• Proceedings of the IEEK Conference
• /
• 2003.07e
• /
• pp.2172-2175
• /
• 2003

본 논문에서는 DC 억압능력이 없거나 부족한 코드에 만족할 만한 DC 억압능력을 갖도록 하기 위한 멀티모드코드 방식을 제안한다. 제안한 멀티모드코드는 데이터열의 다중화를 위해 Pseudo Scrambling Technique를 사용하며, 다중화 된 데이터열의 변조를 위해 DC-free RLL(d, k) Code를 사용하는 특징을 가진다. 제안한 방법에서는 Sync 코드워드의 패리티를 다중화 정보로 사용하여 입력데이터를 2개의 데이터 열로 다중화하고, 2개로 다중화 된 데이터 열에 대해 DC-free RLL(d, k) Code를 사용하여 코드워드로 변환하며, 코드워드로 변환된 2 개의 코드워드 열에 대해 DC 성분이 적은 코드워드 열 하나를 선택하여 변조 스트림으로 출력한다. 본 논문에서는 Sync 코드워드의 패리티를 다중화 정보로 사용하여 별도의 Redundancy를 부가하지 않고 DC 억압성능을 향상시킬 수 있었다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2022.11a
• /
• pp.905-907
• /
• 2022

악성코드를 분석하는 기존 기법인 정적분석은 빠르고 효율적으로 악성코드를 탐지할 수 있지만 난독화된 파일에 취약한 반면,, 동적분석은 난독화된 파일에 적합하지만 느리고 비용이 많이 든다는 단점을 가진다. 본 연구에서는 두 분석 기법의 단점을 해결하기 위해 딥러닝 모델을 활용한 난독화에 강한 정적분석 모델을 제안하였다. 본 연구에서 제안한 방법은 원본 코드 및 난독화된 파일을 grayscale 이미지로 변환하여 데이터셋을 구축하고 AutoEncoder 를 사전학습시켜 encoder 가 원본 파일과 난독화된 파일로부터 원본 파일의 특징을 추출할 수 있도록 한 이후, encoder 의 output 을 fully connected layer 의 입력으로 넣고 전이학습시켜 악성코드를 탐지하도록 하였다. 본 연구에서는 제안한 방법론은 난독화된 파일에서 악성코드를 탐지하는 성능을 F1 score 기준 14.17% 포인트 향상시켰고, 난독화된 파일과 원본 파일을 전체를 합친 데이터셋에서도 악성코드 탐지 성능을 F1 score 기준 7.22% 포인트 향상시켰다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.23 no.4
• /
• pp.709-720
• /
• 2013

Virtualization obfuscation makes hard to analyze the code by applying virtualization to code section. Protected code by common used virtualization obfuscation technique has become known that it doesn't have restored point and also it is hard to analyze. However, it is abused to protect malware recently. So, It is been hard to analyze and take action for malware. Therefore, this paper's purpose is analyze and take action for protected malware by virtualization obfuscation technique through implement tool which can extract virtualization structure automatically and trace execution process. Hence, basic structure and operation process of virtualization obfuscation technique will be handled and analysis result of protected malware by virtualization obfuscation utilized Equation Reasoning System, one kind of program analysis. Also, we implement automatic analysis tool, extract virtualization structure from protected executable file by virtualization obfuscation technique and deduct program's execution sequence.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.05a
• /
• pp.131-133
• /
• 2023

악성코드를 유포할 때 프로그램 코드만으로 악성코드의 유무를 확인할 수 없도록 조치하여 분석을 지연시키는 방식을 사용하는 방향으로 발전하고 있다. 악성코드를 실행하지 않고 코드와 구조만으로 분석하는 정적 분석으로는 악성코드를 판별할 수 없어 코드를 직접 실행해 분석하는 동적 분석을 이용해야 한다. 본 논문에서는 난독화된 비정상적인 코드를 직접 실행한 동적 분석데이터와 일반적이지 않은 섹션들의 정보를 추출한 정적 분석데이터를 이용해 동적-정적 분석 데이터와 딥러닝 모델을 통해 난독화 및 패킹된 악성코드를 탐지하는 기법을 제안한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2022.11a
• /
• pp.201-203
• /
• 2022

임베디드 시스템이 일상생활 및 각종 산업에 밀접하게 연관되어 개인 정보 및 국가 기술 등 지적 자산에 대한 보안의 필요성이 나타나고 있다. 이러한 문제점은 임베디드 시스템에 들어가는 소프트웨어의 역공학으로부터 초래된다. 따라서 본 논문은 소스 코드에 대해 제어 흐름 평탄화라는 난독화 알고리즘을 설계하는 방법을 제안한다. 이는 독자적으로 작성된 난독화 알고리즘이기 때문에 오픈 소스로 공개되어져 있는 다른 난독화 도구들에 비해 안전한 특징을 가진다. 제어 흐름 평탄화는 프로그램의 기능을 유지하면서 소스 코드의 정적 분석을 어렵게 하는 기법으로, 데이터를 탈취하려는 악의적인 행위를 사전에 예방할 수 있다. 본 논문에서 제안하는 제어 흐름 평탄화 알고리즘은 하나의 기본 블록으로 이루어진 단순한 소스 코드를 여러 개의 기본 블록으로 분할하고, 조건문을 통해 연결하는 방법을 사용하여 알고리즘의 복잡도를 높였다. 이처럼 새롭게 작성된 Pass를 통해 소스코드 난독화를 적용시켜 임베디드 시스템의 보안성을 향상시킬 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2022.11a
• /
• pp.85-87
• /
• 2022

고품질 코드를 위한 정적 분석은 아직도 매우 필요한 영역이며, 또한 코드의 가시화는 개발자들에게 코드의 복잡한 모듈에 대한 가이드에 필요하다. 기존의 코드 가시화는 정적 분석의 코드 내부 정보들을 DB 테이블화 및 품질 지표(CK Metrics, Coupling, # function Calls, Bed smell) 질의어화, 그리고 추출된 정보를 가시화하는 것에만 초점을 두었다. 문제는 코드 내부 정보(Class, method, parameters, etc) 테이블들에 대한 join 연산 시 엄청난 시간과 리소스가 소모된다. 이 문제를 해결하기 위해, 우리는 테이블 설계의 정규화를 제안한다. 또한 필요한 품질 지표의 질의를 통해 코드 내부 정보 추출하여 데이터 및 제어 복잡 모듈을 식별하여 refactoring 를 가이드 한다. 앞으로는 이 부분의 AI learning 을 통해 bad/good program 을 식별을 기대한다.

• Convergence Security Journal
• /
• v.10 no.3
• /
• pp.51-60
• /
• 2010

The expansion of internet technology has made convenience. On the one hand various malicious code is produced. The number of malicious codes occurrence has dramadically increasing, and new or variant malicious code circulation very serious, So it is time to require analysis about malicious code. About malicious code require set criteria for judgment, malicious code taxonomy using Algorithm of weakness difficult to new or variant malicious code taxonomy but already discovered malicious code taxonomy is effective. Therefore this paper of object is various malicious code analysis besides new or variant malicious code type or form deduction using visualization of strong. Thus this paper proposes a malicious code analysis and grouping method using visualization.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2014.07a
• /
• pp.79-80
• /
• 2014

악성코드 유포를 위해 가장 많이 사용되는 Drive-by-download 공격에는 주로 자바스크립트가 사용되며, 공격자는 탐지 시스템의 우회하고 행위 분석을 어렵게 하기 위해 공격에 사용되는 스크립트를 난독화 한다. 난독화 된 자바스크립트를 탐지하기 위한 여러 기존의 연구들이 있었지만 최소한의 코드가 난독화 되어 있거나 정상 코드와 혼재할 경우 난독화 여부를 판단하기 어려운 한계가 있다. 본 논문에서는 난독화 된 자바 스크립트를 효과적으로 탐지하기 위해 전체 스크립트를 실행 단위 코드로 나눠 분석에 필요한 특징을 효과적으로 추출하는 방법을 제안한다.

• Proceedings of the IEEK Conference
• /
• 2003.11a
• /
• pp.457-460
• /
• 2003

DC억압능력이 없거나 부족한 코드에 만족할 만한 DC억압능력을 갖도록 하는 방법은 DC 제어 비트의 사용, Dual Code의 사용, Multimode Code의 사용 등이 있다. 어떤 방법이든 부가 비트가 사용되지만, 그 중에서 멀티모드 변조코드는 우수한 DC억압능력과 높은 코드효율을 갖고 있음에도 불구하고 복잡한 하드웨어와 높은 에러 전파율을 갖는 단점도 있다. 본 논문에서 제시하는 멀티모드 변조코드의 특징은 데이터열의 다중화를 위해 의사 스크램블 기법을, 다중화된 데이터열의 변조를 위해서는 DC-free RLL 변조코드를 사용한다. 의사 스크램블에 의한 데이터열의 다중화는 데이터를 복조할 때 에러전파 확률을 떨어뜨리는 효과가 있고 다중화된 데이터열의 변조를 위한 DC-free RLL 변조코드의 사용은 DC억압능력을 향상시키고 하드웨어가 훨씬 간단해진다.

• The Journal of Korean Institute of Communications and Information Sciences
• /
• v.19 no.4
• /
• pp.772-780
• /
• 1994

Vector quantization with two-channel conjugate codebook has been researched as an efficient coding technique that can reduce the computational complexity and codebook storage. This paper proposes FSVQ using two-channel conjugate codebook in order to reduce the number of state codebooks. Input vector in the two-channel conjugate FSVQ is coded with state codebook of a seperated state according to each codebook. In addition, LOT is adopted to obtain to obtain a high coding gain and to reduce blocking effect which appears in the block coding. As a result, although FSVQ can achieve higher data compression ratio than general vector quantization, it has a disadvantage of having a very large number of state codebooks. However FSVQ with two-channel conjugate codebooks can employ a significantly reduced number of state codebooks, even though it has a small loss in the PSNR compared with the conventional FSVQ using one codebook. Moreover FSVQ in the LOT domain can reduce blocking effect and high coding gain compared with FSVQ in the spatial domain.