• 제목/요약/키워드: 실행 은닉

검색결과 35건 처리시간 0.025초

유저 모드 기반의 은닉된 네이티브 API 호출 탐지 기법 연구 (A Study on the Method for detecting Stealth Native API calls in User-mode)

  • 최심현
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2018년도 추계학술발표대회
    • /
    • pp.264-267
    • /
    • 2018
  • 본 연구에서는 API 호출을 은닉할 수 있는 새로운 유형의 유저모드 기반 루트킷으로 Cuckoo Sandbox를 회피하는 기법과 이를 탐지하기 위한 연구를 한다. Cuckoo Sandbox의 행위 분석을 회피하기 위해 잠재적으로 출현 가능한 은닉된 코드 이미지 기반의 신종 루트킷 원리를 연구하고 탐지하기 위한 방안을 함께 연구한다. 네이티브 API 호출 코드 영역을 프로세스 공간에 직접 적재하여 네이티브 API를 호출하는 기법은 Cuckoo Sandbox에서 여전히 잠재적으로 행위 분석 회피가 가능하다. 본 연구에서는 은닉된 외부주소 호출 코드 영역의 탐지를 위해 프로세스의 가상메모리 공간에서 실행 가능한 페이지 영역을 탐색 후 코사인 유사도 분석으로 이미지 탐지 실험을 하였으며, 코드 영역이 맵핑된 정렬 단위의 4가지 실험 조건에서 평균 83.5% 유사도 탐지 결과를 확인하였다.

은닉형 악성코드 분석을 위한 행위 추출연구 동향 (A Study of Research Issue about Behavior Extraction Technique for Evasive Malware)

  • 황호;문대성;김익균
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2016년도 추계학술발표대회
    • /
    • pp.193-195
    • /
    • 2016
  • 오늘날의 백신은 일반적으로 시그니처 기반 탐지법을 이용한다. 시그니처 탐지기법은 악성코드의 특정한 패턴을 비교하여 효율적이고 오탐율이 낮은 기법이다. 하지만 알려지지 않은 악성코드와 난독화 기법이 적용된 악성코드를 분석하는데 한계가 있다. 악성코드를 실행하여 나타나는 행위를 분석하는 동적분석 방법은 특정한 조건에서만 악성행위를 나타내는 은닉형 악성코드(Evasive Malware)를 탐지하는 데 한계를 지닌다. 본 논문에서는 은닉형 악성코드에 적용된 기법에 관하여 소개하고 나아가 이를 탐지하기 위한 방법에 관한 기술동향을 소개한다.

악성코드 실행과 은닉을 위한 다중 압축 연구 (A Study of Multiple Compression for Malicious Code Execution and Concealment)

  • 이정훈;박대우
    • 한국정보통신학회:학술대회논문집
    • /
    • 한국해양정보통신학회 2010년도 춘계학술대회
    • /
    • pp.299-302
    • /
    • 2010
  • 최근의 악성코드는 백신에 쉽게 탐지 되지 않기 위해 바이러스를 압축파일로 변조시켜 악성코드 패턴을 지연하는 추세이다. 시중에 나와 있는 수많은 백신엔진 중에서는 압축파일로 변조된 악성코드 패턴 및 검사가 가능한지 알아 봐야한다. 본 논문은 다중 압축 파일로 위장 변조된 은닉된 악성코드의 패턴을 검사하여 검출되는지를 검사 엔진을 통해 모의실험을 한다. 은닉된 악성코드의 행위를 분석하며, 호스트 파일 변조와 시스템 드라이버 파일 감염 및 레지스트리 등록이 되는가를 분석한다. 본 연구를 통해 은닉형 악성코드의 검사와 백신 치료 효과를 강화시켜 악성코드로 인한 피해를 감소하는데 기여할 것이다.

  • PDF

복합문서 파일에 은닉된 데이터 탐지 기법에 대한 연구 (An effective detection method for hiding data in compound-document files)

  • 김은광;전상준;한재혁;이민욱;이상진
    • 정보보호학회논문지
    • /
    • 제25권6호
    • /
    • pp.1485-1494
    • /
    • 2015
  • 기존 데이터 은닉은 대용량 멀티미디어 파일에 데이터를 삽입하는 방식으로 이루어졌다. 하지만 최근 Microsoft Office 2003 이하 버전 제품의 문서파일은 구조가 파일시스템과 유사하여 데이터 은닉이 비교적 용이해 커버데이터(Cover data)로 사용되고 있다. 데이터가 은닉된 문서파일을 MS Office 프로그램으로 실행할 경우 은닉 사실을 모르는 사용자는 은닉 데이터를 눈으로 쉽게 확인할 수 없다. 이에 본 논문에서는 Microsoft Office 2003 이하 버전과 한컴오피스 문서파일에서 사용되는 복합문서 파일 이진형식(Compound File Binary Format) 파일 포맷 구조를 분석하여 데이터 삽입이 가능한 공간을 살펴보고 이를 탐지하기 위한 방안을 제시하고자 한다.

은닉노드의 특징 값을 기반으로 한 최적신경망 구조의 BPN성능분석 (Performance Analysis of Optimal Neural Network structural BPN based on character value of Hidden node)

  • 강경아;이기준;정채영
    • 한국컴퓨터정보학회논문지
    • /
    • 제5권2호
    • /
    • pp.30-36
    • /
    • 2000
  • 은닉노드는 주어진 문제에서 입력패턴(input pattern)들의 특징을 구분해주는 중요한 역할을 한다. 이 때문에 최적의 은닉노드 수로 구성된 신경망 구조가 성능에 가장 큰 영향을 주는 요인으로 중요성이 대두되고 있다. 그러나 역전파(back-propagation) 학습 알고리즘을 기반으로 하여 은닉노드 수를 결정하는데는 문제점이 있다. 은닉노드 수가 너무 적게 지정되면 주어진 입력패턴을 충분히 구분할 수 없게 되어 완전한 학습이 이루어지지 않는 반면, 너무 많이 지정하면 불필요한 연산의 실행과 기억장소의 낭비로 과적응(overfitting)이 일어나 일반성이 떨어져 인식률이 낮아지기 때문이다. 따라서 본 논문에서는 백 프로퍼게이션 알고리즘을 이용하여 학습을 수행하는 다층 신경망의 학습오차 감소와 수렴율 개선을 위하여 신경망을 구성하는 매개변수를 가지고 은닉노드의 특징 값을 구하고, 그 값은 은닉노드를 제거(pruning)하기 위한 평가치로 사용된다. 구해진 특징 값 중 최대 값과 최소 값을 갖는 노드를 감소(pruning)대상에서 제외하고 나머지 은닉노드 특징 값의 평균과 각 은닉노드의 특징 값을 비교하여 평균보다 작은 특징 값을 갖는 은닉노드를 pruning시키므로서 다층 신경망의 최적 구조를 결정하여 신경망의 학습 속도를 개선하고자 한다.

  • PDF

PVNIOT를 적용한 공정한 은닉 서명 프로토콜 설계 (A Design of Fair Blind Signatures Protocol using PVNIOT)

  • 김상춘;권기현
    • 융합보안논문지
    • /
    • 제3권2호
    • /
    • pp.33-40
    • /
    • 2003
  • 불확정 전송 프로토콜의 가장 큰 문제점은 단일 프로토콜로 사용될 경우에는 그 통신량과 계산량이 적지만 암호 프로토콜의 서브프로토콜로 사용될 경우 그 통신량과 계산량이 급증한다는 것이다. 이러한 문제점을 해결하기 위해 통신 트래픽이 적은 시간에 사전 계산을 실행함으로써 통신량과 계산량을 줄일 수 있도록 설계한 검증 가능한 비대화형 불확정 전송 프로토콜을 적용하여 기존에 Fiat-Shamir 서명 방식(Fiat 86)에서 평방 근을 사용하던 방식 대신에 third root를 사용하고 1-out-of-2 불확정 전송을 이용하는 에 관한 공정한 은닉 서명 기법에 사전 계산에 의한 검증 가능한 비대화형 불확정 전송 프로토콜을 적용하여 공정한 은닉 서명 프로토콜을 설계하였다. 또한 제안한 프로토콜을 Lein Harn, VNIOT 프로토콜 방식과 비교하여 분석하고, 프로토콜에 대하여 분석하였다.

  • PDF

골프공 인식을 위한 OpenCV 기반 신경망 최적화 구조 (Optimal Structures of a Neural Network Based on OpenCV for a Golf Ball Recognition)

  • 김강철
    • 한국전자통신학회논문지
    • /
    • 제10권2호
    • /
    • pp.267-274
    • /
    • 2015
  • 본 논문은 OpenCV 라이브러리를 기반으로 골프공 인식을 위한 신경망의 최적화 구조와 관심영역의 빛의 명도를 계산한다. 개발된 시스템은 전처리, 영상처리, 기계 학습 과정으로 구성되며, 기계 학습과정은 테스트 영상으로부터 골프공과 다른 오브젝트에 대한 Hu의 7 불변 모멘트, 가로 및 세로 비율 또는 면적으로부터 계산된 ${\pi}$를 입력으로 사용하여 다층 퍼셉트론을 기반으로 학습모델을 구한다. 다층 퍼셉트론에 대한 최적의 은닉층과 노드의 수를 결정하도록 모의 실험한 결과 2개의 은닉층과 각 은닉층에 9개의 노드를 가질 때 최대의 인식율과 최소 실행 시간을 얻었다. 그리고 관심영역의 최적 명도는 200으로 계산되었다.

은닉 마코프 모델 기반 병렬음성인식 시스템 (A Parallel Speech Recognition System based on Hidden Markov Model)

  • 정상화;박민욱
    • 한국정보과학회논문지:시스템및이론
    • /
    • 제27권12호
    • /
    • pp.951-959
    • /
    • 2000
  • 본 논문의 병렬음성인식 모델은 연속 은닉 마코프 모델(HMM; hidden Markov model)에 기반한 병렬 음소인식모듈과 계층구조의 지식베이스에 기반한 병렬 문장인식모듈로 구성된다. 병렬 음소인식 모듈은 수천개의 HMM을 병렬 프로세서에 분산시킨 수, 할당된 HMM에 대한 출력확률 계산과 Viterbi 알고리즘을 담당한다. 지식베이스 기반 병렬 문장인식모듈은 음소모듈에서 공급되는 음소열과 지안하는 병렬 음성인식 알고리즘은 분산메모리 MIMD 구조의 다중 트랜스퓨터와 Parsytec CC 상에 구현되었다. 실험결과, 병렬 음소인식모듈을 통한 실행시간 향상과 병렬 문장인식모듈을 통한 인식률 향상을 얻을 수 있었으며 병렬 음성인식 시스템의 실시간 구현 가능성을 확인하였다.

  • PDF

자바 리플렉션 기반의 안드로이드 API 정적 분석무력화 도구의 설계 및 구현 (Design and Implementation of a Tool for Breaking static analysis of Android API Based on Java Reflection)

  • 박희완;이주혁
    • 한국컴퓨터정보학회:학술대회논문집
    • /
    • 한국컴퓨터정보학회 2014년도 제49차 동계학술대회논문집 22권1호
    • /
    • pp.99-102
    • /
    • 2014
  • 리플렉션은 자바 언어의 기능 중 하나로, 자바 프로그램을 실행해서 해당 프로그램을 조사하거나 내부의 동작 구조를 조작할 수 있다. 리플렉션을 사용하게 되면 자바 소스의 난독화 뿐만 아니라 정적 분석 도구의 API 호출 탐지를 방해하게 되어 분석 결과의 정확도를 떨어뜨리게 된다. 만약 이 특성을 악용해 악성 앱 제작자가 특정 API 메소드 호출을 은닉하는 목적으로 사용한다면 정적 분석에 의존하는 기존 분석 도구들이 API 메소드 호출을 탐지하기 어렵기 때문에 큰 위협이 될 수 있다. 본 연구에서는 안드로이드 환경에서 표본 어플리케이션에 직접 설계한 도구를 이용하여 API 메소드에 리플렉션을 적용하고, 원본 소스와 리플렉션 후 디컴파일된 소스를 비교하여 API 메소드 호출이 리플렉션을 통해서 은닉 가능함을 보여준다.

  • PDF

자바 리플렉션 기반의 안드로이드 API 난독화를 위한 자동 변환 도구의 설계 및 구현 (Design and Implementation of An Auto-Conversion Tool for Android API Obfuscation Based on Java Reflection.)

  • 이주혁;박희완
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2014년도 춘계학술발표대회
    • /
    • pp.487-490
    • /
    • 2014
  • 리플렉션은 자바 프로그램을 실행하여 객체 내부의 모든 요소를 조사하거나 호출 혹은 조작할 수 있는 자바 언어의 한 기능이다. 한 클래스 내부의 메소드에 리플렉션을 적용하여 호출하게 되면 String형의 메소드 이름으로 간접 호출하기에 정적 분석 도구의 API 호출 탐지를 방해하게 되어 분석결과의 정확도를 떨어뜨릴 수 있고, 또한 일반적인 호출보다 복잡한 절차를 거치게 되어 소스 자체의 난독화 효과를 갖게 된다. 또한 디컴파일러의 역공학 분석을 어렵게 만드는 장점도 있다. 이 특성을 이용한다면 안드로이드 환경에서 특정 API를 은닉하여 개인정보를 누출하도록 악용하거나 디컴파일러 이용을 방지하는 데 활용될 수 있다. 본 연구에서는 안드로이드 환경에서 직접 설계한 도구와 표본 앱을 이용하여 API 메소드에 리플렉션을 적용하고, 원본 소스와 리플렉션 후 디컴파일된 소스를 비교하여 API 호출이 리플렉션을 통해서 은닉 가능함을 보여준다.