• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.04a
• /
• pp.975-978
• /
• 2011

최근의 모바일 플랫폼들은 하드웨어 기술의 발달로 인해 사용가능한 프로그램이 다양화됨에 따라 악성코드의 감염 경로 또한 다양화 되고 있어, 모바일 보안의 관심도 함께 높아지고 있다. 본 논문에서는 모바일 환경에서 사용 가능한 동적 분석 방식을 제안하며, 기존에 제시된 동적 분석 기술들을 분석하여 향후 모바일 플랫폼 환경에서 동적 분석 적용 시 동적 분석 및 혼합분석 툴 개발에 기반을 마련하고자 한다.

• Journal of the Korea Society of Computer and Information
• /
• v.26 no.11
• /
• pp.41-49
• /
• 2021

All application programs, including malware, call the Application Programming Interface (API) upon execution. Recently, using those characteristics, attempts to detect and classify malware based on API Call information have been actively studied. However, datasets containing API Call information require a large amount of computational cost and processing time. In addition, information that does not significantly affect the classification of malware may affect the classification accuracy of the learning model. Therefore, in this paper, we propose a method of extracting a essential feature set after reducing the dimensionality of API Call information by applying various feature selection methods. We used CICAndMal2020, a recently announced Android malware dataset, for the experiment. After extracting the essential feature set through various feature selection methods, Android malware classification was conducted using CNN (Convolutional Neural Network) and the results were analyzed. The results showed that the selected feature set or weight priority varies according to the feature selection methods. And, in the case of binary classification, malware was classified with 97% accuracy even if the feature set was reduced to 15% of the total size. In the case of multiclass classification, an average accuracy of 83% was achieved while reducing the feature set to 8% of the total size.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2022.05a
• /
• pp.377-380
• /
• 2022

An application called an app can be downloaded and used on mobile devices. Among them, Android-based apps have the disadvantage of being implemented on an open source basis and can be exploited by anyone, but unlike iOS, which discloses only a small part of the source code, Android is implemented as an open source, so it can analyze the code. However, since anyone can participate in changing the source code of open source-based Android apps, the number of malicious codes increases and types are bound to vary. Malicious codes that increase exponentially in a short period of time are difficult for humans to detect one by one, so it is efficient to use a technique to detect malicious codes using AI. Most of the existing malicious app detection methods are to extract Features and detect malicious apps. Therefore, three ways to select the optimal feature to be used for learning after feature extraction are proposed. Finally, in the step of modeling with optimal features, ensemble techniques are used in addition to a single model. Ensemble techniques have already shown results beyond the performance of a single model, as has been shown in several studies. Therefore, this paper presents a plan to select the optimal feature and implement a learning model for Android app-based malicious code detection.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.27 no.1
• /
• pp.91-101
• /
• 2017

API call sequence analysis is a kind of analysis using API call information extracted in target program. Compared to other techniques, this is advantageous as it can characterize the behavior of the target. However, existing API call sequence analysis has an issue of identifying same characteristics to different function during the analysis. To resolve the identification issue and improve performance of analysis, this study includes the method of API abstraction technique in addition to existing analysis. From there on, similarity between target programs is computed and clustered into similar types by applying LSH to abstracted API call sequence from analyzed target. Thus, this study can attribute in improving the accuracy of the malware analysis based on discovered information on the types of malware identified.

• Journal of IKEEE
• /
• v.27 no.1
• /
• pp.93-102
• /
• 2023

As one of the techniques for analyzing malicious code, techniques creating a sequence or a graph of function call relationships in an executable program and then analyzing the result are proposed. Such methods generally study function calling in the executable program code through static analysis and organize function call relationships into a sequence or a graph. However, in the case of an obfuscated executable program, it is difficult to analyze the function call relationship only with static analysis because the structure/content of the executable program file is different from the standard structure/content. In this paper, we propose a dynamic analysis method to analyze the function call relationship of an obfuscated execution program. We suggest constructing a function call relationship as a graph using the proposed technique.

• Review of KIISC
• /
• v.20 no.6
• /
• pp.17-27
• /
• 2010

전자금융거래는 사용자의 컴퓨터에 악성 프로그램이 설치될 수 있다는 환경에서도 신뢰성 있는 서비스가 요구된다. 하지만 국내의 전자금융거래는 아직까지 MITB(Man-In-The-Browser)공격에 취약한 상태이다. 이 논문에서는 MITB 공격의 동작원리와 그 대응방법에 대해 논의하며, 이를 바탕으로 QR코드를 활용한 승인방법을 제안한다.

• Review of KIISC
• /
• v.26 no.3
• /
• pp.30-37
• /
• 2016

온라인 게임에는 해킹이나 악성 코드와 같은 다른 분야에서도 널리 알려진 위협뿐만 아니라 계정 도용이나 자동 사냥 프로그램 사용과 같은 온라인 게임에서만 볼 수 있는 위협들이 존재한다. 온라인 게임은 게임 유저의 다양한 활동을 데이터로 기록하기 때문에 이런 풍부한 데이터를 활용한 머신 러닝 기반의 탐지 기법을 적용하기 적합한 분야이다. 그럼에도 불구하고 다른 보안 분야에 비해 상대적으로 연구가 많이 되지 않고 있으며 대부분의 연구가 탐지 모델링 단계에 집중되어 있다. 본 논문에서는 머신 러닝에 기반한 온라인 게임 보안 시스템을 효과적으로 구축하기 위한 연동 구조와 실전 적용시 고려해야 할 점에 대해 소개한다.

• Proceedings of the Korea Information Assurance Society Conference
• /
• 2004.05a
• /
• pp.227-232
• /
• 2004

현재의 전쟁에서는 자국의 정보자원 및 시스템을 보호하고 적의 중요 정보자원 및 시스템에 피해를 입히거나 파괴하는 정보전이 중요한 수단이 되고 있다. 본 논문에서는 정보전에서 우위를 점하기 위하여 자가 이동기법을 이용한 공격도구를 설계한다. 자가 이동기법은 악성 프로그램이 네트워크상의 경로를 통하여 원격지 시스템으로 스스로 이동하는 기술이다.

• Review of KIISC
• /
• v.18 no.1
• /
• pp.70-77
• /
• 2008

디지털 포렌식에서 증거 데이터 분석의 효율성을 높이기 위해서는 잘 알려진 파일을 분석 대상에서 제외하거나, 특정 파일의 존재여부에 대한 검사가 필요하다. 이를 위하여, 시스템 파일, 폰트 파일, 응용 프로그램 파일 등 분석이 필요없는 파일 및 루트킷, 백도어, 익스플로잇 코드 등 악성 파일에 대한 해쉬 값을 미래 계산하여 저장해 둔 것을 소프트웨어 참조 데이터세트라고 한다. 이 논문에서는 소프트웨어 참조 데이터세트 구축에 대한 주요 동향에 대하여 살펴본다. 특히, 소프트웨어 참조 데이터세트 구축을 주도하고 있는 미국의 NSRL RDS에 대하여 활용가능성 측면에서 구체적으로 살펴본다. NSRL RDS에 대한 분석결과 실제 컴퓨터 포렌식 도구에서 활용하기 매우 어렵다는 사실을 알 수 있다.

• Review of KIISC
• /
• v.21 no.7
• /
• pp.38-52
• /
• 2011

악성 프로그램으로 인한 거래정보 변조공격은 국내에서는 아직 대응책이 마련되지 않은 보안위협이다. 거래정보 변조공격에 대응하기 위해 제안된 기법들은 아직 그 종류냐 수가 많지 않고 새로이 제안되는 기법은 적용성, 편의성, 보안성을 동시에 충족시킬 수 있어야하기 때문에 접근이 쉽지 않다. 이 논문에서는 다양한 형태로 발생할 수 있는 거래정보 변조공격에 대해 알아보고 그에 대응하기 위한 새로운 접근방법인 보색을 이용한 거래연동 OTP를 소개한다. 제안하는 기법은 전자기기를 이용하지 않고 정적인 형태의 반투명한 재료로 구현될 수 있다는 점이 특징이다.