AIT: A method for operating system kernel function call graph generation with a virtualization technique

( Longlong Jiao ),( Senlin Luo ),( Wangtong Liu ),( Limin Pan ) 한국인터넷정보학회 2020 KSII Transactions on Internet and Information Syst Vol.14 No.5

Operating system (OS) kernel function call graphs have been widely used in OS analysis and defense. However, most existing methods and tools for generating function call graphs are designed for application programs, and cannot be used for generating OS kernel function call graphs. This paper proposes a virtualization-based call graph generation method called Acquire in Trap (AIT). When target kernel functions are called, AIT dynamically initiates a system trap with the help of a virtualization technique. It then analyzes and records the calling relationships for trap handling by traversing the kernel stacks and the code space. Our experimental results show that the proposed method is feasible for both Linux and Windows OSs, including 32 and 64-bit versions, with high recall and precision rates. AIT is independent of the source code, compiler and OS kernel architecture, and is a universal method for generating OS kernel function call graphs.

Centrality를 활용한 그래프 기반 악성코드탐지 성능 향상 방안

이한진,정인웅,정재환,최석환 한국지능시스템학회 2024 한국지능시스템학회논문지 Vol.34 No.2

최근 몇 년 동안 딥러닝의 빠른 발전과 함께 그래프 데이터셋에 대한 연구가 크게 확대되고있다. 특히, Graph Convolutional Network(GCN) 기반의 그래프 분류 모델은 다양한 분야에서 활용되고 있으며, 보안 분야에서 악성코드 탐지를 위한 핵심 모델로 부상하고 있다. GCN기반 악성코드 탐지 모델은 노드 속성이 없는 악성코드 Function Call Graph(FCG)의 특성을 반영하기 위해 Local Degree Profile(LDP) 방식을 도입한다. 본 논문에서는 기존 LDP를적용한 GCN 기반의 악성코드 탐지 모델의 성능을 향상하기 위한 Local Centrality DegreeProfile(LCDP)을 제안한다. 또한, 본 논문에서는 MalNet-Tiny 데이터셋을 사용한 실험을 통해 제안하는 LCDP를 적용한 GCN 모델이 기존 LDP를 적용한 GCN 모델보다 높은 악성코드 탐지 성능을 제공함을 보인다. In the last few years, with deep learning's rapid advancement, there's a notableincrease in research on graph datasets. Especially, Graph Convolutional Network(GCN) based graph classification models are gaining prominence in various fields,and are emerging as key models for malware detection in security field. The GCNmodels for malware detection use the Local Degree Profile (LDP) method to adaptto the unique features of malware Function Call Graphs (FCG), which lack nodeproperties. In this paper, we introduce an improved LDP method, called LocalCentrality Degree Profile (LCDP), aimed at enhancing the effectiveness of existingLDP-applied GCN models for malware detection. Also, from the experimentalresults using MalNet-Tine dataset, we show that the GCN model applying theproposed LCDP method provides higher malware detection performance than theGCN model applying the existing LDP.

동적 분석을 이용한 난독화 된 실행 프로그램의함수 호출 그래프 생성 연구

천세범,김대엽 한국전기전자학회 2023 전기전자학회논문지 Vol.27 No.1

As one of the techniques for analyzing malicious code, techniques creating a sequence or a graph of functioncall relationships in an executable program and then analyzing the result are proposed. Such methods generallystudy function calling in the executable program code through static analysis and organize function callrelationships into a sequence or a graph. However, in the case of an obfuscated executable program, it is difficultto analyze the function call relationship only with static analysis because the structure/content of the executableprogram file is different from the standard structure/content. In this paper, we propose a dynamic analysis methodto analyze the function call relationship of an obfuscated execution program. We suggest constructing a functioncall relationship as a graph using the proposed technique. 악성코드 분석을 위한 기술 중 하나로 실행 프로그램의 함수 호출 관계를 시퀀스 또는 그래프 작성한 후, 그 결과를 분석하는 기술이 제안되었다. 이러한 기술들은 일반적으로 실행 프로그램 파일의 정적 분석을 통해 함수 호출 코드를 분석하고, 함수 호출 관계를 시퀀스 또는 그래프로 정리한다. 그러나 난독화 된 실행 프로그램의 경우, 실행 프로그램 파일의 구성이 표준구성과 다르기 때문에 정적분석 만으로는 함수 호출관계를 명확히 분석하기 어렵다. 본 논문에서는 난독화 된 실행 프로그램의 함수 호출관계를 분석하기 위한 동적 분석 방법을 제안하고, 제안된 기술을 이용하여 함수 호출관계를 그래프로 구성하는 방법을 제안한다.

다이나믹 API 호출 흐름 그래프를 이용한 오프라인 기반 랜섬웨어 탐지 및 분석 기술 개발

강호석,김성열 한국디지털콘텐츠학회 2018 한국디지털콘텐츠학회논문지 Vol.19 No.2

Ransomware detection has become a hot topic in computer security for protecting digital contents. Unfortunately, current signature-based and static detection models are often easily evadable by compress, and encryption. For overcoming the lack of these detection approach, we have proposed the dynamic ransomware detection system using data mining techniques such as RF, SVM, SL and NB algorithms. We monitor the actual behaviors of software to generate API calls flow graphs. Thereafter, data normalization and feature selection were applied to select informative features. We improved this analysis process. Finally, the data mining algorithms were used for building the detection model for judging whether the software is benign software or ransomware. We conduct our experiment using more suitable real ransomware samples. and it's results show that our proposed system can be more effective to improve the performance for ransomware detection. 최근 랜섬웨어 탐지는 디지털 콘텐츠 보호를 위한 컴퓨터 보안 분야에서 중요한 주요한 이슈가 되고 있다. 그러나 불행하게도 현재 시그니쳐 기반이나 정적 탐지 모델의 경우 압축 및 암호화 등의 기법을 이용하여 탐지를 피해갈 수 있다. 이를 극복하기 위해 본 논문에서는 RF, SVM, SL, NB 알고리즘 같은 데이터 마이닝 기법을 이용한 다이나믹 랜섬웨어 탐지 시스템을 제안하였다. 이 기법은 실제 소프트웨어를 구동 시켜 동작 행위를 추출해 API 호출 흐름 그래프를 만들고 그 특징을 분석에 이용하였다. 그 후 데이터 정규화, 특징 선택 작업을 진행하였다. 우리는 이러한 분석과정을 더욱더 개선 시켰다. 마지막으로 데이터 마이닝 알고리즘을 적용시켜 랜섬웨어인지를 판별하였다. 제안한 알고리즘의 성능 측정을 위해 더 적합한 추가 샘플 랜섬웨어 데이터를 수집하여 실험하였고 탐지성능이 향상되었음을 보여주었다.

Improving the Detection of Malware Behaviour Using Simplified Data Dependent API Call Graph

Ammar Ahmed E. Elhadi,Mohd Aizaini Maarof,Bazara I. A. Barry 보안공학연구지원센터 2013 International Journal of Security and Its Applicat Vol.7 No.5

Call Graph Based Metrics To Evaluate Software Design Quality

Hesham Abandah,Izzat Alsmadi 보안공학연구지원센터 2013 International Journal of Software Engineering and Vol.7 No.1

Research on Integration Algorithm of Global Function Call Path Based on Module Path

Pan Lu,Mu Yong-min,Yang Zhi-jia 보안공학연구지원센터 2016 International Journal of Signal Processing, Image Vol.9 No.6

자바 접근 권한 검사 트리 기반의 자바 취약 API 리스트 생성

박효성,박철우,임영찬,김기창 사단법인 인문사회과학기술융합학회 2015 예술인문사회융합멀티미디어논문지 Vol.5 No.2

Java is an interpreted language that can run on a variety of platforms, also Java has a number of useful features for network. Due to theses features of Java language, Java is used in various fields. In this paper, we will talk about how the malware that threaten the Java Security Manager of the Java Virtual Machine is using the vulnerability of the Java Virtual Machine. And for corresponding measures, this paper suggest vulnerability analysis method of Java system class by using Java Call Graph and Java Access Permission Checking Tree. By suggesting that, we want to lay groundwork for preventing Java security threats in advance. 자바는 다양한 플랫폼에서 실행 가능한 인터프리터 언어이며, 네트워크 사용에 유용한 기능들을 갖고 있다. 이러한 자바 언어의 특징으로 인해 자바는 다양한 분야에서 사용되고 있다. 본 논문에서는 자바 가상머신의 보안 관리자를 위협하는 악성 코드가 어떠한 방법으로 가상머신의 취약점을 노리는지에 대해 언급한다. 그리고 이에 대응 방안으로 자바 콜 그래프와 자바 접근 권한 검사 트리를 이용한 자바 시스템 클래스의 취약점 분석 방법을 제안으로써 사전에 미리 보안 위협을 방지하기 위한 토대를 마련하고자 한다.

마이크로컨트롤러 환경에서 타깃 바이너리 파일 분석을 통한 최대 스택 메모리 사용량 예측 기법

최기호,김성섭,박대진,조정훈,Choi, Kiho,Kim, Seongseop,Park, Daejin,Cho, Jeonghun 대한임베디드공학회 2017 대한임베디드공학회논문지 Vol.12 No.3

Software safety is a key issue in embedded system of automotive and aviation industries. Various software testing approaches have been proposed to achieve software safety like ISO26262 Part 6 in automotive environment. In spite of one of the classic and basic approaches, stack memory is hard to estimating exactly because of uncertainty of target code generated by compiler and complex nested interrupt. In this paper, we propose an approach of analyzing the maximum stack usage statically from target binary code rather than the source code that also allows nested interrupts for determining the exact stack memory size. In our approach, determining maximum stack usage is divided into three steps: data extraction from ELF file, construction of call graph, and consideration of nested interrupt configurations for determining required stack size from the ISR (Interrupt Service Routine). Experimental results of the estimation of the maximum stack usage shows proposed approach is helpful for optimizing stack memory size and checking the stability of the program in the embedded system that especially supports nested interrupts.

서바이벌 네트워크 개념을 이용한 저자 식별 프레임워크: 의미론적 특징과 특징 허용 범위

황철훈(Cheol-Hun Hwang),신건윤(Gun-Yoon Shin),김동욱(Dong-Wook Kim),한명묵(Myung-Mook Han) 한국정보보호학회 2020 정보보호학회논문지 Vol.30 No.6

악성코드 저자 식별은 알려진 악성코드 저자의 특징을 이용하여 알려지지 않은 악성코드의 저자 특징과 비교를 통해 악성코드를 식별하기 위한 연구 분야이다. 바이너리를 이용한 저자 식별 방법은 실질적으로 배포된 악성코드를 대상으로 수집 및 분석이 용이하다는 장점을 갖으나, 소스코드를 이용한 방법보다 특징 활용 범위가 제한된다. 이러한 한계점으로 인해 다수의 저자를 대상으로 정확도가 저하된다는 단점을 갖는다. 본 연구는 바이너리 저자 식별에 한계점을 보완하기 위하여 ‘바이너리로부터 의미론적 특징 정의’와 ‘서바이벌 네트워크 개념을 이용한 중복 특징에 대한 허용 범위 정의’ 방법을 제안한다. 제안한 방법은 바이너리 정보로부터 Opcode 기반의 그래프 특징을 정의하며, 서바이벌 네트워크 개념을 이용하여 저자별 고유 특징을 선택할 수 있는 허용범위를 정의하는 것이다. 이를 통해 저자별 특징 정의 및 특징 선택 방법을 하나의 기술로 정의할 수 있으며, 실험을 통해 선행연구보다 5.0%의 정확도 향상과 함께 소스코드 기반 분석과 동일한 수준의 정확도 도출이 가능함을 확인할 수 있었다. Malware Authorship Attribution is a research field for identifying malware by comparing the author characteristics of unknown malware with the characteristics of known malware authors. The authorship attribution method using binaries has the advantage that it is easy to collect and analyze targeted malicious codes, but the scope of using features is limited compared to the method using source code. This limitation has the disadvantage that accuracy decreases for a large number of authors. This study proposes a method of ‘Defining semantic features from binaries’ and ‘Defining allowable ranges for redundant features using the concept of survival network’ to complement the limitations in the identification of binary authors. The proposed method defines Opcode-based graph features from binary information, and defines the allowable range for selecting unique features for each author using the concept of a survival network. Through this, it was possible to define the feature definition and feature selection method for each author as a single technology, and through the experiment, it was confirmed that it was possible to derive the same level of accuracy as the source code-based analysis with an improvement of 5.0% accuracy compared to the previous study.