• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 추계학술발표대회
• /
• pp.648-649
• /
• 2013

최근 컴퓨터 시스템과 네트워크의 발전으로 인해 다양한 악성코드들이 네트워크 상에서 유포되고 있다. 이러한 악성코드들을 빠른 시간에 분석해서 악성 여부와 그 행위를 파악하기 위해 많은 자동 분석 시스템들이 개발되어 사용되고 있지만, 이들 대부분이 가상머신 기반으로 동작하기 때문에 최근의 악성코드들은 가상머신 환경을 탐지하여 가상머신 상에서는 본연의 기능을 수행하지 않도록 제작되어 있다. 본 논문에서는 기존의 악성코드 자동 분석 시스템이 가상머신을 기반으로 하는 것을 개선해서 실제 컴퓨터를 사용해서 자동 분석할 수 있는 시스템을 제안한다.

• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제22권3호
• /
• pp.139-144
• /
• 2016

최근 악성코드를 이용한 위협은 사이버 상에서 가장 위협적이고 점차 지능화되고 있다. 하지만 안티 바이러스 제품이나 기존의 탐지 솔루션은 복잡해지고 정교해지는 악성코드에 대해 효과적으로 대응하지 못한다. 본 논문에서는 분석 환경 회피 기술을 갖는 악성코드를 보다 효과적으로 식별하기 위해 실제 컴퓨터 환경을 기반으로 악성코드의 동작 및 상태를 감지하고 악성코드의 요구사항을 동적으로 핸들링하는 환경을 제안한다. 제안하는 방법은 리얼머신 기반의 바이너리 자동실행 환경과 가상머신 환경에서의 악성코드 악성행위 활동성을 비교하여 지능형 악성코드를 효과적으로 분석하기 위한 동적 분석환경을 제공할 수 있음을 실험하여 보였다.

• 한국소프트웨어감정평가학회 논문지
• /
• 제15권1호
• /
• pp.1-9
• /
• 2019

본 논문에서는 사용자 및 서비스 제공자의 신원을 공개하지 않는 토르 네트워크상에서 불법적으로 콘텐츠를 공유하는 행위의 저작권 침해를 탐지하기 위하여 트래픽을 효율적으로 수집하고 분석하고자, 다수의 가상머신을 이용한 토르 트래픽 수집 시스템 설계 및 구현을 진행하였다. 토르 네트워크에 접속할 수 있는 클라이언트로 다수의 가상머신과 Mini PC를 이용하였으며, 스크립트 기반의 테스트 클라이언트 소프트웨어를 통해 트래픽 수집 서버에서 수집과 정제 과정을 모두 자동화하였다. 이 시스템을 통해 토르 네트워크 트래픽만을 저장하고 필요한 필드 데이터만을 데이터베이스에 저장할 수 있으며, 한 번의 수집 과정 당 평균적으로 약 10,000개 이상의 패킷을 데이터베이스에 저장하고 토르 트래픽만을 인식하여 정제하는 성능을 95% 이상 달성하였다.

• 한국멀티미디어학회논문지
• /
• 제13권5호
• /
• pp.754-762
• /
• 2010

최근 악성 문서파일이 첨부된 이메일을 특정인에게 발송하여 중요자료를 절취하는 형태의 해킹사고가 지속적으로 발생하고 있다. 이러한 공격에는 공격 성공률 향상과 바이러스 백신의 탐지회피를 위해 주로 제로데이 취약점이 이용되고 있으며, 적절한 사회공학적 기법이 병행되는 것이 일반적이다. 본 논문에서는 조직으로 유입되는 이메일 첨부 문서파일에 대한 행위기반 악성문서 탐지기술이 적용된 이메일 백신 클라우드 시스템을 제안한다. 이메일에 포함된 문서파일을 추출하여 이메일 백신 클라우드 시스템에 전달하면, 백신 클라우드에서 시그니쳐 기반 분석 및 행위기반 분석을 통해 악성코드 포함 여부를 판단 후 악성코드를 제거한다. 행위분석 과정에서 의도하지 않은 실행파일 생성, 프로세스 실행, 레지스트리 엔트리 접근, 인터넷 접속시도 등이 발견되면 악성문서로 판단하게 된다. 본 논문에서 제시된 이메일 백신 클라우드 시스템은 악성문서 첨부 이메일의 유입을 효과적으로 차단함으로써 중요자료 유출 등의 각종 사이버테러 예방에 도움이 될 것으로 기대 된다.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제16권4호
• /
• pp.405-414
• /
• 2010

2008년도 SecruityFocus 자료에 따르면 마이크로소프트사의 인터넷 익스플로러를 통한 클라이언트 측 공격(client-side attack)이 50%이상 증가하였다. 본 논문에서는 가상머신 환경에서 능동적으로 웹 페이지를 방문하여 행위 기반(즉, 상태변경 기반)으로 악성 URL을 분석하여 탐지하고, 블랙리스트 기반으로 악성 URL을 필터링하는 시스템을 구현하였다. 이를 위해, 우선 크롤링 시스템을 구축하여 대상 URL을 효율적으로 수집하였다. 특정 서버에서 구동되는 악성 URL 탐지 시스템은, 수집한 웹페이지를 직접 방문하여 머신의 상태 변경을 관찰 분석하고 악성 여부를 판단한 후, 악성 URL에 대한 블랙리스트를 생성 관리한다. 웹 클라이언트 머신에서 구동되는 악성 URL 필터링 시스템은 블랙리스트 기반으로 악성 URL을 필터링한다. 또한, URL의 분석 시에 메시지 박스를 자동으로 처리함으로써, 성능을 향상시켰다. 실험 결과, 게임 사이트가 다른 사이트에 비해 악성비율이 약 3배 많았으며, 파일생성 및 레지스트리 키 변경 공격이 많음을 확인할 수 있었다.

• 정보보호학회논문지
• /
• 제27권3호
• /
• pp.579-589
• /
• 2017

클라우드 환경은 하이퍼바이저 기반으로 다수의 가상머신들이 상호 연결된 형태로 악성코드의 전파가 용이하기 때문에 다른 환경에 비해 악성코드에 감염될 경우 그 피해규모가 상대적으로 크다. 본 논문에서는 이러한 문제점을 해결하기 위해 안전한 클라우드 환경을 위한 악성트래픽 동적 분석 시스템을 제안한다. 제안하는 시스템은 클라우드 환경에서 발생하는 악성트래픽을 판별하여 악성행위를 격리된 가상네트워크 환경에서 지속적으로 모니터링 및 분석한다. 또한, 분석된 결과를 추후 발생하는 악성트래픽의 판별과 분석에 반영한다. 본 논문에서 제안하는 시스템은 클라우드 환경에서 발생하는 신 변종 악성트래픽 탐지 및 대응을 목적으로 클라우드 환경에서의 악성트래픽 분석환경을 구축함으로써 안전하고 효율적인 악성트래픽 동적 분석을 제공한다.