• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 추계학술발표대회
• /
• pp.771-773
• /
• 2013

모바일 단말은 다양한 서비스와 컨텐츠를 지원하지만, 최근 모바일 악성코드의 급증으로 인하여 사용자에게 개인 정보 유출, 요금 과다 등의 피해를 초래하고 있다. 특히, 안드로이드 플랫폼은 오픈 플랫폼으로서 공격자들이 악성코드를 배포하기에 유리한 환경을 가지고 있어 시그니처/행위기반 분석방법을 통한 악성코드 탐지 연구가 활발히 진행되고 있다. 본 논문에서는 안드로이드 플랫폼에서 악성코드를 탐지하기 위한 Feature를 선정하였다. 또한 SVM(Support Vector Machine) 기계학습 알고리즘을 통하여 악성코드 탐지성능을 분석하고 우수성을 검증하였다.

• 인터넷정보학회논문지
• /
• 제23권6호
• /
• pp.1-13
• /
• 2022

정보통신 환경의 발전으로 인하여 군사 시설의 환경 또한 많은 발전이 이루어지고 있다. 이에 비례하여 사이버 위협도 증가하고 있으며, 특히 기존 시그니처 기반 사이버 방어체계로는 막는 것이 어려운 APT 공격들이 군사 시설 및 국가 기반 시설을 대상으로 빈번하게 이루어지고 있다. 적절한 대응을 위해 공격그룹을 알아내는 것은 중요한 일이지만, 안티 포렌식 등의 방법을 이용해 은밀하게 이루어지는 사이버 공격의 특성상 공격 그룹을 식별하는 것은 매우 어려운 일이다. 과거에는 공격이 탐지된 후, 수집된 다량의 증거들을 바탕으로 보안 전문가가 긴 시간 동안 고도의 분석을 수행해야 공격그룹에 대한 실마리를 겨우 잡을 수 있었다. 본 논문에서는 이러한 문제를 해결하기 위해 탐지 후 짧은 시간 내에 공격그룹을 분류해낼 수 있는 자동화 기법을 제안하였다. APT 공격의 경우 일반적인 사이버 공격 대비 공격 횟수가 적고 알려진 데이터도 많지 않으며, 시그니처 기반의 사이버 방어 기법을 우회하도록 설계가 되어있으므로, 우회가 어려운 공격 모델 기반의 탐지 기법을 기반으로 알고리즘을 개발하였다. 공격 모델로는 사이버 공격의 많은 부분을 모델링한 MITRE ATT&CK®을 사용하였다. 공격 기술의 범용성을 고려하여 영향성 점수를 설계하고 이를 바탕으로 그룹 유사도 점수를 제안하였다. 실험 결과 제안하는 방법이 Top-5 정확도 기준 72.62%의 확률로 공격 그룹을 분류함을 알 수 있었다.

• 한국통신학회논문지
• /
• 제38B권8호
• /
• pp.641-653
• /
• 2013

최근 제어시스템을 대상으로 한 사이버공격이 점차 고도화 지능화됨에 따라 기존 시그니처(signature) 기반 탐지 기법은 한계에 봉착하였고, 이에 제어시스템 환경에 적합한 화이트리스트(whitelist) 기반 보안 기법이 새롭게 주목받고 있다. 그러나 최근 개발되고 있는 화이트리스트 기법들은 어플리케이션 레벨에서 한정적으로 사용되고 있으며, 무엇보다 블랙리스트(blacklist) 기반 보안 기법과 달리 이상 징후 유형에 대한 구체적 정보 제공이 불가능하다는 단점이 존재한다. 본 논문에서는 제어시스템에서 발생할 수 있는 이상 징후 유형들을 분류하고, 네트워크 레벨에서의 화이트리스트를 통해 이상 징후를 탐지할 수 있는 모델을 제시한다.

• 인터넷정보학회논문지
• /
• 제12권3호
• /
• pp.89-99
• /
• 2011

인터넷에 기반한 응용 프로그램의 종류와 네트워크 대역폭이 증가하면서 페이로드 시그니처 기반 트래픽 분류 시스템에서 처리하는 데이터의 양이 급격하게 증가하고 있다. 대용량 트래픽 데이터에 대한 처리 속도를 향상시키기 위한 방법으로 다양한 패턴 매칭 알고리즘이 제안되고 있다. 하지만 비약적으로 늘어나는 시그니처의 수와 트래픽 양에 비해 패턴 매칭 알고리즘의 성능 향상 속도는 한정적이고, 입력데이터의 특성에 의존적인 성능을 나타낸다. 따라서 본 논문에서는 분류 시스템의 입력 데이터로 제공되는 트래픽 데이터와 시그니처의 탐색 공간을 최적화할 수 있는 분류, 시스템 구조를 제안한다. 또한 제안하는 분류 시스템을 학내 망에서 발생하는 대용량의 트래픽에 실시간으로 적용하여 그 타당성을 증명한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2011년도 춘계학술발표대회
• /
• pp.941-944
• /
• 2011

컴퓨팅 환경에서 각종 보안 위협들의 핵심에는 악성 실행파일들이 있다. 전통적인 시그니처 기반의 보안 시스템들은 악의적인 실행파일들 중에서 알려지지 않은 것들에 대해서는 런타임 탐지에 어려움이 있다. 그러한 이유로 런타임 탐지를 위해 시그니처가 필요 없는 정적, 동적 분석 방법들이 다각도로 연구되어 왔으며, 특히 악성 실행파일을 실제 실행한 후 그 동작상태를 모니터링 하는 행위기반 동적 분석방법들이 많은 발전을 이루어왔다. 그러나 대부분의 행위기반 분석방법들은 단순히 몇 가지 행위나 비순차적인 분석정보를 제공하기 때문에, 차후 악성여부를 최종 판단하는 방법론에 적용하기에는 그 분석정보가 충분하지 않다. 본 논문에서는 악성 실행파일이 실행되는 동안 발생할 수 있는 행위들을 분류하고, 이를 모니터링 하는 프로토타입 프로그램을 구현하였다. 또한, 악성 실행파일을 직접 실행하는 것은 제한된 컴퓨팅 환경에서 이루어지기 때문에, 실제 악성 실행파일을 모니터링 한 결과를 토대로 행위기반 모니터링 방법이 극복해야 될 이슈들에 대해서도 언급하고 있다.

• 한국정보과학회논문지:데이타베이스
• /
• 제29권1호
• /
• pp.79-88
• /
• 2002

인터넷에서 사용되는 많은 데이터들이 XML로 표현되고 있는 추세이다. 이러한 XML 데이터는 트리 형태로 표현되므로 이것을 저장하고 질의하는 시스템으로 그 모델링 능력 때문에 객체 저장소가 적합하다. 객체 저장소에서 XML의 각 노드는 객체로 저장된다. XML 질의의 특징은 정규 경로식으로 표현되는 것이며 이것은 XML 트리의 각 객체를 탐색하면서 처리된다. 정규 경로식을 지원하기 위하여 여러 인덱스들이 제안되었지만 이러한 인덱스들은 디스크 공간이라는 제약 때문에 모든 가능한 경로에 대한 인덱스를 제공하지는 못한다. 이러한 상태에서 정규 경로식을 잘 지원하기 위해서 블록 탐색과 시그니처 방법을 이용하여 질의를 효과적으로 처리하는 최적 객체 탐색 기법을 제안하였다. 시그니처는 트리의 각 노드에 시그니처를 첨가하여 탐색 범위를 줄이는 것이다. 블록 탐색은 한 페이지 내에 있는 접근 가능한 객체들을 미리 처리함으로써 디스크 I/O를 줄이는 것이다. 이와 같은 두가지 방법을 같이 이용하면 일반적인 질의 처리보다 월등히 나은 성능을 보인다는 것을 실험을 통하여 보였다.

• 한국통신학회논문지
• /
• 제41권2호
• /
• pp.277-284
• /
• 2016

인터넷 서비스의 질을 떨어뜨리고 온라인 범죄를 유발시키는 네트워크 공격들은 오늘날 현대 사회에서 해결해야 될 문제 중 하나이다. 이러한 문제 해결을 위해 시그니처 IDS(Intrusion Detection System)라는 침입 탐지 시스템이 개발되었지만 이들은 기존에 알려진 유형의 공격만 탐지해 낸다. 결과적으로 알려지지 않은 공격들에 대해서는 탐지하지 못하기 때문에 네트워크 공격 탐지를 위한 근본적인 해결책이라 할 수 없다. 본 논문에서는 시그니처 IDS의 단점을 보완하고자 K-평균 알고리즘 기반의 네트워크 유해트래픽 탐지 방법을 제안한다.

• 융합보안논문지
• /
• 제17권2호
• /
• pp.41-51
• /
• 2017

인터넷 활용 범위의 폭발적인 증가는 점차적으로 네트워크 속도와 용량을 초고속화 하고 대용량화로 빠르게 진화해 가고 있다. 이에 따라 스위치 라우터 등 네트워크 장비들은 하드웨어에 기반 한 빠른 기술 진화로 대처를 하고 있으나 초연결사회에 가장 기본적이고 필수적인 네트워크 보안시스템의 기술 진화는 수만 가지의 보안 이슈와 시그니처(signature)에 대해서 수시 변경과 갱신을 필요로 하기 때문에 소프트웨어에 기반 한 기술적인 한계를 극복하기가 쉽지 않다. 본 논문은 이와 같은 DDoS 대응 장비를 설치 운영할 때의 패킷 필터링 속도 저하 문제점을 개선하고자 FPGA(Field Programmable Gate Array)의 하드웨어적인 특성과 병렬처리 특성을 최대한 반영한 DPI 알고리즘인 Hi-DPI를 제안하고 실용성을 검증하고자 한다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2020년도 제62차 하계학술대회논문집 28권2호
• /
• pp.85-88
• /
• 2020

최근 악성코드의 발전은 사이버 위협의 전방면에 걸쳐 영향을 주고 있다. DDoS, APT를 포함한 스팸 발송 등과 같은 사이버 공격은 악성코드를 기반으로 한다. 또한 이에 대응하기 위해 다양한 형태의 악성코드 솔루션이 존재하고 있다. 악성코드 솔루션은 오픈소스와 상업용 프로그램으로 나눌 수 있는데 상업용 프로그램은 악성코드뿐만 아니라 PC관리의 전반적인 부분을 담당하고 있다. 악성코드를 탐지하는 방법은 시그니처 방식과 해시DB를 이용한 방식 등 다양한 방식이 있다. 본 논문에서는 오픈소스기반 악성코드 솔루션을 비교하여 어떠한 방식이 더 효과적인가를 분석하였다. 이를 통해 악성코드 방지 프로그램을 개발하려는 개발자가 비용효과적인 악성코드 탐지 방법을 잘 선택할 수 있는 가이드라인을 제공한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제11권10호
• /
• pp.363-372
• /
• 2022

최근 코로나 19 팬더믹 이후 원격근무의 확대와 더불어 랜섬웨어 팬더믹이 심화하고 있다. 현재 안티바이러스 백신 업체들이 랜섬웨어에 대응하고자 노력하고 있지만, 기존의 파일 시그니처 기반 정적 분석은 패킹의 다양화, 난독화, 변종 혹은 신종 랜섬웨어의 등장 앞에 무력화될 수 있다. 이러한 랜섬웨어 탐지를 위한 다양한 연구가 진행되고 있으며, 시그니처 기반 정적 분석의 탐지 방법과 행위기반의 동적 분석을 이용한 탐지 연구가 현재 주된 연구유형이라고 볼 수 있다. 본 논문에서는 단일 분석만을 이용하여 탐지모델에 적용하는 것이 아닌 ".text Section" Opcode와 실제 사용하는 Native API의 빈도수를 추출하고 K-means Clustering 알고리즘, 코사인 유사도, 피어슨 상관계수를 이용하여 선정한 특징정보들 사이의 연관성을 분석하였다. 또한, 타 악성코드 유형 중 웜과 Cerber형 랜섬웨어를 분류, 탐지하는 실험을 통해, 선정한 특징정보가 특정 랜섬웨어(Cerber)를 탐지하는 데 특화된 정보임을 검증하였다. 위와 같은 검증을 통해 최종 선정된 특징정보들을 결합하여 기계학습에 적용하여, 최적화 이후 정확도 93.3% 등의 탐지율을 나타내었다.