• 정보보호학회논문지
• /
• 제32권5호
• /
• pp.997-1008
• /
• 2022

오늘날 AI(Artificial Intelligence) 기술은 악성코드 분야를 비롯하여 다양한 분야에서 광범위하게 연구되고 있다. 중요한 의사결정 및 자원을 보호하는 역할에 AI 시스템을 도입하기 위해서는 신뢰할 수 있는 AI 모델이어야 한다. 학습 데이터셋에 의존적인 AI 모델은 새로운 공격에 대해서도 견고한지 확인이 필요하다. 공격자는 악성코드를 새로 생성하기보단, 기존에 탐지되었던 악성코드의 변종을 대량 생산하여 공격에 성공하는 악성코드를 탐색다. AI 모델의 Misclassification을 유도하는 Adversarial attack과 같이 대부분의 공격은 기존 공격에 약간에 변형을 가해 만든 공격들이다. 이러한 변종에도 대응 가능한 Robust한 모델이 필요하며, AI 평가지표로 많이 사용되는 Accuracy, Recall 등으로는 모델의 Robustness 수준을 측정할 수 없다. 본 논문에서는 Adversarial attack 중 하나인 C&W attack을 기반으로 Adversarial sample을 생성하여 Robustness 수준을 측정하고 Adversarial training 을 통해 Robustness 수준을 개선하는 방법을 실험한다. 본 연구의 악성코드 데이터셋 기반 실험을 통해 악성코드 분야에서 해당 제안 방법의 한계 및 가능성을 확인하였다.

• 정보보호학회논문지
• /
• 제31권4호
• /
• pp.617-635
• /
• 2021

네트워크에 연결된 사물인터넷(Internet of Things, IoT) 기기는 보안 솔루션이 적용되지 않아 ICT(Information & Communications Technology) 인프라의 심각한 보안 위협으로 전락했다. 더군다나 IoT 기기의 특성상 자원제약이 많아 기존의 보안 솔루션을 적용하기 어렵다. 그 결과 사물인터넷 기기는 사이버 공격자의 공격 대상이 됐으며, 실제로도 사물인터넷 기기를 대상으로 한 악성코드 공격이 해마다 꾸준히 증가하고 있다. 이에 IoT 인프라를 보호하기 위해 여러 보안 솔루션이 개발되고 있지만, 기능이 검증되지 않은 보안 솔루션을 실제 환경에 적용하기엔 큰 위험이 따른다. 따라서 보안 솔루션의 기능과 성능을 검증할 검증 도구도 필요하다. 보안 솔루션이 다양한 보안 위협에 대응하는 방법도 다양하므로, 각 보안 솔루션의 특징을 기반으로 한 최적의 검증 도구가 필요하다. 본 논문에서는 IoT 인프라에 빠른 속도로 악성코드를 전파하는 악성코드 고속 확산 도구를 제안한다. 또한, IoT 인프라에서 확산하는 공격을 빠르게 탐지하고 차단하는 보안 솔루션의 기능과 성능을 검증하기 위해 개발된 악성코드 고속 확산 도구를 이용한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제18권2호
• /
• pp.456-477
• /
• 2024

With information technology's rapid development, the Internet faces serious security problems. Studies have shown that malware has become a primary means of attacking the Internet. Therefore, adversarial samples have become a vital breakthrough point for studying malware. By studying adversarial samples, we can gain insights into the behavior and characteristics of malware, evaluate the performance of existing detectors in the face of deceptive samples, and help to discover vulnerabilities and improve detection methods for better performance. However, existing adversarial sample generation methods still need help regarding escape effectiveness and mobility. For instance, researchers have attempted to incorporate perturbation methods like Fast Gradient Sign Method (FGSM), Projected Gradient Descent (PGD), and others into adversarial samples to obfuscate detectors. However, these methods are only effective in specific environments and yield limited evasion effectiveness. To solve the above problems, this paper proposes a malware adversarial sample generation method (PixGAN) based on the pixel attention mechanism, which aims to improve adversarial samples' escape effect and mobility. The method transforms malware into grey-scale images and introduces the pixel attention mechanism in the Deep Convolution Generative Adversarial Networks (DCGAN) model to weigh the critical pixels in the grey-scale map, which improves the modeling ability of the generator and discriminator, thus enhancing the escape effect and mobility of the adversarial samples. The escape rate (ASR) is used as an evaluation index of the quality of the adversarial samples. The experimental results show that the adversarial samples generated by PixGAN achieve escape rates of 97%, 94%, 35%, 39%, and 43% on the Random Forest (RF), Support Vector Machine (SVM), Convolutional Neural Network (CNN), Convolutional Neural Network and Recurrent Neural Network (CNN_RNN), and Convolutional Neural Network and Long Short Term Memory (CNN_LSTM) algorithmic detectors, respectively.

• 인터넷정보학회논문지
• /
• 제21권5호
• /
• pp.57-65
• /
• 2020

At present, the existing virus recognition systems usually use signature approach to detect malicious executable files, but these methods often fail to detect new and invisible malware. At the same time, some methods try to use more general features to detect malware, and achieve some success. Moreover, machine learning-based approaches are applied to detect malware, which depend on features extracted from malicious codes. However, the different distribution of features oftraining and testing datasets also impacts the effectiveness of the detection models. And the generation oflabeled datasets need to spend a significant amount time, which degrades the performance of the learning method. In this paper, we use transfer learning to detect new and previously unseen malware. We first extract the features of Portable Executable (PE) files, then combine transfer learning training model with KNN approachto detect the new and unseen malware. We also evaluate the detection performance of a classifier in terms of precision, recall, F1, and so on. The experimental results demonstrate that proposed method with high detection rates andcan be anticipated to carry out as well in the real-world environment.

• 중소기업융합학회논문지
• /
• 제5권1호
• /
• pp.13-18
• /
• 2015

악성코드란 해커가 악의적인 목적을 위하여 작성이 되어있는 실행 가능한 코드의 통칭으로써 자기복제 능력과 감염 대상 유무에 따라 바이러스, 웜, 트로이목마 등으로 분류된다. 주로 웹페이지 검색이나 P2P사용, 셰어웨어를 사용 할 때 등, 이런 상황에서 침투가 많이 발생이 되고 있다. 악성코드로 공격을 당하게 되면 이메일이 자동으로 발송이 된다거나, 시스템 성능 저하, 개인 정보 유출 등의 피해를 입게 된다. 이번에 악성코드를 소개 하면서 악성코드에 관련된 내용들을 설명하고 대응책을 알아본다. 그리고 향후 연구방향에 대해서도 생각해본다.

• 정보보호학회논문지
• /
• 제30권1호
• /
• pp.51-58
• /
• 2020

사이버 위협에 있어서 악성코드를 활용하는 것은 시대를 불문하고 지속적으로 활용되고 있고, 앞으로 IT기술이 발전하여도 여전히 주요한 공격 방법이 될 것이다. 따라서 이러한 악성코드를 탐지하기 위한 연구는 끊임없이 다양한 방법으로 시도되고 있다. 최근에는 AI 관련 기술이 발전하면서 악성코드 탐지에도 이와 관련한 연구를 많이 진행하고 있다. 본 연구에서는 동적분석 데이터 중 API Call이 발생하는 각각의 호출간격, 즉 시간차이(Time Interval)을 중심으로 특징값(Feature)을 생성하고, 이를 머신러닝 기법에 적용하여 악성코드를 탐지하는 방안을 제시하고자 한다.

• 스마트미디어저널
• /
• 제8권4호
• /
• pp.25-32
• /
• 2019

인터넷의 발달로 많은 정보에 쉽게 접근할 수 있게 되었지만, 이에 따라 악의적인 목적을 가진 프로그램의 침입 경로가 다양해졌다. 그리고 전통적인 시그니처 기반 백신은 변종 및 신종 악성코드의 침입을 탐지하기 어렵기 때문에 많은 사용자들이 피해를 입고 있다. 시그니처로 탐지할 수 없는 악성코드는 분석가가 직접 실행시켜 행위를 분석해 볼 수 있지만, 변종의 경우 대부분의 행위가 유사하여 비효율적이라는 문제점이 있다. 본 논문에서는 변종이 대부분의 행위가 유사하다는 것에 착안하여 기존 악성코드와의 행위 유사성을 이용한 탐지 방법을 제안한다. 제안 방법은 변종들이 공통적으로 가지는 행위 대상과 유사한 행위 대상을 갖는 프로그램을 탐지하는 것이다. 1,000개의 악성코드를 이용해 실험한 결과 변종의 경우 높은 유사도를 보이고, 아닐 경우 낮은 유사도를 보여 행위 유사도로 변종을 탐지할 수 있음을 보였다.

• Journal of Information Processing Systems
• /
• 제17권4호
• /
• pp.851-865
• /
• 2021

Enterprise networks in the PyeongChang Winter Olympics were hacked in February 2018. According to a domestic security company's analysis report, attackers destroyed approximately 300 hosts with the aim of interfering with the Olympics. Enterprise have no choice but to rely on digital vaccines since it is overwhelming to analyze all programs executed in the host used by ordinary users. However, traditional vaccines cannot protect the host against variant or new malware because they cannot detect intrusions without signatures for malwares. To overcome this limitation of signature-based detection, there has been much research conducted on the behavior analysis of malwares. However, since most of them rely on a sandbox where only analysis target program is running, we cannot detect malwares intruding the host where many normal programs are running. Therefore, this study proposes a method to detect malware variants in the host through logs rather than the sandbox. The proposed method extracts common behaviors from variants group and finds characteristic behaviors optimized for querying. Through experimentation on 1,584,363 logs, generated by executing 6,430 malware samples, we prove that there exist the common behaviors that variants share and we demonstrate that these behaviors can be used to detect variants.

• 한국컴퓨터정보학회논문지
• /
• 제26권10호
• /
• pp.19-26
• /
• 2021

딥러닝 기반 악성코드 탐지 및 분류모델의 성능은 특성집합을 어떻게 구성하느냐에 따라 크게 좌우된다. 본 논문에서는 CNN 기반의 안드로이드 악성코드 탐지 시 탐지성능을 극대화할 수 있는 최적의 특성집합(feature set)을 선정하는 방법을 제안한다. 특성집합에 포함될 특성은 기계학습 및 딥러닝에서 특성추출을 위해 널리 사용되는 Chi-Square test 알고리즘을 사용하여 선정하였다. CICANDMAL2017 데이터세트를 대상으로 선정된 36개의 특성을 이용하여 CNN 모델을 학습시킨 후 악성코드 탐지성능을 측정한 결과 이진분류에서는 99.99%, 다중분류에서는 98.55%의 Accuracy를 달성하였다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제16권11호
• /
• pp.3723-3737
• /
• 2022

Google Play is one of the largest Android phone app markets and it contains both free and paid apps. It provides a variety of categories for every target user who has different needs and purposes. The customer's rate every product based on their experience of apps and based on the average rating the position of an app in these arch varies. Fraudulent behaviors emerge in those apps which incorporate search rank maltreatment and malware proliferation. To distinguish the fraudulent behavior, a novel framework is structured that finds and uses follows left behind by fraudsters, to identify both malware and applications exposed to the search rank fraud method. This strategy correlates survey exercises and remarkably joins identified review relations with semantic and behavioral signals produced from Google Play application information, to distinguish dubious applications. The proposed model accomplishes 90% precision in grouping gathered informational indexes of malware, fakes, and authentic apps. It finds many fraudulent applications that right now avoid Google Bouncers recognition technology. It also helped the discovery of fake reviews using the reviewer relationship amount of reviews which are forced as positive reviews for each reviewed Google play the android app.