바이너리 시각화와 기계학습을 이용한 악성코드 분류

Abstract

악성코드 제작 시, 기존 코드의 재사용, 악성코드 제작 도구의 발전 등의 이유로 인해, 악성코드 변종의 수가 빠르게 증가하고 있다. 따라서 악성코드의 변종을 정확하고 신속하게 분류하는 것이 중요해지고 있다. 기존의 악성코드 분류는 바이너리 파일 내 특정 바이트 순열 포함 여부를 이용하였으나 이러한 시그니처 기반 악성코드 분류는 변종 악성코드를 분류하는 데 어려움이 있다. 본 논문은 악성코드변종을 보다 높은 정확도로 분류하기 위한 이미지 기반 악성코드 분류 방법을 제안한다. 악성코드 분류를 위해, 악성코드 바이너리로부터 고정된 크기의 이미지를 생성한다. 바이너리의 각 바이트의 값을 좌표로 이용하며, 2 바이트 데이터를 <x, y> 좌표로 대응시켜, 이미지에서 각 좌표에 해당되는 픽셀의 값을 증가시킨다. 이러한 방식으로 생성된 이미지 특징정보를 기계학습에 활용한다. 악성코드 분류에 사용된 기계학습 알고리즘은 random forest와 convolutional neural network이며, 각각의 분류 기법을 10868개의 악성코드 샘플에 실험한 결과, 각각 98.9%, 97.1%의 높은 정확도로 악성코드를 분류하였다.