• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.91-95
• /
• 2001

본 논문은 현재 컴퓨터 사용자들에게 많은 피해를 입히고 있는 악성 스크립트 코드에 대한 탐지기법을 제시하고자 한다. 스크립트 언어는 타 언어에 비해서 단순하며, 상위 수준의 언어로 작성된 소스를 직접 분석가능하기 때문에 기존의 이진 파일 형태의 바이러스 비해 정적 분석 기법 적용이 용이하다. 제안하는 탐지 기법은 기존의 스코어링 방식을 기반으로 한 패턴 매칭과는 달리 스크립트가 수행하는 악성 행위의 분석을 통해 행위 패턴을 생성하고, 이 패턴들을 정적 분석 기법을 통해 패턴간의 관계 분석을 통해 보다 확실한 악성 행위를 탐지하여 스크립트에 포함된 악성행위들을 보고한다. 기존 대부분의 바이러스 탐지 도구들은 이미 알려진 바이러스들만을 탐지 할 수 있다. 정적 분석 기법을 이용한 악성 스크립트 탐지 방법은 악성 행위 별 패턴 존재 여부를 판단하므로 이미 알려진 바이러스는 물론 알려지지 않은 바이러스를 탐지 할 수 있는 방안을 제시한다.

• Review of KIISC
• /
• v.17 no.4
• /
• pp.74-82
• /
• 2007

악성코드 탐지기술에 대한 연구는 최근에도 지속적으로 진행되고 있다. 특히, 에뮬레이터나 가상머신을 이용한 악성행위 탐지기술은 사용자 시스템에 악영향을 미치지 않는 독립적인 공간에서 코드의 실행이 가능하며, 빠른 초기화가 가능하다는 장점으로 인해 최근에 이슈가 되고 있다. 본 논문에서는 최근의 에뮬레이터나 가상머신을 이용한 악성행위 탐지기술의 연구동향을 분석하고, 관련 기술의 발전방향을 제시하고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2012.04a
• /
• pp.770-773
• /
• 2012

특정 기업 및 국가를 대상으로 하는 APT(Advanced Persistent Threat)공격의 경우 특정 시스템을 겨냥하여 제작되기 때문에 기존의 시그니처 기반의 악성코드 탐지 방식으로는 해당 악성코드를 탐지할 수 없다. 따라서 알려지지 않은 악성코드를 탐지할 수 있는 행위 기반의 악성코드 탐지 방식이 최근 이슈화되었다. 본 논문에서는 연구되고 있는 행위 분석 기반의 악성코드 탐지 방식들을 분석함으로써 향후 행위 기반 악성코드 탐지 기술 개발 및 연구에 기여하고자 한다.

• Smart Media Journal
• /
• v.8 no.4
• /
• pp.25-32
• /
• 2019

While the development of the Internet has made information more accessible, this also has provided a variety of intrusion paths for malicious programs. Traditional Signature-based malware-detectors cannot identify new malware. Although Dynamic Analysis may analyze new malware that the Signature cannot do, it still is inefficient for detecting variants while most of the behaviors are similar. In this paper, we propose a detection method using behavioral similarity with existing malicious codes, assuming that they have parallel patterns. The proposed method is to extract the behavior targets common to variants and detect programs that have similar targets. Here, we verified behavioral similarities between variants through the conducted experiments with 1,000 malicious codes.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.281-283
• /
• 2003

네트워크 환경이 발전함에 따라 엑티브엑스 컨트롤과 같은 이동 실행 코드들의 사용이 증가하고 있으며 동시에 사용자가 본래 의도했던 행위 대신에 로컬 자원에의 불법적인 접근 및 시스템 파괴와 같은 악성 행위로 인한 피해가 증가하고 있다. 이러한 악성실행코드들은 바이러스와 더불어 웹의 발전으로 광범위하게 확산될 것으로 예상되며 피해 규모도 바이러스에 버금갈 것으로 예상된다. 이에 본 논문에서는 기존에 알려진 악성실행코드뿐만 아니라 알려지지 않은 악성실행코드들에 의해 사용자 컴퓨터에서 발생할 수 있는 각종 악성행위를 탐지하고 그 행위를 차단하며 탐지된 정보를 신속히 공유함으로써 악성실행코드에 대한 대응력을 강화시킬 수 있는 실행시간 악성실행코드 탐지 시스템을 설계한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.999-1002
• /
• 2002

기존의 바이러스 및 악성 코드 백신의 탐지 기법은 대부분 시그너쳐 기반의 패턴 매칭 기법을 사용하고 있다. 이러한 기법의 단점은 새로운 악성 코드가 발생하면 사용자가 매번 시그너쳐를 업데이트를 해야 탐지가 가능하며, 시그너쳐의 업데이트 없이는 알려지지 않은 바이러스 및 악성 코드를 탐지할 수 없다는 것이다. 따라서 이와 같은 패턴 매칭 기법의 단점을 보완하고자 각각의 악성 코드 종류에 따른 시그너쳐를 이용한 탐지 기법이 아닌 악성 행위별 패턴를 이용하여 탐지를 한다면 기존의 기능을 포함한 알려지지 않은 바이러스 및 악성 코드 등을 탐지할 수 있을 것이다. 본 논문에서는 시스템 모니터링을 통하여 악성 행위별 패턴 분석 및 결과에 대해 기술한다.

• The KIPS Transactions:PartC
• /
• v.13C no.1 s.104
• /
• pp.45-54
• /
• 2006

Nowadays, a lot of techniques have been applied for the detection of malicious behavior. However, the current techniques taken into practice are facing with the challenge of much variations of the original malicious behavior, and it is impossible to respond the new forms of behavior appropriately and timely. There are also some limitations can not be solved, such as the error affirmation (positive false) and mistaken obliquity (negative false). With the questions above, we suggest a new method here to improve the current situation. To detect the malicious code, we put forward dealing with the basic source code units through the conceptual graph. Basically, we use conceptual graph to define malicious behavior, and then we are able to compare the similarity relations of the malicious behavior by testing the formalized values which generated by the predefined graphs in the code. In this paper, we show how to make a conceptual graph and propose an efficient method for similarity measure to discern the malicious behavior. As a result of our experiment, we can get more efficient detection rate.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2014.11a
• /
• pp.388-391
• /
• 2014

JavaScript는 AJAX와 같은 기술을 통해 정적인 HTML에 동적인 기능을 제공하며 그 쓰임새는 HTML5 등장 이후 더욱 주목받고 있는 기술이다. 그와 비례하여 JavaScript를 이용한 공격( DoS 공격, 기밀정보 누출 등 ) 또한 큰 위험으로 다가오고 있다. 이들 공격은 실제적인 흔적을 남기지 않기 때문에 JavaScript 코드 상에서 악성 행위를 판단해야 하며, 웹브라우저가 JavaScript 코드를 실행해야 실제적인 행위가 일어나기 때문에 이를 방지하기 위해선 실시간으로 악성 스크립트를 분별하고 파악할 수 있는 분석 기술이 필요하다. 본 논문은 이런 악성 스크립트를 탐지하는 분석엔진 기술을 제안한다. 이 분석 엔진은 시그니쳐 기반 탐지 기술을 이용한 정적 분석과 행위 기반 탐지 기술을 사용하는 동적 분석으로 이루어진다. 정적 분석은 JavaScript 코드에서 악성 스크립트 코드를 탐지하고 동적 분석은 JavaScript 코드의 실제 행위를 분석하여 악성 스크립트를 판별한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.511-513
• /
• 2002

본 논문은 악성 스크립트를 탐지하는 새로운 방법을 제안한다. 정보검색 기법을 이용하여 정상 스크립트들을 기능별로 구분하여 정상 행위를 정의함으로써, 정상 행위에서 벗어나는 경우에 악성이라고 판정한다. 소스 기반의 빠른 검색이 가능하며, 실시간 모니터링을 통한 비정상 스크립트의 탐지가 가능하다. 또한 새로운 악성 스크립트가 생성되는 경우에도 탐지가 가능하다는 장점을 가지고 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2016.10a
• /
• pp.193-195
• /
• 2016

오늘날의 백신은 일반적으로 시그니처 기반 탐지법을 이용한다. 시그니처 탐지기법은 악성코드의 특정한 패턴을 비교하여 효율적이고 오탐율이 낮은 기법이다. 하지만 알려지지 않은 악성코드와 난독화 기법이 적용된 악성코드를 분석하는데 한계가 있다. 악성코드를 실행하여 나타나는 행위를 분석하는 동적분석 방법은 특정한 조건에서만 악성행위를 나타내는 은닉형 악성코드(Evasive Malware)를 탐지하는 데 한계를 지닌다. 본 논문에서는 은닉형 악성코드에 적용된 기법에 관하여 소개하고 나아가 이를 탐지하기 위한 방법에 관한 기술동향을 소개한다.