Symbol 기반 악성코드 정적분석 및 분류 시스템
Symbol-based Static Malware Analysis and Classification System
- 주제(키워드) 악성코드 , 정적분석 , 클러스터링
- 발행기관 아주대학교
- 지도교수 곽진
- 발행년도 2018
- 학위수여년월 2018. 2
- 학위명 석사
- 학과 및 전공 일반대학원 컴퓨터공학과
- 실제URI http://www.dcollection.net/handler/ajou/000000026931
- 본문언어 한국어
- 저작권 아주대학교 논문은 저작권에 의해 보호받습니다.
초록/요약
최근, 악성코드는 랜섬웨어, APT와 같은 지능화된 형태로 발전하고 있으며, 이러한 악성코드는 탐지를 피하기 위해 난독화, 패킹 등의 기술을 통해 변형되어 변종된 형태로 재출현하고 있다. 이러한 이유로, 악성코드 탐지를 위한 악성코드 정적분석 또는 분류 연구가 활발히 진행되고 있다. 하지만, 기존의 악성코드 정적분석 기술의 접근법은 난독화된 악성코드 분석에 있어 제한적이며, 동적분석의 경우 큰 시간비용 및 오버헤드를 발생시킨다. 따라서, 효율성을 고려하여 난독화에 영향을 받지 않는 악성코드 정적분석 방안을 연구할 필요가 있다. 이에 따라, 본 논문은 Symbol 기반 악성코드 정적분석 및 분류 시스템을 제안한다. 이는 난독화된 바이너리 파일에서 특정 Symbol들이 많이 나타는 특성을 이용하여, 정상 및 악성 바이너리 파일로부터 특정 Symbol들에 대한 문자열 데이터를 추출하고 정상파일 및 악성코드 간 해당 데이터의 분포 차이를 분석함으로써 악성코드를 탐지 및 분류한다. 따라서, Symbol feature를 기반으로 악성코드를 사전탐지하고, 탐지된 악성코드를 유사한 유형별로 군집화하여 분류함으로써 새로 유입되는 파일이 해당 유형의 군집에 분류되는 경우 악성코드로 탐지할 수 있다. 제안하는 시스템은 난독화된 악성코드 분석에 대한 기존의 정적분석 및 동적분석 기술의 한계를 개선하여 상대적으로 적은 시간비용 및 오버헤드로 악성코드를 탐지 및 분류할 수 있으며, 이는 추후 발생 가능한 신종 및 변종 악성코드의 탐지를 목표로 한다.
more목차
제 1 장 서론 1
제 2 장 관련연구 3
제 1 절 악성코드 동향 3
제 2 절 악성코드 분석 및 분류 연구 4
1. 바이너리 파일 기반 악성코드 정적분석 기술 4
2. 악성코드 정적분석을 위한 feature 분석 7
제 3 절 악성코드 난독화 기술 9
1. 난독화 기술 종류 9
2. 난독화 자동해독 기술 11
제 3 장 악성코드 분석 방안 13
제 1 절 로지스틱 회귀분석 14
제 2 절 k-means 군집화 알고리즘 15
제 3 절 악성코드 탐지 정확도 측정 방안 17
제 4 절 악성코드 군집 정확도 측정 방안 18
제 4 장 Symbol 기반 악성코드 정적분석 및 분류 시스템 19
제 1 절 제안 모델 20
제 2 절 실험 결과 및 분석 24
1. 데이터셋 추출 결과 28
2. Symbol feature 선정 결과 29
3. 악성코드 분석 결과 31
4. 악성코드 분류 결과 32
5. 기존 연구와의 비교 34
제 3 절 최적화 방안 36
1. 악성코드 분석 최적화 방안 36
2. 악성코드 분류 최적화 방안 40
제 5 장 결론 42
참고문헌 43
