bob information security conference
TRANSCRIPT
자동화 분석이 과연 진짜 자동화 분석인가Is “Automatic Analysis” is real full automatic analysis as we say?
bunseokbot@UpRoot
bunseokbot@UpRoot
* BOB3 김남준
* 세종대학교 정보보호학과 15’-> S.S.G 뉴비 & 광준선배 프로젝트 노예
* UpRoot Company Developer-> BADWARE.INFO 분석 시스템 개발-> edu.uproot.co.kr 교육 서비스
* 코이의 전당 1위
* 최근 호르몬제 끊음 & 코코볼갑상선기능저하증 환자가 호르몬제를 강제 중단할 경우 왜소증, 기억력 감퇴, 무기력증, 계속되는 가래, 오한등의 현상이 발생할 수 있음에 따라 국부령 제 872호에 따라 4급 사회복무요원 판정의 기준이 될 수 있음.
안내사항
* 발표자료에 개인적인 관점이 좀 많이 들어있습니다.
* 그냥 뭐 개발하면서 이것저것 생각해본거 좀 정리해봤습니다.
* BOB 프로젝트 하면서 이거 관련으로 생각해본것도..?
* 그러면서 전체적인 프로젝트 방향이나 선택한 것들에 대해서도 ㅎㅎ
* 다른 생각을 가지고 있더라도 그냥 들어주세요
* 사실 이 주제 왜 선택했지 망했다.
* 여소해주시면 감사하겠습니다. (매우중요)
왜 이런 생각을 하게 되었는가
왜 이런 생각을 하게 되었는가
자동화 분석
자동 + 분석기계나 설비 따위가 자체 내에 있는
일정한 장치의 작용에 의하여 스스로 작동함
얽혀 있거나 복잡한 것을 풀어 개별적인 요소나 성질로 나눔
일정한 장치에 있는 기준에 의해 스스로 그 성질을 판단하는 것
안드로이드 악성코드 프로파일링 자동화
프로젝트 목표
Group A
Group A’
code A code A’
Similarity Analysis
Group Rule-set
프로젝트 문제
Group A
Group A’
code A code A’
Similarity Analysis
Group Rule-set
is this malicious?
프로젝트 문제
Group A
Group A’
* is this Group really malicious?-> fake, similarity error
* False Positive, False Negative
* What is standard..?
* Authenticate Similarity Algorithm
* is Report paper really full-automated?
자동화 분석이 과연 진짜 자동화 분석인가Is “Automatic Analysis” is real full automatic analysis as we say?
철학적인 싸움
쉽지 않은 정의
어떻게 할 수 있나
아몰라 코이나 먹자
자동화 분석이 과연 진짜 자동화 분석인가Is “Automatic Analysis” is real full automatic analysis as we say?
사진은 관련없음
일반적으로 우리가 생각하는 자동화 분석
인간이 하는 분석HUMAN ANALYSIS
문제 발생 문제 분석 문제 해결
분석의 이유WHY WE ANALYSIS
PROBLEM SOLVING = 문제 해결
DEEP LEARNING = 더 깊은 공부?
예시FOR EXAMPLE..
무슨 코이를 먹을까 코이 추천 논문을 읽는다
ㄱㄱ
왜 분석을 자동화할까?WHY AUTOMATIC ANALYSIS?
왜 분석을 자동화할까?WHY AUTOMATIC ANALYSIS?
악성행위 판단DECISION OF MALICIOUS ACTION
MalwareNormal
악성행위 판단DECISION OF MALICIOUS ACTION
어떤놈이 나쁜놈일까
악성행위 판단DECISION OF MALICIOUS ACTION
* 진짜 악성행위인가
* 누군가는 이게 정상이라고 생각하겠지
* 보편화된 악성코드의 정의
* 왜 이건 악성입니까“ 컴퓨터가 느려집니다”
* 누구나 이 프로그램은 악성코드여야 한다
예시FOR EXAMPLE
1. /home/bunseokbot/Document 하위 디렉토리를 모두 읽어온다.
2. 하위 디렉토리 중 “pdf”, “docx”, “hwp”, “hwpx”, “exe”, “sln” 파일의 Stream을 읽어온다.
3. AES256 Encryption Algorithm module을 호출한다.
4. Key, IV 값을 Parameter로 파일의 Stream을 암호화한 후 파일을 덮어쓴다.
5. 프로그램 종료
예시FOR EXAMPLE
예시FOR EXAMPLE
예시FOR EXAMPLE
다가오는 중간발표DUGEN DUGEN SEGUN SEGUN
다른 사람은 어떻게 했을까?Motive from other people
다른 사람은 어떻게 했을까?Motive from other people
Massive Da
ta
의미있는 정보로 추합된..?
냠냠 쪕쪕
다른 사람은 어떻게 했을까?Motive from other people
Massive Da
ta
의미있는 정보로 추합된..?
냠냠 쪕쪕
의미있는 정보..?Usable Information
Researcher Student CERT Response
사람마다 원하는 정보가 다 다름 :(
범위Coverage
Researcher Student CERT Response
범위Coverage
Researcher Student CERT Response
기준Standard
Detection Standard
MalwareNormal
기준Standard
Detection Standard - from “Real User”
MalwareNormalㅇㅇ 이건 내가 책임짐ㅇㅇ 이건 내가 책임짐
기준Standard
Detection Standard - from “Real User”
MalwareNormalㅇㅇ 이건 내가 책임짐ㅇㅇ 이건 내가 책임짐
아몰랑
분석 vs 파싱ANALYSIS vs PARSING
기계의 한계...?후..
보편타당적인 욕구 해결 불가
그래도 사람보단 빠르더라
이렇게 프로젝트 진행안될건 안되더라
생각 생각을 해보자THINK
전부 자동화할 필요는 없구나!NOT ALL AUTOMATION
Group A
Group A’
code A code A’
Similarity Analysis
Group Rule-set
일명AS CALL AS
HALF AUTOMATED ANALYSIS! 사람에게 맡기자
결론
* 사실 이렇게 따지기 시작하면 끝장토론됨
* 사람마다 관점이 다르고 요구사항이 다름
* 이러한 문제는 사실 모든 분야, 학문에서 문제가 되는 부분임
* 기계가 주는 결과에 의존하지 말자
* 무엇보다 내가 알고 있어야 결과도 분석할 수 있다.
* 그냥 코이가 진리다.
감사합니다Thank you for listening
bunseokbot@UpRoot