• 융합정보논문지
• /
• 제11권4호
• /
• pp.55-63
• /
• 2021

최근 악성코드 발생률은 약 수만 건이 넘는 추세로, 전부 탐지/대응하는 것은 불가능에 가깝다고 알려졌다. 본 연구는 새로운 악성코드 대응방법으로 그래프 데이터베이스 기반 다중행위 패턴 탐지 기법을 제안한다. 기존 동적 분석기법과는 다른 새로운 그래프 모델을 설계하고, 대표적인 악성코드 패턴(프로세스, PE, 레지스트리 등)의 그래프 연관관계를 분석하는 방법을 적용했다. 패턴 검증 결과 기본 악성 패턴에 대한 행위 탐지와 기존 분석이 어려웠던 변종 공격행위(5단계 이상)의 탐지를 확인했다. 또한, 성능 분석결과 5단계 이상의 복잡한 패턴에 대하여 관계형 데이터베이스 대비 약 9.84배 이상 성능이 향상되었음을 확인하였다.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제12권6호
• /
• pp.339-348
• /
• 2006

최근 자동화된 공격기법에 의한 인프라 피해 사례가 급증하면서 효율적 대응 기법에 대한 연구가 활발히 진행되고 있다. 특히, 패킷을 통한 네트워크 서비스의 취약성을 공격하는 웜의 전파 메커니즘은 빠른 전파 속도로 인해 네트워크 대역폭 및 노드 가용성에 심각한 피해를 일으키고 있다. 이전 웜 탐지 기법들은 주로 시그너처 기반의 미시적 접근방식이 주를 이루었으나 높은 오탐지율과 조기탐지의 한계로 인해 최근에는 웜 전파의 특징에 기인한 거시적 접근 방식이 각광을 받고 있다. 본 논문에서는 패킷 마킹을 통해 웜 행동 사이클과 감염 체인으로 대표되는 웜의 행위적 특성을 탐지하고 대응할 수 있는 분산 웜 탐지 모델을 제안한다. 제안하는 웜 탐지 모델은 기존 모델들이 지닌 확장성의 한계를 분산된 호스트들의 협업적 대응으로 해결할 수 있을 뿐만 아니라, 웜 탐지에 필수적인 감염 정보만을 처리함으로써 개별 호스트의 프로세싱 오버헤드를 감소시킬 수 있다. 그리고 본 논문에서 제안하는 탐지 모델 적용 시 조기 탐지 결과로 인해 웜의 감염 속도가 시간의 경과에 따라 감소되는 현상과 호스트 간의 협업적 대응에 의해 전체 호스트의 면역성이 증가되는 현상을 시뮬레이션을 통해 증명하였다.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제16권4호
• /
• pp.405-414
• /
• 2010

2008년도 SecruityFocus 자료에 따르면 마이크로소프트사의 인터넷 익스플로러를 통한 클라이언트 측 공격(client-side attack)이 50%이상 증가하였다. 본 논문에서는 가상머신 환경에서 능동적으로 웹 페이지를 방문하여 행위 기반(즉, 상태변경 기반)으로 악성 URL을 분석하여 탐지하고, 블랙리스트 기반으로 악성 URL을 필터링하는 시스템을 구현하였다. 이를 위해, 우선 크롤링 시스템을 구축하여 대상 URL을 효율적으로 수집하였다. 특정 서버에서 구동되는 악성 URL 탐지 시스템은, 수집한 웹페이지를 직접 방문하여 머신의 상태 변경을 관찰 분석하고 악성 여부를 판단한 후, 악성 URL에 대한 블랙리스트를 생성 관리한다. 웹 클라이언트 머신에서 구동되는 악성 URL 필터링 시스템은 블랙리스트 기반으로 악성 URL을 필터링한다. 또한, URL의 분석 시에 메시지 박스를 자동으로 처리함으로써, 성능을 향상시켰다. 실험 결과, 게임 사이트가 다른 사이트에 비해 악성비율이 약 3배 많았으며, 파일생성 및 레지스트리 키 변경 공격이 많음을 확인할 수 있었다.

• 한국컴퓨터정보학회논문지
• /
• 제18권3호
• /
• pp.35-45
• /
• 2013

MANET에서는 합법적인 노드와 비합법적인 노드 모두 네트워크에 접근이 가능함에 따라 보안 취약점을 안고 있다. MANET에 관한 대부분의 연구들은 라우팅 경로 또는 패킷 전달에 대한 공격 측면에만 중점을 두고 있으며, 특히 악의적인 노드의 다양한 공격에 효과적으로 대응하는데 한계가 있다. 이 논문에서는 MANET에서 다양한 악의적인 노드를 효율적으로 탐지하기 위한 DTecBC (detection technique of malicious node behaviors based on collaboration) 기법을 제안하였다. 제안 기법은 이웃 노드들 간의 협업관계를 기반으로 상호 메시지 교환을 통하여 악의적인 노드를 관리할 수 있도록 설계하였다.. 제안기법의 효율성 검증을 위해 OPNET 시뮬레이션 툴을 사용하여 기존의 대표적 탐지기법인 Watchdog, CONFIDANT, SRRPPnT와 비교하였다. 평가 결과, 제안 기법은 기존 기법들에 비해 다양한 유형의 악의적인 노드 행위를 종합적으로 탐지 가능함이 확인 되었다.

• 한국융합학회논문지
• /
• 제10권5호
• /
• pp.35-42
• /
• 2019

최근 사물인터넷과 다양한 웨어러블 기기들이 등장하면서 인터넷 기술은 보다 편리하게 정보를 얻고 업무를 수행하는데 기여하고 있으나 인터넷이 다양한 부분에 이용되면서 공격에 노출되는 Attack Surface 지점이 증가하고 있으며 개인정보 획득, 위조, 사이버 테러 등 부당한 이익을 취하기 위한 목적의 네트워크 침입 시도 또한 증가하고 있다. 본 논문에서는 네트워크에서 발생하는 트래픽에서 비정상적인 행동을 분류하기 위한 희소클래스의 분류 성능을 개선하는 특징선택을 제안한다. UNSW-NB15 데이터셋은 다른 클래스에 비해 상대적으로 적은 인스턴스를 가지는 희소클래스 불균형 문제가 발생하며 이를 제거하기 위해 언더샘플링 방법을 사용한다. 학습 알고리즘으로 SVM, k-NN 및 decision tree를 사용하고 훈련과 검증을 통하여 탐지 정확도와 RMSE가 우수한 조합의 서브셋들을 추출한다. 서브셋들은 래퍼 기반의 실험을 통해 재현률 98%이상의 유효성을 입증하였으며 DT_PSO 방법이 가장 우수한 성능을 보였다.

• 한국항행학회논문지
• /
• 제13권6호
• /
• pp.884-893
• /
• 2009

최근 윈도우 운영체제를 대상으로 하는 악의적인 공격은 윈도우 커널 단에서 동작하는 API를 후킹하여 이루어지고 있다. 본 논문에서는 윈도우 커널 단에서 동작하는 API 후킹 탐지를 위해 여러 후킹 기술과 방어 기술에 대해 연구, 분석한다. 이를 통해 커널 단에서 동작하는 dll파일들을 대상으로 현 시스템에서 동작하고 있는 API들을 탐지하는 윈도우 API 후킹 탐지 도구를 설계 및 개발한다. 제안하는 탐지 도구는 kernel32.dll, snmpai.dll, ntdll.dll 그리고 advapi.dll 등을 대상으로 import와 export 하는 동작을 탐지한다. 해당 도구를 이용한 탐지 결과 현 시스템의 커널 단에서 동작하고 API의 메모리상의 위치와 행위 등을 탐지 할 수 있다.

• 컴퓨터교육학회논문지
• /
• 제13권6호
• /
• pp.91-98
• /
• 2010

NAC(Network Access Control)는 운영체제 보안 패치 미 적용 혹은 AV(Anti-Virus)미설치 컴퓨터 등 웜의 공격대상이 되어 내부망에 바이러스를 유포하는 엔드 포인트 사용자 보안에 대한 솔루션으로 개발되었다. 현재 시장에 상용화된 NAC 제품들이 경우 연결 전 보안기능(pre-connect)기술들은 많이 발전되어 있으나, 정상적인 인증을 통해 연결된 이후에 발생하는 위협을 탐지하는 위협 관리 기능(post-connect)이 대체적으로 부족한 상태이며, 이에 따라 Zero-day 공격, 악성코드 감염 등으로 NAC 사용자들이 지속적으로 피해를 입고 있는 상황이다. 본 논문에서는 이러한 post-connect단계에서의 문제점을 해결하고자 기존에 사용되던 단말에 대한 인증과 정책 위반 여부 검사 외에 각 단말이 발생시키는 트래픽 정보와 Agent를 통해 획득한 각 단말의 정보, 그리고 Network Scanner에서 획득한 Open Port와 네트워크 구성 변경 정보를 활용하여 정상 Behavior profile을 생성하고 이를 기반으로 악성코드 감염 시스템을 탐지하는 시스템을 제안한다.

• 한국컴퓨터정보학회논문지
• /
• 제25권11호
• /
• pp.131-138
• /
• 2020

멀웨어는 일반적으로 다른 사용자의 컴퓨터시스템에 침입하여 개발자가 의도하는 악의적인 행위를 일으키는 컴퓨터프로그램으로 인식되지만 사이버 공간에서는 적대국을 공격하기 위한 사이버 무기로써 사용되기도 한다. 사이버 무기로서 멀웨어가 갖춰야 할 가장 중요한 요소는 상대방의 탐지시스템에 의해 탐지되기 이전에 의도한 목적을 달성하여야 한다는 것인데, 하나의 멀웨어를 상대방의 탐지 시스템을 피하도록 제작하는 데에는 많은 시간과 전문성이 요구된다. 우리는 DCM 기법을 사용하여, 바이너리코드 형태의 멀웨어를 입력하면 변종 멀웨어를 자동으로 생성해 주는 프레임워크를 제안한다. 이 프레임워크 안에서 샘플 멀웨어가 자동으로 변종 멀웨어로 변환되도록 구현하였고, 시그니쳐 기반의 멀웨어 탐지시스템에서는 이 변종 멀웨어가 탐지되지 않는 것을 확인하였다.

• 정보보호학회논문지
• /
• 제27권1호
• /
• pp.25-38
• /
• 2017

국가 주요 기반 시설을 포함하여 보안사고 발생 시 심각한 피해를 발생시킬 수 있는 산업 제어시스템의 특성에 의해 세계적으로 많은 보안 침해 사고가 발생하고 있다. 따라서 산업 제어시스템 네트워크에 오가는 트래픽은 감시되고, 분석되어 공격을 사전에 파악하거나 사고 이후 재빠른 대응을 수행할 수 있어야 한다. 본 논문에서는 제어시스템 프로토콜인 DNP3를 대상으로 모든 공격의 가능성을 갖는 트래픽들을 대상으로 합리적인 의심이 가능하도록 네트워크 포렌식 관점에서 시각화를 연구를 수행해 정상행위기반 룰을 정의하고 시각화 요구사항을 도출했다. 이를 기반으로 제어시스템 네트워크상에 캡처된 패킷 파일을 대상으로 DDoS와 같은 급작스런 네트워크 트래픽의 변화를 일으키는 경우 혹은 정상행위를 위반한 공격이 탐지 가능한 시각화 도구를 개발했고, 디지털본드 패킷과 같이 치명적인 공격이 포함된 네트워크상에서 성공적으로 비정상행위 탐지를 수행하였다.

• 한국빅데이터학회지
• /
• 제6권2호
• /
• pp.99-108
• /
• 2021

최근, 예상치 못하고 지능적인 보다 고도화된 사이버 의료 위협 공격이 증가하고 있는 추세이다. 하지만 다양한 패턴의 사이버 의료 위협 공격 대응에 있어, 물리적인 차단과 의료기기 교체와 같은 규칙 기반 보안방법론은 인력 부족, 고가의 비용 부담 등의 한계를 지닌다. 이를 해결하기 위한 방안으로 최근 의료계에서도 인공지능 기술에 주목하고 있다. 인공지능 기술은 기존의 규칙 기반의 보안 프로그램과는 달리 과거의 이상행태를 스스로 학습하여 보안 위협 감지 및 예측을 가능케 하는 기술이다. 본 연구에서는 의료기관 통합의료정보시스템 내 의료정보 데이터를 수집 및 학습하여 AI 기반 네트워킹 행동 적응형 정보 플랫폼 개발 연구 방법론에 대한 소개를 포함한다. 이를 통해 규칙 기반의 보안 프로그램의 기술적 제반사항 소개와 제약 사항 대비 의료정보분야에서의 인공지능 기술을 활성화하기 위한 전략에 대해 논의한다.