• 정보과학회 논문지
• /
• 제45권2호
• /
• pp.106-112
• /
• 2018

최근 악성코드를 이용한 사이버 공격이 급증하고 있다. 피해가 늘어남에 따라 수 년간 다양한 방식의 악성코드 탐지 기법들이 연구되고 있으며, 최근 공격 그룹 판별을 위한 다양한 프로파일링 등장하고 있다. 본 논문은 악성코드 탐지가 아닌 특정 악성코드를 사용하는 공격 그룹에 대한 판별을 주목적으로 하며, 판별에 각 공격 그룹이 사용하는 악성코드에 대한 문자열 및 코드 시그니처를 이용한다. 탐지 기법을 구현하기 위해 야라(Yara)를 사용하였으며, 공격 그룹에서 주로 사용되는 원격 관리 도구(RAT, Remote Access Tool)를 대상으로 연구를 진행했다. 또한 탐지율 증가를 위하여 악성코드 패킹 여부 확인 및 해제 기술을 추가하였다. 본 논문은 최근 공격 그룹들이 주로 사용하는 원격 관리 도구를 대상으로 악성코드와 패커의 주요 특징 시그니처를 이용해 룰셋(Ruleset)을 작성하고 작성한 룰셋을 기반으로 원격관리 도구 탐지 및 공격 그룹 판별 가능성에 대해 다룬다.

• 정보보호학회논문지
• /
• 제26권1호
• /
• pp.197-208
• /
• 2016

본 논문에서는 악성코드를 실행시키지 않고 패밀리를 분류하는 방법으로 악성 코드 파일을 8-bit gray-scale 이미지로 시각화 하고 이미지 인식분야에서 널리 쓰이고 있는 convolutional neural network를 통해 악성코드를 분류해내는 기법을 제안한다. 9개의 악성코드 패밀리로 분류해 내는 실험의 Top-1,2 예측 정확도는 각각 96.2%, 98.7%을 기록하였고, 27개의 패밀리를 분류하는 실험의 경우 Top-1 예측 정확도는 82.9%, Top-2는 89%로 악성코드 패밀리를 분류할 수 있다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2017년도 제55차 동계학술대회논문집 25권1호
• /
• pp.207-208
• /
• 2017

악성코드는 매년 그 수가 증가하고 있으며, 악성코드의 공격기법이 지능적이고 복합적으로 진화함에 따라 이에 대한 분석과 대응이 요구된다. 하지만 일부 악성코드는 감염여부를 숨기기 위하여 분석에 대한 회피방법으로 루트킷을 통하여 방어자에 의한 악성코드의 코드 분석을 우회함으로써 은폐된 상태로 악의적인 공격을 수행한다. 따라서 본 논문에서는 유저레벨에서 IAT(Import Address Table)의 정보를 후킹하여 악성 행위를 수행하는 루트킷을 탐지하는 대응방안을 제안한다.

• 전기전자학회논문지
• /
• 제25권3호
• /
• pp.451-461
• /
• 2021

다양한 스마트 기기의 보급으로 인하여 악성코드로 인한 피해를 더욱 심각해지면서 머신러닝 기술을 활용한 악성코드 탐지 기술이 주목 받고 있다. 그러나 코드의 단편적인 특성만을 기반으로 머시러닝의 학습 데이터를 구성할 경우, 이를 회피하는 변종 및 신종 악성코드는 여전히 제작하기 쉽다. 이와 같은 문제를 해결하기 위한 방법으로 악성코드의 함수호출 관계를 학습 데이터로 사용하는 연구가 주목받고 있다. 특히, GNN을 활용하여 그래프의 유사도를 측정함으로써 보다 향상된 악성코드 탐지가 가능할 것으로 예상된다. 본 논문에서는 GNN을 악성코드 탐지에 활용하기 위해 바이너리 코드로부터 함수 호출 그래프를 생성하는 효율적인 방안을 제안한다.

• 디지털콘텐츠학회 논문지
• /
• 제19권6호
• /
• pp.1177-1183
• /
• 2018

최근 기계학습의 발달로 인공지능을 구현하는 머신러닝과 딥러닝 같은 기술이 많은 관심을 받고 있다. 본 논문에서는 딥러닝 기반의 R-CNN을 이용한 바이너리 악성코드를 이미지화 하고 이미지에서 특징을 추출해 패밀리를 분류한다. 본 논문에서는 딥러닝에서 두 단계를 이용해 악성코드를 CNN을 이용해 이미지화하고, 악성코드의 패밀리가 갖는 특징을 R-CNN을 이용해 분류함으로 악성코드를 이미지화하여 특징을 분류하고 패밀리를 분류한 후 악성코드의 진화를 자동 분류한다. 제안 기법은 검출율이 93.4%로 우수한 탐지 성능을 보였고 정확도는 98.6%로 매우 높은 성능을 보였다. 또한 악성코드를 이미지화 하는 CNN 처리속도가 23.3ms, 하나의 샘플을 분류하기 위해서 R-CNN처리 속도는 4ms로 비교적 빠르게 악성코드를 판별하고 분류가 가능함을 실험을 통해 증명하였다.

• 정보보호학회논문지
• /
• 제29권4호
• /
• pp.775-784
• /
• 2019

신규 및 변종 악성코드의 발생으로 모바일, IoT, windows, mac 등 여러 환경에서 악성코드 침해 공격이 지속적으로 증가하고 있으며, 시그니처 기반 탐지의 대응만으로는 악성코드 탐지에 한계가 존재한다. 또한, 난독화, 패킹, Anti-VM 기법의 적용으로 분석 성능이 저하되고 있는 실정이다. 이에 유사성 해시 기반의 패턴 탐지 기술과 패킹에 따른 파일 분류 후의 정적 분석 적용으로 기계학습 기반 악성코드 식별이 가능한 시스템을 제안한다. 이는 기존에 알려진 악성코드의 식별에 강한 패턴 기반 탐지와 신규 및 변종 악성코드 탐지에 유리한 기계학습 기반 식별 기술을 모두 활용하여 보다 효율적인 탐지가 가능하다. 본 연구 결과물은 정보보호 R&D 데이터 챌린지 2018 대회의 AI기반 악성코드 탐지 트랙에서 제공하는 정상파일과 악성코드를 대상으로 95.79% 이상의 탐지정확도를 도출하여 분석 성능을 확인하였다. 향후 지속적인 연구를 통해 패킹된 파일의 특성에 맞는 feature vector와 탐지기법을 추가 적용하여 탐지 성능을 높이는 시스템 구축이 가능할 것으로 기대한다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제11권5호
• /
• pp.197-202
• /
• 2022

IoT (Internet of Things) 장치는 취약한 아이디/비밀번호 사용, 인증되지 않은 펌웨어 업데이트 등 많은 보안 취약점을 보여 악성코드의 공격 대상이 되고 있다. 그러나 CPU 구조의 다양성으로 인해 악성코드 분석 환경 설정과 특징 설계에 어려움이 있다. 본 논문에서는 CPU 구조와 독립된 악성코드의 특징 표현을 위해 실행 파일의 바이트 순서를 이용한 시계열 특징을 설계하고 순환 신경망을 통해 분석한다. 제안하는 특징은 바이트 순서의 부분 엔트로피 계산과 선형 보간을 통한 고정 길이의 시계열 패턴이다. 추출된 특징의 시계열 변화는 RNN과 LSTM으로 학습시켜 분석한다. 실험에서 IoT 악성코드 탐지는 높은 성능을 보였지만, 패밀리 분류는 비교적 성능이 낮았다. 악성코드 패밀리별 엔트로피 패턴을 시각화하여 비교했을 때 Tsunami와 Gafgyt 패밀리가 유사한 패턴을 나타내 분류 성능이 낮아진 것으로 분석되었다. 제안된 악성코드 특징의 데이터 간 시계열 변화 학습에 RNN보다 LSTM이 더 적합하다.

• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.181-192
• /
• 2022

신종 악성코드의 등장은 기존 시그니처 기반의 악성코드 탐지 기법들을 무력화시키며 여러 분석 방지 보호 기법들을 활용하여 분석가들의 분석을 어렵게 하고 있다. 시그니처 기반의 기존 연구는 악성코드 제작자가 쉽게 우회할 수 있는 한계점을 지닌다. 따라서 본 연구에서는 악성코드 자체의 특성이 아닌, 악성코드에 적용될 수 있는 패커의 특성을 활용하여, 단시간 내에 악성코드에 적용된 패커의 분석 방지 보호 기법을 탐지하고 분류해낼 수 있는 머신러닝 모델을 구축하고자 한다. 본 연구에서는 패커의 분석 방지 보호 기법을 적용한 악성코드 바이너리를 대상으로 n-gram opcode를 추출하여 TF-IDF를 활용함으로써 피처(feature)를 추출하고 이를 통해 각 분석 방지 보호 기법을 탐지하고 분류해내는 머신러닝 모델 구축 방법을 제안한다. 본 연구에서는 실제 악성코드를 대상으로 악성코드 패킹에 많이 사용되는 상용 패커인 Themida와 VMProtect로 각각 분석 방지 보호 기법을 적용시켜 데이터셋을 구축한 뒤, 6개의 머신러닝 모델로 실험을 진행하였고, Themida에 대해서는 81.25%의 정확도를, VMProtect에 대해서는 95.65%의 정확도를 보여주는 최적의 모델을 구축하였다.

• 융합보안논문지
• /
• 제14권4호
• /
• pp.19-26
• /
• 2014

모바일 악성코드는 웜에 의한 전파가 대표적이며, 웜의 확산 특징을 분석하기 위한 모델링 기법들이 제시되었지만 거시적인 분석만 가능하였고 특정 바이러스, 악성코드에 대해 예측하기는 한계점이 있다. 따라서 본 논문에서는 과거의 악성코드 데이터를 활용하여 미래의 악성코드의 발생을 예측 할 수 있는 마코프 체인을 기반으로 한 예측 방법을 제시하였다. 마코프 체인 예측 모델링에 적용할 악성코드 평균값은 전체 평균값, 최근 1년 평균값, 최근 평균값(6개월)의 세 가지 범위로 분류하여 적용하였고, 적용하여 얻어진 예측 값을 비교하여 최근 평균 값(6개월)을 적용하는 것이 악성코드 예측 확률을 높일 수 있음을 확인하였다.

• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.381-390
• /
• 2022

기계학습 이미지 인식 기술의 발전에 따라 이를 악성코드 검출에 적용하는 방법이 연구되고 있다. 그 대표적인 접근법으로 악성코드 파일을 이미지로 변환하고 이를 CNN과 같은 딥러닝 네트워크에 학습시켜 악성코드 검출과 분류를 수행하는 연구가 진행되어 의미 있는 결과가 발표되고 있다. 본 연구에서는 기계학습을 사용한 악성코드 검출에 효과적인 이미지 생성방법을 제시하고자 한다. 이를 위하여 이미지 생성의 여러 선택 요소에 따른 악성코드 검출의 성능을 실험하고 분석하였으며, 그 결과를 반영하여 명령어 흐름의 특성을 좀 더 명확하게 나타낼 수 있는 선형적 이미지 생성방법을 제시하고 이 방법이 악성코드 검출의 정밀도를 높일 수 있음을 실험을 통하여 보였다.