• Proceedings of the Korea Information Processing Society Conference
• /
• 2017.11a
• /
• pp.257-258
• /
• 2017

머신러닝 기법을 다양한 분야에 사용되는 연구가 한창이다. 본 논문에서는 악성 코드의 분류 시스템에 머신러닝 기법을 적용하였다. 악성 코드 파일을 적당한 크기로 이미지화하여 텐서 플로우의 인셉션 V3에 적용하였다. 실험 결과, 이미지의 사이즈 조정과 파라미터 조정을 통해 매우 만족할 만한 수준으로 악성 코드를 잘 분류함을 확인할 수 있었다.

• Review of KIISC
• /
• v.19 no.6
• /
• pp.41-48
• /
• 2009

최근 국내는 물론 전 세계적으로 스마트폰을 이용한 인터넷 이용인구의 증가에 따라 스마트폰과 모바일 악성코드에 대한 관심이 높아지고 있으며, 해외에서는 심비안, 윈도우 모바일이 탑재된 스마트폰을 대상으로 600여종의 모바일 악성 코드가 발생하고 있어 이에 대한 대응이 필요하다. 따라서 본 고에서는 국내 모바일 악성코드의 발생에 대비하기 위하여 해외 현황 및 주요 침해사고 유형에 대해서 분석하고자 한다.

• Review of KIISC
• /
• v.27 no.6
• /
• pp.29-32
• /
• 2017

현대 사회에서 주요 사회적 이슈가 되는 CCTV, 네트워크 프린터, 스마트 가전기기 등 IoT 장비 해킹 사고의 발생 횟수 및 피해 규모는 지속적으로 증가하고 있다. 최근 침해사고 사례를 살펴보면, 엔드포인트에 해당하는 IoT 장비의 허술한 보안대책으로 인하여 악성코드 설치 및 실행을 탐지하지 못한 피해가 대부분이다. 이로 인해 IoT 장비에 대한 악성 프로세스 실행 제어 제품이 개발되어 도입되는 추세이지만, 아직까지 안전성 평가에 대한 연구가 부족한 실정이다. 따라서 본 논문에서는 IoT 장비에 대한 악성 프로세스 실행 제어 제품의 기본 보안요구사항을 식별하고, 필요한 시험항목과 시험 시 유의사항에 대해 제안한다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2014.07a
• /
• pp.379-380
• /
• 2014

최근에 가장 대표적인 사이버 공격 방법이 악성코드를 사용한 공격 형태이며, 이에 대한 피해사례도 지속적으로 급증하고 있는 실정이다. 본 논문에서는 악성코드를 이용한 사이버 공격에 대한 피해를 줄이기 위해서 기존 탐지방법의 한계점을 분석하여 개선할 수 있는 증상 기반의 탐지방법과 상태 전이 개념을 도입한 시나리오 기반의 공격징후 탐지 알고리즘을 제안한다.

• Review of KIISC
• /
• v.24 no.2
• /
• pp.63-72
• /
• 2014

APT란 백신에서 탐지를 못하는 신종 악성코드로서 1 비트만 바뀌어도 탐지를 할 수 없는 안티 바이러스 제품의 오용탐지 기반, 즉 알려진 위협의 증거값(Signature)이 있어야만 탐지하는 구조에 기인한다. 일부에서 APT를 이메일에 첨부된 신종 악성코드라고 이야기하고 있으나 이는 APT의 전파 방법 중 하나일 뿐이고 올해 발생한 3.20 사이버 테러에서 알 수 있듯이 웹을 통한 불특정 다수를 목표로 한 신종 악성코드의 무차별 감염이 심각한 상태이다. 따라서 본 논문에서는 그동안의 사례를 분석하고 APT에 대응하기 위한 방안에 대해 살펴보고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2020.11a
• /
• pp.366-369
• /
• 2020

기존 악성코드 탐지 방법의 한계점과 심층 학습기술의 적용을 통한 악성코드의 탐지 및 분류방법을 기술하고 탐지에서의 각 학습모델에 대한 테스트 성능 과정 정확도를 비교하여 파일리스 악성코드 탐지에서의 심층 학습기술의 유용성과 발전 가능성을 판단하려 한다.

• The Journal of the Korean bone and joint tumor society
• /
• v.9 no.1
• /
• pp.45-51
• /
• 2003

Purpose: This study was designed to know the ability of thallium-201 scintigraphy to discriminate malignant bone tumor from benign by analysing the quantitative thallium uptake ratio. Materials and Methods: We took thallium-201 scintigraphy prospectively with other imaging studies in 82 bone tumor suspecting patients. The results of scintigraphy were read qualitatively and calculated quantitatively, and retention indexes were estimated. For the statistical analysis the patients were divided as four group; high grade malignant bone tumor, benign bone tumor, giant cell tumor and low grade malignant bone tumor. Results: The mean thallium uptake ratio was 4.14 in early phase and 2.26 in delayed phase in high grade malignant bone tumor group, 1.16 and 1.09 in benign bone tumor, 3.15 and 1.94 in giant cell tumor, and 1.41 and 1.31 in low grade malignant bone tumor. Retention indexes were 0.62, 0.97, 0.66, 0.93 in same order. The thallium uptake ratio and retention indexes were statistically correlated in high grade malignant bone tumor and benign bone tumor group(p<0.001). Conclusion: Thallium-201 scintigraphy proved as useful imaging study to discriminate malignant bone tumor from benign, but had exception in giant cell tumor and low grade malignant bone tumors.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.28 no.5
• /
• pp.1119-1127
• /
• 2018

Most of the cyber attacks are caused by malicious codes. The damage caused by cyber attacks are gradually expanded to IoT and CPS, which is not limited to cyberspace but a serious threat to real life. Accordingly, various malicious code analysis techniques have been appeared. Dynamic analysis have been widely used to easily identify the resulting malicious behavior, but are struggling with an increase in Anti-VM malware that is not working in VM environment detection. On the other hand, static analysis has difficulties in analysis due to various packing techniques. In this paper, we proposed malware classification techniques regardless of known packers or unknown packers through the proposed model. To do this, we designed a model of supervised learning and unsupervised learning for the features that can be used in the PE structure, and conducted the results verification through 98,000 samples. It is expected that accurate analysis will be possible through customized analysis technology for each class.

• Journal of KIISE:Computing Practices and Letters
• /
• v.16 no.4
• /
• pp.405-414
• /
• 2010

According to the statistics of SecurityFocus in 2008, client-side attacks through the Microsoft Internet Explorer have increased by more than 50%. In this paper, we have implemented a behavior-based malicious web page detection system and a blacklist-based malicious web page filtering system. To do this, we first efficiently collected the target URLs by constructing a crawling system. The malicious URL detection system, run on a specific server, visits and renders actively the collected web pages under virtual machine environment. To detect whether each web page is malicious or not, the system state changes of the virtual machine are checked after rendering the page. If abnormal state changes are detected, we conclude the rendered web page is malicious, and insert it into the blacklist of malicious web pages. The malicious URL filtering system, run on the web client machine, filters malicious web pages based on the blacklist when a user visits web sites. We have enhanced system performance by automatically handling message boxes at the time of ULR analysis on the detection system. Experimental results show that the game sites contain up to three times more malicious pages than the other sites, and many attacks incur a file creation and a registry key modification.

• Journal of Internet Computing and Services
• /
• v.22 no.2
• /
• pp.1-9
• /
• 2021

Traditionally, most malicious codes have been analyzed using feature information extracted by domain experts. However, this feature-based analysis method depends on the analyst's capabilities and has limitations in detecting variant malicious codes that have modified existing malicious codes. In this study, we propose a ResNet-Variational AutoEncder-based variant malware classification method that can classify a family of variant malware without domain expert intervention. The Variational AutoEncoder network has the characteristics of creating new data within a normal distribution and understanding the characteristics of the data well in the learning process of training data provided as input values. In this study, important features of malicious code could be extracted by extracting latent variables in the learning process of Variational AutoEncoder. In addition, transfer learning was performed to better learn the characteristics of the training data and increase the efficiency of learning. The learning parameters of the ResNet-152 model pre-trained with the ImageNet Dataset were transferred to the learning parameters of the Encoder Network. The ResNet-Variational AutoEncoder that performed transfer learning showed higher performance than the existing Variational AutoEncoder and provided learning efficiency. Meanwhile, an ensemble model, Stacking Classifier, was used as a method for classifying variant malicious codes. As a result of learning the Stacking Classifier based on the characteristic data of the variant malware extracted by the Encoder Network of the ResNet-VAE model, an accuracy of 98.66% and an F1-Score of 98.68 were obtained.