• 한국항행학회논문지
• /
• 제16권1호
• /
• pp.41-53
• /
• 2012

최근 악성코드에 의한 피해가 개인이나 기업으로부터 기관이나 국가 차원으로 진화하고 있고 악성코드가 사용하는 기술 역시 점점 고도화되고 다양한 기법들을 흡수하여 매우 지능적으로 발전하고 있다. 한편, 보안전문가들은 시그니쳐 탐색 등의 정적 분석과 역공학 등의 동적 분석으로 이에 대응하고 있지만 이는 새로이 출현하는 지능적인 악성코드에 긴급히 대처하기에는 부족함이 있다. 따라서, 악성코드들의 행위 분석에 앞서 대개의 악성코드들이 가지는 감염절차 및 파일 은닉기법에 대한 분석을 우선적으로 수행하고 이를 토대로 재빠른 초동분석이 이루어진 후 그 무력화 방법을 포함한 제반 상세분석이 이루어질 것이 요구된다. 따라서 본 논문에서는 악성코드의 초기 진압을 위하여 요구되는 감염 절차의 분석과 파일 은닉기법의 분석 방안을 연구하였으며 그 과정에서 스팸메일을 발송하는 것으로 가장 널리 알려진 Rustock을 대상으로 실험하였다. 실험 결과를 통하여, 향후 새로이 출현하는 악성코드에 대한 재빠른 대처가 가능할 것으로 판단된다.

• 한국컴퓨터정보학회논문지
• /
• 제17권3호
• /
• pp.77-83
• /
• 2012

웹 페이지에서 다양한 서비스를 제공하면서 악성코드가 웹 페이지를 통해 배포되는 것도 늘어났다. 악성코드는 개인정보 유출, 시스템의 성능저하, 시스템의 좀비 피씨화 등의 피해를 입힌다. 이런 피해를 막으려면 악성코드가 있는 웹 페이지의 접근을 막아야 한다. 그런데 웹 페이지에 있는 악성코드는 난독화나 변형기법으로 위장하고 있어 기존 안티바이러스 소프트웨어가 사용하는 시그니처 방식의 접근법으로 찾아내기 어렵다. 이를 해결하기 위하여, 웹 페이지를 분석하여 악성 웹 페이지와 양성 웹 페이지를 구별하기 위한 특징을 추출하고, 기계 학습법으로 널리 사용되는 SVM을 통하여 악성 웹 페이지를 분류하는 방법을 제안한다. 제안하는 방법이 우수함을 실험을 통하여 보인다. 제안한 방법으로 악성 웹 페이지를 정확히 분류하면 웹 페이지를 통한악성코드의 배포를 막는데 이바지할 것이다.

• 한국융합학회논문지
• /
• 제8권4호
• /
• pp.25-36
• /
• 2017

최근 스마트폰 사용자가 증가함에 따라 특히 안드로이드 기반 모바일 단말을 대상으로 다양한 어플리케이션들이 개발 및 이용되고 있다. 하지만 악의적인 목적으로 개발된 악성 어플리케이션 또한 3rd Party 오픈 마켓을 통해 배포되고 있으며 모바일 단말 내 사용자의 개인정보 또는 금융정보 등을 외부로 유출하는 등의 피해가 계속적으로 증가하고 있다. 따라서 이를 방지하기 위해서는 안드로이드 기반 모바일 단말 사용자를 대상으로 악성 앱과 정상 앱을 구별할 수 있는 방법이 필요하다. 이에 본 논문에서는 앱 실행시 발생하는 시스템 콜 이벤트를 추출해서 악성 앱을 탐지하는 기존 관련 연구에 대해 분석하였다. 이를 토대로 다수의 모바일 단말에서 앱이 실행되는 과정에서 발생하는 커널 계층 이벤트들에 대한 발생 순서간 유사도 분석을 통해 악성 앱을 판별하는 기법을 제안하였으며 상용 단말을 대상으로 실험 결과를 제시하였다.

• 정보보호학회논문지
• /
• 제30권3호
• /
• pp.429-442
• /
• 2020

최근 침해사고에서 오피스 문서를 통한 공격 비중이 높아지고 있다. 오피스 문서 어플리케이션의 보안이 점차 강화되어왔음에도 불구하고 공격기술의 고도화, 사회공학 기법의 복합적 사용으로 현재도 오피스 문서를 통한 공격이 유효하다. 본 논문에서는 악성 OOXML(Office Open XML) 문서 탐지 방법과 탐지를 위한 프레임워크를 제안한다. 이를 위해 공격에 사용된 악성파일과 정상파일을 악성코드 저장소와 검색엔진에서 수집하였다. 수집한 파일들의 악성코드 유형을 분석하여 문서 내 악성 여부를 판단하는데 유의미한 의심 개체요소 6가지를 구분하였으며, 악성코드 유형별 개체요소 탐지 방법을 제안한다. 또한, 탐지 방법을 바탕으로 OOXML 문서 기반 악성코드 탐지 프레임워크를 구현하여 수집된 파일을 분류한 결과 악성 파일셋 중 98.45%에 대해 탐지함을 확인하였다.

• 한국콘텐츠학회논문지
• /
• 제21권9호
• /
• pp.750-761
• /
• 2021

인터넷 기사에 대한 댓글은 토론 및 소통 등 긍정적 효과도 있지만, 악성 댓글은 사람의 목숨을 앗아가는 정도로 심각한 문제이다. 이런 측면에서 악성 댓글을 자동으로 검출하는 것은 중요한 문제이다. 그러나 현재 채택되고 있는 금칙어 바탕의 댓글 필터 방안은, 특히 한글 댓글의 경우 효과적이지 못한 실정이다. 이 논문에서는 형태소 분석을 통해 비속어 형태소와 존대어 형태소를 구별함으로써 댓글 필터링을 수행하는 방법을 제안한다. 이들 두 형태소를 바탕으로 댓글 건전도를 계산하고, 또한 건전도를 바탕으로 한 댓글 충격량 계산방법을 여럿 제안한다. 악성 댓글을 대상으로 한 실험을 수행한 결과, 포털에서 수행되고 있는 클린봇보다 재현율이 37.93% 포인트 개선되었으며 F-지수 값은 47.66 포인트 개선된 것으로 나타났다. 이 결과에 따르면, 형태소 분석을 기초로 한 새로운 필터 방법이 금칙어를 바탕으로 한 방법의 좋은 대안이 될 수 있을 것으로 기대된다.

• 정보보호학회논문지
• /
• 제19권5호
• /
• pp.189-194
• /
• 2009

버퍼오버플로 악성코드 탐지를 위해 대부분의 안티바이러스 프로그램은 공격코드의 시그너처만 비교 탐지하고 있어 알려지지 않은 공격코드에 대해 탐지하지 못하는 문제점이 있다. 본 논문에서는 공격코드에서 필수적으로 사용하는 API의 메모리 실행영역 추적기법을 이용하여 알려지지 않은 공격코드에 대한 탐지기법을 제안한다. 제윤기법 검증을 위해 7개의 샘플 공격코드를 선정하여 8개의 안티바이러스 프로그램과 비교 실험한 결과, 대부분의 안티바이러스 프로그램은 Stack영역만 감시하고 Heap영역은 감시하지 않아 제안적인 탐지만 가능하였다. 이에 대부분의 안티 바이러스 프로그램에서 탐지할 수 없는 공격코드를 제안 기법을 이용하여 탐지할 수 있음을 시뮬레이션 하였다.

• 한국컴퓨터정보학회논문지
• /
• 제27권5호
• /
• pp.149-156
• /
• 2022

최근 전 세계적으로 사용되는 Microsoft Office 파일에 악성코드를 삽입하는 문서형 악성코드 사례가 증가하고 있다. 문서형 악성코드는 문서 내에 악성코드를 인코딩하여 숨기는 경우가 많기 때문에 백신 프로그램을 쉽게 우회할 수 있다. 이러한 문서형 악성코드를 탐지하기 위해 먼저 Microsoft Office 파일의 형식인 OLE(Object Linking and Embedding) 파일의 구조를 분석했다. Microsoft Office에서 지원하는 기능인 VBA(Visual Basic for Applications) 매크로에 외부 프로그램을 실행시키는 쉘코드, 외부 URL에서 파일을 다운받는 URL 관련 코드 등 다수의 악성코드가 삽입된 것을 확인했다. 문서형 악성코드에서 반복적으로 등장하는 키워드 354개를 선정하였고, 각 키워드가 본문에 등장하는 횟수를 feature 로 정의했다. SVM, naïve Bayes, logistic regression, random forest 알고리즘으로 머신러닝을 수행하였으며, 각각 0.994, 0.659, 0.995, 0.998의 정확도를 보였다.

• 융합보안논문지
• /
• 제23권5호
• /
• pp.65-72
• /
• 2023

본 논문에서는 LSTM(Long Short-Term Memory)을 기반으로 하는 Deep Learning 모델을 구축하여 인간의 습관적 특성을 고려한 악성 도메인 탐지 방법을 제시한다. DGA(Domain Generation Algorithm) 악성 도메인은 인간의 습관적인 실수를 악용하여 심각한 보안 위협을 초래한다. 타이포스쿼팅을 통한 악성 도메인의 변화와 은폐 기술에 신속히 대응하고, 정확하게 탐지하여 보안 위협을 최소화하는 것이 목표이다. LSTM 기반 Deep Learning 모델은 악성코드별 특징을 분석하고 학습하여, 생성된 도메인을 악성 또는 양성으로 자동 분류한다. ROC 곡선과 AUC 정확도를 기준으로 모델의 성능 평가 결과, 99.21% 이상 뛰어난 탐지 정확도를 나타냈다. 이 모델을 활용하여 악성 도메인을 실시간 탐지할 수 있을 뿐만 아니라 다양한 사이버 보안 분야에 응용할 수 있다. 본 논문은 사용자 보호와 사이버 공격으로부터 안전한 사이버 환경 조성을 위한 새로운 접근 방식을 제안하고 탐구한다.

• 인터넷정보학회논문지
• /
• 제21권1호
• /
• pp.45-55
• /
• 2020

정보 통신 기술의 발달로 인해 매년 신종/변종 악성코드가 급격히 증가하고 있으며 최근 사물 인터넷과 클라우드 컴퓨팅 기술의 발전으로 다양한 형태의 악성코드가 확산되고 있는 추세이다. 본 논문에서는 운영체제 환경에 관계없이 활용 가능하며 악성행위와 관련된 라이브러리 호출 정보를 나타내는 문자열 정보를 기반으로 한 악성코드 분석 기법을 제안한다. 공격자는 기존 코드를 활용하거나 자동화된 제작 도구를 사용하여 악성코드를 손쉽게 제작할 수 있으며 생성된 악성코드는 기존 악성코드와 유사한 방식으로 동작하게 된다. 악성 코드에서 추출 할 수 있는 대부분의 문자열은 악성 동작과 밀접한 관련이 있는 정보로 구성되어 있기 때문에 텍스트 마이닝 기반 방식을 활용하여 데이터 특징에 가중치를 부여해 악성코드 분석을 위한 효과적인 Feature로 가공한다. 가공된 데이터를 기반으로 악성여부 탐지와 악성 그룹분류에 대한 실험을 수행하기 위해 다양한 Machine Learning 알고리즘을 이용해 모델을 구축한다. 데이터는 Windows 및 Linux 운영체제에 사용되는 파일 모두에 대해 비교 및 검증하였으며 악성탐지에서는 약93.5%의 정확도와 그룹분류에서는 약 90%의 정확도를 도출하였다. 제안된 기법은 악성 그룹을 분류시 각 그룹에 대한 모델을 구축할 필요가 없기 때문에 단일 모델로서 비교적 간단하고 빠르며 운영체제와 독립적이므로 광범위한 응용 분야를 가진다. 또한 문자열 정보는 정적분석을 통해 추출되므로 코드를 직접 실행하는 분석 방법에 비해 신속하게 처리가능하다.

• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.617-623
• /
• 2018

본 연구는 안드로이드 정적분석을 기반으로 추출된 AndroidManifest 권한 특징을 통해 악성코드를 탐지하고자 한다. 특징들은 AndroidManifest의 권한을 기반으로 분석에 대한 자원과 시간을 줄였다. 악성코드 탐지 모델은 1500개의 정상어플리케이션과 500개의 악성코드들을 학습한 SVM(support vector machine), NB(Naive Bayes), GBC(Gradient Boosting Classifier), Logistic Regression 모델로 구성하여 98%의 탐지율을 기록했다. 또한, 악성앱 패밀리 식별은 알고리즘 SVM과 GPC (Gaussian Process Classifier), GBC를 이용하여 multi-classifiers모델을 구현하였다. 학습된 패밀리 식별 머신러닝 모델은 악성코드패밀리를 92% 분류했다.