• 반도체디스플레이기술학회지
• /
• 제22권3호
• /
• pp.73-77
• /
• 2023

As the DeFi market continues to expand, fraudulent activities using smart contracts have also increased. HoneyPot and Ponzi schemes are well-known frauds that exploit smart contracts. While several studies have demonstrated the potential to detect smart contracts implementing these scams, there has been a lack of research focusing on simultaneously detecting both types of fraud. This paper addresses this gap by harnessing artificial intelligence to conduct experiments for the detection of both HoneyPot and Ponzi schemes. The study employs the CNN (Convolutional Neural Network) model, commonly used for malware detection. To effectively utilize CNN, the bytecode of smart contracts is transformed into visual representations. The experimental results showcase a recall rate of 0.89 and an F1 score of 0.85, indicating promising detection capabilities.

• 한국전자통신학회논문지
• /
• 제7권2호
• /
• pp.279-285
• /
• 2012

전력, 수력, 원자력, 석유 등 국가에서 관리하는 중요핵심기반시설들은 대부분 SCADA(Supervisiory Control And Data Acquisition)시스템의 폐쇄망 형태로 운영되고 있다. 이러한 시스템들은 개방형 프로토콜 및 상용 운영체제 사용 등으로 인해 점차 IT에 대한 의존성이 증가되는 추세이다. 이러한 주요 시설들이 사이버 테러 및 해킹, 바이러스 등에 의해 원격 조작 및 통제되는 경우 심각한 위험에 빠질 수 있다. 본 논문에서는 주요기반시설 시스템에 대한 위협 및 취약성을 최소화하는 방법을 제시하고, 공격패턴이 알려지지 않은 Zero-Day Attack을 탐지하는 Virtual Honeynet의 시스템 구성과 공격 탐지 알고리즘, 탐지 사례 등에 대해 알아보고자 한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2010년도 한국컴퓨터종합학술대회논문집 Vol.37 No.1(D)
• /
• pp.36-41
• /
• 2010

크래커(Cracker)의 공격으로부터 내부 자원을 보호하기 위한 허니팟 시스템은 크게 두 가지로 구분된다. 하나는 내부 정보자원을 보호하기 위해 크래커의 공격을 유인하는 목적의 허니팟이며, 다른 하나는 방어기법을 연구하기 위해 크래커의 공격을 유도한 후 공격기법을 로그기반으로 수집하는 허니팟이다. 하지만, 최근의 공격은 크래커로 인한 공격보다는 불특정 다수를 공격하기 위해 대량의 악성코드를 통한 공격이 주를 이루고 있다. 따라서, 허니팟의 유형도 변화가 필요하게 되었다. 악성코드에 대한 방어기법을 연구하는 Anti-Virus 연구소에서는 최근의 악성코드 공격으로부터 시스템을 보호하기 위해서는 악성코드를 조기에 수집하는 것이 주요 이슈로 등장하게 되었다. 악성코드 수집을 위한 허니팟은 기존 허니팟과 다른 특징을 가지고 있으며, 이러한 특징을 고려하여 개발되어야 한다. 하지만, 악성코드 수집용 허니팟이 필수적으로 갖추어야 할 조건이 정의된 것이 없으며, 개발을 위한 구현 모델이 존재하지 않아, 실제 구축에는 어려움을 겪고 있다. 따라서, 본 고에서는 기존 허니팟과 비교를 통해 악성코드 수집용 허니팟이 갖추어야 할 7대 요구조건을 개발하고, 이를 토대로 기존에 제시된 적이 없는 악성코드 수집용 허니팟 구현 모델을 제안하였다. 또한, 구현 모델을 통해 실제 악성코드 수집용 허니팟을 개발 및 실제 구축하여, 수집 결과와 함께 구축 시 고려사항을 도출하였다. 앞으로, Anti-Virus 연구소들은 본 구현모델과 구현결과, 고려사항을 통해 악성코드 수집용 허니팟을 개발하여, 확산되는 악성코드를 조기에 수집 및 대응함으로써, 1.25 대란, 7.7 DDoS대란과 같이 악성코드로 인해 발생하는 국가적 정보자산 손실을 미연에 방지하는데 큰 기여를 할 것으로 기대된다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제15권5호
• /
• pp.1891-1908
• /
• 2021

Cyber deception defense mitigates Advanced Persistent Threats (APTs) with deploying deceptive entities, such as the Honeyfile. The Honeyfile distracts attackers from valuable digital documents and attracts unauthorized access by deliberately exposing fake content. The effectiveness of distraction and trap lies in the enticement of fake content. However, existing studies on the Honeyfile focus less on this perspective. In this work, we seek to improve the enticement of fake text content through enhancing its readability, indistinguishability, and believability. Hence, an enticing deceptive-content generator, EDGE, is presented. The EDGE is constructed with three steps: extracting key concepts with a semantics-aware K-means clustering algorithm, searching for candidate deceptive concepts within the Word2Vec model, and generating deceptive text content under the Integrated Readability Index (IR). Furthermore, the readability and believability performance analyses are undertaken. The experimental results show that EDGE generates indistinguishable deceptive text content without decreasing readability. In all, EDGE proves effective to generate enticing deceptive text content as deception defense against APTs.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2010년도 춘계학술발표대회
• /
• pp.762-765
• /
• 2010

크래커(Cracker)의 공격으로부터 내부 자원을 보호하기 위한 허니팟 시스템은 크게 두 가지로 구분된다. 하나는 내부 정보자원을 보호하기 위해 크래커의 공격을 유인하는 목적의 허니팟이며, 다른 하나는 방어기법을 연구하기 위해 크래커의 공격을 유도한 후 공격기법을 로그기반으로 수집하는 허니팟이다. 하지만, 최근의 공격은 크래커로 인한 공격보다는 불특정 다수를 공격하기 위해 대량의 악성코드를 통한 공격이 주를 이루고 있다. 따라서, 허니팟의 유형도 변화가 필요하게 되었다. 악성코드에 대한 방어기법을 연구하는 Anti-Virus 연구소에서는 최근의 악성코드 공격으로부터 시스템을 보호하기 위해서는 악성코드를 조기에 수집하는 것이 주요 이슈로 등장하게 되었다. 악성코드 수집을 위한 허니팟은 기존 허니팟과 다른 특징을 가지고 있으며, 이러한 특징을 고려하여 개발되어야 한다. 하지만, 악성코드 수집용 허니팟이 필수적으로 갖추어야 할 조건이 정의된 것이 없으며, 개발을 위한 구현 모델이 존재하지 않아, 실제 구축에는 어려움을 겪고 있다. 따라서, 본 고에서는 기존 허니팟과 비교를 통해 악성코드 수집용 허니팟이 갖추어야 할 7 대 요구조건을 개발하고, 이를 토대로 기존에 제시된 적이 없는 악성코드 수집용 허니팟 구현 모델을 제안하였다. Anti-Virus 연구소들은 본 구현모델을 통해 악성코드 수집용 허니팟을 개발하여, 확산되는 악성코드를 조기에 수집 및 대응함으로써, 1.25 대란, 7.7 DDoS 대란과 같이 악성코드로 인해 발생하는 국가적 정보자산 손실을 미연에 방지하는데 큰 기여를 할 것으로 기대된다.

• 한국전자통신학회논문지
• /
• 제8권12호
• /
• pp.1841-1848
• /
• 2013

본 논문에서는 매우 국한된 사이버공격에만 대응할 수 있는 기존 정형화 탐지패턴 기반의 보안관제를 극복하기 위하여 대규모 네트워크상에서 유출입 되는 이상행위 정보에 대한 종합적 체계적 수집 분석을 통해 실시간 보안관제 정확도 향상 및 관제영역 확대 방안에 대하여 연구하였다. 다크넷 네트워크상에 유입되는 다양한 침해위협 정보들을 수집 저장 분석하기 위한 이상 징후 관측 체계를 구축하고 통계 기반의 해킹동향 분석을 통해 알려진 사이버위협, 알려지지 않은 이상징후 및 고위험 이상행위 정보 분류 체계를 제시하였다. 본 연구에서 제시한 다크넷 트래픽을 활용한 보안관제 체계를 적용할 경우, 전체 침해위협 탐지가 기존 대비 12.6% 증가하였으며, 기존에는 감지할 수 없었던 신종 변종 공격을 120여종 감지하는 것으로 나타났다.

• 한국콘텐츠학회논문지
• /
• 제14권10호
• /
• pp.32-40
• /
• 2014

날로 급증하는 대량의 악성코드들을 분류하여 악성코드에 대한 분석시간을 단축하고 신종의 악성코드를 발견하기 위한 악성코드 분류의 필요성이 대두됨에 따라 대량의 악성코드들을 분류하기 위한 다양한 악성코드 유사도 측정 기법이 제안되고 있다. 하지만 제안된 기존 연구들은 대부분 유사도 측정 기법을 소개하고 해당 기법에 의한 악성코드 분류 결과만을 제시하고 있으며, 다른 유사도 측정 기법과의 성능 비교 결과는 제시하지 않는다. 이는 유사도 측정 기법의 성능을 비교할 수 있는 평가 모델이 존재하지 않기 때문이다. 본 논문에서는 다양한 악성코드 유사도 측정 기법들의 성능을 비교 및 평가할 수 있는 악성코드 유사도 측정기법의 성능평가 모델로 성공확률과 신뢰도의 두 지표를 제안한다. 또한 본 논문에서는 두 지표를 이용해 기존 유사도 측정 기법들의 성능을 비교 및 평가한다.

• 정보보호학회논문지
• /
• 제22권3호
• /
• pp.667-677
• /
• 2012

악성코드 유포자들은 웹 어플리케이션 취약점 공격을 이용해 주로 악성코드를 유포한다. 이러한 공격들은 주로 악성링크를 통해 이루어지며, 이를 탐지하고 분석하는 연구가 활발히 이루어지고 있다. 하지만, 현재의 악성링크 탐지 시스템은 대부분 시그니처 기반이어서 난독화 된 악성링크는 탐지가 거의 불가능하고 알려진 취약점은 백신을 통해 공격을 사전에 방지 할 수 있지만 알려지지 않은 취약점 공격은 사전 방지가 불가능한 실정이다. 이러한 한계점을 극복하기 위해 기존의 시그니처 기반 탐지 방법을 지양하고 행위기반 탐지 시스템에 관한 연구가 이루어지고 있다. 하지만 현재 개발된 탐지 시스템은 현실적으로 제약사항이 많아 실제로 활용하기에는 한계가 있다. 본 논문에서는 이와 같은 한계를 극복하고 탐지 효율을 높일 수 있는 새로운 웹 브라우저 기반 악성행위 탐지 시스템인 WMDS (Web-browser based Malicious behavior Detection System)를 소개 하고자 한다.

• KNOM Review
• /
• 제22권1호
• /
• pp.11-19
• /
• 2019

기술이 발전함에 따라 사용자에게 가해지는 네트워크상의 최신 보안 위협이 늘어나고 있다. 해커가 악의적인 목적을 가지고 산업 또는 기업의 시스템을 공격함으로써 기밀정보가 유출되거나 사이버 테러, 정보 자산의 침해, 금전적인 손해 등의 많은 사회 문제를 야기한다. 복잡하고 다양해지는 위협으로 인해 현 보안 인력만으로 모든 위협을 탐지하고 분석하기에는 역부족인 상황이 되었다. 특히, 365일 24시간으로 돌아가는 산업 기반 시설에서 사용하는 SCADA(Supervisory Control And Data Acquisition)는 정적인 데이터를 수집 및 분석하므로, 실시간으로 발생하는 보안 위협에 대해서는 매우 취약하다. 본 논문에서는 실시간으로 시스템의 상태를 모니터링이 가능하고 보안 위협을 탐지하는 강력한 통합 보안 관리 시스템인 SIEM(Security Information and Event Management)에 대해 소개한다. 다음으로 다양한 기업의 SIEM 솔루션들과 오픈 소스로 배포되는 AlienVault 사의 OSSIM(Open Source SIEM) 을 비교분석하고, OSSIM을 이용한 활용 사례와 OSSIM을 활용할 수 있는 방안을 제시한다.

• 한국전자통신학회논문지
• /
• 제8권6호
• /
• pp.863-871
• /
• 2013

최근 정보통신 기술의 발전으로 국가 주요 핵심 기반시설(Critical National Infrastructure)의 제어시스템에 대한 개방형 프로토콜 적용 및 외부 시스템과의 연계 등이 점차 증가되고 있다. 이러한 추세는 국가 핵심 기반시설이 사이버 침해 및 공격에 따른 위협에 노출됨은 물론 사이버 테러 및 해킹, 바이러스 등에 의해 원격 조작 및 통제되는 경우 심각한 위험에 빠질 수 있음을 의미한다. 본 논문에서는 최근 IT분야의 화두로 떠오르고 있는 가상화(Virtualization)기술을 적용하여 기존 허니넷 시스템의 장점을 유지하면서 허니넷 시스템의 자원문제, 구축 및 운영관리 문제를 줄일 수 있는 가상 허니넷 모델을 제시하였다. 또한 공격의도 확인기반의 데이터 분석 및 수집기법, 포커스 지향(Focus-Oriented) 분석기법을 제시하여 운영비용을 최소화할 수 있는 가상 허니넷 모델을 제안하였다. 제안된 모델을 기반으로 서비스 공격의도 확인 기반의 호스트 및 데이터 수집 기법, 네트워크 공격패턴 시각화 기법 등을 적용한 가상 허니넷 기반의 신종공격 탐지시스템인 Cybertrap을 설계하고 구현하였다. 또한, 제안된 시스템의 시험을 위한 테스트베드를 구축하였고, 일련의 실험을 통해 시스템의 기능 및 성능을 평가하였다.