파워쉘 기반 악성코드에 대한 역난독화 처리와 딥러닝 기반 탐지 방법

Vol. 32, No. 3, pp. 501-511, 6월. 2022
10.13089/JKIISC.2022.32.3.501, Full Text:
Keywords: PowerShell, deobfuscation, Deep Learning
Abstract

2021년에는 코로나의 여파로 랜섬웨어를 활용한 공격이 유행했으며 그 수는 매년 급증하고 있다. 그 중 파워쉘은 랜섬웨어에 주요 기술로 사용되고 있어 파워쉘 기반 악성코드 탐지 기법의 필요성은 증가하고 있으나 기존의 탐지 기법은 난독화가 적용된 스크립트를 탐지하지 못하거나 역난독화에 시간이 오래 소요되는 한계가 존재한다. 이에 본 논문에서는 간단하고 빠른 역난독화 처리과정, Word2Vec과 CNN(Convolutional Neural Network)으로 구성 되어 스크립트의 의미를 학습하고 특징을 추출해 악성 여부를 판단할 수 있는 딥러닝 기반의 분류 모델을 제안한다. 2021 사이버보안 AI/빅데이터 활용 경진대회의 AI 기반 파워쉘 악성 스크립트 탐지 트랙에서 제공된 1400개의 악 성코드와 8600개의 정상 스크립트를 이용하여 제안한 모델을 테스트한 결과 기존보다 5.04배 빠른 역난독화 실행 시간, 100%의 역난독화 성공률, 0.01의 FPR(False Positve Rate), 0.965의 TPR(True Positive Rate)로 악성코드를 빠르고 효과적으로 탐지함을 보인다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
정호진, 유효곤, 조규환, 이상근, "파워쉘 기반 악성코드에 대한 역난독화 처리와 딥러닝 기반 탐지 방법," Journal of The Korea Institute of Information Security and Cryptology, vol. 32, no. 3, pp. 501-511, 2022. DOI: 10.13089/JKIISC.2022.32.3.501.

[ACM Style]
정호진, 유효곤, 조규환, and 이상근. 2022. 파워쉘 기반 악성코드에 대한 역난독화 처리와 딥러닝 기반 탐지 방법. Journal of The Korea Institute of Information Security and Cryptology, 32, 3, (2022), 501-511. DOI: 10.13089/JKIISC.2022.32.3.501.