• 한국인터넷방송통신학회논문지
• /
• 제18권1호
• /
• pp.211-216
• /
• 2018

이 논문에서는 알려지지 않은 PE 파일이 멀웨어의 여부를 분류하는 방법을 연구하였다. 멀웨어 탐지 영역의 분류 문제에서는 특징 추출과 분류가 중요하다. 위와 같은 목적으로 멀웨어 탐지를 위해 우리는 어떠한 특징들이 분류기에 적합한지, 어떠한 분류기가 선택된 특징들에 대해 연구하였다. 그래서 우리는 멀웨어 탐지를 위한 기능과 분류기의 좋은 조합을 찾기 위해 실험하였다. 이를 위해 두 단계로 실험을 실시하였다. 1 단계에서는 Opcode, Windows API, Opcode + Windows API의 특징들을 이용하여 정확도를 비교하였다. 여기에서 Opcode + Windows API 특징이 다른 특징보다 더 좋은 결과를 나타내었다. 2 단계에서는 나이브 베이즈, K-NN, SVM, DT의 분류기들의 AUC 값을 비교하였다. 그 결과 DT의 분류기가 더 좋은 결과 값을 나타내었다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2007년도 가을 학술발표논문집 Vol.34 No.2 (C)
• /
• pp.546-551
• /
• 2007

소프트웨어 버스마크는 프로그램을 식별하는데 사용될 수 있는 프로그램의 고유한 특징을 말한다. 본 논문에서는 windows PE(Portable Executable) 파일의 API에 대한 정보를 가지는 임포트 테이블에 기반한 프로그램 버스마킹 기법을 제안한다. 버스마크의 신뢰도를 높이기 위한 방법으로 대부분의 Windows 프로그램에서 사용되는 범용의 API는 버스마크에서 제외시키고 프로그램 개개의 특성을 나타낼 수 있는 특화된 API에 초점을 맞추어서 비교하는 방법을 사용한다. 본 논문에서 제안한 버스마킹 기법을 평가하기 위해서 다양한 카테고리의 Windows 프로그램에 대해서 실험을 하였다. 신뢰도를 측정하기 위해서 같은 프로그램에 대해서 버전별로 비교를 하였고, 프로그램의 분류에 따라서 유사한 카테고리와 다른 카테고리에 대해서 비교를 하였다. 프로그램의 변환이나 난독화에도 견딜 수 있는 강인도(Resilience)를 평가하기 위해서 서로 다른 컴파일러를 사용하여 생성된 프로그램에 대해서 비교를 하였다. 실험 결과에서 본 논문에서 제안하는 버스마크가 프로그램의 특징을 충분히 표현하고 있음을 보여준다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권12호
• /
• pp.491-498
• /
• 2016

최근 Windows PE와 같은 포터블 OS를 USB, CD/DVD 등의 이동식 저장매체에 저장하여 부팅하는 기법으로 기밀자료 및 내부정보가 유출되는 사례가 증가하고 있다. 이동식 저장매체를 이용한 이 부팅 기법은 타깃 PC에 설치된 USB 보안, 매체제어솔루션 등의 보안 소프트웨어의 우회가 가능하고, 부팅 후 PC의 저장매체를 마운트하여 정보 추출 및 악성코드 삽입 등의 행위가 가능하며, 이동식 저장매체의 사용흔적과 같은 로그기록이 남지 않는 특징이 있어 자료유출여부 확인과 역추적이 어렵다. 이에 본 논문에서는 플래시 메모리에서 BIOS 설정과 관련된 데이터가 기록되는 BIOS 펌웨어 이미지를 수집 및 분석하여 이상행위로 추정할 수 있는 이동식 저장매체를 이용한 부팅 흔적을 찾아 기업의 감사 또는 디지털 포렌식 수사를 수행하는데 도움이 될 수 있는 방안을 제시한다.

• 한국인터넷방송통신학회논문지
• /
• 제17권6호
• /
• pp.11-17
• /
• 2017

본 논문에서는 멀웨어 탐지 방법으로 Opcode (operation code)와 실행 파일에서 추출한 Windows API Call로 구성된 특징 벡터를 사용하는 방법을 제안한다. 먼저 PE 파일에서 추출한 opcode와 windows API로 특징 벡터를 구성하고 Bernoulli Naïve Bayes과 K-Nearest Neighbor 분류기 알고리즘을 사용하여 성능을 각각 측정하였다. 실험결과, 제안한 방법과 KNN 분류기를 사용하여 분류하면 95.21%의 멀웨어 탐지 정확도를 얻을 수 있었다. 결과적으로 기존의 Opcode 또는 Windows API 호출 중 하나만 사용하는 방법보다 제안한 방법이 멀웨어 탐지 정확도에서 높은 성능을 보인다.

• 시스템엔지니어링학술지
• /
• 제14권2호
• /
• pp.67-72
• /
• 2018

In the EPC(Engineering Procurement and Construction) project of the plant, procurement engineering has a profound effect on the profitability of the project. It is important that the procurement specifications are well written to ensure that procurement engineering works properly. In the meantime, the procurement specifications have been created by the experience of the person in charge because there was no system for helping procurement engineering. To cope with this situation, we are developing a procurement engineering management support system (PeMSS). This paper describes how to implement a knowledge-based service in the procurement engineering management support system. First, we briefly introduce the PeMSS, the knowledge base application field, and how to apply it. The parts that requires knowledge-based service are parsing the requirements in the PDF (Portable Document Format) file and management of the document provided by the supplier of the equipment.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2023년도 제67차 동계학술대회논문집 31권1호
• /
• pp.103-106
• /
• 2023

코로나 팬데믹 사태로 인해 업무환경이 재택근무를 하는 환경으로 바뀌고 악성코드의 변종 또한 빠르게 발전하고 있다. 악성코드를 분석하고 백신 프로그램을 만들면 새로운 변종 악성코드가 생기고 변종에 대한 백신프로그램이 만들어 질 때까지 변종된 악성코드는 사용자에게 위협이 된다. 본 연구에서는 머신러닝 알고리즘을 사용하여 악성파일 여부를 예측하는 방법을 제시하였다. 일반적인 악성코드의 구조를 갖는 Portable Executable 구조 파일을 파이썬의 LIEF 라이브러리를 사용하여 Certificate, Imports, Opcode 등 3가지 feature에 대해 정적분석을 하였다. 학습 데이터로는 정상파일 320개와 악성파일 530개를 사용하였다. Certificate는 hasSignature(디지털 서명정보), isValidcertificate(디지털 서명의 유효성), isNotExpired(인증서의 유효성)의 feature set을 사용하고, Imports는 Import Address Table의 function 빈도수를 비교하여 feature set을 구축하였다. Opcode는 tri-gram으로 추출하여 빈도수를 비교하여 feature set을 구축하였다. 테스트 데이터로는 정상파일 360개 악성파일 610개를 사용하였으며 Feature set을 사용하여 random forest, decision tree, bagging, adaboost 등 4가지 머신러닝 알고리즘을 대상으로 성능을 비교하였고, bagging 알고리즘에서 약 0.98의 정확도를 보였다.

• 한국멀티미디어학회논문지
• /
• 제20권11호
• /
• pp.1759-1767
• /
• 2017

Although Open API has been invigorated by advancements in the software industry, diverse types of malicious code have also increased. Thus, many studies have been carried out to discriminate the behaviors of malicious code based on API data, and to determine whether malicious code is included in a specific executable file. Existing methods detect malicious code by analyzing signature data, which requires a long time to detect mutated malicious code and has a high false detection rate. Accordingly, in this paper, we propose a method that analyzes and detects malicious code using association rule mining and an Naive Bayes classification. The proposed method reduces the false detection rate by mining the rules of malicious and normal code APIs in the PE file and grouping patterns using the DHP(Direct Hashing and Pruning) algorithm, and classifies malicious and normal files using the Naive Bayes.

• 대한전자공학회:학술대회논문집
• /
• 대한전자공학회 2004년도 하계종합학술대회 논문집(2)
• /
• pp.451-454
• /
• 2004

The reconfigurable architecture is increasingly important for design of multi-mode communication systems and computation-intensive DSP systems. The proposed coarse-grain architecture is based on a reconfigurable processing element consisting of a MAC unit, a register file, a context data register, and PE interconnect control blocks. The main feature of the Proposed architecture is the loop context which enables faster configuration. Also, we propose another area-efficient reconfigurable architecture with improved reconfigurability. The SystemC modeling results show that the proposed architecture can reduce 9 clock cycles of 2D DCT compared to existing architectures.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 추계학술발표논문집 (중)
• /
• pp.647-650
• /
• 2003

가상 기계 개념은 목적 기계에 영향을 받지 않는 컴파일러의 중간언어로부터 시작되었다. 즉, 기존에는 실행 프로그램이 하드웨어와 운영체제에 종속적이었으나 가상 기계는 플랫폼 독립을 가능하게 한다. 임베디드 시스템이란 전용 동작을 수행하거나 또는 특정 임베디드 소프트웨어 응용 프로그램과 함께 사용되도록 디자인된 특정 컴퓨터 시스템 또는 컴퓨팅 장치를 말한다. 임베디드 시스템을 위한 가상 기계 기술은 모바일 장치와 디지털-TV 등에 탑재할 수 있는 핵심 기술과 다운로드 솔루션을 이용한 동적인 실행 기술이 요구된다. 또한 컨텐츠 개발을 쉽게 하기 위해서 다양한 언어를 지원하고 언어들 간의 통합이 가능하다. 본 논문에서는 클래스 파일 포맷, PE 파일 포맷 등 기존의 가상 기계를 위한 파일 포맷들의 분석을 기반으로 하여 임베디드 시스템을 위한 실행 파일 포맷인 EVM 파일 포맷을 제안한다. EVM 파일 포맷은 언어 통합을 지원하고 구조가 간결하며 확장이 용이한 특징을 지닌다. 또한 메타데이터와 중간언어(SIL)가 서로 독립적으로 구성되어 분석이 쉽고 타입 체크가 괸리한 구조이다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2004년도 춘계학술발표대회
• /
• pp.503-506
• /
• 2004

임베디드 시스템을 위한 가상 기계 기술은 모바일 디바이스와 디지털 TV 등에 탑재할 수 있는 핵심 기술로 다운로드 솔루션에서는 꼭 필요한 소프트웨어 기술이다. 현재 EVM(Embedded Virtual Machine)이라 명명되어진 임베디드 시스템을 위한 가상 기계에 대한 연구가 진행 중이며, 임베디드 시스템을 위한 실행파일 포맷인 EVM 파일 포맷이 설계 되었다. EVM 파일 포맷은 이진 스트림 형태로 구성되어 있기 때문에, EVM 파일의 형태를 분석하고 각각의 정보를 보다 용이하게 접근하는 데는 한계를 가지고 있다. 본 논문에서는 클래스 파일과 PE 파일 등 기존의 가상 기계를 위한 파일들에 대한 시각화 브라우저들의 분석을 기반으로 하여 EVM 파일 포맷을 위한 시각화 브라우저를 설계하고 구현한다. EVM 파일 포맷을 위한 시각화 브라우저를 통해서 EVM 파일에 대한 분석을 보다 편리하게 진행하고 EVM 파일이 갖는 정보에 대한 접근을 용이하게 할 수 있다.