[논문]그래프 데이터베이스 기반 악성코드 행위 탐지 기법

최도현; 박중오

doi:10.22156/cs4smb.2021.11.04.055

그래프 데이터베이스 기반 악성코드 행위 탐지 기법
Graph Database based Malware Behavior Detection Techniques 원문보기

융합정보논문지 = Journal of Convergence for Information Technology, v.11 no.4, 2021년, pp.55 - 63

초록
AI-Helper

최근 악성코드 발생률은 약 수만 건이 넘는 추세로, 전부 탐지/대응하는 것은 불가능에 가깝다고 알려졌다. 본 연구는 새로운 악성코드 대응방법으로 그래프 데이터베이스 기반 다중행위 패턴 탐지 기법을 제안한다. 기존 동적 분석기법과는 다른 새로운 그래프 모델을 설계하고, 대표적인 악성코드 패턴(프로세스, PE, 레지스트리 등)의 그래프 연관관계를 분석하는 방법을 적용했다. 패턴 검증 결과 기본 악성 패턴에 대한 행위 탐지와 기존 분석이 어려웠던 변종 공격행위(5단계 이상)의 탐지를 확인했다. 또한, 성능 분석결과 5단계 이상의 복잡한 패턴에 대하여 관계형 데이터베이스 대비 약 9.84배 이상 성능이 향상되었음을 확인하였다.

Abstract ▼ AI-Helper

Recently, the incidence rate of malicious codes is over tens of thousands of cases, and it is known that it is almost impossible to detect/respond all of them. This study proposes a method for detecting multiple behavior patterns based on a graph database as a new method for dealing with malicious codes. Traditional dynamic analysis techniques and has applied a method to design and analyze graphs of representative associations malware pattern(process, PE, registry, etc.), another new graph model. As a result of the pattern verification, it was confirmed that the behavior of the basic malicious pattern was detected and the variant attack behavior(at least 5 steps), which was difficult to analyze in the past. In addition, as a result of the performance analysis, it was confirmed that the performance was improved by about 9.84 times or more compared to the relational database for complex patterns of 5 or more steps.

주제어

표/그림 (20)

그림 Fig. 1. Performance Management System, Bitnine Use case
그림 Fig. 2. Frad Detection – Regular vs. Advanced Analytics with Graph
그림 Fig. 3. Virtual Machine Cluster Configuration – Behavior-Based Analysis Example
그림 Fig. 4. Machine Learning Grouping Classification - Behavior Analysis Example
그림 Fig. 5. Malware behavior Graph Modeling Example
그림 Fig. 6. Malware Behavior Property Modeling Example
그림 Fig. 7. Malicious Code Behavior Modeling – Basic Detection Example
표 Table 1. Malicious Code Behavior Analysis Item Example
그림 Fig. 8. Malicious Code Behavior Modeling – File Manipulation Example
그림 Fig. 9. Malicious Code Behavior Modeling – Registry Example
그림 Fig. 10. Malicious Code Behavior Modeling – Injection Example
그림 Fig. 11. Malicious Code Default Pattern Detection Result Example
그림 Fig. 12. Malware Basic Pattern Detection Performance Analysis
그림 Fig. 13. Malware Multiple File Manipulation Detection Results Example
표 Table 2. Test Environment Details
그림 Fig. 14. Malware Multiple File Manipulation Detection Performance Analysis
그림 Fig. 15. Malicious Code Registry Manipulation Detection Result Example
그림 Fig. 16. Malware Registry Manipulation Detection Performance Analysis
그림 Fig. 17. Malware Process Injection Detection Results Example
그림 Fig. 18. Malware Process Injection Detection Performance Analysis

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 연구는 그래프 데이터베이스 기반 악성코드 행위탐지 기법을 제안한다. 기존 악성코드 분석 엔진(정적/ 동적)과는 다른 그래프 이론을 기반으로 유사 변종, 공격 루트 추적, 공격 우회 등 연관 관계를 분석하는 기법이다.
기존 RDB 모델의 전수조사 분석은 매우 비효율적으로 실시간 악성코드 분석에는 적절하지 않음을 본 연구에서 증명하였다. 향후, 본 연구는 기본 패턴에서 복잡한 다중행위 패턴으로 분석을 확대하여 새로운 규칙(Rule)을 실시간으로 학습하고, 유사도를 비교 분석하는 기계학습/머신러닝 엔진 개발이 목적이다. 장기적으로는 악성코드 분석 구조(Framework)로써 악성코드 지식 그래프(Knowledge Graph)로 발전시킬 계획이다.

제안 방법

구축하였다. 1차 데이터 가공 작업으로 하둡 빅데이터에 저장된 원본 파케이(Parquet) 파일 3.4Gb 를 필터링하고 변환하여, 전용 CSV 파일로 추출했다.
파일과 레지스트리의 경우 조작 행위(라이브러리 및 API 포함)를 탐지하고, 네트워크는 특정 주소, 소켓에 연결 및 데이터 송수신행위를 탐지한다. 객체(Node)와 관계(Edge)에 표현된 텍스트는 레이블 이름을 의미하고, 특정 PC에서 수행된 프로세스의 행위(Edge)를 모델링한다. Fig 6와 같이 해당 데이터를 통해 악성 행위의 구체적인 정보를 파악하고, 악성 여부를 판별하기 위해 행위 레이블의 상세데이터를 속성값(각 고유 식별 정보)으로 정의한다.
기존 보안 분야 악성코드 분석의 한계와 그래프DB 분야에서 선행 연구 및 사례를 분석하고, 제안 기법에 적용하는 악성코드 행위 탐지 분석을 위한 공격 패턴을 분석한다.
이외 네트워크를 통해 대상 파일을 내려받는 행위를 탐지한다. 두 번째, PE 파일 실행 행위를 수행하고, 대상 파일에 대한 속성값을 변조하는 행위를 탐지한다. 세 번째, PE 파일을 자동실행 등록, 대상 파일의 레지스트리 키값을 변조하는 특정 파일에 자동실행을 탐지한다.
연구/사례를 살펴본 결과 그래프DB는 NoSQL 타입 데이터베이스로써 악성코드 분석을 위한 세부 분야로는 부정을 탐지하는 이상징후 분석이 비교적 유사한 것으로 보인다. 본 연구는 악성코드 데이터에서 의미 있는 패턴을 탐색/분석하는 방법으로 활용하였다.
두 번째, 대상 파일 복사 및 변조 등 알려진 호스트 파일 목록을 모니터링하여 백신 프로그램을 무력화와 우회 여부를 검사할 수 있다. 세 번째, 대상 파일 와 삭제 등 악성코드 감염 이후 자체 악성코드 흔적을 삭제하는 행위까지 검사한다. 네 번째, 대상 파일을 복사한 뒤, 파일 내용을 변조하고, 해당 파일들을 삭제하는 행위 등이 있다.
악성코드의 이상 행위를 분석하기 위해 프로세스 (Process), 파일(File), 레지스트리(Registry), 네트워크 (Network)를 중심으로 그래프 데이터베이스 모델링을 수행했다. Table 1과 같이 악성코드의 행위는 주로 생성, 종료, 실행, 변조, 삭제 등 특정 네트워크에 연결하여 데이터를 송수신하는 행위 등으로 정의된다.
탐지한다. 은행을 통한 결제에서 사용자의 핸드폰 전화 인증 연결 패턴에 이상징후를 탐지/분석한다. 이외 현석우의 연구에 의하면 우선순위별 그래프 연계분석이 조직의 중요 자산을 대상으로 정확한 문제점을 파악하는데 최적화하였고, 정우철에 연구에 의하면 기계학습을 기반으로 기존 관계형 데이터베이스보다 빠른 성능과 예측하기 힘든 이상징후 패턴을 추출할 수 있음을 증명했다[17, 18].
제안하는 연구는 기존 전통적인 RDB 모델과는 다른 방식의 그래프 맵을 구현하여, 악성 행위 탐지 및 검증을 수행한다. 새로 설계된 그래프 모델은 악성 코드의 다중행위를 직관적으로 표현하고, 행위를 각 단계를 빠르게 추적(Trace)할 수 있고, 악성 행위 연관 분석에 최적화되었다.
악성코드 패턴을 분석한다. 주요 특징에는 PE header, Strings, DLL/API, CPU/Memory, IP주소 및 포트 번호 등의 추출된 대량의 레코드(Record)로 구성된 프로세스 테이블(Table)을 전수 조사한다. 이후 악성 행위 테이블과 조인(Join) 연산을 통해 위협 탐지를 반복하는 구조이다.
9는 인젝션 당한 프로세스의 의심 행위를 탐지하는 세부 과정을 나타낸다. 특정 PE 파일을 생성한 뒤, 해당 파일을 자동실행 되도록 레지스트리 키 값 변조와 키 생성 행위 등을 검사한다.

대상 데이터

본 성능평가에서 구축된 실행 환경은 Table 2와 같이 리눅스 기반의 Amazon S3를 사용하고, Graph DBMS를 구축하였다. 1차 데이터 가공 작업으로 하둡 빅데이터에 저장된 원본 파케이(Parquet) 파일 3.

데이터처리

제안한 그래프 모델을 기반으로 악성코드를 검증하고, 백신 소프트웨어를 공급하는 A사 등에서 활용 중인 관계형 데이터베이스(RDB)의 행위 탐지 모델과 성능을 비교·분석한다. Fig 11은 악성코드 기본 패턴을 탐지한 결과이다.

성능/효과

0213초에 탐지하였다. 13% 성능을 개선, 1.13배 성능이 향상되었다. 각 항목의 성능분석 결과, 제안하는 그래프DB 기반 행위 탐지 기법이 기존 RDB에 비교하여 다중행위 연관 분석에 최적화되어 있다는 사실을 알 수 있다.
0208초에 탐지하였다. 15% 성능을 개선, 1.15배 성능이 향상되었다.
13배 성능이 향상되었다. 각 항목의 성능분석 결과, 제안하는 그래프DB 기반 행위 탐지 기법이 기존 RDB에 비교하여 다중행위 연관 분석에 최적화되어 있다는 사실을 알 수 있다. RDB 모델은 행위의 단계가 복잡해질수록, 탐지시간의 격차가 기하급수적으로 증가함을 알 수 있다.
새로 설계된 그래프 모델은 악성 코드의 다중행위를 직관적으로 표현하고, 행위를 각 단계를 빠르게 추적(Trace)할 수 있고, 악성 행위 연관 분석에 최적화되었다. 기존 RDB 모델의 전수조사 분석은 매우 비효율적으로 실시간 악성코드 분석에는 적절하지 않음을 본 연구에서 증명하였다. 향후, 본 연구는 기본 패턴에서 복잡한 다중행위 패턴으로 분석을 확대하여 새로운 규칙(Rule)을 실시간으로 학습하고, 유사도를 비교 분석하는 기계학습/머신러닝 엔진 개발이 목적이다.
두 번째, 대상 파일 복사 및 변조 등 알려진 호스트 파일 목록을 모니터링하여 백신 프로그램을 무력화와 우회 여부를 검사할 수 있다. 세 번째, 대상 파일 와 삭제 등 악성코드 감염 이후 자체 악성코드 흔적을 삭제하는 행위까지 검사한다.
두 번째, PE 파일 실행 행위를 수행하고, 대상 파일에 대한 속성값을 변조하는 행위를 탐지한다. 세 번째, PE 파일을 자동실행 등록, 대상 파일의 레지스트리 키값을 변조하는 특정 파일에 자동실행을 탐지한다. 이외 대상 파일을 자가삭제하는지 확인할 수 있다.
이외 대표적인 사례로 파나마 페이퍼(Panama Paper)로 알려진 조세 피난처 탐사 및 폭로 보도 사례가 있다[19]. 연구/사례를 살펴본 결과 그래프DB는 NoSQL 타입 데이터베이스로써 악성코드 분석을 위한 세부 분야로는 부정을 탐지하는 이상징후 분석이 비교적 유사한 것으로 보인다. 본 연구는 악성코드 데이터에서 의미 있는 패턴을 탐색/분석하는 방법으로 활용하였다.
14는 다중파일 탐지 성능분석 결과를 나타낸다. 제안 모델은 RDB 모델 대비, 216%로, 2.16배 성능이 향상되었다.
12는 기본 패턴 탐지 성능 분석결과를 나타낸다. 제안 모델은 RDB 모델 대비, 5단계 884%, 6단계 8014% 로 5단계 9.84배, 6단계 81.14배 성능이 향상되었다.
10은 대상 프로세스가 시스템 프로세스에 인젝션을 시도하는 패턴의 세부 과정을 나타낸다. 첫 번째, 대상 프로세스에 스레드(Thread)를 생성과 콜백 함수 호출 등 윈도우 훅을 추가(Windows Hook)하는 행위를 수행하여 인젝션 대기 상태를 점검할 수 있다. 앞서 3가지 모델은 주요 실행 프로세스와 다중파일로부터 연결된 네트워크 정보와 접속 주소, IP주소, 포트 번호등을 모니터링 한다.
첫 번째, 파일 이름 변경 후 암호화 등 감염 후 암호화되는 파일 확장자를 통해 랜섬웨어 종류를 파악할 수 있다. 두 번째, 대상 파일 복사 및 변조 등 알려진 호스트 파일 목록을 모니터링하여 백신 프로그램을 무력화와 우회 여부를 검사할 수 있다.

참고문헌 (23)

ESTsecurity. (n. d.). ESTsecurity. Eastsecurity Security Trend Report No.136. 2021-01 - Malicious Code Statistics and Analysis(Online). https://www.estsecurity.com/
KISA. (n. d.). Korea Internet & Security Agency. Malicious Code Hidden Site Detection Trend Report [First Half of 20](Online). https://www.boho.or.kr/
K. W. Kook & B. C. Gong. (n. d.). ITFIND. Trends in Security Technology Development Using Artificial Intelligence - Planning Series (Next Generation Security)(Online). https://www.itfind.or.kr/
S. J. Kim, J. H. Ha, S. H. Oh & T. J. Lee. (2019). A Study on Malware Identification System Using Static Analysis Based Machine Learning Technique. Journal of The Korea Institute of Information Security and Cryptology. 29(4), 775-784. DOI : 10.13089/JKIISC.2019.29.4.775

원문보기 상세보기
ESTsecurity. (n. d.). ESTsecurity. ESTsecurity Security Trend Report No.137. 2021-02 - Malicious Code Statistics and Analysis(Online). https://www.estsecurity.com/
IDG - CIO Korea. (n. d.). Gartner, Announcement of Top 10 Data and Analysis Technology Trends in 2019 - Trend 5 : Grape(Online). https://www.ciokorea.com/
J. S. Seo & H. J. Lee. (n. d.). Bitnine.. Graph Database Technology Trends and Application Cases(Online). https://www.itfind.or.kr/
AMAZON. (n. d.). Amazon Web Services. What Is a Graph Database? - The graph database defined(Online). https://aws.amazon.com/
W. C. Park. (2020). Is-A Node Type Modeling Methodology to Improve Pattern Query Performance in Graph Database. Journal of The Korea Society of Computer and Information, 25(4), 123-131. DOI : 10.9708/jksci.2020.25.04.123

원문보기 상세보기
Bitnine. (n. d.). AgensGraph Use Case #8. Collaboration/Performance Management System(Online). https://bitnine.net/
S. C. Sin. (2017). Static Code Analysis based on Graph Database. Communications of the Korean Institute of Information Scientists and Engineers, 35(2), 9-13. UCI(KEPA) : I410-ECN-0101-2017-569-002204936
W. C. Jeong, M. S. Jun & D. H. Choi. (2020). AMI Network Failure Analysis based on Graph Database. Journal of Convergence for Information Technology, 10(7), 41-48. DOI : 10.22156/CS4SMB.2020.10.07.041

원문보기 상세보기
D. H. Han & M. S. Kim. (2020). A Matrix Computation Engine and Applications based on Distributed GPUs for Large-scale Machine Learning. Journal of Computing Science and Engineering, 38(8), 8-17.
T. R. Kim & J. J. Lee. (2020). A Study on the Structure of Muga by Ontology Method - Focusing on -. Korean Folklore Society, 72, 333-369. DOI : 10.21318/TKF.2020.11.72.333

상세보기
J. Y. Kim & K. H. Ro. (2019). Construction of Knowledge Base Based on Graph Database for College Student Career Advice Using Public Data. Journal of the Institute of Electronics and Information Engineers of Korea. 56(10), 41-48. DOI : 10.5573/ieie.2019.56.10.41

상세보기
RTInsights. (n. d.). Todd Blaschka and Gaurav Deshpande, How the World's Largest Banks Use Advanced Graph Analytics to Fight Fraud(Online). https://www.rtinsights.com
S. W. Hyun & T. K. Kwon. (2019). A Study of Effectiveness of the Improved Security Operation Model Based on Vulnerability Database. Journal of the Korea Institute of Information Security & Cryptology, 29(5), 1167-1177. DOI : 10.13089/JKIISC.2019.29.5.1167

원문보기 상세보기
W. C. Jeong, M. S. Jun & D. H. Choi. (2020). Association Analysis for Detecting Abnormal in Graph Database Environment. Journal of Convergence for Information Technology, 10(8), 15-22. DOI : 10.22156/CS4SMB.2020.10.08.015

원문보기 상세보기
William Lyon. (n. d.). Graph Visualization of Panama Papers Data In Neo4j - Revisiting ICIJ's Offshore Leaks In The Face Of The Latest Deutsche Bank Scandal (Online). https://medium.com/
INCA Internet Security Analysis & Response Center. (n. d.). October 2020 Malware Statistics(Online). https://www.estsecurity.com/
T. H. Park, H. W. Lee & W. Shin. (2020). Propagation Modeling of WannaCryptor Wormable Malware. Journal of The Korea Institute of Information Security and Cryptology, 30(3), 389-396. DOI : doi.org/10.13089/JKIISC.2020.30.3.389

원문보기 상세보기
dyaniworld. (n. d.). Information Technology/Spear Phishing - A Study on Behavior-Based Discrimination for Spear Phishing(Online). https://dyaniworld.tistory.com/
S. J. Kim, J. H. Ha, S. H. Oh, T. J. Lee. (2019). A Study on Malware Identification System Using Static Analysis Based Machine Learning Technique. Journal of the Korea Institute of Information Security & Cryptology, 29(4), 775-784. DOI :10.13089/JKIISC.2019.29.4.775

원문보기 상세보기

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증