• 제목/요약/키워드: malicious codes

검색결과 164건 처리시간 0.021초

공격그룹 분류 및 예측을 위한 네트워크 행위기반 악성코드 분류에 관한 연구 (Research on Malware Classification with Network Activity for Classification and Attack Prediction of Attack Groups)

  • 임효영;김완주;노홍준;임재성
    • 한국통신학회논문지
    • /
    • 제42권1호
    • /
    • pp.193-204
    • /
    • 2017
  • 인터넷 시스템의 보안은 백신을 최신으로 업데이트하고, 신종 악성코드를 탐지해 내는 능력에 달려있다. 하지만, 급변하는 인터넷 환경과 더불어, 악성코드는 끊임없이 변종을 만들어내고 더욱 지능적으로 진화하고 있어 현재 운용중인 시그니쳐 기반 탐지체계로 탐지되지 않는다. 따라서, 본 연구에서는 악성코드의 네트워크 행위 패턴을 추출하여 DNA 서열 유사도를 비교하여 활용하는 유사 시퀀스 정렬 알고리즘을 적용하여 악성코드를 분류하는 기법을 제안한다. 제안한 기법을 실제 네트워크에서 수집된 악성코드 샘플 766개에 적용하여 유사도를 비교한 결과 40.4%의 정확도를 얻었다. 이는 코드나 다른 특성을 배제하고 악성코드의 네트워크 행위만으로 분류했다는 점을 미루어 볼 때 앞으로 더 발전 가능성이 있을 것으로 기대된다. 또한 이를 통해 공격그룹을 예측하거나 추가적인 공격을 예방할 수 있다.

블룸필터를 이용한 아웃바운드 트래픽 모니터링 방안 연구 (Study on Outbound Traffic Monitoring with Bloom Filter)

  • 강성중;김형중
    • 디지털콘텐츠학회 논문지
    • /
    • 제19권2호
    • /
    • pp.327-334
    • /
    • 2018
  • PC가 악성코드에 감염되면 C&C서버와 통신하며 공격자의 명령에 따라 내부 네트워크에 확산, 정보획득 등의 과정을 거쳐 최종적인 악성행위를 하게 된다. 기업은 외부로부터의 공격을 사전에 차단하는데 중점을 두고 있으나 APT공격을 목적으로 한 악성코드는 어떤 형대로든 내부로 유입된다. 이때 피해의 확산을 방지하기 위하여 악성코드에 감염되어 C&C서버와 통신을 시도하는 PC를 찾아내는 내부 모니터링이 필요하다. 본 논문에서 수많은 패킷들의 목적지IP가 블랙리스트 IP인지 여부를 빠르고 효과적으로 대조하기 위한 블룸필터를 이용한 목적지 IP 모니터링 방안을 제시한다.

Stuxnet의 파일 은닉 기법 분석 및 무력화 방법 연구 (Analysing and Neutralizing the Stuxnet's Stealthing Techniques)

  • 이경률;임강빈
    • 한국항행학회논문지
    • /
    • 제14권6호
    • /
    • pp.838-844
    • /
    • 2010
  • 본 논문은 현재 전 세계적으로 사이버전의 심각성을 자극하고 있는 악성코드인 Stuxnet에 대해 소개하고, Stuxnet이 전파되는 방법 및 감염 증상에 대해 분석하며 그 구조에 따른 치료 방안을 제안한다. Stuxnet과 같은 악성코드는 시스템 내에서 은닉되어 전파되기 때문에 이를 탐지하거나 치료하기 위해서는 이들이 사용하는 파일 은닉 기법을 분석해야 한다. 본 논문의 분석 결과, Stuxnet은 자신을 구성하는 파일들의 은닉을 위하여 유저레벨에서 라이브러리 후킹을 활용한 기법과 커널레벨에서 파일시스템 드라이버의 필터 드라이버를 활용한 기법을 사용하고 있다. 따라서 본 논문에서는 Stuxnet이 활용하는 파일 은닉 기법에 대한 분석 결과를 소개하고, 이를 무력화하기 위한 방안을 제시하며, 실험을 통해 실제 무력화가 가능함을 확인하였다.

스마트폰에서의 QR-Code 보안기법에 대한 연구 (A Study of QR-Code Security Method for Smart Phone)

  • 변진영;안요한;이재웅;이기영
    • 한국정보통신학회:학술대회논문집
    • /
    • 한국해양정보통신학회 2011년도 추계학술대회
    • /
    • pp.699-700
    • /
    • 2011
  • 본 논문에서는 현재 스마트폰에서 자주 사용하고 있는 QR-Code에 대해서 악의적인 변형 코드 및 올바르지 않은 URL로의 접속 등에 의해 개인정보 유출 등의 피해를 막기 위한 방법을 연구한다. QR-Code를 디코딩하여 URL 접속 시에 직접적인 필터링은 어려우므로 접속하기 전 해당 QR-Code를 디코딩하여 나온 결과와 원래의 URL을 비교할 수 있는 서버를 만들어 그 서버에 접속하여 스마트폰 사용자에게 접속 여부를 통지해주는 시스템을 구축해보아 스마트폰 사용자들에게 도움이 되고자 한다.

  • PDF

큐싱(Qshing) 공격 탐지를 위한 시스템 구현 (System implementation for Qshing attack detection)

  • 신현창;이주형;김종민
    • 융합보안논문지
    • /
    • 제23권1호
    • /
    • pp.55-61
    • /
    • 2023
  • QR Code는 사각형 모양의 흑백 격자무늬에 데이터를 넣은 매트릭스 형식의 2차원 코드로 최근 다양한 분야에서 활용되고 있다. 특히, COVID-19 확산방지를 위해 누구나 간편하게 사용할 수 있는 QR Code를 활용하여 이동경로를 파악함으로써, 사용량이 급증하게 되었다. 이렇게 QR Code의 사용이 보편화됨에 따라 이를 악용한 큐싱(Qshing) 공격에 대한 피해가 증가하고 있다. 따라서 본 논문에서는 큐싱(Qshing) 공격 탐지 시스템을 구현하여 QR Code 스캔 시 유해 사이트로의 이동 및 악성코드 설치를 탐지하여 개인정보유출을 미연에 방지할 수 있는 기술을 제안하였다.

A Strengthened Android Signature Management Method

  • Cho, Taenam;Seo, Seung-Hyun
    • KSII Transactions on Internet and Information Systems (TIIS)
    • /
    • 제9권3호
    • /
    • pp.1210-1230
    • /
    • 2015
  • Android is the world's most utilized smartphone OS which consequently, also makes it an attractive target for attackers. The most representative method of hacking used against Android apps is known as repackaging. This attack method requires extensive knowledge about reverse engineering in order to modify and insert malicious codes into the original app. However, there exists an easier way which circumvents the limiting obstacle of the reverse engineering. We have discovered a method of exploiting the Android code-signing process in order to mount a malware as an example. We also propose a countermeasure to prevent this attack. In addition, as a proof-of-concept, we tested a malicious code based on our attack technique on a sample app and improved the java libraries related to code-signing/verification reflecting our countermeasure.

원격 실시간 제어 시스템을 위한 정적 프로그램 분석에 의한 보안 기법 (Ensuring Securityllable Real-Time Systems by Static Program Analysis)

  • 임성수
    • 한국컴퓨터정보학회논문지
    • /
    • 제10권3호
    • /
    • pp.75-88
    • /
    • 2005
  • 본 논문에서는 원격으로 제어 가능한 실시간 시스템에서 발생 가능한 악의적인 코드 삽입에 의한 보안 공격을 방지할 수 있는 방법을 제안한다. 제안하는 방법은 원격으로 제어 코드를 전달하여 시스템을 업그레이드하는 경우 전달된 제어 코드의 안전성을 실행 전에 분석하는 방법으로서 정적 프로그램 분석 방법을 이용한다. 제안하는 분석 방법을 구현한 도구를 컴파일러 내에 삽입하여 실제 원격으로 소프트웨어 업그레이드가 가능한 실시간 시스템 환경에 적용하여 효용성을 검증하였다.

  • PDF

Naive Bayes 기반 안드로이드 악성코드 분석 기술 연구 (Android Malware Analysis Technology Research Based on Naive Bayes)

  • 황준호;이태진
    • 정보보호학회논문지
    • /
    • 제27권5호
    • /
    • pp.1087-1097
    • /
    • 2017
  • 스마트 폰의 보급률이 증가함에 따라 스마트 폰을 대상으로 하는 악성코드들이 증가하고 있다. 360 Security의 스마트 폰 악성코드 통계에 따르면 2015년 4분기에 비해 2016년 1분기에 악성코드가 437% 증가하는 수치를 보였다. 특히 이러한 스마트 폰 악성코드 유포의 주요 수단인 악성 어플리케이션들은 사용자 정보 유출, 데이터 파괴, 금전 갈취 등을 목적으로 하는데 운영 체제나 프로그래밍 언어가 제공하는 기능을 제어할 수 있게 해주는 인터페이스인 API에 의하여 동작하는 경우가 대부분이다. 본 논문에서는 정적 분석으로 도출한 어플리케이션 내 API의 패턴을 지도 학습 기법으로 머신에 학습하여 정상 어플리케이션과 악성 어플리케이션 내의 API 패턴의 유사도에 따라 악성 어플리케이션을 탐지하는 메커니즘을 제시하고 샘플 데이터에 대하여 해당 메커니즘을 사용하여 도출한 label 별 탐지율과 탐지율 개선을 위한 기법을 보인다. 특히, 제안된 메커니즘의 경우 신종 악성 어플리케이션의 API 패턴이 기존에 학습된 패턴과 일정 수준 유사한 경우 탐지가 가능하며 향후 어플리케이션의 다양한 feature를 연구하여 본 메커니즘에 적용한다면 anti-malware 체계의 신종 악성 어플리케이션 탐지에 사용될 수 있을 것이라 예상된다.

코드 수정을 통한 스크립트 형태의 악성 이동 코드 대응 기법 (Code Rewriting Technique to Detect Script-based Malicious Mobile Codes)

  • 윤영태;예홍진;조은선;고재영
    • 한국정보과학회:학술대회논문집
    • /
    • 한국정보과학회 2001년도 가을 학술발표논문집 Vol.28 No.2 (1)
    • /
    • pp.727-729
    • /
    • 2001
  • 현재의 스크립트 형태의 악성코드에 대한 대응 기법으로는 자바의 샌드박스(Sandbox) 모델과 흡사한 자원 제한 기법이 주로 사용된다. 하지만 이 기법의 경우 악의가 없는 스크립트 또한 제한되어 있는 자원을 사용할 수 없으며 이로 인하여 스크립트 본연의 취지인 전송된 스크립트를 통한 편의성 제공의 기능이 많은 제약을 받고 있다. 따라서 각각의 스크립트 코드의 유해 여부를 코드 수행 중에 결정하여 자원사용의 허용 여부를 결정하는 기법이 절실이 요구되며 본 논문에서는 전송되어온 코드치 위험 요소 부위를 자체 면역성을 가지도록 코드를 수정하는 기법을 제안하고자 한다.

  • PDF

사이버공격 탐지를 위한 클라우드 컴퓨팅 활용방안에 관한 연구 (A Study on Cloud Computing for Detecting Cyber Attacks)

  • 이준원;조재익;이석준;원동호
    • 한국항행학회논문지
    • /
    • 제17권6호
    • /
    • pp.816-822
    • /
    • 2013
  • 최근 악성코드의 다양화와 변종 발생 주기가 기존대비 지극히 단시간에 이루어지고 있으며, 네트워크 환경 또한 기존 보다 그 속도와 데이터 전송량이 급격히 증가하고 있다. 따라서 기존 침입 탐지 연구 및 비정상 네트워크 행위 분석 연구와 같이 정상과 비정상 네트워크 환경을 구성하여 데이터를 수집 분석하는 것은 현실적으로 환경 구성에 어려움이 많다. 본 논문에서는 기존 단순 네트워크 환경이 아닌 근래 많이 연구가 진행되고 서비스가 활발히 이루어지고 있는 클라우드 환경에서의 악성코드 분석 데이터 수집을 통하여 보다 효과적으로 데이터를 수집하고 분석하였다. 또한 단순한 악성 코드 행위가 아닌 DNS 스푸핑이 포함된 봇넷 클라이언트와 서버를 적용하여 보다 실제 네트워크와 유사한 환경에서 악성 코드 데이터를 수집하고 분석하였다.