• 융합보안논문지
• /
• 제8권2호
• /
• pp.63-70
• /
• 2008

최근 발생하는 다양한 악성 프로그램을 분석해 보면, 해당 악성 프로그램을 쉽게 분석할 수 없도록 하기 위해 다양한 분석 방해 기법들이 적용되고 있다. 그러나, 분석 방해 기법들이 적용될수록, 악성프로그램의 PE파일 헤더에는 정상적인 일반 PE파일의 헤더와는 다른 특징이 더 많이 나타난다. 본 논문에서는 이를 이용하여 악성 프로그램을 탐지할 수 있는 방법을 제안하고자 한다. 이를 위해, PE파일 헤더의 특징을 표현할 수 있는 특징 벡터(Characteristic Vector, CV)를 정의하고, 정상 실행 파일의 특징 벡터의 평균(ACVN)과 악성 실행 파일의 특징 벡터의 평균(ACVM)을 사전 학습을 통해 추출한다. 이후, 임의 파일의 특징 벡터와 ACVN, ACVM간의 Weighted Euclidean Distance(WED)를 계산하고, 이를 기반으로 해당 파일이 정상파일인지 혹은 악성 실행 파일인지를 판단하는 기술을 제안한다.

• 정보보호학회논문지
• /
• 제26권4호
• /
• pp.895-902
• /
• 2016

스마트폰 보급률이 증가하여 이용자 수가 증가함에 따라 이를 노린 보안 위협도 증가하고 있다. 특히, 안드로이드 스마트폰의 경우 국내에서 약 85%에 달하는 점유율을 보이고 있으며 안드로이드 플랫폼 특성상 리패키징이 용이하여 이를 노린 리패키징 악성코드가 꾸준히 증가하고 있다. 안드로이드 플랫폼에서는 이러한 악성코드를 방지하기 위해 다양한 탐지 기법을 제안하였지만, 정적 분석의 경우 리패키징 악성코드 탐지가 쉽지 않으며 동적 분석의 경우 안드로이드 스마트폰 자체에서 동작하기 어려운 측면이 있다. 본 논문에서는 리패키징 악성코드의 코드 재사용 특징을 이용하여 안드로이드 애플리케이션에서 DEX 파일을 추출해 역공학 과정을 거치지 않고 DEX 파일에 기록된 클래스 이름과 메소드 이름 같은 특징으로 악성코드를 정적 분석하는 방법과 이를 이용하여 리패키징 악성코드를 보다 효율적으로 탐지하는 방법을 제안한다.

• 인터넷정보학회논문지
• /
• 제19권5호
• /
• pp.67-75
• /
• 2018

Symantec의 인터넷 보안위협 보고서(2018)에 따르면 크립토재킹, 랜섬웨어, 모바일 등 인터넷 보안위협이 급증하고 있으며 다각화되고 있다고 한다. 이는 멀웨어(Malware) 탐지기술이 암호화, 난독화 등의 문제에 따른 질적 성능향상 뿐만 아니라 다양한 멀웨어의 탐지 등 범용성을 요구함을 의미한다. 멀웨어 탐지에 있어 범용성을 달성하기 위해서는 탐지알고리즘에 소모되는 컴퓨팅 파워, 탐지 알고리즘의 성능 등의 측면에서의 개선 및 최적화가 이루어져야 한다. 본고에서는 최근 지능화, 다각화 되는 멀웨어를 효과적으로 탐지하기 위하여 CNN(Convolutional Neural Network)을 활용한 멀웨어 탐지 기법인, stream order(SO)-CNN과 incremental coordinate(IC)-CNN을 제안한다. 제안기법은 멀웨어 바이너리 파일들을 이미지화 한다. 이미지화 된 멀웨어 바이너리는 GoogLeNet을 통해 학습되어 딥러닝 모델을 형성하고 악성코드를 탐지 및 분류한다. 제안기법은 기존 방법에 비해 우수한 성능을 보인다.

• Journal of Information Processing Systems
• /
• 제17권4호
• /
• pp.851-865
• /
• 2021

Enterprise networks in the PyeongChang Winter Olympics were hacked in February 2018. According to a domestic security company's analysis report, attackers destroyed approximately 300 hosts with the aim of interfering with the Olympics. Enterprise have no choice but to rely on digital vaccines since it is overwhelming to analyze all programs executed in the host used by ordinary users. However, traditional vaccines cannot protect the host against variant or new malware because they cannot detect intrusions without signatures for malwares. To overcome this limitation of signature-based detection, there has been much research conducted on the behavior analysis of malwares. However, since most of them rely on a sandbox where only analysis target program is running, we cannot detect malwares intruding the host where many normal programs are running. Therefore, this study proposes a method to detect malware variants in the host through logs rather than the sandbox. The proposed method extracts common behaviors from variants group and finds characteristic behaviors optimized for querying. Through experimentation on 1,584,363 logs, generated by executing 6,430 malware samples, we prove that there exist the common behaviors that variants share and we demonstrate that these behaviors can be used to detect variants.

• 정보처리학회논문지C
• /
• 제19C권3호
• /
• pp.185-190
• /
• 2012

최근 웹페이지를 통해 악성코드를 유포하는 공격 방법이 이용되면서, 인터넷을 이용하는 사용자들이 웹페이지에 접속하는 것만으로 악성코드에 감염되는 위험에 노출되어 있다. 특히 웹페이지를 통한 악성코드 유포 방법은 사용자가 인지하지 못하는 사이 악성코드를 다운로드하고 실행하게 된다. 본 논문에서는 기존의 분석서버를 이용한 탐지 방법의 한계점을 보완하기 위해, 사용자 영역에서의 실시간 행위 분석을 방법을 사용하여 정상적인 실행 흐름을 벗어난 비정상 다운로드 파일의 실행을 탐지하고 차단하는 시스템을 제안한다.

• 정보보호학회논문지
• /
• 제21권2호
• /
• pp.37-47
• /
• 2011

네트워크 및 컴퓨터의 발전에 따라 악성코드 역시 폭발적인 증가 추이를 보이고 있으며, 새로운 악성코드의 출현과 더불어 기존의 악성코드를 이용한 변종 역시 큰 몫을 차지하고 있다. 특히 실행압축 기술과 코드 난독화를 이용한 변종들은 제작이 쉬울 뿐만 아니라, 자신의 시그너쳐 혹은 구문적 특징을 변조할 수 있어, 악성코드 제작자들이 널리 사용하는 기술이다. 이러한 변종 및 신종 악성코드를 빠르게 탐지하기 위해, 본 연구에서는 행위 그래프 분석을 통한 악성코드 모듈별 유사도 분석 기법을 제안한다. 우리는 우선 악성코드들에서 일반적으로 사용하는 2,400개 이상의 API 들을 분석하여 총 128개의 행위로 추상화 하였다. 또한 동적 분석을 통해 악성코드들의 API 호출 순서를 추상화된 그래프로 변환하고 부분 그래프들을 추출하여, 악성코드가 가진 모든 행위 부분 집합을 정리하였다. 마지막으로, 이렇게 추출된 부분 집합들 간의 비교 분석을 통하여 해당 악성코드들이 얼마나 유사한지를 분석하였다. 실험에서는 변종 을 포함한 실제 악성코드 273개를 이용하였으며, 총 10,100개의 분석결과를 추출하였다. 실험결과로부터 행위 그래프를 이용하여 변종 악성코드가 모두 탐지 가능함을 보였으며, 서로 다른 악성코드들 간에 공유되는 행위 모델 역시 분석할 수 있었다.

• 융합보안논문지
• /
• 제10권1호
• /
• pp.19-27
• /
• 2010

오늘날 네트워크의 속도와 인터넷 기술의 발전과 동시에 윈도우 취약점을 통한 악성코드가 많이 발생하고 있다. 악성코드는 여러 감염 형태 벚 특성이 있어 바이러스 백선을 이용하여 탐지하기도 어려울 뿐만 아니라 제거하는 것도 쉽지 않다. 본 논문은 윈도우 악성코드의 분류와 특정을 분석하여 프로그램을 이용한 악성코드의 위치를 파악하고 신종 악성코드에 대한 신속한 대응을 위해 스크립트 기술을 제안한다.

• 한국멀티미디어학회논문지
• /
• 제22권2호
• /
• pp.203-209
• /
• 2019

The performance of an intelligent classifier for detecting malwares added to multimedia contents based on machine learning is highly dependent on the properties of feature set. Especially, in order to determine the malicious code in real time the size of feature set should be as short as possible without reducing the accuracy. In this paper, we introduce an optimal feature selection method to satisfy both high detection rate and the minimum length of feature set against the feature set provided by PEFeatureExtractor well known as a feature extraction tool. For the evaluation of the proposed method, we perform the experiments using Windows Portable Executables 32bits.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제14권6호
• /
• pp.589-593
• /
• 2008

오늘날 모바일 기기들의 발전과 통신망의 고속화, 광역화와 함께 사용자의 중요한 정보를 유출하거나 특정 기기의 사용을 방해하는 보안 위협도 점점 증가하고 있다. 모바일 기기에서 널리 사용될 것이라 예상되는 임베디드 리눅스 또한 이러한 보안 위협으로부터 안전하지 못하다. 본 논문에서는 임베디드 리눅스를 위협하는 악성 프로그램의 특징에 대해 알아보고 그에 대한 대응책으로 임베디드 시스템의 특성을 고려한 서명 검증 방식을 이용한 악성 프로그램 차단 시스템을 제안한다. 제안하는 시스템은 악성 프로그램 검사 엔진 서버와 LSM 기반의 커널 모듈로 구현된 시스템으로 구성되며, 메모리에 상주하여 악성 프로그램을 감시하는 일반적인 실시간 감시 프로그램과는 달리, 커널 레벨에서 프로그램이 실행되는 순간 파일의 변조 여부를 검사하여 악성 프로그램의 실행을 사전 차단한다. 실험을 통해 제안한 시스템이 적은 오버헤드로 악성 프로그램의 실행을 효과적으로 사전 차단하는 것을 확인하였다.

• 정보보호학회논문지
• /
• 제28권5호
• /
• pp.1197-1207
• /
• 2018

파워셸은 닷넷 프레임워크를 기반에 둔, 커맨드 라인 셸이자 스크립트 언어로, 그 자체가 가진 다양한 기능 외에도 윈도우 운영체제 기본 탑재, 코드 은닉 및 지속의 수월함, 다양한 모의 침투 프레임워크 등 공격 도구로서 여러 이점을 가지고 있다. 이에 따라 파워셸을 이용하는 악성코드가 급증하고 있으나 기존의 악성코드 탐지 기법으로 대응하기에는 한계가 존재한다. 이에 본 논문에서는 파워셸에서 실행되는 명령들을 관찰할 수 있는 개선된 모니터링 기법과, Convolutional Neural Network(CNN)을 이용해 명령에서 특징을 추출하고 실행 순서에 따라 Recurrent Neural Network(RNN)에 전달하여 악성 여부를 판단하는 딥 러닝 기반의 분류 모델을 제안한다. 악성코드 공유 사이트에서 수집한 파워셸 기반 악성코드 1,916개와 난독화 탐지 연구에서 공개한 정상 스크립트 38,148개를 이용하여 제안한 모델을 5-fold 교차 검증으로 테스트한 결과, 약 97%의 True Positive Rate(TPR)와 1%의 False Positive Rate(FPR)로 모델이 악성코드를 효과적으로 탐지함을 보인다.