• 한국정보통신학회논문지
• /
• 제16권5호
• /
• pp.947-952
• /
• 2012

본 연구는 USB와 같은 이동형 저장장치에 실행 소프트웨어를 담아 어느 클라이언트 장치에서나 실행될 수 있도록 응용 프로그램을 설치하는 기법을 제안하고자 한다. 해결을 위해 스캐닝 기법을 이용하여 클라이언트 장치에 설치 대상 응용프로그램을 인스톨하기 전의 상기 클라이언트 장치의 파일, 레지스트리 및 서비스에 대한 정보를 미리 스캔한 정보를 저장하고, 상기 응용프로그램이 클라이언트 장치에 설치된 이후의 정보를 스캔하여 발생한 변화된 리소스들을 USB에 담아 관리한다. 이후 사용하고자 하는 클라이언트에 필요한 파일들만을 복사하여 사용할 수 있도록 하며, 사용 후에는 관련된 파일을 삭제하여 기존시스템 환경으로 복귀시키는 과정을 포함한다. 본 방법은 설치가 필요한 각종 응용프로그램을 USB와 같은 외장형 이동식 저장장치에 한번 설치하면, 불법복제 문제없이 설치된 응용프로그램은 어떠한 컴퓨터에서든지 실행할 수 있는 장점이 있다.

• 인터넷정보학회논문지
• /
• 제21권5호
• /
• pp.57-65
• /
• 2020

At present, the existing virus recognition systems usually use signature approach to detect malicious executable files, but these methods often fail to detect new and invisible malware. At the same time, some methods try to use more general features to detect malware, and achieve some success. Moreover, machine learning-based approaches are applied to detect malware, which depend on features extracted from malicious codes. However, the different distribution of features oftraining and testing datasets also impacts the effectiveness of the detection models. And the generation oflabeled datasets need to spend a significant amount time, which degrades the performance of the learning method. In this paper, we use transfer learning to detect new and previously unseen malware. We first extract the features of Portable Executable (PE) files, then combine transfer learning training model with KNN approachto detect the new and unseen malware. We also evaluate the detection performance of a classifier in terms of precision, recall, F1, and so on. The experimental results demonstrate that proposed method with high detection rates andcan be anticipated to carry out as well in the real-world environment.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2023년도 제67차 동계학술대회논문집 31권1호
• /
• pp.103-106
• /
• 2023

코로나 팬데믹 사태로 인해 업무환경이 재택근무를 하는 환경으로 바뀌고 악성코드의 변종 또한 빠르게 발전하고 있다. 악성코드를 분석하고 백신 프로그램을 만들면 새로운 변종 악성코드가 생기고 변종에 대한 백신프로그램이 만들어 질 때까지 변종된 악성코드는 사용자에게 위협이 된다. 본 연구에서는 머신러닝 알고리즘을 사용하여 악성파일 여부를 예측하는 방법을 제시하였다. 일반적인 악성코드의 구조를 갖는 Portable Executable 구조 파일을 파이썬의 LIEF 라이브러리를 사용하여 Certificate, Imports, Opcode 등 3가지 feature에 대해 정적분석을 하였다. 학습 데이터로는 정상파일 320개와 악성파일 530개를 사용하였다. Certificate는 hasSignature(디지털 서명정보), isValidcertificate(디지털 서명의 유효성), isNotExpired(인증서의 유효성)의 feature set을 사용하고, Imports는 Import Address Table의 function 빈도수를 비교하여 feature set을 구축하였다. Opcode는 tri-gram으로 추출하여 빈도수를 비교하여 feature set을 구축하였다. 테스트 데이터로는 정상파일 360개 악성파일 610개를 사용하였으며 Feature set을 사용하여 random forest, decision tree, bagging, adaboost 등 4가지 머신러닝 알고리즘을 대상으로 성능을 비교하였고, bagging 알고리즘에서 약 0.98의 정확도를 보였다.

• 인터넷정보학회논문지
• /
• 제23권1호
• /
• pp.87-93
• /
• 2022

군(軍) PC의 99%는 윈도우 운영체제를 사용하고 있어 안전한 국방사이버공간을 유지하기 위해서는 윈도우 기반 악성코드의 탐지 및 대응이 상당히 중요하다. 본 연구에서는 윈도우 PE(Portable Executable) 포맷의 악성코드를 탐지할 수 있는 모델을 제안한다. 탐지모델을 구축함에 있어서는 탐지의 정확도보다는 급증하는 악성코드에 효율적으로 대처하기 위한 탐지모델의 신속한 업데이트에 중점을 두었다. 이에 학습 속도를 향상시키기 위해 복잡한 전처리 과정 없이 최소한의 시퀀스 데이터만으로도 악성코드 탐지가 가능한 Bidirectional LSTM(Long Short Term Memory) 네트워크를 기반으로 탐지모델을 설계하였다. 실험은 EMBER2018 데이터셋을 활용하여 진행하였으며, 3가지의 시퀀스 데이터(Byte-Entropy Histogram, Byte Histogram, String Distribution)로 구성된 특성 집합을 모델에 학습시킨 결과 90.79%의 Accuracy를 달성하였다. 한편, 학습 소요시간은 기존 탐지모델 대비 1/4로 단축되어 급증하는 신종 악성코드에 대응하기 위한 탐지모델의 신속한 업데이트가 가능함을 확인하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권1호
• /
• pp.43-50
• /
• 2013

파일 식별과 분석은 컴퓨터 포렌식 수사과정에서 디지털증거 획득 및 증거분석에 중요한 요소이며 지금까지 많은 연구가 진행되었다. 그러나 실행파일의 식별과 분석은 주로 악성코드에 대해 연구되어 왔기 때문에, 저작권침해 사고와 같은 일반적인 실행파일을 세부적으로 분류하고 탐지해야 할 경우에는 기존의 악성코드 분류 방법은 적용되기 어렵다. 따라서, 본 논문에서는 실행파일 헤더내 문서화되지 않은 정보의 유사도 측정에 근거한 비교를 통해 실행파일을 세부적으로 분류할 수 있는 방법을 제시한다. 제안한 방법은 실행파일의 헤더에 포함된 정보를 이용하기 때문에 일반적인 실행파일뿐만 아니라 기존의 악성코드 및 새로운 악성코드와 변종 그리고 실행압축, 코드변형, 가상화 및 난독화된 실행파일 분류에도 활용이 가능하다.

• Journal of Information Processing Systems
• /
• 제12권4호
• /
• pp.644-660
• /
• 2016

The real-time detection of malware remains an open issue, since most of the existing approaches for malware categorization focus on improving the accuracy rather than the detection time. Therefore, finding a proper balance between these two characteristics is very important, especially for such sensitive systems. In this paper, we present a fast portable executable (PE) malware detection system, which is based on the analysis of the set of Application Programming Interfaces (APIs) called by a program and some technical PE features (TPFs). We used an efficient feature selection method, which first selects the most relevant APIs and TPFs using the chi-square ($KHI^2$) measure, and then the Phi (${\varphi}$) coefficient was used to classify the features in different subsets, based on their relevance. We evaluated our method using different classifiers trained on different combinations of feature subsets. We obtained very satisfying results with more than 98% accuracy. Our system is adequate for real-time detection since it is able to categorize a file (Malware or Benign) in 0.09 seconds.

• 한국멀티미디어학회:학술대회논문집
• /
• 한국멀티미디어학회 2004년도 춘계학술발표대회논문집
• /
• pp.117-120
• /
• 2004

본 고에서는 악성 프로그램을 탐지하기 위해 특정 프로그램 실행시 해당 파일 구조를 분석하여 악성 프로그램을 탐지하기 위해 Michael Weber, Matthew Schmid, Michaei Schatz와 David Geyer에 의해 제안된 실행코드 탐지 방식을 분석하고 있다. 제안된 방식에서는 기존 방법에서 사용하고 있는 악성 프로그램의 시그니처 분석을 통한 탐지 방법과 다르게 윈도우 PE 파일 형태의 파일 구조를 가지고 있는 실행 프로그램의 문맥 분석을 통해 알려지지 않은 악성 프로그램을 탐지함을 목적으로 하고 있다. 제안된 방식에서는 특히 PEAT(Portable Executable Analysis Toolkit)라는 이동 실행 분석 툴 킷을 개발, 사용함으로써 악성프로그램을 탐지 하고 있는데 이 툴 킷은 PE 파일 구조를 가진 임의의 애플리케이션에 대해 악성코드의 존재 여부를 밝힐 수 있는 실행시 구조적 특징을 이용한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2007년도 가을 학술발표논문집 Vol.34 No.2 (C)
• /
• pp.546-551
• /
• 2007

소프트웨어 버스마크는 프로그램을 식별하는데 사용될 수 있는 프로그램의 고유한 특징을 말한다. 본 논문에서는 windows PE(Portable Executable) 파일의 API에 대한 정보를 가지는 임포트 테이블에 기반한 프로그램 버스마킹 기법을 제안한다. 버스마크의 신뢰도를 높이기 위한 방법으로 대부분의 Windows 프로그램에서 사용되는 범용의 API는 버스마크에서 제외시키고 프로그램 개개의 특성을 나타낼 수 있는 특화된 API에 초점을 맞추어서 비교하는 방법을 사용한다. 본 논문에서 제안한 버스마킹 기법을 평가하기 위해서 다양한 카테고리의 Windows 프로그램에 대해서 실험을 하였다. 신뢰도를 측정하기 위해서 같은 프로그램에 대해서 버전별로 비교를 하였고, 프로그램의 분류에 따라서 유사한 카테고리와 다른 카테고리에 대해서 비교를 하였다. 프로그램의 변환이나 난독화에도 견딜 수 있는 강인도(Resilience)를 평가하기 위해서 서로 다른 컴파일러를 사용하여 생성된 프로그램에 대해서 비교를 하였다. 실험 결과에서 본 논문에서 제안하는 버스마크가 프로그램의 특징을 충분히 표현하고 있음을 보여준다.

• 정보보호학회논문지
• /
• 제26권5호
• /
• pp.1313-1322
• /
• 2016

최근 인터넷을 통한 공공 기관이나 금융권에 대한 바이러스 및 해킹 공격이 더욱 지능화, 고도화되고 있다. 특히, 지능형 지속 공격인 APT(Advanced Persistent Threat)가 중요한 사이버 위협으로 주목을 받았는데 이러한 APT 공격은 기본적으로 네트워크상에서 악성 코드의 유포를 통해 이루어진다. 본 논문에서는 스마트 제조 산업에서 사용할 수 있도록 네트워크상에서 전송되는 PE(Portable Executable) 파일을 효과적으로 탐지하고 추출하여 악성코드 분석을 효과적으로 할 수 있는 방법을 제안하였다. PE 파일만 고속으로 추출하여 저장하는 기능을 공개 침입 탐지 툴인 Snort의 전처리기단에서 구현한 후 이를 하드웨어 센서 장치에 탑재하여 실험한 결과, 네트워크상에서 전송되는 악성 의심 코드인 PE 파일을 정상적으로 탐지하고 추출할 수 있음을 확인하였다.

• 정보보호학회논문지
• /
• 제27권3호
• /
• pp.563-577
• /
• 2017

인터넷과 컴퓨터의 발달로 인해 신종 변종 악성코드가 하루에 약 1백만 개씩 출현하고 있다. 더욱이 기업을 대상으로 하는 표적공격의 경우 알려지지 않은 악성코드를 통해 공격이 진행되므로 전통적인 시그니처에 의한 탐지 방법은 대응에 대한 효율성이 낮게 되어 많은 기업들은 새로운 샌드박스와 같은 동적 분석 시스템을 도입하였다. 그러나 실행 파일뿐만 아니라 워드문서 또는 PDF 형태의 악성코드도 지속적으로 증가하고 있으며 새로운 악성코드 또한 동적 분석 시스템을 우회하는 기술을 포함하고 있어 효율적인 운영을 위해 많은 자원이 필요하고 새로운 기술이 필요하게 되었다. 본 연구에서는 효율적인 동적 분석 시스템을 위해 사전 필터링 기술을 사용하여 효율성을 향상시키기 위한 사전 필터링 기술 선정 요소를 도출하고 기술 도입 시 합리적인 선택을 할 수 있도록 AHP(Analytics Hierarchy Process)를 사용하여 의사 결정 모델을 제시하고, 도입 시 활용할 수 있도록 공식을 제시하고 검증하였다.