[논문]시각화 기법을 이용한 악성코드 분석 및 분류 연구

송인수; 이동휘; 김귀남

[국내논문] 시각화 기법을 이용한 악성코드 분석 및 분류 연구
A Study on Malicious Codes Grouping and Analysis Using Visualization 원문보기

정보·보안논문지 = Journal of information and security, v.10 no.3, 2010년, pp.51 - 60

송인수 (경기대학교 산업기술보호특화센터) , 이동휘 (경기대학교 산업기술보호특화센터) , 김귀남 (경기대학교 산업기술보호특화센터)

초록
AI-Helper

인터넷 기술의 급격한 발전으로 인한 편리함과 더불어 다양한 악성코드들이 제작되고 있다. 악성코드의 발생건수는 날이 갈수록 부지기수로 늘어나고 있으며, 변종 혹은 새로운 악성코드에 대한 유포는 매우 심각하여 악성코드에 대한 분석은 절실히 필요한 시점이다. 악성코드에 대한 판단기준을 설정할 필요가 있으며, 알고리즘을 이용한 악성코드 분류의 단점은 이미 발견된 악성코드에 대한 분류는 효율적이나 새롭게 생긴 악성코드나 변종된 악성코드에 대해서는 새로운 탐지가 어려운 단점이 있다. 이에 본 연구의 목적은 시각화 기법의 장점을 이용하여 기존의 다변량의 악성코드에 대한 측정 및 분석뿐만 아니라, 변종 혹은 새로운 악성코드에 대해서도 새로운 패턴 혹은 형태를 도출하여 새로운 악성코드와 변종들에 대해서 대처하는데 있다. 따라서 본 논문에서는 업체에서 제공되는 악성코드 속성을 시각화하여 분석하는 기법을 제안하고자 한다.

Abstract ▼ AI-Helper

The expansion of internet technology has made convenience. On the one hand various malicious code is produced. The number of malicious codes occurrence has dramadically increasing, and new or variant malicious code circulation very serious, So it is time to require analysis about malicious code. About malicious code require set criteria for judgment, malicious code taxonomy using Algorithm of weakness difficult to new or variant malicious code taxonomy but already discovered malicious code taxonomy is effective. Therefore this paper of object is various malicious code analysis besides new or variant malicious code type or form deduction using visualization of strong. Thus this paper proposes a malicious code analysis and grouping method using visualization.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

따라서 본 논문에서는 시각화 기법을 이용해 업체에서 분류한 악성코드 내에서의 악성코드 특성과 형태를 시각화를 통해 분석 및 분류하는 기법을 제안한다. 또한 다변량의 악성코드 정보를 직관적으로 이해할 수 있게 돕고, 지침에 따른 알고리즘에 의한 분류, 즉 신종 혹은 변종에 대한 분류가 힘든 단점의 보완하고자 한다.
따라서 본 논문에서는 시각화 기법을 이용해 업체에서 분류한 악성코드 내에서의 악성코드 특성과 형태를 시각화를 통해 분석 및 분류하는 기법을 제안한다. 또한 다변량의 악성코드 정보를 직관적으로 이해할 수 있게 돕고, 지침에 따른 알고리즘에 의한 분류, 즉 신종 혹은 변종에 대한 분류가 힘든 단점의 보완하고자 한다.
본 논문은 악성코드 속성을 수집하여 수치화한 데이터를 시각화 기법 중 Parallel Coordinates를 통하여 악성코드 속성을 분석하고 분류하는 기법에 대한 연구를 하였다. 시각화 기법을 통한 다량의 데이터 분석은 많은 분야에서 활용되고 있지만 악성코드에 대한 분석은 연구되지 않았다.

가설 설정

Parallel Coordinates의 효과를 살펴본다. 첫째 모든 특징점에 대해 가중치 없이 같은 상태로 표현되는 점이다. 둘째 특징점 수에 대해 제한이 없다는 점을 들 수 있다.

제안 방법

(그림 4)에서는 미국 내의 각 도시에 다량의 데이터를 Parallel Coordinates상에 나타내고 있다. Parallel Coordinates의 효과를 살펴본다. 첫째 모든 특징점에 대해 가중치 없이 같은 상태로 표현되는 점이다.
<표 3> 데이터를 근거로 제안된 XmdvTool을 통해 Parallel Coordinates로 표현을 한다.
안티바이러스 업체에서 제공되는 악성코드 속성을 수집하여 수치화한 값을 Parallel Coordinates상에 표현한 내용을 기반으로 악성코드 간의 유사도를 분석한다. 또한 나타나는 뚜렷한 형태에 따른 악성코드 형태를 분류하고 시간에 따른 변화에 대한 분석과 함께 동향을 파악한다.
본 논문에서 제안하는 악성코드 분석 및 분류 기법은 안티 바이러스 업체에서 제공되는 속성을 추출한다. 확보한 속성을 수치화하여 수치화한 데이터를 Parallel Coordinates 상에 적용해 나타난 악성코드의 형태의 타입을 통해 악성코드 분석 및 재분류를 하는 기법을 제안한다.
본 논문의 제안 방법은 모든 속성을 표현할 수 있으며 그동안 눈에 보이지 않았던 미정된 악성코드에 대한 특징도 볼 수 있는 장점과 악성코드의 분석을 글이 아닌 시각화를 통해 보다 쉽게 파악할 수 있는 점이 장점이다. 하지만 상관관계의 정확한 임계치 제시와 연관성에 대한 정확한 증명이 어렵다.
수집한 속성은 모든 안티 바이러스 업체에서 공통적으로 구분해 둔 속성으로 악성코드의 내용을 파악하기에 충분하다. 수집한 악성코드 속성을 각 속성에 맞게 수치화하여 확보하였다. 확보한 값을 다변량 데이터 분석에 효과적인 시각화 기법 중 하나인 Parallel Coordinates 상에 표현하였다.
본 논문은 객관적인 자료 확보를 위해 국내의 대표적인 안티 바이러스 업체인 안철수 연구소에서 제공되는 악성코드 속성 정보를 이용하여 실험하였다. 실험 데이터는 제안한 방법을 통한 수치화를 하였다. 이는 악성코드 속성 정보를 단순히 수치화 하는 전처리 작업으로 악성코드의 속성이 그대로 표현하기에 충분하다.
악성코드는 안티 바이러스 업체에서 제공하는 악성코드 정보에서 추출한다. 악성코드 속성 추출은 각 업체 마다 공통적으로 제공하는 속성을 파악하여, 안철수 연구소에서 제공되는 악성코드에서 추출한다. 추출한 악성코드를 수치화 하는 속성 대상은 <표 2>에 대한 내용과 같다.
시각화 기법을 통한 다량의 데이터 분석은 많은 분야에서 활용되고 있지만 악성코드에 대한 분석은 연구되지 않았다. 악성코드를 나타낸 그래프를 통해 악성코드의 분석의 하나의 방법으로 제시하였다. 각 악성코드만을 나타낸 그래프를 통한 분석은 해당 악성코드에 대한 특징점을 볼 수 있었으며, 또한 악성코드마다 증상이 대부분 나뉘어져 나타났지만 중복되어 나타나는 악성코드가 있다는 것을 알 수 있었다.
안티바이러스 업체에서 제공되는 악성코드 속성을 수집하여 수치화한 값을 Parallel Coordinates상에 표현한 내용을 기반으로 악성코드 간의 유사도를 분석한다. 또한 나타나는 뚜렷한 형태에 따른 악성코드 형태를 분류하고 시간에 따른 변화에 대한 분석과 함께 동향을 파악한다.
(그림 6)과 같은 과정으로 안티 바이러스 업체에서 정의해 둔 악성코드 정보를 이용하여 각 업체마다의 필수적이며 공통적 항목을 속성으로 추출한다. 추출한 악성코드 속성을 평행좌표계로 표현하여 악성코드 분석을 통해 악성코드 타입을 정의한다.
본 논문에서 제안하는 악성코드 분석 및 분류 기법은 안티 바이러스 업체에서 제공되는 속성을 추출한다. 확보한 속성을 수치화하여 수치화한 데이터를 Parallel Coordinates 상에 적용해 나타난 악성코드의 형태의 타입을 통해 악성코드 분석 및 재분류를 하는 기법을 제안한다.

대상 데이터

본 논문에서 제안하는 Parallel Coodinates를 이용한 악성코드 분석 및 분류 방식은 안티 바이러스 업체인 안철수 연구소에서 제공되는 악성코드 속성을 수집하였다. 수집한 속성은 모든 안티 바이러스 업체에서 공통적으로 구분해 둔 속성으로 악성코드의 내용을 파악하기에 충분하다.
본 논문은 객관적인 자료 확보를 위해 국내의 대표적인 안티 바이러스 업체인 안철수 연구소에서 제공되는 악성코드 속성 정보를 이용하여 실험하였다. 실험 데이터는 제안한 방법을 통한 수치화를 하였다.
본 논문의 구성은 총 5장으로 구성된다. 제 2장에서는 관련연구로써 기존의 악성코드 분류 방법과 시각화 기법을 이용한 다변량의 데이터 분석과 악성코드 분석 기법을 설명하고 분석한다.

이론/모형

수집한 악성코드 속성을 각 속성에 맞게 수치화하여 확보하였다. 확보한 값을 다변량 데이터 분석에 효과적인 시각화 기법 중 하나인 Parallel Coordinates 상에 표현하였다.

성능/효과

악성코드를 나타낸 그래프를 통해 악성코드의 분석의 하나의 방법으로 제시하였다. 각 악성코드만을 나타낸 그래프를 통한 분석은 해당 악성코드에 대한 특징점을 볼 수 있었으며, 또한 악성코드마다 증상이 대부분 나뉘어져 나타났지만 중복되어 나타나는 악성코드가 있다는 것을 알 수 있었다. 알고리즘에 의해 분석되는 정적인 분석에 비해 시각화 기법을 통한 분석은 속성을 가지고 있는 악성코드는 모두 표현이 이론적으로 알 수 없었던 악성코드의 유사성을 그래프 상으로 볼 수 있었다.
드로퍼는 다른 악성코드에 비해 적은 양이 발견되었고 또한 감염 및 설치 경로와 파일 포맷 형태는 비교적 단순하게 나온 것을 알 수 있었다.
웜은 가장 다양한 경로로 유포되었으며 파일 포맷 형태도 다양하게 나타났다. 또한 시각적으로 가장 많은 영역을 차지하여 보였으며, 증상도 여러가지가 중복되어 나타나는 점을 보였다.
각 악성코드만을 나타낸 그래프를 통한 분석은 해당 악성코드에 대한 특징점을 볼 수 있었으며, 또한 악성코드마다 증상이 대부분 나뉘어져 나타났지만 중복되어 나타나는 악성코드가 있다는 것을 알 수 있었다. 알고리즘에 의해 분석되는 정적인 분석에 비해 시각화 기법을 통한 분석은 속성을 가지고 있는 악성코드는 모두 표현이 이론적으로 알 수 없었던 악성코드의 유사성을 그래프 상으로 볼 수 있었다. 알고리즘에 의한 분석과 분류와 혼용한다면 동향과 대책을 좀 더 효율적으로 대응할 수 있다.
(그림 8)은 Trojan, Downloder, FILE VIRUS, WORM, DROPPER, KEYLOGGER, BOT, ADWARE/SPYWARE 8가지 대한 악성코드와 아직 정해지지 않은 속성을 모두 나타낸 악성코드 전체적으로 나타낸 그래프이다. 전체적으로 살펴 볼 경우 한 눈에 알 수 있는 내용은 악성코드 종류와 활동 플랫폼은 한 가지라는 내용을 알 수 있다. 그 이외에는 정확하게 알 수 있는 내용이 없기에 각 악성코드만 나타내어 봤다.

후속연구

하지만 상관관계의 정확한 임계치 제시와 연관성에 대한 정확한 증명이 어렵다. 향후 이에 대한 연구가 필요하며, 모든 안티 바이러스 업체에서 제공하는 속성을 통한 분석 연구가 필요하다.

질의응답

핵심어	질문	논문에서 추출한 답변
	알고리즘을 이용한 악성코드 분류의 단점은 무엇인가?	악성코드의 발생건수는 날이 갈수록 부지기수로 늘어나고 있으며, 변종 혹은 새로운 악성코드에 대한 유포는 매우 심각하여 악성코드에 대한 분석은 절실히 필요한 시점이다. 악성코드에 대한 판단기준을 설정할 필요가 있으며, 알고리즘을 이용한 악성코드 분류의 단점은 이미 발견된 악성코드에 대한 분류는 효율적이나 새롭게 생긴 악성코드나 변종된 악성코드에 대해서는 새로운 탐지가 어려운 단점이 있다. 이에 본 연구의 목적은 시각화 기법의 장점을 이용하여 기존의 다변량의 악성코드에 대한 측정 및 분석뿐만 아니라, 변종 혹은 새로운 악성코드에 대해서도 새로운 패턴 혹은 형태를 도출하여 새로운 악성코드와 변종들에 대해서 대처하는데 있다.
	악성코드는 무엇인가?	악성코드는 악의적인 목적을 위해 작성된 실행가능한 코드를 일컫는다. 바이러스, 웜, 트로이목마 프로그램 등이 모두 여기에 속하며, 이를 악성 프로그램이라고도 칭한다.
	Parallel Coordinates는 무엇을 관찰하여 어떤 것을 밝혀낼 수 있는가?	평행좌표계로 불리는 Parallel Coordinates는 다차원의 데이터를 2차원 평면에 데이터로 표현하여 나타내는 방법으로 동간격으로 놓은 수직선들이 각각 하나의 차원에 해당하게 표현하는 방식이다. 각 차원을 통과하는 선분의 모습을 관찰하여 경향, 패턴, 상관관계를 밝혀 낼 수 있다[8-10].

참고문헌 (13)

E Skoudis and L Zeltser, "Malware：Fighting malicious code", books.google.com, 2004.
안철수 연구소, "ASEC_Annual_Report", 2009 -2010.
장영준, 차민석, 정진성, 조시행, "악성코드 동향과 그 미래 전망", 정보보호학회논문지, 제18권, 제3호, pp. 1-16.
서희석, 최중섭, 주필환, "윈도우 악성코드 분류 방법론의 설계", 정보보호학회논문지, 제19권 제2호, pp. 88-92, 2009.
서희석, 최중섭, 주필환, "윈도우 악성코드 분류 시스템에 관한 연구", 한국시뮬레이션학회논문지, 제18권, 제1호, pp. 63-70, 2009.

원문보기 상세보기
배성재, 권오철, 문종섭, 조재익, "Native API 빈도 기반의 퍼지 군집화를 이용한 악성코드 재그 룹화 기법연구", 정보보호학회논문지, 제18권, 제6호, pp. 115-127, 2008.
Daniel A. Keim, "Information Visualization and Visual Data Mining", IEEE transactions on visualization and computer graphics, Vol. 7, No. 1, 2002.
MO Ward, "XmdvTool：Integrating multiple methods for visualizing multivariate data", portal.acm.org, 1994.
Stephen Few, "Multivariate Analysis Using Parallel Coordinates", Perceptual edge, 2006.
H Choi, H. Lee, "PCAV：Internet attack visualization on parallel coordinates", Springer, Information and Communications Security, 2005.
Rawiroj Robert Kasemsri, and Ying Zhu, "A Survey, Taxonomy, and Analysis of Network Security Visualization Techniques", Citeseer, 2005.
Nwokedi, Aditya P. Mathur, "A Survey of Malware Detection Techniques", Citeseer, Purdue University, 2007.
http://www.cve.mitre.org/.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] 시각화 기법을 이용한 악성코드 분석 및 분류 연구
A Study on Malicious Codes Grouping and Analysis Using Visualization 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (13)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] 시각화 기법을 이용한 악성코드 분석 및 분류 연구 A Study on Malicious Codes Grouping and Analysis Using Visualization 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

대상 데이터

이론/모형

성능/효과

후속연구

질의응답

참고문헌 (13)

이 논문을 인용한 문헌

저자의 다른 논문 :

이동휘 (30) 김귀남 (69)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국내논문] 시각화 기법을 이용한 악성코드 분석 및 분류 연구
A Study on Malicious Codes Grouping and Analysis Using Visualization 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper