$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

행위 유사도 기반 변종 악성코드 탐지 방법
A Malware Variants Detection Method based on Behavior Similarity 원문보기

스마트미디어저널 = Smart media journal, v.8 no.4, 2019년, pp.25 - 32  

조우진 (충남대학교 컴퓨터공학과 대학원) ,  김형식 (충남대학교 컴퓨터공학과)

초록
AI-Helper 아이콘AI-Helper

인터넷의 발달로 많은 정보에 쉽게 접근할 수 있게 되었지만, 이에 따라 악의적인 목적을 가진 프로그램의 침입 경로가 다양해졌다. 그리고 전통적인 시그니처 기반 백신은 변종 및 신종 악성코드의 침입을 탐지하기 어렵기 때문에 많은 사용자들이 피해를 입고 있다. 시그니처로 탐지할 수 없는 악성코드는 분석가가 직접 실행시켜 행위를 분석해 볼 수 있지만, 변종의 경우 대부분의 행위가 유사하여 비효율적이라는 문제점이 있다. 본 논문에서는 변종이 대부분의 행위가 유사하다는 것에 착안하여 기존 악성코드와의 행위 유사성을 이용한 탐지 방법을 제안한다. 제안 방법은 변종들이 공통적으로 가지는 행위 대상과 유사한 행위 대상을 갖는 프로그램을 탐지하는 것이다. 1,000개의 악성코드를 이용해 실험한 결과 변종의 경우 높은 유사도를 보이고, 아닐 경우 낮은 유사도를 보여 행위 유사도로 변종을 탐지할 수 있음을 보였다.

Abstract AI-Helper 아이콘AI-Helper

While the development of the Internet has made information more accessible, this also has provided a variety of intrusion paths for malicious programs. Traditional Signature-based malware-detectors cannot identify new malware. Although Dynamic Analysis may analyze new malware that the Signature cann...

주제어

#변종 악성코드   #동적 분석   #행위 유사도  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 우리는 변종끼리는 높은 유사도를 가지고, 변종이 아닐 경우 낮은 유사도를 가지기 때문에 이를 구분 짓는 임계값을 결정할 수 있다면 변종을 탐지할 수 있다고 가정했다. 따라서 실험의 목표는 집합 C를 이용해 유사도를 측정할 때, 특정 임계값을 기준으로 변종인 경우와 그렇지 않은 경우를 구분할 수 있음을 보이는 것이다. 이를 검증하기 위해 하나의 집합 C에 대해 500개의 집합 T와의 유사도를 계산하여 내림차순으로 정렬한다.
  • 본 논문에서는 변종이 대부분의 행위가 유사하다는 것에 착안하여 기존 악성코드와의 행위 유사성을 이용한 탐지 방법을 제안한다. 제안 방법은 변종들이 공통적으로 가지는 행위 대상과 유사한 행위 대상을 갖는 프로그램을 탐지하는 것이다.
  • 그렇지만 임계값을 너무 높게 잡으면 미탐이 생길 수 있으며, 낮게 잡으면 오탐이 생길 수 있기 때문에 적절한 임계값을 설정하는 것이 중요하다. 본 논문에서는 실험을 통해 적절한 임계값을 어떻게 설정하는 지 보인다.
  • 행위 유사도를 측정할 때 모든 행위를 비교하는 것은 많은 비용이 들기 때문에 식별성 있는 행위만 비교해야 한다. 본 논문에서는 표 2와 같이 8개의 행위 유형이 식별성이 있다고 판단하여 행위 유형별로 추출할 행위 대상을 정리했다. 우리는 쿠쿠 샌드박스와 Sysmon을 이용하여 행위 대상을 수집하였지만, Process Monitor 또한 아래 행위들을 모니터링 할 수 있기 때문에 Sysmon 대신 Process Monitor를 이용해도 된다.
  • 본 논문에서는 프로그램 간에 행위 유사도를 측정하여 변종을 탐지하는 방법을 제안한다. 서로 다른 두 프로그램의 행위는 상이하기 때문에 유사도가 낮지만, 변종의 경우 대부분의 행위가 유사하기 때문에 높은 유사도를 가지게 된다.
  • 본 논문에서는 행위 유사도를 측정하여 변종을 탐지하는 방법을 제안했다. 행위 일치 여부를 판단하기 위해 행위 대상만을 비교했으며, 정확도를 높이기 위해 변종들이 공통적으로 가지는 행위 대상을 이용했다.
  • 본 논문에서는 행위에 관한 여러 데이터 중 행위 대상만을 비교해 행위 일치 여부를 판단한다. 행위 대상의 경우 프로그램의 실행 환경에 영향을 받지 않기 때문에 일치 여부를 판단하기 적합하다.

가설 설정

  • Zhang 외 3인은 패킹 기법을 적용한 변종 악성코드를 탐지하기 위해 악성코드가 주로 사용하는 API를 활용하는 방법을 제안했다[11]. 그들은 정상과 악성코드들이 호출하는 API에는 큰 격차가 존재하며, 특정 API들은 악성코드들이 자주 사용한다고 가정했다. 그리고 Principal component analysis를 적용하여 주요 API들의 특징값을 추출하고, 딥러닝을 적용하였다.
  • 우리는 변종끼리는 높은 유사도를 가지고, 변종이 아닐 경우 낮은 유사도를 가지기 때문에 이를 구분 짓는 임계값을 결정할 수 있다면 변종을 탐지할 수 있다고 가정했다. 따라서 실험의 목표는 집합 C를 이용해 유사도를 측정할 때, 특정 임계값을 기준으로 변종인 경우와 그렇지 않은 경우를 구분할 수 있음을 보이는 것이다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
동적 분석의 정의는 무엇인가? 동적 분석은 악성코드를 실제로 실행하여 수집한 데이터를 분석하는 방법이다. 동적 분석은 악성코드가 수행하는 행위나 시스템에 생기는 변화를 관찰하여 악성코드의 실제 기능을 분석할 수 있지만, 많은 양의 데이터가 수집되어 이를 활용하기 어렵다는 문제점이 있다.
동적 분석시 수집하는 데이터는 무엇인가? 동적 분석을 위해서는 프로그램의 어떤 행위를 모니터링 할지와 어떤 데이터를 수집할지 정의해야 한다. 프로세스가 행위를 수행할 때 수집할 수 있는 데이터는 행위 발생 시간, 행위를수행한 프로세스의 이름, 부모 프로세스 이름 등 다양하다. 이번절에서는 기존의 동적 분석 기반 연구들이 모니터링한 행위와 수집한 데이터를 알아본다.
동적 분석의 문제점은 무엇인가? 동적 분석은 악성코드를 실제로 실행하여 수집한 데이터를 분석하는 방법이다. 동적 분석은 악성코드가 수행하는 행위나 시스템에 생기는 변화를 관찰하여 악성코드의 실제 기능을 분석할 수 있지만, 많은 양의 데이터가 수집되어 이를 활용하기 어렵다는 문제점이 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (16)

  1. 2018년 랜섬웨어 피해, 1조 500억원 규모 이를 듯(2018), https://www.rancert.com/bbs/bbs.php?modeview&id539&bbs_idnews&page1&parttitle&keyword%ED%94%BC%ED%95%B4 (accessed Sept., 02, 2019). 

  2. Michael Sikorski and Andrew Honig, 실전 악성코드와 멀웨어 분석, 에이콘출판, p. 48, 2013 

  3. 샌드박스, https://ko.wikipedia.org/wiki/샌드박스_(소프트웨어_개발) (accessed Sept., 02, 2019). 

  4. Cuckoo sandbox, https://cuckoosandbox.org, (accessed Sept., 02, 2019). 

  5. 최우석, CUCKOO SANDBOX, 에이콘출판, p. 225, 2018 

  6. Process Monitor(2019), https://docs.microsoft.com/en-us/sysinternals/downloads/procmon (accessed Sept., 02, 2019). 

  7. Sysmon, https://docs.microsoft.com/en-us/sysinter nals/downloads/procmon, (accessed Sept., 02, 2019). 

  8. Mark E. Russinovich, 시스인터널스 도구로 윈도우 문제 해결하기, 에이콘출판, p. 493, 2019 

  9. 박성빈, "자동화된 도구에 의해 생성된 변종 악성코드의 공통 속성을 이용한 탐지 방법," 한국정보기술학회논문지, 제10권, 제9호, 67-75쪽, 2012년 9월 

    상세보기

  10. 문대성, "APT 공격 탐지를 위한 호스트 기반 특징 표현 방법," 정보보호학회논문지, 제24권 제5호, 839-850쪽, 2014년 10월 

    원문보기 상세보기 crossref

  11. Zhang, "Sensitive system calls based packed malware variants detection using principal component initialized MultiLayers neural networks," Cybersecurity, vol. 1, no. 10, Dec. 2018. 

  12. Jaccard index, https://en.wikipedia.org/wiki/Jaccard_index (accessed Sept., 02, 2019). 

  13. ssdeep, https://ssdeep-project.github.io/ssdeep/index.html (accessed Sept., 02, 2019). 

  14. Tracking Malware with Import Hashing, https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html, (accessed Sept., 02, 2019). 

  15. 김수정, "정적 분석 기반 기계학습 기법을 활용한 악성코드 식별 시스템 연구," 정보보호학회논문지, 제29권, 제4호, 775-784쪽, 2019년 8월 

    원문보기 상세보기 crossref

  16. Zhang, "A feature-hybrid malware variants detection using CNN based opcode embedding and BPNN based API embedding," Computers & Security Journal, vol. 84, pp. 376-392, 2019. 

    상세보기 crossref

저자의 다른 논문 :

관련 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로