• 한국통신학회논문지
• /
• 제35권3B호
• /
• pp.431-439
• /
• 2010

탐지룰을 기반으로 하는 보안 시스템들은 신종 인터넷 웜에 대응할 수 없다는 문제가 있다. 본 논문에서는 탐지룰을 사용하지 않고 인터넷 웜 공격으로부터 서버를 보호하는 악성 프로세스 및 실행파일 제거 시스템을 제안한다. 제안 시스템은 보호대상서버와 동일한 서비스 프로그램을 구동하면서 인터넷 웜에 의한 멀티캐스팅 공격을 탐지하는 제어서버와 제어서버의 지시에 따라 보호대상서버에 생성된 악성 프로세스와 악성 실행파일을 제거하는 에이전트로 구성된다. 제안 시스템은 탐지룰을 사용하지 않기 때문에 신종 인터넷 웜에 효과적으로 대응할 수 있으며, 기존의 보안 시스템들과 통합될 경우 보안을 더욱 강화할 수 있다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제10권2호
• /
• pp.39-46
• /
• 2021

최근 맬웨어에 의한 피해가 증가하고 있다. 기존의 시그니처 기반 안티 바이러스 솔루션은 제로 데이 공격 및 랜섬웨어와 같은 새로운 위협에 취약하다. 그럼에도 많은 기업은 문제점을 인식하고, 다중 엔드 포인트 보안 전략의 일부로 서명 기반 안티 바이러스 솔루션을 유지하고 있다. 본 논문에서는 차세대 안티 바이러스 솔루션으로 블록 체인과 딥 러닝 기술을 이용한 솔루션을 제안한다. 기존 DB 서버를 통해 업데이트되는 바이러스 백신 소프트웨어를 사용하여 탐지 유닛을 보완하고, 다양한 샘플과 형태를 사용하여 딥 러닝 용 DB 대신 블록 체인을 구성하여 신규 악성 코드 및 위조 악성 코드 탐지율을 높이는 방법을 제안한다.

• 한국컴퓨터정보학회논문지
• /
• 제29권5호
• /
• pp.1-10
• /
• 2024

공격자들은 공격 대상인 IT 자산을 찾을 때 자신이 가지고 있는 유사한 취약점을 사용하는 경향이 있다. 따라서 IT 자산 중 표적이 될 수 있는 유사한 운영체제, 애플리케이션이 있을 때 이를 사전에 찾아내는 것이 중요하다. 본 논문은 효율적인 취약자산 관리 및 제로데이 대응을 위한 새로운 접근 방식을 제안한다. 해당 방법론은 클러스터링과 유사도 계산 결과를 기반으로 새로운 취약점이나 이미 발견된 취약점에 의해 감염될 가능성이 있는 IT 자산을 탐지하는 기능을 제공한다. 실험 결과, 수집된 전체 자산의 86%의 정확도로 클러스터의 목적에 맞게 분류되었으며, 무작위 자산을 선정하여 유사성 계산 실험을 한 결과 동일한 운영체제 및 서비스를 사용하는 자산이 나열됐다.

• 한국컴퓨터정보학회논문지
• /
• 제19권1호
• /
• pp.85-94
• /
• 2014

본 논문에서는 사용자 시스템이 악성 프로그램에 의해 피해를 입은 후 시그니처나 보안 패치가 나오기 전에 피해를 최소화하기 위한 방법으로 파일 DNA 기반의 행위 패턴 분석을 통한 탐지 기법을 연구하였다. 기존의 네트워크 기반의 패킷 탐지기법과 프로세스 기반 탐지 기법의 단점을 보완하여 제로데이 공격을 방어하고 오탐지를 최소화하기 위해 파일 DNA 기반 탐지기법을 적용하였다. 파일 DNA 기반 탐지기법은 악성코드의 비정상 행위를 네트워크 관련 행위와 프로세스 관련 행위로 나누어 정의하였다. 사용자 시스템에서 작동되는 프로세스의 중요한 행위와 네트워크 행위를 정해진 조건에 의해 검사 및 차단하며, 프로세스 행위, 네트워크 행위들이 조합된 파일 DNA를 기반하여 악성코드의 행위 패턴의 유사도를 분석하여 위험경고 및 차단을 통한 대응 기법을 연구하였다.

• 한국멀티미디어학회논문지
• /
• 제13권5호
• /
• pp.754-762
• /
• 2010

최근 악성 문서파일이 첨부된 이메일을 특정인에게 발송하여 중요자료를 절취하는 형태의 해킹사고가 지속적으로 발생하고 있다. 이러한 공격에는 공격 성공률 향상과 바이러스 백신의 탐지회피를 위해 주로 제로데이 취약점이 이용되고 있으며, 적절한 사회공학적 기법이 병행되는 것이 일반적이다. 본 논문에서는 조직으로 유입되는 이메일 첨부 문서파일에 대한 행위기반 악성문서 탐지기술이 적용된 이메일 백신 클라우드 시스템을 제안한다. 이메일에 포함된 문서파일을 추출하여 이메일 백신 클라우드 시스템에 전달하면, 백신 클라우드에서 시그니쳐 기반 분석 및 행위기반 분석을 통해 악성코드 포함 여부를 판단 후 악성코드를 제거한다. 행위분석 과정에서 의도하지 않은 실행파일 생성, 프로세스 실행, 레지스트리 엔트리 접근, 인터넷 접속시도 등이 발견되면 악성문서로 판단하게 된다. 본 논문에서 제시된 이메일 백신 클라우드 시스템은 악성문서 첨부 이메일의 유입을 효과적으로 차단함으로써 중요자료 유출 등의 각종 사이버테러 예방에 도움이 될 것으로 기대 된다.

• Journal of Information Processing Systems
• /
• 제5권1호
• /
• pp.33-40
• /
• 2009

Ever since the network-based malicious code commonly known as a 'worm' surfaced in the early part of the 1980's, its prevalence has grown more and more. The RCS (Random Constant Spreading) worm has become a dominant, malicious virus in recent computer networking circles. The worm retards the availability of an overall network by exhausting resources such as CPU capacity, network peripherals and transfer bandwidth, causing damage to an uninfected system as well as an infected system. The generation and spreading cycle of these worms progress rapidly. The existing studies to counter malicious code have studied the Microscopic Model for detecting worm generation based on some specific pattern or sign of attack, thus preventing its spread by countering the worm directly on detection. However, due to zero-day threat actualization, rapid spreading of the RCS worm and reduction of survival time, securing a security model to ensure the survivability of the network became an urgent problem that the existing solution-oriented security measures did not address. This paper analyzes the recently studied efficient dynamic network. Essentially, this paper suggests a model that dynamically controls the RCS worm using the characteristics of Power-Law and depth distribution of the delivery node, which is commonly seen in preferential growth networks. Moreover, we suggest a model that dynamically controls the spread of the worm using information about the depth distribution of delivery. We also verified via simulation that the load for each node was minimized at an optimal depth to effectively restrain the spread of the worm.

• 정보보호학회논문지
• /
• 제30권6호
• /
• pp.1141-1149
• /
• 2020

산업제어망은 대부분 독립된 폐쇄망으로 설치 이후 장기적으로 운영되면서 OS가 업데이트 되지 않아 보안 위협이 증가하고 보안 취약성이 존재한다. 제로 데이 공격 방어에는 최신 패치 적용이 필수로 이루어져야 하지만 대규모 산업망에서는 물리적인 장치를 직접 다루는 특성으로 더 높은 실시간성과 무중단 운영이 요구되기 때문에 실 운영 중인 시스템에 적용하기 어렵다. 이 문제를 해결하기 위해 신뢰로운 패치 적용을 위한 유틸리티사 고유의 패치 영향성 평가가 필요하다. 본 논문은 패치 시험에 대한 개념설계로부터 시스템 구현과 실증적용을 아우르고 있다. 패치 영향성 평가 방법론으로서 패치를 적용하기 전과 후의 시스템 고유 기능, 성능, 행위를 기반으로 시험 유형을 분류하고 반복 실험을 통해 패치의 안전성을 판정하는 최대 허용치를 제안하였다. 이후 산업제어망에 직접 적용한 결과 99.99% 가용성을 보장하면서 OS패치가 업데이트 되었다.

• 전자공학회논문지
• /
• 제51권11호
• /
• pp.127-133
• /
• 2014

다양한 악성코드로부터 정보자산을 보호하기 위해서 허니팟 시스템을 구축한다. 허니팟 시스템은 내부 시스템이 공격받지 않도록 공격을 유인하는 목적으로 설계되거나, 악성코드 정보를 수집하기 위한 목적으로 설계된다. 그러나 기존의 하니팟은 정보 수집을 목적으로 구축되었기 때문에 위장서버 혹은 위장 클라이언트 서버를 구축하거나 위장 콘텐츠를 제공하여 공격자의 유입을 적극적으로 유도하도록 설계되었다. 그러나 위장서버구축의 경우는 빈번한 디스크 입출력으로 약 1년 주기로 하드웨어를 재설치하여야 하고, 위장 클라이언트 서버를 구축하는 경우는 획득한 정보 분석의 자동화에는 한계가 있기 때문에 전문 인력 확보와 같은 운영상의 문제가 있다. 이처럼 기존 허니팟의 하드웨어적인 문제와 운영상의 문제들을 해결 및 보완할 수 있도록 본 연구에서는 하이브리드 허니팟을 제안하였다. 제안한 하이브리드 허니팟은 허니월, 분석서버, 통합콘솔을 두고 공격유형을 2가지 유형으로 분류하여 처리한다. 유형1인 고수준 상호작용서버와 유형2인 저수준 상호작용서버를 동작하도록 하여 위장(유인용)과 거짓응답(에뮬레이션)이 공통스위치 영역에 연계되도록 설계하였다. 이러한 하이브리드 허니팟은 허니월의 저수준 허니팟과 고수준 허니팟을 동작하도록 한다. 분석서버는 해킹유형을 해쉬값으로 변환하고 이를 상관분석 알고리즘으로 분리하여 허니월에 전송한다. 통합모니터링 콘솔은 지속적인 모니터링을 실시하므로 최신 해킹기법과 공격 툴에 대한 정보 분석뿐만 아니라 악성코드에 대한 선제적인 보안대응 효과를 제공할 수 있을 것으로 기대한다.