N-Tuple 함수 매칭 기반 실행 바이너리 유사성 분석

Abstract

현대는 소프트웨어의 시대이고, 매우 많은 분야에 사용된다. 하지만, 소프트웨어는 편리함을 주는 반면 여러 가지 문제들도 가지고 있다. 소스코드 표절 문제나 시스템에 침투하는 악성코드 문제 등등 해결하기 위한 노력이 필요한 부분들이 있다. 실행 바이너리 파일을 이용해 소프트웨어의 유사성을 판단하는 방법은 이러한 분야들에 활용될 수 있다. 하지만, 실행 바이너리 파일만으로 유사성을 계산하는 것은 소스코드를 이용하는 방법에 비해 상대적으로 어렵다. 그 이유는 컴파일 과정에서 의미적인 정보를 잃고, 실행에 필요한 정보만을 실행 파일에 저장하기 때문이다. 따라서 실행 파일간의 비교 시에는 비교 대상과 단위를 결정하는 것이 중요하다. 본 논문에서는 함수를 중요한 단위로 가정하여 유사한 함수간 매칭을 수행한다. 그리고 매칭된 함수를 기반으로 실행 바이너리간의 전체 유사성을 계산하게 된다. 함수 매칭은 3단계로 구성되는데, 각 단계는 함수명 매칭, N-Tuple 기반 매칭, N-gram 유사성 기반 매칭이다. 매칭 단계가 완료되고 함수의 유사성 기반으로 전체 유사성을 계산할 때는 함수의 크기에 가중치를 부여하여 계산을 한다. 이는 크기가 큰 함수들이 전체 유사성에 더 많은 기여를 하도록 만들기 위함이다. 본 논문에서는 함수 매칭에 관한 3가지 실험을 수행하였다. 이는 N-Tuple 매칭에서의 N값에 따른 실험, 일반 소프트웨어 유사성에 관한 실험, 악성코드 유사성 및 클러스터링에 관한 실험이다. N값은 4-6-3 매칭이 좋은 결과를 보였고, 일반 프로그램간의 비교에서는 소스코드 기반 유사성 계산 도구인 MOSS와 대조했을 때 대부분 10% 미만의 차이를 보인다. 악성코드 패밀리 분류 실험에서는 패밀리별로 87.5% 이상의 추정 정확도가 결과로 나타났다.