메모리 분석을 통한 SVM 기반의 안드로이드 악성코드 탐지 기법

Abstract

2007년 3%에 미만에 불과하던 스마트폰 보급율은 아이폰 발표 후 꾸준히 증가하여 현재 50%가 넘는 것으로 확인된다. 즉 전세계 인구의 반 이상이 스마트폰을 사용하고 있는 것이다. 스마트폰은 일상의 편리함을 가져다 주 는 도구로서 이제 우리의 삶에 없어서는 안 될 존재로 자리매김하고 있다. 각종 크고 작은 정보를 제공하는 것부터 교육, 금융, 업무 등 다양한 분야 에서 활용되며 지속적으로 발전을 이어오고 있다. 하지만 이러한 보급률의 성장에 따라 부작용 역시 급증하고 있으며, 이 중 사용자의 개인정보 및 금 융정보를 탈취하는 악성코드의 공격으로 인한 피해 사례가 꾸준히 상승하고 있다.

본 논문에서는 모바일 운영체제 중 안드로이드를 공격 대상으로 하는 악성 코드를 탐지하기 위해 다음과 같은 방안을 제시한다. 첫째, 악성행위를 하는 어플리케이션의 메모리 영역을 분석하여 악성코드의 특징을 도출한다. 둘째, 머신러닝 지도학습 분류 모델을 활용하여 어플리케이션의 정상행위와 악성행위를 분류하고 학습시켜 안드로이드 악성코드 탐지를 수행한다. 평가 지표로 TPR, FNR, FPR, TNR, Precision, Recall, F1-score 7 가지 항목의 점수를 계산하여 탐지 모델의 정량적 평가 및 비교를 수행 하였다.

실험 결과, SVM 지도학습 분류 모델이 약 98%의 높은 비율로 악성코드를 탐지해 가장 성능이 우수했다. 본 연구를 통해 기존 악성코드 분석 방법의 단점을 보안하고 탐지 모델의 성능을 향상시키는데 도움이 된다는 사실을 입증 하였다.; The smartphone penetration rate, which stood at less than 3 percent in 2007, has steadily increased since the iPhone's release, and is now more than 50 percent. That is, more than half of the world's population uses smartphones. Smartphones are now becoming indispensable to our lives as tools that bring convenience to our daily lives. It has been used in various fields, ranging from providing various information large and small, to education, finance, and work, and has continued to develop. However, side effects are also surging due to the growth of the penetration rate, and among them, damage from malicious code attacks that steal users' personal and financial information is steadily rising.

In this paper, the following measures are presented to detect malicious code targeting Android among mobile operating systems. First, the memory area of an application that conducts malicious behavior is analyzed to derive the characteristics of malicious code. Second, it uses machine learning map learning classification model to categorize and learn normal and malicious behavior of applications to perform Android malware detection. The scores of seven items, TPR, FNR, TNR, Precision, Recall, and F1-score, were calculated using the evaluation index to perform quantitative evaluation and comparison of the detection model.

As a result of the experiment, the SVM guidance learning classification model detected malicious code at a high rate of about 98 percent, giving it the best performance. This research has demonstrated that the shortcomings of existing malware analysis methods are secured and helped improve the performance of the detection model.