• 한국전자통신학회논문지
• /
• 제13권2호
• /
• pp.449-456
• /
• 2018

암호화폐의 등장은 해커에게 실제 금전적 이득을 취득할 수 있는 수단이 되었고, 이에 따라 최근 랜섬웨어가 급증하며 관련 피해가 크게 늘어나고 있다. 악성코드가 암호화폐를 만나 새로운 영역으로 확장되고 있으며, 앞으로 랜섬웨어가 더욱 증가할 것으로 예측된다. 이러한 문제들을 해결하기 위해 랜섬웨어의 침입 경로를 분석하여 랜섬웨어의 침입을 탐지하고 차단할 수 있는 모델이 필요하다. 본 논문에서는 최근 랜섬웨어들의 자료를 수집하여, 이를 토대로 랜섬웨어의 칼라 페트리 네트 모델을 작성하고, 분석하고자 한다.

• 융합보안논문지
• /
• 제23권1호
• /
• pp.69-77
• /
• 2023

최근 아일랜드 보건당국, 미(美) 송유관 등 전(全) 세계적으로 랜섬웨어 피해가 급증하고 있으며, 사회 모든 분야에 피해를 입히고 있다. 특히, 랜섬웨어 탐지 및 대응에 기존의 탐지방법뿐 아니라 머신러닝 등을 이용한 연구가 늘어 나고 있다. 하지만, 전통적인 머신러닝은 모델이 데이터가 많은 쪽으로 예측하는 경향이 강해 정확한 예측값을 추출하기 어려운 문제점이 있다. 이에 다수(Majority)의 Non-Ransomware(정상코드 또는 멀웨어)와 소수의(Minority) Ransomware로 구성된 불균형(Imbalance) 클래스에서 샘플링 기법을 통해 불균형을 해소하고 랜섬웨어탐지 성능을 향상시키는 기법을 제안하였다. 본 실험에서는 두가지 시나리오(Binary, Multi Classification)을 사용하여 샘플링 기법이 다수 클래스의 탐지 성능을 유지하면서 소수 클래스의 탐지 성능을 개선함을 확인하였다. 특히, 제안된 혼합샘플링 기법(SMOTE+ENN)이 10% 이상의 성능(G-mean, F1-score) 향상을 도출했다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2024년도 춘계학술발표대회
• /
• pp.377-380
• /
• 2024

최근 악성코드 제작 기술의 고도화에 따라 악성코드의 변종이 전세계적으로 급격히 증가하고 있다. 이러한 대량의 악성코드를 신속하고 정확하게 탐지하기 위한 새로운 악성코드 탐지 기술에 관한 연구가 절실히 필요하다. 본 연구는 기존의 정적 분석과 동적 분석 방법의 한계를 극복하기 위한 방법을 제안한다. 신속한 데이터 수집을 위하여 정적 분석을 이용하여 사용자 정의 함수의 어셈블리어 데이터를 수집하고 BERT 로 임베딩하고 LSTM 으로 악성코드를 분류하는 모델을 제안한다. 분류 데이터는 행위가 정확한 랜섬웨어를 사용하였고 총 세 종류의 랜섬웨어를 분류하였고 다중 분류의 결과로 85.5%의 분류 정확도를 달성하였다.

• 정보보호학회논문지
• /
• 제28권2호
• /
• pp.357-367
• /
• 2018

현대 사회의 정보 기술이 발전함에 따라 시스템의 중요 정보를 탈취하거나 파괴하는 목적을 가진 다양한 악성코드도 함께 발전하고 있다. 그 중 사용자의 자원을 접근하지 못하게 하는 대표적인 악성코드로 랜섬웨어가 있다. 암호화를 수행하는 랜섬웨어에 대해 탐지하는 연구는 최근에 계속해서 진행되고 있으나, 공격을 한 이후에 손상된 파일을 복구하는 추가적인 방안은 제안되지 않고 있다. 또한 기존 연구에서는 암호화가 여러 번에 걸쳐 진행되는 것을 고려하지 않고 유사도 비교 기법을 사용했기 때문에 정상적인 행위로 인식할 가능성이 높다. 따라서 본 논문에서는 파일 시스템을 제어하는 필터 드라이버를 구현하며, 랜섬웨어의 암호화 패턴 분석을 기반으로 검증된 유사도 비교 기법을 수행한다. 이에 접근한 프로세스의 악의적 유무를 탐지하고 클라우드 스토리지를 기반으로 손상된 파일을 복구하는 시스템을 제안하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2018년도 추계학술발표대회
• /
• pp.279-281
• /
• 2018

랜섬웨어는 사용자의 중요 파일을 암호화한 후 금전을 요구하는 형태의 악성코드로, 전 세계적으로 큰 피해를 발생시켰다. 안드로이드 환경에서의 랜섬웨어는 앱을 통해 동작하기 때문에, 앱의 악의적인 암호화 기능 수행을 실시간으로 탐지할 수 있는 방안에 대한 연구들이 진행되고 있다. 자원 제한적인 안드로이드 환경에서 중요한 파일들에 대한 암호화 수행 여부를 실시간으로 탐지하기 위한 방안으로 Shannon 엔트로피 값 비교가 있다. 하지만 파일의 종류에 따라 Shannon 엔트로피 값이 크게 달라질 수 있으며, 암호화 기능 수행에 대한 오탐이 발생할 수 있다. 따라서 본 논문에서는 파일에 대한 분할된 Shannon 엔트로피 값을 측정하여 암호화 기능 수행 탐지의 정확성을 높이고자 한다.

• 정보보호학회논문지
• /
• 제33권3호
• /
• pp.499-510
• /
• 2023

최근 지능적이고 고도화된 사이버 공격은 악성코드가 포함된 파일을 이용하여 공공기관의 전산망을 공격하거나 정보를 유출하는 공격으로 그 피해가 커지고 있다. 다양한 정보 보호시스템이 구축된 공공기관에서도 기존의 시그니처 기반이나 정적 분석을 기반으로 하는 악성코드 및 랜섬웨어 파일 탐지하는 방식을 사용하는 경우는 알려진 공격은 탐지가 가능하나 알려지지 않은 동적 및 암호화 공격에 대해서는 취약하다. 본 연구에서 제안하는 탐지 방안은 공공기관에서 실제로 사용하는 정보보호시스템 중 악성코드 및 랜섬웨어를 탐지할 수 있는 시스템의 탐지 결과 데이터를 추출한 후 결합하여 여러 가지 속성을 도출해 내고, 머신러닝 분류 알고리즘을 통해 도출한 속성들이 어떻게 분류되고 어떤 속성이 분류 결과와 정확도 향상에 중대한 영향을 미치는지 실험을 통해 결과를 도출한다. 본 논문의 실험 결과에서는 특정 속성이 포함된 경우와 포함되지 않은 경우 알고리즘마다 상이하지만, 특정 속성이 포함된 학습에서는 정확도가 높아지는 결과를 보였으며 추후 정보보호시스템의 랜섬웨어 파일 및 이상행위 탐지 알고리즘 제작 시 속성 선택에 활용할 수 있을 것으로 기대한다.

• 정보보호학회논문지
• /
• 제26권3호
• /
• pp.645-653
• /
• 2016

랜섬웨어는 1999년에 처음 만들어 졌지만 우리나라에서는 2015년부터 그 존재가 많이 알려지기 시작했다. 정보통신기술이 점점 발전하고 컴퓨터의 저장용량이 더욱 커지면서 컴퓨터가 저장하는 정보들이 증가했고 이 정보들을 효율적으로 관리하고 보관하는 것이 중요해졌다. 이런 상황에서 랜섬웨어는 타인의 컴퓨터에 무단으로 침입하고 정보를 담은 파일들을 컴퓨터 사용자의 허락 없이 임의로 암호화하기 때문에 사용자에게 심각한 악영향을 끼친다. 본 논문은 커널에서 특정 프로세스가 파일에 접근하는 것을 모니터링하고, 모니터링 한 정보를 바탕으로 파일에 접근하는 행위가 비정상적으로 일어났는지 탐지한다. 탐지한 결과를 통해서 특정 프로세스의 파일접근권한을 차단한다. 이러한 방법을 통해서 랜섬웨어가 비정상적으로 파일에 접근하고 암호화하는 행위를 차단하는 방법을 제시하고자 한다.

• 융합정보논문지
• /
• 제12권4호
• /
• pp.126-132
• /
• 2022

현재 스마트폰의 급격한 보급과 IoT을 대상으로 활성화로 인해 소셜네트워크 서비스를 이용하여 악성코드를 유포하거나 지능화된 APT와 랜섬웨어 등과 같은 지능적인 침입이 진행되고 있고 이로 인한 피해도 이전의 침입보다는 많이 심각해지고 커지고 있는 실정이다. 따라서 본 논문에서는 이런 지능적인 악성 코드로 이루어지는 침입행위를 탐지하기 위하여 지능적인 침입 상황 인식 추론 시스템을 제안하고, 제안한 시스템을 이용하여 지능적으로 진행되는 다양한 침입 행위를 조기에 탐지하고 대응하게 하였다. 제안 시스템은 이벤트 모니터와 이벤트 관리기, 상황 관리기, 대응 관리기, 데이터베이스로 구성되어 있으며 각 구성 요소들 사이에 긴밀한 상호 작용을 통해 기존에 인식하고 있는 침입 행위를 탐지하게 하고 새로운 침입 행위에 대해서는 학습을 통해 추론 엔진의 성능을 개선하는 기능을 통하여 탐지하게 하였다. 또한, 지능적인 침입 유형인 랜섬웨어를 탐지하는 시나리오 통하여 제안 시스템이 지능적인 침입을 탐지하고 대응함을 알 수 있었다.

• 정보보호학회논문지
• /
• 제32권3호
• /
• pp.501-511
• /
• 2022

2021년에는 코로나의 여파로 랜섬웨어를 활용한 공격이 유행했으며 그 수는 매년 급증하고 있다. 그 중 파워쉘은 랜섬웨어에 주요 기술로 사용되고 있어 파워쉘 기반 악성코드 탐지 기법의 필요성은 증가하고 있으나 기존의 탐지기법은 난독화가 적용된 스크립트를 탐지하지 못하거나 역난독화에 시간이 오래 소요되는 한계가 존재한다. 이에 본 논문에서는 간단하고 빠른 역난독화 처리과정, Word2Vec과 CNN(Convolutional Neural Network)으로 구성되어 스크립트의 의미를 학습하고 특징을 추출해 악성 여부를 판단할 수 있는 딥러닝 기반의 분류 모델을 제안한다. 2021 사이버보안 AI/빅데이터 활용 경진대회의 AI 기반 파워쉘 악성 스크립트 탐지 트랙에서 제공된 1400개의 악성코드와 8600개의 정상 스크립트를 이용하여 제안한 모델을 테스트한 결과 기존보다 5.04배 빠른 역난독화 실행시간, 100%의 역난독화 성공률, 0.01의 FPR(False Positve Rate), 0.965의 TPR(True Positive Rate)로 악성코드를 빠르고 효과적으로 탐지함을 보인다.

• 융합보안논문지
• /
• 제23권1호
• /
• pp.117-123
• /
• 2023

점점 더 고도화되고 있는 랜섬웨어 공격을 기계학습 기반 모델로 탐지하기 위해서는, 분류 모델이 고차원의 특성을 가지는 학습데이터를 훈련해야 한다. 그리고 이 경우 '차원의 저주' 현상이 발생하기 쉽다. 따라서 차원의 저주 현상을 회피하면서 학습모델의 정확성을 높이고 실행 속도를 향상하기 위해 특성의 차원 축소가 반드시 선행되어야 한다. 본 논문에서는 특성의 차원이 극단적으로 다른 2종의 데이터세트를 대상으로 3종의 기계학습 모델과 2종의 특성 추출기법을 적용하여 랜섬웨어 분류를 수행하였다. 실험 결과, 이진 분류에서는 특성 차원 축소기법이 성능 향상에 큰 영향을 미치지 않았으며, 다중 분류에서도 데이터세트의 특성 차원이 작을 경우에는 동일하였다. 그러나 학습데이터가 고차원의 특성을 가지는 상황에서 다중 분류를 시도했을 경우 LDA(Linear Discriminant Analysis)가 우수한 성능을 나타냈다.