• 한국컴퓨터정보학회논문지
• /
• 제19권7호
• /
• pp.77-85
• /
• 2014

최근의 클라우드 환경, 빅데이터 환경 등 다양한 환경에서 악성코드나 의심 코드에 의한 피해가 늘어나고 있으며 이를 종합적으로 대응할 수 있는 시스템에 대한 연구가 활발히 이루어지고 있다. 이러한 악성행위가 내포된 의심코드는 사용자의 동의 없이도 PC에 설치되어 사용자가 인지하지 못하는 피해를 양산하고 있다. 또한 다양한 시스템으로부터 수집되는 방대한 양의 데이터를 실시간으로 처리하고 가공하는 기술뿐만 아니라 정교하게 발전하고 있는 악성코드를 탐지 분석하기 위한 대응기술 또한 고도화 되어야 한다. 최근의 악성코드를 원천적으로 탐지하기 위해서는 실행파일에 포함된 악성코드에 대한 정적, 동적 분석을 포함한 분석뿐만 아니라 평판에 의한 검증도 병행되어야 한다. 또한 대량의 데이터를 통해 유사성도 판단하여 실시간으로 대응하는 방안이 절실히 필요하다. 본 논문에서는 이러한 탐지 및 검증 기법을 다중으로 설계하고 이를 실시간으로 처리할 수 있는 방안을 제시하여 의심코드에 대한 대응을 근본적으로 할 수 있도록 연구하였다.

• 사물인터넷융복합논문지
• /
• 제6권2호
• /
• pp.1-10
• /
• 2020

안드로이드 플랫폼 기반 모바일 애플리케이션은 디컴파일이 간단하여 정상 앱과 유사한 악성 애플리케이션을 만들 수 있으며, 제작된 악성 앱은 안드로이드 서드 파티(third party) 앱 스토어를 통해 배포되고 있다. 이 경우 악성 애플리케이션은 기기 내 개인정보 유출, 프리미엄 SMS 전송, 위치정보와 통화 기록 유출 등의 문제를 유발한다. 따라서 최근 이슈가 되고 있는 머신러닝 기법 중에서 최적의 성능을 제공하는 모델을 선별하여 악성 안드로이드 앱을 자동으로 판별할 수 있는 기법을 제공할 필요가 있다. 이에 본 논문에서는 공인 실험 데이터셋을 이용하여 안드로이드 앱의 특징정보를 선별한 후에 총 네 가지의 성능 평가 실험을 통해 안드로이드 악성 앱 판별에 최적의 성능을 제공하는 머신러닝 모델을 제시하였다.

• 정보보호학회논문지
• /
• 제29권3호
• /
• pp.531-539
• /
• 2019

본 논문에서는 악성코드 패밀리 분류를 위한 훈련 데이터의 특징을 제안하고, 앙상블 모델을 이용한 다중 분류 성능을 분석한다. 악성코드 실행 파일로부터 API와 DLL 데이터를 추출하여 훈련 데이터를 구성하며, 의사 결정 트리기반 Random Forest와 XGBoost 알고리즘으로 모델을 학습한다. 악성코드에서 빈번히 사용되는 API와 DLL 정보를 분석하며, 고차원의 훈련 데이터 특징을 저차원의 특징 표현으로 변환시켜, 악성코드 탐지와 패밀리 분류를 위한 API, API-DLL, DLL-CM 특징을 제안한다. 제안된 특징 선택 방법은 데이터 차원 축소와 빠른 학습의 장점을 제공한다. 성능 비교에서 악성코드 탐지율은 Random Forest가 93.0%, 악성코드 패밀리 분류 정확도는 XGBoost가 92.0%, 그리고 정상코드를 포함하는 테스트 오탐률은 Random Forest와 XGBoost가 3.5%이다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제8권2호
• /
• pp.35-40
• /
• 2019

기존 악성코드 탐지는 다형성 또는 난독화 기법이 적용된 변종 악성코드 탐지에 취약하다. 기계학습 알고리즘은 악성코드에 내재된 패턴을 학습시켜 유사 행위 탐지가 가능해 기존 탐지 방법을 대체할 수 있다. 시간에 따라 변화하는 악성코드 패턴을 학습시키기 위해 지속적으로 데이터를 수집해야한다. 그러나 대용량 악성코드 파일의 저장 및 처리 과정은 높은 공간과 시간 복잡도가 수반된다. 이 논문에서는 공간 복잡도를 완화하고 처리 시간을 가속화하기 위해 HDFS 기반 분산 처리 시스템을 설계한다. 분산 처리 시스템을 이용해 2-gram 특징과 필터링 기준에 따른 API 특징 2개, APICFG 특징을 추출하고 앙상블 학습 모델의 일반화 성능을 비교했다. 실험 결과로 특징 추출의 시간 복잡도는 컴퓨터 한 대의 처리 시간과 비교했을 때 약 3.75배 속도가 개선되었으며, 공간 복잡도는 약 5배의 효율성을 보였다. 특징 별 분류 성능을 비교했을 때 2-gram 특징이 가장 우수했으나 훈련 데이터 차원이 높아 학습 시간이 오래 소요되었다.

• 정보보호학회논문지
• /
• 제24권5호
• /
• pp.861-870
• /
• 2014

악성코드의 지능화에 따라 물리 메모리에서 실행 파일을 추출하는 것이 중요한 연구 이슈로 부각되고 있다. 물리 메모리에서 파일 데이터를 추출하는 경우 일반적으로 프로그램 실행과정에서 사용 중인 파일 데이터를 추출하기 때문에 원본 파일 데이터가 추출되지 않는 문제점이 있다. 따라서 물리 메모리에 저장되는 파일 정보를 분석하고 이를 기반으로 디스크에 저장된 파일과 동일하게 추출하는 방법이 요구된다. 본 논문에서는 윈도우 파일 오브젝트 커널 정보 분석을 통한 실행 파일 데이터 추출 방법을 제시한다. 실험을 통해 물리 메모리에 저장되어있는 실행 파일 데이터 특징을 분석하고, 기존 방법과 비교하여 원본 파일 데이터를 효과적으로 추출함으로써 제안 방법의 우수함을 증명한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2019년도 춘계학술발표대회
• /
• pp.164-167
• /
• 2019

모바일 운영체제 중 안드로이드의 점유율이 높아지면서 모바일 악성코드 위협은 대부분 안드로이드에서 발생하고 있다. 그러나 정상앱이나 악성앱이 진화하면서 권한 등의 단일 특징점으로 악성여부를 연구하는 방법은 유효성 문제가 발생하여 본 논문에서는 다양한 특징점 추출 및 기계학습을 활용하여 극복하고자 한다. 본 논문에서는 APK 파일에서 구동에 필요한 다섯 종류의 특징점들을 안드로가드라는 정적분석 툴을 통해 학습데이터의 특성을 추출한다. 또한 추출된 중요 특징점을 기반으로 모델링을 하는 세 가지 방법을 제시한다. 첫 번째 방법은 보안 전문가에 의해 엄선된 132가지의 특징점 조합을 바탕으로 모델링하는 것이다. 두 번째는 학습 데이터 7,000개의 앱에서 발생 빈도수가 높은 상위 99%인 8,004가지의 특징점들 중 랜덤포레스트 분류기를 이용하여 특성중요도가 가장 높은 300가지를 선정 후 모델링 하는 방법이다. 마지막 방법은 300가지의 특징점을 학습한 다수의 모델을 통합하여 하나의 가중치 투표 모델을 구성하는 방법이다. 최종적으로 가중치 투표 모델인 앙상블 알고리즘 모델을 사용하여 97퍼센트로 정확도가 개선되었고 오탐률도 1.6%로 성능이 개선되었다.

• 융합보안논문지
• /
• 제13권4호
• /
• pp.109-115
• /
• 2013

인터넷망을 이용한 정보 전달의 대표적인 수단인 이메일 서비스 등을 통한 보안위협이 급증하고 있다. 이러한 보안위협의 공격 경로는 첨부된 문서파일에 악성코드를 삽입하고, 해당 응용프로그램의 취약점을 이용하여 사용자의 시스템을 감염시키게 된다. 따라서 본 연구에서는 파일 전송과정에서 위장악성코드의 감염을 차단하기 위해, 논리적 망 분리인 FTS(File Transfer System)를 이용한 무결성 검증 및 행위기반 탐지 시스템을 제안하고, 기존의 보안기법과의 비교 및 검증하고자 한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2012년도 한국컴퓨터종합학술대회논문집 Vol.39 No.1(C)
• /
• pp.257-259
• /
• 2012

Peer-to-peer(P2P) 정보보호는 가용성, 신뢰성이 뛰어난 파일 공유 시스템 제공을 목적으로 P2P기반 분산 컴퓨팅, 스트리밍, VoIP 등을 안전하게 제공하는 목적이 있다. 하지만 P2P/IPTV 트래픽이 전체 네트워크 트래픽의 50% 이상을 차지하는 상황에서 만약 악성 사용자가 신뢰할 수 없는 자원을 확산시킨다면 네트워크에 지장을 초래하고 이는 서비스 품질을 감소시키는 원인이 된다. 이를 방지 위하여 본 논문에서는 개방된 P2P 환경에서 악의적인 노드의 공격을 효과적으로 대처하고 정확한 파일 공유를 위한 신뢰평가 기법을 제안한다. 제안된 기법은 시간의 흐름에 따라 사용자의 신뢰도를 평가하고 이웃노드에게 제공받은 신뢰도에 대해 상대적 차이를 활용하여 사용자 주관적인 신뢰도를 판단한다.

• 정보보호학회논문지
• /
• 제32권4호
• /
• pp.629-635
• /
• 2022

최근 사회적 변화와 IC T 기술의 발전에 따라 사이버 위협 또한 증가되고 있으며, 사이버위협에 사용되는 악성코드는 분석을 어렵게 하기 위해 분석환경 회피기술, 은닉화, 파일리스 유포 등 더욱 고도화 지능화되고 있다. 이러한 악성코드를 효과적으로 분석하기 위해 머신러닝 기술이 활용되고 있지만 분류의 정확도를 높이기 위한 많은 노력이 필요하다. 본 논문에서는 머신러닝의 분류성능을 높이기 위해 API호출 구간 특성 기반 악성코드 탐지 기술을 제안한다. 제안하는 기술은 악성코드와 정상 바이너리의 API 호출 순서를 시간을 기준으로 구간으로 분리하여 각 구간별 API의 호출특성과 바이너리의 엔트로피 등의 특성인자를 추출한 후 SVM(Support Vector Mechine) 알고리즘을 이용하여 제안하는 방법이 악성바이너리를 잘 분석할 수 있음을 검증하였다.

• 한국콘텐츠학회논문지
• /
• 제14권12호
• /
• pp.565-573
• /
• 2014

인터넷이 활성화되면서 우리는 PC나 스마트폰에서 온라인 뱅킹, 주식 거래, 쇼핑 등의 다양한 전자상거래를 한다. 인터넷 상에서 거래 당사자 간의 신원확인 및 부인방지를 위한 주요 수단으로 공인인증서를 주로 활용한다. 하지만, 2005년 이후로 공인인증서 사용자에 대한 공격이 증가하고 있다. 즉, 공격자는 사용자 PC로부터 탈취한 공인인증서와 개인키 파일을 가지고, 은행 계좌 조회/이체나 전자상거래에 정당한 사용자로 위장하여 사용하게 된다. 이때, 개인키 파일은 사용자의 비밀번호로 암호화되어 저장되고, 필요할 때마다 복호화 되어 사용한다. 만약, 사용자의 비밀번호가 공격자에게 노출된다면 암호화된 개인키 파일을 쉽게 복호화 할 수 있다. 이러한 이유로 공격자는 사용자 PC에 트로이목마, 바이러스 등의 악성코드를 설치하여 사용자 인증서, 개인키 파일, 비밀번호를 탈취하려고 한다. 본 논문에서는 개인키 파일을 OTP 인증기술을 이용하여 암호화함으로써 안전하게 관리할 수 있는 방안을 제안한다. 그 결과, 암호화된 개인키 파일이 외부에 노출되더라도 일회용 패스워드와 사용자 비밀번호가 노출되지 않으므로 암호화된 개인키 파일은 안전하게 보관된다.