• 정보보호학회논문지
• /
• 제33권6호
• /
• pp.1067-1076
• /
• 2023

최근 변종 악성코드가 증가하면서 사이버 해킹 침해사고 규모가 확대되고 있다. 그리고 지능형 사이버 해킹 공격에 대응하기 위해 악성코드 패밀리를 효과적으로 분류하기 위한 기계학습 기반 연구가 활발히 진행되고 있다. 그러나 기존의 분류 모델은 데이터셋이 난독화되거나, 희소한 경우에 성능이 저하되는 문제가 있었다. 본 논문에서는 ASM 파일과 BYTES 파일에서 추출한 특징을 결합한 하이브리드 데이터셋을 제안하고, FNN을 사용하여 분류 성능을 평가한다. 실험 결과에 따르면 제안하는 방법은 단일 데이터셋에 비해 약 4% 향상된 성능을 보였으며, 특히 희소한 패밀리에 대해서는 약 30%의 성능 향상을 보였다.

• 정보보호학회논문지
• /
• 제26권2호
• /
• pp.377-386
• /
• 2016

악성코드의 수가 기하급수적으로 증가함에 따라 악성코드의 행위를 고속으로 분석하는 기술이 절실히 요구되고 있다. 또한, 정적 분석을 방해하는 실행압축과 가상화 같은 지능화된 코드 난독화 기법이 대부분의 악성코드에 적용되어 악성코드 동적 분석에 관한 연구가 다양하게 진행되고 있다. 그러나 동적 분석은 조건에 따라 다른 행위를 하는 악성코드를 분석하는 데 어려움이 있으며, 이를 해결하기 위한 기존의 연구들은 분석 속도가 느리거나 분석환경을 준비하는 데 많은 자원을 소모하는 문제를 가지고 있다. 본 논문은 단일 분석환경에서 악성코드의 다중실행경로를 고속으로 탐색하는 방법을 제안한다. 제안한 방법은 다중실행경로 분석이 병렬적으로 실행되도록 파이프라인화 하였고, 실험을 통해 2-코어 환경에서 29%, 4-코어 환경에서 70%의 성능향상과 지연노드에 영향 받지 않는 고속탐색이 가능함을 보였다.

• 정보보호학회논문지
• /
• 제30권4호
• /
• pp.679-691
• /
• 2020

향후 5G 기술은 4차산업시대를 견인하는 핵심 인프라가 될 것이며, 지능화된 초융합 서비스를 위해서는 위치정보 등 다양한 개인정보의 수집이 필요할 것이다. 특히, 자율주행차 등 높은 품질의 서비스 제공을 위해서는 고정밀 측위 데이터가 요구된다. 만약 특정 고정밀 위치정보가 악의를 가진 자에 의해 노출될 경우, 심각한 프라이버시 위험이 발생할 수 있다. 그러나 기존의 암호화, 더미 위치생성, 난독화 등의 위치정보보호 기법은 빅데이터 수집을 위한 정확성 유지 및 통계처리 등에서 한계점이 있다. 따라서 본 논문에서는 위치정보를 노출시키지 않은 상태에서 통계질의 및 데이터 분석이 가능한 새로운 기법을 제안하였다. 제안한 방식은 랜덤 영역 버킷화와 다항식 기반의 변환처리를 통하여 원본을 재식별할 수 없도록 한다. 또한, 원본 데이터의 품질을 훼손하지 않으므로 고정밀 측위 빅데이터의 활용성을 극대화할 수 있다는 장점이 있다.

• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1121-1129
• /
• 2013

최근 악성코드 유포는 단순한 개인적 피해를 넘어 3 20 사이버테러와 같은 사회적인 심각한 문제점을 야기하고 있다. 특히 취약한 웹을 통한 유포방법인 드라이브 바이 다운로드(Drive-by download) 공격은 가장 심각한 위협이 되고 있다. 따라서 드라이브 바이 다운로드 공격에 사용되는 악성코드 유포 네트워크(Malware Distribution Network, MDN)를 효과적으로 분석하는 것은 악성코드로 인한 피해를 예방하기 위해 매우 중요하다. 악성코드 유포 네트워크를 효과적으로 분석하기 위해서는 웹페이지 내에 포함된 난독화하고 은닉화한 스크립트를 식별해야 하며, 본 논문에서는 이를 식별하기 위해 멀티레벨 에뮬레이션 기법을 제안한다. 이를 통해 다양한 형태로 숨겨져 있는 유포지로 연결하는 링크를 분석하여 악성코드 유포 네트워크 분석의 기반을 제공하고자 한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권1호
• /
• pp.43-50
• /
• 2013

파일 식별과 분석은 컴퓨터 포렌식 수사과정에서 디지털증거 획득 및 증거분석에 중요한 요소이며 지금까지 많은 연구가 진행되었다. 그러나 실행파일의 식별과 분석은 주로 악성코드에 대해 연구되어 왔기 때문에, 저작권침해 사고와 같은 일반적인 실행파일을 세부적으로 분류하고 탐지해야 할 경우에는 기존의 악성코드 분류 방법은 적용되기 어렵다. 따라서, 본 논문에서는 실행파일 헤더내 문서화되지 않은 정보의 유사도 측정에 근거한 비교를 통해 실행파일을 세부적으로 분류할 수 있는 방법을 제시한다. 제안한 방법은 실행파일의 헤더에 포함된 정보를 이용하기 때문에 일반적인 실행파일뿐만 아니라 기존의 악성코드 및 새로운 악성코드와 변종 그리고 실행압축, 코드변형, 가상화 및 난독화된 실행파일 분류에도 활용이 가능하다.

• 한국통신학회논문지
• /
• 제40권4호
• /
• pp.709-719
• /
• 2015

본 논문은 자바 언어로 작성된 코드에 선언된 임의의 변수에 관하여, 해당 변수가 사용되는 행위를 기반으로 적절한 이름을 붙여주는 리네이밍 서비스와 이러한 분석 기술에 대응하는 보안 서비스를 소개한다. 소개하는 리네이밍 서비스는 API 기반과 반복문 내부 조건문 기반의 2가지 방법으로 구분된다. 본문에서 제안 기법의 알고리즘과 함께 알려진 자바 난독화 기술과 도구를 다루어 독자의 이해를 돕고, 프로토타입을 구현하여 실용성을 보였다. 프로토타입을 이용한 실험 결과 73%의 변수명 리네이밍 성공률을 보였다. 제안 기법을 활용하면, 공동 작업자가 직관적으로 코드 전체를 파악할 수 있도록 도울 수 있다. 또한, 악성코드 분석가가 변수명을 통하여 행위를 예측할 수 있어 분석에 도움을 줄 수도 있다. 하지만, 자바로 개발한 어플리케이션의 소스코드에 제안 기법을 적용하면, 해커에게 쉽게 노출될 수 있다. 따라서 자바 어플리케이션의 코드를 보호하는 방법도 소개한다.

• 인터넷정보학회논문지
• /
• 제20권5호
• /
• pp.9-18
• /
• 2019

APK (Android Application Package)는 리패키징 공격에 취약하므로 APK 파일 내부에 난독화 기술이 적용되어 있다. 하지만 리버스 엔지니어링 기술 역시 더욱 고도화 됨에 따라 또다른 위조 모바일 APK 파일이 개발 및 배포되고 있어 새로운 대응 방식이 필요하다. 블록체인은 암호화 방식을 사용하여 연결 및 보호되는 레코드 블록이 지속적으로 추가되는 방식으로, 각 블록에는 일반적으로 이전 블록의 암호화 해시값, 타임스탬프 및 트랜잭션 데이터 등을 포함하고 있다. 따라서, 일단 블록체인에 기록되면 해당 블록의 데이터는 이후에 생성된 모든 블록을 변경하지 않고서는 소급해서 변경/수정할 수 없다. 그러므로 블록체인 기술을 적용하면 모바일 APK 파일에 대한 정상 및 위조 여부를 확인할 수 있다. 이에 본 논문에서는 Hyperledger Composer를 이용한 컨소시움 블록체인 프레임워크를 기반으로 합법적인 APK를 블록체인 내에 기록하고 유지함으로써 위조 APK에 대한 검출 기능을 제공하는 DApp (분산형 애플리케이션)을 개발하였다. 제안된 DApp을 통해 사용자의 스마트폰에 위조된 앱이 설치 되는 것을 사전에 방지 할 수 있으므로 궁극적으로는 정상적이고 합법적인 안드로이드 모바일 앱 사용 환경을 제공할 것으로 기대된다.

• 인터넷정보학회논문지
• /
• 제19권5호
• /
• pp.67-75
• /
• 2018

Symantec의 인터넷 보안위협 보고서(2018)에 따르면 크립토재킹, 랜섬웨어, 모바일 등 인터넷 보안위협이 급증하고 있으며 다각화되고 있다고 한다. 이는 멀웨어(Malware) 탐지기술이 암호화, 난독화 등의 문제에 따른 질적 성능향상 뿐만 아니라 다양한 멀웨어의 탐지 등 범용성을 요구함을 의미한다. 멀웨어 탐지에 있어 범용성을 달성하기 위해서는 탐지알고리즘에 소모되는 컴퓨팅 파워, 탐지 알고리즘의 성능 등의 측면에서의 개선 및 최적화가 이루어져야 한다. 본고에서는 최근 지능화, 다각화 되는 멀웨어를 효과적으로 탐지하기 위하여 CNN(Convolutional Neural Network)을 활용한 멀웨어 탐지 기법인, stream order(SO)-CNN과 incremental coordinate(IC)-CNN을 제안한다. 제안기법은 멀웨어 바이너리 파일들을 이미지화 한다. 이미지화 된 멀웨어 바이너리는 GoogLeNet을 통해 학습되어 딥러닝 모델을 형성하고 악성코드를 탐지 및 분류한다. 제안기법은 기존 방법에 비해 우수한 성능을 보인다.

• 정보보호학회논문지
• /
• 제28권5호
• /
• pp.1197-1207
• /
• 2018

파워셸은 닷넷 프레임워크를 기반에 둔, 커맨드 라인 셸이자 스크립트 언어로, 그 자체가 가진 다양한 기능 외에도 윈도우 운영체제 기본 탑재, 코드 은닉 및 지속의 수월함, 다양한 모의 침투 프레임워크 등 공격 도구로서 여러 이점을 가지고 있다. 이에 따라 파워셸을 이용하는 악성코드가 급증하고 있으나 기존의 악성코드 탐지 기법으로 대응하기에는 한계가 존재한다. 이에 본 논문에서는 파워셸에서 실행되는 명령들을 관찰할 수 있는 개선된 모니터링 기법과, Convolutional Neural Network(CNN)을 이용해 명령에서 특징을 추출하고 실행 순서에 따라 Recurrent Neural Network(RNN)에 전달하여 악성 여부를 판단하는 딥 러닝 기반의 분류 모델을 제안한다. 악성코드 공유 사이트에서 수집한 파워셸 기반 악성코드 1,916개와 난독화 탐지 연구에서 공개한 정상 스크립트 38,148개를 이용하여 제안한 모델을 5-fold 교차 검증으로 테스트한 결과, 약 97%의 True Positive Rate(TPR)와 1%의 False Positive Rate(FPR)로 모델이 악성코드를 효과적으로 탐지함을 보인다.

• 정보보호학회논문지
• /
• 제30권4호
• /
• pp.537-544
• /
• 2020

악성코드 기술 발전으로 변이, 난독화 등의 탐지 회피 방법이 고도화되고 있다. 이에 악성코드 탐지 기술에 있어 알려지지 않은 악성코드 탐지 기술이 중요하며, 배포된 악성코드를 통해 저자를 식별하여 알려지지 않은 악성코드를 탐지하는 악성코드 저자 식별 방법이 연구되고 있다. 본 논문에서는 바이너리 기반 저자 식별 방법에 대해 중요 정보인 컴파일러 정보를 추출하고자 하였으며, 연구 간에 특징 선택, 확률 및 비확률 모델, 최적화가 분류 효율성에 미치는 민감성(Sensitive)을 확인하고자 하였다. 실험에서 정보 이득을 통한 특징 선택 방법과 비확률 모델인 서포트 벡터 머신이 높은 효율성을 보였다. 최적화 연구 간에 제안하는 프레임워크를 통한 특징 선택 및 모델 최적화를 통해 높은 분류 정확도를 얻었으며, 최대 48%의 특징 감소 및 51배가량의 빠른 실행 속도라는 결과를 보였다. 본 연구를 통해 특징 선택 및 모델 최적화 방법이 분류 효율성에 미치는 민감성에 대해 확인할 수 있었다.