악성코드 패킹유형 자동분류 기술 연구

Vol. 28, No. 5, pp. 1119-1127, 9월. 2018
10.13089/JKIISC.2018.28.5.1119, Full Text:
Keywords: Packing, Malware classification, Section name, clustering, Deep Learning
Abstract

대부분의 침해공격은 악성코드를 통해 발생하고 있으며, 침해공격으로 인한 피해는 사물인터넷/사이버 물리 시스템과 연결되면서 사이버공간에만 국한되지 않고 실생활에 큰 위협이 되고 있다. 이에 따라, 다양한 악성코드 동적분석, 정적분석기술들이 연구되었는데, 악성코드 동적분석들은 결과적인 악성행위를 쉽게 확인할 수 있어 널리 사용되었으나 VM 환경탐지 시 동작하지 않는 anti-VM 악성코드가 증가하면서 어려움을 겪고 있고, 악성코드 정적분석기술들은 코드자체를 해석할 수 있어 많은 정보를 얻을 수 있으나 난독화, 패킹 기술들이 적용되어 분석가를 어렵게하고 있다. 본 논문에서는 정적분석기술의 주요 장애물인 난독화 유형을 자동식별, 분류하는 기술을 제안한다. 특히,제안하는 모델을 통해 알려진 패커나 알려지지 않은 패커와 상관없이 일정한 기준에 의해 모든 악성코드를 분류할수 있는 것이 가능하다. 악성코드 분류는 다양한 활용이 가능하지만, 예를 들면 악성코드 정적 feature에 기반하여머신러닝 기반 분석을 할 때, 전체 파일에 대해 학습 및 분석하는 방식보다 악성코드 유형별 학습 및 분석이 더욱효과적일 것이다. 이를 위해, PE구조에서 활용 가능한 feature에 대해 지도 학습 및 비지도 학습 방식의 모델을설계했고, 98,000여개 샘플을 통해 결과 검증을 진행하였다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
김수정, 하지희 and 이태진, "A Study on Automatic Classification Technique of Malware Packing Type," Journal of The Korea Institute of Information Security and Cryptology, vol. 28, no. 5, pp. 1119-1127, 2018. DOI: 10.13089/JKIISC.2018.28.5.1119.

[ACM Style]
김수정, 하지희, and 이태진. 2018. A Study on Automatic Classification Technique of Malware Packing Type. Journal of The Korea Institute of Information Security and Cryptology, 28, 5, (2018), 1119-1127. DOI: 10.13089/JKIISC.2018.28.5.1119.