대량의 악성코드 분류에 적합한 악성코드 특징 추출 및 그 유용성에 관한 연구

Abstract

최근 새롭게 제작되는 악성코드 수의 증가와 악성코드 변종들의 다양성은 악성코드 분석가의 분석에 소요되는 시간과 노력을 요구한다. 따라서 효과적인 악성코드 분류는 악성코드 분석가의 악성코드 분석에 소요되는 시간과 노력을 감소시키는 데 도움을 줄 뿐만 아니라, 악성코드 계보 연구 등 다양한 분야에 활용 가능하다. 기존의 악성코드 분류연구는 악성코드 분류 정확성에 맞추어져 있었으나 최근 대량으로 발생하는 악성코드를 분류하기 위해서 대량의 악성코드 분류에 적합한 악성코드 특징을 추출하는 것이 중요 연구 주제 중 하나로 부각되었으며, 현재까지는 정적 분석 및 동적 분석을 통해 얻어진 악성코드 특징을 줄이기 위한 연구가 일부 진행되었다. 본 논문에서는 정적 분석 악성코드 특징인 연산부호를 이용하여 대량의 악성코드 분류에 적합한 특징을 추출하는 기법 및 특징을 제안한다. 제안하는 특징은 중요 연산부호이며, 이는 악성코드 분류에 높은 영향력을 가지는 연산부호들을 의미한다. 실험을 통해서 악성코드 분류에 높은 영향력을 가지는 상위 10개의 연산부호들을 중요 연산부호로 선정할 수 있음을 확인하였다. 이를 이용할 경우 지도학습 알고리즘의 학습시간을 단축시킬 수 있고 특히 의사결정나무 알고리즘의 경우 알고리즘의 학습시간을 약 91% 단축시킬 수 있다. 이는 향후 다량의 악성코드 분류 연구에 응용 가능할 것으로 기대된다.