• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.667-677
• /
• 2012

악성코드 유포자들은 웹 어플리케이션 취약점 공격을 이용해 주로 악성코드를 유포한다. 이러한 공격들은 주로 악성링크를 통해 이루어지며, 이를 탐지하고 분석하는 연구가 활발히 이루어지고 있다. 하지만, 현재의 악성링크 탐지 시스템은 대부분 시그니처 기반이어서 난독화 된 악성링크는 탐지가 거의 불가능하고 알려진 취약점은 백신을 통해 공격을 사전에 방지 할 수 있지만 알려지지 않은 취약점 공격은 사전 방지가 불가능한 실정이다. 이러한 한계점을 극복하기 위해 기존의 시그니처 기반 탐지 방법을 지양하고 행위기반 탐지 시스템에 관한 연구가 이루어지고 있다. 하지만 현재 개발된 탐지 시스템은 현실적으로 제약사항이 많아 실제로 활용하기에는 한계가 있다. 본 논문에서는 이와 같은 한계를 극복하고 탐지 효율을 높일 수 있는 새로운 웹 브라우저 기반 악성행위 탐지 시스템인 WMDS (Web-browser based Malicious behavior Detection System)를 소개 하고자 한다.

• 디지털융복합연구
• /
• 제11권12호
• /
• pp.381-386
• /
• 2013

안드로이드 플랫폼에서의 새로운 변종 악성코드가 기하급수적으로 증가함에 따라 보다 빠르고 능동적인 대처방안이 필요하다. 본 연구에서는 안드로이드 플랫폼에 High-Interaction 클라이언트 허니팟을 적용하였다. 시스템 적용방안을 위하여 전체 흐름을 설계하고 각 세부모듈의 기능을 분석하여 안드로이드 플랫폼에 최적화 하였다. 제안하는 시스템은 기존 PC 환경의 High-Interaction 클라이언트 허니팟의 장점을 모두 갖추고 있으며 관리 서버와 저장 서버를 분리하여 보다 유연하고 확장된 형태로 설계되었다.

• 정보보호학회논문지
• /
• 제25권6호
• /
• pp.1341-1351
• /
• 2015

스마트폰의 대중화로 다양한 애플리케이션이 증가하면서, Third party App Market 이나 블랙마켓을 통한 악성 애플리케이션 또한 급격한 증가세에 있다. 본 논문에서는 APK파일의 변조여부를 효과적으로 검출할 수 있는 검사 필터인 Androfilter를 제안한다. Androfilter는 대부분의 안티바이러스 소프트웨어들이 사용하는 수집, 분석, 업데이트 서버등을 사용하지 않고, Google Play를 신뢰 기관으로 가정하여 대응되는 애플리케이션의 조회만으로 애플리케이션의 변조여부를 판단 한다. 실험 결과에 따르면 변조된 애플리케이션을 감지함으로 보고되지 않은 신종 악성코드를 차단할 수 있다.

• 한국콘텐츠학회논문지
• /
• 제9권1호
• /
• pp.115-122
• /
• 2009

본 논문에서는 유비쿼터스 환경에서 OTP가 적용된 Diffie-Hellman 방식을 이용하여 노드간 키를 전달할 때 타임스탬프의 시간 차이를 이용하여 악의적인 노드를 검출할 수 있는 방법을 제안한다. 기존의 방식들은 정확한 시간 동기화나 방향성 안테나를 이용한 방법으로 악의의 노드 검출을 시도하였다. 본 논문에서는 방향성 안테나 추가 혹은 제 3 신뢰기관(TTP) 없이 타임스탬프를 이용한 OTP를 Diffie-Hellman 방식에 적용하여 중간의 악의노드 검출 방법을 제안하고 이에 대한 안전성을 검증한다. 본 논문에서 제안하는 방법은 유비쿼터스 환경에서도 쉽게 적용이 가능한 방법이다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2013년도 춘계학술대회
• /
• pp.671-674
• /
• 2013

최근 다양한 기능을 지원하는 애플리케이션이 개발됨에 따라 스마트 폰의 보급률이 증가하고, 애플리케이션 시장이 급속도로 커지면서 사용자가 급증하는 추세이다. 스마트 폰이 실생활에 밀접해져 기기 안에 중요한 데이터가 저장된다. 이러한 점을 악용하여 생긴 다양한 목적을 가진 악성코드로 인해 스마트 폰의 안전은 위협 받고 있다. 이에 본 논문에서는 최근에 유포된 각각 모바일 OS의 악성코드로 인해 발생한 원인 및 문제점에 대해서 분석하고 대책을 알아보고자 한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권6호
• /
• pp.2188-2203
• /
• 2021

With the rapid development of mobile Internet, smart phones have been widely popularized, among which Android platform dominates. Due to it is open source, malware on the Android platform is rampant. In order to improve the efficiency of malware detection, this paper proposes deep learning Android malicious detection system based on behavior features. First of all, the detection system adopts the static analysis method to extract different types of behavior features from Android applications, and extract sensitive behavior features through Term frequency-inverse Document Frequency algorithm for each extracted behavior feature to construct detection features through unified abstract expression. Secondly, Long Short-Term Memory neural network model is established to select and learn from the extracted attributes and the learned attributes are used to detect Android malicious applications, Analysis and further optimization of the application behavior parameters, so as to build a deep learning Android malicious detection method based on feature analysis. We use different types of features to evaluate our method and compare it with various machine learning-based methods. Study shows that it outperforms most existing machine learning based approaches and detects 95.31% of the malware.

• 정보보호학회논문지
• /
• 제25권1호
• /
• pp.17-30
• /
• 2015

본 논문은 기존에 널리 사용되는 바이트코드(bytecode) 중심의 안드로이드 어플리케이션 코드 난독화 방법과 달리 임의의 안드로이드 어플리케이션의 DEX 파일 자체를 추출하여 암호화하고, 암호화한 파일을 임의의 폴더에 저장한 후 코드를 수행하기 위한 로더 앱을 만드는 방법을 제시한다. 이벤트 처리 정보를 은닉하기 위하여, 로더 앱 내부의 암호화된 DEX 파일은 원본 코드와 Manifest 정보 일부를 포함한다. 로더 앱의 Manifest는 원본 앱의 Manifest 정보 중에서 암호화된 클래스에 포함되지 않은 정보만을 기재하였다. 제안기법을 사용시, 첫째로 공격자는 백신을 우회하기 위해 난독화된 코드를 포함한 악성코드 제작이 가능하고, 둘째로 프로그램 제작자의 입장에서는 제안기법을 이용하여 저작권 보호를 위해 핵심 알고리즘을 은폐하는 어플리케이션 제작이 가능하다. 안드로이드 버전 4.4.2(Kitkat)에서 프로토타입을 구현하고 바이러스 토탈을 이용하여 악성코드 난독화 능력을 점검해서 제안 기법의 실효성을 보였다.

• Journal of Information Processing Systems
• /
• 제11권2호
• /
• pp.229-238
• /
• 2015

Web shells are programs that are written for a specific purpose in Web scripting languages, such as PHP, ASP, ASP.NET, JSP, PERL-CGI, etc. Web shells provide a means to communicate with the server's operating system via the interpreter of the web scripting languages. Hence, web shells can execute OS specific commands over HTTP. Usually, web attacks by malicious users are made by uploading one of these web shells to compromise the target web servers. Though there have been several approaches to detect such malicious web shells, no standard dataset has been built to compare various web shell detection techniques. In this paper, we present a collection of web shell files, WebSHArk 1.0, as a standard dataset for current and future studies in malicious web shell detection. To provide baseline results for future studies and for the improvement of current tools, we also present some benchmark results by scanning the WebSHArk dataset directory with three web shell scanning tools that are publicly available on the Internet. The WebSHArk 1.0 dataset is only available upon request via email to one of the authors, due to security and legal issues.

• 인터넷정보학회논문지
• /
• 제19권1호
• /
• pp.27-35
• /
• 2018

본 논문은 안드로이드 플랫폼에서 악성 어플리케이션을 탐지하기 위한 연구로, 안드로이드 악성 어플리케이션에 대한 위협과 행위 분석에 대한 연구를 바탕으로 머신러닝을 적용한 악성 어플리케이션 탐지를 수행하였다. 안드로이드의 행위 분석은 동적 분석도구를 통해 수행할 수 있으며, 이를 통해 어플리케이션에 대한 API Calls, Runtime Log, System Resource, Network 등의 정보를 추출할 수 있다. 이 연구에서는 행위 분석을 통한 특징 추출을 머신러닝에 적용하기 위해 특징에 대한 속성을 변환하고, 전체 특징에 대한 머신러닝 적용과 특징들의 연관분석을 통한 주성분분석으로 특징간의 상관분석으로 얻은 머신러닝 적용을 수행하였다, 이에 대한 결과로 악성 어플리케이션에 대한 머신러닝 분류 결과는 전체 특징을 사용한 분류 결과보다 주요 특징을 통한 정확도 결과가 약 1~4%정도 향상되었으며, SVM 분류기의 경우 10%이상의 좋은 결과를 얻을 수 있었다. 이 결과를 통해서 우리는 전체적인 특징을 이용하는 것보다, 주요 특징만을 통해 얻을 결과가 전체적인 분류 알고리즘에 더 좋은 결과를 얻을 수 있고, 데이터 세트에서 의미있는 특징을 선정하는 것이 중요하다고 파악하였다.

• 한국융합학회논문지
• /
• 제8권5호
• /
• pp.37-43
• /
• 2017

윈도우 운영체제(Operating System)에서 OS와 어플리케이션 프로그램 운영에 필요한 정보를 저장하기 위해 개발된 계층형 DB인 registry는 부팅에서 사용자 로그인, 응용 서비스 실행, 어플리케이션 프로그램 실행, 사용자 행위 등 모든 활동에 관여하기 때문에, registry를 분석을 통한 디지털증거획득이 많이 사용되고 있다. 최근 사용자가 인식하지 못하는 방법으로 악성코드가 시스템에 침투하여 귀중한 기술정보를 유출하거나 도용하여 금전적 피해가 많이 발생하고 있다. 따라서 본 연구에서는 고가의 디지털포렌식 프로그램 사용 없이 셰어웨어 어플리케이션을 이용하여 악성코드를 탐지하는 방법을 제시하여 해킹의 피해를 분석하고 동일한 피해를 예방하기 위해 본 연구를 진행하였으며, 악성코드를 탐지하고 분석하기 위해 고가의 상용프로그램을 사용하지 않고도 정확히 분석할 수 있기 때문에 학문적 기여도는 클 것으로 기대한다.