퍼지해시를 이용한 유사 악성코드 분류모델에 관한 연구

Vol. 22, No. 6, pp. 1325-1336, 12월. 2012
10.13089/JKIISC.2012.22.6.1325, Full Text:
Keywords: Fuzzy Hash, Malware, similarity
Abstract

과거 일 평균 10종 내외로 발견되었던 악성코드가 최근 10년 동안 급격히 증가하여 오늘날에는 55,000종 이상의 악성코드가 발견되고 있다. 하지만 발견되는 다수의 악성코드는 새로운 형태의 신종 악성코드가 아니라 과거 악성코드에서 일부 기능이 추가되거나 백신탐지를 피하기 위해 인위적으로 조작된 변종 악성코드가 다수이다. 따라서 신종과 변종이 포함된 다수의 악성코드를 효과적으로 대응하기 위해서는 과거의 악성코드와 유사도를 비교하여 신종과 변종을 분류하는 과정이 필요하게 되었다. 기존의 악성코드를 대상으로 한 유사도 산출 기법은 악성코드가 사용하는 IP, URL, API, 문자열 등의 외형적 특징을 비교하거나 악성코드의 코드단계를 서로 비교하는 방식이 사용되었다. 하지만 악성코드의 유입량이 증가하고 비교대상이 많아지면서 유사도를 확인하기 위해 많은 계산이 필요하게 되자 계산량을 줄이기 위해 최근에는 퍼지해시가 사용되고 있다. 하지만 퍼지해시에 제한사항들이 제시되면서 기존의 퍼지해시를 이용한 유사도 비교방식의 문제점이 제시되고 있다. 이에 본 논문에서는 퍼지해시를 이용하여 유사도 성능을 높일 수 있는 새로운 악성코드간 유사도 비교기법을 제안하고 이를 활용한 악성코드 분류기법을 제시하고자 한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
C. Park, H. Chung, K. Seo, S. Lee, "Research on the Classification Model of Similarity Malware using Fuzzy Hash," Journal of The Korea Institute of Information Security and Cryptology, vol. 22, no. 6, pp. 1325-1336, 2012. DOI: 10.13089/JKIISC.2012.22.6.1325.

[ACM Style]
Changwook Park, Hyunji Chung, Kwangseok Seo, and Sangjin Lee. 2012. Research on the Classification Model of Similarity Malware using Fuzzy Hash. Journal of The Korea Institute of Information Security and Cryptology, 22, 6, (2012), 1325-1336. DOI: 10.13089/JKIISC.2012.22.6.1325.