랜섬웨어 특징정보 추출 및 탐지 연구

Abstract

최근 랜섬웨어에 의한 피해가 전 세계적으로 급증하고 있으며, 국가 기관, 기업, 민간 등 사회 전반에 막대한 피해를 입히고 있다. 따라서 랜섬웨어에 대한 대응법과 탐지 및 복구 기술에 대한 연구의 필요성이 증대되고 있다. 본 논문은 랜섬웨어를 실제로 실행시켜 분석하고 그 과정에서 추출한 행위 정보를 바탕으로 정상 프로그램/기타 악성코드/랜섬웨어로 구성된 테스트 샘플에서 효율적으로 랜섬웨어를 탐지 및 분류할 수 있는 방법을 소개한다. 랜섬웨어 분석과 특징정보 추출을 자동화할 수 있는 전체 분석 및 추출 자동화 모듈에 대해 설명한다. 랜섬웨어의 행위 정보 상 특징을 학습하기 위해 총 7가지 기계 학습 알고리즘을 사용했고, 특징정보에 효율적인 가중치 적용을 위해 본 논문에서 고안한 CF-NCF라는 가중치를 적용한 실험 결과를 제시하고, 해당 가중치 적용 방식에 대해 소개한다. 총 7가지의 기계 학습 알고리즘 모델에서 가장 높은 분류 및 탐지 정확도를 보인 모델은 랜덤 포레스트 모델로, 최고 약 98% 후반의 평균 정확도를 산출했다. 7가지의 모델 중 6개가 최소 90%이상의 정확도로 3개의 클래스 레이블로의 분류 및 랜섬웨어 탐지를 성공적으로 수행했다. 이에 대한 실험 결과를 제시하고, 결과를 분석한다.