TCP Packet Flow 특징 정보를 이용한 안드로이드 악성코드 탐지 방법

Abstract

안드로이드 악성코드는 빠르게 증가하고 있다. 많은 안드로이드 악성코드들은 불분명한 곳으로부터 악성코드를 설치하도록 유도하고 있다. 따라서 안드로이드장치들은 항상 악성코드 위협에 노출되어있다. 안드로이드 운영체제에서 악성코드를 차단하기 위해서 많은 연구가 진행 중이며 이런 연구 중 본 논문에서 네트워크 행위 기반 안드로이드 악성코드 탐지 방법을 연구하였다. 네트워크 행위 기반 안드로이드 악성코드 탐지방법은 악성코드가 행위를 수행할 때 발생되는 네트워크 패킷을 이용하여 특징을 생성하였으며, 이 특징은 TCP-Flow에 패킷 크기를 사상하고 코드변환을 통해 코드를 나열시킨, TCP-Flow 시퀀스(TCP-flow sequence)와 도메인 네임(Domain Name)을 사용해 하나의 특징으로 구성된다. 그리고 본 논문에서는 이 특징을 이용해 네트워크 행위 기반 악성코드 탐지 시스템을 구현하였다. 구현된 네트워크 행위 기반 악성코드 탐지 시스템은 네트워크를 통해 정보를 전달하는 패킷을 수집하고 제안한 특징인 도메인네임과 TCP-Flow 시퀀스를 이용해 악성코드에 감염된 모바일 장치를 탐지할 수 있으며, 추가적으로 각각의 정상 앱마다 구분할 수 있는 가능성을 확인할 수 있었다. 또한 학습된 악성코드 샘플이 증가할수록 높은 탐지확률을 실험의 결과를 통해 확인할 수 있었다. 본 논문에서 제안한 네트워크 행위 기반 안드로이드 악성코드 특징 생성 및 탐지 시스템은 IDS,IPS 시스템 같은 네트워크 기반 보안 시스템에 적용할 수 있는 기술로 발전시켜 사용할 수 있을 것으로 기대된다.