서지주요정보
N-gram을 이용한 윈도우즈 프로그램의 정적 버스마크 = N-gram based static birthmark for windows binary excutables
서명 / 저자 N-gram을 이용한 윈도우즈 프로그램의 정적 버스마크 = N-gram based static birthmark for windows binary excutables / 권요셉.
저자명 권요셉 ; Kwon, Jo-seph
발행사항 [대전 : 한국과학기술원, 2008].
Online Access 원문보기 원문인쇄

소장정보

등록번호

8019254

소장위치/청구기호

학술문화관(문화관) 보존서고

MCS 08002

SMS전송

도서상태

이용가능

대출가능

반납예정일

초록정보

A software birthmark is a technology that extracts a unique characteristic of a program to detect a software theft. In this thesis we suggest and empirically evaluate a static birthmark of binary executables applying n-gram based document indexing technology. Employed document indexing is a vector space model based on n-gram and tf-idf. Programs are regarded as documents composed of instructions. We focus on standard API calls of programs to apply n-gram indexing. Using IDAPro disassembler, we implement a system that extracts proposed birthmarks from applications. To evaluate the proposed birthmark, we show that the birthmark has credibility and resilience which are established as key characteristics of the birthmark by preceding research. For credibility we compare the same applications with different versions and the various types of applications in 10 categories of application which include text editors, terminals, picture viewers, multimedia players, P2P clients, and messengers. For resilience, we compare binary executables compiled from various compilers. we measure elapsed times to compute several birthmarks to evaluate a merit of establishing a database with the proposed birthmark. The empirical result shows credibility, resilience, and reasonable comparing time of the proposed birthmark in the chosen cases.

소프트웨어 버스마크란 프로그램 도용의 식별을 도울만한 프로그램 고유의 특성을 말한다. 본 논문에서는 실행 파일 형태의 Windows 프로그램을 대상으로 새로운 버스마크를 제안하였다. 제안된 버스마크는 Windows 운영체제에서 제공하는 API를 이용하여 정의된다. API는 Windows 프로그램의 기능적인 부분을 구성하는데 핵심이며, 따라서 제안된 버스마크는 프로그램의 기능성을 반영하게 된다. 단순히 API의 호출 종류나 사용 정도만을 통해 버스마크를 정의한 것이 아니라 실행 파일 상의 API의 배열 위치를 통해 만들어지는 특징을 추출하므로 기능적으로 유사성이 있는 프로그램도 신뢰성있게 처리할 수 있다는데 강점이 있다. 제안된 버스마크를 평가하기 위해 제안된 버스마크를 Windows 실행 파일에서 추출하고 비교하는 시스템을 작성하고 이를 이용해 실험하였다. 구현된 시스템은 IDAPro 디스어셈블러를 이용하여 구성되었으며, DB추출기, 간접 호출 해석기, n-gram 추출기로 이루어진 버스마크 추출 부분과 두 버스마크를 비교하여 도용 을 판별하는데 기준이 되는 유사성을 계산하는 버스마크 비교기로 구성하였다. 실험은 구현된 시스템을 통해 실제 배포된 프로그램들에서 버스마크를 추출하여 수행 하였다. 동일 프로그램의 다른 버전과의 비교, 같은 기능을 가진 다른 프로그램과의 비교, 같은 소스로부터 다른 컴파일러를 이용해 생성된 프로그램과의 비교로 구성 되었으며 이러한 실험의 결과는 제안된 버스마크의 유효성과, 속성인 신뢰성과 강인성을 보였다. 제안된 버스마크는 유사한 기능을 가진 프로그램들을 잘 구분해내어 신뢰성을 가졌으며, 같은 소스에 대해 다른 컴파일러로 컴파일한 변형된 프로그램에 관해서도 같은 프로그램으로 분류하므로 강인성를 가졌다. 이전에 진행된 Choi의 연구와 비교하였을 때 다소 높은 신뢰성을 가진다. 또한 주어진 실험 군에서의 버스마크의 비교 시간을 측정한 결과 초 단위의 결과로 빠른 비교 속도를 보였으며, 이러한 속도는 다수의 프로그램으로 버스마크 데이터베이스를 구성할 수 있는 가능성을 보여준다. 다만 제안된 버스마크는 프로그램 정적 분석 기술에 의존하므로, 정적 분석 기술의 적용이 어려운 프로그램의 경우에 적용 범위가 한정되는 단점이 있다.

서지기타정보

서지기타정보
청구기호 {MCS 08002
형태사항 vi, 31 p. : 삽도 ; 26 cm
언어 한국어
일반주기 저자명의 영문표기 : Jo-seph Kwon
지도교수의 한글표기 : 한태숙
지도교수의 영문표기 : Tai-sook Han
학위논문 학위논문(석사) - 한국과학기술원 : 전산학전공,
서지주기 참고문헌 : p. 30-31
주제 birthmark;code-theft detection;;;
버스마크;코드도용탐지;;;
QR CODE qr code