• 융합보안논문지
• /
• 제6권2호
• /
• pp.21-29
• /
• 2006

소프트웨어를 대상으로 하는 다양한 공격방법이 등장하고 있는 가운데 컴퓨터 소프트웨어에 대한 불법 조작 및 변조 등의 위협이 증가하고 있다. 특히, 온라인상에서 동작하는 어플리케이션 클라이언트를 대상으로 악의적인 로더 프로그램을 이용하여 프로그램의 코드를 조작하고, 흐름을 변조하여 정상적인 동작을 방해하는 행위가 날로 늘어나고 있다. 본 논문에서는 악의적인 용도로 사용되는 로더가 가지는 패턴을 분석하여 시그너처를 생성하고, 변형된 패턴을 탐지할 수 있고 시그너처 기법을 보완한 프로파일 기반의 탐지 기법을 제시한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권11호
• /
• pp.5580-5593
• /
• 2019

A malicious Uniform Resource Locator (URL) recognition and detection method based on the combination of Attention mechanism with Convolutional Neural Network and Long Short-Term Memory Network (Attention-Based CNN-LSTM), is proposed. Firstly, the WHOIS check method is used to extract and filter features, including the URL texture information, the URL string statistical information of attributes and the WHOIS information, and the features are subsequently encoded and pre-processed followed by inputting them to the constructed Convolutional Neural Network (CNN) convolution layer to extract local features. Secondly, in accordance with the weights from the Attention mechanism, the generated local features are input into the Long-Short Term Memory (LSTM) model, and subsequently pooled to calculate the global features of the URLs. Finally, the URLs are detected and classified by the SoftMax function using global features. The results demonstrate that compared with the existing methods, the Attention-based CNN-LSTM mechanism has higher accuracy for malicious URL detection.

• 한국정보통신학회:학술대회논문집
• /
• 한국해양정보통신학회 2007년도 추계종합학술대회
• /
• pp.725-728
• /
• 2007

Software security is about making software behave correctly in the presence of a malicious attack, even though software failures usually happen spontaneously in the real world. Standard software testing literature is concerned only with what happens when software fails, regardless of intent. The difference between software safety and software security is therefor the presence of an intelligent adversary bent on breaking the system. Software security for attacking the system is presented in this paper

• 정보보호학회논문지
• /
• 제27권4호
• /
• pp.785-802
• /
• 2017

악성코드를 이용한 사이버 위협이 꾸준히 증가함에 따라 많은 보안 및 백신 관련 업체들이 악성코드 분석 및 탐지에 많은 노력을 기울이고 있다. 그러나 소프트웨어의 분석이 어렵도록 하는 난독화 기법이 악성코드에 적용되어 악성코드에 대한 빠른 대응이 어려운 실정이다. 특히 상용 난독화 도구는 빠르고 간편하게 변종 악성코드를 생성해 낼 수 있기 때문에 악성코드 분석가가 새로운 변종 악성코드의 출현 속도에 대응할 수 없도록 한다. 분석가가 빠르게 악성코드의 실제 악성행위를 분석하도록 하기 위해서는 난독화를 해제하는 역난독화 기술이 필요하다. 본 논문에서는 상용 난독화 도구인 Themida가 적용된 소프트웨어를 역난독화하는 일반적인 분석방법론을 제안한다. 먼저 Themida를 이용하여 난독화가 적용된 실행파일을 분석하여 알아낸 Themida의 동작 원리를 서술한다. 다음으로 DBI(Dynamic Binary Instrumentation) 프레임워크인 Pintool을 이용하여 난독화된 실행파일에서 원본 코드 및 데이터 정보를 추출하고, 이 원본 정보들을 활용하여 원본 실행파일에 가까운 형태로 역난독화할 수 있는 자동화 분석 도구 구현 결과에 대해 서술한다. 마지막으로 원본 실행파일과 역난독화한 실행파일의 비교를 통해 본 논문의 자동화 분석 도구의 성능을 평가한다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제4권4호
• /
• pp.169-176
• /
• 2015

최근 스마트폰 시장의 빠른 성장과 함께, 애플리케이션 시장 또한 크게 성장하고 있다. 애플리케이션은 날씨, 뉴스와 같은 정보검색을 비롯하여 교육, 게임, SNS 등 다양한 형태로 제공되고 있으며 다양한 유통경로를 통해 배포되고 있다. 이에 따라 일상에서 유용하게 사용할 수 있는 애플리케이션뿐만 아니라 악의적 목적을 가진 악성 애플리케이션의 배포 역시 급증하고 있다. 본 연구에서는 오픈마켓을 통해 배포되고 있는 정상 애플리케이션 및 Android MalGenome Project에서 제공하는 악성 애플리케이션의 이벤트를 추출, 분석하여 임의의 애플리케이션의 악성 여부를 판별하는 모형을 작성하고, 여러 가지 지표를 통해 모형을 평가하였다.

• 전기전자학회논문지
• /
• 제16권4호
• /
• pp.389-394
• /
• 2012

현재 대부분 시스템은 부트 펌웨어에 대한 보안 취약점이 무시되어 왔다. 부트 펌웨어는 하드웨어 제어 권한과 다른 외부 장치의 권한을 가지고 있기 때문에 보안 메커니즘이 고려되지 않은 상태에서는 악의적인 프로그램이나 코드에 의해 하드웨어가 제어되고 악의적인 코드에 의해 운영체제 손상, 프로그램 도용과 같은 심각한 시스템의 오류를 초래할 가능성이 높다. 본 논문에서는 부트 펌웨어에 대한 신뢰성을 제공하기 위해 악의적인 코드 탐색과 프로그램 도용방지, 운영체제의 보안 로드를 위하여 기존 부트스트랩 방식에 벗어난 암호화된 부트스트랩 패턴을 가지는 소프트웨어 기반의 구조적 보안 메커니즘을 제안한다. 또한 실험 결과를 통해 다른 소프트웨어 보안 메커니즘 비해 적은 1.5~3% 사이의 오버헤드와 검출능력의 우수함을 입증한다.

• 정보보호학회논문지
• /
• 제21권2호
• /
• pp.111-117
• /
• 2011

암호기술의 발전으로 통신의 비밀이나 정보보호가 강화되었지만, 암호기술을 역이용하는 Cryptovirus가 등장하였고 윈도우즈 CAPI(Crypto API)를 사용하는 악성코드도 누구나 쉽게 제작하여 배포할 수 있는 환경이 되었다. CAPI를 사용하는 악성코드는 윈도우즈에서 제공하는 정상적인 API를 사용하기 때문에 IPS(Intrusion Prevention System) 등 정보보호시스템은 물론 백신프로그램에서도 탐지 및 분석이 쉽지 않다. 본 논문에서는 Cryptovirus를 비롯하여 윈도우즈 CAPI를 사용하는 악성코드 무력화 방안 연구 및 이와 관련된 Hooking 도구 구현결과를 제시하고자 한다.

• 한국소프트웨어감정평가학회 논문지
• /
• 제15권1호
• /
• pp.11-24
• /
• 2019

모바일 앱 개발자는 크로스 플랫폼 개발 프레임워크를 사용하여 서로 다른 모바일 플랫폼들에 구동되는 앱들을 하나의 단계로 구현할 수 있다. 공격자들 또한 크로스 플랫폼 개발 프레임워크를 사용하여 한번 작성된 악성 코드를 여러 모바일 플랫폼들 상에 바로 수행할 수 있다. 본 논문에서는 AndroZoo 사이트로부터 수집한 안드로이드 앱들을 대상으로 크로스 플랫폼 개발 프레임워크들로 작성된 정상 앱들과 악성 앱들의 비율을 연도별로 분석한다. 분석 결과, 크로스 플랫폼 개발 프레임워크들로 작성된 정상 앱들의 비율이 지속적으로 증가하여, 2018년도에는 전체 정상 앱들에서 45%를 차지한다. 크로스 플랫폼 개발 프레임워크로 작성된 악성 앱들의 비율은 2015년에는 전체 악성 앱들에서 25%를 차지하였으나 이후 그 비율이 감소하고 있다. 이러한 연구는 크로스 플랫폼 앱 개발 시에 직면할 수 있는 여러 선택 문제들을 해결하는데 기여할 수 있다.

• 한국멀티미디어학회논문지
• /
• 제23권5호
• /
• pp.641-649
• /
• 2020

As the usage of mobile devices extremely increases, malicious mobile apps(applications) that target mobile users are also increasing. It is challenging to detect these malicious apps using traditional malware detection techniques due to intelligence of today's attack mechanisms. Deep learning (DL) is an alternative technique of traditional signature and rule-based anomaly detection techniques and thus have actively been used in numerous recent studies on malware detection. In order to develop DL-based defense mechanisms against intelligent malicious apps, feeding recent datasets into DL models is important. In this paper, we develop a DL-based model for detecting intelligent malicious apps using KU-CISC 2018-Android, the most up-to-date dataset consisting of benign and malicious Android apps. This dataset has hardly been addressed in other studies so far. We extract OPcode sequences from the Android apps and preprocess the OPcode sequences using an N-gram model. We then feed the preprocessed data into LSTM and apply the concept of Information Gain to improve performance of detecting malicious apps. Furthermore, we evaluate our model with numerous scenarios in order to verify the model's design and performance.

• 한국컴퓨터정보학회논문지
• /
• 제24권5호
• /
• pp.27-33
• /
• 2019

One of serious security threats is a botnet-based attack. A botnet in general consists of numerous bots, which are computing devices with networking function, such as personal computers, smartphones, or tiny IoT sensor devices compromised by malicious codes or attackers. Such botnets can launch various serious cyber-attacks like DDoS attacks, propagating mal-wares, and spreading spam e-mails over the network. To establish a botnet, attackers usually inject malicious URLs into web source codes stealthily by using data hiding methods like Javascript obfuscation techniques to avoid being discovered by traditional security systems such as Firewall, IPS(Intrusion Prevention System) or IDS(Intrusion Detection System). Meanwhile, it is non-trivial work in practice for software developers to manually find such malicious URLs which are hidden in numerous web source codes stored in web servers. In this paper, we propose a security defense system to discover such suspicious, malicious URLs hidden in web source codes, and present experiment results that show its discovery performance. In particular, based on our experiment results, our proposed system discovered 100% of URLs hidden by Javascript encoding obfuscation within sample web source files.