• Journal of Convergence for Information Technology
• /
• v.11 no.11
• /
• pp.137-142
• /
• 2021

Although the internet has gained many conveniences and benefits, it is causing economic and social damage to users due to intelligent malware. Most of the signature-based anti-virus programs are used to detect and defend this, but it is insufficient to prevent malware variants becoming more intelligent. Therefore, we proposes a model that detects and defends the intelligent malware that is pouring out in the paper. The proposed model learns by imaging the characteristics of malware based on deeplearning, and detects newly detected malware variants using the learned model. It was shown that the proposed model detects not only the existing malware but also most of the variants that transform the existing malware.

• Proceedings of the Korean Information Science Society Conference
• /
• 2010.06d
• /
• pp.36-41
• /
• 2010

크래커(Cracker)의 공격으로부터 내부 자원을 보호하기 위한 허니팟 시스템은 크게 두 가지로 구분된다. 하나는 내부 정보자원을 보호하기 위해 크래커의 공격을 유인하는 목적의 허니팟이며, 다른 하나는 방어기법을 연구하기 위해 크래커의 공격을 유도한 후 공격기법을 로그기반으로 수집하는 허니팟이다. 하지만, 최근의 공격은 크래커로 인한 공격보다는 불특정 다수를 공격하기 위해 대량의 악성코드를 통한 공격이 주를 이루고 있다. 따라서, 허니팟의 유형도 변화가 필요하게 되었다. 악성코드에 대한 방어기법을 연구하는 Anti-Virus 연구소에서는 최근의 악성코드 공격으로부터 시스템을 보호하기 위해서는 악성코드를 조기에 수집하는 것이 주요 이슈로 등장하게 되었다. 악성코드 수집을 위한 허니팟은 기존 허니팟과 다른 특징을 가지고 있으며, 이러한 특징을 고려하여 개발되어야 한다. 하지만, 악성코드 수집용 허니팟이 필수적으로 갖추어야 할 조건이 정의된 것이 없으며, 개발을 위한 구현 모델이 존재하지 않아, 실제 구축에는 어려움을 겪고 있다. 따라서, 본 고에서는 기존 허니팟과 비교를 통해 악성코드 수집용 허니팟이 갖추어야 할 7대 요구조건을 개발하고, 이를 토대로 기존에 제시된 적이 없는 악성코드 수집용 허니팟 구현 모델을 제안하였다. 또한, 구현 모델을 통해 실제 악성코드 수집용 허니팟을 개발 및 실제 구축하여, 수집 결과와 함께 구축 시 고려사항을 도출하였다. 앞으로, Anti-Virus 연구소들은 본 구현모델과 구현결과, 고려사항을 통해 악성코드 수집용 허니팟을 개발하여, 확산되는 악성코드를 조기에 수집 및 대응함으로써, 1.25 대란, 7.7 DDoS대란과 같이 악성코드로 인해 발생하는 국가적 정보자산 손실을 미연에 방지하는데 큰 기여를 할 것으로 기대된다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2010.04a
• /
• pp.762-765
• /
• 2010

크래커(Cracker)의 공격으로부터 내부 자원을 보호하기 위한 허니팟 시스템은 크게 두 가지로 구분된다. 하나는 내부 정보자원을 보호하기 위해 크래커의 공격을 유인하는 목적의 허니팟이며, 다른 하나는 방어기법을 연구하기 위해 크래커의 공격을 유도한 후 공격기법을 로그기반으로 수집하는 허니팟이다. 하지만, 최근의 공격은 크래커로 인한 공격보다는 불특정 다수를 공격하기 위해 대량의 악성코드를 통한 공격이 주를 이루고 있다. 따라서, 허니팟의 유형도 변화가 필요하게 되었다. 악성코드에 대한 방어기법을 연구하는 Anti-Virus 연구소에서는 최근의 악성코드 공격으로부터 시스템을 보호하기 위해서는 악성코드를 조기에 수집하는 것이 주요 이슈로 등장하게 되었다. 악성코드 수집을 위한 허니팟은 기존 허니팟과 다른 특징을 가지고 있으며, 이러한 특징을 고려하여 개발되어야 한다. 하지만, 악성코드 수집용 허니팟이 필수적으로 갖추어야 할 조건이 정의된 것이 없으며, 개발을 위한 구현 모델이 존재하지 않아, 실제 구축에는 어려움을 겪고 있다. 따라서, 본 고에서는 기존 허니팟과 비교를 통해 악성코드 수집용 허니팟이 갖추어야 할 7 대 요구조건을 개발하고, 이를 토대로 기존에 제시된 적이 없는 악성코드 수집용 허니팟 구현 모델을 제안하였다. Anti-Virus 연구소들은 본 구현모델을 통해 악성코드 수집용 허니팟을 개발하여, 확산되는 악성코드를 조기에 수집 및 대응함으로써, 1.25 대란, 7.7 DDoS 대란과 같이 악성코드로 인해 발생하는 국가적 정보자산 손실을 미연에 방지하는데 큰 기여를 할 것으로 기대된다.

• Electronics and Telecommunications Trends
• /
• v.30 no.5
• /
• pp.118-128
• /
• 2015

최근 인터넷을 기반으로 사이버상에서 개인정보 유출, 금융사기, Distributed Denial of Service(DDoS) 공격, Advanced Persistent Threat(APT) 공격 등 사이버 위협이 지속적으로 발생하고 있으며, 공격의 형태는 다양하지만 모든 공격에는 악성코드가 원인이 되고 있다. 또한 기하급수적으로 증가하는 강력한 사이버 공격에 대처하기 위해 사전에 이를 방어 할 수 있는 적극적인 방어 기술이 요구되고 있다. 본고에서는 사이버공격 대응을 위하여 새로운 악성코드 탐지기술로 최근 관심을 받고 있는 사이버게놈 기술에 대한 개념과 국내외 관련 기술 및 연구동향에 대하여 살펴본다.

• Journal of the Korea Institute of Information and Communication Engineering
• /
• v.20 no.7
• /
• pp.1290-1295
• /
• 2016

Recently, as mobile internet usage has been increasing rapidly, malware attacks through user's web browsers has been spreading in a way of social engineering or drive-by downloading. Existing defense mechanism against drive-by download attack mainly focused on final download sites and distribution paths. However, detection and prevention of injection sites to inject malicious code into the comprised websites have not been fully investigated. In this paper, for the purpose of improving defense mechanisms against these malware downloads attacks, we focus on detecting the injection site which is the key source of malware downloads spreading. As a result, in addition to the current URL blacklist techniques, we proposed the enhanced method which adds features of detecting the injection site to prevent the malware spreading. We empirically show that the proposed method can effectively minimize malware infections by blocking the source of the infection spreading, compared to other approaches of the URL blacklisting that directly uses the drive-by browser exploits.

• Review of KIISC
• /
• v.31 no.3
• /
• pp.81-87
• /
• 2021

공격자는 공격을 성공적으로 수행하기 위해 악성코드를 주로 사용하며, 방어자는 공격자의 공격이 완성되는 최종 단계 이전에 악성코드를 탐지하여 무력화 할 수 있도록 노력하는 것이 매우 중요하다. 그래서 이를 선제적으로 식별하고 대응하기 위해 인공지능 분석, 연관분석, 프로파일링 등 다양한 분석 기법이 연구되어지고 있다. 이러한 분석 기법들은 사전에 악성코드의 특징을 파악하고 어떤 악성코드 특징정보를 분석할지 선택하는 것이 가장 중요하다. 본 연구에서는 악성코드 특징정보의 종류와 실제 시스템에 적용한 사례에 대해서 살펴보고자 한다.

• KIPS Transactions on Computer and Communication Systems
• /
• v.11 no.7
• /
• pp.225-232
• /
• 2022

Recent development in information and communication technology has been beneficial to many, but at the same time, malicious attack attempts are also increasing through vulnerabilities in new programs. Among malicious attacks, malware operate in various ways and is distributed to people in new ways every time, and to solve this malware, it is necessary to quickly analyze and provide defense techniques. If new malware can be classified into the same type of malware, malware has similar behavioral characteristics, so they can provide defense techniques for new malware using analyzed malware. Therefore, there is a need for a solution to this because the method of accurately and quickly classifying malware and the number of data may not be uniform for each family of analyzed malware. This paper proposes a system that combines image preprocessing and ensemble techniques to increase accuracy in imbalanced data.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.457-459
• /
• 2004

최근 악성코드들의 주요한 특징 중 하나는 악성코드와 해킹기법이 결합된 형태이며 기존의 악성코드들 보다 더욱 공격 성향을 내포하고 있다는 점이다. 이러한 악성코드에는 대표적으로 IRC를 이용하는 Bot 계열 악성 코드들이 있으며 해킹과 결합되어 그 피해 또한 스팸성 악성코드들보다 심각하다. 또한 이러한 악성코드들은 다양한 변종이 신속하게 제작 및 유포되고 있어, 백신을 이용한 방어만으로는 적절히 대처할 수 없다는 문제점을 가지고 있다. 본 논문에서는 IRC를 이용하는 공격성 악성코드들을 분석하고, 이들 악성코드들을 효과적으로 탐색하여 감염 여부를 판단할 수 있는 악성 Bot 탐색 시스템의 설계 및 구현에 관하여 기술한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2021.11a
• /
• pp.715-718
• /
• 2021

정보통신 기술이 발전함에 따라 악의적인 공격을 통해 보안문제를 발생시키고 있다. 또한 새로운 악성코드가 유포되어 기존의 시그니처 비교방식은 새롭게 발생하는 악성코드를 빠르게 분석 할 수 없다. 새로운 악성코드를 빠르게 분석하고 방어기법을 제안하기 위해 악성코드의 패밀리를 분류할 필요가 있다. 본 논문에서는 악성코드의 바이너리 파일을 이용해 시각화하고 CNN모델을 통해 분류한다. 또한 정확도를 높이기 위해 LBP, HOG를 통해 악성코드 이미지에서 중요한 특성을 찾고 데이터 클래스 불균형에서 오는 문제를 앙상블 모델을 통해 해결하는 시스템을 제안한다.

• Informatization Policy
• /
• v.24 no.4
• /
• pp.68-78
• /
• 2017

Malicious codes are currently becoming more complex and diversified, causing various problems spanning from simple information exposure to financial or psychologically critical damages. Even though many researches have studied using reverse engineering to detect these malicious codes, malicious code developers also utilize bypassing techniques against the code analysis to cause obscurity in code understanding. Furthermore, rootkit techniques are evolving to utilize such bypassing techniques, making it even more difficult to detect infection. Therefore, in this paper, we design the analysis process as a more agile countermeasure to malicious codes that bypass analysis techniques. The proposed analysis process is expected to be able to detect these malicious codes more efficiently.