• 한국산업정보학회논문지
• /
• 제20권2호
• /
• pp.65-72
• /
• 2015

안티바이러스는 단말에서 악성소프트웨어를 탐지하는데 있어 널리 사용되는 솔루션이다. 이 중 시그니처 기반 안티바이러스는 가장 기본적인 탐지방법으로 파일과 악성소프트웨어의 시그니처를 비교하여 탐지한다. 최근 악성소프트웨어의 수가 급격히 증가함에 따라 시그니처 기반 안티바이러스의 탐지 시간이 증가하고 시간당 처리량이 줄어들면서 성능 저하 문제가 발생되고 있다. 본 논문에서는 이를 극복하기 위해 제시된 주요 연구 결과를 살펴보고 이를 개선한 새로운 성능향상 솔루션을 제시한다. 특히, 본 논문의 솔루션은 성능향상 수준이 가장 높은 솔루션으로 알려진 SplitScreen과 비교하여, 클라이언트의 작업을 줄이고, 시그니처 서버와의 통신비용을 줄여 안티바이러스 솔루션의 성능향상에 기여하였다.

• 인터넷정보학회논문지
• /
• 제20권2호
• /
• pp.9-19
• /
• 2019

인터넷을 통한 서비스 및 사용자가 급격하게 증가하고 있다. 이에 따라 사이버 공격도 증가하고 있으며, 정보 유출, 금전적 피해 등이 발생하고 있다. 정부, 공공기관, 회사 등은 이렇게 급격한 사이버 공격 중 알려진 악성코드에 대응하기 위하여 시그니처 기반의 탐지규칙을 이용한 보안 시스템을 사용하고 있지만, 시그니처 기반의 탐지규칙을 생성하고 검증하는 데 오랜 시간이 걸린다. 이런 문제를 해결하기 위하여 본 논문에서는 잠재 디리클레 할당 알고리즘을 통한 시그니처 추출과 트래픽 분석 기술 등을 이용하여 시그니처 기반의 탐지규칙 생성 및 검증 시스템을 제안하고 개발하였다. 개발한 시스템을 실험한 결과, 기존보다 훨씬 신속하고, 정확하게 탐지규칙을 생성하고 검증하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 추계학술발표대회
• /
• pp.683-685
• /
• 2015

이메일 등 외부로부터 유입된 악성코드로 인해 기업환경 사용자들의 피해 사례가 증가하고 있다. 대다수 기업환경 사용자들은 시그니처 기반의 안티바이러스를 설치하여 사용하고 있지만 신종 악성코드에 대한 대응률은 낮다. 또, 신종 악성코드 샘플을 수집하더라도 분석하고 시그니처 데이터베이스에 적용하는데 많은 시간이 소요되어 반영되기 전까지 사용자는 신종 악성코드를 진단하지 못하는 취약점을 가지게 된다. 최근 클라우드컴퓨팅 기술이 활성화되면서 안티바이러스에 응용하여 적용하고 있다. 방대한 데이터베이스 및 빠른 질의응답을 토대로 클라우드 기반의 안티바이러스는 시그니처 기반의 안티바이러스를 대체할 기술로 떠오르고 있다. 본 논문은 클라우드컴퓨팅 기술을 이용한 안티바이러스를 기업 환경에 적용하여 효율적으로 악성코드 대응을 할 수 있도록 제안하고자 한다.

• 정보과학회 논문지
• /
• 제42권4호
• /
• pp.442-450
• /
• 2015

본 논문에서는 시그니처 기반의 이거 하드웨어 트랜잭셔널 메모리(eager HTM)에서 발생하는 거짓 충돌을 줄이기 위한 방법을 제안한다. 이 방법에서는 각 트랜잭션이 실행 중에 접근하는 캐시 블록들을 추적한다. 그리고 다른 코어로부터의 요청에 대해 충돌이 없다는 증거를 추적한 정보가 제공하면, 시그니처 서브시스템이 충돌이라고 선언하더라도 그것을 무시하도록 조치한다. 따라서 제안한 방법을 사용하면 거짓 충돌에 의한 트랜잭션의 멈춤 또는 취소를 줄일 수 있다. 이 방법은 시그니처 기반의 이거 HTM을 구현하는 멀티코어 프로세서의 성능을 향상시키기 위해 사용할 수 있다. 16개의 코어로 구성된 LogTM-SE 시스템에서 스탠포드 대학에서 개발한 STAMP 벤치마크를 사용하여 실험한 결과, 제안한 방법을 사용할 경우 시스템의 성능은 평균 20.6% 만큼 향상되었다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2010년도 한국컴퓨터종합학술대회논문집 Vol.37 No.1(D)
• /
• pp.56-60
• /
• 2010

악성코드의 기능들이 날로 정교해 지면서 악성 행위를 숨기거나 악성코드 분석이 어렵도록 만들기 위한 기법들이 적용되는 것을 쉽게 볼 수 있다. 이 중 악성코드 분석을 어렵게 만드는 대표적인 방식이 Packing이다. 그러므로 악성코드의 분석을 위해 Packing된 악성코드가 어떤 Packer로 Packing되어 있는 지 확인할 필요가 있다. 그러나 현재 사용하는 대부분의 시그니처 기반 탐지 방식은 오탐율 및 미탐율이 높다. 본 논문에서는 Packer 탐지를 위한 새로운 시그니처 생성 방식을 제안하고 성능을 검증한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2009년도 춘계학술발표대회
• /
• pp.1233-1236
• /
• 2009

현재 다량의 네트워크 대역폭을 소모하는 응용 프로그램 트래픽을 확인하고 분류하는데 많은 방법들이 사용되고 있지만 정통적인 트래픽 분류 방법론인, 포트 번호, ip 등 등의 헤더 정보만으로는 응용 프로그램의 트랙픽을 정확하게 분류하지 못한다. 최근 동적인 포트 번호를 사용하는 새로운 트래픽 응용의 등장과 방화벽을 통과하기 위한 포트번호 변경으로 인하여 전통적인 TCP/UDP 헤더 기반의 트랙픽 분류 방법은 부정확해지고 있다. 이러한 트래픽을 정확하게 식별하고 분류하기 위해서는 패킷의 페이로드 내용에 대한 조사도 병행되어야 하고 시그니처 기반의 식별 방법을 사용하여야 한다. 하지만 이 방법은 정확도가 높은 반면 시그니처의 목록을 매번 최신 상태로 유지하여야 하는 단점과 길어지는 탐색 시간에 따른 시스템 부하의 문제를 가지고 있다. 본 연구에서는 이러한 단점을 향상시키는 목적으로 새로운 시그니처 기반의 해쉬 테이블에 캐시를 이용한 방법론인 효율적인 알고리즘을 제안하고 시그니처의 자료구조와 실제 패킷과 시그니처의 비교 방식을 수정함으로써 효율성을 높이는데 목적을 두고 있다.

• 한국통신학회논문지
• /
• 제35권9B호
• /
• pp.1287-1294
• /
• 2010

응용 레벨 트래픽 분석은 네트워크의 효율적인 운영과 안정적인 서비스를 제공하기 위한 필수적인 요소이다. 응용 레벨 트래픽 분석을 위한 다양한 분석 방법이 존재하지만 분류의 정확성, 분석률, 실용성을 고려했을 때 페이로드 시그니처 기반 분석 방법은 가장 높은 성능을 보인다. 하지만 페이로드 시그니처 기반 분석 방법은 고속 링크의 트래픽을 실시간으로 처리하는 과정에서 헤더 정보 및 통계 정보 이용 방법론에 비해 상대적으로 높은 부하를 발생시키며 처리 속도가 느린 단점을 갖는다. 본 논문에서는 페이로드 시그니처 기반 분석 시스템의 처리 속도를 향상시키기 위해 요구되는 디자인 선택 사항을 기술하고, 각 선택 사항에 대해 실험적으로 평가하여 최적화된 분류의 구조를 제시한다. 또한 제안하는 방법을 학내 망에 적용하여 그 타당성을 증명한다.

• 정보와 통신
• /
• 제24권11호
• /
• pp.14-24
• /
• 2007

최근 네트워크 공격 기술이 날로 발전함에 따라 각 시스템에서 노출된 취약성이 패치되기 전에 네트워크 환경을 위협하는 zero-day 공격이 최대 이슈로 등장하고 있다. 본 고에서는 zero-day 위협에 대응하기 위해서, 활발하게 진행되고 있는 탐지 시그니처 자동 생성 기술에 대한 최근 연구 동향에 대해 소개하고, 이러한 기존 연구 및 기술들의 단점을 보완하기 위해 개발되고 있는 하드웨어 기반 고성능, 시그니처 자동 생성 시스템을 포괄하는 네트워크 보안 지능화 기술을 소개한다. 그리고 생성된 탐지 시그니처를 타 보안 솔루션들과 공유하기 위한 운영 프레임워크를 제안하고, 생성된 시그니처를 공유하기 위해 사용하는 시그니처 생성 교환프로토콜과 메시지 교환 형식을 정의한다. 이러한 지능화대응 기술을 활용함으로써 zero-day 공격에 대해 초기에 탐지하고 신속하게 대응하여 네트워크 인프라를 보호하는 효과를 기대할 수 있다. 또한, 체계적인 보안 정책 관리를 통하여 향후 발생할 네트워크 위협 공격들에 대해서도 빠르게 대응할 수 있도록 하여 국가적인 차원에서의 효과적인 방어체계를 구축하는데 기여할 것이다.

• 정보과학회지
• /
• 제33권6호
• /
• pp.55-60
• /
• 2015

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2015년도 춘계학술대회
• /
• pp.712-714
• /
• 2015

기존의 정보보호시스템들은 이미 확보된 시그니처 또는 이전에 분석된 정보를 기반으로 악성코드에 대응하고 있기 때문에, 시그니처가 알려지지 않은 악성코드 또는 변형된 악성코드의 경우, 탐지 및 식별에 한계를 지니고 있다. 본 연구는 이와 같은 문제를 해결하기 위해, 무결성을 검증하는 화이트리스트 기반의 응용프로그램 실행제어, 매체제어, 레지스트리 보호, 중요 파일 변경 방지, 프로세스 접근 역접속 IP/포트 통제 등의 기술을 복합적으로 적용하여, 악성코드의 침입뿐만 아니라 운영체제 및 응용프로그램 취약점을 기반으로 한 익스플로잇 공격으로부터 단말 PC를 더욱 확실하게 보호할 수 있도록 한 엔드포인트 응용프로그램 실행 통제 방안을 제시하였다. 본 연구의 결과는 프로토타입 형태로 개발하여 실 환경에서 통합테스트를 하여 공공기관, 금융기관, 통신사 등 실제 환경에 적합한 기술 및 기능임을 확인하였다. 본 연구를 통해, 실행 전 응용프로그램 무결성 검증과 실행 후 응용프로그램 실행 흐름 통제를 복합적으로 사용하여 알려진 악성코드 시그니처 정보에 의존한 기존 정보 보호 시스템과는 달리 알려지지 않은 악성코드까지 원천적으로 차단할 수 있을 것으로 기대된다.