• 정보보호학회지
• /
• 제15권1호
• /
• pp.50-60
• /
• 2005

본 논문에서는 최근 인터넷 환경에서 증가하고 있는 대규모 컴퓨터 바이러스/웜에 의한 침해사고 발생 시 네트워크 포렌식 등에서 정의되어야할 정보와 이를 활용한 대량 트래픽을 발생시키는 시스템을 탐지하는 방안을 제안하였다. 이에 따라 종합 침해사고 대응 시스템에서의 자동화된 역추적 절차를 제시한다.

• 정보보호뉴스
• /
• 통권128호
• /
• pp.24-25
• /
• 2008

기자의 학창시절 중 가장 큰 고통(?)을 안겨 준 수업 시간은 화학시간이었다. 눈에는 보이지 않는, 하지만 여러 개의 분자와 원자로 구성된 성분을 어떻게 구분해야할지, 또 눈에 보이지 않는 성분이 도무지 이해되지 않았던 탓이었다. 악성코드나 웜.바이러스를 대하는 일반인들의 심정도 그러하지 않았을까. 같아 보이지만 서로 다른 악성코드와 웜.바이러스. 분석대응팀은 그 미세한 차이를 구별하고 분석하는 일을 한다.

• 정보보호학회논문지
• /
• 제15권6호
• /
• pp.37-47
• /
• 2005

최근 널리 유포되고 있는 악의적인 프로그램으로 e-메일 웜-바이러스가 있다. 이들은 웜-바이러스가 포함된 e-메일이나 첨부파일을 열기 만해도 메일 주소록에 등록된 모든 사용자에게 자신을 전파하며 막대한 피해를 유발시킨다. 본 논문에서는 MS 윈도우즈 시스템에서 e-메일 바이러스의 전파를 차단시켜 주는 두 가지 방법을 제안한다. 첫 번째 방법은 메일 클라이언트에서 [보내기] 버튼의 클릭과 같은 송신자 행위에 의해서만 메일을 발송하게 하였다. 두 번째 방법에서는 제안한 시스템이 정한 규칙에 따라 수신자 베일주소를 변형하는 모듈과 복원하는 모듈이 각각 송신 측에 추가되었다. 또한 새로운 e-메일 웜-바이러스 공격에 대응하기 위한 방법으로 다형성 기법도 적용한다. 두 방법 모두 e-메일 바이러스에 의해 자동으로 메일이 전승되는 것을 차단하도록 설계되었으며, e-메일 수신 측에서는 추가로 실행하는 작업은 없다. 실험을 통해, 제안한 방법들이 적은 오버헤드로 e-메일 웜-바이러스를 효과적으로 차단함을 보였다.

• 정보처리학회논문지C
• /
• 제12C권6호
• /
• pp.847-854
• /
• 2005

인터넷 웜(worm)의 전파속도는 매우 빠르기 때문에, 발생초기에 웜의 전파를 탐지하여 막지 못하면 큰 피해를 초래 할 수 있다. 새로운 세션에 대한 연결요청을 일정 비율이하로 제한함으로써 웜의 발생여부를 탐지하는 바이러스 쓰로틀링(virus throttling)[6, 7]은 대표적인 웜 조기탐지 기술 중의 하나이다. 대부분의 기존 기술은 지연 큐 관리에 있어서 동일한 수신 IP 주소들을 개별적으로 처리함으로써 웜 탐지의 오판 가능성을 증가시켰고, 지연 큐가 가득 찼을 때에만 웜이 발생했다고 판단하는 단순 판단 기법을 사용했다. 본 논문은 지연 큐에서 동일 수신 IP 주소들을 하나의 연결 리스트로 묶어 별도로 관리함으로써 동일 수신 IP들을 중복하여 지연 큐에 저장하지 않는 이차원 지연 규 관리방안을 제안한다. 개선된 바이러스 쓰로틀링은 지연 큐 길이 산정 시동일 수신 IP 주소들을 중복하여 계산하지 않기 때문에 웜 탐지 오류를 줄일 수 있다. 그리고 동일한 크기의 지연 큐를 가지고도 웜 탐지시간을 줄이고 웜 패킷 전송 수를 줄일 수 있는 가중치 평균 큐 길이 기반의 새로운 웜 탐지 알고리즘을 제안한다. 지연 큐 길이 산정 시 현재의 큐 길이 뿐 아니라 과거의 큐 길이를 반영하는 방법이 웜의 발생 가능성을 사전에 예측하여 기존 기법보다 빠르게 웜을 탐지할 수 있음을 실험을 통해 확인하였다.

• 정보보호학회논문지
• /
• 제16권3호
• /
• pp.53-64
• /
• 2006

현재 안티 바이러스 회사들을 중심으로 제작되는 원의 분석 보고서는 기존의 바이러스 보고서의 형태를 가지고 있어, 웜의 특성들을 제대로 표현하지 못한다. 이에 본 논문에서는 웜의 특성을 표현 할 수 있도록 시간적인 행동 순서를 고려한 정형화 된 표현기법을 제안한다. 이를 위해 감염된 호스트와 감염 대상이 되는 호스트 사이의 발생하는 웜의 행동 패턴과, 통신 메시지들을 중심으로 정형화된 양식을 정의한다. 알서 정의된 양식을 중심으로 웜의 분석된 데이터를 표현 할 수 있는 방안에 대해서 제안하고, 검증을 위해 시만텍에서 제공하는 분석 데이터와 비교하였다.

• 한국사이버테러정보전학회:학술대회논문집
• /
• 한국사이버테러정보전학회 2004년도 제1회 춘계학술발표대회
• /
• pp.333-337
• /
• 2004

인터넷 웜은 하루에도 수많은 변종을 만들어내고 있어서, 바이러스 백신에 의존한 치료만으로는 한계가 있다. 인터넷 일의 전염 자체를 막고, 이를 분석하기 위해서는 인터넷 웜이 자신의 복제를 위해 사용하는 방법과 같은 환경이 필요하다. 인터넷 웜 트래픽 생성 시스템은 수많은 인터넷 웜이 자신을 스스로 복제하기 위한 유사한 방법으로 네트워크상에 트래픽을 생성한다. 본 연구는 인터넷 월의 자기 복제 과정을 분석할 수 있도록 하여, 인터넷 웜의 전파 과정을 원천적으로 막을 수 있도록 설계 및 구현하는 것이 본 연구의 목표이다.

• 한국시뮬레이션학회논문지
• /
• 제15권4호
• /
• pp.1-10
• /
• 2006

컴퓨터 바이러스의 모델링 및 시뮬레이션에 관한 연구는 주로 네트워크 취약성 분석에 초점이 맞추어져 있었다. 그러나 컴퓨터 바이러스는 생물학적인 관점에서 분석되어 질 수 있다고 생각하여, 인공생명 기술을 이용하여 컴퓨터 바이러스를 분석하였다. 이 연구를 통해 컴퓨터 바이러스로 인해 네트워크에 미칠 영향과 행동 메커니즘을 이해할 수 있을 것이다. 본 논문에서는 인공생명을 이용한 컴퓨터 바이러스의 모델링 및 시뮬레이션 방법론을 제안한다. 이를 통해 컴퓨터 바이러스 백신의 연구에도 영향을 줄 수 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 가을 학술발표논문집 Vol.30 No.2 (1)
• /
• pp.796-798
• /
• 2003

바이러스로 시작된 악성 코드는 웜이라는 형태로 발전하였다. 인터넷 망의 고속화와 확장에 의해 웜의 전파 속도와 감염 범위는 증가하였지만, 아직까지 웜을 차단할 수 있는 획기적인 방법은 개발되지 않았고, 웜에 의한 피해는 갈수록 치명적인 결과를 낳고 있다. 본고에서는 Bloom Filter［1］를 이용한 content filtering 방법을 제안한다. 실험을 통해, 이미 알려진 웜에 대한 Bloom Filter의 성능을 검증하였으며, 알려지지 않은 웜에 대한 Bloom Filter의 적용 방법도 제안한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2004년도 춘계종합학술대회
• /
• pp.776-779
• /
• 2004

정보기술의 급격한 발전으로 사이버공간의 주요 특징인 익명성, 비대면성, 시공초월성 등과 함께 사용자 부주의, 소프트웨어 버그 및 각종 취약점 둥으로 인하여 사이버테러로부터 정보 시스템을 보호하는 것은 점점 더 어려워지고 있다. 또한 최근 사이버테러 기술의 악의적, 군사적 활용도가 높아지면서 그 위험성이 매우 높으며 앞으로도 계속 증가할 것으로 예측되고 있다. 따라서 사이버 공간안에서 벌어지는 정보전 공격 기술의 연구는 사회적으로나 국가 안보적 차원에서 그 필요성이 매우 높다. 특히, 웜/바이러스 공격 기술은 사이버 공간에서 빈번하게 발생하고 있으며, 짧은 기간 동안 전 세계의 네트워크에 심각한 피해를 주고 있다. 따라서, 본 논문에서는 정보전의 주요 공격기술인 웜/바이러스 기술에 대해 고찰하고자 한다.

• 정보처리학회지
• /
• 제10권2호
• /
• pp.27-37
• /
• 2003