• Journal of Information Processing Systems
• /
• 제17권4호
• /
• pp.834-850
• /
• 2021

IT security companies have been releasing file system filter driver security solutions based on the whitelist, which are being used by several enterprises in the relevant industries. However, in February 2019, a whitelist vulnerability was discovered in Microsoft Edge browser, which allows malicious code to be executed unknown to users. If a hacker had inserted a program that executed malicious code into the whitelist, it would have resulted in considerable damage. File system filter driver security solutions based on the whitelist are discretionary access control (DAC) models. Hence, the whitelist is vulnerable because it only considers the target subject to be accessed, without taking into account the access rights of the file target object. In this study, we propose an industrial device security system for Windows to address this vulnerability, which improves the security of the security policy by determining not only the access rights of the subject but also those of the object through the application of the mandatory access control (MAC) policy in the Windows industrial operating system. The access control method does not base the security policy on the whitelist; instead, by investigating the setting of the security policy not only for the subject but also the object, we propose a method that provides improved stability, compared to the conventional whitelist method.

• 정보보호학회논문지
• /
• 제28권2호
• /
• pp.357-367
• /
• 2018

현대 사회의 정보 기술이 발전함에 따라 시스템의 중요 정보를 탈취하거나 파괴하는 목적을 가진 다양한 악성코드도 함께 발전하고 있다. 그 중 사용자의 자원을 접근하지 못하게 하는 대표적인 악성코드로 랜섬웨어가 있다. 암호화를 수행하는 랜섬웨어에 대해 탐지하는 연구는 최근에 계속해서 진행되고 있으나, 공격을 한 이후에 손상된 파일을 복구하는 추가적인 방안은 제안되지 않고 있다. 또한 기존 연구에서는 암호화가 여러 번에 걸쳐 진행되는 것을 고려하지 않고 유사도 비교 기법을 사용했기 때문에 정상적인 행위로 인식할 가능성이 높다. 따라서 본 논문에서는 파일 시스템을 제어하는 필터 드라이버를 구현하며, 랜섬웨어의 암호화 패턴 분석을 기반으로 검증된 유사도 비교 기법을 수행한다. 이에 접근한 프로세스의 악의적 유무를 탐지하고 클라우드 스토리지를 기반으로 손상된 파일을 복구하는 시스템을 제안하고자 한다.

• 한국정보전자통신기술학회논문지
• /
• 제2권1호
• /
• pp.73-79
• /
• 2009

객체지향 프로그래밍 언어를 기반으로 윈도우 사용자의 컴퓨터 파일시스템에 기록된 파일의 의미를 분석한 후, 이를 사용자 편의를 위해 파일명의 의미를 시소러스로 클러스터링 하는 설계를 하고, 파일로 기록된 문자의 의미와 파일확장자를 기반으로, 데이터베이스를 구성하고 참조하여 사용자 작성 파일들을 시소러스의 의미 체계와 통제어로 클러스터링 하여, 윈도우시스템의 화면표시 되는 Icon 파일들을 자동으로 분리하고, 설정하여, Mashup 시각구조로 나타내어 주는 프로세스(WTPM)를 설계하고 구현을 하였다.

• 한국항행학회논문지
• /
• 제14권6호
• /
• pp.838-844
• /
• 2010

본 논문은 현재 전 세계적으로 사이버전의 심각성을 자극하고 있는 악성코드인 Stuxnet에 대해 소개하고, Stuxnet이 전파되는 방법 및 감염 증상에 대해 분석하며 그 구조에 따른 치료 방안을 제안한다. Stuxnet과 같은 악성코드는 시스템 내에서 은닉되어 전파되기 때문에 이를 탐지하거나 치료하기 위해서는 이들이 사용하는 파일 은닉 기법을 분석해야 한다. 본 논문의 분석 결과, Stuxnet은 자신을 구성하는 파일들의 은닉을 위하여 유저레벨에서 라이브러리 후킹을 활용한 기법과 커널레벨에서 파일시스템 드라이버의 필터 드라이버를 활용한 기법을 사용하고 있다. 따라서 본 논문에서는 Stuxnet이 활용하는 파일 은닉 기법에 대한 분석 결과를 소개하고, 이를 무력화하기 위한 방안을 제시하며, 실험을 통해 실제 무력화가 가능함을 확인하였다.