Personal computers are normally operated by one user at a time to perform such general purpose tasks as word processing, Internet browsing, e-mail and other personal usages. Combined with the great capabilities of hardware and software technologies, the power of personal computers has radically increased. Frequency of attacks on Microsoft Windows and resulting damage continue to grow as Windows become widespread. Unfortunately existing signature-based worm detection techniques are inadequate in providing reasonable degree of PC secure protection. Anomaly-based worm detection is a complement to existing signature-based worm detectors. It detects unknown worms and fills the gap between when a worm is propagated and when a signature is generated and downloaded to a signature-based worm detector. A major obstacle for its deployment to personal computers (PCs) is its high false positive alarms since a typical PC user lacks the skill to handle exceptions flagged by a detector without much knowledge of computers. Firstly we have studied the behaviors of benign applications and Internet worms and analyzed the apparent characteristics which are highly effective enough to differentiate between normal applications and Internet worms. We have developed simple and easy linear classifier to detect Internet worm based on the combination of user-activity and system-event temporal gap, network outreach diversity, and port access activity level. An experimentation involving blind users was conducted and the performance of methodology was analyzed based on a simple linear classification. Even if the anomaly detection approach is too simple and naive to be practical for deploying real PC environment, it is highly likely helpful to understand that the basic 4 worm detection attributes are good enough to differentiate between normal applications and Internet worms, and how these attributes impact to worm detection framework. We introduce the correlation of basic 4 detection attributes and simple linear classifier which is still imperfect but good enough to classify between normal application and Internet worms. A linear classifier showed 3.92\% classification errors with maximum conservative parameters. There are some issues with such an approach. Because of several artificial parameters such as $\alpha$, $\beta$ and $AS_{Threshold}$ that are highly critical for detection performance and false alarm rates, it may be hard to build fully automated worm detection system and have a potential vulnerability for worms to go around. Support Vector Machine, SVM in short, has been found to be successful in various research areas, which generally used for data classification, pattern classification and recognition problems. The major strengths of SVM are the training is relatively easy and no local optimal. It scales very well to high dimensional data and the trade-off between classifier complexity and error can be controlled explicitly. SVM would be helpful to remove such limitations of linear classifier; one-class non-linear classification will automatically calculate separable hyper plane, and one-class SVM based worm detection system will not use such parameters to reduce false alarms, for example $\alpha$, $\beta$ and $AS_{Threshold}$. Additionally we are encouraged to be considered a more comprehensive approach that also includes adaptive/moving temporal windows to make difficult to bypass our PC worm detection system and noise filter scheme to reduce false alarms effectively. Secondly we have developed a practical and effective PC based worm detection system, PC-WDS in short, based on non-linear classifier (one-class SVM). We introduce 6 worm detection attributes to be used in one-class SVM learner and classifier. One-class SVM would reduce classification marginal error in a simple non-linear classification to make the best generalization of normal profile. To make the SVM profile of legitimate applications which can effectively distinguish Internet worms from normal applications, SVM learner developed profiles based on several different hours of normal operation for each user. After training, SVM classifier tests all remaining behaviors of applications and real Internet worms running on PCs, and triggers outliers as Internet worm. Our PC-WDS result based on each normal profile can be shown in experimental results section. PC-WDS successfully detects 23 real Internet worms without any pre-defined worm signatures, and shows just 0.08\% false positive alarms and 100\% Internet worm detection. We also explain how the each feature is important ones for Internet worm detection using one-class SVM and that all of 6 detection features play an important role in detecting Internet worms and reducing false alarms. In this dissertation, we exploit the feature of personal computers in which the user interacts with many running programs and the features combining various network characteristics. The model of a program`s network behaviors is conditioned on the human interactions with the program. Our scheme automates detection of unknown worms with dramatically reduced false positive alarms while not compromising low false negatives, as proved by our experimental results from an implementation on Windows-based PCs to detect real world worms.

인터넷 웜은 네트워크에 연결되어 있는 컴퓨터들의 보안 취약점을 공격하여 스스로를 복제하며 전염하는 컴퓨터 프로그램이다. 컴퓨터 바이러스는 다른 실행 프로그램에 기생하여 전염하는 반면에 웜은 전염을 위해 사용자나 다른 프로그램의 도움 없이 독자적으로 자신의 복사본을 네트워크에 전파한다. 1988년에 발생한 Morris 웜 이후로 인터넷 웜에 의한 피해는 꾸준히 증가하고 있다. 실례로 2001년에 발생한 CodeRed v2 웜은 발생한지 14시간 안에 약 359,000 컴퓨터를 감염시켰으며, CodeRed v2 웜에 의한 피해 규모는 26억 달러(\$)을 넘었다. CodeRed 웜 이후로도 Nimda, Slammer, Blaster, Sasser, Witty 등의 인터넷 웜들이 지속적으로 발생하였으며 여전히 인터넷 웜은 컴퓨터와 인터넷에 매우 큰 위협이 되고 있다. 더욱이 최근 연구들은 수 시간에서 심지어 수십 분 이내에 인터넷 상의 모든 취약한 컴퓨터를 감염시킬 수 있음을 보여준다. 게다가 최근 인터넷 웜은 빠른 시간 내에 많은 컴퓨터를 감염시키기 위해 점점 진화하고 있다. 대규모 감염은 직접적으로 컴퓨터와 인터넷에 피해를 주지만 공격자의 의도에 따라 감염 후에 더욱 큰 피해를 줄 수 있기 때문에 웜의 대규모 감염은 매우 큰 위협이 된다. 인터넷에 새로운 웜이 출현하였을 때 전문적인 지식이 부족한 개인 사용자들을 보호할 수 있는 기술이 필요하다. 최근 하드웨어 기술의 발전으로 PC의 성능은 높아지고 인터넷 기술의 발전으로 PC가 24시간 언제라도 인터넷에 연결될 수 있게 되었다. 개인 사용자들은 PC를 사용하여 증권/주식 거래, 온라인 은행 업무 등 다양한 금융업무를 수행할 수 있고 이러한 PC에는 개인 사용자의 신용카드 정보나 금융/의료 정보 외에 개인의 주요한 기밀 정보들이 사용된다. 이렇게 PC에 대한 웜의 위협은 날로 증가하고 있으며 점점 빨라지는 인터넷 웜의 대규모 감염에 효과적으로 대응할 수 있는 방법은 개인 방화벽이나 안티 바이러스 소프트웨어가 유일하다. 그러나 개인 방화벽이나 안티 바이러스 소프트웨어는 전문가에 의해 웜이 분석되어 방화벽 룰을 업데이트하거나 웜 시그니처를 업데이트 할 때까지 많은 시간이 소요되어 대규모 감염 사태를 막기에는 부적합하다. 이상탐지(anomaly-based) 기반의 시스템은 기존의 시그니처(signature-based) 기반의 탐지 시스템의 단점들을 보완하여 포괄적이고 완전한 탐지 시스템을 구성하기 위해 그 동안 많은 연구가 이루어져 왔다. 그러나 이상탐지 기반의 시스템이 실제로 사용되기 위해서는 무엇보다 높은 오탐율(false positive)을 낮출 수 있는 효과적인 방법이 필요하다. 본 연구에서는 개인 PC 사용자들을 보호 대상으로 실용적인 PC 기반의 웜 탐지 시스템(PC-WDS)을 설계하는데 목적을 둔다. PC 내의 프로그램들이 사용자와 상호작용(interaction)하는 행위들을 분석하고 이와 함께 효과적인 시스템, 네트워크 행위들을 결합하여 오탐율이 매우 낮은 성공적인 PC 기반의 인터넷 웜 탐지 시스템을 개발하였다. 또한 본 이상탐지 시스템의 성능을 검증하기 위하여 마이크로소프트 윈도우 기반의 PC에 실제 인터넷 웜을 사용하여 오탐지 없이 성공적으로 탐지함을 실험 결과로 보였다. SVM은 패턴 인식, 문자 인식 및 이상 탐지 연구 분야에서 좋은 결과를 보여왔다. 또한 학습을 통해 정상 프로파일을 만들고 이를 기반으로 인터넷 웜을 탐지한다. PC-WDS을 개발하기 위해 one-class SVM을 사용하여 성공적으로 23개의 실제 인터넷 웜을 탐지하였다. 반면에 PC-WDS은 0.08\%의 매우 낮은 오탐지율을 보였다. 또한 feature ranking 기법을 사용하여 6개의 웜 탐지 피처들을 분석하였으며, 6개 모두 웜을 탐지하고 오탐지율을 낮추는데 효율적인 피처임을 보였다.