• Title/Summary/Keyword: malware analysis

검색결과 262건 처리시간 0.025초

악성 봇넷 별 트래픽 분석을 통한 탐지 척도 선정 (Selection of Detection Measure using Traffic Analysis of Each Malicious Botnet)

  • 장대일;김민수;정현철;노봉남
    • 정보보호학회논문지
    • /
    • 제21권3호
    • /
    • pp.37-44
    • /
    • 2011
  • 최근 발생하는 인터넷 상의 악성 행위는 많은 부분 악성 봇넷과 관련이 있다. DDoS 공격이나 스팸 발송, 악성코드 전파, 개인 정보 유출, 피싱 등 대부분의 악성 행위들이 봇넷에 의해 행해지고 있다. 이러한 봇넷을 탐지하고자 네트워크 단에서 악성 봇넷 탐지 시스템이 활발히 연구되고 있지만 특정한 프로토콜이나 행위, 공격을 수행하는 봇넷에만 적용 가능하다는 단점을 가지고 있다. 이에 본 논문에서는 악성 봇넷을 탐지하기 위한 척도 선정에 관한 연구를 진행하였다. 연구를 위해 악성 봇넷의 트래픽을 수집 및 분석하여 분석된 네트워크 트래픽의 특징에 기반 한 척도를 선정하였다. 본 연구를 통해 악성 봇넷을 탐지하는데 도움이 될 수 있을 것으로 기대한다.

도시 기반시설 SCADA 망의 위험분석 및 모니터링 모델 연구 (Risk Analysis and Monitoring Model of Urban SCADA Network Infrastructure)

  • 김완집;김휘강;이경호;염흥열
    • 정보보호학회논문지
    • /
    • 제21권6호
    • /
    • pp.67-81
    • /
    • 2011
  • 최근 세계 각지에 국가 주요 산업시설을 목표로 하는 스턱스넷(stuxnet)과 같은 '사이버 무기'가 나타나 보안전문가들이 주목하고 있다. 도시의 교통과 지하철, 상수도 등과 같은 기반시설을 제어하는 네트워크는 전통적으로 폐쇄망으로 운영되고 있어 바이러스, 악성코드 등의 위협에 안전한 것으로 인식되어 왔으나, 이제는 새로운 공격 위협에 능동적으로 대처해야 할 때이다. 본 연구에서는 도시 기반시설 SCADA망의 제어시스템 현황과 위험을 분석하고, 운영환경에 맞는 보안 모델을 수립함으로써 이러한 위협에 대응하기 위한 방향을 제시하고자 한다.

Forgotten Permission Usages: An Empirical Study on App Description Based Android App Analysis

  • Wu, Zhiqiang;Lee, Scott Uk-Jin
    • 한국컴퓨터정보학회논문지
    • /
    • 제26권6호
    • /
    • pp.107-113
    • /
    • 2021
  • 본 논문에서는 안드로이드 앱 설명이 애플리케이션 품질 측정에 충분한 권한 사용을 제공하는 지에 대해 연구하였다. 안드로이드 애플리케이션 설명은 품질측정, 기능추천(functionality recommendation), 말웨어감지와 같은 다양한 목적으로 분석된다. 그러나 많은 앱들이 설명에서 실수 혹은 고의로 권한 사용을 공개하지 않는다. 이전 연구에서는 가장 중요한 것은 애플리케이션 설명에서 권한 사용에 대한 내용이 없거나 부족하면 애플리케이션 설명을 정확하게 분석할 수 없었다. 권한과 앱 설명 간의 일관성을 평가하기 위해 29,270개의 애플리케이션 설명에 대한 안드로이드 권한을 예측하는 방법을 구현했다. 결과로 앱 설명의 25%는 권한에 대한 의미를 포함하지 않았으며 앱 설명의 57%는 권한 사용에 대한 내용을 정확하게 반영 할 수 없다.

스트립된 바이너리에서 LSTM을 이용한 함수정보 추출 기법 (Extraction Scheme of Function Information in Stripped Binaries using LSTM)

  • 장두혁;김선민;허준영
    • 한국소프트웨어감정평가학회 논문지
    • /
    • 제17권2호
    • /
    • pp.39-46
    • /
    • 2021
  • 악성코드를 분석하여 방어하기 위해, 함수 위치 정보 등을 분석 방식으로 리버스 엔지니어링을 활용한다. 하지만, 스트립 된 바이너리는 함수 심볼 정보가 제거되어 함수 위치 등의 정보를 찾기가 쉽지 않다. 이를 해결하기 위해, BAP, BitBlaze IDA Pro 등 다양한 바이너리 분석 도구가 존재하지만, 휴리스틱을 기반으로 하므로 일반적인 성능이 우수하진 못하다. 본 논문에서는 재귀 하강 방식으로 역 어셈블리어에 대응되는 바이너리를 데이터로 N-byte 기법의 알고리즘을 제시해 LSTM 기반 모델을 적용하여 함수정보를 추출하는 기법을 제안한다. 실험을 통해 제안 기법이 수행 시간과 정확도 면에서 기존 기법들보다 우수함을 보였다.

자바 접근 권한 검사 트리 기반의 자바 취약 API 리스트 생성 (Constructing Java Vulnerable API List based on Java Access Permission Checking Tree)

  • 박효성;박철우;임영찬;김기창
    • 예술인문사회 융합 멀티미디어 논문지
    • /
    • 제5권2호
    • /
    • pp.289-296
    • /
    • 2015
  • 자바는 다양한 플랫폼에서 실행 가능한 인터프리터 언어이며, 네트워크 사용에 유용한 기능들을 갖고 있다. 이러한 자바 언어의 특징으로 인해 자바는 다양한 분야에서 사용되고 있다. 본 논문에서는 자바 가상머신의 보안 관리자를 위협하는 악성 코드가 어떠한 방법으로 가상머신의 취약점을 노리는지에 대해 언급한다. 그리고 이에 대응 방안으로 자바 콜 그래프와 자바 접근 권한 검사 트리를 이용한 자바 시스템 클래스의 취약점 분석 방법을 제안으로써 사전에 미리 보안 위협을 방지하기 위한 토대를 마련하고자 한다.

Detection of Zombie PCs Based on Email Spam Analysis

  • Jeong, Hyun-Cheol;Kim, Huy-Kang;Lee, Sang-Jin;Kim, Eun-Jin
    • KSII Transactions on Internet and Information Systems (TIIS)
    • /
    • 제6권5호
    • /
    • pp.1445-1462
    • /
    • 2012
  • While botnets are used for various malicious activities, it is well known that they are widely used for email spam. Though the spam filtering systems currently in use block IPs that send email spam, simply blocking the IPs of zombie PCs participating in a botnet is not enough to prevent the spamming activities of the botnet because these IPs can easily be changed or manipulated. This IP blocking is also insufficient to prevent crimes other than spamming, as the botnet can be simultaneously used for multiple purposes. For this reason, we propose a system that detects botnets and zombie PCs based on email spam analysis. This study introduces the concept of "group pollution level" - the degree to which a certain spam group is suspected of being a botnet - and "IP pollution level" - the degree to which a certain IP in the spam group is suspected of being a zombie PC. Such concepts are applied in our system that detects botnets and zombie PCs by grouping spam mails based on the URL links or attachments contained, and by assessing the pollution level of each group and each IP address. For empirical testing, we used email spam data collected in an "email spam trap system" - Korea's national spam collection system. Our proposed system detected 203 botnets and 18,283 zombie PCs in a day and these zombie PCs sent about 70% of all the spam messages in our analysis. This shows the effectiveness of detecting zombie PCs by email spam analysis, and the possibility of a dramatic reduction in email spam by taking countermeasure against these botnets and zombie PCs.

통합 사이버 보안 상황분석을 통한 관제 상황인지 기술 (Context cognition technology through integrated cyber security context analysis)

  • 남승수;서창호;이주영;김종현;김익균
    • 스마트미디어저널
    • /
    • 제4권4호
    • /
    • pp.80-85
    • /
    • 2015
  • 인터넷을 이용하는 응용의 수가 급격히 증가함에 따라 인터넷 상에서 이루어지는 사이버 공격의 발생 빈도는 점점 증가하고 있다. 전 세계적으로 L3 DDoS 공격 탐지 중비의 장비에서 응용계층 기반의 지능형 DDoS 공격에 대한 탐지가 미비하다. 차세대 네트워크 보안솔루션의 다양한 요구사항을 충족할 수 있는 고성능 유무선 네트워크 위협대응 기술에 있어서 국내제품은 외국제품에 비해 기능면에서는 근접하나 성능은 미비한 상황에 있으며, 악성코드 탐지 및 시그니쳐 생성연구 관련하여 주로 Window OS에서 동작하는 악성코드 탐지 및 분석 연구 중심으로 진행하고 있다. 본 논문에서는 최신 사이버 보안 상황 침해공격 분석을 통한 최신 다양한 신종 공격 기법 및 분석 기술의 현황 조사, 분석등을 기술한다.

통합 사이버 보안 상황분석을 통한 관제 상황인지 기술 (Context cognition technology through integrated cyber security context analysis)

  • 남승수;서창호;이주영;김종현;김익균
    • 디지털융복합연구
    • /
    • 제13권1호
    • /
    • pp.313-319
    • /
    • 2015
  • 인터넷을 이용하는 응용의 수가 급격히 증가함에 따라 인터넷 상에서 이루어지는 사이버 공격의 발생 빈도는 점점 증가하고 있다. 전 세계적으로 L3 DDoS 공격 탐지 중비의 장비에서 응용계층 기반의 지능형 DDoS 공격에 대한 탐지가 미비하다. 차세대 네트워크 보안솔루션의 다양한 요구사항을 충족할 수 있는 고성능 유무선 네트워크 위협대응 기술에 있어서 국내제품은 외국제품에 비해 기능면에서는 근접하나 성능은 미비한 상황에 있으며, 악성코드 탐지 및 시그니쳐 생성연구 관련하여 주로 Window OS에서 동작하는 악성코드 탐지 및 분석 연구 중심으로 진행하고 있다. 본 논문에서는 최신 사이버 보안 상황 침해 공격 분석을 통한 최신 다양한 신종 공격 기법 및 분석 기술의 현황 조사, 분석등을 기술한다.

데이터 마이닝 기법을 이용한 소규모 악성코드 탐지에 관한 연구 (A Study on Detection of Small Size Malicious Code using Data Mining Method)

  • 이택현;국광호
    • 융합보안논문지
    • /
    • 제19권1호
    • /
    • pp.11-17
    • /
    • 2019
  • 최근 인터넷 기술을 악용하는 행위로 인하여 경제적, 정신적 피해가 증가하고 있다. 특히, 신규로 제작되거나 변형된 악성코드는 기존의 정보보호 체계를 우회하여 사이버 보안 위협의 기본 수단으로 활용되고 있다. 이를 억제하기 위한 다양한 연구가 진행되었지만, 실제 악성코드의 많은 비중을 차지하는 소규모 실행 파일에 대한 연구는 미진한 편이다. 본 연구에서는 기존에 알려진 소규모 실행 파일의 특징을 데이터마이닝 기법으로 분석하여 알려지지 않은 악성코드 탐지에 활용할 수 있는 모델을 제안한다. 데이터 마이닝 분석 기법에는 나이브베이지안, SVM, 의사결정나무, 랜덤포레스트, 인공신경망 등 다양하게 수행하였으며, 바이러스토탈의 악성코드 검출 수준에 따라서 개별적으로 정확도를 비교하였다. 결과적으로 분석 파일 34,646개에 대하여 80% 이상의 분류 정확도를 검증하였다.

고속 정적 분석 방법을 이용한 폴리모픽 웹 탐지 (Polymorphic Wonn Detection Using A Fast Static Analysis Approach)

  • 오진태;김대원;김익균;장종수;전용희
    • 정보보호학회논문지
    • /
    • 제19권4호
    • /
    • pp.29-39
    • /
    • 2009
  • 통신망을 통하여 자동적으로 확산되는 악성 프로그램인 웜에 대응하기 위하여, 웜 관련 패킷들을 분석하여 시그니처를 생성하여 웹을 탐지하는 방법들이 많이 사용되고 있다. 그러나 이런 시그니처-기반 탐지 기법을 회피하기 위하여, 변형된 폴리모픽 형태의 공격 코드 사용이 점차 증가하고 있다. 본 논문에서는 폴리모픽 공격 코드의 복호화 루틴을 탐지하기 위한 새로운 정적 분석 방법을 제안한다. 제안된 방법은 통신망 플로에서 폴리모픽 공격 코드에 함께 포함되어 암호화된 원본 코드를 복호화하는 역할을 수행하는 코드 루틴을 탐지한다. 실험 결과를 통하여 제안된 방법이 정적 분석 방지 기법들이 사용된 폴리모팍 코드들도 탐지할 수 있는 것을 보여준다. 또한 처리 성능에서 에뮬레이션 기반 분석 방법보다 효율적인 것으로 나타났다.