• 정보보호학회논문지
• /
• 제16권3호
• /
• pp.17-28
• /
• 2006

우회기법을 사용하는 변종 악성코드의 출현은 바이러스 백신에 의한 탐지를 우회하여 확산을 가속화시키고 있다. 만일 보안 취약점 패치가 되지 않고, 바이러스 백신 패턴에 포함되지 않았을 경우에 신종 웜은 수분 내에 단위 네트워크상의 시스템을 감염시킬 수 있으며, 다른 지역 네트워크로의 확산도 가능하다. 따라서 변종 및 신종 악성코드에 대한 기존의 패턴기반 탐지 및 치료 방식에는 한계가 있다. 본 논문에서는 실행 압축의 우회기법을 사용한 악성코드에 대하여 행위기반의 정적 및 동적 분석에 의한 탐지패턴을 생성하고, 동적 탐지에 의한 변종 및 신종에 대한 탐지 방법을 제안한다. 또한 동적 탐지에서의 유사도 비교를 위한 방법을 제안하여 시스템의 중요자원에 접근하는 실행압축 기법을 사용하는 바이러스의 탐지가 가능함을 보인다.

• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.667-677
• /
• 2012

악성코드 유포자들은 웹 어플리케이션 취약점 공격을 이용해 주로 악성코드를 유포한다. 이러한 공격들은 주로 악성링크를 통해 이루어지며, 이를 탐지하고 분석하는 연구가 활발히 이루어지고 있다. 하지만, 현재의 악성링크 탐지 시스템은 대부분 시그니처 기반이어서 난독화 된 악성링크는 탐지가 거의 불가능하고 알려진 취약점은 백신을 통해 공격을 사전에 방지 할 수 있지만 알려지지 않은 취약점 공격은 사전 방지가 불가능한 실정이다. 이러한 한계점을 극복하기 위해 기존의 시그니처 기반 탐지 방법을 지양하고 행위기반 탐지 시스템에 관한 연구가 이루어지고 있다. 하지만 현재 개발된 탐지 시스템은 현실적으로 제약사항이 많아 실제로 활용하기에는 한계가 있다. 본 논문에서는 이와 같은 한계를 극복하고 탐지 효율을 높일 수 있는 새로운 웹 브라우저 기반 악성행위 탐지 시스템인 WMDS (Web-browser based Malicious behavior Detection System)를 소개 하고자 한다.

• 융합보안논문지
• /
• 제14권2호
• /
• pp.17-24
• /
• 2014

백도어의 침투공격 형태는 "trapdoor" 침투점을 이용하여 보안기능을 우회하고 데이터에 직접 접근을 허용하게 한다. 백도어는 소스코드 수정 없이도 코드 생성이 가능하고 심지어 컴파일 후에 수정도 가능하다. 이같은 방식은 컴파일러를 다시 작성하여 소스코드를 컴파일 할 때 특정 부분에 백도어를 삽입시키는 방법을 사용하기 때문에 가능하다. 백도어 방역작업에는 백도어 기본적 구조나 특성에 따라 피해영역이나 차단방법이 조금씩 다를 수 있다. 본 연구는 백도어 동작 메커니즘 진단을 기반으로 하여 백도어 행동분석 방법 모델을 도출하였다. 연구의 목적은 백도어에 대한 구조 및 감염형태를 파악하고 행동방식을 분석함으로서 앞으로 악성코드 대응과 해킹공격에 유용하게 활용할 수 있는 정보를 확보하는 데 있다.

• 융합정보논문지
• /
• 제11권4호
• /
• pp.55-63
• /
• 2021

최근 악성코드 발생률은 약 수만 건이 넘는 추세로, 전부 탐지/대응하는 것은 불가능에 가깝다고 알려졌다. 본 연구는 새로운 악성코드 대응방법으로 그래프 데이터베이스 기반 다중행위 패턴 탐지 기법을 제안한다. 기존 동적 분석기법과는 다른 새로운 그래프 모델을 설계하고, 대표적인 악성코드 패턴(프로세스, PE, 레지스트리 등)의 그래프 연관관계를 분석하는 방법을 적용했다. 패턴 검증 결과 기본 악성 패턴에 대한 행위 탐지와 기존 분석이 어려웠던 변종 공격행위(5단계 이상)의 탐지를 확인했다. 또한, 성능 분석결과 5단계 이상의 복잡한 패턴에 대하여 관계형 데이터베이스 대비 약 9.84배 이상 성능이 향상되었음을 확인하였다.

• 정보보호학회논문지
• /
• 제27권5호
• /
• pp.1087-1097
• /
• 2017

스마트 폰의 보급률이 증가함에 따라 스마트 폰을 대상으로 하는 악성코드들이 증가하고 있다. 360 Security의 스마트 폰 악성코드 통계에 따르면 2015년 4분기에 비해 2016년 1분기에 악성코드가 437% 증가하는 수치를 보였다. 특히 이러한 스마트 폰 악성코드 유포의 주요 수단인 악성 어플리케이션들은 사용자 정보 유출, 데이터 파괴, 금전 갈취 등을 목적으로 하는데 운영 체제나 프로그래밍 언어가 제공하는 기능을 제어할 수 있게 해주는 인터페이스인 API에 의하여 동작하는 경우가 대부분이다. 본 논문에서는 정적 분석으로 도출한 어플리케이션 내 API의 패턴을 지도 학습 기법으로 머신에 학습하여 정상 어플리케이션과 악성 어플리케이션 내의 API 패턴의 유사도에 따라 악성 어플리케이션을 탐지하는 메커니즘을 제시하고 샘플 데이터에 대하여 해당 메커니즘을 사용하여 도출한 label 별 탐지율과 탐지율 개선을 위한 기법을 보인다. 특히, 제안된 메커니즘의 경우 신종 악성 어플리케이션의 API 패턴이 기존에 학습된 패턴과 일정 수준 유사한 경우 탐지가 가능하며 향후 어플리케이션의 다양한 feature를 연구하여 본 메커니즘에 적용한다면 anti-malware 체계의 신종 악성 어플리케이션 탐지에 사용될 수 있을 것이라 예상된다.

• 융합정보논문지
• /
• 제11권5호
• /
• pp.30-37
• /
• 2021

사물인터넷 등을 통하여 각종 기기들이 인터넷으로 연결되어 있고 이로 인하여 인터넷을 이용한 공격이 발생하고 있다. 그러한 공격 중 악성 URL를 이용하여 사용자에게 잘못된 피싱 사이트로 접속하게 하거나 악성 바이러스를 유포하는 공격들이 있다. 이러한 악성 URL 공격을 탐지하는 방법은 중요한 보안 이슈 중에 하나이다. 최근 딥러닝 기술 중 뉴럴네트워크는 이미지 인식, 음성 인식, 패턴 인식 등에 좋은 성능을 보여주고 있고 이러한 뉴럴네트워크를 이용하여 악성 URL 탐지하는 분야가 연구되고 있다. 본 논문에서는 뉴럴네트워크를 이용한 악성 URL 탐지 성능을 각 파라미터 및 구조에 따라서 성능을 분석하였다. 뉴럴네트워크의 활성화함수, 학습률, 뉴럴네트워크 모델 등 다양한 요소들에 따른 악성 URL 탐지 성능에 어떠한 영향을 미치는 지 분석하였다. 실험 데이터는 Alexa top 1 million과 Whois에서 크롤링하여 데이터를 구축하였고 머신러닝 라이브러리는 텐서플로우를 사용하였다. 실험결과로 층의 개수가 4개이고 학습률이 0.005이고 각 층마다 노드의 개수가 100개 일 때, 97.8%의 accuracy와 92.94%의 f1 score를 갖는 것을 볼 수 있었다.

• 스마트미디어저널
• /
• 제8권4호
• /
• pp.25-32
• /
• 2019

인터넷의 발달로 많은 정보에 쉽게 접근할 수 있게 되었지만, 이에 따라 악의적인 목적을 가진 프로그램의 침입 경로가 다양해졌다. 그리고 전통적인 시그니처 기반 백신은 변종 및 신종 악성코드의 침입을 탐지하기 어렵기 때문에 많은 사용자들이 피해를 입고 있다. 시그니처로 탐지할 수 없는 악성코드는 분석가가 직접 실행시켜 행위를 분석해 볼 수 있지만, 변종의 경우 대부분의 행위가 유사하여 비효율적이라는 문제점이 있다. 본 논문에서는 변종이 대부분의 행위가 유사하다는 것에 착안하여 기존 악성코드와의 행위 유사성을 이용한 탐지 방법을 제안한다. 제안 방법은 변종들이 공통적으로 가지는 행위 대상과 유사한 행위 대상을 갖는 프로그램을 탐지하는 것이다. 1,000개의 악성코드를 이용해 실험한 결과 변종의 경우 높은 유사도를 보이고, 아닐 경우 낮은 유사도를 보여 행위 유사도로 변종을 탐지할 수 있음을 보였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제3권3호
• /
• pp.87-96
• /
• 2014

해커들은 웹 사이트를 해킹 또는 경유 사이트를 운영하는 등 다양한 방법으로 목적을 달성하기 위한 해킹을 시도한다. 악성코드를 웹 사이트에 업로드하여 경유 사이트를 만드는 경우 해당 사이트에 접속하는 사용자는 좀비 PC가 되어 아이디와 패스워드 및 개인 정보가 대량 유출되고 해킹된 개인정보들은 다른 해킹 방법에 사용되고 있다. 기존의 탐지기법은 Snort rule을 사용하여 패턴을 IDS/IPS 장비에 입력하여 네트워크에서 패턴이 일치되면 탐지하는 기법으로 동작하고 있다. 하지만 입력된 패턴을 벗어난 공격을 하였을 경우 IDS/IPS 장비에서는 탐지하지 못하고 정상적인 행위로 간주하여 사용자 PC를 감염시킨다. 공격자는 패턴 탐지 방법의 취약점을 찾아 ShellCode를 진화시킨다. 진화된 ShellCode 공격에 대응하여 악의적인 공격을 탐지 및 대응할 수 있는 방법의 제시가 필요한 실정이다. 본 논문은 정보량 측정을 통한 ShellCode를 탐지하는 방법에 관한 연구이며, 기존의 보안 장비를 우회하여 사용자PC에 공격 시도를 탐지하는 방법을 제시한다.

• 디지털산업정보학회논문지
• /
• 제8권1호
• /
• pp.125-137
• /
• 2012

As the Internet use explodes recently, the malicious attacks and hacking for a system connected to network occur frequently. For such reason, lots of intrusion detection system has been developed. Intrusion detection system has abilities to detect abnormal behavior and unknown intrusions also it can detect intrusions by using patterns studied from various penetration methods. Various algorithms are studying now such as the statistical method for detecting abnormal behavior, extracting abnormal behavior, and developing patterns that can be expected. Etc. This study using clustering of data mining and association rule analyzes detecting areas based on two models and helps design detection system which detecting abnormal behavior, unknown attack, misuse attack in a large network.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제8권2호
• /
• pp.35-40
• /
• 2019

기존 악성코드 탐지는 다형성 또는 난독화 기법이 적용된 변종 악성코드 탐지에 취약하다. 기계학습 알고리즘은 악성코드에 내재된 패턴을 학습시켜 유사 행위 탐지가 가능해 기존 탐지 방법을 대체할 수 있다. 시간에 따라 변화하는 악성코드 패턴을 학습시키기 위해 지속적으로 데이터를 수집해야한다. 그러나 대용량 악성코드 파일의 저장 및 처리 과정은 높은 공간과 시간 복잡도가 수반된다. 이 논문에서는 공간 복잡도를 완화하고 처리 시간을 가속화하기 위해 HDFS 기반 분산 처리 시스템을 설계한다. 분산 처리 시스템을 이용해 2-gram 특징과 필터링 기준에 따른 API 특징 2개, APICFG 특징을 추출하고 앙상블 학습 모델의 일반화 성능을 비교했다. 실험 결과로 특징 추출의 시간 복잡도는 컴퓨터 한 대의 처리 시간과 비교했을 때 약 3.75배 속도가 개선되었으며, 공간 복잡도는 약 5배의 효율성을 보였다. 특징 별 분류 성능을 비교했을 때 2-gram 특징이 가장 우수했으나 훈련 데이터 차원이 높아 학습 시간이 오래 소요되었다.