디지털 라이브러리[ 검색결과 ]
제어 흐름 기반 그래프 트랜스포머를 이용한 악성코드 공격의 기능적 특징 학습
http://doi.org/10.5626/JOK.2023.50.8.633
악성분류 분류에서 미탐 사례를 최소화하기 위해 연산 블락과 메모리 레지스터 주소 간의 제어 흐름 같은 프로그램의 국소적 특징을 포착하는 것이 중요하다. 그러나 악성코드의 기능적 특징을 고려하지 않고 분류기의 손실 함수를 최적화하는 기존의 방법은, 유사하지만 새로운 공격 경로를 활용하는 공격과 길고 복잡한 제어 흐름 그래프로 인해 재현율에 한계가 있다. 본 논문에서는 API호출, 루트킷 DLL설치, 특정 가상메모리의 접근을 포함하는 기능적 특징을 학습하는 것으로 재현율을 개선하기 위해 제어흐름 그래프를 명시적으로 샘플링하고 임베딩하는 방법을 제안한다. 제어 흐름 그래프로부터 악성코드의 기능적 패턴을 모델링하기 위해 악성코드의 제어 흐름으로부터 공격 경로를 샘플링한 뒤 트랜스포머 기반의 그래프 임베딩 함수를 이용하여 악성코드 종류를 분류한다. 제안하는 방법을 입증하기 위해 실제 윈도우 악성코드로 구성된 마이크로소프트 챌린지 데이터셋을 사용하였다. 악성코드의 제어 흐름을 명시적으로 학습함으로써 최고 의 재현율 97.89%를 확보하였고, 최신 및 가장 진보된 방법의 분류 정확도(97.89%)에 대비하여 크게 개선된 정확도(99.45%)를 달성하였다.
Dhash 기반 고속 악성코드 변종 탐지기법
http://doi.org/10.5626/JOK.2019.46.11.1207
악성코드 생성 도구와 난독화 기법의 대중화로 악성코드는 지능화되고 있지만 기존의 악성코드 탐지 기법은 악성코드에 대해 완벽하지 못한 탐지를 보여주고 있다. 이에 새롭게 등장하는 악성코드 중 다수가 기존에 발생했던 악성코드의 변종이라는 것과 변종 악성코드는 원본 악성코드와 비슷한 바이너리 데이터를 갖는 특징을 고려해 파일의 바이너리 데이터를 통해 이미지를 분류하는 Dhash 기반 악성코드 탐지 기법을 제시하며, Dhash 알고리즘의 전수비교로 인한 느린 분석 시간을 개선한 10-gram 알고리즘을 제시한다. 변종 악성코드 탐지에서 우수한 ssdeep 기법과의 비교를 통해 ssdeep이 탐지하지 못하는 영역에 대해 Dhash 알고리즘이 탐지했음을 보이며, 기존의 Dhash 알고리즘과 본 논문에서 제안하는 알고리즘의 탐지 속도 성능 비교 실험을 통해 제안하는 알고리즘의 우수성을 증명한다. 향후 다른 LSH기반 탐지 기법과 연계한 변종 악성코드 분석 기술 개발을 지속 진행할 예정이다.
V-그램: 명령어 기본 블록과 딥러닝 기반의 악성코드 탐지
http://doi.org/10.5626/JOK.2019.46.7.599
악성코드가 급증하여 기계 학습 기반의 자동 탐지 연구가 중요해지고 있다. 악성코드 실행파일로부터 추출되는 opcode 시퀀스는 악성코드 탐지에 좋은 특징이기 때문에 바이트 기반의 n-그램 처리 기법을 거쳐 기계 학습의 입력 데이터로서 폭넓게 사용되고 있다. 본 논문에서는 처리 속도와 저장 공간 측면에서 기존 n-그램 방식을 크게 향상시키는 기본 블록 단위의 딥러닝 입력 데이터 가공 기법인 V-그램을 새롭게 제안한다. V-그램은 opcode 시퀀스로부터 의미 없는 입력 데이터의 불필요한 생성을 막을 수 있다. 본 논문에서는 64,000개 이상의 실제 정상 및 악성코드 파일을 수집하여 진행한 실험을 통해서, V-그램이 처리 속도와 저장 공간, 그리고 탐지 정확도 측면에서 모두 기존의 n-그램 기법보다 우수하다는 것을 검증하였다.
Skip-Connected LSTM RNN을 이용한 악성코드 탐지 모델
http://doi.org/10.5626/JOK.2018.45.12.1233
프로그램은 명령어가 연속해서 나타나는 하나의 시퀀스로 볼 수 있고 악성코드는 악의적인 목적을 가진 하나의 프로그램이다. 본 논문에서는 프로그램을 의미 정보를 가지는 하나의 명령어 시퀀스로 가정하고 이를 시퀀스 데이터 모델링에 적합한 딥러닝 모델인 Long Short-Term Memory Recurrent Neural Network(LSTM RNN)를 이용하여 악성코드를 탐지하고자 한다. 다양한 실험을 위해 명령어 시퀀스를 유니그램 및 트라이그램으로 나누어 여러 딥러닝 모델의 입력 자질로 사용한다. 여러 딥러닝 모델은 입력된 명령어 시퀀스를 이용해 프로그램이 정상파일인지 악성코드인지 판별하게 된다. 또한 본 논문에서 제안하는 Skip-Connected LSTM RNN 모델을 악성코드 탐지에 적용하여 LSTM encoder 및 CNN모델과 비교 실험하여 더 우수한 성능을 나타냄을 보인다. 실험 결과, 명령어 시퀀스 트라이그램 데이터에서 Skip-Connected LSTM RNN 모델이 LSTM encoder 및 CNN 모델 보다 우수한 성능을 보였다.
