(모바일) 악성코드는 날이 갈수록 그 수법과 기능이 지능화, 고도화되고 있다. 학계 및 보안업체에서는 기하급수적으로 증가하는 (모바일) 악성코드에 효율적으로 대처하기 위하여 다양한 기법을 제안 및 적용하고 있으나, 여러 가지 제약조건 때문에 그 성능을 발휘하는데 한계가 있다. 본 논문에서는 기존 연구들을 보완하여 새로운 악성코드 탐지 및 분류시스템을 제안하고자 한다. 제안하는 시스템은 컴퓨터 시스템에서 가장 많은 비중을 차지하고 있는 윈도우즈 운영체제에서 악성코드를 분석할 수 있는 Mal-Netminer와 모바일 기기에서 가장 많은 비중을 차지하고 있는 ...
(모바일) 악성코드는 날이 갈수록 그 수법과 기능이 지능화, 고도화되고 있다. 학계 및 보안업체에서는 기하급수적으로 증가하는 (모바일) 악성코드에 효율적으로 대처하기 위하여 다양한 기법을 제안 및 적용하고 있으나, 여러 가지 제약조건 때문에 그 성능을 발휘하는데 한계가 있다. 본 논문에서는 기존 연구들을 보완하여 새로운 악성코드 탐지 및 분류시스템을 제안하고자 한다. 제안하는 시스템은 컴퓨터 시스템에서 가장 많은 비중을 차지하고 있는 윈도우즈 운영체제에서 악성코드를 분석할 수 있는 Mal-Netminer와 모바일 기기에서 가장 많은 비중을 차지하고 있는 안드로이드 운영체제에서 악성코드를 분석할 수 있는 Andro-AutoPsy, Dumpsys 이다. Mal-Netminer는 기존의 콜 그래프 기반의 탐지방법의 단점인 시간 및 연산 복잡도를 낮추기 위하여, 시스템 콜 그래프의 구조적인 성질과 그래프를 구성하고 있는 노드의 영향력을 분석한 경량화된 악성코드 탐지 및 분류 시스템이다. 본 논문에서는 사회연결망 분석방법에서 많이 사용하고 있는 메트릭을 적용하여 악성코드 탐지 및 분류에 적합한 7가지를 선정하여 이를 활용하였다. Andro-AutoPsy는 모바일 악성코드 제작자 정보와 악성코드의 코드 정보를 활용한 통합된 악성코드 분석 시스템이다. 제작자 정보인 인증서 정보를 활용한 악성 코드 탐지 방법은 관련 학문에서 처음 시도된 방법이고, 악성 코드 탐지시간을 단축시킬 수 있다. Andro-Dumpsys는 Andro-AutoPsy와 같은 정적 분석 방법의 공통적인 제한점인 난독화, 패킹, 동적 로딩 기법이 적용된 프로그램에 대한 분석 능력을 향상시킨 것으로, 포렌식 분야에서 많이 사용하고 있는 메모리 덤프 방법을 활용하여, 실행과 관련된 코드가 메모리에 적재되는 순간의 바이트 코드를 추출하여 악성 유무를 분석한다. 실험결과, 본 논문에서 제안하고 있는 시스템은 작은 오탐과 미탐으로 악성 코드를 탐지 및 분류할 수 있고, 확장성이 용이할 뿐 아니라, 아직 보고되지 않은 제로데이 공격에 대해서도 식별할 수 있는 능력을 갖추었다. 따라서 본 논문에서 제안하는 시스템들은 軍을 포함한 사회전반의 핵심 기반인 ICT (Information and Communications Technologies) 인프라 운영에 중요한 요소인 보안기술을 한층 더 발전시킬 수 있을 것으로 기대된다.
(모바일) 악성코드는 날이 갈수록 그 수법과 기능이 지능화, 고도화되고 있다. 학계 및 보안업체에서는 기하급수적으로 증가하는 (모바일) 악성코드에 효율적으로 대처하기 위하여 다양한 기법을 제안 및 적용하고 있으나, 여러 가지 제약조건 때문에 그 성능을 발휘하는데 한계가 있다. 본 논문에서는 기존 연구들을 보완하여 새로운 악성코드 탐지 및 분류시스템을 제안하고자 한다. 제안하는 시스템은 컴퓨터 시스템에서 가장 많은 비중을 차지하고 있는 윈도우즈 운영체제에서 악성코드를 분석할 수 있는 Mal-Netminer와 모바일 기기에서 가장 많은 비중을 차지하고 있는 안드로이드 운영체제에서 악성코드를 분석할 수 있는 Andro-AutoPsy, Dumpsys 이다. Mal-Netminer는 기존의 콜 그래프 기반의 탐지방법의 단점인 시간 및 연산 복잡도를 낮추기 위하여, 시스템 콜 그래프의 구조적인 성질과 그래프를 구성하고 있는 노드의 영향력을 분석한 경량화된 악성코드 탐지 및 분류 시스템이다. 본 논문에서는 사회연결망 분석방법에서 많이 사용하고 있는 메트릭을 적용하여 악성코드 탐지 및 분류에 적합한 7가지를 선정하여 이를 활용하였다. Andro-AutoPsy는 모바일 악성코드 제작자 정보와 악성코드의 코드 정보를 활용한 통합된 악성코드 분석 시스템이다. 제작자 정보인 인증서 정보를 활용한 악성 코드 탐지 방법은 관련 학문에서 처음 시도된 방법이고, 악성 코드 탐지시간을 단축시킬 수 있다. Andro-Dumpsys는 Andro-AutoPsy와 같은 정적 분석 방법의 공통적인 제한점인 난독화, 패킹, 동적 로딩 기법이 적용된 프로그램에 대한 분석 능력을 향상시킨 것으로, 포렌식 분야에서 많이 사용하고 있는 메모리 덤프 방법을 활용하여, 실행과 관련된 코드가 메모리에 적재되는 순간의 바이트 코드를 추출하여 악성 유무를 분석한다. 실험결과, 본 논문에서 제안하고 있는 시스템은 작은 오탐과 미탐으로 악성 코드를 탐지 및 분류할 수 있고, 확장성이 용이할 뿐 아니라, 아직 보고되지 않은 제로데이 공격에 대해서도 식별할 수 있는 능력을 갖추었다. 따라서 본 논문에서 제안하는 시스템들은 軍을 포함한 사회전반의 핵심 기반인 ICT (Information and Communications Technologies) 인프라 운영에 중요한 요소인 보안기술을 한층 더 발전시킬 수 있을 것으로 기대된다.
Recently, as computer systems (e.g., desktop, laptop) and Internet become increasingly ubiquitous, the security threat is one of the most important issues among global society. Mobile security threats also have recently emerged because of the fast growth in mobile technologies and the essential role...
Recently, as computer systems (e.g., desktop, laptop) and Internet become increasingly ubiquitous, the security threat is one of the most important issues among global society. Mobile security threats also have recently emerged because of the fast growth in mobile technologies and the essential role that mobile devices play in our daily lives. As the security landscape evolves over time, where thousands of species of malicious code are seen every day, antivirus vendors strive to detect and classify malware families for efficient and effective responses against malware campaigns. For that, and to particularly address threats associated with malware, various techniques are developed in the literature, including ones that utilize static, dynamic, on-device, off-device, and hybrid approaches for identifying, classifying, and defend against security threats. Those techniques fail at times, and succeed at other times, while creating a trade-off of performance and operation. In this thesis, we contribute to the (mobile) security defense posture by introducing three anti-malware systems: Mal-Netminer on Windows Platform, Andro-AutoPsy/Dumpsys on Android Platform. Mal-Netminer is an anti-malware system based on social network properties as applied to call graphs from the dynamic execution of malware samples. To explore distinguishing features of various malware species, we study social network properties as applied to the call graph, including the degree distribution, degree centrality, average distance, clustering coefficient, network density, and component ratio. We utilize features driven from those properties to build a classifier for malware families. Andro-AutoPsy/Dumpsys, anti-malware systems based on similarity matching of malware-centric and malware creator-centric information. Using them, we detect and classify malware samples into similar subgroups by exploiting the profiles extracted from integrated footprints, which are implicitly equivalent to distinct characteristics. Andro-Dumpsys has been originated from Andro-AutoPsy, and enables to analyze malware embedding complicated packing methods. The experimental results demonstrate that our systems are scalable, perform precisely in detecting and classifying malware with low false positives and false negatives, and are capable of identifying zero-day malware.
Recently, as computer systems (e.g., desktop, laptop) and Internet become increasingly ubiquitous, the security threat is one of the most important issues among global society. Mobile security threats also have recently emerged because of the fast growth in mobile technologies and the essential role that mobile devices play in our daily lives. As the security landscape evolves over time, where thousands of species of malicious code are seen every day, antivirus vendors strive to detect and classify malware families for efficient and effective responses against malware campaigns. For that, and to particularly address threats associated with malware, various techniques are developed in the literature, including ones that utilize static, dynamic, on-device, off-device, and hybrid approaches for identifying, classifying, and defend against security threats. Those techniques fail at times, and succeed at other times, while creating a trade-off of performance and operation. In this thesis, we contribute to the (mobile) security defense posture by introducing three anti-malware systems: Mal-Netminer on Windows Platform, Andro-AutoPsy/Dumpsys on Android Platform. Mal-Netminer is an anti-malware system based on social network properties as applied to call graphs from the dynamic execution of malware samples. To explore distinguishing features of various malware species, we study social network properties as applied to the call graph, including the degree distribution, degree centrality, average distance, clustering coefficient, network density, and component ratio. We utilize features driven from those properties to build a classifier for malware families. Andro-AutoPsy/Dumpsys, anti-malware systems based on similarity matching of malware-centric and malware creator-centric information. Using them, we detect and classify malware samples into similar subgroups by exploiting the profiles extracted from integrated footprints, which are implicitly equivalent to distinct characteristics. Andro-Dumpsys has been originated from Andro-AutoPsy, and enables to analyze malware embedding complicated packing methods. The experimental results demonstrate that our systems are scalable, perform precisely in detecting and classifying malware with low false positives and false negatives, and are capable of identifying zero-day malware.
AI-Helper
※ AI-Helper는 부적절한 답변을 할 수 있습니다.