• 정보보호학회논문지
• /
• 제24권5호
• /
• pp.861-870
• /
• 2014

악성코드의 지능화에 따라 물리 메모리에서 실행 파일을 추출하는 것이 중요한 연구 이슈로 부각되고 있다. 물리 메모리에서 파일 데이터를 추출하는 경우 일반적으로 프로그램 실행과정에서 사용 중인 파일 데이터를 추출하기 때문에 원본 파일 데이터가 추출되지 않는 문제점이 있다. 따라서 물리 메모리에 저장되는 파일 정보를 분석하고 이를 기반으로 디스크에 저장된 파일과 동일하게 추출하는 방법이 요구된다. 본 논문에서는 윈도우 파일 오브젝트 커널 정보 분석을 통한 실행 파일 데이터 추출 방법을 제시한다. 실험을 통해 물리 메모리에 저장되어있는 실행 파일 데이터 특징을 분석하고, 기존 방법과 비교하여 원본 파일 데이터를 효과적으로 추출함으로써 제안 방법의 우수함을 증명한다.

• 융합보안논문지
• /
• 제18권5_1호
• /
• pp.67-73
• /
• 2018

소프트웨어 공학 관점에서 트레이싱은 프로그램의 실행 정보를 기록하는 로깅의 특수한 형태이다. 엄청난 데이터를 실시간으로 생성하고 디코딩해야 하는 트레이서의 특징상 전용 하드웨어를 사용하는 트레이서가 많이 사용되고 있다. Intel(R) PT는 전용 하드웨어를 사용하여 각 하드웨어 쓰레드에서 소프트웨어 실행에 대한 모든 정보를 기록한다. 소프트웨어 실행이 완료되면 PT는 해당 소프트웨어의 트레이스 데이터를 처리하여 정확한 프로그램 흐름을 재구성할 수 있다. 하드웨어 트레이스 프로그램은 운영체제에 통합되어 사용할 수 있으나 윈도우 시스템의 경우에는 커널 개방과 같은 문제로 인하여 긴밀한 통합은 이루어지지 않고 있다. 또한, 단일 프로세스만 트레이스 할 수 있고 다중 프로세스 스트림을 트레이스 하는 방법은 제공하고 있지 않다. 본 논문에서는 이러한 단점을 극복하고자 윈도우 환경에서 다중 프로세스 스트림을 트레이스 지원이 가능하도록 기존의 PT 트레이스 프로그램을 확장하는 방안을 제안하였다.

• 정보보호학회논문지
• /
• 제17권6호
• /
• pp.89-98
• /
• 2007

최근 인터넷 기술의 급격한 발전으로 정보화 저변 확대라는 긍정적 측면과 함께, 이를 이용한 악의적인 행위들이 지속적으로 일어나고 있어 사회 전 영역에 걸쳐 피해가 속출하고 있다. 특히 악의적인 용도를 위해 제작되는 악성코드의 폐해가 날이 갈수록 급증하고 있고, 또한 개인정보 유출, 해킹, 피싱 등의 응용범죄의 기본수단이 되어가고 있다. 본 논문에서는 이러한 악성코드들을 효과적이고 단계적으로 분석, 탐지할 수 있는 기술에 관하여 기술한다. 본 연구는 악성코드의 은닉도와 악의적 기능 시그너처를 추출함으로서 기존의 악성코드들 뿐 아니라 새로운 악성코드와 변종들에 대해서도 능동적으로 대처할 수 있다.

• 정보보호학회논문지
• /
• 제22권4호
• /
• pp.785-796
• /
• 2012

본 논문에서는 악성코드의 시스템 콜 빈도수를 특징값으로 행위 기반 탐지(behavior-based detection)를 할 때, 시스템 콜의 속성 개수보다 학습데이터 개수가 적더라도 효과적으로 악성 코드를 탐지하는 기법을 제안한다. 이 연구에서는, 프로그램 코드가 동작할 때, 발생시키는 윈도우 커널 데이터인 Native API를 수집하여 빈도수로 정규화한 것을 기본적인 속성 값으로 사용하였다. 또한 악성코드와 정상 코드를 효과적으로 분류할 수 있으면서, 악성코드를 분류하기 위한 기본적인 속성의 개수보다 학습데이터 개수가 적어도 적용 가능한 GLDA(Generalized Linear Discriminant Analysis)를 사용하여, 새로운 속성 값들로 전환하였다. 분류 기법으로는 베이지언 분류법의 일종인 kNN(k-Nearest Neighbor) 분류법을 이용하여 악성 코드를 탐지하였다. 제안된 탐지 기법의 성능을 검증하기 위하여 수집된 Native API 로 기존의 연구 방법과 비교 검증하였다. 본 논문에 제안된 기법이 탐지율(detection rate) 100%인 Threshold 값에서, 다른 탐지 기법보다 낮은 오탐율(false positive rate)을 나타내었다.

• 경영정보학연구
• /
• 제16권3호
• /
• pp.161-177
• /
• 2014

기업신용등급은 금융시장의 신뢰를 구축하고 거래를 활성화하는데 있어 매우 중요한 요소로서, 오래 전부터 학계에서는 보다 정확한 기업신용등급 예측을 가능케 하는 다양한 모형들을 연구해 왔다. 구체적으로 다중판별분석(Multiple Discriminant Analysis, MDA)이나 다항 로지스틱 회귀분석(multinomial logistic regression analysis, MLOGIT)과 같은 통계기법을 비롯해, 인공신경망(Artificial Neural Networks, ANN), 사례기반추론(Case-based Reasoning, CBR), 그리고 다분류 문제해결을 위해 확장된 다분류 Support Vector Machines(Multiclass SVM)에 이르기까지 다양한 기법들이 학자들에 의해 적용되었는데, 최근의 연구결과들에 따르면 이 중에서도 다분류 SVM이 가장 우수한 예측성과를 보이고 있는 것으로 보고되고 있다. 본 연구에서는 이러한 다분류 SVM의 성능을 한 단계 더 개선하기 위한 대안으로 유전자 알고리즘(GA, Genetic Algorithm)을 활용한 최적화 모형을 제안한다. 구체적으로 본 연구의 제안모형은 유전자 알고리즘을 활용해 다분류 SVM에 적용되어야 할 최적의 커널 함수 파라미터값들과 최적의 입력변수 집합(feature subset)을 탐색하도록 설계되었다. 실제 데이터셋을 활용해 제안모형을 적용해 본 결과, MDA나 MLOGIT, CBR, ANN과 같은 기존 인공지능/데이터마이닝 기법들은 물론 지금까지 가장 우수한 예측성과를 보이는 것으로 알려져 있던 전통적인 다분류 SVM 보다도 제안모형이 더 우수한 예측성과를 보임을 확인할 수 있었다.

• 정보처리학회논문지A
• /
• 제11A권7호
• /
• pp.483-488
• /
• 2004

실시간 응용 제품을 개발하기 위해 운영체제는 실시간 태스크의 시간 보장성(timeliness guarantee)이 지원되어야한다. 그러나 현재 대부분의 운영체제는 실시간 태스크의 시간적 제약조건(timing constraints)을 효율적으로 지원할 수 있는 방법을 제공해 주지 못하고 있다. 실시간 응용의 시간적 제약조건을 지원하기 위해서는 운영체제 커널 변경 방법과 미들웨어 방법이 있다. 본 논문에서는 운영체제 변경없이 잘 알려진 Real-time Object Model인 TMO에 근거한 미들웨어 접근 방식을 적용한다. 현재 TMO(Time-triggered Message-triggered Object) 모델을 기반으로 한 미들웨어로 다양한 운영체제 시스템 상에서 개발되어온 TMOSM(TMO Support Middleware)이 있다. 리눅스 기반의 TMOSM의 스케줄링 알고리즘은 효율적으로 실시간 스케줄링을 지원하지만 주기적인 실시간 태스크를 위해 몇 가지 고려해야할 사항들이 있다. 본 논문에서 는 주기적인 실시간 태스크를 효율적으로 처리할 수 있는 개선된 실시간 미들웨어 스케줄링 알고리즘을 제안하고 성능을 비교한다. 제안한 알고리즘은 실시간 미들웨어의 구조를 간단하게 함으로써 시스템 성능 향상과 주기적인 실시간 태스크의 적시성을 더욱더 보장함을 확인하였다.