• Title, Summary, Keyword: 악성코드

Search Result 677, Processing Time 0.032 seconds

A Development of Management System of Malware Group and Variant Information (악성코드 그룹 및 변종 관리 시스템 개발)

  • Kang, Hong-Koo;Ji, Seung-Goo;Jeong, Hyun-Cheol
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • /
    • pp.879-882
    • /
    • 2011
  • 최근 변종 악성코드가 크게 증가하고 하나 이상의 악성코드로 이루어진 그룹 형태의 악성코드들이 빠르게 유포되고 있다. 이러한 그룹 형태의 악성코드와 변종 악성코드에 대한 효과적인 대응을 위해서는 악성코드 그룹 및 변종을 관리하고 안티바이러스 업체와 정보를 공유할 수 있는 시스템이 필요하다. 본 논문에서는 대용량 악성코드 분석 정보로부터 악성코드 그룹 및 변종 정보를 효율적으로 관리하고 공유하는 시스템을 제안하다. 악성코드 그룹 정보는 악성코드 행위를 기반으로 연계된 악성코드 정보들로 생성되고, 악성코드 변종 정보는 CFG 분석을 통한 악성코드간 유사도 정보로 생성된다. 본 논문에서 제안하는 시스템은 악성코드 그룹 및 변종 정보를 쉽게 검색하고 공유할 수 있기 때문에 다양한 악성코드 대응 시스템과 쉽게 연계될 수 있는 장점을 가지고 있다.

  • PDF

Behavior based Malware Profiling System Prototype (행위기반 악성코드 프로파일링 시스템 프로토타입)

  • Kang, Hong-Koo;Yoo, Dae-Hoon;Choi, Bo-Min
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • /
    • pp.376-379
    • /
    • 2017
  • 전 세계적으로 악성코드는 하루 100만개 이상이 새롭게 발견되고 있으며, 악성코드 발생량은 해마다 증가하고 있는 추세이다. 공격자는 보안장비에서 악성코드가 탐지되는 것을 우회하기 위해 기존 악성코드를 변형한 변종 악성코드를 주로 이용한다. 변종 악성코드는 자동화된 제작도구나 기존 악성코드의 코드를 재사용하므로 비교적 손쉽게 생성될 수 있어 최근 악성코드 급증의 주요 원인으로 지목되고 있다. 본 논문에서는 대량으로 발생하는 악성코드의 효과적인 대응을 위한 행위기반 악성코드 프로파일링 시스템 프로토타입을 제안한다. 동일한 변종 악성코드들은 실제 행위가 유사한 특징을 고려하여 악성코드가 실행되는 과정에서 호출되는 API 시퀀스 정보를 이용하여 악성코드 간 유사도 분석을 수행하였다. 유사도 결과를 기반으로 대량의 악성코드를 자동으로 그룹분류 해주는 시스템 프로토타입을 구현하였다. 악성코드 그룹별로 멤버들 간의 유사도를 전수 비교하므로 그룹의 분류 정확도를 객관적으로 제시할 수 있다. 실제 유포된 악성코드를 대상으로 악성코드 그룹분류 기능과 정확도를 측정한 실험에서는 평균 92.76%의 분류 성능을 보였으며, 외부 전문가 의뢰에서도 84.13%로 비교적 높은 분류 정확도를 보였다.

Convolutional Neural Network-based Malware Classification Method utilizing Local Feature-based Global Image (로컬 특징 기반 글로벌 이미지를 사용한 CNN 기반의 악성코드 분류 방법)

  • Jang, Sejun;Sung, Yunsick
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • /
    • pp.222-223
    • /
    • 2020
  • 최근 악성코드로 인한 피해가 증가하고 있다. 악성코드는 악성코드가 속한 종류에 따라서 대응하는 방법도 다르기 때문에 악성코드를 종류별로 분류하는 연구도 중요하다. 기존에는 악성코드 시각화 과정을 통해서 생성된 악성코드의 글로벌 이미지를 사용해 악성코드를 각 종류별로 분류한다. 글로벌 이미지를 악성코드로부터 추출한 바이너리 정보를 사용해서 생성한다. 하지만, 글로벌 이미지만을 사용해서 악성코드를 각 종류별로 분류하는 경우 악성코드의 종류별로 중요한 특징을 고려하기 않기 때문에 분류 정확도가 떨어진다. 본 논문에서는 악성코드의 글로벌 이미지에 악성코드의 종류별 특징을 나타내기 위한 로컬 특징 기반 글로벌 이미지를 사용한 악성코드 분류 방법을 제안한다. 첫 번째, 악성 코드로부터 바이너리를 추출하고 추출된 바이너리를 사용해서 글로벌 이미지를 생성한다. 두 번째, 악성 코드로부터 로컬 특징을 추출하고 악성코드의 종류별 핵심 로컬 특징을 단어-역문서 빈도(Term Frequency Inverse Document Frequency, TFIDF) 알고리즘을 사용해 선택한다. 세 번째, 생성된 글로벌 이미지에 악성코드의 패밀리별 핵심 특징을 픽셀화해서 적용한다. 네 번째, 생성된 로컬 특징 기반 글로벌 이미지를 사용해서 컨볼루션 모델을 학습하고, 학습된 컨볼루션 모델을 사용해서 악성코드를 각 종류별로 분류한다.

모바일 악성코드의 전략과 사례 분석을 통한 모바일 악성코드 진단법

  • Jang, SangKeun
    • Review of KIISC
    • /
    • v.23 no.2
    • /
    • pp.14-20
    • /
    • 2013
  • 2011년부터 모바일 악성코드가 급격하게 증가하는 상황 속에서 2012년 말부터는 국내(한국)의 특성에 맞춘 모바일 악성코드들이 끊임없이 발생되고 있고 실질적 피해 또한 계속 발생되고 있다. 이에 본 논문에서는 이러한 모바일 악성코드들의 진화 과정, 모바일 악성코드의 특징, 모바일 악성코드의 분류에 대해서 다루며 모바일 악성코드가 이용하는 기술적 전략과 행위 그리고 사회공학적 기법들을 다룬다. 또한 모바일 악성코드가 제작되어 지고 있는 목적이 무엇인지 실제 피해 사례 분석을 통해 알아보고 어떻게 모바일 악성코드를 진단할 것인지를 살펴본다.

악성코드 변종 탐지를 위한 코드 재사용 분석 기법

  • Kim, TaeGuen;Im, Eul Gyu
    • Review of KIISC
    • /
    • v.24 no.1
    • /
    • pp.32-38
    • /
    • 2014
  • 본 논문은 수년간 급격하게 증가되어 많은 피해를 초래하고 있는 악성코드를 탐지하기 위한 기법을 제안한다. 악성코드 제작자로부터 생산되고 인터넷에 유포되는 대부분의 악성코드는 처음 개발된 제로-데이 악성코드의 코드 일부를 그래도 재사용하는 경우가 많다. 이러한 특징에 의해 악성코드 변종들 사이에는 악의적 행위를 위해 사용되는 함수들 중 공통으로 포함되는 코드들이 존재하게 된다. 논문에 저자는 이점에 착안하여 코드 재사용 검사 여부를 통한 악성코드 변종 탐지 기법을 제안하고 있다. 그리고 변종 샘플을 이용한 변종 탐지의 가능성을 증명하는 실험과 실제 공통으로 존재하는 재사용 코드 일부(함수) 추출 정확성을 알아보는 실험을 수행하여 주장을 뒷받침한다.

Convolution Neural Network for Malware Detection (합성곱 신경망(Convolution Neural Network)를 이용한 악성코드 탐지 방안 연구)

  • Choi, Sin-Hyung
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • /
    • pp.166-168
    • /
    • 2018
  • 새롭게 변형되는 대규모 악성코드들을 신속하게 탐지하기 위하여 인공지능 딥러닝을 이용한 악성코드 탐지 기법을 제안한다. 대용량의 고차원 악성코드를 저차원의 이미지로 변환하고, 딥러닝 합성곱신경망(Convolution Neural Network)을 통해 이미지의 악성코드 패턴을 학습하고 분류하였다. 본 논문에서는 악성코드 분류 모델의 성능을 검증하기 위하여 악성코드 종류별 분류 실험과 악성코드와 정상코드 분류 실험을 실시하였고 각각 97.6%, 87%의 정확도로 악성코드를 구별해 내었다. 본 논문에서 제안한 악성코드 탐지 모델은 차원 축소를 통해 10,868개(200GB)의 대규모 데이터에 대하여 10분 이내의 학습시간이 소요되어 새로운 악성코드 학습 및 대용량 악성코드 탐지를 신속하게 처리 가능함을 보였다.

A Study on Classification of Malware Based on Purpose of Behavioral (목적행위를 기반으로 한 악성코드 분류 방식에 관한 연구)

  • Kim, Ho-Yeon;Park, Min-Woo;Seo, Sangwook;Chung, Tai-Myoung
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • /
    • pp.872-875
    • /
    • 2011
  • 악성코드 개체 수의 급격한 증가와 정형화되지 않은 악성코드 분류 기준 때문에 업체별, 연구기관별 악성코드 분류 방식이 서로 상이하다. 이 때문에 악성코드를 분석하는 분석가들은 모호한 악성코드 분류 방식 때문에 업무에 불필요한 시간이 소요되고 있다. 또한 안티 바이러스 제품을 사용하는 최종 사용자로 하여금 혼란을 유발하고, 악성코드에 대응하기 위해 진행되는 연구에서 악성코드에 대한 정확한 분류 지표가 없어, 연구에 혼선을 빚고 있다. 본 논문에서는 악성코드의 정확한 분류와 새로운 악성코드가 발견되고, 새로운 매체가 출현하여도 이에 유기적으로 대응할 수 있도록 악성코드의 목적행위에 따라서 총 7개 그룹으로 나누었다. 제안 분류 방식을 사용할 경우 분류된 악성코드에 대하여 보다 정확한 정보를 얻을 수 있을 것으로 기대한다.

  • PDF

A Study on Malicious Codes Grouping and Analysis Using Visualization (시각화 기법을 이용한 악성코드 분석 및 분류 연구)

  • Song, In-Soo;Lee, Dong-Hui;Kim, Kui-Nam
    • Convergence Security Journal
    • /
    • v.10 no.3
    • /
    • pp.51-60
    • /
    • 2010
  • The expansion of internet technology has made convenience. On the one hand various malicious code is produced. The number of malicious codes occurrence has dramadically increasing, and new or variant malicious code circulation very serious, So it is time to require analysis about malicious code. About malicious code require set criteria for judgment, malicious code taxonomy using Algorithm of weakness difficult to new or variant malicious code taxonomy but already discovered malicious code taxonomy is effective. Therefore this paper of object is various malicious code analysis besides new or variant malicious code type or form deduction using visualization of strong. Thus this paper proposes a malicious code analysis and grouping method using visualization.

Trend and Issue Dynamic Analysis for Malware (악성코드 동적분석 동향)

  • Hwang, Ho;Moon, Daesung;Kim, Ikkun
    • Proceedings of the Korea Information Processing Society Conference
    • /
    • /
    • pp.418-420
    • /
    • 2015
  • 인터넷이 발전하면서 사이버 공격이 증가하고 있으며, 사이버 공격에 사용되는 악성코드도 점차 지능화 되고 있다. 악성코드 탐지에는 정적분석을 통해 악성코드의 특정패턴을 비교하는 시그니처 기반 접근법이 널리 사용되고 있으며, 높은 탐지율과 빠른 탐지속도를 보인다. 그러나 알려지지 않은 신종 악성코드(0-day)와 실행압축, 난독화 둥에 의한 변종 악성코드를 분석하기에 한계가 있다. 더욱이 악성코드의 정적분석은 많은 노력과 시간이 소모되는 작업이며, 최근 악성코드들은 대부분 정적분석 우회기술이 적용되어 대량으로 유포되는 실정이다. 그러므로 악성코드를 직접 실행시켜 발생되는 이벤트들을 수집하여 의미를 분석하는 동적분석이 활발하게 연구되고 있다. 본 논문에서는 악성코드에 적용된 동적분석 우회기술에 관하여 기술하고 나아가 동적분석 우회기술이 적용된 악성코드를 탐지하기 위한 방법에 관한 기술동향을 소개한다.

악성코드 탐지를 위한 물리 메모리 분석 기술

  • Kang, YoungBok;Hwang, Hyunuk;Kim, Kibom;Sohn, Kiwook;Noh, Bongnam
    • Review of KIISC
    • /
    • v.24 no.1
    • /
    • pp.39-44
    • /
    • 2014
  • 악성코드는 다양해진 감염 경로를 통해 쉽게 노출될 수 있으며, 개인정보의 유출뿐만 아니라 봇넷을 이용한 DDoS 공격과 지능화된 APT 공격 등을 통해 심각한 보안 위협을 발생시키고 있다. 최근 악성코드들은 실행 후에는 메모리에서만 동작하는 방식으로 파일로 존재하지 않기 때문에 기존의 악성코드 탐지 기법으로 이를 찾기가 쉽지 않다. 이를 극복하고자 최근에는 물리 메모리 덤프를 포함하여 악성코드 분석 및 탐지 연구가 활발하게 진행되고 있다. 본 논문에서는 윈도우 시스템의 물리 메인 메모리에서 악성코드 탐지 기술에 대해 설명하고, 기존 개발된 물리 메모리 악성코드 탐지 도구에 대한 분석을 수행하여 도구별 악성코드 탐지 기능에 대한 특징을 설명한다. 물리 메모리 악성코드 탐지 도구의 분석 결과를 통해 기존 물리 메모리 악성코드 탐지 기술의 한계점을 제시하고, 향후 정확하고 효율적인 물리 메모리 악성코드 탐지의 기반 연구로 활용하고자 한다.