API 호출 시퀀스를 이용한 머신 러닝 기반 Malware 탐지 분석

Abstract

Malware는 악의적인 의도로 컴퓨터 또는 서버에 피해를 입히도록 설계된 소프트웨어로, Malware가 증가하면서 그에 따른 피해 또한 증가하고 있다. 수천 여종의 변종 악성 코드 또한 지속적으로 유포되고 있기 때문에 효율적인 탐지 방법이 필요하다. 이를 위하여 본 논문에서는 악성 코드 탐지를 위하여 악성 파일과 정상 파일을 동적 분석으로 추출해 얻은 API 시퀀스 데이터를 사용하여 N-gram과 TF-IDF로 데이터 전처리 과정을 거쳐 머신 러닝 분류 알고리즘을 통하여 악성 코드 탐지 방법을 제안하였다. 제안된 방법에 대하여 N-gram 별 탐지 정확도 분석하였다. 결과적으로는 2-gram에서 약 0.933으로 우수한 성능을 보였으며 3-gram은 0.921, 4-gram은 0.916으로 좋은 탐지 결과를 보였다. 본 논문에서는 머신 러닝 탐지 알고리즘으로 Random Forest, Decision Tree, Support Vector Machine을 사용했으며, 알고리즘으로서는 Random Forest가 0.964으로 가장 좋은 탐지 결과를 보였다.