문자열과 API를 이용한 악성코드 자동 분류 시스템

Abstract

최근 다양한 종류의 악성코드가 제작 및 유포 되어 일반 사용자의 컴퓨터를 감염시키고, 컴퓨터에 저장된 금융정보, ID나 비밀번호와 같은 각종 개인정보를 유출하는 것은 물론, 감염된 컴퓨터를 DDoS 공격 등에 이용하는 등 그 피해가 네트워크 전반에 걸쳐 나타나고 있다. 게다가 악성코드는 보편화된 자동 생성 도구에 의해 쉽게 다양한 변종으로 생성될 수 있어 그 수가 기하급수적으로 늘어날 전망이다. 그러나 기존 시그니처를 사용하는 탐지 방법은 변종에 대해 빠르게 대응할 수 없고 또 새로운 변종을 탐지하기 위해 데이터베이스를 업데이트하는 등 대응에 소요되는 시간이 빠르게 생산되는 악성코드의 전파 속도에 뒤처지는 실정이다. 따라서 동종 및 변종 악성코드의 전파를 막기 위한 분석과 대응이 신속히 이루어질 것이 요구되고 있다. 본 논문에서는 악성코드의 바이너리 실행파일 및 행위 분석을 통해 동종 및 변종 악성코드를 분류하는 방법을 제시하고, 악성코드 샘플을 대상으로 제시한 기법을 통해 분류한 결과를 기술한다. Recently, various malicious programs are being produced and distributed causing problems in networks; such as infecting user computers, exposing personal information including finance information, IDs, and passwords that are stored in computers, and attacking infected computers by DDoS attacks, etc. In addition, variant malicious programs are easily created with widely spread automatic tools and are expected to increase geometrically.However, detection methods that use former signatures are not easily applied to variant programs and the countermeasures to detect these variant malicious programs such as updating databases, etc. cannot cope with the rapidly growing number of mutated malicious software. Therefore, countermeasures and analysis are required to block the spreading of these malicious programs of the same kind or variant ones. This thesis suggests a method for classifying same or variant types of malicious programs through analyzing the binary execution file and actions of malicious programs and actually classifies and explains the results of the suggested method on malicious program samples.