최근 사이버범죄는 가상화 기술, 유포지 추적 회피 등 다양한 기술 등의 새로운 기술을 적용하여 추적이 점점 어려워지고 있다. 따라서 전통적인 악성코드 분석방법인 정적분석, 동적 분석 등 방법은 악성코드 유포자를 추적하는 데 한계가 있다. 또한, 사이버 수사 분야에서는 악성코드 자체에 대한 분석보다 악성코드 유포자를 추적하는 것이 더욱 중요하다. 이에 따라, 본 논문에서는 악성코드 유포자를 효율적으로 추적하기 위해 전통적인 분석방법과 OSINT, Intelligence 등 최근의 정보수집 방법을 융합한 차세대 악성코드 정보수집 아키텍처를 제안한다. 본 논문에서 제안하는 아키텍처는 기존의 악성코드 분석체계와 수사관점의 분석체계의 차이점을 기반으로 사이버범죄의 관점에서 필요한 요소기술을 연관시킴으로 인해 사이버 범죄 수사에서 유포자 추적을 위한 핵심적인 접근 방법이 될 수 있다.
최근 사이버범죄는 가상화 기술, 유포지 추적 회피 등 다양한 기술 등의 새로운 기술을 적용하여 추적이 점점 어려워지고 있다. 따라서 전통적인 악성코드 분석방법인 정적분석, 동적 분석 등 방법은 악성코드 유포자를 추적하는 데 한계가 있다. 또한, 사이버 수사 분야에서는 악성코드 자체에 대한 분석보다 악성코드 유포자를 추적하는 것이 더욱 중요하다. 이에 따라, 본 논문에서는 악성코드 유포자를 효율적으로 추적하기 위해 전통적인 분석방법과 OSINT, Intelligence 등 최근의 정보수집 방법을 융합한 차세대 악성코드 정보수집 아키텍처를 제안한다. 본 논문에서 제안하는 아키텍처는 기존의 악성코드 분석체계와 수사관점의 분석체계의 차이점을 기반으로 사이버범죄의 관점에서 필요한 요소기술을 연관시킴으로 인해 사이버 범죄 수사에서 유포자 추적을 위한 핵심적인 접근 방법이 될 수 있다.
Recently, cybercrime has become increasingly difficult to track by applying new technologies such as virtualization technology and distribution tracking avoidance. etc. Therefore, there is a limit to the technology of tracking distributors based on malicious code information through static and dynam...
Recently, cybercrime has become increasingly difficult to track by applying new technologies such as virtualization technology and distribution tracking avoidance. etc. Therefore, there is a limit to the technology of tracking distributors based on malicious code information through static and dynamic analysis methods. In addition, in the field of cyber investigation, it is more important to track down malicious code distributors than to analyze malicious codes themselves. Accordingly, in this paper, we propose a next-generation malicious code information collection architecture to efficiently track down malicious code distributors by converging traditional analysis methods and recent information collection methods such as OSINT and Intelligence. The architecture we propose in this paper is based on the differences between the existing malicious code analysis system and the investigation point's analysis system, which relates the necessary elemental technologies from the perspective of cybercrime. Thus, the proposed architecture could be a key approach to tracking distributors in cyber criminal investigations.
Recently, cybercrime has become increasingly difficult to track by applying new technologies such as virtualization technology and distribution tracking avoidance. etc. Therefore, there is a limit to the technology of tracking distributors based on malicious code information through static and dynamic analysis methods. In addition, in the field of cyber investigation, it is more important to track down malicious code distributors than to analyze malicious codes themselves. Accordingly, in this paper, we propose a next-generation malicious code information collection architecture to efficiently track down malicious code distributors by converging traditional analysis methods and recent information collection methods such as OSINT and Intelligence. The architecture we propose in this paper is based on the differences between the existing malicious code analysis system and the investigation point's analysis system, which relates the necessary elemental technologies from the perspective of cybercrime. Thus, the proposed architecture could be a key approach to tracking distributors in cyber criminal investigations.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 악성코드 분석을 사이버 수사에 활용하기 위한 접근 방법을 살펴보았다. 최근 사이버범죄의 대부분은 악성코드로 이루어지는데, 이러한 이유로 악성코드를 분석하는 것은 사이버범죄 수사의 대부분을 차지한다.
본 논문에서는 이와 같은 한계점을 해결하고 보다 효과적으로 수사에 적용하여 악성코드로 인한 피해를 최소화하고 유포자를 추적하기 위해 기술적인 악성코드 분석방법과 OSINT(Open-source intelligence)기법 등을 적용하여 악성코드에 대한 정보뿐만 아니라 악성코드를 통해 악성코드를 유포한 유포자에 대한 정보를 연관 분석할 수 있는 차세대 악성코드 정보수집 시스템을 제안한다. 제안하는 시스템의 아키텍처는 사이버 수사 업무프로세스에 기반을 두어 사이버 수사 각 단계에 따라 어떤 기술과 알고리즘을 활용하여 악성 정보를 수집할 것인지를 명확하게 함으로 차세대 사이버 수사의 방향성을 제안하고자 한다.
하지만 단순히 악성코드의 행위를 분석하는 것은 악성코드로 인한 피해를 예방하는 데는 도움을 주지만, 사이버 수사의 관점에서 유포자를 찾아내고 추적하는 데는 한계가 있다. 이러한 한계를 극복하기 위해 본 논문에서는 악성코드 자체의 정보와 OSINT 및 Intelligence를 연계 분석하여 사이버 수사관이 악성코드를 유포하는 범죄자를 찾아내기 위한 차세대 분석 플랫폼 아키텍처를 제안한다. 본 논문에서 제안한 아키텍처를 활용하면 단순한 악성코드 행위정보뿐만 아니라 이를 통해 악성코드 유포자를 특징 지을 수 있는 핵심적인 정보를 찾는 데 도움을 줄 수 있을 것으로 기대한다.
제안 방법
이를 위해 본 논문은 2장에서 악성코드 분석방법을 조사하고, 사이버 수사 업무에 악성코드 분석방법 및 정보분석 방법 등을 효과적으로 적용하기 위한 방안을 도출한다. 그리고 3장에서 제안하는 차세대 사이버 수사 업무프로세스 기반 악성코드 분석 아키텍처를 설계하고, 아키텍처의 각 단계를 설명한다.
이후 3단계에서 OSINT와 Intelligence를 통해 공개 출처정보와의 연계 정보 및 빅데이터 연계 정보를 수집한 다음, 악성코드 자체의 분석 결과와 OSINT&Intelligence 정보를 연관분석하여 사이버 수사에 필요한 필수 의미정보를 수집하고 도출하여야 한다.
본 논문에서는 이와 같은 한계점을 해결하고 보다 효과적으로 수사에 적용하여 악성코드로 인한 피해를 최소화하고 유포자를 추적하기 위해 기술적인 악성코드 분석방법과 OSINT(Open-source intelligence)기법 등을 적용하여 악성코드에 대한 정보뿐만 아니라 악성코드를 통해 악성코드를 유포한 유포자에 대한 정보를 연관 분석할 수 있는 차세대 악성코드 정보수집 시스템을 제안한다. 제안하는 시스템의 아키텍처는 사이버 수사 업무프로세스에 기반을 두어 사이버 수사 각 단계에 따라 어떤 기술과 알고리즘을 활용하여 악성 정보를 수집할 것인지를 명확하게 함으로 차세대 사이버 수사의 방향성을 제안하고자 한다.
성능/효과
대표적인 이유는 전통적인 정적분석 방법의 경우 난독화되있는 코드를 정확하게 분석하기 힘들며, 동적 분석의 경우 악성코드가 잘 동작할 수 있도록 악성코드가 실행되는 환경을 구성해야 하는 어려움이 있다. 머신러닝을 이용한 방법의 하나로 악성코드를 실행시키지 않고 패밀리를 분류하는 방법으로 악성코드 파일을 8-bit gray-scale 이미지로 시각화하고 이미지 인식 분야에서 널리 쓰이고 있는 convolutional neural network를 통해 악성코드의 악성 특징을 기준으로 분류해내는 기법을 적용한 결과 9개의 악성코드 패밀리로 분류해 내는 실험을 통해 예측 정확도는 각각 96.2%, 98.7%를 기록하였고 27개의 패밀리를 분류하는 실험에서는 82.9%, 89% 악성코드 패밀리를 분류는 성과를 보였다[7] 또한, 악성코드 분류를 위해 CNN 알고리즘을 이용하여 바이너리 데이터를 이미지화하여 악성코드를 분석하는 연구가 진행되었다[8, 10].
후속연구
이러한 한계를 극복하기 위해 본 논문에서는 악성코드 자체의 정보와 OSINT 및 Intelligence를 연계 분석하여 사이버 수사관이 악성코드를 유포하는 범죄자를 찾아내기 위한 차세대 분석 플랫폼 아키텍처를 제안한다. 본 논문에서 제안한 아키텍처를 활용하면 단순한 악성코드 행위정보뿐만 아니라 이를 통해 악성코드 유포자를 특징 지을 수 있는 핵심적인 정보를 찾는 데 도움을 줄 수 있을 것으로 기대한다. 다만, 본 논문에서 제안한 아키텍처는 그 범위가 방대하여 구현을 통한 실험에는 한계가 있어 본 논문에서는 이론적인 부분에서 제안한 아키텍처의 효율성을 설명하였다.
다만, 본 논문에서 제안한 아키텍처는 그 범위가 방대하여 구현을 통한 실험에는 한계가 있어 본 논문에서는 이론적인 부분에서 제안한 아키텍처의 효율성을 설명하였다. 향후 제안한 시스템을 실제 구축하는 과정을 통해 미비점을 보완하고 제안하는 아키텍처가 차세대 사이버 수사 플랫폼으로 가치가 있음을 검증할 예정이다.
Y.S.Kim, "Ensemble Model using Multiple Profiles for Analytical Classification of Threat Intelligence", JOURNAL OF THE KOREA CONTENTS ASSOCIATION, Vol.17, No.3, pp.231-237, 2017.03, 10.5392/JKCA.2017.17.03.231
Choi Wonseok, Kim Jinsoo, "A System for Generating and Sharing Cyber Threat Intelligence on malicious code", Korea Software Congress 2018, pp.1035-1036, PeungChang, korea, Dec, 2018,
Seonhee Seok, Howon Kim, "Visualized Malware Classification Based-on Convolutional Neural Network", Journal of the Korea Institute of Information Security & Cryptology, Vol.26, No.1, pp. 197-208, Feb. 2016, 10.13089/JKIISC.2016.26.1.197
Taejin Lee "Trend of intelligent malicious code analysis technology using machine learning", REVIEW OF KIISC, Vol.28, No.2, pp.12-19, Apr, 2018
Jun-ho Hwang, Tae-jin Lee, "Study of Static Analysis and Ensemble-Based Linux Malware Classification", Journal of the Korea Institute of Information Security & Cryptology, Vol.29, No.6, pp.1327-1337, Dec. 2019,10.13089/JKIISC.2019.29.6.1327
Jun-ho Hwang, Tae-jin Lee, "Malware Packing Analysis Based on Convolutional Neural Network with 2-Dimension Static Feature Set", The Journal of Korean Institute of Communications and Information Sciences, Vol.43, No.12, pp.2089-2099, Dec. 2018, 10.7840/kics.2018.43.12.2089
Seongmin Jeong, Hyeonseok Kim, Youngjae Kim, Myungkeun Yoon, "V-gram: Malware Detection Using Opcode Basic Blocks and Deep Learning", Journal of KIISE, Vol.46, No.7, pp.599-605, Jul, 2018, 10.5626/JOK.2019.46.7.599
M. Sharif, A. Lanzi, J. Giffin, W. Lee, "Automatic Reverse Engineering of Malware Emulators". 2009 30th IEEE Symposium on Security and Privacy. pp. 94-109, May. 2009.
Soon-Gohn Kim, "Code Automatic Analysis Technique for Virtualization-based Obfuscation and Deobfuscation", Journal of Korea Institute of Information, Electronics, and Communication Technology, Vol.11, No.6, pp.724-731, Dec. 2018, 10.17661/JKIIECT.2018.11.6.724
Ki-Hwan Kim, Woo-Jin Joe, Hyong-Shik Kim, "A Malware Variants Detection Method using Malicious Behavior Signature", Korea Software Congress 2019, pp. 1633-1635, Dec. 2019
Jinung Ahn, Hongsun Yoon, Souhwan Jung, "An Enhancement Scheme of Dynamic Analysis for Evasive Android Malware", Journal of the Korea Institute of Information Security & Cryptology, Vol.29, No.3, pp.519-529, Jun, 2019, 10.13089/JKIISC.2019.29.3.519
※ AI-Helper는 부적절한 답변을 할 수 있습니다.