디지털 라이브러리[ 검색결과 ]
Dhash 기반 고속 악성코드 변종 탐지기법
http://doi.org/10.5626/JOK.2019.46.11.1207
악성코드 생성 도구와 난독화 기법의 대중화로 악성코드는 지능화되고 있지만 기존의 악성코드 탐지 기법은 악성코드에 대해 완벽하지 못한 탐지를 보여주고 있다. 이에 새롭게 등장하는 악성코드 중 다수가 기존에 발생했던 악성코드의 변종이라는 것과 변종 악성코드는 원본 악성코드와 비슷한 바이너리 데이터를 갖는 특징을 고려해 파일의 바이너리 데이터를 통해 이미지를 분류하는 Dhash 기반 악성코드 탐지 기법을 제시하며, Dhash 알고리즘의 전수비교로 인한 느린 분석 시간을 개선한 10-gram 알고리즘을 제시한다. 변종 악성코드 탐지에서 우수한 ssdeep 기법과의 비교를 통해 ssdeep이 탐지하지 못하는 영역에 대해 Dhash 알고리즘이 탐지했음을 보이며, 기존의 Dhash 알고리즘과 본 논문에서 제안하는 알고리즘의 탐지 속도 성능 비교 실험을 통해 제안하는 알고리즘의 우수성을 증명한다. 향후 다른 LSH기반 탐지 기법과 연계한 변종 악성코드 분석 기술 개발을 지속 진행할 예정이다.
V-그램: 명령어 기본 블록과 딥러닝 기반의 악성코드 탐지
http://doi.org/10.5626/JOK.2019.46.7.599
악성코드가 급증하여 기계 학습 기반의 자동 탐지 연구가 중요해지고 있다. 악성코드 실행파일로부터 추출되는 opcode 시퀀스는 악성코드 탐지에 좋은 특징이기 때문에 바이트 기반의 n-그램 처리 기법을 거쳐 기계 학습의 입력 데이터로서 폭넓게 사용되고 있다. 본 논문에서는 처리 속도와 저장 공간 측면에서 기존 n-그램 방식을 크게 향상시키는 기본 블록 단위의 딥러닝 입력 데이터 가공 기법인 V-그램을 새롭게 제안한다. V-그램은 opcode 시퀀스로부터 의미 없는 입력 데이터의 불필요한 생성을 막을 수 있다. 본 논문에서는 64,000개 이상의 실제 정상 및 악성코드 파일을 수집하여 진행한 실험을 통해서, V-그램이 처리 속도와 저장 공간, 그리고 탐지 정확도 측면에서 모두 기존의 n-그램 기법보다 우수하다는 것을 검증하였다.
Skip-Connected LSTM RNN을 이용한 악성코드 탐지 모델
http://doi.org/10.5626/JOK.2018.45.12.1233
프로그램은 명령어가 연속해서 나타나는 하나의 시퀀스로 볼 수 있고 악성코드는 악의적인 목적을 가진 하나의 프로그램이다. 본 논문에서는 프로그램을 의미 정보를 가지는 하나의 명령어 시퀀스로 가정하고 이를 시퀀스 데이터 모델링에 적합한 딥러닝 모델인 Long Short-Term Memory Recurrent Neural Network(LSTM RNN)를 이용하여 악성코드를 탐지하고자 한다. 다양한 실험을 위해 명령어 시퀀스를 유니그램 및 트라이그램으로 나누어 여러 딥러닝 모델의 입력 자질로 사용한다. 여러 딥러닝 모델은 입력된 명령어 시퀀스를 이용해 프로그램이 정상파일인지 악성코드인지 판별하게 된다. 또한 본 논문에서 제안하는 Skip-Connected LSTM RNN 모델을 악성코드 탐지에 적용하여 LSTM encoder 및 CNN모델과 비교 실험하여 더 우수한 성능을 나타냄을 보인다. 실험 결과, 명령어 시퀀스 트라이그램 데이터에서 Skip-Connected LSTM RNN 모델이 LSTM encoder 및 CNN 모델 보다 우수한 성능을 보였다.
