• 정보과학회 논문지
• /
• 제45권1호
• /
• pp.1-8
• /
• 2018

최근 인터넷의 발전과 동시에 인터넷을 이용한 악성코드 유포는 가장 심각한 사이버 위협 중 하나이며, 탐지 우회 기법이 적용된 악성코드 유포 기술 또한 발전하고 있어, 이를 탐지하고 분석하는 연구가 활발하게 이루어지고 있다. 하지만 기존의 악성코드 유포 웹페이지 탐지 시스템은 시그니처 기반이어서 난독화된 악성 자바스크립트는 탐지가 거의 불가능하며, 탐지 패턴을 지속적으로 업데이트해야 하는 한계가 있다. 이러한 한계점을 극복하기 위해 지능화된 악성코드 유포 웹사이트를 효과적으로 분석 및 탐지할 수 있는 리얼 브라우저를 이용한 지능형 악성코드 유포 웹페이지 탐지 시스템을 제안하고자 한다.

• 정보화정책
• /
• 제24권4호
• /
• pp.68-78
• /
• 2017

악성코드는 나날이 복잡해지고 다양화되어 단순한 정보유출에서부터 시스템에 대한 심각한 피해를 유발하는 실정에 이르렀다. 이러한 악성코드를 탐지하기 위해 코드분석에 역공학을 이용하는 많은 연구가 진행되었지만, 악성코드 개발자도 분석방법을 우회하는 다양한 기법을 활용함으로써 코드분석을 어렵게 하였다. 특히, 악성코드의 감염여부조차 판단하기 어려운 루트킷 기법들이 진화하고 있고, 악성코드가 이 기법들을 흡수함으로써 그 문제의 심각성은 더욱 커지고 있다. 따라서 본 논문에서는 분석기법들을 우회하는 악성코드에 재빠르게 대응하기 위한 분석 프로세스를 설계하였다. 설계된 프로세스를 통하여 악성코드의 탐지를 더욱 효율적으로 할 수 있을 것으로 사료된다.

• 융합보안논문지
• /
• 제8권4호
• /
• pp.191-197
• /
• 2008

악성 소프트웨어로 인한 피해가 나날이 급증하면서, 컴퓨터 사용자가 보안상 안전하게 사용할 수 있는 환경이 필수적으로 요구되고 있다. 일반적인 백신 프로그램은 악성코드가 실행된 이후에 이를 탐지한다. 이러한 백신 프로그램은 알려진 악성코드에 대해서는 효율적인 결과를 보이지만, 실행 전 응용 소프트웨어에 포함되어 있는 악성코드의 검출에 대해서는 그 기능이 없거나 부족한 실정이다. 이에 본 논문에서는 응용 소프트웨어의 실행 전 악성코드의 유무를 판단하기 위해 응용소프트웨어의 안전성 검증 시스템을 제안한다. 제안하는 안전성 검증 시스템은 악성코드의 흐름 유형을 파악하여 소프트웨어가 실행되기 전 이를 탐지함으로서 악성코드로 인해 일어날 수 있는 피해를 줄일 수 있는 계기가 될 것으로 사료된다.

• International Journal of Computer Science & Network Security
• /
• 제23권4호
• /
• pp.69-78
• /
• 2023

With the global rise of digital data, the uncontrolled quantity of data is susceptible to cyber warfare or cyber attacks. Therefore, it is necessary to improve cyber security systems. This research studies the behavior of malicious acts and uses Higuchi Fractal Dimension (HFD), which is a non-linear mathematical method to examine the intricacy of the behavior of these malicious acts and anomalies within the cyber physical system. The HFD algorithm was tested successfully using synthetic time series network data and validated on real-time network data, producing accurate results. It was found that the highest fractal dimension value was computed from the DoS attack time series data. Furthermore, the difference in the HFD values between the DoS attack data and the normal traffic data was the highest. The malicious network data and the non-malicious network data were successfully classified using the Receiver Operating Characteristics (ROC) method in conjunction with a scaling stationary index that helps to boost the ROC technique in classifying normal and malicious traffic. Hence, the suggested methodology may be utilized to rapidly detect the existence of abnormalities in traffic with the aim of further using other methods of cyber-attack detection.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제16권4호
• /
• pp.405-414
• /
• 2010

2008년도 SecruityFocus 자료에 따르면 마이크로소프트사의 인터넷 익스플로러를 통한 클라이언트 측 공격(client-side attack)이 50%이상 증가하였다. 본 논문에서는 가상머신 환경에서 능동적으로 웹 페이지를 방문하여 행위 기반(즉, 상태변경 기반)으로 악성 URL을 분석하여 탐지하고, 블랙리스트 기반으로 악성 URL을 필터링하는 시스템을 구현하였다. 이를 위해, 우선 크롤링 시스템을 구축하여 대상 URL을 효율적으로 수집하였다. 특정 서버에서 구동되는 악성 URL 탐지 시스템은, 수집한 웹페이지를 직접 방문하여 머신의 상태 변경을 관찰 분석하고 악성 여부를 판단한 후, 악성 URL에 대한 블랙리스트를 생성 관리한다. 웹 클라이언트 머신에서 구동되는 악성 URL 필터링 시스템은 블랙리스트 기반으로 악성 URL을 필터링한다. 또한, URL의 분석 시에 메시지 박스를 자동으로 처리함으로써, 성능을 향상시켰다. 실험 결과, 게임 사이트가 다른 사이트에 비해 악성비율이 약 3배 많았으며, 파일생성 및 레지스트리 키 변경 공격이 많음을 확인할 수 있었다.

• 정보보호학회논문지
• /
• 제21권4호
• /
• pp.61-75
• /
• 2011

최근 DDoS공격용 좀비, 기업정보 및 개인정보 절취 등 각종 사이버 테러 및 금전적 이윤 획득의 목적으로 웹사이트를 해킹, 악성코드를 은닉함으로써 웹사이트 접속PC를 악성코드에 감염시키는 공격이 지속적으로 증가하고 있으며 은닉기술 및 회피기술 또한 지능화 전문화되고 있는 실정이다. 악성코드가 은닉된 웹사이트를 탐지하기 위한 현존기술은 BlackList 기반 패턴매칭 방식으로 공격자가 악성코드의 문자열 변경 또는 악성코드를 변경할 경우 탐지가 불가능하여 많은 접속자가 악성코드 감염에 노출될 수 밖에 없는 한계점이 존재한다. 본 논문에서는 기존 패턴매칭 방식의 한계점을 극복하기 위한 방안으로 WhiteList 기반의 악성코드 프로세스 행위분석 탐지기술을 제시하였다. 제안방식의 실험 결과 현존기술인 악성코드 스트링을 비교하는 패턴매칭의 MC-Finder는 0.8%, 패턴매칭과 행위분석을 동시에 적용하고 있는 구글은 4.9%, McAfee는 1.5%임에 비해 WhiteList 기반의 악성코드 프로세스 행위분석 기술은 10.8%의 탐지율을 보였으며, 이로써 제안방식이 악성코드 설치를 위해 악용되는 웹 사이트 탐지에 더욱 효과적이라는 것을 증명할 수 있었다.

• 인터넷정보학회논문지
• /
• 제15권3호
• /
• pp.31-43
• /
• 2014

안드로이드 기반 모바일 단말 사용자가 증가함에 따라 다양한 형태의 어플리케이션이 개발되어 안드로이드 마켓에 배포되고 있다. 하지만 오픈 마켓 또는 3rd party 마켓을 통해 악성 어플리케이션이 제작 및 배포되면서 안드로이드 기반 모바일 단말에 대한 보안 취약성 문제가 발생하고 있다. 대부분의 악성 어플리케이션 내에는 트로이 목마(Trojan Horse) 형태의 악성코드가 삽입되어 있어 모바일 단말 사용자 모르게 단말내 개인정보와 금융정보 등이 외부 서버로 유출된다는 문제점이 있다. 따라서 급격히 증가하고 있는 악성 모바일 어플리케이션에 의한 피해를 최소화하기 위해서는 능동적인 대응 메커니즘 개발이 필요하다. 이에 본 논문에서는 기존 악성 앱 탐지 기법의 장단점을 분석하고 안드로이드 모바일 단말내에서 실시간 이용시 발생하는 이벤트를 수집한 후 Jaccard 유사도를 중심으로 악성 어플리케이션을 판별하는 메커니즘을 제시하고 이를 기반으로 임의의 모바일 악성 앱에 대한 판별 결과를 제시하였다.

• 정보보호학회논문지
• /
• 제26권4호
• /
• pp.921-928
• /
• 2016

최근 국내에서 개인정보를 유출하고 금전적 손실 등의 2차 피해를 발생시켜 큰 문제로 대두되고 있는 스미싱 공격 기법은 악성 URL과 악성 어플리케이션이 주요 공격 요소인 사회 공학적 해킹 기법이다. 사용자는 스미싱 공격에 사용되는 문자메세지의 호기심을 유발시킬 수 있는 내용으로 인하여 의심없이 악성 URL에 접속하고 다운로드 되는 APK 파일을 검증 절차 없이 설치하기 때문에 쉽게 스미싱 공격에 노출되고 있다. 하지만 현재 상용되는 스미싱 방지 앱 들의 경우 시그니쳐가 생성된 뒤부터 차단이 가능한 사후처리 방식이므로 빠른 대응이 어렵다는 문제점을 지닌다. 금전적인 2차적 피해를 유발할 수 있는 스미싱의 방지 대책으로 실시간으로 검사 가능하며 다운로드 되는 APK 파일의 수정여부를 확인 할 수 있는 시스템이 필요하다. 따라서 본 논문에서는 클라우드 플랫폼을 이용한 악성 URL 및 악성 APK 파일 검증 시스템과 사용자 단말기에 설치되는 어플리케이션을 설계 및 구현하므로써, 스미싱 공격과 그에 따른 개인정보 유출 등의 2차 피해를 예방하고 한다.

• 정보처리학회논문지C
• /
• 제12C권5호
• /
• pp.617-622
• /
• 2005

최근 MANET에서의 연구는 보안을 고려한 라우팅 서비스에 주목되어 왔으나 기존에 제시되었던 MANET에서의 악의적인 노드를 식별하는 방안들은 거짓 신고하는 악의적인 노드가 있을 때에는 이를 적절히 식별하고 제거하지 못하는 문제점이 있었다. 따라서 본 논문에서는 신고자와 혐의자 목록으로 구성되는 신고 메시지와 신고 테이블을 이용하여 경로 설정단계에서는 정상적으로 동작하지만 데이터 전달 과정에서는 데이터를 버리거나 내용을 변경시키는 행위, 또는 다른 노드를 거짓으로 신고하는 등의 악의적인 노드를 식별하는 효율적인 방안을 제안한다. 제안하는 방안은 DSR 과 AODV에 모두 적용 가능하다. 또한 성능분석을 위해 AODV와 제안된 알고리즘과 비교 분석하여 제안된 알고리즘이 평균 분실률 및 전송량 측면에서 현격한 성능차이를 있음을 보였다.

• 한국멀티미디어학회논문지
• /
• 제23권5호
• /
• pp.641-649
• /
• 2020

As the usage of mobile devices extremely increases, malicious mobile apps(applications) that target mobile users are also increasing. It is challenging to detect these malicious apps using traditional malware detection techniques due to intelligence of today's attack mechanisms. Deep learning (DL) is an alternative technique of traditional signature and rule-based anomaly detection techniques and thus have actively been used in numerous recent studies on malware detection. In order to develop DL-based defense mechanisms against intelligent malicious apps, feeding recent datasets into DL models is important. In this paper, we develop a DL-based model for detecting intelligent malicious apps using KU-CISC 2018-Android, the most up-to-date dataset consisting of benign and malicious Android apps. This dataset has hardly been addressed in other studies so far. We extract OPcode sequences from the Android apps and preprocess the OPcode sequences using an N-gram model. We then feed the preprocessed data into LSTM and apply the concept of Information Gain to improve performance of detecting malicious apps. Furthermore, we evaluate our model with numerous scenarios in order to verify the model's design and performance.