선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 본 논문에서는 대량으로 발생하는 악성코드의 효과적인 대응을 위한 행위기반 악성코드 프로파일링 시스템 프로토타입을 제안한다. 악성코드를 자동으로 제작하는 도구나 기존 악성코드의 코드를 재사용하는 동일한 변종 악성코드들은 실제 행위가 유사한 특징을 가지고 있다.
- 사이버 침해사고를 신속하고 효과적으로 대응하기 위해서는 대량의 악성코드 중에서 우선분석 대상을 선별하여 조치하는 것이 필요하다. 본 논문에서는 주요 침해공격에 사용되는 악성코드의 변종공격을 자동으로 탐지하고 분류할 수 있는 행위기반 악성코드 프로파일링 시스템 프로토타입을 제안하였다.
제안 방법
- 그룹분류 정확도에 대한 실험은 주요 침해사건과 관련된 악성코드와 랜덤한 악성코드를 모두 대상으로 시스템에서 분류하는 방식으로 진행하였고, 분류 결과를 외부 분석 전문가에 의뢰하여 성능을 검증하였다. 3.20, 금융탈취형, 랜덤선별 등 6개 유형의 악성코드 샘플을 대상으로 시스템에서 그룹분류를 수행하였다. 시스템에는 이미 6개 유형의 악성코드 샘플을 포함하여 랜덤한 악성코드 2.
- 그룹분류 정확도에 대한 실험은 주요 침해사건과 관련된 악성코드와 랜덤한 악성코드를 모두 대상으로 시스템에서 분류하는 방식으로 진행하였고, 분류 결과를 외부 분석 전문가에 의뢰하여 성능을 검증하였다. 3.
- 그룹별 대표 악성코드는 해당 그룹내 전체 멤버들과 가장 높은 평균 유사도를 갖는 멤버로 선택된다. 그룹분류의 속도와 정확도를 높이기 위해 멤버수가 많은 그룹부터 비교하여 소속될 그룹을 찾고, 해당 그룹내 멤버와 전수비교를 수행한다. 또한, 주기적으로 그룹내 연관도가 낮은 멤버를필터링하는 과정을 수행한다.
- 또한, 주기적으로 그룹내 연관도가 낮은 멤버를필터링하는 과정을 수행한다. 그리고, 프로파일링 서버는 행위분석 서버와 마찬가지로 대량의 악성코드 처리를 위해 여러개의 서버로 확장이 가능하도록 설계되었다.
- 동일한 변종은 실제 행위가 유사한 특징을 가지므로, API 시퀀스 정보를 추출하여 악성코드 간 유사도 분석을 통해 자동으로 그룹분류를 수행하였다. 실험을 통해, 제안하는 시스템의 기능과 정확도가 우수함을 보였다.
- Cuckoo Sandbox에서 추출하는 API 종류는 169개이며 유형별로 호출빈도를 측정한 결과는 <표 1>과 같다. 또한, 대량의 악성코드 처리를 위해 서버당 10개의 GuestOS를설치하고 여러개의 서버로 확장이 가능하도록 설계되었다.
- 실험결과 시스템에서 6개 유형의 악성코드 샘플에 대해 2,636개 중에서 변종관계로 36개를 식별하고 그룹으로 분류하였다. 시스템에서 분류한 결과에 대해서 외부 전문가에 분석을 의뢰하였고, 36개 악성코드 중 32개(84.
- 악성코드를 자동으로 제작하는 도구나 기존 악성코드의 코드를 재사용하는 동일한 변종 악성코드들은 실제 행위가 유사한 특징을 가지고 있다. 이러한 변종의 특징을 고려하여 악성코드가 실행되는 과정에서 호출되는 API 시퀀스 정보를 이용하여 악성코드 간의 유사도를 분석하고, 이러한 유사도를 기반으로 악성코드 그룹을 자동으로 분류하는 시스템 프로토타입을 구현하였다.
- 행위기반 악성코드 프로파일링 시스템 프로토타입의 성능 측정은 그룹분류 기능과 정확도에 대해서 수행하였다. 악성코드 그룹분류 기능 실험에 사용된 악성코드는 10.
- 행위분석 서버는 비교적 안정성이 높은 것으로 알려진 Cuckoo Sandbox[8]를 이용하여 악성코드를 자동 실행하고 실행과정에서 호출되는 API 시퀀스 정보를 추출한다. Cuckoo Sandbox에서 추출하는 API 종류는 169개이며 유형별로 호출빈도를 측정한 결과는 <표 1>과 같다.
대상 데이터
- 20, 금융탈취형, 랜덤선별 등 6개 유형의 악성코드 샘플을 대상으로 시스템에서 그룹분류를 수행하였다. 시스템에는 이미 6개 유형의 악성코드 샘플을 포함하여 랜덤한 악성코드 2.639개가 저장되어 있는 환경이다. 악성코드 그룹분류 정확도 산출식은 다음과 같다.
- 행위기반 악성코드 프로파일링 시스템 프로토타입의 성능 측정은 그룹분류 기능과 정확도에 대해서 수행하였다. 악성코드 그룹분류 기능 실험에 사용된 악성코드는 10.699개로 malwares.com[9]에서 실제 유포에 사용된 샘플을 제공받았다. 그룹내 변종관계 측정의 산출식은 다음과 같다.
이론/모형
- 우선 악성코드가 실행되는 과정에서 추출된 API 시퀀스를 정규화하고, N을 선별하는 실험을 거쳐 2-gram으로 행위정보를 생성한다. 다음으로 Cosine Similarity 알고리즘을 이용하여 악성코드 간 유사도를 산출하였다. (그림4)는 API 시퀀스 정보를 정규화하고 호출순서와 빈도를 2-gram 기반으로 생성하여 Cosine Similarity 알고리즘을 적용한 과정을 보여준다.
- 프로파일링 메인 서버는 동종 변종들의 실제 행위가 유사한 특징을 고려하여, 행위분석 서버에서 추출한 API 시퀀스로부터 주요 행위정보인 호출순서와 빈도를 동시에 분석이 가능한 N-gram 기반 유사도 측정 알고리즘을 이용하여 악성코드 분류를 수행한다.
성능/효과
- 실험결과 시스템에서 6개 유형의 악성코드 샘플에 대해 2,636개 중에서 변종관계로 36개를 식별하고 그룹으로 분류하였다. 시스템에서 분류한 결과에 대해서 외부 전문가에 분석을 의뢰하였고, 36개 악성코드 중 32개(84.13%)가 변종으로 판별된 것으로 나타났다.
- 악성코드 그룹별로 멤버들 간의 유사도를 전수 비교하므로 그룹의 분류 정확도를 객관적으로 제시할 수 있는 장점이 있다. 실제 유포된 악성코드를 대상으로 악성코드 그룹분류 기능과 정확도 측정 실험에서는 평균 92.76%의 분류 성능을 보였으며, 외부 전문가 의뢰에서도 84.13%로 비교적 높은 분류 정확도를 보였다. 제안하는 시스템 프로토타입은 3.
- 실험결과, 총 10,699개 악성코드 중 8,978개(83.9%)에서변종관계를 식별(유사도 임계치 : 98% 기준)하였다. 나머지 1,721개(16.
- 동일한 변종은 실제 행위가 유사한 특징을 가지므로, API 시퀀스 정보를 추출하여 악성코드 간 유사도 분석을 통해 자동으로 그룹분류를 수행하였다. 실험을 통해, 제안하는 시스템의 기능과 정확도가 우수함을 보였다. 향후에는 수만~수십만 이상의 악성코드를 대상으로 처리 성능을 검증하고 안정성을 보완하여 상용수준의 시스템화를 진행하고, 기존 악성코드 그룹분류 기술들과의 성능비교를 수행할 예정이다.
- (그림 6)은 시스템에서 분류된 악성코드 그룹의 전체현황을 보여준다. 특정 기간에 생성되거나 업데이트된 악성코드 그룹 현황과 그룹별 정확도, 그룹의 멤버 개수가 높은 Top 5 정보를 확인할 수 있다. (그림 7), (그림 8)은각각 선택된 악성코드, 악성코드 그룹의 세부정보를 보여준다.
- 1%)에서는 변종관계 악성코드가 발견되지 않았으나, 실험상 설정된 임계치가 다소 높은 수준이므로 유사도 임계치를 조정함에 따라 변종관계 악성코드 비율을 다소 변동될 수 있다. 특히, 멤버수 10개 이상인 그룹은 변종관계인 멤버가 평균 92.8%로 높게 나타났다.
후속연구
- 13%로 비교적 높은 분류 정확도를 보였다. 제안하는 시스템 프로토타입은 3.20, 6.25 등 북한발 사이버 테러와 같이 주요사이버 공격에 사용된 악성코드와의 변종을 빠르게 식별, 제시할 수 있어 신속한 침해사고 대응에 활용될 수 있을 것으로 기대된다.
- 실험을 통해, 제안하는 시스템의 기능과 정확도가 우수함을 보였다. 향후에는 수만~수십만 이상의 악성코드를 대상으로 처리 성능을 검증하고 안정성을 보완하여 상용수준의 시스템화를 진행하고, 기존 악성코드 그룹분류 기술들과의 성능비교를 수행할 예정이다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.