• 산업융합연구
• /
• 제20권5호
• /
• pp.61-68
• /
• 2022

최근에는 발전하는 정보통신 기술을 이용하여 악의적인 코드들이 제작되고 있고 이를 기존 탐지 시스템으로는 탐지하는게 역부족인 실정이다. 이러한 지능적이고 악의적인 코드를 정확하고 효율성 있게 탐지하고 대응하기 위해서는 지능적 탐지 모델이 필요하다. 그리고, 탐지 성능을 최대로 높이기 위해서는 악의적인 코드의 주요 특징 정보 집합으로 훈련하는 것이 중요하다. 본 논문에서는 지능적 탐지 모델을 설계하고 모델 훈련에 필요한 데이터를 변환, 차원축소, 특징 선택 단계를 거쳐 주요 특징 정보 집합으로 생성하는 기법을 제안하였다. 그리고 이를 기반으로 악의적인 코드별로 주요 특징 정보를 분류하였다. 또한, 분류된 특징 정보들을 기반으로 변형되거나 새로 등장하는 악의적인 코드를 분석하고 탐지하는데 사용할 수 있는 공통 특징 정보를 도출하였다. 제안된 탐지 모델은 제한된 수의 특성 정보로 학습하여 악의적인 코드를 탐지하기에 탐지 시간과 대응이 빨리 이루어져 피해를 크게 줄일 수 있다. 그리고, 성능 평가 결과값은 학습 알고리즘에 따라 약간 차이가 나지만 악의적인 코드 대부분을 탐지할 수 있음을 평가로 알 수 있었다.

• International Journal of Advanced Culture Technology
• /
• 제9권4호
• /
• pp.288-294
• /
• 2021

There are various ways to be infected with malicious code due to the increase in Internet use, such as the web, affiliate programs, P2P, illegal software, DNS alteration of routers, word processor vulnerabilities, spam mail, and storage media. In addition, malicious codes are produced more easily than before through automatic generation programs due to evasion technology according to the advancement of production technology. In the past, the propagation speed of malicious code was slow, the infection route was limited, and the propagation technology had a simple structure, so there was enough time to study countermeasures. However, current malicious codes have become very intelligent by absorbing technologies such as concealment technology and self-transformation, causing problems such as distributed denial of service attacks (DDoS), spam sending and personal information theft. The existing malware detection technique, which is a signature detection technique, cannot respond when it encounters a malicious code whose attack pattern has been changed or a new type of malicious code. In addition, it is difficult to perform static analysis on malicious code to which code obfuscation, encryption, and packing techniques are applied to make malicious code analysis difficult. Therefore, in this paper, a method to detect malicious code through dynamic analysis and static analysis using Trojan-type Downloader/Dropper malicious code was showed, and suggested to malicious code detection and countermeasures.

• 한국컴퓨터정보학회논문지
• /
• 제24권5호
• /
• pp.27-33
• /
• 2019

One of serious security threats is a botnet-based attack. A botnet in general consists of numerous bots, which are computing devices with networking function, such as personal computers, smartphones, or tiny IoT sensor devices compromised by malicious codes or attackers. Such botnets can launch various serious cyber-attacks like DDoS attacks, propagating mal-wares, and spreading spam e-mails over the network. To establish a botnet, attackers usually inject malicious URLs into web source codes stealthily by using data hiding methods like Javascript obfuscation techniques to avoid being discovered by traditional security systems such as Firewall, IPS(Intrusion Prevention System) or IDS(Intrusion Detection System). Meanwhile, it is non-trivial work in practice for software developers to manually find such malicious URLs which are hidden in numerous web source codes stored in web servers. In this paper, we propose a security defense system to discover such suspicious, malicious URLs hidden in web source codes, and present experiment results that show its discovery performance. In particular, based on our experiment results, our proposed system discovered 100% of URLs hidden by Javascript encoding obfuscation within sample web source files.

• 한국인터넷방송통신학회논문지
• /
• 제20권2호
• /
• pp.39-44
• /
• 2020

악성코드는 탐지 프로그램을 피해 기기들에게 피해를 유발한다. 기존의 악성코드 탐지 기법으로 이러한 새로운 악성코드를 탐지하는데 어려움을 겪는 이유는 서명 기반의 탐지 기법을 사용하기 때문이다. 이 기법은 기존 악성코드들은 효과적으로 탐지하지만, 새로운 악성코드에 대해서는 탐지가 어렵다. 이러한 문제점을 인식하여, 휴리스틱 기법을 추가적으로 사용한다. 이 논문에서는 딥러닝을 활용하여 악성코드를 탐지하는 기술에 대해 소개하여 새로운 악성코드를 탐지하는 기술에 대해서 제안한다. 또한, 악성코드를 탐지한다는 것은, 기기에서 실행 가능한 파일의 개수는 무수히 많으므로, 지도학습 방식(Supervisor Learning)으로는 분명한 한계가 존재한다. 그렇기 때문에, 준지도 학습으로 알려진 SCAE(Stacked Convolution AutoEncoder)를 활용한다, 파일들의 바이트 정보들을 추출하여, 이미지화를 진행하고, 이 이미지들을 학습을 시켜, 학습 시키지 않은 10,869개의 악성코드, 3,442개의 비악성코드를 모델에 추론한 결과 정확도를 98.84%을 달성하였다.

• 한국시뮬레이션학회논문지
• /
• 제18권1호
• /
• pp.63-70
• /
• 2009

본 과제의 목표는 윈도우 환경에서 동작하는 악성코드를 분류하기 위한 방법론을 제시하고, 시험용 분류 시스템을 개발하는 데 있다. 악성코드를 크게 9개의 그룹으로 분류하고, 이를 다시 그룹의 특성이 맞는 여러 개의 클러스터로 구분하였다. 해당 클러스터에 속하는 악성코드는 최소한 클러스터의 기본 속성은 만족시킨다. 또한 악성코드가 소속되는 각각의 클러스터에서는 기준점을 기반으로 악성코드의 유사도가 계산되며, 이 유사도에 의해서 악성코드 분석가들은 기존의 악성코드와 새로운 악성코드의 유형 및 관련 정도를 파악하게 된다. 악성코드 분류 시스템은 정량적 분석과 정성적인 분석에 대한 결과를 보여주며, 챠트를 통하여 보기 쉽게 내용을 파악할 수 있다. 매일 수천 건의 악성코드가 발견되는 상황에서 악성코드 분석가들에게 기존 악성코드와의 유사도를 제공함으로써 분석의 시간과 노력을 줄여 줄 수 있다. 본 연구의 성과물은 향후 악성코드 예측 시스템의 초석으로 활용될 수 있을 것이다.

• 정보보호학회논문지
• /
• 제30권6호
• /
• pp.1043-1052
• /
• 2020

시그니처 기반 악성코드 탐지는 제로데이 취약점을 이용하거나 변형된 악성코드를 탐지하지 못하는 한계가 있다. 이를 극복하기 위해 N-gram을 이용하여 악성코드를 분류하는 연구들이 활발히 수행되고 있다. 기존 연구들은 높은 정확도로 악성코드를 분류할 수 있지만, Spectre와 같이 짧은 코드로 동작하는 악성코드는 식별하기 어렵다. 따라서 본 논문에서는 Spectre 공격 바이너리를 효과적으로 식별할 수 있도록 함수 단위 N-gram 비교 알고리즘을 제안한다. 본 알고리즘의 유효성을 판단하기 위해 165개의 정상 바이너리와 25개의 악성 바이너리에서 추출한 N-gram 데이터셋을 Random Forest 모델로 학습했다. 모델 성능 실험 결과, 25개의 Spectre 악성 함수의 바이너리를 99.99% 정확도로 식별했으며, f1-score는 92%로 나타났다.

• 융합보안논문지
• /
• 제14권5호
• /
• pp.37-47
• /
• 2014

악성코드 중 가장 많은 비율을 차지한 것은 트로이 목마이며, 트로이 목마의 경우 그 자체로 피해를 주는 형태가 주종을 이루었지만, 최근에는 백도어 방식으로 사용자 정보를 몰래 빼오는 형태가 많아지고 있으며, 트로이 목마의 특성을 갖고 있는 웜이나 바이러스가 증가하고 있는 추세이다. 웜의 확산 특징을 분석하기 위한 모델링 기법들이 제시되었지만 거시적인 분석만 가능하였고 특정 바이러스, 악성코드에 대해 예측하기는 한계점이 있다. 따라서 본 논문에서는 과거의 Trojan 데이터를 활용하여 미래의 Trojan 악성코드의 발생을 예측 할 수 있는 ESP모델을 제시하였다. 이 모델을 적용하여 얻어진 예측 값을 마코프 체인과 비교한 결과 제안한 모델이 기존 발생한 실제 빈도수와 유사한 값을 나타냄을 알 수 있었다.

• 정보보호학회논문지
• /
• 제32권2호
• /
• pp.439-446
• /
• 2022

웹사이트나 메일의 첨부 파일을 이용해 문서형 악성코드의 유포가 활발하게 이루어지고 있다. 문서형 악성코드는 실행 파일이 직접 실행되는 것이 아니므로 보안 프로그램의 우회가 비교적 쉽다. 따라서 문서형 악성코드는 사전에 탐지하고 예방해야 한다. 이를 탐지하기 위해 문서의 구조를 파악하고 악성으로 의심되는 키워드를 선정하였다. 문서 내의 스트림 데이터를 아스키코드값으로 변환하여 데이터셋을 만들었다. CNN 알고리즘을 이용하여 문서의 스트림 데이터 내에 존재하는 악성 키워드의 위치를 확인하고 인접 정보를 활용하여 이를 악성으로 분류했다. 파일 내의 스트림 단위로 악성코드를 탐지한 결과 0.97의 정확도를 보였고, 파일 단위로 악성코드를 탐지한 결과 0.92의 정확도를 보였다.

• 한국항행학회논문지
• /
• 제16권1호
• /
• pp.41-53
• /
• 2012

최근 악성코드에 의한 피해가 개인이나 기업으로부터 기관이나 국가 차원으로 진화하고 있고 악성코드가 사용하는 기술 역시 점점 고도화되고 다양한 기법들을 흡수하여 매우 지능적으로 발전하고 있다. 한편, 보안전문가들은 시그니쳐 탐색 등의 정적 분석과 역공학 등의 동적 분석으로 이에 대응하고 있지만 이는 새로이 출현하는 지능적인 악성코드에 긴급히 대처하기에는 부족함이 있다. 따라서, 악성코드들의 행위 분석에 앞서 대개의 악성코드들이 가지는 감염절차 및 파일 은닉기법에 대한 분석을 우선적으로 수행하고 이를 토대로 재빠른 초동분석이 이루어진 후 그 무력화 방법을 포함한 제반 상세분석이 이루어질 것이 요구된다. 따라서 본 논문에서는 악성코드의 초기 진압을 위하여 요구되는 감염 절차의 분석과 파일 은닉기법의 분석 방안을 연구하였으며 그 과정에서 스팸메일을 발송하는 것으로 가장 널리 알려진 Rustock을 대상으로 실험하였다. 실험 결과를 통하여, 향후 새로이 출현하는 악성코드에 대한 재빠른 대처가 가능할 것으로 판단된다.

• 정보보호학회논문지
• /
• 제16권3호
• /
• pp.17-28
• /
• 2006

우회기법을 사용하는 변종 악성코드의 출현은 바이러스 백신에 의한 탐지를 우회하여 확산을 가속화시키고 있다. 만일 보안 취약점 패치가 되지 않고, 바이러스 백신 패턴에 포함되지 않았을 경우에 신종 웜은 수분 내에 단위 네트워크상의 시스템을 감염시킬 수 있으며, 다른 지역 네트워크로의 확산도 가능하다. 따라서 변종 및 신종 악성코드에 대한 기존의 패턴기반 탐지 및 치료 방식에는 한계가 있다. 본 논문에서는 실행 압축의 우회기법을 사용한 악성코드에 대하여 행위기반의 정적 및 동적 분석에 의한 탐지패턴을 생성하고, 동적 탐지에 의한 변종 및 신종에 대한 탐지 방법을 제안한다. 또한 동적 탐지에서의 유사도 비교를 위한 방법을 제안하여 시스템의 중요자원에 접근하는 실행압축 기법을 사용하는 바이러스의 탐지가 가능함을 보인다.