[논문]윈도우 PE 포맷 바이너리 데이터를 활용한 Bidirectional LSTM 기반 경량 악성코드 탐지모델

박광연; 이수진

doi:10.7472/jksii.2022.23.1.87

윈도우 PE 포맷 바이너리 데이터를 활용한 Bidirectional LSTM 기반 경량 악성코드 탐지모델
Bidirectional LSTM based light-weighted malware detection model using Windows PE format binary data 원문보기

Journal of Internet Computing and Services = 인터넷정보학회논문지, v.23 no.1, 2022년, pp.87 - 93

박광연 (Cyber Warfare(Integrated course), Korea National Defense Univ.) , 이수진 (Dept. of National Defense Science, Korea National Defnese Univ.)

초록
AI-Helper

군(軍) PC의 99%는 윈도우 운영체제를 사용하고 있어 안전한 국방사이버공간을 유지하기 위해서는 윈도우 기반 악성코드의 탐지 및 대응이 상당히 중요하다. 본 연구에서는 윈도우 PE(Portable Executable) 포맷의 악성코드를 탐지할 수 있는 모델을 제안한다. 탐지모델을 구축함에 있어서는 탐지의 정확도보다는 급증하는 악성코드에 효율적으로 대처하기 위한 탐지모델의 신속한 업데이트에 중점을 두었다. 이에 학습 속도를 향상시키기 위해 복잡한 전처리 과정 없이 최소한의 시퀀스 데이터만으로도 악성코드 탐지가 가능한 Bidirectional LSTM(Long Short Term Memory) 네트워크를 기반으로 탐지모델을 설계하였다. 실험은 EMBER2018 데이터셋을 활용하여 진행하였으며, 3가지의 시퀀스 데이터(Byte-Entropy Histogram, Byte Histogram, String Distribution)로 구성된 특성 집합을 모델에 학습시킨 결과 90.79%의 Accuracy를 달성하였다. 한편, 학습 소요시간은 기존 탐지모델 대비 1/4로 단축되어 급증하는 신종 악성코드에 대응하기 위한 탐지모델의 신속한 업데이트가 가능함을 확인하였다.

Abstract ▼ AI-Helper

Since 99% of PCs operating in the defense domain use the Windows operating system, detection and response of Window-based malware is very important to keep the defense cyberspace safe. This paper proposes a model capable of detecting malware in a Windows PE (Portable Executable) format. The detection model was designed with an emphasis on rapid update of the training model to efficiently cope with rapidly increasing malware rather than the detection accuracy. Therefore, in order to improve the training speed, the detection model was designed based on a Bidirectional LSTM (Long Short Term Memory) network that can detect malware with minimal sequence data without complicated pre-processing. The experiment was conducted using the EMBER2018 dataset, As a result of training the model with feature sets consisting of three type of sequence data(Byte-Entropy Histogram, Byte Histogram, and String Distribution), accuracy of 90.79% was achieved. Meanwhile, it was confirmed that the training time was shortened to 1/4 compared to the existing detection model, enabling rapid update of the detection model to respond to new types of malware on the surge.

주제어

표/그림 (8)

그림 (그림 1) 윈도우 PE 포맷 구조 (Figure 1) Structure of Windows PE Format
그림 (그림 2) LSTM Cell 구조[7] (Figure 2) Structure of LSTM Cell[7]
그림 (그림 3) Bidirectional LSTM 네트워크 (Figure 3) Bidirectional LSTM Network
그림 (그림 4) Bidirectional LSTM 기반 악성코드 탐지모델 (Figure 4) Bidirectional LSTM based Malware Detection Model
표 (표 1) EMBER2018 데이터셋의 특성 집합 (Table 1) Feature Sets of EMBER2018 Dataset
그림 (그림 5) LSTM 네트워크 입력 자료 구조 (Figure 5) Structure of Input Data for LSTM Network
표 (표 2) 특성 집합별 탐지모델 성능 비교 (Table 2) Comparison of Detection Model Performance by Feature Set
표 (표 3) 기존 연구와의 성능 비교 (Table 3) Comparison of Performance with Existing Studies

AI 본문요약
AI-Helper

문제 정의

본 연구에서는 윈도우 PE 포맷 형식의 악성코드를 검출하기 위해 시퀀스 데이터를 활용하여 Bidirectional LSTM 기반 탐지모델을 제안하였다. 해당 모델의 학습에는 EMBER2018 데이터셋을 사용하였으며, 기존 연구들은 기계학습, CNN, Feed Forward Network 등을 사용하여 이진 분류를 시도했던 것과는 달리 시퀀스 데이터를 Bidirectional LSTM 네트워크에 학습시켜 악성코드와 정상파 일을 분류하였다.
이 조사결과는 국방 사이버공간을 안전하게 보호하기 위해서는 윈도우 운영체제에 대한 사이버공격 대비책을 구비하는 것이 무엇보다도 중요함을 의미한다. 이에 본 연구에서는 윈도우 실행 프로그램의 표준인 PE 포맷의 악성코드를 효율적으로 탐지할 수 있는 방안을 제시하고자 한다.
이에 본 연구에서는, 신속한 탐지모델을 개발하기 위해 간단한 전처리와 최소한의 특성을 사용하여 학습하는 방안을 최우선으로 고려하였다. 먼저, 윈도우 PE 포맷의 실행 파일로 부터 추가적인 구문 분석 없이 원시 특성을 추출한다.

제안 방법

Anderson 등이 공개 프로젝트인 "youarespecial"를 통해 제안했던 PEFeatureExtractor를 활용하여 시계열 데이터로 구성된 3 가지의 특성 집합(Byte-Entropy Histogram, Byte Histogram, String Distribution)을 추출하였다[4]
그러나 RNN 모델의 경우 시계열 데이터의 시퀀스(sequence) 길이가 길어지면 기울 기소실(gradient vanishing)이 발생하는 한계로 인해 제한적인 학습 데이터만 선택이 가능하다. 따라서 이러한 문제를 보완한 LSTM을 적용하여 시퀀스 길이가 긴 데이터도 활용할 수 있도록 탐지모델을 설계하였다.
본 연구에서는 위의 특성 집합들 중 LSTM으로 분석이용이 한 시퀀스 형태를 가지는 특성 집합만을 선택하여 학습에 활용한다. 이에, 학습에 활용한 Byte-Entropy Histogram, Byte Histogram과 Strings 특성 집합에 포함된 String Distribution 특성 집합에 대해 설명한다.
이후 추출된 특성 집합들을 LSTM 네트워크에 입력할 수 있도록 3차원 배열로 데이터를 가공하고 사전에 학습된 Bidirectional LSTM 모델을 통해 악성코드 여부를 평가한다. 이러한 과정을 순서대로 표현한 모델 작동 개념은 (그림 4)와 같다.
본 연구에서는 윈도우 PE 포맷 형식의 악성코드를 검출하기 위해 시퀀스 데이터를 활용하여 Bidirectional LSTM 기반 탐지모델을 제안하였다. 해당 모델의 학습에는 EMBER2018 데이터셋을 사용하였으며, 기존 연구들은 기계학습, CNN, Feed Forward Network 등을 사용하여 이진 분류를 시도했던 것과는 달리 시퀀스 데이터를 Bidirectional LSTM 네트워크에 학습시켜 악성코드와 정상파 일을 분류하였다.

대상 데이터

모델 학습을 위해서는 학습용 데이터셋 800, 000개 중미 분류 데이터 200, 000개를 제외한 600, 000개를 사용하였으며, 검증용(validation) 데이터셋은 학습용 데이터셋의 10%(60, 000개)를 추출하여 구성하였다. 학습 시 Batch 크기는 256으로, 학습률은 0.
본 연구에서는 Keras 라이브러리를 활용하여 한 개의레이어당 200개의 셀을 지닌 Bidirectional LSTM 레이어 2 개를 연결하여 탐지모델을 구성하였다. 한 개의 셀은 256 개의 시퀀스로 이루어진 특성 집합 3개를 입력받는다.
본 연구에서는 윈도우 PE 포맷 악성코드 분석을 위해 EMBER2018 데이터셋을 사용한다. 해당 데이터셋은 100 만개의 윈도우 PE 포맷 파일 데이터를 포함하고 있으며, 이는 다시 800, 000개의 학습용 데이터셋과 200, 000개의 평가용(test) 데이터셋으로 구분된다.
해당 데이터셋은 100 만개의 윈도우 PE 포맷 파일 데이터를 포함하고 있으며, 이는 다시 800, 000개의 학습용 데이터셋과 200, 000개의 평가용(test) 데이터셋으로 구분된다. 본 연구에서는 정상파일(Benign) 또는 악성코드(Malware)로 구분되지 못한 미분류(Unlabeled) 데이터 200, 000개를 제외한 600, 000개의 학습용 데이터셋을 이용하였다[13].
0005로 설정하였다. 실험에 사용된 시스템은 Nvidia GTX 1660(메모리 6GB)가 장착된 환경에서 구성하였고, 학습시간은 5시간 30분이 소요되었다.
본 연구에서는 윈도우 PE 포맷 악성코드 분석을 위해 EMBER2018 데이터셋을 사용한다. 해당 데이터셋은 100 만개의 윈도우 PE 포맷 파일 데이터를 포함하고 있으며, 이는 다시 800, 000개의 학습용 데이터셋과 200, 000개의 평가용(test) 데이터셋으로 구분된다. 본 연구에서는 정상파일(Benign) 또는 악성코드(Malware)로 구분되지 못한 미분류(Unlabeled) 데이터 200, 000개를 제외한 600, 000개의 학습용 데이터셋을 이용하였다[13].

데이터처리

윈도우 PE 포맷 실행파일에서 Byte Histogram, Byte-Entropy Histogram, String Distribution의 3가지 특성 집합을 추출한다. EMBER2018 데이터셋의 경우 Hyrum Anderson이 제안한 PEFeatureExtractor를[4] 이용하여 원시 특성과 PE 포맷 테이블의 각 데이터들을 구문 분석(Parsing)한 특성을 각각 추출하였다.

이론/모형

S. Anderson 등[14]이 기계학습 모델인 LightGBM을 이용하였다. 악성코드를 정상파일로 잘못 판별하는 오탐율(False Positive Rate : FPR)이 0.
Anderson 등이 공개 프로젝트인 "youarespecial"를 통해 제안했던 PEFeatureExtractor를 활용하여 시계열 데이터로 구성된 3 가지의 특성 집합(Byte-Entropy Histogram, Byte Histogram, String Distribution)을 추출하였다[4]. 그리고 시계열 데이터 분석을 위해 이전 정보를 현재의 문제해결에 활용하는 RNN 모델을 적용하였다. 그러나 RNN 모델의 경우 시계열 데이터의 시퀀스(sequence) 길이가 길어지면 기울 기소실(gradient vanishing)이 발생하는 한계로 인해 제한적인 학습 데이터만 선택이 가능하다.
한 개의 셀은 256 개의 시퀀스로 이루어진 특성 집합 3개를 입력받는다. 해당 모델의 출력층은 이진 분류를 위해 시그모이드 (sigmoid) 활성 함수를 사용하며, 최적화 함수는 RMSprop, 오차 함수는 Binary crossentropy를 사용하였다.

성능/효과

(표 3)에서 보는 바와 같이 기존 연구에서 제시된 탐지모델과의 분류 성능을 비교해본 결과 90.79%의 Accuracy 를 보여 기존 모델보다 탐지 정확도는 다소 낮게 나타났다. 그러나 기존 모델이 8개의 특성 집합 전체를 사용한 것에 비해 제안모델은 3개의 특성 집합만을 사용하였음에도 비교적 우수한 성능을 달성하였다.
79%의 Accuracy 를 보여 기존 모델보다 탐지 정확도는 다소 낮게 나타났다. 그러나 기존 모델이 8개의 특성 집합 전체를 사용한 것에 비해 제안모델은 3개의 특성 집합만을 사용하였음에도 비교적 우수한 성능을 달성하였다.
그리고 학습시간은 기존 연구 대비 획기적으로 감소하였다. 서론에서 전술한 바와 같이 2020년 기준 윈도우 운영체제 기반의 신종 악성코드가 일평균 87.
3가지 특성 집합을 달리 사용하며 실험을 수행하였으며, 그 결과는 (표 2)와 같다. 모든 특성 집합들을 사용하였을 때 가장 우수한 90.79%의 Accuracy를 달성하였다.
6만건이 발생한다는 점을 고려하면[3], 기존 연구에서 제시한 기계학습 기반 탐지모델의 학습시간(23시간)으로는 실시간으로 발생하는 신종 악성코드를 제시간에 학습하는 것이 불가능하다. 반면, 제안모델은 기존 모델에 비해 최소한의 특성 집합을 활용하기 때문에 학습시간이 기존 모델 대 비약 1/4로 단축되었다. 이러한 결과는 신종 악성코드에 대응하기 위해 탐지모델의 업데이트 주기를 단축시킬 수 있음을 시사한다.
그리고 학습시간은 기존 연구 대비 획기적으로 감소하였다. 서론에서 전술한 바와 같이 2020년 기준 윈도우 운영체제 기반의 신종 악성코드가 일평균 87.6만건이 발생한다는 점을 고려하면[3], 기존 연구에서 제시한 기계학습 기반 탐지모델의 학습시간(23시간)으로는 실시간으로 발생하는 신종 악성코드를 제시간에 학습하는 것이 불가능하다. 반면, 제안모델은 기존 모델에 비해 최소한의 특성 집합을 활용하기 때문에 학습시간이 기존 모델 대 비약 1/4로 단축되었다.
Anderson 등[14]이 기계학습 모델인 LightGBM을 이용하였다. 악성코드를 정상파일로 잘못 판별하는 오탐율(False Positive Rate : FPR)이 0.1% 미만이 되도록 평가결과에서 악성코드 여부를 결정하는 기준 임계 값을 조정한 경우 92.99%의 Accuracy를 달성하였다. 한편, 오탐율이 1%미만이 되도록 임계값을 조정한 경우에는 98.
위의 실험결과를 기준으로 기존 연구들과 비교했을 경우에는 제안하는 Bidirectional LSTM 기반 모델의 성능이다소 떨어지는 것으로 보일 수도 있다. 그러나 기존 연구들에서 활용된 모델들은 모든 특성 집합(8개, 7.
반면, 제안모델은 기존 모델에 비해 최소한의 특성 집합을 활용하기 때문에 학습시간이 기존 모델 대 비약 1/4로 단축되었다. 이러한 결과는 신종 악성코드에 대응하기 위해 탐지모델의 업데이트 주기를 단축시킬 수 있음을 시사한다.

후속연구

향후에는 본 연구에서 활용한 3가지 특성 집합 이외에 추가적인 특성 집합을 활용하여 학습시간은 증가시키지 않으면서 Accuracy를 높일 수 있는 방안에 대해 계속 연구를 진행할 예정이다. 또한, 저전력 소모와 휴대성이 요구되는 무기체계에도 적용이 가능하도록 모델을 보다 경량화시킬 수 있는 방안을 연구하고자 한다.
향후에는 본 연구에서 활용한 3가지 특성 집합 이외에 추가적인 특성 집합을 활용하여 학습시간은 증가시키지 않으면서 Accuracy를 높일 수 있는 방안에 대해 계속 연구를 진행할 예정이다. 또한, 저전력 소모와 휴대성이 요구되는 무기체계에도 적용이 가능하도록 모델을 보다 경량화시킬 수 있는 방안을 연구하고자 한다.

참고문헌 (15)

KISA, "2021 First Half KISA Cyber Security Issue Report", 2021. https://www.krcert.or.kr/filedownload.do?attach_file_seq3431&attach_file_idEpF3431.pdf
Shim Seung-bae, "Military introduction direction and tasks of Open O.S", 33rd SPRi Forum, 2017. https://spri.kr/download/21770
Mcafee, "Mcafee ATR Threats Report 4.21", 2021. https://www.mcafee.com/enterprise/en-us/lp/threats-repor ts/apr-2021.html
Clarence Chio, David Freeman, "Machine Learning and Security", pp. 175, O'Reilly Media, Inc., 2018.
R. Kath, "The Portable Executable File Format from Top to Bottom", MSDN Libary, Microsoft Corporation, 1993. http://www.csn.ul.ie/~caolan/pub/winresdump/winresdump/doc/pefile2.html
S. Hocheriter, J. Schmidhuber, "Long short-term memory", Nneurl computation 9, no. 8, pp. 1735-1780, 1997. http://dx.doi.org/10.1162/neco.1997.9.8.1735

상세보기
Yukinaga Azuma, "Introduction to core deep learning", onlybook, 2020.
J. Saxe, H. Sanders, "Malware Data Science", Youngjin, 2020.
Mike Schuster, Kuldip K. Paliwal, "Bidirectional Recurrent Neural Networks", IEEE Transactions on signal processing, Vol. 45, No. 11, 1997. http://dx.doi.org/10.1109/78.650093

상세보기
Yunseok Rhee, "Malicious Code Detection Method Using LSTM Learning on the File Access Behavior", The Journal of Korean Institute of Information Technology, Vol.18, no. 2, pp.25-32, 2020. http://dx.doi.org/10.14801/jkiit.2020.18.2.25

상세보기
J. Saxe, K. Berlin, "Deep neural network based malware detection using two dimensional binary program features", 2015 10th International Conference on Malicious and Unwanted Software(MALWARE), pp. 11-20, 2015. http://dx.doi.org/10.1109/MALWARE.2015.7413680
M. Ahmadi, D. Ulyanov, S. Semenov, M. Trofimov, G. Giacinto, "Novel Feature Extraction, Selection and Fusion for Effective Malware Family Classification", In Proceedings of the 6th ACM CODASPY '18, pp. 183-194, 2016. http://dx.doi.org/10.1145/2857705.2857713
Y. Oyama, T. Miyashita, H. Kokubo, "Identifying Useful Features for Malware Detection in the Ember Dataset", 2019 7th International Symposium on Computing and Networking Workshops(CANDARW). IEEE, pp. 360-366, 2019. http://dx.doi.org/10.1109/CANDARW.2019.00069
H. S. Anderson, P. Roth, "EMBER: An Open Dataset for Training Static PE Malware Machine Learning Models", arXiv preprint arXiv:1804.04637, 2018. https://arxiv.org/abs/1804.04637v2
S. Parmanik, H. Teja, "EMBER - Analysis of Malware Dataset Using Convolutional Neural Networks", 2019 3rd International Conference on Inventive Systems and Control(ICISC), pp. 286-291, 2019. http://dx.doi.org/9/ICISC44355.2019.9036424

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증