공격자 그룹 특징 추출 프레임워크 : 악성코드 저자 그룹 식별을 위한 유전 알고리즘 기반 저자 클러스터링

신건윤; 김동욱; 한명묵; Gun-Yoon Shin; Dong-Wook Kim; Myung-Mook Han

연구문헌

국내 논문지

홈 > 연구문헌 > 국내 논문지 > 한국인터넷정보학회 논문지

한국인터넷정보학회 논문지

Current Result Document : 3 / 128 이전건 다음건

한글제목(Korean Title)	공격자 그룹 특징 추출 프레임워크 : 악성코드 저자 그룹 식별을 위한 유전 알고리즘 기반 저자 클러스터링
영문제목(English Title)	The attacker group feature extraction framework : Authorship Clustering based on Genetic Algorithm for Malware Authorship Group Identification
저자(Author)	신건윤 김동욱 한명묵 Gun-Yoon Shin Dong-Wook Kim Myung-Mook Han
원문수록처(Citation)	VOL 21 NO. 02 PP. 0001 ~ 0008 (2020. 04)
한글내용 (Korean Abstract)	최근 악성코드를 활용한 APT(Advanced Persistent Threat) 공격의 수가 점차 증가하면서 이를 예방하고 탐지하기 위한 연구가 활발히 진행되고 있다. 이러한 공격들은 공격이 발생하기 전에 탐지하고 차단하는 것도 중요하지만, 발생 공격 사례 또는 공격 유형에 대한 정확한 분석과 공격 분류를 통해 효과적인 대응을 하는 것 또한 중요하며, 이러한 대응은 해당 공격의 공격 그룹을 분석함으로써 정할 수 있다. 따라서 본 논문에서는 공격자 그룹의 특징을 파악하고 분석하기 위한 악성코드를 활용한 유전 알고리즘 기반 공격자 그룹 특징 추출 프레임워크를 제안한다. 해당 프레임워크에서는 수집된 악성코드를 디컴파일러와 디셈블러를 통해 관련 코드를 추출하고 코드 분석을 통해 저자와 관련된 정보들을 분석한다. 악성코드에는 해당 코드만이 가지고 있는 고유한 특징들이 존재하며, 이러한 특징들은 곧 해당 악성코드의 작성자 또는 공격자 그룹을 식별할 수 있는 특징이라고 할 수 있다. 따라서 우리는 저자 클러스터링 방법을 통해 바이너리 및 소스 코드에서 추출한 다양한 특징들 중에 특정 악성코드 작성자 그룹만이 가지고 있는 특징들을 선별하고, 정확한 클러스터링 수행을 위해 유전 알고리즘을 적용하여 주요 특징들을 유추한다. 또한 각 악성코드 저자 그룹들이 가지고 있는 특성들을 기반으로 각 그룹들만을 표현할 수 있는 특징들을 찾고 이를 통해 프로필을 작성하여 작성자 그룹이 정확하게 군집화 되었는지 확인한다. 본 논문에서는 실험을 통해 유전 알고리즘을 활용하여 저자가 정확히 식별되는 지와 유전 알고리즘을 활용하여 주요 특징 식별이 가능한지를 확인 할 것이다. 실험 결과, 86%의 저자 분류 정확도를 보이는 것을 확인하였고 유전 알고리즘을 통해 추출된 정보들 중에 저자 분석에 사용될 특징들을 선별하였다.
영문내용 (English Abstract)	Recently, the number of APT(Advanced Persistent Threats) attack using malware has been increasing, and research is underway to prevent and detect them. While it is important to detect and block attacks before they occur, it is also important to make an effective response through an accurate analysis for attack case and attack type, these respond which can be determined by analyzing the attack group of such attacks. Therefore, this paper propose a framework based on genetic algorithm for analyzing malware and understanding attacker group's features. The framework uses decompiler and disassembler to extract related code in collected malware, and analyzes information related to author through code analysis. Malware has unique characteristics that only it has, which can be said to be features that can identify the author or attacker groups of that malware. So, we select specific features only having attack group among the various features extracted from binary and source code through the authorship clustering method, and apply genetic algorithm to accurate clustering to infer specific features. Also, we find features which based on characteristics each group of malware authors has that can express each group, and create profiles to verify that the group of authors is correctly clustered. In this paper, we do experiment about author classification using genetic algorithm and finding specific features to express author characteristic. In experiment result, we identified an author classification accuracy of 86% and selected features to be used for authorship analysis among the information extracted through genetic algorithm.
키워드(Keyword)	저자 특성 공격자 그룹 유전 알고리즘 저자 클러스터링 Authorship Attribution Attacker Group Genetic Algorithm Malware Authorship Clustering 악성코드
파일첨부	PDF 다운로드