멀티모달 기반 악성코드 유사도 계산 기법

Vol. 29, No. 2, pp. 347-363, 3월. 2019
10.13089/JKIISC.2019.29.2.347, Full Text:
Keywords: similarity, Malware analysis, API call sequence, Nilsimsa, Jaccard, TF-IDF
Abstract

"사람의 DNA가 변하지 않는 것과 같이 사이버상의 악성코드도 변하지 않는 고유의 행위 특징을 갖고 있다. APT(Advanced Persistent Threat) 공격에 대한 방어수단을 사전에 확보하기 위해서는 악성코드의 악성 행위특징을 추출해야 한다. 이를 위해서는 먼저 악성코드 간의 유사도를 계산하여 유사한 악성코드끼리 분류할 수 있어야 한다. 본 논문에서는 Windows OS 상에서 동작하는 악성코드 간의 유사도 계산 방법으로 ‘TF-IDF 코사인 유사도’, ‘Nilsimsa 유사도’, ‘악성코드 기능 유사도’, ‘Jaccard 유사도’를 사용해 악성코드의 유형을 예측해보고, 그결과를 보인다. 실험결과, 유사도 계산 방식마다 악성코드 유형에 따라 예측률의 차이가 매우 컸음을 발견할 수 있었다. 모든 결과에 월등한 정확도를 보인 유사도는 존재하지 않았으나, 본 실험결과를 이용하여 특정 패밀리의 악성코드를 분류할 때 어떤 유사도 계산 방식을 활용하는 것이 상대적으로 유리할지를 결정할 때 도움이 될 것으로 판단된다."

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
유정도, 김태규, 김인성, 김휘강, "Multi-Modal Based Malware Similarity Estimation Method," Journal of The Korea Institute of Information Security and Cryptology, vol. 29, no. 2, pp. 347-363, 2019. DOI: 10.13089/JKIISC.2019.29.2.347.

[ACM Style]
유정도, 김태규, 김인성, and 김휘강. 2019. Multi-Modal Based Malware Similarity Estimation Method. Journal of The Korea Institute of Information Security and Cryptology, 29, 2, (2019), 347-363. DOI: 10.13089/JKIISC.2019.29.2.347.