N-gram opcode를 활용한 머신러닝 기반의 분석 방지 보호 기법 탐지 방안 연구

Vol. 32, No. 2, pp. 181-192, 4월. 2022
10.13089/JKIISC.2022.32.2.181, Full Text:
Keywords: Anti-analysis, N-GRAM, Malware detection, Classification, Machine Learning
Abstract

신종 악성코드의 등장은 기존 시그니처 기반의 악성코드 탐지 기법들을 무력화시키며 여러 분석 방지 보호 기법들을 활용하여 분석가들의 분석을 어렵게 하고 있다. 시그니처 기반의 기존 연구는 악성코드 제작자가 쉽게 우회할 수 있는 한계점을 지닌다. 따라서 본 연구에서는 악성코드 자체의 특성이 아닌, 악성코드에 적용될 수 있는 패커의 특성을 활용하여, 단시간 내에 악성코드에 적용된 패커의 분석 방지 보호 기법을 탐지하고 분류해낼 수 있는 머신러닝 모델을 구축하고자 한다. 본 연구에서는 패커의 분석 방지 보호 기법을 적용한 악성코드 바이너리를 대상으로 n-gram opcode를 추출하여 TF-IDF를 활용함으로써 피처(feature)를 추출하고 이를 통해 각 분석 방지 보호 기법을 탐지하고 분류해내는 머신러닝 모델 구축 방법을 제안한다. 본 연구에서는 실제 악성코드를 대상으로 악성코드 패킹에 많이 사용되는 상용 패커인 Themida와 VMProtect로 각각 분석 방지 보호 기법을 적용시켜 데이터셋을 구축한 뒤, 6개의 머신러닝 모델로 실험을 진행하였고, Themida에 대해서는 81.25%의 정확도를, VMProtect에 대해서는 95.65%의 정확도를 보여주는 최적의 모델을 구축하였다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
김희연 and 이동훈, "N-gram opcode를 활용한 머신러닝 기반의 분석 방지 보호 기법 탐지 방안 연구," Journal of The Korea Institute of Information Security and Cryptology, vol. 32, no. 2, pp. 181-192, 2022. DOI: 10.13089/JKIISC.2022.32.2.181.

[ACM Style]
김희연 and 이동훈. 2022. N-gram opcode를 활용한 머신러닝 기반의 분석 방지 보호 기법 탐지 방안 연구. Journal of The Korea Institute of Information Security and Cryptology, 32, 2, (2022), 181-192. DOI: 10.13089/JKIISC.2022.32.2.181.