디지털 라이브러리[ 검색결과 ]
Dhash 기반 고속 악성코드 변종 탐지기법
http://doi.org/10.5626/JOK.2019.46.11.1207
악성코드 생성 도구와 난독화 기법의 대중화로 악성코드는 지능화되고 있지만 기존의 악성코드 탐지 기법은 악성코드에 대해 완벽하지 못한 탐지를 보여주고 있다. 이에 새롭게 등장하는 악성코드 중 다수가 기존에 발생했던 악성코드의 변종이라는 것과 변종 악성코드는 원본 악성코드와 비슷한 바이너리 데이터를 갖는 특징을 고려해 파일의 바이너리 데이터를 통해 이미지를 분류하는 Dhash 기반 악성코드 탐지 기법을 제시하며, Dhash 알고리즘의 전수비교로 인한 느린 분석 시간을 개선한 10-gram 알고리즘을 제시한다. 변종 악성코드 탐지에서 우수한 ssdeep 기법과의 비교를 통해 ssdeep이 탐지하지 못하는 영역에 대해 Dhash 알고리즘이 탐지했음을 보이며, 기존의 Dhash 알고리즘과 본 논문에서 제안하는 알고리즘의 탐지 속도 성능 비교 실험을 통해 제안하는 알고리즘의 우수성을 증명한다. 향후 다른 LSH기반 탐지 기법과 연계한 변종 악성코드 분석 기술 개발을 지속 진행할 예정이다.
난독화된 악성코드 판별을 위한 2차원 배열 기반의 기술 연구
http://doi.org/10.5626/JOK.2018.45.8.769
일평균 20만개 이상의 악성코드가 출현하고 있으며, 대부분의 침해사고는 악성코드를 이용하여 발생한다. 그런데, 공격자의 악성코드 제작기술이 점차 지능화되고 있으며 역 공학 분석을 방지하기 위해 패킹이나 암호화를 하여 악성코드를 제작한다. 정적 분석의 경우 분석 파일이 난독화가 되면 분석을 하는데 한계가 있으며, 이에 대응할 수 있는 방안이 필요하다. 본 논문에서는 난독화 시에도 악성코드를 판별할 수 있는 방안으로 문자열, 심볼, 엔트로피 기반 접근 방법을 제시하였다. 특히, 고정된 feature-set 뿐 아니라, 고정되지 않은 Feature-set 처리를 위해 2차원 배열을 적용하였으며, 15,000개의 악성/정상 샘플을 DNN(Deep Neural Network)를 통해 검증을 진행하였다. 본 연구는 향후 여러 악성코드 탐지기법과 연계되어 동작 시 보완적인 형태로 동작할 것으로 예상하며, 난독화된 악성코드 변종 분석에서 활용 가능할 것으로 기대한다.
