– Malware analysis

The number of malware has been increasing over the years, and its method is becoming more sophisticated. Malware causes enormous damage to computing systems and data. Therefore, it is important to analyze the source code of the detected malware and to analyze the behavior caused by malware and network traffic efficiently and quickly. To achieve these goals, we conduct research to detect and analyze malware using techniques such as control flow graph analysis, command code frequency analysis, and key block sections.

• Control Flow Graph Analysis of Malicious Code
• Opcode Frequency Analysis of Malicious Code
• Similarity Calculation and Classification of Malicious Code
• DNA Profiling Algorithm of Malicious Code
• Node Detection Technique via Network Traffic Analysis
• Reverse Engineering of Network Traffic
• Performance Enhancement in Malicious Traffic Detection based on Snort
• Malware analysis using Artificial Intelligence

멀웨어의 숫자는 해가 거듭하며 증가하고 그 수법도 고도화되고 있다. 멀웨어는 컴퓨팅 시스템과 데이터에 막대한 피해를 야기한다. 그러므로, 탐지된 멀웨어의 소스코드를 분석하고 멀웨어가 발생시키는 행위와 네트워크 트래픽을 효율적이고 신속하게 분석하는 것이 중요하다. 상기의 목표를 달성하기 위해서, 우리는 control flow graph 분석, 명령어코드 빈도분석, 그리고 주요 블록 섹션 등의 기술을 이용해 멀웨어를 탐지하고 분석하는 연구를 수행한다.

– Software Security

Software Security Laboratory studies methods for validating vulnerabilities in generic applications. Because vulnerable applications can interfere with normal use of users and applications themselves can be used for malicious attacks, security must be secured by various mechanisms to prevent such malicious attacks. We study how to determine the execution path of an application and how to find all the vulnerabilities of an application on the path.

• Path Explosion Solution on Symbolic Execution
• Taint Analysis Method
• Analysis on Exploit Code Attack in Normal App

소프트웨어보안 연구실은 일반 어플리케이션들의 취약점에 대해 검증하기 위한 방법들을 연구한다. 취약점을 가진 어플리케이션들이 사용자들의 정상적인 사용을 방해하고, 어플리케이션들 자체가 악성 공격에 사용될 수 있기 때문에, 이를 방지하기 위한 여러 메카니즘들에 의해 보안성을 확보해야한다. 우리는 어플리케이션의 실행 경로를 파악하고 경로 상에 있는 어플리케이션의 모든 취약점들을 찾아내는 방법을 연구한다.

– Firmware Security

Software Security Laboratory studies vulnerability and integrity checks of firmware used in embedded devices. Embedded devices are used in a variety of fields, from factories to power plants and state-of-the-art infrastructure systems such as public transport control systems, which increase access to devices and increase threats. If an intrusion of an embedded device occurs, a very large loss occurs. We study methods of finding vulnerabilities such as firmware acquisition path, memory acquisition method, and performance degradation.

• Analysis on firmware images based on signiture
• Study on vulnerability of firmware network interface
• Evalutation on integrity of firmware file system

소프트웨어보안 연구실은 임베디드기기에서 사용되는 펌웨어의 취약점과 무결성 점검을 하는 방법들을 연구한다. 임베디드기기는 기업의 공장에서부터 발전소, 대중교통제어시스템 같은 국가기반시설까지 다양한 분야에서 사용되고 있으며 이로 인해 기기로의 접근이 다양해지며 위협도 증가하고 있다. 임베디드기기의 침해사고가 발생한다면 매우 큰 손실이 발생한다. 우리는 펌웨어의 획득 경로, 메모리 획득 방법과 성능 저하 등의 취약점을 찾아내는 방법들을 연구한다.

– Cloud Security

Software Security Laboratory studies new passive authentication methods and high-speed malware detection methods for cloud services. The market size of the cloud service that allows the service to process regardless of the user terminal environment using the network environment is increasing. In the case of cloud services using smartphones or IoT devices, personal information or confidential documents that could expose privacy is stored. For malicious purposes, the threat of seizing important information will be increased by taking the account of the cloud user or taking the second attack after taking it. We develop a new authentication method that overcomes the detection time limit and verify a new type of malicious code detection method to verify the traditional authentication method vulnerable to APT attacks and cloud systems in which a large amount of programs exist.

• Development detective system of adaptive malicious code
• Improving user authentication of device based on agent-based mobile
• Development user authentication based on agent-less network traffic
• Development of high-speed method of malicious code detection technology

소프트웨어 보안 연구실은 클라우드 서비스의 새로운 패시브 인증 방법과 고속 악성코드 탐지 방법에 대해 연구한다. 네트워크 환경을 이용하여 사용자 단말 환경과 무관하게 업무를 처리하도록 하는 클라우드 서비스는 시장 규모가 증가하고 있다. 스마트폰이나 IoT 기기를 이용하는 클라우드 서비스의 경우 사생활이 노출 될 수 있는 개인정보 또는 기업 기밀문서 등이 저장되어 있다. 악의적인 목적으로 클라우드 사용자의 계정을 탈취하거나 탈취 후 2차 공격을 수행하여 중요 정보를 탈취하는 위협이 증가할 것이다. 우리는 APT 공격 등에 취약한 전통적인 인증방법 그리고 방대한 양의 프로그램이 존재하는 클라우드 시스템을 검증하는데 탐지 시간적 한계점을 극복하는 고도화된 인증방법의 개발과 새로운 형태의 악성코드 탐지 방법에 대한 연구를 수행한다.

– Malicious Traffic Analysis

Software security laboratory studies high-speed analysis technology for malicious traffic detection. Malicious traffic refers to traffic that is generated with the intent to disturb the Internet network such as DDOS attack, botnet communication, or to adversely affect a specific network, server, or host. Malicious traffic causes huge damage due to the simultaneous development of smart phone and internet service as network traffic increases. Therefore, it is important to quickly process and analyze malicious traffic. We study effective pattern matching method and snort application method in network environment such as IPv6 environment to improve performance for intrusion detection in open-source intrusion detection system snort environment.

• Snort-based malicious traffic analysis and detection techniques
• Study of plug-in research and hardware-based ITACA system development for malicious traffic analysis
• Snort based malicious traffic analysis hardware production study
• Study of plug-in applicable to malicious traffic using ITACA system

소프트웨어 보안 연구실은 악성 트래픽 탐지를 위한 고속 분석 기술에 대해 연구한다. 악성 트래픽은 DDOS 공격, 봇넷 통신 등의 인터넷 망을 교란시키거나 특정 네트워크, 서버, 호스트에 악영향을 입힐 의도를 가지고 발생시키는 트래픽을 지칭한다. 악성 트래픽은 스마트폰, 인터넷 서비스의 증가와 더불어 네트워크 트래픽이 증가함에 따라 동시에 발전하고 있기 때문에 막대한 피해를 야기한다. 따라서 악성 트래픽을 신속하게 처리하고 분석하는 것이 중요하다. 우리는 open-source 기반의 침입탐지시스템 snort 환경에서의 침입 탐지를 위한 성능 향상을 위하여 효과적인 패턴 매칭 기법과 IPv6 환경과 같은 네트워크 환경에서의 snort 적용방법 등의 연구를 수행한다.