http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
프로토콜 역공학 연구 동향 및 최적의 악성코드 통신 메시지 분석환경 구축 연구
신강식(Kangsik Shin),정동재(Dong-Jae Jung),최민지(Min-Ji Choe),조호묵(Ho-Mook Cho) 한국정보보호학회 2021 정보보호학회논문지 Vol.31 No.2
최근 복잡하고 지능화된 다양한 악성코드가 지속해서 출현하면서 악성코드와 명령을 주고받는 C&C(Command & Control) 서버도 증가하였다. 봇넷과 C&C 서버의 통신 프로토콜 분석은 봇넷을 깊이 있게 이해하고, 방어하는데 필수적이다. 이러한 비공개 통신 프로토콜을 분석하기 위한 통신 프로토콜 역공학 분석 기법은 네트워크 기반의 분석 방법과 실행 기반의 분석 방법으로 구분할 수 있다. 본 논문에서는 각 기법의 연구 동향을 파악하고, 더욱 향상된 성능을 위해, Anti-VM 대응 환경, 가상의 C&C 서버 역할을 할 수 있는 Fakenet-ng와 Pintool 기반의 동적 분석 도구인 Protocol Tracer를 개발하여 네트워크 기반과 실행 기반의 분석 방법을 혼합한 하이브리드 분석 방식의 분석환경을 구성하였고, 실험을 통해 도출한 분석환경으로부터 기존환경의 데이터보다 양적 및 질적으로 향상된 결과를 확인하였다. With the advent of a variety of complex and intelligent malicious code these days, the number of C&C (command and control) servers exchanging commands with malicious code is also increasing. Analysis of communication protocols between botnets and C & C servers is essential for a deeper understanding and defense of botnets. The communication protocol reverse engineering analysis method for analyzing such a closed communication protocol can be divided into a network-based analysis method and an execution-based analysis method. In this paper, we have developed a protocol tracer, a dynamic analysis tool based on Fakenet-ng and Pintool, to understand the research trends of each method and further improve its performance. It acts as an Anti-VM responsive environment and virtual. C&C server. We constructed a hybrid analysis environment that combines analysis methods and execution, and improved the results quantitatively and qualitatively from the analysis environment obtained by the experiment compared to the data of the existing environment.