선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- Andro-profiler는 거의 99%의 정확도를 가지고 적절한 악성코드 패밀리로 분류할 수 있지만 정상 어플리케이션을 정상으로 분류하는데 약 7%정도의 오탐(false positive)이 발생하였다. 그래서 정상 어플리케이션을 분류할 때 높은 거짓 양성이 발생했는지를 알아내기 위해 실험을 통하여 원인을 분석하였다. 결과적으로는 몇몇의 정상 어플리케이션이 사용자의 모바일 기기에 장비 ID, SDK 버전, 모델명과 같은 민감한 정보를 수집한다는 사실을 발견하였다.
- 이러한 프로파일링 수사기법을 악성코드 분석방법에 적용하면, 시스템 콜을 포함한 로그로부터 악성코드의 독특한 악의적인 행위 패턴을 프로파일링하여 악성코드 분석시 사용할 수 있다. 본 논문에서는 동적 분석 기반의 프로파일링 기법을 이용한 새로운 행위기반 탐지방법을 제안한다. 동적 분석 툴이 설치된 에뮬레이터에서 악성 어플리케이션을 설치 및 실행하여 산출되는 시스템 콜 정보 및 에뮬레이터 로그를 활용하여 악성코드의 고유의 행위 패턴을 추출한다.
- 본 논문에서는 악성행위를 프로파일링하여 악성코드 탐지 및 분류를 하는 방법론(Andro-profiler)을 제안하였다. 행위기반의 프로파일링은 드로이드 박스 로그와 시스템 콜 로그가 합쳐진 통합 시스템 로그에 의해 만들어 진다.
- 본 논문에서는 유사도 점수(Similarity score)를 전화나 카메라 같은 하드웨어 자원, 시스템 정보와 개인 정보에 얼마나 접근할 수 있는지에 대한 수치로써 정의하였다. 각 악성코드 패밀리의 대표적인 행위 프로파일과 새로운 악성코드의 행위 프로파일의 유사도를 구하는 수식은 아래와 같다.
- 본 논문에서는 이를 해결하기 위해 모바일 악성코드의 행위 프로파일링(behavior profiling) 기반으로 악성코드 탐지 및 분류기법을 제시한다. 제안하는 방법론은 크게 클라이언트인 모바일 기기와 서버로 이루어져 있으며, 현실세계의 범죄수사에 사용되는 프로파일링 기법을 확대 적용하였다.
제안 방법
- 하나의 서브 샘플은 테스트를 위한 유요한 데이터로서 사용되고 그 외에 k-1개의 서브 샘플들은 트레이닝 데이터로서 사용된다. 10-fold cross-validation을 본 연구의 실험에서는 10번을 반복 수행하였으며, 10번의 수행 결과들의 평균을 최종 결과로 선정하였다.
- 4. 유사도 비교시, SS, CS, SIS가 Null인 경우는 정상파일로 간주하여, 해당 가중치를 0으로 두어 유사도를 계산하지 않고, CDS만 유사도를 비교한다.
- 은 Andro-profiler를 이용한 악성코드 분류 정확도와 기존 방법론인 Crowdroid의 악성코드 분류 정확도를 나타낸 표이다. Crow droid를 이용한 실험에도 Andro-profiler의 실험과 똑같은 악성코드 샘플들을 가지고 실험을 실시하였다. 실험결과를 보았을 때 비교대상인 Crowdroid에 비해서 높은 분류 정확도를 보여주고 있다.
- 1. 과금 번호로 SMS를 보내는 SS와 과금 번호로 전화를 거는 CS의 유사도 점수는 해당 하드웨어 자원에 접근할 수 있느냐 없느냐를 바이너리로 비교한다. 전화번호와 같은 문자열은 한 개의 번호라도 다르다면, 완전히 다른 전화번호가 되기 때문에 완벽한 문자열 매칭(perfect matching)을 제외한 부분 매칭은, 유사도 비교측면에서는 유의한 의미를 부여하지 못한다.
- 또한 악성코드 제작자가 API 호출 사실을 숨기고 정상적인 행위로써 악성코드의 악성행위를 숨기기 때문에 어플리케이션의 행위를 파악하기가 어렵다. 그래서 정확한 어플리케이션의 행위를 조사하기 위해 시스템 콜 후킹을 통하여 어떤 시스템 함수가 어떤 매개변수를 가지고 호출되는지를 로그로 기록하게 구현하였다. 아무리 API 함수 호출 사실을 숨긴다고 하더라도 어떤 API 함수를 호출하든지 간에 시스템 함수를 무조건 호출하기 때문에 시스템 함수 호출 사실을 기록하여 분석하면 정확한 행위를 파악할 수 있다.
- 과금을 유발시킬 수 있는 SMS 보내는 행위에 대한 유사성(SS: Similarity of Sending pre-mium-rate SMS), 과금을 유발시킬 수 있는 번호로 전화를 거는 행위에 대한 유사성(CS: Similarity of Calling premium-rate number), 민감한 정보를 수집하는 행위에 대한 유사성(SIS: Similarity of Sensitive Information) 그리고 데이터를 암호화나 인코딩을 통하여 변환시켜 서버에 전송하는 행위에 대한 유사성(CDS: Similarity of Converting Data)으로 구성되어 있다. 그리고 각 유사성에 대한 가중치는 각각 SS는 0.35, CS는 0.35, SIS는 0.2, CDS는 0.1로 결정하였으며, 모든 가중치는 여러 번의 실험 결과를 토대로 가장 잘 유사도가 구분이 될 수 있는 값을 선정하였다. 몇몇 악성코드는 오직 특정한 조건이 만족되어야 실행되기 때문에 CDS의 가중치를 다른 요소들보다 적게 결정하였다.
- 그리고 본 연구에서 Andro-profiler가 알려지지 않은 악성코드들을 적절하게 분류하고 탐지기능이 얼마나 정확한지를 평가하기 위해 ADAM[19]이라는 변종 제작 프로그램을 이용하여 변종 50개를 만들었다.
- 두 번째로 Andro-profiler가 악성 행위를 잘 탐지하고 악성 행위의 특성에 따라 잘 분류하는지를 확인하였다. 성능을 평가하기 위한 지표로써 모델의 예측 능력에 집중해야 하기 때문에 성능측정 요소로써 정확도를 사용하였다.
- 본 논문에서 제시한 시스템은 1MB의 APK파일을 가진 목표 어플리케이션을 분류하는데 55초를 기록하였다. 물론 에뮬레이터의 부팅시간과 같은 분석을 위해 세팅되는 시간을 제외한 순수하게 분석 및 분류되는 시간을 기록한 것이다.
- 사용자 레벨에서의 콜 함수(API)는 악성코드 제작자에 의해서, 변조가 가능하지만, 커널 레벨에서의 콜 함수(이하 시스템콜)은 변조가 어렵다. 본 논문에서는 동적 에뮬레이터 도구인 Droidbox의 안드로이드 SDK 커널을 후킹하여, 앱이 실행될 때 발생되는 시스템 콜 함수와 그 매개변수, 그리고 Droidbox에서 제공하는 로그(퍼미션 정보, 네트워크 통신 정보 등)를 통합한 Integrated log를 활용하여 새로운 악성코드 분류기법을 제안한다. 그러나 통합 시스템 로그는 로우 데이터로, 악성 코드 분석가들에게 직관적인 판단을 제공하는데 제약이 있다.
- 행위 범주화 모듈(Behavior Categorization Module)은 악성코드의 행위 패턴에 따라서 악성코드를 범주화 한다. 본 논문에서는 악성행위를 크게 4가지로 정의하였다. 과금을 유발할 수 있는 번호로 전화를 거는 행위, 과금을 유발할 수 있는 번호로 SMS를 보내는 행위, 민감한 개인정보를 수집하는 행위, 데이터를 전송하기 위해 가공하는 행위가 바로 그것이다.
- 본 연구의 실험 결과는 행위 프로파일링의 효과와 악성코드 분류 성능에 집중하였다.
- 두 번째로 Andro-profiler가 악성 행위를 잘 탐지하고 악성 행위의 특성에 따라 잘 분류하는지를 확인하였다. 성능을 평가하기 위한 지표로써 모델의 예측 능력에 집중해야 하기 때문에 성능측정 요소로써 정확도를 사용하였다. 악성코드 분류모델의 성능은 어떻게 잘 그 모델이 다양한 악성코드를 분류하느냐에 따라 결정된다.
- 아무리 API 함수 호출 사실을 숨긴다고 하더라도 어떤 API 함수를 호출하든지 간에 시스템 함수를 무조건 호출하기 때문에 시스템 함수 호출 사실을 기록하여 분석하면 정확한 행위를 파악할 수 있다. 시스템 콜 후킹은 LKM(Loadable Kernel Module)을 구현하여 드로이드 박스가 설치된 안드로이드 에뮬레이터에 실행함으로써 안드로이드의 커널 후킹을 통하여 드로이드 박스 로그와 함께 기록되도록 하였다. 즉, 악성코드를 에뮬레이터 내에서 실행을 시키게 되면 드로이드 박스 로그와 시스템 콜 로그가 동시에 기록되는 통합 시스템 로그를 얻게 된다.
- 그러나 통합 시스템 로그는 로우 데이터로, 악성 코드 분석가들에게 직관적인 판단을 제공하는데 제약이 있다. 악성행위 분석에 꼭 필요한 정보를 직관적으로 제공하기 위한 방법으로 도표, 도식화 등이 있으나, 본 논문에서는 현실세계의 범죄수사에서 활용중인 범죄 프로파일링 기법을 악성코드 분석분야에 확대 적용한다[2].
- 그리고 수집된 샘플들의 SHA256 해쉬값을 구하여 동일한 해쉬값을 가진 샘플들은 삭제하는 방법으로 중복되는 샘플들을 제거하였다. 정상 샘플들은 패키지 이름을 가지고 중복 샘플들을 확인하여 제거하였다.
- 본 논문에서는 이를 해결하기 위해 모바일 악성코드의 행위 프로파일링(behavior profiling) 기반으로 악성코드 탐지 및 분류기법을 제시한다. 제안하는 방법론은 크게 클라이언트인 모바일 기기와 서버로 이루어져 있으며, 현실세계의 범죄수사에 사용되는 프로파일링 기법을 확대 적용하였다. 보통 범죄자 프로파일링 기법으로 알려진 프로파일링 수사기법은 수사 중인 사건의 주제나 범죄자의 독특한 특징들을 프로파일링하여 수사관이 정확하게 예측하고 수사하는데 도움을 주기 위해 만들어진 방법이다[10, 13].
- 첫 번째로 악성코드와 악성코드간의 유사도 그리고 악성코드와 정상 앱에 대한 유사도를 구하였다. Table 4.
- 동적 분석 툴이 설치된 에뮬레이터에서 악성 어플리케이션을 설치 및 실행하여 산출되는 시스템 콜 정보 및 에뮬레이터 로그를 활용하여 악성코드의 고유의 행위 패턴을 추출한다. 추출된 정보를 기반으로 프로파일링 데이터를 만들어 다른 악성코드 프로파일링과의 유사도를 측정하고, 측정결과를 통해 악성 여부를 최종 판단하며, 악성코드 패밀리로 분류를 하는 방법론(Andro-profiler)을 제안한다.
- 한편, 악성코드간 유사도 비교시 계산 복잡도를 줄이기 위하여 각각의 악성코드 프로파일링의 메타데이터는 파이선 프로그래밍 언어의 자료처리형의 하나인 사전구조로 정의하고, 통합 시스템 로그로부터 행위 패턴을 추출하여 프로파일링 화하고 프로파일링간 유사도 측정까지 전 부분을 파이선 언어로 자동화하여 구현하였다. 프로파일링 형태에 대한 자세한 설명은 다음과 같다.
대상 데이터
- lu [11]와 같은 악성코드 저장소와 크롤러로 악성코드 샘플을 수집하였다. 또한 같은 기간 동안 GooglePlay 사이트에서 웹 크롤러를 통하여 정상 샘플을 수집하였다. 변종을 포함한 악성코드의 개수는 372개이고 정상 샘플은 350개정도를 수집하였다.
- 또한 같은 기간 동안 GooglePlay 사이트에서 웹 크롤러를 통하여 정상 샘플을 수집하였다. 변종을 포함한 악성코드의 개수는 372개이고 정상 샘플은 350개정도를 수집하였다. 그리고 수집된 샘플들의 SHA256 해쉬값을 구하여 동일한 해쉬값을 가진 샘플들은 삭제하는 방법으로 중복되는 샘플들을 제거하였다.
- 본 논문에서 진행된 실험은 인텔 코어 i7(2GB) CPU와 32비트 우분투 12.04 LTS버전의 운영체제 그리고 4기가 램이 설치된 컴퓨터에서 진행되었다. 실험에서 성능을 평가하기 위해 10-fold cross- validation을 사용하였다.
- 본 논문의 실험을 위해 2013년 1월부터 8월까지의 기간 동안 virusshare [16], contagion [3], malware.lu [11]와 같은 악성코드 저장소와 크롤러로 악성코드 샘플을 수집하였다. 또한 같은 기간 동안 GooglePlay 사이트에서 웹 크롤러를 통하여 정상 샘플을 수집하였다.
이론/모형
- 2. 민감한 데이터를 전송하는 SIS는 Jaccard index 방법을 이용하여 유사도 점수를 계산한다.
- 나머지 불일치되는 부분인 abc.com과 def.net에 대한 유사도는 Levenshtein distance 방법을 이용하여 구하게 되며, 0에서 1사이의 값이 나오게 된다.
- 네트워크로 데이터를 전송하기 위해 데이터를 인코딩이나 암호화를 통하여 변경시키는 CDS는 목적지 URL 주소, 암호화 모드와 인코딩 모드에 대한 유사성을 각각 구하여 더한 평균값을 유사도 점수로 계산한다. 목적지 URL 주소의 유사도는 Longest Prefix Matching 방법을 적용한 후 불일치되는 부분에 대해서는 Levenshtein distance 방법을 적용한다. 예를 들어 www.
- 본 논문에서 제안하는 방법론은 어플리케이션이 실행되는 동안 호출되는 시스템콜을 포함한 통합 시스템 로그를 이용하는 것으로, 기존의 방법론 중 가장 유사한 방법론은 Crowdroid [15]이다. Crowdroid는 클라이언트에서 호출되는 시스템콜을 모니터링 하여 시스템콜 빈도수 테이블을 작성하고, 서버에서는 해당 빈도수 테이블을 이용하여 K-means 알고리즘을 통해 악성여부를 분류한다.
- 04 LTS버전의 운영체제 그리고 4기가 램이 설치된 컴퓨터에서 진행되었다. 실험에서 성능을 평가하기 위해 10-fold cross- validation을 사용하였다. k-fold validation은 무작위로 k개의 크기의 서브 샘플들로 데이터 셋의 파티션을 나누는 방법이다.
성능/효과
- 3. 네트워크로 데이터를 전송하기 위해 데이터를 인코딩이나 암호화를 통하여 변경시키는 CDS는 목적지 URL 주소, 암호화 모드와 인코딩 모드에 대한 유사성을 각각 구하여 더한 평균값을 유사도 점수로 계산한다. 목적지 URL 주소의 유사도는 Longest Prefix Matching 방법을 적용한 후 불일치되는 부분에 대해서는 Levenshtein distance 방법을 적용한다.
- 결과적으로는 몇몇의 정상 어플리케이션이 사용자의 모바일 기기에 장비 ID, SDK 버전, 모델명과 같은 민감한 정보를 수집한다는 사실을 발견하였다. 거짓 양성이 나온 DU battery saver라는 정상 어플리케이션을 예를 들면 사용자의 동의 없이 모바일 기기의 장비 ID를 수집하는 것을 확인하였다.
- 그래서 정상 어플리케이션을 분류할 때 높은 거짓 양성이 발생했는지를 알아내기 위해 실험을 통하여 원인을 분석하였다. 결과적으로는 몇몇의 정상 어플리케이션이 사용자의 모바일 기기에 장비 ID, SDK 버전, 모델명과 같은 민감한 정보를 수집한다는 사실을 발견하였다. 거짓 양성이 나온 DU battery saver라는 정상 어플리케이션을 예를 들면 사용자의 동의 없이 모바일 기기의 장비 ID를 수집하는 것을 확인하였다.
- Crow droid를 이용한 실험에도 Andro-profiler의 실험과 똑같은 악성코드 샘플들을 가지고 실험을 실시하였다. 실험결과를 보았을 때 비교대상인 Crowdroid에 비해서 높은 분류 정확도를 보여주고 있다.
- 앞에서 시행한 실험결과를 통해 제안된 시스템은 평균적으로 96%의 정확도로 악성코드군과 정상파일을 분류하였다. 제안된 시스템은 악성코드간 분류실험에서 99%의 정확도로 악성코드군을 분류하였고, 정상앱과 악성코드가 구성된 데이터셋에서는 93%의 정확도로 악성코드 및 정상코드를 분류하였다.
- 앞에서 시행한 실험결과를 통해 제안된 시스템은 평균적으로 96%의 정확도로 악성코드군과 정상파일을 분류하였다. 제안된 시스템은 악성코드간 분류실험에서 99%의 정확도로 악성코드군을 분류하였고, 정상앱과 악성코드가 구성된 데이터셋에서는 93%의 정확도로 악성코드 및 정상코드를 분류하였다. 한편, 제안한 시스템은 평균적으로 1MB의 앱을 58초 안에 통합시스템 로그를 파싱 및 분류 가능하여, 악성코드 샘플들에 대해 신속하고, 효율적인 대처가 가능하다.
- 제안된 시스템은 악성코드간 분류실험에서 99%의 정확도로 악성코드군을 분류하였고, 정상앱과 악성코드가 구성된 데이터셋에서는 93%의 정확도로 악성코드 및 정상코드를 분류하였다. 한편, 제안한 시스템은 평균적으로 1MB의 앱을 58초 안에 통합시스템 로그를 파싱 및 분류 가능하여, 악성코드 샘플들에 대해 신속하고, 효율적인 대처가 가능하다.
후속연구
- 최근 보고되는 신종 악성코드의 경우에는 쉽게 에뮬레이터 등 동적분석 툴을 감지하여 실행을 중단하는 안티 가상머신 기능이 탑재되어 있다. 따라서 향후에는 Andro- profiler에 정적 분석 기법을 확대 적용하여 일반화된 프레임워크를 제공할 것이다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.