API 호출 빈도를 이용한 악성코드 패밀리 탐지 및 분류 방법

Vol. 31, No. 4, pp. 605-616, 8월. 2021
10.13089/JKIISC.2021.31.4.605, Full Text:
Keywords: Malware, Family, Detection, Classification, API
Abstract

악성코드는 임의의 프로그램을 대상으로 정확하게 식별할 수 있어야 하지만, 분류 기법을 이용하는 기존 연구들은 제한된 샘플에만 적용할 수 있다는 한계가 있다. 본 논문은 임의의 프로그램으로부터 악성코드 패밀리를 탐지하고 분류하기 위해 API 호출 빈도를 이용하는 방법을 제안한다. 제안 방법은 특정 API에 대한 호출 빈도가 임계값을 넘는지 검사하는 규칙을 정의하고, 해당하는 규칙에 의한 비율 정보를 활용하여 특정 패밀리를 식별하는 것이다. 본 논문에서는 결정트리 알고리즘을 응용하여 학습셋으로부터 특정 패밀리를 가장 잘 식별할 수 있는 값으로 임계값을 결정하였다. 4,443개의 샘플을 이용해 학습셋과 시험셋을 나눠 성능을 측정한 결과 패밀리 탐지의 경우 85.1%의 정밀도와 91.3%의 재현율을 보이고, 분류의 경우 97.7%의 정밀도와 98.1%의 재현율을 보여 악성코드 패밀리를 효과적으로 식별할 수 있음을 확인하였다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
조우진 and 김형식, "API 호출 빈도를 이용한 악성코드 패밀리 탐지 및 분류 방법," Journal of The Korea Institute of Information Security and Cryptology, vol. 31, no. 4, pp. 605-616, 2021. DOI: 10.13089/JKIISC.2021.31.4.605.

[ACM Style]
조우진 and 김형식. 2021. API 호출 빈도를 이용한 악성코드 패밀리 탐지 및 분류 방법. Journal of The Korea Institute of Information Security and Cryptology, 31, 4, (2021), 605-616. DOI: 10.13089/JKIISC.2021.31.4.605.