• 인터넷정보학회논문지
• /
• 제21권1호
• /
• pp.45-55
• /
• 2020

정보 통신 기술의 발달로 인해 매년 신종/변종 악성코드가 급격히 증가하고 있으며 최근 사물 인터넷과 클라우드 컴퓨팅 기술의 발전으로 다양한 형태의 악성코드가 확산되고 있는 추세이다. 본 논문에서는 운영체제 환경에 관계없이 활용 가능하며 악성행위와 관련된 라이브러리 호출 정보를 나타내는 문자열 정보를 기반으로 한 악성코드 분석 기법을 제안한다. 공격자는 기존 코드를 활용하거나 자동화된 제작 도구를 사용하여 악성코드를 손쉽게 제작할 수 있으며 생성된 악성코드는 기존 악성코드와 유사한 방식으로 동작하게 된다. 악성 코드에서 추출 할 수 있는 대부분의 문자열은 악성 동작과 밀접한 관련이 있는 정보로 구성되어 있기 때문에 텍스트 마이닝 기반 방식을 활용하여 데이터 특징에 가중치를 부여해 악성코드 분석을 위한 효과적인 Feature로 가공한다. 가공된 데이터를 기반으로 악성여부 탐지와 악성 그룹분류에 대한 실험을 수행하기 위해 다양한 Machine Learning 알고리즘을 이용해 모델을 구축한다. 데이터는 Windows 및 Linux 운영체제에 사용되는 파일 모두에 대해 비교 및 검증하였으며 악성탐지에서는 약93.5%의 정확도와 그룹분류에서는 약 90%의 정확도를 도출하였다. 제안된 기법은 악성 그룹을 분류시 각 그룹에 대한 모델을 구축할 필요가 없기 때문에 단일 모델로서 비교적 간단하고 빠르며 운영체제와 독립적이므로 광범위한 응용 분야를 가진다. 또한 문자열 정보는 정적분석을 통해 추출되므로 코드를 직접 실행하는 분석 방법에 비해 신속하게 처리가능하다.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.93-103
• /
• 2019

최근 드라이브 바이 다운로드 공격 기반의 웹사이트를 통한 랜섬웨어 악성코드 유포로 인해 웹사이트 서비스 마비, 일반 이용자 PC 파일 손상 등의 피해가 발생하고 있다. 따라서 악성코드 경유지 및 유포지 사이트의 현황과 추이 파악을 통해 악성코드 유포의 공격 대상 웹사이트 업종, 유포 시간, 악용되는 어플리케이션 종류, 유포되는 악성 코드 유형에 대한 특성을 분석하는 것은 공격자의 공격활동을 예측하고 대응이 가능하다는 점에서 의미가 크다. 본 논문에서는 국내 343만개의 웹사이트를 대상으로 악성코드 유포여부를 점검하여 탐지된 악성코드 경유지 사이트, 익스플로잇 사이트, 악성코드 유포지 사이트별로 어떠한 특징들이 나타나는지를 도출하고, 이에 대한 대응방안을 고찰하고자 한다.

• International Journal of Internet, Broadcasting and Communication
• /
• 제9권1호
• /
• pp.24-28
• /
• 2017

In the Internet of Things (IoT), resource-limited smart devices communicate with each other while performing sensing and computation tasks. Thus, these devices can be exposed to various attacks being launched and spread through network. For instance, attacker can reuse the codes of IoT devices for malicious activity executions. In the sense that attacker can craft malicious codes by skillfully reusing codes stored in IoT devices, code-reuse attacks are generally considered to be dangerous. Although a variety of schemes have been proposed to defend against code-reuse attacks, code randomization is regarded as a representative defense technique against code-reuse attacks. Indeed, many research have been done on code randomization technique, however, there are little work on analysis of the interactions between code randomization defenses and code-reuse attacks although it is imperative problem to be explored. To provide the better understanding of these interactions in IoT, we analyze how code randomization defends against code-reuse attacks in IoT and perform simulation on it. Both analysis and simulation results show that the more frequently code randomizations occur, the less frequently code-reuse attacks succeed.

• 정보보호학회논문지
• /
• 제28권2호
• /
• pp.397-405
• /
• 2018

악성코드로 의심되는 프로세스를 효과적으로 탐지하기 위해서 블랙리스트 기반으로 제작된 도구들이 가장 보편적으로 사용되고 있다. 블랙리스트 기반의 도구는 기존에 발견된 악성코드의 특징을 추출한 후 이를 이용하여 악성행위를 하는 것으로 추정하는 프로세스와 비교한다. 그러므로 기존에 알려진 악성코드를 탐지하기에는 가장 효과적이지만 악성코드 변종을 탐지하는 것은 한계가 있다. 이런 문제를 해결하기 위해서 블랙리스트와 반대개념인 화이트리스트기반 도구의 필요성이 대두되었다. 화이트리스트기반의 도구는 악성코드 프로세스의 특징을 추출하는 것이 아닌, 신뢰할 수 있는 프로세스를 수집해놓고, 검사하는 프로세스가 신뢰할 수 있는 프로세스인지를 확인한다. 즉, 악성코드가 신규 취약점을 이용해 만들어지거나 변종 악성코드가 등장하더라도 신뢰 프로세스목록에 없기 때문에 효과적으로 악성코드를 탐지해낼 수 있다. 본 논문에서는 macOS 운영체제에서 신뢰할 수 있는 프로세스를 수집하는 연구를 통해 효과적으로 화이트리스트를 구축하는 방법을 제시하고자 한다.

• 한국멀티미디어학회논문지
• /
• 제23권11호
• /
• pp.1396-1405
• /
• 2020

Cyber threats such as forced personal information collection and distribution of malicious codes using malicious URLs continue to occur. In order to cope with such cyber threats, a security technologies that quickly detects malicious URLs and prevents damage are required. In a web environment, malicious URLs have various forms and are created and deleted from time to time, so there is a limit to the response as a method of detecting or filtering by signature matching. Recently, researches on detecting and predicting malicious URLs using machine learning techniques have been actively conducted. Existing studies have proposed various features and machine learning algorithms for predicting malicious URLs, but most of them are only suggesting specialized algorithms by supplementing features and preprocessing, so it is difficult to sufficiently reflect the strengths of various machine learning algorithms. In this paper, a system for predicting malicious URLs using multiple machine learning algorithms was proposed, and an experiment was performed to combine the prediction results of multiple machine learning models to increase the accuracy of predicting malicious URLs. Through experiments, it was proved that the combination of multiple models is useful in improving the prediction performance compared to a single model.

• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.171-179
• /
• 2022

자체 수정 코드(Self-Modifying-Code)란 실행 시간 동안 스스로 실행 코드를 변경하는 코드를 말한다. 이런 기법은 특히 악성코드가 정적 분석을 우회하는 데 악용된다. 따라서 이러한 악성코드를 효과적으로 검출하려면 자체 수정 코드를 파악하는 것이 중요하다. 그동안 동적 분석 방법으로 자체 수정 코드를 분석해왔으나 이는 시간과 비용이 많이 든다. 만약 정적 분석으로 자체 수정 코드를 검출할 수 있다면 악성코드 분석에 큰 도움이 될 것이다. 본 논문에서는 LLVM IR로 변환한 바이너리 실행 프로그램을 대상으로 자체 수정 코드를 탐지하는 정적 분석 방법을 제안하고, 자체 수정 코드 벤치마크를 만들어 이 방법을 적용했다. 본 논문의 실험 결과 벤치마크 프로그램을 컴파일로 변환한 최적화된 형태의 LLVM IR 프로그램에 대해서는 설계한 정적 분석 방법이 효과적이었다. 하지만 바이너리를 리프팅 변환한 비정형화된 LLVM IR 프로그램에 대해서는 자체 수정 코드를 검출하기 어려운 한계가 있었다. 이를 극복하기 위해 바이너리를 리프팅 하는 효과적인 방법이 필요하다.

• 정보보호학회논문지
• /
• 제33권3호
• /
• pp.459-469
• /
• 2023

IoT 기기는 임베디드 장비와 컴퓨터 네트워크의 발전으로 그 수가 폭발적으로 늘어나고 있다. 이에 따라 IoT에 대한 사이버 위협이 증가하고 있으며, 현재 IoT 기기를 대상으로 악성코드를 유포하여 감염시키고 DDoS 공격에 악용하고 있다. 현재 이와 같은 공격의 대상이 되고 있는 IoT 기기는 설치 환경이 다양하며 기기의 자원이 제한적이다. 또한 IoT 기기는 한번 설정하면 소유자가 관리에 신경을 쓰지 않는 특성이 있다. 이 때문에 IoT 기기는 악성코드가 감염되기 쉬운 관리의 사각지대가 되어가고 있다. 이러한 어려움 때문에 IoT 기기는 악성코드의 위협이 항상 존재하며, 감염되면 대응이 제대로 이루어지고 있지 않다. 본 논문에서는 IoT 환경 특성을 고려하여 IoT 전용 악성코드 탐지 시스템을 설계하고 해당 시스템에서 사용하기 적합한 탐지 규칙을 제시할 것이다. 해당 시스템을 활용하면 이미 설치되어 사이버 위협에 노출되어 있는 IoT 기기의 구조를 변경하지 않고 저렴하고 효율적으로 IoT 악성코드 탐지 시스템을 구성할 수 있을 것이다.

• 정보보호학회논문지
• /
• 제23권3호
• /
• pp.501-514
• /
• 2013

악성코드를 효과적으로 분류 및 대응하기 위해서 유사도 비교를 통한 그룹화 과정이 요구된다. 기존 유사도 비교 방법에서 사용되는 기준 또는 속성만을 이용했을 경우, 미탐 및 오탐이 증가하는 문제점이 발생한다. 그러므로, 본 논문에서는 악성코드 자동분석시스템의 2차적인 휴리스틱 기반 행위분석의 문제점을 보완하기 위해 다양한 속성을 선택하여 사용하고, 속성별 가중치 적용을 위해 AHP(Analytic Hierarchy Process) 의사결정기법을 반영한 유사도 비교 방법을 제안한다. 악성코드의 유사도 비교를 통하여 탐지율과 오탐율의 최적 임계치를 설정하고, 새로운 악성코드에 대한 분류 실험으로 악성코드생성기로 생성된 그룹을 결정함을 보이므로 향후 해킹 유형 및 악성코드 근원지를 추적 할 수 있는 악성코드 그룹 정보로서 활용할 수 있기를 기대한다.

• 정보보호학회논문지
• /
• 제30권3호
• /
• pp.481-491
• /
• 2020

악성 URL의 전송을 통한 악성코드 전파 및 불법적 정보 수집은 정보보안 분야의 가장 큰 위협 중의 하나이다. 특히, 최근 스마트폰의 보급으로 인하여 사용자들이 악성 URL에 노출될 확률이 더욱 높아지고 있다. 또한, 악성 URL을 노출 시키는 방법 역시 다양해 지고 있어서 이를 탐지하는 것이 점점 어려워지고 있다. 본 논문은 악성 URL에 대한 사용자의 경험에 대한 설문을 진행한 후, 이를 고려하여 악성 URL을 규칙기반으로 탐지하기 위한 라이브러리 개발 연구를 다루고 있다. 특히, 본 연구에서는 독자적인 규칙을 기반으로 악성 URL을 탐지 하기 위해 Rule-set을 정의하고, Rule-chain을 생성하여 악성 URL 탐지의 확장성을 제시하고 있다. 또한 어떤 애플리케이션에서도 활용이 가능한 라이브러리 형태로의 개발을 통해 다양한 응용프로그램에서 활용할 수 있도록 하였다.

• 한국산학기술학회논문지
• /
• 제20권7호
• /
• pp.613-621
• /
• 2019

최근 IoT, 클라우드 컴퓨팅 기술이 발전하면서 IoT 디바이스를 감염시키는 악성코드와 클라우드 서버에 랜섬웨어를 유포하는 신종 악성코드가 등장하여 보안 위협이 증가하고 있다. 본 연구에서는 기존의 시그니처 기반의 탐지 방식과 행위기반의 탐지 방식의 단점을 보완할 수 있도록 난독화된 스크립트 패턴을 분석하여 점검하는 탐지 기법을 제안한다. 제안하는 탐지 기법은 웹사이트 통해 유포되는 악성 스크립트 유형을 분석하여 유포패턴을 도출한 후, 도출된 유포패턴을 등록하여 점검함으로써 기존의 탐지룰 기반의 탐지속도를 유지하면서도 제로데이 공격에 대한 탐지가 가능한 악성 스크립트 패턴분석 기반의 악성코드 탐지 기법이다. 제안한 기법의 성능을 검증하기 위해 프로토타입 시스템을 개발하였으며, 이를 통해 총 390개의 악성 웹사이트를 수집, 분석에 의해 도출된 10개의 주요 악성 스크립트 유포패턴을 실험한 결과, 전체 항목 평균 약 86%의 높은 탐지율을 보였으며, 기존의 탐지룰 기반의 점검속도를 유지하면서도 제로데이 공격까지도 탐지가 가능한 것을 실험으로 입증하였다.