Skip-Connected LSTM RNN을 이용한 악성코드 탐지 모델

배장성, 이창기, 최선오, 김종현

http://doi.org/10.5626/JOK.2018.45.12.1233

프로그램은 명령어가 연속해서 나타나는 하나의 시퀀스로 볼 수 있고 악성코드는 악의적인 목적을 가진 하나의 프로그램이다. 본 논문에서는 프로그램을 의미 정보를 가지는 하나의 명령어 시퀀스로 가정하고 이를 시퀀스 데이터 모델링에 적합한 딥러닝 모델인 Long Short-Term Memory Recurrent Neural Network(LSTM RNN)를 이용하여 악성코드를 탐지하고자 한다. 다양한 실험을 위해 명령어 시퀀스를 유니그램 및 트라이그램으로 나누어 여러 딥러닝 모델의 입력 자질로 사용한다. 여러 딥러닝 모델은 입력된 명령어 시퀀스를 이용해 프로그램이 정상파일인지 악성코드인지 판별하게 된다. 또한 본 논문에서 제안하는 Skip-Connected LSTM RNN 모델을 악성코드 탐지에 적용하여 LSTM encoder 및 CNN모델과 비교 실험하여 더 우수한 성능을 나타냄을 보인다. 실험 결과, 명령어 시퀀스 트라이그램 데이터에서 Skip-Connected LSTM RNN 모델이 LSTM encoder 및 CNN 모델 보다 우수한 성능을 보였다.