[논문]API 호출 구간 특성 기반 악성코드 탐지 기술

김동엽; 최상용

doi:10.13089/jkiisc.2022.32.4.629

초록
AI-Helper

최근 사회적 변화와 IC T 기술의 발전에 따라 사이버 위협 또한 증가되고 있으며, 사이버위협에 사용되는 악성코드는 분석을 어렵게 하기 위해 분석환경 회피기술, 은닉화, 파일리스 유포 등 더욱 고도화 지능화되고 있다. 이러한 악성코드를 효과적으로 분석하기 위해 머신러닝 기술이 활용되고 있지만 분류의 정확도를 높이기 위한 많은 노력이 필요하다. 본 논문에서는 머신러닝의 분류성능을 높이기 위해 API호출 구간 특성 기반 악성코드 탐지 기술을 제안한다. 제안하는 기술은 악성코드와 정상 바이너리의 API 호출 순서를 시간을 기준으로 구간으로 분리하여 각 구간별 API의 호출특성과 바이너리의 엔트로피 등의 특성인자를 추출한 후 SVM(Support Vector Mechine) 알고리즘을 이용하여 제안하는 방법이 악성바이너리를 잘 분석할 수 있음을 검증하였다.

Abstract ▼ AI-Helper

Cyber threats are also increasing with recent social changes and the development of ICT technology. Malicious codes used in cyber threats are becoming more advanced and intelligent, such as analysis environment avoidance technology, concealment, and fileless distribution, to make analysis difficult....

Cyber threats are also increasing with recent social changes and the development of ICT technology. Malicious codes used in cyber threats are becoming more advanced and intelligent, such as analysis environment avoidance technology, concealment, and fileless distribution, to make analysis difficult. Machine learning technology is being used to effectively analyze these malicious codes, but a lot of effort is needed to increase the accuracy of classification. In this paper, we propose a malicious code detection technology based on API call interval characteristics to improve the classification performance of machine learning. The proposed technology uses API call characteristics for each section and entropy of binary to separate characteristic factors into sections based on the extraction malicious code and API call order of normal binary. It was verified that malicious code can be well analyzed using the support vector machine (SVM) algorithm for the extracted characteristic factors.

주제어

표/그림 (6)

그림 Fig. 1. Malware API call top rank for each section
그림 Fig. 2. Normal API call top rank for each section
그림 Fig. 3. Entropy Distribution Chart
표 Table 1. If the program runs for 100 seconds
그림 Fig. 4. Permutation Importance
표 Table 2. The Results of each Combination

AI 본문요약
AI-Helper

문제 정의

이러한 이유로 본 논문에서는 악성코드와 정상 파일을 분류하기 위해 머신러닝에서 사용할 수 있는 효과적인 특성인자를 추출할 수 있는 방법을 제안한다. 본 논문에서 제안하는 방법은 악성코드와 정상파일 분류를 위해 API(Application Programming Interface)를 효과적으로 활용할 수 있는 방법을 제안한다. 제안하는 방법은 바이너리에 포함된 API를 추출하여 API의 호출 빈도, 호출시간 등의 특성에 따라 정상과 악성 바이너리를 학습시키고, 코드 엔트로피의 특성을 병합하여 다양한 기계학습 알고리즘을 적용하는 방법으로 제안하는 방법이 악성과 정상 바이너리 분류에 효과적임을 실험을 통해 검증하였다.
본 논문에서는 머신러닝을 이용한 악성코드 식별의 정확도를 높이기 위한 방법으로 파일을 실행할 때, API의 호츨 시간을 구간별로 나누어 호출되는 API의 특성을 악성과 정상을 분류하는 특성인자로 사용하는 방법을 제안하였다. 제안한 방법은 대표적인 머신러닝 알고리즘인 SVM을 이용하여 학습시키고 분류한 결과 95.
이러한 이유로 본 논문에서는 악성코드와 정상 파일을 분류하기 위해 머신러닝에서 사용할 수 있는 효과적인 특성인자를 추출할 수 있는 방법을 제안한다. 본 논문에서 제안하는 방법은 악성코드와 정상파일 분류를 위해 API(Application Programming Interface)를 효과적으로 활용할 수 있는 방법을 제안한다.

제안 방법

이를 첫 번째 특성인자로 사용하였고 두 번째로는 Entropy라는 특성인자를 사용하였는데 Section 별 Entropy 값 중 가장 높은 값을 사용하였다. 마지막으로 전체 호출 API Call 정보를 활용하여 General API, Native API 호출의 비율을 계산하여 각 구간별 10개씩 총 API Feature 50개, API Feature에 대한 점수, Entropy, API Ratio 총 53개의 특성을 사용해 SVM 학습에 사용하였다.
우선 PE 파일을 Cuckoo Sandbox에 전달하면 Cuckoo Sandbox가 분석 후 분석 결과 파일이 JSON 형태의 파일로 생성된다. 생성된 JSON 파일로부터 프로그램 실행 시간 정보, API 호출 정보, Entropy 정보를 Python을 사용하여 파싱 후 프로그램의 실행시간 정보를 활용하여 5구간으로 나누어 각 구간에 대해 API 호출을 계수하였다. Fig.
이를 통해 General API와 Native API의 호출 비율에 차이가 존재한다는 것을 알 수 있었다. 이러한 특성을 사용하여 각 파일마다 General API와 Native API의 비율을 계산 후 그 비율의 차이를 특성으로 사용하였다. 이때 호출 개수는 똑같은 종류의 API 호출이 되어도 하나만 계수하였다.

대상 데이터

9,000개의 데이터 중 80%의 데이터를 모델을 학습시키는 Train에 사용하였고, 남은 20%를 모델을 평가하는 Test에 사용하였다. 또한 각 특징을 조합하여 실험해 각 특징별 민감도, 재현율, 정확도를 뽑아 보았고 정확도의 경우 (Score, API Rate) 조합, (Score, Entropy) 조합, (Score, Entropy, API Rate) 순으로 높은 것을 알 수 있고, (Score, Entropy, API Rate) 조합의 경우 정확도가 95.
분류실험에 사용한 악성코드는 KAIST사이버보안연구센터에서 제공받은 데이터를 사용하였고, 정상 파일의 경우에는 Windows 10 32bit에서 Python을 사용하여 수집하였다. Cuckoo Sandbox로 분석한 파일의 수는 악성 파일 6,790개 정상 파일 5,180개이지만 실제 사용한 데이터는 악성 파일 6,000개 정상 파일 3,000개를 사용하였다.
본 연구에 사용한 환경은 Cuckoo Sandbox와 머신러닝 환경을 분리하여 진행하였고, Cuckoo Sandbox의 환경은 OS Ubuntu 18, CPU 4core, RAM 16GB의 사양이다. ML의 환경의 경우 OS Windows 10, CPU 4core, RAM 24GB의 하드웨어 사양을 사용했고, ML을 위한 개발언어로는 Python 3.
분류실험에 사용한 악성코드는 KAIST사이버보안연구센터에서 제공받은 데이터를 사용하였고, 정상 파일의 경우에는 Windows 10 32bit에서 Python을 사용하여 수집하였다. Cuckoo Sandbox로 분석한 파일의 수는 악성 파일 6,790개 정상 파일 5,180개이지만 실제 사용한 데이터는 악성 파일 6,000개 정상 파일 3,000개를 사용하였다.

데이터처리

제안하는 모델에서 효과적인 분류를 위해 가장 중요한 정보는 호출하는 API의 정보이기 때문에 동적 분석이 필요하였고, 대표적인 동적 분석 플랫폼인 Cuckoo Sandbox를 사용하여 Feature 정보를 획득하였다. 우선 PE 파일을 Cuckoo Sandbox에 전달하면 Cuckoo Sandbox가 분석 후 분석 결과 파일이 JSON 형태의 파일로 생성된다.

성능/효과

1과 Fig. 2를 보면 악성 파일과 정상 파일 별 호출하는 API를 보면 악성 파일의 경우 Native API가 정상 파일에 비해 높은 순위에 많이 포함되어 있는 것을 확인할 수 있다. 이를 통해 General API와 Native API의 호출 비율에 차이가 존재한다는 것을 알 수 있었다.
1, Fig. 2를 통해 악성 파일과 정상 파일이 호출하는 API가 차이가 존재함을 알 수 있었다. Native API란 API 이름 앞에 Nt가 붙어있고, API 중에서 OS에서 지원하는 Subsystem에서 NT의 도움을 받고자 사용되는 함수의 모음이다.
9,000개의 데이터 중 80%의 데이터를 모델을 학습시키는 Train에 사용하였고, 남은 20%를 모델을 평가하는 Test에 사용하였다. 또한 각 특징을 조합하여 실험해 각 특징별 민감도, 재현율, 정확도를 뽑아 보았고 정확도의 경우 (Score, API Rate) 조합, (Score, Entropy) 조합, (Score, Entropy, API Rate) 순으로 높은 것을 알 수 있고, (Score, Entropy, API Rate) 조합의 경우 정확도가 95.5%와 Fig. 4에서 확인할 수 있듯이 특징별 기여도도 골고루 분포해 있는 것을 확인할 수 있었다.
본 논문에서 제안하는 방법은 악성코드와 정상파일 분류를 위해 API(Application Programming Interface)를 효과적으로 활용할 수 있는 방법을 제안한다. 제안하는 방법은 바이너리에 포함된 API를 추출하여 API의 호출 빈도, 호출시간 등의 특성에 따라 정상과 악성 바이너리를 학습시키고, 코드 엔트로피의 특성을 병합하여 다양한 기계학습 알고리즘을 적용하는 방법으로 제안하는 방법이 악성과 정상 바이너리 분류에 효과적임을 실험을 통해 검증하였다.
본 논문에서는 머신러닝을 이용한 악성코드 식별의 정확도를 높이기 위한 방법으로 파일을 실행할 때, API의 호츨 시간을 구간별로 나누어 호출되는 API의 특성을 악성과 정상을 분류하는 특성인자로 사용하는 방법을 제안하였다. 제안한 방법은 대표적인 머신러닝 알고리즘인 SVM을 이용하여 학습시키고 분류한 결과 95.5%의 유의미한 정확도를 확인할 수 있었으며, 이를 통해 제안하는 방법이 악성코드 분류에 효과적인 특성인자 추출방법임을 검증하였다. 다만, 제안하는 방법을 실험할 때 이번 연구에는 SVM만을 가지고 실험하였으나, 향후 더 다양한 머신러닝 알고리즘을 이용하여 검증할 필요가 있으며, 제안하는 특성인자와 기존 연구된 특성인자를 혼합하여 정확도를 높이는 연구가 지속적으로 이루어져야 할 것이다.

후속연구

5%의 유의미한 정확도를 확인할 수 있었으며, 이를 통해 제안하는 방법이 악성코드 분류에 효과적인 특성인자 추출방법임을 검증하였다. 다만, 제안하는 방법을 실험할 때 이번 연구에는 SVM만을 가지고 실험하였으나, 향후 더 다양한 머신러닝 알고리즘을 이용하여 검증할 필요가 있으며, 제안하는 특성인자와 기존 연구된 특성인자를 혼합하여 정확도를 높이는 연구가 지속적으로 이루어져야 할 것이다.

참고문헌 (14)

"ENISA Threat Landscape 2021' ENISA, Dec. 2021.
Song Geunhye, Lee Seungmin, "Fourth Industrial Revolution and Security Paradigm Changes." Institute for Information & communication Technology Planning & evaluation, Weekly technology trend., 2018,16-27
Kim Jongrak., "The relationship between artificial intelligence and information security,", Communications of the Korean Institute of Information Scientists and Engineers (Communications of KIISE), 2018, 14-16.
HWANG, Ho; MOON, Daesung; KIM, Ikkun. "Trend and Issue Dynamic Analysis for Malware". In: Proceedings of the Korea Information Processing Society Conference. Korea Information Processing Society, 2015. p. 418-420.
HWANG, Ho; MOON, Daesung; KIM, Ikkun. "Efficient Exploring Multiple Execution Path for Dynamic Malware Analysis", Journal of the Korea Institute of Information Security & Cryptology, 26(2), pp.377-386, 2016,

원문보기 상세보기
Hwang, Ho, Daesung Moon, and Ikkun Kim. "Trend and Issue Dynamic Analysis for Malware." Proceedings of the Korea Information Processing Society Conference. Korea Information Processing Society, 2015.
Taejin Lee, "Trend of Intelligent Malicious Code Analysis Technology Using Machine Learning," Korea Institute Of Information Security And Cryptology 28(2), 12-19, Dec. 2018
Nam-Youl Park, Yong-Min Kim, Bong-Nam Noh, "A Behavior based Detection for Malicious Code Using Obfuscation Technique," Journal of the Korea Institute of Information Security & Cryptology 16(3), 17-28, Jun. 2006

원문보기 상세보기
Su-jeong Kim, Ji-hee Ha, Soo-hyun Oh, Tae-jin Lee, "A Study on Malware Identification System Using Static Analysis Based Machine Learning Technique," Journal of the Korea Institute of Information Security & Cryptology, 29(4), 775-784, Aug. 2019

원문보기 상세보기
Ji-hee Ha, Su-jeong Kim, Tae-jin Lee, "Feature Extraction using DLL/API Statistical Analysis and Malware Detection based on Machine Learning," Journal of the Korea Institute of Information Security & Cryptology, 43(4), 730-739, Apr. 2018
JAMALPUR, Sainadh, et al. "Dynamic malware analysis using cuckoo sandbox". In: 2018 Second international conference on inventive communication and computational technologies (ICICCT). IEEE, 2018. p. 1056-1060.
Tae-woo Kang, Jae-ik Cho, Man-hyun Chung, Jong-sub Moon, "Malware Detection Via Hybrid Analysis for API Calls," Journal of the Korea Institute of Information Security & Cryptology, 17(6), 89-98, Dec. 2007

원문보기 상세보기
Young Min Cho, Hun Yeong Kwon, "Machine Learning Based Malware Detection Using API Call Time Interval," Journal of the Korea Institute of Information Security & Cryptology, 30(1), 51-58, Feb. 2020

원문보기 상세보기
Wikipedia, "Support-vector machine" https://en.wikipedia.org/wiki/Support-vector_machine, Jan. 2022

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

API 호출 구간 특성 기반 악성코드 탐지 기술
Malware Detection Technology Based on API Call Time Section Characteristics 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

표/그림 (6)

표/그림 (6)

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

데이터처리

성능/효과

후속연구

참고문헌 (14)

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

연관된 기능

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

API 호출 구간 특성 기반 악성코드 탐지 기술 Malware Detection Technology Based on API Call Time Section Characteristics 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

표/그림 (6) 모든 표/그림 보기

표/그림 (6) 슬라이드로 보기

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

데이터처리

성능/효과

후속연구

참고문헌 (14)

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

연관된 기능

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

API 호출 구간 특성 기반 악성코드 탐지 기술
Malware Detection Technology Based on API Call Time Section Characteristics 원문보기

초록
AI-Helper

표/그림 (6)

표/그림 (6)

AI 본문요약
AI-Helper