• Journal of the Korea Convergence Society
• /
• v.8 no.5
• /
• pp.37-43
• /
• 2017

A registry is a hierarchy database which is designed to store information necessary for operating system and application programs in Windows operating system, and it is involved in all activities such as booting, logging, service execution, application execution, and user behavior. Digital forensic is widely used. In recent years, malicious codes have penetrated into systems in a way that is not recognized by the user, and valuable information is leaked or stolen, causing financial damages. Therefore, this study proposes a method to detect malicious code by using a shareware application without using expensive digital forensic program, so as to analysis hacking methods and prevent hacking damage in advance.

• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2014.10a
• /
• pp.346-349
• /
• 2014

Currently, the growing cyber threat continues, the damage caused by the evolution of malicious code incidents become more bigger. Such advanced attacks as APT using 'zero-day vulnerability' bring easy way to steal sensitive data or personal information. However it has a lot of limitation that the traditional ways of defense like 'access control' with blocking of application ports or signature base detection mechanism. This study is suggesting a way of controlling application activities focusing on keeping integrity of applications, authorization to running programs and changes of files of operating system by hardening of legitimate resources and programs based on 'white-listing' technology which analysis applications' behavior and its usage.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2005.11a
• /
• pp.987-990
• /
• 2005

프로그래밍 기술과 인터넷 통신의 발달로 인하여 보안성이 검증되지 않은 다양한 프로그램들이 생성되고 쉽게 유포되어 보안 취약성으로 인해 야기되는 다양한 문제의 심각성이 더해가고 있다. 따라서 사용자가 보안상 안전하게 사용할 수 있는 소프트웨어 인증절차가 필수적으로 요구되고 있는데, 이를 위해 정보유출, 파괴 등을 목적으로 하는 악성코드를 소프트웨어의 소스코드레벨에서 사전에 검출할 수 있는 기술이 요구된다. 따라서 본 논문에서는 정규형 오토마타 이론을 이용하여 프로그램의 흐름을 예측 및 분석하고 이에 따른 악성프로그램의 흐름을 규칙으로 정하여 이러한 흐름에 만족하는 경우 악성코드를 식별하는 기법을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.04a
• /
• pp.967-970
• /
• 2011

본 논문에서는 커널 모드에서 악성 봇이 호스트를 전염 시키는 순간 나타나는 일반적인 행동 특성들을 기반으로 효과적인 악성 봇 탐지가 가능한 프로그램을 구현하였다. 구현된 프로그램은 false-positive(오탐지)를 줄이기 위해서 악성 봇의 전염 과정에서 발생하는 복제 행동, 레지스트리 등록, uninstall 등록, 복제된 파일의 경로 정보 그리고 사용할 API 임포트 정보 등과 같은 악성 행위 탐지 기준 6가지를 고려한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.04a
• /
• pp.938-940
• /
• 2011

본 논문은 초고속 인터넷 시대에 자주 출몰하는 컴퓨터 바이러스 및 악성코드의 특징을 분석하고, 이에 대응하는 국내외 사용 백신 프로그램들의 성능을 비교 분석하여 미래에 출현할 악성 바이러스에 대한 최상의 대처법을 제안하였다. 국내외에서 가장 많이 사용되는 상용 백신 프로그램의 특정 바이러스 및 악성코드를 침투시켜 대응 여부를 조사하고, 백신 프로그램의 DB(데이터베이스) 업데이트 주기, 대응 바이러스 목록 분석 등을 시행하여 특정 바이러스 및 악성코드에 대한 효율적인 대응책을 제시하였다.

• The KIPS Transactions:PartC
• /
• v.8C no.6
• /
• pp.741-756
• /
• 2001

With the development of computer systems, there has been a sharp increase in the threats on these systems including attacks by malicious programs such as virus, vandal, etc. Currently virus vaccines are widely used to thwart these threats, but they have many weaknesses. They cannot guard against unknown threats and sometimes, they also cannot detect the existence of malicious programs before these malicious programs make any destructive results. For lack of an efficient security model, the existing security programs have the problem that they raise many false-positive alarms in spite of normal action. So it becomes very important to develop the improved security program that can make up for the weakness of the existing computer security program and can detect many threats of malicious programs as early as possible. In this paper we describe the design of an improved security model and the implementation of a security program that can filter and handle the threats on computer systems at the kernel level in real time.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2023.01a
• /
• pp.103-106
• /
• 2023

코로나 팬데믹 사태로 인해 업무환경이 재택근무를 하는 환경으로 바뀌고 악성코드의 변종 또한 빠르게 발전하고 있다. 악성코드를 분석하고 백신 프로그램을 만들면 새로운 변종 악성코드가 생기고 변종에 대한 백신프로그램이 만들어 질 때까지 변종된 악성코드는 사용자에게 위협이 된다. 본 연구에서는 머신러닝 알고리즘을 사용하여 악성파일 여부를 예측하는 방법을 제시하였다. 일반적인 악성코드의 구조를 갖는 Portable Executable 구조 파일을 파이썬의 LIEF 라이브러리를 사용하여 Certificate, Imports, Opcode 등 3가지 feature에 대해 정적분석을 하였다. 학습 데이터로는 정상파일 320개와 악성파일 530개를 사용하였다. Certificate는 hasSignature(디지털 서명정보), isValidcertificate(디지털 서명의 유효성), isNotExpired(인증서의 유효성)의 feature set을 사용하고, Imports는 Import Address Table의 function 빈도수를 비교하여 feature set을 구축하였다. Opcode는 tri-gram으로 추출하여 빈도수를 비교하여 feature set을 구축하였다. 테스트 데이터로는 정상파일 360개 악성파일 610개를 사용하였으며 Feature set을 사용하여 random forest, decision tree, bagging, adaboost 등 4가지 머신러닝 알고리즘을 대상으로 성능을 비교하였고, bagging 알고리즘에서 약 0.98의 정확도를 보였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.04a
• /
• pp.805-807
• /
• 2002

악성 코드를 포함하고 있는 악성 오브젝트(또는 프로그램)들을 막기 위한 방법으로서 오브젝트의 정상 행위를 정의해 놓고 정상행위에서 벗어나면 악성으로 판단하는 Sandbax, MAPBox등이 있다. 이러한 방법들 모두 오브젝트의 정상행위가 무엇인가를 정의하고, 정상행위에 맞는 자원을 할당하는데 초점을 맞추고 있다. 하지만. 정상행위로 정의된 행위의 범위 안에서도 악성행위를 할 수 있다. 본 논문에서는 정상행위의 범위 안에서 발생할 수 있는 악성행위를 막기 위한 방법으로서 사용자와 오브젝트와의 관계를 고려한 강화된 악성 객체 방지 기법에 대하여 제시하였다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2005.11a
• /
• pp.85-87
• /
• 2005

프로그래밍 기술과 인터넷 통신의 발달로 인하여 보안성이 검증되지 않은 다양한 프로그램들이 생성되고 쉽게 유포되어 보안 취약성으로 인해 야기되는 다양한 문제의 심각성이 더해가고 있다. 따라서 사용자가 보안상 안전하게 사용할 수 있는 소프트웨어 인증절차가 필수적으로 요구되고 있는데, 이를 해결하기 위해 소프트웨어 안전성 평가에 대한 연구가 진행 중이지만, 기존의 방법들은 특정 영역에 한정적이어서 일반적인 소프트웨어의 보안성 평가(security evaluation) 방법으로써 부적합하다. 뿐만 아니라 기존의 시스템들은 단순 패턴매칭에 기반을 두고 있어 오용탐지가 크고 정확성이 떨어진다는 문제점을 가지고 있다. 따라서 본 논문에서는 이러한 문제점들을 해결하기 위해 악성프로그램 코드의 구조와 흐름을 분석하여 규칙으로 정의하고 그 규칙에 따라 검사 대상 프로그램 코드에서 악성코드와 취약점 흐름을 탐지하는 규칙 기반의 소프트웨어 보안성 검증 시스템 프로토타입을 제안한다. 제안한 검증 시스템의 프로토타입은 악성코드와 소프트웨어 취약성을 동시에 탐지하여 보안성을 평가함으로써 범용적인 소프트웨어 평가에 활용 가능할 것이다.

• Journal of IKEEE
• /
• v.26 no.3
• /
• pp.380-388
• /
• 2022

The traditional malware detection technologies collect known malicious programs and analyze their characteristics. Then such a detection technology makes a blacklist based on the analyzed malicious characteristics and checks programs in the user's system based on the blacklist to determine whether each program is malware. However, such an approach can detect known malicious programs, but responding to unknown or variant malware is challenging. In addition, since such detection technologies generally monitor all programs in the system in real-time, there is a disadvantage that they can degrade the system performance. In order to solve such problems, various methods have been proposed to analyze major behaviors of malicious programs and to respond to them. The main characteristic of ransomware is to access and encrypt the user's file. So, a new approach is to produce the whitelist of programs installed in the user's system and allow the only programs listed on the whitelist to access the user's files. However, although it applies such an approach, attackers can still perform malicious behavior by performing a DLL(Dynamic-Link Library) injection attack on a regular program registered on the whitelist. This paper proposes a method to respond effectively to attacks using DLL injection.