http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
사이버 범죄 수사를 위한 차세대 Malware 정보수집 아키텍처
조호묵,배창수,장재훈,최상용 한국컴퓨터정보학회 2020 韓國컴퓨터情報學會論文誌 Vol.25 No.11
Recently, cybercrime has become increasingly difficult to track by applying new technologies such as virtualization technology and distribution tracking avoidance. etc. Therefore, there is a limit to the technology of tracking distributors based on malicious code information through static and dynamic analysis methods. In addition, in the field of cyber investigation, it is more important to track down malicious code distributors than to analyze malicious codes themselves. Accordingly, in this paper, we propose a next-generation malicious code information collection architecture to efficiently track down malicious code distributors by converging traditional analysis methods and recent information collection methods such as OSINT and Intelligence. The architecture we propose in this paper is based on the differences between the existing malicious code analysis system and the investigation point's analysis system, which relates the necessary elemental technologies from the perspective of cybercrime. Thus, the proposed architecture could be a key approach to tracking distributors in cyber criminal investigations. 최근 사이버범죄는 가상화 기술, 유포지 추적 회피 등 다양한 기술 등의 새로운 기술을 적용하여 추적이 점점 어려워지고 있다. 따라서 전통적인 악성코드 분석방법인 정적분석, 동적 분석 등방법은 악성코드 유포자를 추적하는 데 한계가 있다. 또한, 사이버 수사 분야에서는 악성코드 자체에 대한 분석보다 악성코드 유포자를 추적하는 것이 더욱 중요하다. 이에 따라, 본 논문에서는악성코드 유포자를 효율적으로 추적하기 위해 전통적인 분석방법과 OSINT, Intelligence 등 최근의정보수집 방법을 융합한 차세대 악성코드 정보수집 아키텍처를 제안한다. 본 논문에서 제안하는아키텍처는 기존의 악성코드 분석체계와 수사관점의 분석체계의 차이점을 기반으로 사이버범죄의관점에서 필요한 요소기술을 연관시킴으로 인해 사이버 범죄 수사에서 유포자 추적을 위한 핵심적인 접근 방법이 될 수 있다.
NET 기반의 Remoting 시스템과 Socket 통신을 이용한 이 기종 DB 동기화
조호묵,김길래 한국정보기술응용학회 2007 한국정보기술응용학회학술대회 Vol.2007 No.1
본 논문에서는 .NET 기반의 Remoting 시스템과 Socket 통신을 이용하여 이 기종 DB Server 간의 Data 동기화를 구현하였다. 이 시스템은 Client 의 웹 브라우저를 이용 Socket 통신으로 Data를 전송하여 데이터베이스에 저장하는 방식으로 구현하였고, Data 읽기는 Remoting 기술인 중계 어플리케이션 서버의 클래스를 원격으로 실행시켜 Data를 가져오는 방식으로 구현하였다. DB 동기화는 Data를 저장할 때 중계 어플리케이션 서버와 DB 서버의 Data 관리 어플리케이션 간 비동기 통신으로 DB 서버의 Data 처리 수준을 실시간으로 감시하여 중계 어플리케이션 서버에서 선택적으로 Data를 전송하고, 이후 Data 처리 수준이 정상화기 되면 다시 Data를 전송케 함으로써 이 기종 DB 서버간의 동기화를 구현하였다. 본 논문은 1 장에 서론, 2 장에 .NET Remoting 기술과 네트워크 프로그래밍, 3 장에 이 기종 DB 서버 간 동기화 시스템 설계 및 구현, 4 장에 결론을 기술하였다.
지능형 악성코드 분석을 위한 리얼머신 기반의 바이너리 자동실행 환경
조호묵(Homook Cho),윤관식(KwanSik Yoon),최상용(Sangyong Choi),김용민(Yong-Min Kim) 한국정보과학회 2016 정보과학회 컴퓨팅의 실제 논문지 Vol.22 No.3
최근 악성코드를 이용한 위협은 사이버 상에서 가장 위협적이고 점차 지능화되고 있다. 하지만 안티 바이러스 제품이나 기존의 탐지 솔루션은 복잡해지고 정교해지는 악성코드에 대해 효과적으로 대응하지 못한다. 본 논문에서는 분석 환경 회피 기술을 갖는 악성코드를 보다 효과적으로 식별하기 위해 실제 컴퓨터 환경을 기반으로 악성코드의 동작 및 상태를 감지하고 악성코드의 요구사항을 동적으로 핸들링하는 환경을 제안한다. 제안하는 방법은 리얼머신 기반의 바이너리 자동실행 환경과 가상머신 환경에서의 악성코드 악성행위 활동성을 비교하여 지능형 악성코드를 효과적으로 분석하기 위한 동적 분석환경을 제공할 수 있음을 실험하여 보였다. There exist many threats in cyber space, however current anti-virus software and other existing solutions do not effectively respond to malware that has become more complex and sophisticated. It was shown experimentally that it is possible for the proposed approach to provide an automatic execution environment for the detection of malicious behavior of active malware, comparing the virtual-machine environment with the real-machine environment based on user interaction. Moreover, the results show that it is possible to provide a dynamic analysis environment in order to analyze the intelligent malware effectively, through the comparison of malicious behavior activity in an automatic binary execution environment based on real-machines and the malicious behavior activity in a virtual-machine environment.
McDoT: Multi-Channel Domain Tracking Technology for Illegal Domains Collection
Ho-Mook Cho(조호묵),JeongYoung Lee(이정영),JaeHoon Jang(장재훈),Sang-Yong Choi(최상용) 한국컴퓨터정보학회 2020 韓國컴퓨터情報學會論文誌 Vol.25 No.12
음란 동영상, 마약, 개인정보, 해킹 도구 유포사이트 등을 포함하는 유해 사이트는 최근 사회적으로 심각한 문제를 초래하고 있다. 하지만 누구나 자유롭게 사용할 수 있는 인터넷환경의 특성상 접속자를 효과적으로 통제하기 어렵고, 사이트 운영자는 차단을 우회하기 위해 도메인을 변경하면서 운영한다. 따라서, 한번 확인된 사이트라 하더라도 그 지속성은 낮다. 본 논문에서는 이와 같은 유해 사이트의 변화를 추적하여 동일 또는 유사한 콘텐츠를 포함한 유해 사이트의 도메인 주소가 변경되는 것을 효과적으로 추적할 수 있는 기술인 다채널 도메인 추적기술을 제안한다. 제안하는 기술은 OSINT 기술을 이용하여 도메인의 정보를 지속적으로 추적할 수 있는 기술이다. 우리는 실험을 통해 90.4%의 추적률(실험대상 73개의 도메인 중 66개의 변경을 감지)로 제안한 기술이 도메인추적에 효과가 있음을 검증하였다. Recently, Harmful sites, including pornographic videos, drugs, personal information and hacking tool distribution sites, have caused serious social problems. However, due to the nature of the Internet environment where anyone can use it freely, it is difficult to control the user effectively. And the site operator operates by changing the domain to bypass the blockage. Therefore, even once identified sites have low persistence. In this paper, we propose multi-channel domain tracking technology, a technique that can effectively track changes in the domain addresses of harmful sites, including the same or similar content, by tracking changes in these harmful sites. Proposed technology is a technology that can continuously track information in a domain using OSINT technology. We tested and verified that the proposed technology was effective for domain tracking with a 90.4% trace rate (sensing 66 changes out of 73 domains).
수사용 사이버 공개정보 포렌식 도구의 무결성 및 진정성 강화 연구
이정호,조호묵 한국정보과학회 2023 정보과학회 컴퓨팅의 실제 논문지 Vol.29 No.8
As the post-COVID-19 era has become more commonplace and digital technologies have advanced, global internet usage has skyrocketed and internet-based cybercrime has increased at a rapid pace. These cybercrimes make it difficult or impossible to collect evidence by using cloud services that can be easily built online without the need to physically build a server, overseas servers, dark web, website closure, domain change, and detour link change. This makes it difficult to prove criminal charges by making the court capacity for evidence, such as integrity, authenticity, and reproducibility, unrecognized. For cybercrimes that make it difficult to prove criminal charges, a cyber public information forensic tool from a digital forensics perspective is essential to collect and store digital evidence while ensuring the integrity, authenticity, and reproducibility of data. Therefore, this paper proposes a new cyber public information forensic tool architecture that enhances the integrity and authenticity to effectively investigate cybercrimes and ensure the evidentiary capacity of cyber public information.
위협인자 및 공격 패턴 기반 HWP 문서형 악성코드 탐지 시그니처 생성
최민지,정동재,조호묵,원유재 한국정보과학회 2023 정보과학회논문지 Vol.50 No.6
최근 코로나19로 재택근무가 증가함에 따라 업무에서 주로 사용되는 전자 문서에 악성코드를 삽입한 문서형 악성코드 공격이 활발하게 발생되고 있다. 문서형 악성코드는 메신저, 이메일, 웹사이트와 같은 다양한 경로에서 유입되고 있으며, 문서형 악성코드는 문서 내에 악성코드를 인코딩하거나 난독화하여 숨기기 때문에 기존의 행위 기반 보안 솔루션 및 내부 메일 모니터링 서버를 쉽게 우회할 수 있다. 따라서 본 논문에서는 HWP 문서의 포맷 구조 분석을 통해 총 5가지의 위협인자를 분류하였고 위협인자의 공격코드 패턴 분석을 통해 악성 HWP 문서를 탐지할 수 있는 시그니처를 생성하였다. 이를 통해 최신 악성 HWP 문서를 효과적으로 탐지할 수 있는 시그니처 생성 방안을 제안하며 향후에는 시그니처 생성 및 탐지에 기계학습을 적용하여 연구를 확장할 계획이다.