• 사물인터넷융복합논문지
• /
• 제9권6호
• /
• pp.1-9
• /
• 2023

최근 MS Office 파일 내에 악성 스크립트 등이 은닉된 멀웨어 파일이 발견되고 있다. 이에 본 논문에서는 머신러닝 기법을 적용하여 악성 디지털 파일을 자동으로 검출할 수 있는 시스템을 설계 및 구현하였다. MS Office 파일 내 OLE VBA 매크로 기능을 악용하여 악성 스크립트를 검출하거나, OOXML 구조 분석을 통해 CDH/LFH/ECDH 내부 필드 값에 악성 스크립트를 탐지하고, OOXML 구조에서 참조되지 않는 비정상적인 CDH/LFH 정보를 추가한 경우 이를 검출할 수 있는 메커니즘을 제시하였다. 그리고 VirusTotal 악성 스크립트 판별 기능을 이용하여 MS Office 파일에 대한 악의적 손상 여부 자동 판별하는 기능을 이용하여 머신러닝 기반 통합 소프트웨어를 설계 및 구현하였다. 실험 결과 파일 손상 여부를 자동 판별할 수 있으며 최적의 머신러닝 모델을 이용하여 임의의 MS Office 파일에 대해 향상된 검출 성능을 제공하는 것을 확인하였다.

• 정보처리학회논문지C
• /
• 제9C권5호
• /
• pp.765-774
• /
• 2002

정적 휴리스틱 분석은 알려지지 않은 악성 코드를 감지하는데 널리 사용되는 기법으로, 악성 코드에 보편적으로 존재하는 코드 조각들을 탐색하여 대상 코드의 악성 여부를 판단한다. 그러나, 스크립트로 작성된 악성 코드에서는 정형화된 코드 조각들을 찾아내기 어려우므로, 특정한 메소드 호출들의 존재만을 검사하는 것이 보편적이다. 이러한 감지 방식은 높은 감지 오류율을 보이게 되는데, 이는 많은 메소드들이 일반 스크립트에서도 빈번하게 사용될 수 있는 것들임에 기인한다. 따라서, 현재 정적 휴리스틱 분석은 일반 스크립트에서 거의 사용되지 않는 특별한 메소드 호출들로 이루어진 악성 행위만을 감지하는데 제한적으로 사용되고 있다. 본 논문에서는 메소드 호출 뿐 아니라 이에 관련된 파라미터와 리턴 값까지 고려하여 악성 행위 패턴을 정확하게 감지함으로써 이러한 단점을 극복할 수 있는 정적 분석 기법을 제안하고 그 구현을 제시한다. 또한, 구현된 시스템 상에서의 실험을 통해, 높은 긍정 오류 때문에 기존 기법의 적용이 어려웠던 악성 행위가 제안된 기법으로 감지될 수 있음을 보인다.

• 디지털산업정보학회논문지
• /
• 제16권2호
• /
• pp.53-59
• /
• 2020

Malicious file upload attacks mean that the attacker to upload or transfer files of dangerous types that can be automatically processed within the web server's environment. Uploaded file content can include exploits, malware and malicious scripts. An attacker can user malicious content to manipulate the application behavior. As a method of detecting a malicious file upload attack, it is generally used to find a file type by detecting a file extension or a signature of the file. However, this type of file type detection has the disadvantage that it can not detect files that are not encoded with a specific program, such as PHP files. Therefore, in this paper, research was conducted on how to detect and block any program by using essential commands or variable names used in the corresponding program when writing a specific program. The performance evaluation results show that it detected specific files effectively using the suggested method.

• ETRI Journal
• /
• 제43권3호
• /
• pp.549-560
• /
• 2021

Cyberattacks are often difficult to identify with traditional signature-based detection, because attackers continually find ways to bypass the detection methods. Therefore, researchers have introduced artificial intelligence (AI) technology for cybersecurity analysis to detect malicious PowerShell scripts. In this paper, we propose a feature optimization technique for AI-based approaches to enhance the accuracy of malicious PowerShell script detection. We statically analyze the PowerShell script and preprocess it with a method based on the tokens and abstract syntax tree (AST) for feature selection. Here, tokens and AST represent the vocabulary and structure of the PowerShell script, respectively. Performance evaluations with optimized features yield detection rates of 98% in both machine learning (ML) and deep learning (DL) experiments. Among them, the ML model with the 3-gram of selected five tokens and the DL model with experiments based on the AST 3-gram deliver the best performance.

• 한국컴퓨터정보학회논문지
• /
• 제14권9호
• /
• pp.47-54
• /
• 2009

웹을 통해 유포되는 악성코드는 다양한 해킹 기법과 혼합되어 진화되고 있지만, 이의 탐지 기법은 해킹 기술의 발전과 신종 악성코드에 제대로 대응하지 못하고 있는 실정이다. 본 논문에서는 악성코드와 이의 유포 특성의 분석에 따라 탐지 시스템이 갖추어야 할 요구사항을 정의하고, 이를 기반으로 HTTP Outbound Traffic을 감시하여 악성코드의 유포를 실시간으로 탐지하는 개선된 탐지 기법을 제안한다. 제안 기법에서는 악성코드를 유포하는 것으로 입증된 HTML 태그와 자바스크립트 코드를 시그니쳐로 IDS에 설정한다. 실제 침입된 환경에서의 검증 분석을 통해 제안 기법이 기존 기법에 비해 요구 사항의 만족에 우수하고 악성코드에 대한 높은 탐지율을 보임을 제시한다.

• 한국정보과학회논문지:정보통신
• /
• 제29권6호
• /
• pp.663-673
• /
• 2002

서버 수준의 안티바이러스는 특정 도메인 내에 진입하는 악성코드를 진입점에서 감지하므로 모든 클라이언트를 완벽하게 통제하기 어려운 실제 상황에서 전자우편 서버 등에 유용하게 사용된다. 그러나, 알려지지 않은 악성 코드에 감지에 유용한 행위 감시 기법은 서버에 적용이 어려우므로, 현재의 서버용 안티바이러스들은 이미 알려진 악성 코드에 대한 시그너쳐 기반의 감지, 단순한 필터링 그리고 파일명 변경과 같은 기능만을 수행한다. 본 논문에서는 서버에서의 실행만으로 별도의 안티바이러스가 탑재되지 않은 클라이언트에서도 지속적인 행위 감시가 가능하도록 하는 악성 스크립트 감지 기법을 제안하고 그 구현에 관해 기술한다.

• 한국산학기술학회논문지
• /
• 제20권7호
• /
• pp.613-621
• /
• 2019

최근 IoT, 클라우드 컴퓨팅 기술이 발전하면서 IoT 디바이스를 감염시키는 악성코드와 클라우드 서버에 랜섬웨어를 유포하는 신종 악성코드가 등장하여 보안 위협이 증가하고 있다. 본 연구에서는 기존의 시그니처 기반의 탐지 방식과 행위기반의 탐지 방식의 단점을 보완할 수 있도록 난독화된 스크립트 패턴을 분석하여 점검하는 탐지 기법을 제안한다. 제안하는 탐지 기법은 웹사이트 통해 유포되는 악성 스크립트 유형을 분석하여 유포패턴을 도출한 후, 도출된 유포패턴을 등록하여 점검함으로써 기존의 탐지룰 기반의 탐지속도를 유지하면서도 제로데이 공격에 대한 탐지가 가능한 악성 스크립트 패턴분석 기반의 악성코드 탐지 기법이다. 제안한 기법의 성능을 검증하기 위해 프로토타입 시스템을 개발하였으며, 이를 통해 총 390개의 악성 웹사이트를 수집, 분석에 의해 도출된 10개의 주요 악성 스크립트 유포패턴을 실험한 결과, 전체 항목 평균 약 86%의 높은 탐지율을 보였으며, 기존의 탐지룰 기반의 점검속도를 유지하면서도 제로데이 공격까지도 탐지가 가능한 것을 실험으로 입증하였다.

• 정보처리학회논문지C
• /
• 제19C권1호
• /
• pp.47-54
• /
• 2012

최근 웹사이트는 매쉬업, 소셜 서비스 등으로 다양한 출처의 리소스를 상호 참조하는 형태로 변화하면서 해킹 시도도 사이트를 직접 공격하기보다 서비스 주체와 연계 서비스, 클라이언트가 상호 작용하는 접점에 악성스크립트를 삽입하는 공격이 증가하고 있다. 본 논문에서는 웹사이트 이용 시 신뢰관계에 있는 여러 출처로부터 다운받은 웹컨텐츠의 HTML 코드와 자바스크립트 코드가 클라이언트 브라우저에서 구동 시 삽입된 악성스크립트를 원격의 검증시스템으로부터 탐지하는 모델을 제안한다. 서비스 주체의 구현코드 정보를 활용하여 요청 출처에 따라 검증 항목을 분류하고 웹컨텐츠의 검증 요소를 추출하여 검증 평가결과를 화이트, 그레이, 블랙 리스트로 데이터베이스에 저장하였다. 실험평가를 통해 제안한 시스템이 악성스크립트를 효율적으로 탐지하여 클라이언트의 보안이 향상됨을 확인하였다.

• 정보보호학회논문지
• /
• 제32권3호
• /
• pp.501-511
• /
• 2022

2021년에는 코로나의 여파로 랜섬웨어를 활용한 공격이 유행했으며 그 수는 매년 급증하고 있다. 그 중 파워쉘은 랜섬웨어에 주요 기술로 사용되고 있어 파워쉘 기반 악성코드 탐지 기법의 필요성은 증가하고 있으나 기존의 탐지기법은 난독화가 적용된 스크립트를 탐지하지 못하거나 역난독화에 시간이 오래 소요되는 한계가 존재한다. 이에 본 논문에서는 간단하고 빠른 역난독화 처리과정, Word2Vec과 CNN(Convolutional Neural Network)으로 구성되어 스크립트의 의미를 학습하고 특징을 추출해 악성 여부를 판단할 수 있는 딥러닝 기반의 분류 모델을 제안한다. 2021 사이버보안 AI/빅데이터 활용 경진대회의 AI 기반 파워쉘 악성 스크립트 탐지 트랙에서 제공된 1400개의 악성코드와 8600개의 정상 스크립트를 이용하여 제안한 모델을 테스트한 결과 기존보다 5.04배 빠른 역난독화 실행시간, 100%의 역난독화 성공률, 0.01의 FPR(False Positve Rate), 0.965의 TPR(True Positive Rate)로 악성코드를 빠르고 효과적으로 탐지함을 보인다.

• 정보보호학회논문지
• /
• 제31권6호
• /
• pp.1105-1114
• /
• 2021

최근 급상승한 암호 화폐의 인기로 인해 암호 화폐 채굴 악성코드인 크립토재킹 위협이 증가하고 있다. 특히 웹 기반 크립토재킹은 피해자가 웹 사이트에 접속만 하여도 피해자의 PC 자원을 사용해 암호 화폐를 채굴할 수 있으며 간단하게 채굴 스크립트만 추가하면 되기 때문에 공격이 쉽고 성능 열화와 고장의 원인이 된다. 크립토재킹은 피해자가 피해 상황을 인지하기 어렵기 때문에 크립토재킹을 효율적으로 탐지하고 차단할 수 있는 연구가 필요하다. 본 연구에서는 크립토재킹의 대표적인 감염 증상과 스크립트를 지표로 활용하여 효과적으로 크립토재킹을 탐지하는 프레임워크를 제안하고 평가한다. 제안한 크립토재킹 탐지 프레임워크에서 행위 기반 동적 분석 기법으로 컴퓨터 성능 지표를 학습한 K-Nearest Neighbors(KNN) 모델을 활용했고, 스크립트 유사도 기반 정적 분석 기법은 악성 스크립트 단어 빈도수를 학습한 K-means 모델을 크립토재킹 탐지에 활용했다. 실험 결과에 따르면 KNN 모델은 99.6%의 정확도를 보였고, K-means 모델은 정상 군집의 실루엣 계수가 0.61인 것을 확인하였다.