• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권7호
• /
• pp.3756-3777
• /
• 2019

Recent internet development is helping malware researchers to generate malicious code variants through automated tools. Due to this reason, the number of malicious variants is increasing day by day. Consequently, the performance improvement in malware analysis is the critical requirement to stop the rapid expansion of malware. The existing research proved that the similarities among malware variants could be used for detection and family classification. In this paper, a Cross-Platform Malware Variant Classification System (CP-MVCS) proposed that converted malware binary into a grayscale image. Further, malicious features extracted from the grayscale image through Combined SIFT-GIST Malware (CSGM) description. Later, these features used to identify the relevant family of malware variant. CP-MVCS reduced computational time and improved classification accuracy by using CSGM feature description along machine learning classification. The experiment performed on four publically available datasets of Windows OS and Android OS. The experimental results showed that the computation time and malware classification accuracy of CP-MVCS was higher than traditional methods. The evaluation also showed that CP-MVCS was not only differentiated families of malware variants but also identified both malware and benign samples in mix fashion efficiently.

• 정보과학회 논문지
• /
• 제43권3호
• /
• pp.289-295
• /
• 2016

악성코드 개발자들은 악성코드 탐지를 회피하기 위하여 변종 악성코드를 유포한다. 정적 분석 기반의 안티 바이러스로는 변종 악성코드를 탐지하기 어려우며, 따라서 API 호출 정보 기반의 동적 분석이 필요하다. 본 논문에서는 악성코드 분석가의 변종 악성코드 패밀리 분류에 도움을 줄 수 있는 악성코드 패밀리 추천 기법을 제안하였다. 악성코드 패밀리의 API 호출 정보를 동적 분석을 통하여 추출하였다. 추출한 API 호출 정보에 다중 서열 정렬 기법을 적용하였다. 정렬 결과로부터 각 악성코드 패밀리의 시그니쳐를 추출하였다. 시그니쳐와의 유사도를 기준으로, 제안하는 기법이 새로운 악성코드의 패밀리 후보를 3개까지 추천하도록 하였다. 실험을 통하여 제안한 악성코드 패밀리 추천 기법의 정확도를 측정하였다.

• 융합정보논문지
• /
• 제11권11호
• /
• pp.137-142
• /
• 2021

인터넷의 발달로 많은 편리와 이익을 얻었지만 반대로 지능화되는 악성코드로 인하여 사용자의 경제적, 사회적 피해를 주고 있다. 이를 탐지하고 방어하기 위해 대부분 시그니처 기반의 탐지나 방어 프로그램을 사용하지만 지능화된 악성코드의 변종을 막기에는 매우 어렵다. 따라서 본 논문에서는 쏟아져 나오는 지능화된 악성코드를 탐지하고 방어할 수 있는 모델을 제안한다. 제안 모델은 악성코드의 특성을 이미지화하여 딥러닝을 이용한 학습을 통해 만들어지며 새롭게 탐지된 악성코드와 악성코드 변종들은 이미지화를 수행한 다음 만들어진 모델에 적용하여 탐지한다. 제안된 모델을 사용하면 기존에 탐지되었던 악성코드와 더불어 유사한 변종도 대부분 탐지됨을 알 수 있다.

• Journal of Information Processing Systems
• /
• 제17권4호
• /
• pp.851-865
• /
• 2021

Enterprise networks in the PyeongChang Winter Olympics were hacked in February 2018. According to a domestic security company's analysis report, attackers destroyed approximately 300 hosts with the aim of interfering with the Olympics. Enterprise have no choice but to rely on digital vaccines since it is overwhelming to analyze all programs executed in the host used by ordinary users. However, traditional vaccines cannot protect the host against variant or new malware because they cannot detect intrusions without signatures for malwares. To overcome this limitation of signature-based detection, there has been much research conducted on the behavior analysis of malwares. However, since most of them rely on a sandbox where only analysis target program is running, we cannot detect malwares intruding the host where many normal programs are running. Therefore, this study proposes a method to detect malware variants in the host through logs rather than the sandbox. The proposed method extracts common behaviors from variants group and finds characteristic behaviors optimized for querying. Through experimentation on 1,584,363 logs, generated by executing 6,430 malware samples, we prove that there exist the common behaviors that variants share and we demonstrate that these behaviors can be used to detect variants.

• 스마트미디어저널
• /
• 제8권4호
• /
• pp.25-32
• /
• 2019

인터넷의 발달로 많은 정보에 쉽게 접근할 수 있게 되었지만, 이에 따라 악의적인 목적을 가진 프로그램의 침입 경로가 다양해졌다. 그리고 전통적인 시그니처 기반 백신은 변종 및 신종 악성코드의 침입을 탐지하기 어렵기 때문에 많은 사용자들이 피해를 입고 있다. 시그니처로 탐지할 수 없는 악성코드는 분석가가 직접 실행시켜 행위를 분석해 볼 수 있지만, 변종의 경우 대부분의 행위가 유사하여 비효율적이라는 문제점이 있다. 본 논문에서는 변종이 대부분의 행위가 유사하다는 것에 착안하여 기존 악성코드와의 행위 유사성을 이용한 탐지 방법을 제안한다. 제안 방법은 변종들이 공통적으로 가지는 행위 대상과 유사한 행위 대상을 갖는 프로그램을 탐지하는 것이다. 1,000개의 악성코드를 이용해 실험한 결과 변종의 경우 높은 유사도를 보이고, 아닐 경우 낮은 유사도를 보여 행위 유사도로 변종을 탐지할 수 있음을 보였다.

• Journal of Information Processing Systems
• /
• 제16권4호
• /
• pp.882-895
• /
• 2020

The amount of malware increases exponentially every day and poses a threat to networks and operating systems. Most new malware is a variant of existing malware. It is difficult to deal with numerous malware variants since they bypass the existing signature-based malware detection method. Thus, research on automated methods of detecting and processing variant malware has been continuously conducted. This report proposes a method of extracting feature data from files and detecting malware using machine learning. Feature data were extracted from 7,000 malware and 3,000 benign files using static and dynamic malware analysis tools. A malware classification model was constructed using multiple DNN, XGBoost, and RandomForest layers and the performance was analyzed. The proposed method achieved up to 96.3% accuracy.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2021년도 춘계학술대회
• /
• pp.555-556
• /
• 2021

본 논문은 악성코드의 이미지화와 전이학습을 이용한 악성코드 분류 방안을 제안한다. 공개된 악성코드는 쉽게 재사용 또는 변형이 가능하다. 그런데 전통적인 악성코드 탐지 기법은 변형된 악성코드를 탐지하는데 취약하다. 동일한 부류에 속하는 악성코드들은 서로 유사한 이미지로 변환된다. 따라서 제안하는 기법은 악성코드를 이미지화하고 이미지 분류 분야에서 검증된 딥러닝 모델을 사용하여 악성코드의 부류를 분류한다. Malimg 데이터셋에 대해 VGG-16 모델을 이용하여 실험한 결과 98% 이상의 분류 정확도를 나타냈다.

• 정보보호학회논문지
• /
• 제30권3호
• /
• pp.357-367
• /
• 2020

2018년 시만텍 보고서에 따르면, 모바일 환경에서 변종 악성 앱은 전년도 대비 54% 증가하였고, 매일 24,000개의 악성 앱이 차단되고 있다. 최근 연구에서는 기존 악성 앱 분석 기술의 사용 한계를 파악하고, 신·변종 악성 앱을 탐지하기 위하여 기계학습을 통한 악성 앱 탐지 기법이 연구되고 있다. 하지만, 기계학습을 적용하는 경우에도 악성 앱의 특성을 적절하게 선택하여 학습하지 못하면 올바른 결과를 보일 수 없다. 본 연구에서는 신·변종 악성 앱의 특성을 찾아낼 수 있도록 개선된 특성 선택 방법을 적용하여 학습 모델의 정확도를 최고 98%까지 확인할 수 있었다. 향후 연구를 통하여 정밀도, 재현율 등 특정 지표의 향상을 목표로 할 수 있다.

• ETRI Journal
• /
• 제42권6호
• /
• pp.965-975
• /
• 2020

This paper proposes a new framework for the development and deployment of honeypots for evolving malware threats. As new technological concepts appear and evolve, attack surfaces are exploited. Internet of things significantly increases the attack surface available to malware developers. Previously independent devices are becoming accessible through new hardware and software attack vectors, and the existing taxonomies governing the development and deployment of honeypots are inadequate for evolving malicious programs and their variants. Malware-propagation and compromise methods are highly automated and repetitious. These automated and repetitive characteristics can be exploited by using embedded reinforcement learning within a honeypot. A honeypot for automated and repetitive malware (HARM) can be adaptive so that the best responses may be learnt during its interaction with attack sequences. HARM deployments can be agile through periodic policy evaluation to optimize redeployment. The necessary enhancements for adaptive, agile honeypots require a new development and deployment framework.

• 정보과학회 논문지
• /
• 제42권5호
• /
• pp.558-565
• /
• 2015

최근 새롭게 제작되는 악성코드 수의 증가와 악성코드 변종들의 다양성은 악성코드 분석가의 분석에 소요되는 시간과 노력에 많은 영향을 준다. 따라서 효과적인 악성코드 분류는 악성코드 분석가의 악성코드 분석에 소요되는 시간과 노력을 감소시키는 데 도움을 줄 뿐만 아니라, 악성코드 계보 연구 등 다양한 분야에 활용 가능하다. 본 논문에서는 악성코드 분류를 위해 중요 연산부호를 이용하는 방법을 제안한다. 중요 연산부호란 악성코드 분류에 높은 영향력을 가지는 연산부호들을 의미한다. 실험을 통해서 악성코드 분류에 높은 영향력을 가지는 상위 10개의 연산부호들을 중요 연산부호로 선정할 수 있음을 확인하였으며, 이를 이용할 경우 지도학습 알고리즘의 학습시간을 약 91% 단축시킬 수 있었다. 이는 향후 다량의 악성코드 분류 연구에 응용 가능할 것으로 기대된다.