[논문]안드로이드 악성 앱 탐지율 향상을 위한 특성 분석 및 기계학습 모델에 관한 연구

강호영; 손근수; 손민우; 송유석

[국내논문] 안드로이드 악성 앱 탐지율 향상을 위한 특성 분석 및 기계학습 모델에 관한 연구 원문보기

情報保護學會誌 = KIISC review, v.29 no.1, 2019년, pp.26 - 33

강호영 (고려대학교 정보보호대학원) , 손근수 (한화시스템) , 손민우 (한양대학교 소프트웨어학부) , 송유석 (성균관대학교 반도체시스템공학과)

초록
AI-Helper

안드로이드 모바일 환경에서 사용되는 애플리케이션은 사용자에게 여러 권한을 요구하며, 특정한 기능을 수행한다. 공격자는 정상적인 애플리케이션으로 가장한 악성 애플리케이션을 사용자가 다운로드 하도록 유도하여 금융정보 및 개인정보를 탈취할 수 있다. 기존의 모바일 백신은 시그니처(signature) 기반의 악성 애플리케이션 탐지 방법을 사용하기 때문에 정상 애플리케이션으로 가장한 악성 애플리케이션의 탐지가 어려운 측면이 있다. 따라서, 본 논문에서는 안드로이드 악성 애플리케이션 탐지율 향상을 위한 특성(feature)을 연구 및 분석하고, 여러 기계학습 모델을 적용하여 최종적으로는 기존의 모바일 백신으로는 탐지가 어려운 악성 애플리케이션까지 탐지가 가능한 기계학습 모델을 제안하였다.

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 연구에서는 안드로이드 APK 파일 내의 권한과 API에 대한 정적 분석을 통해 악성 앱 탐지를 위한 특성을 연구하고, 해당 특성이 실제로 정상과 악성 앱을 얼마나 정확히 구분하는지 살펴보기 기계학습 모델을 개발하여 실제 데이터셋에 적용시켰다.
악성 앱과 관련한 특성 연구를 목적으로 권한과 API의 연관성을 분석하였다. 우선, 악성 앱과 정상 앱, 각각이 지닌 권한과 API의 개수를 확인하고자 히스토그램과 정규 분포를 도표화하였다.
여러 기계학습 모델 적용 결과, MLP 모델이 평균적 으로 약 93%정도의 탐지율 성능을 보였으나, 오탐과 미탐을 줄일 수 있다면 탐지율을 더 높일 수 있다고 판단하였다. 이에 기계학습에서 오탐과 미탐을 줄일 수 있 는 새로운 악성 앱 탐지 모델을 고안하였다.

가설 설정

3. API에 대해서 동일하게 진행한다.

제안 방법

각각의 데이터셋에 대한 여러 기계학습 모델의 적용 결과는 정확도(=TP+TN/(TP+TN+FP+FN)) 로 측정하였다[4][5].
과적합을 피하기 위해 regulation, batch normalization(batch size=1000), cross validation(split size=5)을 사용하여 Epoch마다 50회씩 학습시켰다. 또한, Random Forest에서 도출한 변수 중요도를 바탕으로 권한과 API를 재선정하였다.
권한과 같은 방법으로 API와 관련하여 깊이 12인 Decision Tree를 분석하였으며, [그림 7]과 같은 결과를 얻었다.
기계학습 모델 적용 이전에 Decision Tree를 활용하여 학습 데이터셋이 정상과 악성으로 분류되는 비율과 정상과 악성으로 분류된 값이 실제로 그에 해당될 확률을 계산하였다.
과적합을 피하기 위해 regulation, batch normalization(batch size=1000), cross validation(split size=5)을 사용하여 Epoch마다 50회씩 학습시켰다. 또한, Random Forest에서 도출한 변수 중요도를 바탕으로 권한과 API를 재선정하였다.
본 연구에서는 정적 분석 기반의 악성 API 및 악성 권한 추출을 통해 악성과 정상을 구분 짓는 특성을 추출하였고, 이를 SVM, MLP, Random Forest 등의 기계 학습 모델에 적용하여 악성과 정상 앱을 분류하였다. 여러 기계학습 모델 적용 결과, MLP 모델이 평균적 으로 약 93%정도의 탐지율 성능을 보였으나, 오탐과 미탐을 줄일 수 있다면 탐지율을 더 높일 수 있다고 판단하였다.
새로운 악성 앱 탐지 모델은 기존의 악성 앱 탐지 방법(1차 기능)에서 더 나아가 2차 기능, 3차 기능을 추가 하였다. 2차 기능은 [그림 9]의 1차 기능에서 기계학습 모델을 적용한 결과값 중에 오탐과 미탐에 해당되는데 이터들을 별도의 데이터셋으로 재분류하는 작업을 의미한다.
악성 앱과 관련한 특성 연구를 목적으로 권한과 API의 연관성을 분석하였다. 우선, 악성 앱과 정상 앱, 각각이 지닌 권한과 API의 개수를 확인하고자 히스토그램과 정규 분포를 도표화하였다.
최종적으로는 Perceptron, SVM(Support Vector Machine), MLP(Multi Layer Perceptron), RF(Random Forest) 등 여러 기계학습 모델을 적용시켜서 도출한 결과를 바탕으로, 기존 모바일 백신으로 탐지가 어려운 악성 앱 탐지율을 향상시키고, 오탐과 미탐을 줄일 수 있는 새로운 기계학습 모델을 제안하였다.

대상 데이터

기계학습 모델 적용을 위한 데이터셋은 ‘2018 정보 보호 R&D 데이터 챌린지’ 예선 및 본선에서 제공한 평가용(test) 데이터셋을 활용하였다.
악성 앱 특성 분석을 위한 데이터셋은 ‘2018 정보보호 R&D 데이터 챌린지’ 예선에서 제공한 학습용(train) 데이터셋(정상 APK파일 4,000개, 악성 APK파일 2,000개)을 활용하였다.

데이터처리

[그림 3]의 산점도를 바탕으로 권한과 API의 관련성을 측정하기 위해 R을 이용하여 피어슨(Pearson) 상관 계수를 계산하였다. 피어슨 상관계수는 두 변수가 완전히 동일하면 1, 전혀 관계가 없으면 0, 반대방향으로 완전히 동일하면 –1의 값을 지닌다.
각각 기계학습 모델의 악성 앱 및 정상 앱 분류 성능은 Accuracy와 Robustness를 기준으로 비교하였다. Accuracy는 각 기계학습 모델 적용 결과값을 반영하였으며, 악성 앱과 정상 앱을 정확하게 분류하는 비율을 의미한다.
2차 기능은 [그림 9]의 1차 기능에서 기계학습 모델을 적용한 결과값 중에 오탐과 미탐에 해당되는데 이터들을 별도의 데이터셋으로 재분류하는 작업을 의미한다. 재분류된 오탐 및 미탐 데이터셋에 대해서는 특정 기계학습 모델에서의 결과값을 타 모델의 입력값으로 하여 교차 검증 과정을 수행한다. 예를 들어, 1차 기능 에서 SVM에 의해 오탐 및 미탐된 데이터셋이 2차 기능에서는 MLP, Random Forest 모델에 의해 다시 분류 되는 방식으로, 상호 필터링을 통한 탐지 알고리즘 최적화를 수행한다.

이론/모형

R의 randomforest library를 이용하여 Random Forest 모델을 적용시켜 보았다. Default 로 적용시킨 결과는 [표 6]과 같다.
TensorFlow를 사용하여 10 Layer의 MLP 모델을 적용하였으며, softmax_cross_entropy_with_logits을 cost 함수로 사용하였고 0.001의 regularization을 적용하였다. optimizer는 Adam Optimizer을 사용하였으며, learning rate=0.
악성 앱 특성 분석을 위한 데이터셋은 ‘2018 정보보호 R&D 데이터 챌린지’ 예선에서 제공한 학습용(train) 데이터셋(정상 APK파일 4,000개, 악성 APK파일 2,000개)을 활용하였다. 분석 방법으로는 Androguard 를 이용하여 전체 285개의 권한을 추출하였고[1], 관련 논문을 참조하여 77가지의 악성 API를 추출하였다 [2][3].

성능/효과

615580의 값이 산출되었다. 결과를 해석하면, 악성 앱과 정상 앱 모두 권한과 API가 어느 정도 상호 관련되어 있으며, 정상 앱이 악성 앱보다 1에 더 가까우므로, 정상 앱에서 권한과 API가 더 강한 상관관계를 가진다는 사실을 확인할 수 있다.
Perceptron 모델은 python의 scikit-learn library를 사용하여 권한과 API 포함 유무를 기준으로 각각의 데이터셋을 학습시켰다[6]. 그 결과, Perceptron 모델의 경우 다른 모델들에 비해 결과값의 변화가 큰 것을 확인할 수 있었다. [표 5]는 Perceptron 모델을 10회 적용 시킨 후 가장 정확도가 높은 모델의 결과값을 표로 정리하였다.
2,000개의 악성코드 중 200개 이상에서 출현하며 정상 보다 2배 이상 나오는 API들은 다음의 [표 3]와 같았다. 그 결과, telephonymanager, smsmanager 클래스 등이 악성 앱에서 주로 사용되는 메소드를 포함하고 있었다.
본 연구에서는 정적 분석 기반의 악성 API 및 악성 권한 추출을 통해 악성과 정상을 구분 짓는 특성을 추출하였고, 이를 SVM, MLP, Random Forest 등의 기계 학습 모델에 적용하여 악성과 정상 앱을 분류하였다. 여러 기계학습 모델 적용 결과, MLP 모델이 평균적 으로 약 93%정도의 탐지율 성능을 보였으나, 오탐과 미탐을 줄일 수 있다면 탐지율을 더 높일 수 있다고 판단하였다. 이에 기계학습에서 오탐과 미탐을 줄일 수 있 는 새로운 악성 앱 탐지 모델을 고안하였다.
특히, MLP 모델은 권한과 API를 모두 고려하였을 때, 평가용 데이터에서 평균적으로 약 93% 정도의 탐지율을 보였다.
학습용 데이터셋 6,000개의 API를 추출한 결과 악성 앱에서 자주 요청하는 API들이 있음을 확인하였다. 2,000개의 악성코드 중 200개 이상에서 출현하며 정상 보다 2배 이상 나오는 API들은 다음의 [표 3]와 같았다.
학습용 데이터셋 6,000개의 권한을 추출한 결과 악성 앱에서 자주 요청하는 권한들이 있음을 확인하였다. 2,000개의 악성 APK파일 중 200개 이상에서 등장하며 정상 앱보다 5배 이상 나오는 권한들은 다음의 [표 1]과 같았다.
제안한 모델은 여러 기계학습 모델을 조합하는 기존의 앙상블(ensemble) 기법에서 더 나아가 상호 교차 검증을 통한 오탐 및 미탐 최소화의 기계학습 모델이라고 볼 수 있다[7]. 해당 모델의 가장 큰 장점은 데이터베이스가 축적될수록 성능이 점차 향상하는 순환형 구조라는 것이다. 또한, 앙상블 기법과는 달리 탐지 성능 향상 을 위해 CNN(Convolutional Neural Network)등과 같은 새로운 기계학습 모델을 추가하더라도 과적합 문제를 피할 수 있다.

후속연구

한편, 제안한 악성 앱 탐지 모델은 오탐과 미탐을 별도로 분류하여 분석하는 교차 검증 과정 부분에 대한 심화 연구를 통해 향후 evasioning이나 poisoning 과 같은 기계학습 공격 모델 연구에 기여할 것으로 기대한다. 더 나아가, 악성 앱 탐지를 위한 특성 연구 부분에서 인증 서, 문자열, 인텐트 메시지 등에 대한 연구가 추가적으로 보완된다면, 안드로이드 앱 설계 단계에서부터 보안성을 강화하는 설계에 의한 보안(security by design) 연구에도 시사점을 줄 것으로 예상한다.
따라서, 기존의 학습 데이터베이스를 지속적으로 업데이트하면서 동시에 새로운 데이터셋에 대해서도 최적의 탐지율을 찾아주는 능동형 악성 앱 탐지 모델 개발 및 구현이 요구된다. 이와 관련하여, 모바일 백신 업체 또는 관련 연구기관 등과 같이 대용량의 모바일 악성코드 데이터베이스를 보 유한 기관들 간의 신속한 정보공유 및 협력은 모바일 보안에서의 기계학습 응용 가능성을 높일 것으로 기대된다.
그럼에도 불구하고, 악성 앱 탐지율 향상을 위한 모델을 제안함에 있어, CNN과 같은 새로운 알고리즘의 추가 적용 가능성을 고려했다는 점에 의의가 있다. 한편, 제안한 악성 앱 탐지 모델은 오탐과 미탐을 별도로 분류하여 분석하는 교차 검증 과정 부분에 대한 심화 연구를 통해 향후 evasioning이나 poisoning 과 같은 기계학습 공격 모델 연구에 기여할 것으로 기대한다. 더 나아가, 악성 앱 탐지를 위한 특성 연구 부분에서 인증 서, 문자열, 인텐트 메시지 등에 대한 연구가 추가적으로 보완된다면, 안드로이드 앱 설계 단계에서부터 보안성을 강화하는 설계에 의한 보안(security by design) 연구에도 시사점을 줄 것으로 예상한다.

질의응답

핵심어	질문	논문에서 추출한 답변
	모바일 애플리케이션 서비스가 원활하게 작동하기 위해서는 어떤 기능들이 정상적으로 작동해야 하나요?	모바일 애플리케이션(이하 앱) 서비스가 원활하게 작동하기 위해서는 해당 서비스를 구성하는 기능(GPS 정보 수신, 인터넷 연결, 메시지 송수신 등)들이 단말기 내에서 정상적으로 동작해야 한다. 권한(permission)으로 구분되는 안드로이드 운영체제는 특정한 서비스의 기능이 동작하기 위해서 그에 해당하는 권한이 필요하며, 동일한 서비스 군에 있는 앱들은 대체로 서로 비슷한 유형의 권한들을 보유한다.
	기계학습 모델 적용 이전에 Decision Tree를 활용하여 무엇을 구할 수 있나요?	즉, Decision Tree 분석은 정상을 정상으로 분류하는 True Positive(TP), 악성을 악성으로 분류하는 True Negative(TN)를 계산함으로써 실제로 관련있는 권한 및 API들 각각의 경로와 분류된 경로의 정확도를 확인 할 수 있다.
	실험에서 악성 앱 탐지율을 향상을 위해 적용해본 기계학습 모델로는 어떤 것들이 있나요?	최종적으로는 Perceptron, SVM(Support Vector Machine), MLP(Multi Layer Perceptron), RF(Random Forest) 등 여러 기계학습 모델을 적용시켜서 도출한 결과를 바탕으로, 기존 모바일 백신으로 탐지가 어려운 악성 앱 탐지율을 향상시키고, 오탐과 미탐을 줄일 수 있는 새로운 기계학습 모델을 제안하였다.

참고문헌 (7)

Chun-Hao Yung and Wen-Shenq Juang, "Static and Dynamic Integrated Analysis Scheme for Android Malware", Journal of Electronic Science an Technology, Vol.15, No.3, pp.246-250. 2017.
Jae-wook Jang, Jaesung Yun, Aziz Mohaisen, Jiyoung Woo, and Huy Kang Kim, "Detecting and classifying method based on similarity matching of Android malware behavior with profile," SpringerPlus, 5:273, December 2016.

상세보기
Jae-wook Jang, Jaesung Yun, Jiyoung Woo, and Huy Kang Kim, "Andro-profiler: anti-malware system based on behavior profiling of mobile malware," Proceedings of the 23rd International Conference on World Wide Web, pp. 737-738, April 2014.
김동욱 외, "안드로이드 플랫폼에서 악성 행위 분석을 통한 특징 추출과 머신러닝 기반 악성 어플리케이션 분류", 한국인터넷정보학회, 제19권 제1호, pp.27-35, 2018.
Pengbin Feng. et al, "A Novel Dynamic Android Malware Detection System with Ensemble Learning", IEEE Access, Vol.6, pp.30996-31011, 2018.

상세보기
Sebastian Raschka and Vahid Mirjalili, Python Machine Learning: Machine Learning and Deep Learning with Python, scikit-learn, and TensorFlow, 2nd Edition, Packt Publishing, September 2017.
A.M. Aswini, P.Vinod, "Android Malware Analysis Using Ensemble Features", Security, Privacy, and Applied Cryptography Engineering: 4th International Conference, SPACE 2014, Pune, India, October 18-22, 2014.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증