함수 단위 N-gram 비교를 통한 Spectre 공격 바이너리 식별 방법

Vol. 30, No. 6, pp. 1043-1052, 12월. 2020
10.13089/JKIISC.2020.30.6.1043, Full Text:
Keywords: Spectre, Binary Analysis, Malware detection, N-GRAM
Abstract

시그니처 기반 악성코드 탐지는 제로데이 취약점을 이용하거나 변형된 악성코드를 탐지하지 못하는 한계가 있다. 이를 극복하기 위해 N-gram을 이용하여 악성코드를 분류하는 연구들이 활발히 수행되고 있다. 기존 연구들은 높은정확도로 악성코드를 분류할 수 있지만, Spectre와 같이 짧은 코드로 동작하는 악성코드는 식별하기 어렵다. 따라서 본 논문에서는 Spectre 공격 바이너리를 효과적으로 식별할 수 있도록 함수 단위 N-gram 비교 알고리즘을 제안한다. 본 알고리즘의 유효성을 판단하기 위해 165개의 정상 바이너리와 25개의 악성 바이너리에서 추출한N-gram 데이터셋을 Random Forest 모델로 학습했다. 모델 성능 실험 결과, 25개의 Spectre 악성 함수의 바이너리를 99.99% 정확도로 식별했으며, f1-score는 92%로 나타났다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
김문선, 양희동, 김광준 and 이만희, "Detecting Spectre Malware Binary through Function Level N-gram Comparison," Journal of The Korea Institute of Information Security and Cryptology, vol. 30, no. 6, pp. 1043-1052, 2020. DOI: 10.13089/JKIISC.2020.30.6.1043.

[ACM Style]
김문선, 양희동, 김광준, and 이만희. 2020. Detecting Spectre Malware Binary through Function Level N-gram Comparison. Journal of The Korea Institute of Information Security and Cryptology, 30, 6, (2020), 1043-1052. DOI: 10.13089/JKIISC.2020.30.6.1043.