• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2018년도 추계학술발표대회
• /
• pp.264-267
• /
• 2018

본 연구에서는 API 호출을 은닉할 수 있는 새로운 유형의 유저모드 기반 루트킷으로 Cuckoo Sandbox를 회피하는 기법과 이를 탐지하기 위한 연구를 한다. Cuckoo Sandbox의 행위 분석을 회피하기 위해 잠재적으로 출현 가능한 은닉된 코드 이미지 기반의 신종 루트킷 원리를 연구하고 탐지하기 위한 방안을 함께 연구한다. 네이티브 API 호출 코드 영역을 프로세스 공간에 직접 적재하여 네이티브 API를 호출하는 기법은 Cuckoo Sandbox에서 여전히 잠재적으로 행위 분석 회피가 가능하다. 본 연구에서는 은닉된 외부주소 호출 코드 영역의 탐지를 위해 프로세스의 가상메모리 공간에서 실행 가능한 페이지 영역을 탐색 후 코사인 유사도 분석으로 이미지 탐지 실험을 하였으며, 코드 영역이 맵핑된 정렬 단위의 4가지 실험 조건에서 평균 83.5% 유사도 탐지 결과를 확인하였다.

• 산업융합연구
• /
• 제21권12호
• /
• pp.55-62
• /
• 2023

최근 등장하는 랜섬웨어들은 다양한 공격 기법과 다양한 경로를 통해 공격을 수행하고 있어 조기 탐지와 방어에 많은 어려움을 겪고 있으며, 그 피해 규모도 날로 증가하고 있다. 따라서 본 논문에서는 효과적인 랜섬웨어 탐지를 위하여 파일 암호화와 암호화 패턴을 머신러닝 기반으로 하는 감지 기법을 제안한다. 파일 암호화는 랜섬웨어가 공격하는데 필수적으로 사용하는 기능으로 암호 행위와 암호화 패턴을 분석함으로써 랜섬웨어를 탐지하고 랜섬웨어의 특정 변종이나 새로운 유형의 랜섬웨어를 탐지할 수 있기 때문에 랜섬웨어 공격을 식별하고 차단하는 데 매우 효과적이다. 제안한 머신러닝 기반의 암호화 행위 감지 기법은 암호화 특성과 암호화 패턴 특성을 추출하여 머신러닝 기반의 분류기를 통해 각각 학습을 시켜 해당 행위에 대한 탐지를 진행하고 최종 결과는 두 분류기의 평가 결과를 기반으로 앙상블 분류기에서 랜섬웨어 유무를 판별하여 좀 더 정확도를 높였다. 또한, 제안한 기법을 numpy와 pandas, 파이썬의 사이킷런 라이브러리를 사용하여 구현하여 평가지표를 사용한 성능를 평가한 결과 평균적으로 94%,의 정확도와 95%의 정밀도, 93%의 재현률과 95%의 F1 스코어가 산출되었다. 성능 평가 결과를 보면 암호화 행위 감지를 통해 랜섬웨어 탐지가 가능하다는 것을 확인할 수 있었고 랜섬웨어의 사전 탐지를 위해 제안한 기법의 성능을 높이기 위한 연구도 계속해서 진행되어야 한다.

• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.667-677
• /
• 2012

악성코드 유포자들은 웹 어플리케이션 취약점 공격을 이용해 주로 악성코드를 유포한다. 이러한 공격들은 주로 악성링크를 통해 이루어지며, 이를 탐지하고 분석하는 연구가 활발히 이루어지고 있다. 하지만, 현재의 악성링크 탐지 시스템은 대부분 시그니처 기반이어서 난독화 된 악성링크는 탐지가 거의 불가능하고 알려진 취약점은 백신을 통해 공격을 사전에 방지 할 수 있지만 알려지지 않은 취약점 공격은 사전 방지가 불가능한 실정이다. 이러한 한계점을 극복하기 위해 기존의 시그니처 기반 탐지 방법을 지양하고 행위기반 탐지 시스템에 관한 연구가 이루어지고 있다. 하지만 현재 개발된 탐지 시스템은 현실적으로 제약사항이 많아 실제로 활용하기에는 한계가 있다. 본 논문에서는 이와 같은 한계를 극복하고 탐지 효율을 높일 수 있는 새로운 웹 브라우저 기반 악성행위 탐지 시스템인 WMDS (Web-browser based Malicious behavior Detection System)를 소개 하고자 한다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제11권6호
• /
• pp.267-272
• /
• 2022

온라인 시험은 시간과 공간에 제약이 없다. 수험자의 시험 장소가 별도로 필요하지 않고, 시험 장소로의 이동에 필요한 시간과 비용이 들지 않는다는 장점이 있다. 그러나 온라인 시험은 개별적 환경에서 시험을 진행하기 때문에 다양한 부정행위가 가능하다는 단점이 있다. 그리고 시험 감독 방법이 부족하여 부정행위 탐지에 어려움이 있다. 또 시험 과정과 결과 데이터가 디지털 데이터로만 존재하여 시험 결과 위조 여부 확인을 위해 매건 해당 시험 결과가 저장된 서버에서 직접 확인해야 하는 번거로움이 있고 악의적으로 시험과 관련 데이터를 변경한 경우 진위 확인이 불가하다. 본 연구에서는 부정행위 탐지를 위해 시험 진행 관련 데이터를 블록체인에 저장하는 블록체인 기반 온라인 시험 부정행위 탐지 시스템을 개발하여 온라인 시험의 신뢰도를 높이고자 하였다. 실험을 통해 시험 결과 위변조 부정행위가 탐지됨을 확인하였다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2023년도 제67차 동계학술대회논문집 31권1호
• /
• pp.101-102
• /
• 2023

본 연구에서는 인터넷 상에서 발생되는 부정행위를 탐지할수 있는 신뢰 모델을 생성하고 개인의 프라이버시를 보장할수 있는 모델을 제시하였다. 인터넷 상에 게시판에 올려진 부정해위를 탐지하기 위해 앙상블 접근 방식 기반의 분류 모델을 제시하고 자동화된 도구를 제안하였다. 본 연구는 데이터에 대한 탐색적 데이터 분석을 수행하고 얻은 통찰력을 사용해 자연어처리 가반 텍스트를 기반으로 앙상블 기반의 위조 탐지 알고리즘을 제안하였다. 제안 알고리즘의 정확도는 99%로 자연어 처리에 높은 탐지율을 보였다.

• 한국정보과학회논문지:소프트웨어및응용
• /
• 제37권7호
• /
• pp.568-572
• /
• 2010

Mission-critical 시스템의 경우 자가 치유는 신뢰성을 보장하기 위한 기술 중 하나이다. 자가치유는 오류 탐지와 오류 회복으로 이루어져 있으며 오류 탐지는 오류 회복을 가능하게 하는 자가 치유의 중요한 첫 단계이지만 시스템에 과부하를 주는 문제가 있다. 모델 기반의 방법 등으로 오류를 탐지할 수 있는데 시스템의 모든 행위를 통지하고 정상 행위 모델과 통지된 시스템의 행위를 비교하여야 하므로 그양이 많고 부하가 크기 때문이다. 본 논문에서는 모델 기반의 오류 탐지 방법을 보완하는 아키텍처 기반의 다계층적 자가적응형 모니터링 방법을 제안한다. 소프트웨어 아키텍처 상에서 오류 탐지의 중요도는 컴포넌트 마다 다르다. 각 컴포넌트마다 발생하는 오류의 심각도와 빈도가 다르기 때문이다. 모니터링 중요도가 높은 컴포넌트에는 강도가 높고 모니터링 중요도가 낮은 컴포넌트에는 강도가 낮도록 모니터가 적응한다면 오류 탐지의 부하는 줄이고 효율은 유지시킬 수 있다. 또한 소프트웨어의 환경 변화 및 아키텍처상의 변화 등에 따라 오류 발생 빈도가 변화하여 컴포넌트의 오류 탐지 중요도가 변화하기 때문에 학습을 통해 이를 추적하여 자가적응적으로 중요도가 높은 컴포넌트를 집중 모니터링 한다.

• Journal of the Korean Data and Information Science Society
• /
• 제22권6호
• /
• pp.1153-1166
• /
• 2011

차량 네트워크에서 부정행위를 탐지하는 것은 안전 관련 응용 및 혼잡 완화 응용을 포함하는 광범위한 영향을 갖는 매우 중요한 문제이다. 대부분 부정행위 탐지 방법들은 악의적인 노드들의 탐지와 관련이 있다. 대부분 상황들에서, 차량들은 운전자의 이기적인 이유 때문에 틀린 정보를 보낼 수 있다. 합리적인 행위 때문에 부정행위를 하는 노드를 식별하는 것보다 거짓 경보 정보를 탐지하는 것이 더 중요하다. 이 논문에서, 우리는 경보 메시지를 전송한 후, 부정행위를 한 노드들의 행위를 관찰하여 거짓 경보 메시지를 탐지하는 가변 정밀도 러프집합 기반 부정행위 탐지 방법을 제안한다. 차량 네트워크에서 이동하는 노드의 타당한 행위들로부터 경보 프로파일인 경보 정보 시스템이 먼저 구축되어진다. 어떤 이동하는 차량이 다른 차량으로부터 경보 메시지를 받으면, 수신차량은 그 메시지로부터 경보종류를 알아낸다. 경과시간 후, 수신차량이 경보 전송차량으로부터 비콘을 받으면, 수신차량은 경보 정보 시스템으로부터 가변 정밀도 러프집합을 사용하여 상대적 분류 오차를 계산한다. 만일 그 상대적 분류 오차가 그 경보종류의 최대 허용 가능한 분류 오차보다 크면, 수신 차량은 그 메시지를 거짓 경보 메시지로 결정한다. 제안하는 방법의 성능은 모의실험을 통하여 2가지 척도, 즉 정확률과 부정확률로 평가되어진다.

• 한국게임학회 논문지
• /
• 제15권4호
• /
• pp.69-78
• /
• 2015

온라인 게임 산업이 급격히 성장함에 따라 경제적 이득을 목적으로 한 악성 행위가 증가되고 있다. 본 논문에서는 온라인 게임 내 악성 행위 중 높은 비중을 차지하는 게임 봇 탐지를 위한 모티베이션 기반 ERG 이론을 적용한 탐지 방법을 제안한다. 기존에 연구된 행위 기반 탐지 기법들이 특정 행위들을 특성치로 선정하여 분석하였다면, 본 논문에서는 모티베이션 이론을 적용하여 행위 분석을 수행하였다. 실제 MMORPG의 데이터를 분석하여 본 결과, 온라인 게임 내에서도 정상 사용자는 실제 세계와 마찬가지로 모티베이션과 관련된 ERG 이론이 잘 적용되는 것을 확인하였다. 반면에, 게임 봇은 정상 사용자와 다르게 특정 목적을 위한 행동 패턴이 나타나기 때문에 모티베이션 이론을 적용하여 탐지할 경우 정상 사용자와는 다른 행동 패턴을 보이는 것을 발견하였다. 이를 통해 ERG 이론을 적용한 봇 탐지 방법을 국내 7위의 규모의 게임에 적용하여 봇 제재 리스트와 교차 분석한 결과, 99.74% 의 정확도로 정상 사용자와 봇을 분류할 수 있었다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 춘계학술발표논문집 (하)
• /
• pp.2001-2004
• /
• 2003

비정상 행위의 탐지를 위한 침입탐지 시스템의 성능을 좌우하는 가장 큰 요인들은 패킷의 손실없는 수집과 해당 도메인에 알맞은 분류 기법이라 할 수 있다. 본 논문에서는 기존의 탐지엔진에 적용된 알고리즘의 부류에서 벗어나 Instance 기반의 알고리즘인 IBL(Instance Based Learning)을 선택하여 학습시간의 단축과 패턴생성에 따른 분류근거의 명확성을 고려였다. 또한, 기존 IBL에 포함되어 있는 Symbolic value 의 거리계산 방식에서 네트워크의 로우 데이터인 패킷을 처리하는데 따르는 문제를 해결하기 위해 VDM(Value Difference Matrix)을 사용함으로써 탐지률을 향상시킬 수 있었다. Symbolic value간의 거리계산에 따른 성능향상의 정도를 알아보기 위해 VDM 적용 유무에 따른 실험결과와 탐지엔진에 적용되었던 알고리즘들인 COWEB 과 C4.5를 이용한 결과를 비교분석 하였다.

• 한국산학기술학회:학술대회논문집
• /
• 한국산학기술학회 2010년도 춘계학술발표논문집 1부
• /
• pp.455-458
• /
• 2010

침입탐지시스템은 공격이라고 판단되면 경보를 발생하여 보안 관리자에게 알려주거나 자체적으로 대응을 하게 된다. 그러나 이러한 경보들 중에 오경보가 많이 포함되어 있어 침입탐지시스템의 성능을 저하시킬 뿐 아니라 대량의 경보자체가 보안메커니즘에 방해가 되고 있다. 특히 오경보중 False Positive가 전체 오경보의 대부분을 차지하고 있다. 즉, False Positive는 정상 행위를 침입행위로 오인하여 판단하는 것을 의미한다. 경보들 중 이러한 오경보들은 네트워크 전반에 걸친 보안 서비스의 질을 하락시키는 원인이 된다. 따라서 침입탐지시스템의 성능향상을 위해서는 이러한 오경보 문제가 반드시 해결되어야 한다. 본 논문에서는 침입탐지시스템의 오경보를 감소시키는 결정트리 기반 오경보 분류모델을 제안하였다. 결정트리 기반 오경보 분류 모델은 침입탐지시스템의 오경보율을 감소시키고 침입탐지율을 향상시키는 역할을 수행한다는 것을 확인할 수 있었다.