API 호출 시퀀스 기반 악성코드 탐지 및 분류 시스템

Abstract

인터넷은 시대가 거듭할수록 점점 발달되면서 그 영향력도 매우 커지고 있다. 이에 따라 부작용들도 나타나고 있는 가운데, 그 중 하나가 악성코드에 의한 피해 사례이다. 이러한 피해 사례 증가의 의미는 변종 악성코드들의 수 가 급증하는 것과 관계가 있다. AV-TEST[1]의 2015년 조사 자료에 의하면 매일 220,000여개의 악성코드가 지속적으로 발견되고 있으며, 종류 또한 다양해지고 있다고 한다. 이와 같이, 악성코드의 수가 증가하고 있는 이유 중 하나는 악성코드 제작자가 광범위한 인터넷 보급을 이용하여 경제적, 금전적으로 이득을 취할 수 있기 때문이다. 초기의 악성코드 제작자의 목적은 자신의 해킹 기술 과시 및 호기심으로 시작하였다. 그러나 현재의 악성코드 제작자의 목적은 경제적, 금전적으로 이득을 취하는 것이 목적이 되었다. 매년 수가 급격히 증가하고 그 수법도 매우 고도화되는 악성코드에 대항하기 위해 여러 악성코드 탐지 기법, 분류 기법이 연구되어 왔다. 본 논문에서는 악성코드 탐지 및 분류를 위하여 동적 분석 기법 중 악성코드의 API 호출 시퀀스 기반으로 분석하는 기법을 소개한다. 분석 방법으로는 N-gram 기법을 이용하여 API 호출 시퀀스의 서브 API 호출 시퀀스 빈도수를 추출하고, 추출된 빈도수를 이용하여 네 가지 유사도 계산식으로 악성코드 간의 유사도 값을 측정한다. 측정된 유사도 결과를 토대로 네 가지 유사도 계산식 비교분석하며, 변종 악성코드에 대한 악성코드 패밀리 분류 가능성을 분석한다.