• Proceedings of the Korea Information Processing Society Conference
• /
• 2017.04a
• /
• pp.246-249
• /
• 2017

악성코드 분석을 실제머신에서 진행하는 도중 시스템이 손상될 경우 복원에 어려움이 있다. 이에 따라 역공학 분석가들은 일반적으로 가상환경에서 분석을 진행한다. 가상환경의 경우 실제머신 호스트 운영체제와는 독립되어 있고 악성코드를 발현하여 시스템이 손상이 되더라도 이전 스냅 샷으로 복원하는 것이 용이하기 때문에 가상환경에서 악성행위 동작을 분석한다. 하지만, 최근 들어 악성코드가 점점 지능화되고 있으며 이에 따라 악성코드가 VM(Virtual Machine)환경에서는 동작하지 않는 Anti-VM 기술이 적용된 악성코드가 증가하고 있다. 따라서, 본 논문에서는 가상환경에서 Anti-VM 기술이 적용된 악성코드를 분석할 수 있는 위한 환경 연구를 진행한다. 이에 따라, 악성코드가 가상환경을 탐지하는 기법을 분석하고 각 탐지기법을 방지할 수 있는 방안을 제안한다. 이를 통해 동적분석을 하지 못하도록 하는 분석 방해 지연 기술 중 하나인 Anti-VM 기술이 적용된 악성코드의 분석 결과를 향상 시키는 것을 목표로 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.11a
• /
• pp.982-983
• /
• 2011

악성코드의 수가 급격히 늘어나면서, 최근에는 하루에도 수 만개의 신 변종 악성코드가 쏟아져 나온다. 악성코드로 인한 국내 피해를 줄이기 위해 한국인터넷진흥원에서는 신 변종 악성코드를 즉각적으로 분석하고 분석 결과를 공유하기 위해 노력하고 있다. 하지만 악성코드를 정의하고 분류하는 방침에 있어서 표준화된 규칙이 없어 악성 코드 분석 결과를 공유하는 대에 어려움이 따른다. 본 논문에서는 현재의 악성코드 정의 및 분류 방안에 대한 한계점을 개선하기 위해 악성-속성을 규정하고 이를 이용한 악성 코드 정의 및 분류 방안에 대해 제시한다.

• Review of KIISC
• /
• v.28 no.2
• /
• pp.12-19
• /
• 2018

사이버 침해공격은 단순히 사이버 공간에만 피해를 주는 것이 아니라, IoT/CPS와 연결되면서 실생활에 큰 피해를 줄 수 있는 중요한 문제로 대두되었다. 이러한 사이버 침해공격의 대부분은 악성코드를 사용하고 있으며, 점차 지능화된 형태로 발전하고 있다. 이에 대응하고자 다양한 악성코드 분석기술이 출현해왔으며, 최근의 연구들은 대부분 머신러닝을 이용하여 기존에 진행했던 Pattern, Heuristic 기반의 한계들을 보완하려 노력하고 있다. 본 논문에서는 머신러닝을 이용한 악성코드 분석기술의 동향을 기술하였다. 특히, 머신러닝을 이용한 악성코드 분석 목적을 7개로 분류하였고, 악성코드 분석에 핵심이 되는 Key Feature들에 대해 소개하였다. 본 논문을 통해, 다양한 악성코드 분석 방법에 있어 새로운 Approach로 연결되는 계기가 되기를 기대한다.

• Review of KIISC
• /
• v.27 no.3
• /
• pp.12-19
• /
• 2017

기하급수적으로 증가하고 있는 변종 악성코드에 대응하기 위한 식별 연구가 다양화 되고 있다. 최근 연구에서는 기존 악성코드 분석 기술 (정적/동적)의 개별 사용 한계를 파악하고, 각 방식을 혼합한 하이브리드 분석으로 전환하는 추세이다. 나아가 변종 식별이 어려운 악성코드를 더욱 정확하게 식별하기 위해 기계 학습을 적용하기에 이르렀다. 이에 따라, 본 논문에서는 변종 악성코드 식별을 위해 각 연구에서 활용한 기계 학습 기술과 사용한 악성코드 특징을 중심으로 변종 악성코드 식별 연구를 분류 및 분석한다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2014.07a
• /
• pp.365-367
• /
• 2014

최근 웹 서비스의 증가와 악성코드는 그 수를 판단 할 수 없을 정도로 빠르게 늘어나고 있다. 매년 늘어나는 악성코드는 금전적 이윤 추구가 악성코드의 주된 동기가 되고 있으며 이는 공공기관 및 보안 업체에서도 악성코드를 탐지하기 위한 연구가 활발히 진행되고 있다. 본 논문에서는 실시간으로 패킷을 분석할수 있는 필터링과 웹 크롤링을 통해 도메인 및 하위 URL까지 자동적으로 탐지할 수 있는 악성코드 탐지 시스템을 제안한다.

• Journal of the Korea Academia-Industrial cooperation Society
• /
• v.16 no.10
• /
• pp.7211-7218
• /
• 2015

Tens of thousands of malicious codes are generated on average in a day. New types of malicious codes are surging each year. Diverse methods are used to detect such codes including those based on signature, API flow, strings, etc. But most of them are limited in detecting new malicious codes due to bypass techniques. Therefore, a lot of researches have been performed for more efficient detection of malicious codes. Of them, visualization technique is one of the most actively researched areas these days. Since the method enables more intuitive recognition of malicious codes, it is useful in detecting and examining a large number of malicious codes efficiently. In this paper, we analyze the relationships between malicious codes and Native API functions. Also, by applying the word cloud with text mining technique, major Native APIs of malicious codes are visualized to assess their maliciousness. The proposed malicious code analysis method would be helpful in intuitively probing behaviors of malware.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2015.04a
• /
• pp.376-379
• /
• 2015

최근 발생한 다양한 해킹 사건에서와 같이, 신규 또는 알려지지 않은 악성코드를 이용한 지능형 지속 공격이 점차 증가하고 있다. 기존의 악성 코드가 해커의 단순한 호기심이나 해커 자신의 능력을 과시하기 위해 제작되어 불특정 다수를 공격했다면, 최근의 해킹 사건에서 사용된 악성코드는 오직 특정 대상만을 목표로 하여 제작, 사용되고 있는 것이 특징이다. 현재 대다수의 악성코드 탐지 방식인 블랙리스트 기반의 시그니처에 의한 탐지방식에서는 악성코드의 일부분이라도 변경이 되면 해당 악성코드를 탐지할 수가 없기 때문에 신규 악성 코드를 탐지하고 대응하는 것이 어렵다. 그러므로 지능형 지속 공격에 대응하기 위해서는 새로운 형태의 파일 탐지 기술이 필요하다. 이에 본 논문에서는 파일의 다양한 속성 및 사용자 분포에 따른 평판점수를 통해 신규 악성코드를 탐지하는 기법을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2021.05a
• /
• pp.212-215
• /
• 2021

본 논문에서는 딥러닝의 CNN(Convolution Neural Network) 학습을 통하여 악성코드를 실행시키지 않고서 악성코드 변종을 패밀리 그룹으로 분류하는 방법을 연구한다. 먼저 데이터 전처리를 통해 3가지의 서로 다른 방법으로 악성코드 이미지와 메타데이터를 생성하고 이를 CNN으로 학습시킨다. 첫째, 악성코드의 byte 파일을 8비트 gray-scale 이미지로 시각화하는 방법이다. 둘째, 악성코드 asm 파일의 opcode sequence 정보를 추출하고 이를 이미지로 변환하는 방법이다. 셋째, 악성코드 이미지와 메타데이터를 결합하여 분류에 적용하는 방법이다. 이미지 특징 추출을 위해서는 본고에서 제안한 CNN을 통한 학습 방식과 더불어 3개의 Pre-trained된 CNN 모델을 (InceptionV3, Densnet, Resnet-50) 사용하여 전이학습을 진행한다. 전이학습 시에는 마지막 분류 레이어층에서 본 논문에서 선택한 데이터셋에 대해서만 학습하도록 파인튜닝하였다. 결과적으로 가공된 악성코드 데이터를 적용하여 9개의 악성코드 패밀리로 분류하고 예측 정확도를 측정해 비교 분석한다.

• Journal of the Korea Society of Computer and Information
• /
• v.10 no.6 s.38
• /
• pp.127-136
• /
• 2005

Recently, the damages occurring from the malware are increasing rapidly, regardless of continuous development of commercial vaccines . Generally, the vaccine detects well-known malware effectively, but it becomes helpless without any information against the unknown ones. Also, the malware generates its variations fast enough, so that the vaccine always gets behind in its updates. In this paper, we are describing a design and development of malware detection tool, which can detect such malware effectively. We first analyze the general functionality of the malware, and then extracts specific signatures. Such that, we can actively cope with a malware, which may come in previous type, a new type, and any of its mutations also.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2020.07a
• /
• pp.85-88
• /
• 2020

최근 악성코드의 발전은 사이버 위협의 전방면에 걸쳐 영향을 주고 있다. DDoS, APT를 포함한 스팸 발송 등과 같은 사이버 공격은 악성코드를 기반으로 한다. 또한 이에 대응하기 위해 다양한 형태의 악성코드 솔루션이 존재하고 있다. 악성코드 솔루션은 오픈소스와 상업용 프로그램으로 나눌 수 있는데 상업용 프로그램은 악성코드뿐만 아니라 PC관리의 전반적인 부분을 담당하고 있다. 악성코드를 탐지하는 방법은 시그니처 방식과 해시DB를 이용한 방식 등 다양한 방식이 있다. 본 논문에서는 오픈소스기반 악성코드 솔루션을 비교하여 어떠한 방식이 더 효과적인가를 분석하였다. 이를 통해 악성코드 방지 프로그램을 개발하려는 개발자가 비용효과적인 악성코드 탐지 방법을 잘 선택할 수 있는 가이드라인을 제공한다.