$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

Endpoint에 적용 가능한 정적 feature 기반 고속의 사이버 침투공격 분석기술 연구
Study on High-speed Cyber Penetration Attack Analysis Technology based on Static Feature Base Applicable to Endpoints 원문보기

Journal of Internet Computing and Services = 인터넷정보학회논문지, v.19 no.5, 2018년, pp.21 - 31  

황준호 (Department of Information Security, Hoseo University) ,  황선빈 (Department of Information Security, Hoseo University) ,  김수정 (Department of Information Security, Hoseo University) ,  이태진 (Department of Information Security, Hoseo University)

초록
AI-Helper 아이콘AI-Helper

사이버 침해공격은 사이버 공간에서만 피해를 입히는 것이 아니라 전기 가스 수도 원자력 등 인프라 시설 전체를 공격할 수 있기에 국민의 생활전반에 엄청난 피해를 줄 수 있다. 또한, 사이버공간은 이미 제5의 전장으로 규정되어 있는 등 전략적 대응이 매우 중요하다. 최근의 사이버 공격은 대부분 악성코드를 통해 발생하고 있으며, 그 숫자는 일평균 160만개를 넘어서고 있기 때문에 대량의 악성코드에 대응하기 위한 자동화된 분석기술은 매우 중요한 의미를 가지고 있다. 이에 자동으로 분석 가능한 기술이 다양하게 연구되어 왔으나 기존 악성코드 정적 분석기술은 악성코드 암호화와 난독화, 패킹 등에 대응하는데 어려움이 있고 동적 분석기술은 동적 분석의 성능요건 뿐 아니라 logic bomb 등을 포함한 가상환경 회피기술 등을 대응하는데 한계가 있다. 본 논문에서는 상용 환경의 Endpoint에 적용 가능한 수준의 가볍고 고속의 분석성능을 유지하면서 기존 분석기술의 탐지성능 단점을 개선한 머신러닝 기반 악성코드 분석기술을 제안한다. 본 연구 결과물은 상용 환경의 71,000개 정상파일과 악성코드를 대상으로 99.13%의 accuracy, 99.26%의 precision, 99.09%의 recall 분석 성능과, PC 환경에서의 분석시간도 초당 5개 이상 분석 가능한 것으로 측정 되었고 Endpoint 환경에서 독립적으로도 운영 가능하며 기존의 안티바이러스 기술 및 정적, 동적 분석 기술과 연계하여 동작 시에 상호 보완적인 형태로 동작할 것으로 판단된다. 또한, 악성코드 변종 분석 및 최근 화두 되고 있는 EDR 기술의 핵심요소로 활용 가능할 것으로 기대된다.

Abstract AI-Helper 아이콘AI-Helper

Cyber penetration attacks can not only damage cyber space but can attack entire infrastructure such as electricity, gas, water, and nuclear power, which can cause enormous damage to the lives of the people. Also, cyber space has already been defined as the fifth battlefield, and strategic responses ...

주제어

#악성코드   #정적분석   #기계학습  

표/그림 (18)

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • PE 파일 내의 구조적 정보를 정량적으로 평가하게 되면 일정 수준의 유의미함을 나타내지만 수치 자체로는 악성코드의 특징을 명확히 하는 것이 어렵고 머신러닝 기법 등 실 환경에 적용하기 위해서는 해당 분포를 가공하는 정책이 필요하다. 다음과 같은 이유로 본 논문에서는 feature들의 분포를 정성적으로 평가하여 영역 별로 구분 짓는 정책을 제안한다. Figure 8의 sizeofinitializeddata 와 같이 다른 feature의 통계적 분포를 산출하고 정성적으로 평가하여 도출한 영역 구분의 threshold는 Table 4와 같다.
  • 또한, 탐지되지 않고 내부 유입된 악성코드는 악성코드 감염PC를 만들고 공격자에게 내부망 구성, 추가 악성코드 설치 등의 기회를 제공하여 사이버공격이 발생하게 된다. 따라서, 본 논문에서는 상용 환경의 endpoint에 적용 가능한 수준의 가볍고 고속의 분석성능을 보유하면서 동시에 기존 분석기술의 탐지성능 단점을 개선한 머신러닝 기반 악성코드 분석기술을 제안한다. 본 논문에서 제안하는 악성코드 탐지정책에서는 현재 유포되고 있는 악성코드의 대다수를 차지하는 PE(Portable Executable) 파일의 정적 정보의 의미와 동시에 악성코드와 정상파일의 통계적 분포를 통해 그 특징을 구분 짓고 분포를 가공하여 악성코드를 탐지하는 feature로서 활용하게 되는데 특히, 정적 분석기술에서 기존에 사용되던 주요한 feature 이외에 큰 의미를 부여하지 않았던 PE 파일 내의 정적 정보도 가공하여 feature로 사용함으로써 본 정책은 anti-virus 시스템의 분석을 어렵게 하기 위해 anti-debugging 기법을 적용하는 악성코드들의 탐지 회피 정책들을 무효화 하는 동시에 정적 분석기술의 장점을 가질 수 있었다.
  • 본 논문에서는 사이버 안보 전반에 큰 영향을 미치는 악성코드 침투공격 대응기술을 주로 다루었다. 특히, 기존의 악성코드 정적분석에서 주로 사용하였지만 난독화, packing 등으로 분석의미가 줄어든 API, DLL 정보를 재해석 및 의미를 부여하여 활용할 뿐 아니라, 중요하게 부각되지 않았던 PE 파일내의 여러 feature들의 의미를 해석하고 통계적 분포를 분석하여 악성코드 분석에 중요 factor로 활용한 악성코드 분석 및 탐지 기술을 제시하였다.
  • 일반적인 사이버 침투공격은 웹/이메일 등을 통해 조직내부에 악성코드 감염PC를 만들고, 공격자는 악성코드 감염PC와 지속적으로 통신하면서 내부망 파악/추가 악성코드 설치/중요 시스템 접속정보 획득 등을 이뤄내고 적절한 시점에 시스템 파괴/개인정보유출/DDoS 공격 등이 발생하게 된다. 본 논문에서는 조직 내의 PC가 머신러닝기술에 기반하여 악성코드에 감염되지 않도록 하여 사이버 침투공격에 대응하고자 한다. Figure 2는 전체 시스템의 동작 절차를 나타낸다.
  • 마찬가지로, 이러한 기법에도 필연적으로 연산량 증가 등을 통한 성능 저하 문제가 발생하기 때문에 anti-debugging 기술에 대응하기 위한 부가적인 작업은 endpoint에서 악성코드 탐지 정책을 수립하기 어렵게 만들기 때문에 EDR 기술의 장애요소로 작용할 수 있다. 본 논문은 이러한 기존의 분석기술들의 문제점들을 개선하기 위하여 악성코드의 대다수를 차지하는PE 파일의 구조와 정적 정보들의 의미를 분석하고 동시에 악성코드와 정상파일의 통계적 의미를 해석하는데 특히, anti-debugging 기술에 영향이 적으면서 endpoint에 적용 가능한 가볍고 고속의 악성코드 자동화 탐지 정책을 제안한다. 이는 탐지 정책이 기존에 주로 사용되던 정적정보 외에 큰 의미를 부여하지 않았던 정적 정보들을 사용함과 동시에 기존의 정적 feature들의 빈도와 순서 정보등과 같은 통계적 수치를 직접 머신러닝에 적용하지 않고 label간의 수치 분포를 고려한 영역화로 가능하다.
  • 마찬가지로, 이러한 기법에도 필연적으로 연산량 증가 등을 통한 성능 저하 문제가 발생하기 때문에 anti-debugging 기술에 대응하기 위한 부가적인 작업은 endpoint에서 악성코드 탐지 정책을 수립하기 어렵게 만들기 때문에 EDR 기술의 장애요소로 작용할 수 있다. 본 논문은 이러한 기존의 분석기술들의 문제점들을 개선하기 위하여 악성코드의 대다수를 차지하는PE 파일의 구조와 정적 정보들의 의미를 분석하고 동시에 악성코드와 정상파일의 통계적 의미를 해석하는데 특히, anti-debugging 기술에 영향이 적으면서 endpoint에 적용 가능한 가볍고 고속의 악성코드 자동화 탐지 정책을 제안한다. 이는 탐지 정책이 기존에 주로 사용되던 정적정보 외에 큰 의미를 부여하지 않았던 정적 정보들을 사용함과 동시에 기존의 정적 feature들의 빈도와 순서 정보등과 같은 통계적 수치를 직접 머신러닝에 적용하지 않고 label간의 수치 분포를 고려한 영역화로 가능하다.
  • 연구결과물에 대한 시험은 상용 환경에서 여기서는 본 논문에서 제안한 연구 결과물을 상용환경에서 활용하기 위한 지속운영 model을 제안하고자 한다. 중앙서버에서는 지속적으로 수집된 악성코드와 정상파일에 대해서 주기적으로 DNN에 기반한 학습모델을 생성한다.
  • 이번 절에서는 PE 구조를 가지는 악성코드 내의 구조적 정보에 의미를 분석하고 데이터에 대한 해석을 병행하여 악성코드의 패턴 변화에 noise가 적은 feature들을 제안하고자 한다. PE 파일의 구조는 각각 파일이 실행되기 위한 기능별로 영역이 구분되어 있다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
사이버 공격의 주요 발생요인은? 사이버 공격은 매년 큰 폭으로 증가할 뿐 아니라 전기, 가스 및 수도 등 사회 기반시설이 모두 연결되어 가면서 사이버 상의 피해를 넘어서 우리의 삶 전반에 큰 위협이 되고 있다. 이러한 사이버 공격은 대부분 악성코드를 통해 발생하고 있으며, 그 숫자는 일평균 160만개를 넘어서고 있기 때문에 이렇게 끊임없이 쏟아지는 대량의 악성코드를 대응하기 위해서는 자동화된 악성코드 분석기술이 매우 중요한 의미를 가지고 있다. 이에 자동으로 분석 가능한 기술이 다양하게 연구되어 왔는데 기존의 악성코드 정적 분석기술은 암호화나 난독화 및 패킹 등을 대응하는데 어려움이 있고, 동적 분석기술은 동적 분석의 성능요건 뿐만 아니라 logic bomb 등을 포함한 가상환경 회피기술 등을 대응하는데 한계가 있다.
기존 방식이 사이버 공격에 대응이 어려운 이유는? 이러한 사이버 공격은 대부분 악성코드를 통해 발생하고 있으며, 그 숫자는 일평균 160만개를 넘어서고 있기 때문에 이렇게 끊임없이 쏟아지는 대량의 악성코드를 대응하기 위해서는 자동화된 악성코드 분석기술이 매우 중요한 의미를 가지고 있다. 이에 자동으로 분석 가능한 기술이 다양하게 연구되어 왔는데 기존의 악성코드 정적 분석기술은 암호화나 난독화 및 패킹 등을 대응하는데 어려움이 있고, 동적 분석기술은 동적 분석의 성능요건 뿐만 아니라 logic bomb 등을 포함한 가상환경 회피기술 등을 대응하는데 한계가 있다. 또한, 탐지되지 않고 내부 유입된 악성코드는 악성코드 감염PC를 만들고 공격자에게 내부망 구성, 추가 악성코드 설치 등의 기회를 제공하여 사이버공격이 발생하게 된다.
악성코드 분석기술은 무엇이 있는가? 악성코드 제작자들은 고도화된 anti-debugging 기법들을 적용하여 기존의 자동화된 분석시스템을 무효화 시키는데 이러한 지능적인 대량의 악성코드들에 대응하기 위하여 악성코드들을 자동으로 분석하기 위한 연구들은 꾸준히 이루어지고 있다. sandbox와 같은 가상 환경을 탐지하여 회피하는기법을 분석하고 탐지기술을 제안하는[1], N-gram 분석기법과 opcode의 pre-filtering을 이용한 보다 빠른SVM(Support Vector Machine) 탐지 기법[2], 변종 악성코드들에 대해서 악성코드 그룹 별로 categorized를 통한 정적 분석 기법을 제안하는[3], opcode, byte sequence 등을이용한 heuristic 탐지 기법 연구[4], API(ApplicationProgramming Interface)의 기능적 특성 관점으로 sequence를 분석하여 HMM(Hidden Markov Model)과 연계한 SVM기법 으로 분류하는 모델[5], N-gram 기법을 이용하여 악성코드와 정상파일의 API call 패턴을 분석하고 SVM 기법을 이용하여 binary 파일을 분류하는[6], 악성코드와 정상파일의 API와 DLL(Dynamic Link Library)의 빈도를 분석하여 악성코드를 탐지하는 정적 분석기술을 제안하는[7] 등이 있다. 이러한 연구 동향에서 동적 분석기술을 사용하는 기법들은 대체적으로 시스템이 가볍지 않아 운용환경에 제약이 따르고 기존에 활발하게 연구된 opcode,API, DLL 기반의 분석기술의 경우에 그 성능이 악성코드에 적용된 anti-debugging 등의 기술에 의존성을 띄는 경향이 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (26)

  1. D. Keragala, "Detecting Malware and Sandbox Evasion Techniques", SANS Institute InfoSec Reading Room, 2016. https://scholar.google.co.kr/scholar?hlko&as_sdt2005&sciodt0%2C5&cites11695446247611230975&scipsc&qDetecting+Malware+and+Sandbox+Evasion+Techniques&btnG 

  2. M. Asha. Jerlin, C. Jayakumar, "A Dynamic Malware Analysis for Windows Platform - A Survey", Indian Journal of Science and Technology, Vol. 8, No. 27, pp.1-5, 2015. https://doi.org/10.17485/ijst/2015/v8i27/81172 

  3. H.V. Nath, B. M. Mehtr, "Static Malware Analysis Using Machine Learning Methods", Communication in Computer and Information Science, pp.440-450, 2014. https://doi.org/10.1007/978-3-642-54525-2_39 

    crossref

  4. N. Rafiq, Y. Mao, "Improving heuristics. Virus Bulletin Conference", pp.9-12, 2008. https://www.virusbulletin.com/virusbulletin/2008/08/improving-heuristics 

  5. A. Stewart, "Malware Dynamic Behavior Classification : SVM-HMM applied to Malware API sequencing", Whiting School of Engineering(Johns Hopkins University), 2014. https://scholar.google.co.kr/scholar?hlko&as_sdt0%2C5&qMalware+Dynamic+Behavior+Classification+%3A+SVM-HMM+applied+to+Malware+API+sequencing.&btnG 

  6. R. Veeramani, R. Ni tin, "Windows API based Malware Detection and Framework Analysis", International Journal of Scientific & Engineering Research, Vol. 3, No. 3, 2012. https://scholar.google.co.kr/scholar?hlko&as_sdt0%2C5&qWindows+API+based+Malware+Detection+and+Framework+Analysis&btnG 

  7. U. Baldangombo, N. Jambaljav, SJ. Horng, "A Static Malware Detection System Using Data Mining Methods", Cornell University, 2013. https://scholar.google.co.kr/scholar?hlko&as_sdt0%2C5&qA+Static+Malware+Detection+System+Using+Data+Mining+Methods&btnG 

  8. D. Bilar, "Statistical structures : Fingerprinting Malware for Classification and Analysis", Proceedings of Black Hat Federal, 2006. https://scholar.google.co.kr/scholar?hlko&as_sdt0%2C5&qStatistical+structures+%3A+Fingerprinting+Malware+for+Classification+and+Analysis&btnG 

  9. C. Burgess, F. Kurugollu, S. Sezer, K. McLaughlin, "Detecting Packed Executables Using Steganalysis", Visual Information Processing(5th European Workshop (EUVIP), pp.1-5, 2014. https://doi.org/10.1109/euvip.2014.7018361 

    crossref

  10. S. Gupta, H. Sharma, S. Kaur, "Malware Characterization using Windows API Call Sequences", International Conference on Security, Privacy, and Applied Cryptography Engineering", pp.271-280, 2016. https://doi.org/10.1007/978-3-319-49445-6_15 

    crossref

  11. L. Hyo-young, K. Wan-ju, N. Hong-jun, L. Jae-sung, "Research on Malware Classification with Network Activity for Classification and Attack Prediction of Attack Groups", The Journal of Korean Institute of Communications and Information Science, Vol. 42, No. 1, pp.193-204, 2017. https://doi.org/10.7840/kics.2017.42.1.193 

    원문보기 상세보기 crossref

  12. A. Javaid, Q. Niyaz, W. Sun, M. Alam, "A Deep Learning Approach for Network Intrusion Detection System", Proceeding of the 9th EAI International Conference on Bio-inspired Information and Communications Technologies, pp.21-26, 2016. https://doi.org/10.4108/eai.3-12-2015.2262516 

    crossref

  13. L. Etienne, "Malicious Traffic Detection in Local Networks with Snort", EPFL-SSC, pp.1-34, 2009. https://scholar.google.co.kr/scholar?hlko&as_sdt0%2C5&qMalicious+Traffic+Detection+in+Local+Networks+with+Snort&btnG 

  14. C. Wang, J. Pang, R. Zhao, X. Liu, "Using API Sequence and Bayes Algorithm to Detect Suspicious Behavior", International Conference on Communication Software and Networks, pp.544-548, 2009. https://doi.org/10.1109/iccsn.2009.60 

    crossref

  15. P. Vinod, R. Jaipur, V. Laxmi, M. Gaur, "Survey on Malware Detection Methods(3rd Hackers)", Workshop on Computer and Internet Security, Department of Computer Science and Engineering, Prabhu Goel Research Centre for Computer & Internet Security, IIT, Kanpur, pp.74-79, 2009. https://scholar.google.co.kr/scholar?hlko&as_sdt0%2C5&qSurvey+on+Malware+Detection+Methods&btnG 

  16. P. Natani, D. Vidyarthi, "Malware Detection Using API Function Frequency with Ensemble based Classifier", Communications in Computer and Information Science, pp.378-388, 2013. https://doi.org/10.1007/978-3-642-40576-1_37 

    crossref

  17. D. Ucci, L. Aniello, R. Baldoni, "Survey on the Usage of Machine Learning Techniques for Malware Analysis", ACM, Vol. 1, No. 1, 2017. https://scholar.google.co.kr/scholar?hlko&as_sdt0%2C5&qSurvey+on+the+Usage+of+Machine+Learning+Techniques+for+Malware+Analysis&btnG 

  18. G. Liang, J. Pang, C. Dai, "A Behavior-Based Malware Variant Classification Technique", International Journal of Information and Education Technology, Vol. 6, No. 4, pp.291, 2016. https://doi.org/10.7763/ijiet.2016.v6.702 

    상세보기 crossref

  19. J. Sexton, C. Storlie, B. Anderson, "Subroutine based Detection of APT Malware", Journal of Computer Virology and Hacking Techniques, Vol. 12, No. 4, pp.225-233, 2015. https://doi.org/10.1007/s11416-015-0258-7 

  20. R. Perdisci, W. Lee, N. Feamster, "Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces", USENIX NSDI, 2010. https://scholar.google.co.kr/scholar?hlko&as_sdt0%2C5&qBehavioral+Clustering+of+HTTP-Based+Malware+and+Signature+Generation+Using+Malicious+Network+Traces&btnG 

  21. G. Gu, R. Perdisci, J. Zhang, W. Lee, "Botminer : clustering analysis of network traffic for protocol- and structure independent botnet detection", USENIX Security 2008. https://scholar.google.co.kr/scholar?hlko&as_sdt0%2C5&qBotminer+%3A+clustering+analysis+of+network+traffic+for+protocol-+and+structure+independent+botnet+detection&btnG 

  22. Tae-woo. K, Cae-lk. C, Man-hyun. C, Jong-sub. M, "Malware Detection Via Hybrid Analysis for API Calls", Journal of the Korea Institute of Information Security and Cryptology, 2007. https://scholar.google.co.kr/scholar?hlko&as_sdt0%2C5&qMalware+Detection+Via+Hybrid+Analysis+for+API+Calls&btnG 

  23. G. Berger-Sabbatel, A. Duda, "Classification of Malware Network Activity", Multimedia Communications Services and Security, pp.24-35, 2012. https://doi.org/10.1007/978-3-642-30721-8_3 

    crossref

  24. M. Zubair. Rafique, P. Chen, C. Huygens, W. Joosen, "Evolutionary Algorithms for Classification of Malware Families through Different Network Behaviors", Genetic and Evolutionary Computation Conference, pp.1167-1174, 2014. https://doi.org/10.1145/2576768.2598238 

  25. K. Iwamoto, K. Wasaki, "Malware Classification based on Extracted API Sequences using Static Analysis", Internet Engineering Conference, pp.31-38, 2012. https://doi.org/10.1145/2402599.2402604 

    crossref

  26. I. Ahmed, L. Kyung-suk, "Classification of Packet Contents for Malware Detection", Journal in Computer Virology, Vol. 7, No. 4, pp.279-295, 2011. https://doi.org/10.1007/s11416-011-0156-6 

    상세보기 crossref

저자의 다른 논문 :

LOADING...

관련 콘텐츠

오픈액세스(OA) 유형

BRONZE

출판사/학술단체 등이 한시적으로 특별한 프로모션 또는 일정기간 경과 후 접근을 허용하여, 출판사/학술단체 등의 사이트에서 이용 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로