$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

[국내논문] 다중 필터를 이용한 실시간 악성코드 탐지 기법
A Realtime Malware Detection Technique Using Multiple Filter 원문보기

韓國컴퓨터情報學會論文誌 = Journal of the Korea Society of Computer and Information, v.19 no.7, 2014년, pp.77 - 85  

박재경 (한국과학기술원 사이버보안연구센터)

초록
AI-Helper 아이콘AI-Helper

최근의 클라우드 환경, 빅데이터 환경 등 다양한 환경에서 악성코드나 의심 코드에 의한 피해가 늘어나고 있으며 이를 종합적으로 대응할 수 있는 시스템에 대한 연구가 활발히 이루어지고 있다. 이러한 악성행위가 내포된 의심코드는 사용자의 동의 없이도 PC에 설치되어 사용자가 인지하지 못하는 피해를 양산하고 있다. 또한 다양한 시스템으로부터 수집되는 방대한 양의 데이터를 실시간으로 처리하고 가공하는 기술뿐만 아니라 정교하게 발전하고 있는 악성코드를 탐지 분석하기 위한 대응기술 또한 고도화 되어야 한다. 최근의 악성코드를 원천적으로 탐지하기 위해서는 실행파일에 포함된 악성코드에 대한 정적, 동적 분석을 포함한 분석뿐만 아니라 평판에 의한 검증도 병행되어야 한다. 또한 대량의 데이터를 통해 유사성도 판단하여 실시간으로 대응하는 방안이 절실히 필요하다. 본 논문에서는 이러한 탐지 및 검증 기법을 다중으로 설계하고 이를 실시간으로 처리할 수 있는 방안을 제시하여 의심코드에 대한 대응을 근본적으로 할 수 있도록 연구하였다.

Abstract AI-Helper 아이콘AI-Helper

Recently, several environment damage caused by malicious or suspicious code is increasing. We study comprehensive response system actively for malware detection. Suspicious code is installed on your PC without your consent, users are unaware of the damage. Also, there are need to technology for real...

주제어

#악성코드   #의심코드   #탐지   #검증   #다중 필터  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 기존의 드라이브 바이 다운로드를 자동적으로 탐지하기 위해 오브젝트나 스트링을 트랙킹하거나 쉘코드의 스트링을 검사하는 방식을 통해 검출해왔다[12]. 그러나 본 논문에서는스크립트를 통해 확인하는 것이 아니라 실제 사용자의 개입없이 파일이 다운로드 될 경우 이를 탐지하는 형태를 제안한다.
  • 드라이브 바이 다운로드는 사용자의 개입 없이 웹 사이트를 방문만 해도 자동으로 파일이 로컬 PC에 설치되어 악성행위를 하는 방식으로 최근 들어 가장 많이 퍼져있는 공격 방법이라 할 수 있으나 마땅한 대응방안이 없는 공격이기도 하다. 따라서 본 논문에서는 실제 PC 환경을 도입하여 의심되는 사이트의 URL를 실제 브라우저로 접속하여 드라이브 바이 다운로드 공격이 이루어지는 지를 확인하고자 한다.
  • 본 논문에서 의미하는 의심코드는 악성코드 뿐만 아니라 사용자가 판단하여 피해를 줄 수 있는 코드는 모두 포함하고자 한다. 즉, 내부 자료 유출의 경우 악성코드는 아니나 사용자가 유출되는 것을 꺼려하는 것으로 볼 수 있으며 또한 파밍(Phaming)과 같이 인터넷 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤에 개인정보를 훔치는 범죄도 예방하는 방안을 강구하고자 한다.
  • 본 논문에서는 기존의 악성코드를 직접 분석하거나 패턴에 의해 탐지하는 것이 아니라 악성코드를 웹 사이트에 숨겨 놓거나 해킹을 통해 사용자가 인지하지 못하는 방식으로 배포하는 것을 원천적으로 차단할 수 있는 방안을 제시하였다. 본 논문에서는 커널 레벨에서의 기존 URL을 차단하는 필터와 실시간으로 방문할 시점의 사이트를 크롤링 기법에 의해 추적 하는 필터와 드라이브 바이 다운로드에 의한 악성코드 다운을 탐지할 수 있는 기법을 다중 틸터 형태로 제안하였다.
  • 이러한 문제점을 해결하기 위해서는 보다 근본적인 대책마련이 시급하다. 본 논문에서는 단순한 형태의 탐지가 아닌 다중 검사 방식을 도입하여 실시간으로 의심코드를 탐지하는 기법을 주장하고자 한다. 또한 실제 악성행위를 하는 악성코드인지에 대한 검증을 통해 확진을 하여 해당 시그니처를 긴급히 배포하는 방식으로 설계하였다.
  • 본 논문은 위에서 제시한 3가지의 다중 필터링 시스템을 통하여 악성코드가 사용자 PC에 다운로드 되기 전에 이를 탐지하고 새로운 기법에 의한 방식으로 드라이브 바이 다운로드를 처리할 수 있는 방안을 제시하였다. 이러한 필터가 복합적으로 이루어질 경우 기존의 시스템의 처리 방식에 비해 매우 효과적이고 오탐이 없는 방안이라 할 수 있겠다.
  • 내부망의 정보유출을 막기 위해서는 아웃바운드로 나가는 통신에 대한 검사를 통해 의심코드가 포함되어 있는지를 판단할수 있는 필터를 설계하도록 한다. 본 논문의 연구를 바탕으로 설계된 프로토타입 시스템을 통해 실제 환경에서의 활용 가치와 성능적인 문제를 해결할 수 있는 방안을 함께 제안한다. 기존에 구성된 네트워크 환경에 패킷을 복사하는 형태로 구성하여 실제 트래픽을 실시간으로 처리할 수 있는 실험을 진행하였다.
  • 이처럼 다양하고 파악하기 어려운 의심코드를 악성코드로 검증하고 이를 차단하기 위한 방안을 위해 본 논문에서는 Drive-by-Download를 검증하고 또한 실제 코드를 실제 PC환경에 실행시켜 검증을 하고자 한다. 또한 이러한 방식은실시간으로 이루어지며 자동화하여 결과를 생산하는데 큰 의미가 있다고 할 수 있다.
  • 본 논문에서 의미하는 의심코드는 악성코드 뿐만 아니라 사용자가 판단하여 피해를 줄 수 있는 코드는 모두 포함하고자 한다. 즉, 내부 자료 유출의 경우 악성코드는 아니나 사용자가 유출되는 것을 꺼려하는 것으로 볼 수 있으며 또한 파밍(Phaming)과 같이 인터넷 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤에 개인정보를 훔치는 범죄도 예방하는 방안을 강구하고자 한다. 내부망의 정보유출을 막기 위해서는 아웃바운드로 나가는 통신에 대한 검사를 통해 의심코드가 포함되어 있는지를 판단할수 있는 필터를 설계하도록 한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
본 논문에서는 내부망의 정보유출을 막기 위해 어떤 설계를 하였는가? 즉, 내부 자료 유출의 경우 악성코드는 아니나 사용자가 유출되는 것을 꺼려하는 것으로 볼 수 있으며 또한 파밍 (Phaming)과 같이 인터넷 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤에 개인 정보를 훔치는 범죄도 예방하는 방안을 강구하고자 한다. 내부망의 정보유출을 막기 위해서는 아웃바운드로 나가는 통신에 대한 검사를 통해 의심코드가 포함되어 있는지를 판단할수 있는 필터를 설계하도록 한다. 본 논문의 연구를 바탕으로 설계된 프로토타입 시스템을 통해 실제 환경에서의 활용 가치와 성능적인 문제를 해결할 수 있는 방안을 함께 제안한다.
APT 공격은 어떤 방식으로 공격을 감행하고 있는가? 최근에 악성코드를 이용한 대표적인 공격 유형이 APT (Advanced Persistent Threat) 공격이며, 이 공격은 목표를 정하여 공격하는 방식으로 노골적인 공격을 감행하고 있다. 또한, 사이버전과 같은 국가 간의 전쟁의 양상으로도 확대되고 있는 추세이다.
국내 소프트웨어를 대상으로 한 취약점과 이를 악용한 악성코드가 발견된 사례는? 최근 국내 소프트웨어를 대상으로 한 취약점과 이를 악용한 악성코드가 증가하기 시작했고, 이러한 추세는 가속화하고 있다. 예를 들어 인터넷 뱅킹에 많이 쓰이는 소프트웨어의 취약점이 발견됐고(특히 Active-X), 이 외에도 곰플레이어와 같은 동영상 플레이어 프로그램에서 취약점이 보고되어 업데이트가 권고되기도 했다. 국내 문서작성 소프트웨어의 취약점을 이용한 경우도 발생하였는데 전 세계적으로 많이 사용하고 있는 문서관련 프로그램(워드 및 PDF)의 취약점을 이용한 공격도 꾸준히 발생하고 있으며 전자우편을 이용하여 자극적인 문구로 공격을 감행한다.
질의응답 정보가 도움이 되었나요?

참고문헌 (12)

  1. http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist2&seq22325 

  2. Hyo-Nam Kim, Realtime hybrid analysis based on multiple profile for prevention of malware, Hongik Univ., Feb. 2014 

  3. Jin-Kyung Kim, A design of anomaly detection with automata dynamic profile, Hansei Univ., Feb. 2014 

  4. Provos, N., McNamee, D., Mavrommatis, P., Wang, K., and Modadugu, N. "The ghost in the browser analysis of web-based malware, " Proceedings of the first conference on First Workshop on Hot Topics in Understanding Botnets, pp. 4-4, Apr. 2007. 

  5. Sang-Yong Choi, Multi-level emulation for malware distribution networks analysis, Journal of The Korea Institute of Information Security & Cryptology, VOL.23, NO.6, Dec. 2013. 

    원문보기 상세보기 crossref

  6. Chang-Wook Park, First URL lookup using URL prefix hash tree, Journal of The Korea Institute of Information Science, Vol. 35, No.1, pp. 67-75, Oct. 2007. 

  7. https://www.Malwares.com 

  8. Chen, K.Z., Gu, G., Zhuge, J., Nazario, J., and Han, X.., "WebPatrol: Automated collection and replay of web-based malware scenarios," Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security, pp.186-195, Mar. 2011. 

  9. SpiderMonkey, "https://developer.mozilla.org/en-US/ docs/Mozilla/Projects/SpiderMonkey" 

  10. Yongwook Lee, Design and implementation of web-browser based malicious behavior detection system(WMDS), Journal of The Korea Institute of Information Security & Cryptology, Vol.22, No.3, pp. 667-677, Jun. 2012. 

  11. Manuel Egele, Peter Wurzinger, Christopher Kruegel, and Engin Kirda, Defending Browsers against Drive-by Downloads: Mitigating Heap-spraying Code Injection Attacks, ACM New York, pp. 281-290, 2010. 

  12. https://www.VirusTotal.com 

저자의 다른 논문 :

LOADING...

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

유발과제정보 저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로