powershell-detection-via-machine-learning.html 
    19. Microsoft, "Antimalware scan interface," https://docs.microsoft.com/en-us/windows/desktop/AMSI/antimalware-scan-interface-portal 
    20. Microsoft, "PowerShell," https://docs.microsoft.com/en-us/powershell/scripting/powershell-scripting 
    21. Microsoft, "Installing windows powershell," https://docs.microsoft.com/en-us/powershell/scripting/setup/installingwindows-powershell 
    22. Microsoft, "Script tracing and logging," https://docs.microsoft.com/en-us/powershell/wmf/5.0/audit_script 
    23. Palo Alto Networks, "Pulling back the curtains on encodedcommand powershell attacks," https://researchcenter.paloaltonetworks.com/2017/03/unit42-pulling-back-the-curtains-on-encodedcommand-powershell-attacks/ 
    24. GitHub, "DotNetHooking," https://github.com/tandasat/DotNetHooking 

 저자의 다른 논문

  • 문종섭 (49)

    1. 2001 "유전자 알고리즘을 이용한 InGaP/GaAs HBT 소신호 등가회로 파라미터 추출" 퍼지 및 지능시스템학회 논문지 = Journal of fuzzy logic and intelligent systems 11 (6): 500~504    
    2. 2002 "Adaptive Resonance Theory 2를 이용한 네트워크 기반의 침입 탐지 모델 연구" 情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology 12 (3): 129~139    
    3. 2003 "보안도구에 대한 우회공격 기법 분류 및 분석" 情報保護學會誌 = KIISC review 13 (2): 92~105    
    4. 2003 "안전한 보안패치 분배 구조의 설계 및 구현" 情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology 13 (4): 47~62    
    5. 2004 "Support Vector Machine 기반 TCP/IP 헤더의 은닉채널 탐지에 관한 연구" 情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology 14 (1): 35~45    
    6. 2004 "n-Gram 색인화와 Support Vector Machine을 사용한 스팸메일 필터링에 대한 연구" 情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology 14 (2): 23~33    
    7. 2004 "인터넷 트래픽의 정보은닉 기법 분석" 情報保護學會誌 = KIISC review 14 (2): 89~99    
    8. 2004 "자동화된 침해사고대응시스템에서의 네트웍 포렌식 정보에 대한 정의" 情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology 14 (4): 149~162    
    9. 2005 "URL 스푸핑을 이용한 피싱 공격의 방어에 관한 연구" 情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology 15 (5): 35~45    
    10. 2006 "시간적인 행동 패턴을 고려한 웜의 정형 표현 기법 연구" 情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology 16 (3): 53~64    

 활용도 분석

  • 상세보기

    amChart 영역
  • 원문보기

    amChart 영역

원문보기

무료다운로드
유료다운로드

유료 다운로드의 경우 해당 사이트의 정책에 따라 신규 회원가입, 로그인, 유료 구매 등이 필요할 수 있습니다. 해당 사이트에서 발생하는 귀하의 모든 정보활동은 NDSL의 서비스 정책과 무관합니다.

원문복사신청을 하시면, 일부 해외 인쇄학술지의 경우 외국학술지지원센터(FRIC)에서
무료 원문복사 서비스를 제공합니다.

NDSL에서는 해당 원문을 복사서비스하고 있습니다. 위의 원문복사신청 또는 장바구니 담기를 통하여 원문복사서비스 이용이 가능합니다.

이 논문과 함께 이용한 콘텐츠
이 논문과 함께 출판된 논문 + 더보기