Active Triple Malware Detection Model for Secure Cloud Computing

Jueun Jeon 동국대학교 일반대학원 2024 국내박사

Advances in artificial intelligence and internet of things technologies have rapidly increased the amount of data collected and generated in real time. The significance of cloud computing, which provides high-performance computation for storing and processing vast amounts of data, is increasing in the era of the Fourth Industrial Revolution when the number of devices connecting to cloud servers is increasing exponentially. Traditional cloud computing, which operates centrally, causes network congestion and lowers data transmission speeds with increases in data volumes. Furthermore, cloud servers have limited traffic-handling capacities, resulting in longer service response times or even service interruptions. To address these transmission and processing delays, fog computing, which adds a fog layer to the existing cloud computing environment, has been introduced. Fog computing uses distributed processing to reduce the computing load on cloud servers and minimize network delays by shortening the distance of data transmission. The cloud computing environment, which interacts with various devices, holds sensitive data such as financial and personal information. Consequently, individual devices become targets for various attacks aimed at exploiting their security vulnerabilities. Although there have been studies on detecting malware originating from various devices to protect the cloud computing environment from cyber threats, these studies often focus on detection in a specific layer or use the same detection model across multiple layers. This approach makes it difficult to quickly and accurately detect variant and obfuscated malware. Therefore, this study proposes an active triple malware detection (AcTiM) model, which performs malware detection in various ways across multiple layers to ensure a secure cloud computing environment with low false negatives. First, in the device layer, the AcTiM model rapidly detects known malware based on the hash of the executable file. Based on the results of the primary malware detection, executable files, classified as unknown or benign, are sent to the fog layer, where the AcTiM model determines whether the file is obfuscated based on its entropy. Subsequently, the model extracts five types of static features from non-obfuscated executable files using a static analysis and detects variant malware with similar structural patterns. Finally, the cloud layer performs dynamic analysis on the executable predicted as benign by the fog layer and the obfuscated executable to extract dynamic features related to the behavior of the executable, and detects the obfuscated malware based on them. The performance of the AcTiM model in malware detection achieved an accuracy of 94.78%, a recall of 0.9794, precision of 0.9535, and an f1-score of 0.9663. The AcTiM model accurately detected both known and variant or obfuscated malware through a sequential detection process across 3-layer, demonstrating superior performance compared to existing malware detection models. Additionally, comparative analyses with various anti-virus engines have confirmed the AcTiM model's effectiveness and its ability to generalize across different types of malware. Artificial intelligence, internet of things 등의 기술 발전으로 인해 실시간으로 수집 및 생성되는 데이터의 양이 급격하게 증가하고 있다. 또한, cloud server로 연결되는 device의 수가 기하급수적으로 증가하는 4차 산업혁명 시대에서 방대한 양의 데이터를 저장하고 처리하기 위해 high-performance 연산을 제공하는 cloud computing의 중요성이 커지고 있다. 그러나 기존 cloud computing은 중앙 집중식으로 운영되기 때문에 데이터 전송량이 증가함에 따라 네트워크 트래픽이 혼잡해지고 데이터 전송 속도가 느려진다. 또한, cloud server는 트래픽 처리 용량이 제한되어 있어 서비스 응답 시간이 길어지거나 서비스가 중단된다. 이러한 전송 및 처리 지연 문제를 개선하기 위해 기존 cloud computing 환경에 fog layer를 추가하는 fog computing이 도입되었다. Fog computing은 분산 처리를 통해 cloud server의 computing 부하를 줄이고 데이터 전송 거리를 단축시켜 네트워크 지연을 최소화한다. 다양한 device들과 상호작용하는 cloud computing environment에는 금융 정보, 개인 정보 등 기밀 데이터가 저장되어 있다. 이에 따라, 개별 device들의 보안 취약점을 악용하여 cloud server로 접근하기 위한 다양한 공격이 수행되고 있다. 사이버 위협으로부터 cloud computing 환경을 보호하기 위해 다양한 디바이스에서 발생하는 malware를 탐지하는 연구들이 수행되고 있다. 그러나 기존 malware detection 연구들은 특정 layer에서만 malware detection을 수행하거나 다중 layer에서 동일한 detection model을 활용하기 때문에 변종 및 난독화 된 malware를 신속하고 정확하게 탐지하기 어렵다. 따라서 본 연구에서는 다중 layer에서 서로 다른 방식으로 malware detection을 수행하여 false negative가 낮고 안전한 cloud computing environment를 보장하는 active triple malware detection (AcTiM) model을 제안한다. 먼저, device layer에서 AcTiM model은 실행 파일의 hash를 기반으로 알려진 malware를 신속하게 탐지한다. 1차 malware detection 결과에 따라, unknown 및 benign으로 분류된 실행 파일은 fog layer로 전송되며, fog layer에서는 entropy를 기준으로 실행파일의 난독화 여부를 판단한다. 이후, AcTiM model은 static analysis를 통해 난독화되지 않은 실행 파일로부터 5종류의 static feature를 추출하고, 유사한 구조적 패턴을 가진 변종 malware를 탐지한다. 마지막으로, cloud layer에서는 난독화된 실행파일과 fog layer에서 benign으로 예측한 실행파일에 dynamic analysis를 수행하여 실행 파일의 행위와 관련된 dynamic feature를 추출하고, 이를 기반으로 난독화된 malware를 detection한다. AcTiM model의 malware detection 성능을 평가한 결과, 94.78%의 accuracy, 0.9794의 recall, 0.9535의 precision, 0.9663의 f1-score로 산출되었다. 이러한 AcTiM model은 3개의 layer에서 순차적으로 malware detection을 수행하여 알려진 malware뿐만 아니라 변종 및 난독화된 malware를 정확하게 탐지함으로써 기존 malware detection model들보다 우수한 성능을 보여주었다. 또한, 여러 anti-virus engine들과의 성능 비교 분석을 통해 다양한 유형의 malware에 대한 AcTiM model의 효과성과 일반화 성능을 입증하였다.

A Study of Feature-Chain Based Malware Detection Mechanisms

김현주 성균관대학교 일반대학원 2016 국내박사

최근 APT 공격과 같은 사이버 표적공격이 사회적, 국가적 위협으로 급격히 증가하고 있다. 사이버 표적공격은 다양한 방법으로 표적 기관이나 기업에 은밀하게 침투하고 장기간의 철저한 준비과정을 통해 최종 공격을 수행하여 막대한 피해를 입히는 지능형 사이버 공격이다. 이러한 공격은 일회성이 아니라 장기간에 걸쳐 이루어지고, 다양한 악성코드나 공격 루트를 이용하기 때문에 사전 탐지 및 대응이 어렵다. 또한 사이버 표적공격을 포함한 최근의 사이버 공격은 공격자의 악의적인 목적에 따라 개인정보 유출, 금융사기, DDoS, 사이버 표적 공격 등의 다양한 형태로 발생하고 있지만, 이러한 모든 사이버 공격에는 악성코드가 그 수단이 되고 있다. 최근 10년간 새로운 악성코드가 지속적으로 증가하고 있고, 최근 몇 년 사이에 신종과 변종을 포함한 악성코드의 수는 기하급수적으로 증가하고 있다. 이는 컴퓨터와 인터넷의 보급과 성능이 급속히 향상됨에 따라 악성코드의 확산 속도도 가속되고, 보편화된 악성코드 자동 생성도구로 기존의 악성코드를 이용하여 손쉽게 신종 및 변종의 악성코드를 제작할 수 있기 때문이다. 따라서 모든 공격의 수단으로 사용되고 있는 악성코드를 탐지하는 것이 다양한 형태의 사이버 공격을 탐지하는 중요한 트리거링 포인트이다. 기존의 악성코드를 탐지하고 분류하기 위한 분석 방법으로는 행위를 분석하는 동적 분석 방법과 코드를 분석하는 정적 분석 방법이 존재한다. 동적 분석은 분석환경 내에서 악성코드를 실행시킴으로써 수행되는 악성행위 및 위험요소를 실시간으로 모니터링하고 추적하는 방법이다. 정적 분석은 악성코드를 실행하지 않고 구성 요소들의 연관성 및 호출 관계 등을 분석함으로써 악성코드의 구조와 삽입된 DLL 등을 파악할 수 있으며, 소프트웨어 역공학(Reverse Engineering)에서 주로 사용된다. 특히, 정적 분석은 특정 실행조건에 제한 없이 악성코드의 구조와 동작 특징을 분석하는 장점이 있지만, 분석기능을 자동화하기 어렵고, 실행코드의 암호화, 패킹(Packing) 등 은닉기술이 적용되어 분석에 상당한 시간과 노력이 필요하다. 동적 분석은 악성코드를 분석하기 위해 가상머신 환경 내에서 악성코드를 직접 실행시켜 프로세스 생성, 레지스트리 변경 등 악성코드의 행위를 기반으로 분석하는 방법이다. 동적 분석은 행위정보를 기반으로 분석하기 때문에 신규 악성코드에 대한 탐지 가능성이 높을 뿐만 아니라, 사람의 개입 없이 자동분석 방식으로 구현되어 최신 악성코드에 대해 우선 적용됨으로써, 추가 분석이 필요한 악성코드를 선별하는 용도로 주로 사용되고, 확인된 악성코드의 행위정보를 수집하는데 사용된다. 따라서 본 논문은 기존의 악성코드는 물론 알려지지 않은 악성코드를 보다 정확하게 탐지하기 위해, 동적 분석 방식을 기반으로 악성코드 그룹의 고유한 행위 패턴을 생성하고, 악성코드 행위 패턴과 탐지 대상 프로세스의 행위 서열과의 유사도를 측정함으로써 악성코드를 탐지하는 기술에 대해 제안한다. 이때 악성코드의 행위 서열은 악성코드가 실행될 때 호출되는 API call을 후킹함으로써 생성된다. 먼저, 악성코드의 고유한 행위 패턴을 “feature-chain”이라고 정의하고, 생명공학에서 인간의 염기서열을 분석하는데 사용되는 다중 서열 정렬 (Multiple Sequence Alignment) 알고리즘을 악성코드 그룹의 행위 서열에 적용함으로써 feature-chain을 생성한다. Feature-chain 기반의 악성코드 탐지 기술은 feature-chain 생성 단계와 악성코드 탐지 단계로 이루어져 있다. Feature-chain 생성은 악성코드의 행위 서열 추출, 특성인자 선정 및 전처리, 유사 행위에 따른 악성코드 분류, MSA를 이용한 feature-chain 생성 단계로 구성된다. 생성된 악성코드 그룹별 feature-chain은 데이터베이스에 저장되어 악성코드 탐지 단계의 유사도 비교에 사용된다. 악성코드 탐지는 탐지 대상 프로세스의 행위 서열 추출, 특성인자 선정 및 전처리, 유사도 비교 분석을 통해 이루어진다. 이때 유사도 비교 분석은 최장 공통 부분수열 (Longest Common Subsequence) 알고리즘을 기반으로 수행된다. 본 논문에서는 제안한 악성코드 탐지 시스템의 성능을 검증하기 위해, 두 가지 비교 실험을 수행하였다. 첫 번째 실험은 결정트리 (Decision Tree)와 SVM (Support Vector Machine)과 같은 데이터 마이닝 기술을 적용한 악성코드 탐지 방식과 인간의 염색체 유사도 비교에 사용되는 Percent Identity를 이용한 탐지 방식과의 성능 비교 실험이다. 실험 결과를 통해, 본 논문에서 제안한 방식이 탐지율 (Recall)에서는 타 방식보다 조금 낮은 93.59%를 달성하였지만, 정확도 (Accuracy)와 오탐율 (False Positive)에서 가장 높은 성능을 기록하였다. 따라서 각 탐지 방식의 F-measure를 비교함으로써 제안한 방식의 탐지 성능이 가장 우수함을 알 수 있었다. 두 번째 실험은 기존의 안티바이러스 제품과의 탐지 성능 비교 실험이다. 바이러스토탈(VirusTotal) 서비스에서 제공하는 여러 안티바이러스 제품 중에 2015년도 베스트 안티바이러스 Top10에 속한 4개의 안티바이러스 제품과의 탐지 성능을 비교하였다. 실험 결과를 통해, 본 논문에서 제안한 방식이 본 논문에서 사용된 테스트 데이터에 대해 최고 2.55배 탐지율과 최고 1.33배의 정확도를 가짐을 알 수 있었다. 이 두 가지 실험을 퉁해, 본 논문에서 제안한 악성코드 feature-chain 기반의 악성코드 탐지 기술이 다른 악성코드 탐지 기법이나 기존의 안티바이러스 제품에 비해 우수함을 증명하였다. The recent cyber-attacks such as the personal information disclosure, DDoS (Distributed Denial of Service) attacks and APT (Advanced Persistent Threat) attacks utilize various malware as a means of attacks for the attacker’s malicious purposes. These attacks are aimed to steal confidential information or seize control over major facilities after infiltrating the network of a target organization. Most attackers generally create new types of malware or various variants of the existing malware by using an automatic malware creation tool, which provides the methods for controlling the remote target system easily and disturbing the trace-back of these attacks. Therefore, in order to detect and respond to these attacks, the technique that can efficiently detect the known and even unknown malware is required. This dissertation proposes the method for generating the behavior patterns of the malware groups and detecting the known and unknown malware. The behavior patterns of the malware groups are generated as using Multiple Sequence Alignment (MSA) algorithm with the API call sequences occurred from the execution of malware samples. Consequently, we defined these behavior patterns as the “feature-chain” of malware for the analytical purpose. The method of generating the feature-chain consists of extracting the API call sequences with API hooking library, classifying malware samples according to the similar behavior, and generating the representative sequences from the MSA results. The detection mechanism of numerous malware is performed by measuring similarity between the API call sequence of a target process (suspicious executables) and the feature-chains of the malware groups. This similarity value is calculated from our proposed equation based on a Longest Common Subsequence (LCS) algorithm. As the implementation of our proposed system, we explained the architecture of our proposed system and introduced visualization for the analysis result obtained from our proposed system. This visualization technique can provide a security manager with intuitive and easy determination. Finally, through several experiments, we evaluated the effectiveness of our proposed method. In comparison with other existing methods, our proposed method achieved high performance on precision, accuracy and false positive rate- 95.01%, 94.89%, and 4.04% respectively. And compared with other antivirus systems, our proposed system outperforms over them with 2.55 times in the detection rate and 1.33 times in the accuracy rate for malware detection.

A Malware Detection and Extraction Method for the Related Information Using the ViT Attention Mechanism on Android Operating System

Jo, Jeong Geun 고려대학교 정보보호대학원 2023 국내석사

Artificial intelligence (AI) is increasingly being utilized in cybersecurity, particularly for detecting malicious applications. However, the black-box nature of AI models presents a significant challenge. This lack of transparency makes it difficult to understand and trust the results. In order to address this, it is necessary to incorporate explainability into the detection model. There is insufficient research to provide reasons why applications are detected as malicious or explain their behavior. In this paper, we propose a method of a Vision Transformer(ViT)-based malware detection model and malicious behavior extraction using an attention map to achieve high detection accuracy and high interpretability. Malware detection uses a ViT-based model, which takes an image as input. The image is converted from an application. An attention map is generated with attention values generated during the detection process. The attention map is used to identify factors that the model deems important. Class and method names are extracted and provided based on the identified factors. The performance of the detection was validated using real-world datasets. The malware detection accuracy was 80.27%, which is a high level of accuracy compared to other models used for image-based malware detection. The interpretability was measured in the same way as the F1-score, resulting in an interpretability score of 0.70. This score is superior to existing interpretable machine learning (ML)-based methods, such as Drebin, LIME, and XMal. By analyzing malicious applications, we also confirmed that the extracted classes and methods are related to malicious behavior. With the proposed method, security experts can understand the reason behind the model’s detection and the behavior of malicious applications. Given the growing importance of explainable artificial intelligence in cybersecurity, this method is expected to make a significant contribution to this field. 사이버 보안에서 악성 애플리케이션 탐지와 같은 분야에 인공 지능 기술이 점점 더 많이 사용되고 있습니다. 하지만 AI 모델은 블랙박스라는 특징을 가지고 있습니다. 즉, AI 모델의 판단 과정과 근거를 알 수 없다는 것입니다. 이러한 투명성의 부족으로 보 안 전문가는 보안 AI 모델의 결과를 이해하고 신뢰하기가 어렵습니다. 이를 해결하기 위해 탐지 모델에 설명 가능성이 추가되어야 합니다. 악성앱을 악성으로 분류하는 이 유를 제시하거나 악성으로 탐지하게된 애플리케이션의 행위에 관한 정보를 설명할 수 있는 방법이 있어야 하지만 관련 연구는 부족합니다. 우리는 ViT(Vision Transformer) 기반의 악성코드 탐지 모델과 Attention Map을 이용한 악성 행위 추출 방법을 제안하 여 높은 탐지 정확도와 함께 높은 해석 가능성을 가지는 방법을 제안합니다. 악성앱 탐지는 앱을 이미지로 변환하고 이미지를 입력으로 하는 ViT 기반 모델을 사용합니 다. 모델의 탐지 과정에서 생성된 Attention 값을 사용하여 Attention Map을 만듭니다. Attention Map은 탐지 모델이 입력값에서 중요하다고 생각한 부분을 식별하기 위해 사 용되며, 식별된 영역을 기반으로 악성앱의 특정 클래스 및 메서드 이름들을 추출합니 다. 탐지 모델의 성능은 실제 환경의 악성앱 데이터셋을 사용하여 검증했습니다. 악성 앱 탐지 정확도는 80.27%로 이미지 기반 악성앱 분류에 사용되는 다른 모델에 비해서 높은 수준입니다. 해석력을 측정하기 위해서 F1-Score와 비슷한 방식의 측정법을 사용했으며, 모델의 해석력 점수는 0.70으로 기존 해석 가능한 모델 기반 연구들(Drebin, LIME, XMal) 보다 우수한 것으로 확인했습니다. 악성 애플리케이션을 정적분석하여 제안한 방법으로 추출한 클래스와 메서드가 악성 행위와 관련이 있음을 보였습니다. 제안한 방법을 통해 보안 전문가는 모델의 탐지 근거와 악성 앱의 동작을 이해할 수 있습니다. 사이버 보안에서 설명 가능한 인공 지능의 중요성이 증가함에 따라 우리가 제시한 방법은 상당한 기여를 할 것으로 예상합니다.

Malware detection & classification methods based on similarity matching with footprints

장재욱 高麗大學校 情報保護大學院 2016 국내박사

(모바일) 악성코드는 날이 갈수록 그 수법과 기능이 지능화, 고도화되고 있다. 학계 및 보안업체에서는 기하급수적으로 증가하는 (모바일) 악성코드에 효율적으로 대처하기 위하여 다양한 기법을 제안 및 적용하고 있으나, 여러 가지 제약조건 때문에 그 성능을 발휘하는데 한계가 있다. 본 논문에서는 기존 연구들을 보완하여 새로운 악성코드 탐지 및 분류시스템을 제안하고자 한다. 제안하는 시스템은 컴퓨터 시스템에서 가장 많은 비중을 차지하고 있는 윈도우즈 운영체제에서 악성코드를 분석할 수 있는 Mal-Netminer와 모바일 기기에서 가장 많은 비중을 차지하고 있는 안드로이드 운영체제에서 악성코드를 분석할 수 있는 Andro-AutoPsy, Dumpsys 이다. Mal-Netminer는 기존의 콜 그래프 기반의 탐지방법의 단점인 시간 및 연산 복잡도를 낮추기 위하여, 시스템 콜 그래프의 구조적인 성질과 그래프를 구성하고 있는 노드의 영향력을 분석한 경량화된 악성코드 탐지 및 분류 시스템이다. 본 논문에서는 사회연결망 분석방법에서 많이 사용하고 있는 메트릭을 적용하여 악성코드 탐지 및 분류에 적합한 7가지를 선정하여 이를 활용하였다. Andro-AutoPsy는 모바일 악성코드 제작자 정보와 악성코드의 코드 정보를 활용한 통합된 악성코드 분석 시스템이다. 제작자 정보인 인증서 정보를 활용한 악성 코드 탐지 방법은 관련 학문에서 처음 시도된 방법이고, 악성 코드 탐지시간을 단축시킬 수 있다. Andro-Dumpsys는 Andro-AutoPsy와 같은 정적 분석 방법의 공통적인 제한점인 난독화, 패킹, 동적 로딩 기법이 적용된 프로그램에 대한 분석 능력을 향상시킨 것으로, 포렌식 분야에서 많이 사용하고 있는 메모리 덤프 방법을 활용하여, 실행과 관련된 코드가 메모리에 적재되는 순간의 바이트 코드를 추출하여 악성 유무를 분석한다. 실험결과, 본 논문에서 제안하고 있는 시스템은 작은 오탐과 미탐으로 악성 코드를 탐지 및 분류할 수 있고, 확장성이 용이할 뿐 아니라, 아직 보고되지 않은 제로데이 공격에 대해서도 식별할 수 있는 능력을 갖추었다. 따라서 본 논문에서 제안하는 시스템들은 軍을 포함한 사회전반의 핵심 기반인 ICT (Information and Communications Technologies) 인프라 운영에 중요한 요소인 보안기술을 한층 더 발전시킬 수 있을 것으로 기대된다. Recently, as computer systems (e.g., desktop, laptop) and Internet become increasingly ubiquitous, the security threat is one of the most important issues among global society. Mobile security threats also have recently emerged because of the fast growth in mobile technologies and the essential role that mobile devices play in our daily lives. As the security landscape evolves over time, where thousands of species of malicious code are seen every day, antivirus vendors strive to detect and classify malware families for efficient and effective responses against malware campaigns. For that, and to particularly address threats associated with malware, various techniques are developed in the literature, including ones that utilize static, dynamic, on-device, off-device, and hybrid approaches for identifying, classifying, and defend against security threats. Those techniques fail at times, and succeed at other times, while creating a trade-off of performance and operation. In this thesis, we contribute to the (mobile) security defense posture by introducing three anti-malware systems: Mal-Netminer on Windows Platform, Andro-AutoPsy/Dumpsys on Android Platform. Mal-Netminer is an anti-malware system based on social network properties as applied to call graphs from the dynamic execution of malware samples. To explore distinguishing features of various malware species, we study social network properties as applied to the call graph, including the degree distribution, degree centrality, average distance, clustering coefficient, network density, and component ratio. We utilize features driven from those properties to build a classifier for malware families. Andro-AutoPsy/Dumpsys, anti-malware systems based on similarity matching of malware-centric and malware creator-centric information. Using them, we detect and classify malware samples into similar subgroups by exploiting the profiles extracted from integrated footprints, which are implicitly equivalent to distinct characteristics. Andro-Dumpsys has been originated from Andro-AutoPsy, and enables to analyze malware embedding complicated packing methods. The experimental results demonstrate that our systems are scalable, perform precisely in detecting and classifying malware with low false positives and false negatives, and are capable of identifying zero-day malware.

연계분석 기법을 활용한 Malware 탐지/대응 기법

오상우 숭실대학교 정보과학대학원 2016 국내석사

Malware에 의한 피해가 꾸준히 늘어나고 있는 추세이며 셀 수 없을 정도로 감염 경로는 확산되고 있다. 보안솔루션을 우회하는 다양한 기법들이 생겨나고 있고 신종 Malware가 지금도 개발되고 유포되고 있는 실정이다. 나날이 늘어나고 있는 수많은 Malware들을 이제는 사람이 대처하기 힘든 현실에 놓인 상황이다. 이러한 상황 속에서 여전히 우리는 보안솔루션에 의존하고 현재 시스템에만 의존하고 있다. 제로데이나 APT 공격 등에 대응하기 위해서는 지속적인 관심과 연구가 필요하며 현재의 시스템에 안주하지 않고 계속 개선시켜 나가야만 한다. 본 논문은 기존보다 효율적인 탐지 체계를 만들고 빠르고 신속한 대처를 위한 Malware 탐지/대응 기법에 대한 연구를 진행한다. 연계 이벤트 분석 기반의 연구를 진행하였으며 Malware 파일 자체의 분석 기법이 아닌 탐지/대응 체계에 대한 기법을 제안하였고 이를 통해서 기존 시스템보다 효율적인 탐지/대응이 가능한 시스템임을 확인할 수 있다. Malware 정보들과 감염 행위들을 연계 분석하여 기존에 탐지할 수 없었던 체계를 좀 더 강화하고 개선하는 기법을 제안하였고 해당 기법을 통하여 조금 더 고도화된 탐지와 빠른 대응이 가능해짐으로써 위험을 최소화 할 수 있다. 향후 빅데이터 기반의 더욱 정밀하고 고도화된 체계를 만들기 위해 꾸준히 연구할 계획이며 앞으로도 Malware뿐만 아니라 대한민국 보안을 위해 지속적인 연구와 관심을 가지고 꾸준히 노력 하려고 한다. As damages caused by malware are continuously increasing, its infection routes are countlessly spreading. On top of diverse techniques detouring security solutions, new types of malware are still developed and circulated. Such numerous malwares increasing everyday are actually hard to be dealt with now. Even in this condition, we are still depending on the current system and security solution. In order to cope with zero day or APT attacks, it would be necessary to have continuous interest and researches for the improvement without settling for the current system. This paper aims to study the malware detection/response techniques for establishing more efficient detection system than the existing one and also for quick responses. The researcher conducted a research based on the analysis of connected events, suggested detection/response techniques instead of techniques to analyze the malware file itself, and then verified that it would be a system for more efficient detection/response than the existing system. Suggesting the techniques that could reinforce/improve the existing system by analyzing the connection between malware information and infection behaviors, the relevant techniques can minimize risks through more advanced detection and quick response. The researcher aims to continuously study to establish more precise and advanced system based on bigdata in the future, and also to constantly make efforts for the security of Korea on top of malware.

Explaining Malware Adversary by Visualizing Latent Features through Densely Connected Residual Involution Network

MAINAK BASAK 가천대학교 일반대학원 2022 국내석사

Research on malware variant categorization has got a lot of attention in recent years. However, numerous issues remain, such as the low accuracy of sample categorization from comparable malware families, high false negatives as well as the high processing time and resource consumption. Malware authors have had a lot of success avoiding signature-based detection techniques. The majority of current static analysis techniques use a tool to parse the file. The entire analysis process becomes reliant on the tool's functionality; if the tool fails, the entire process is impeded. To investigate the behavior of a binary file, most dynamic analysis approaches require it to be executed in a sandboxed environment. If the file is launched inside a virtual environment, the harmful behaviors of the file can be readily hidden. We investigated a new technique for representing malware as images in this thesis. We next trained a classifier to categorize fresh malware files into their appropriate classifications using existing neural network approaches for identifying malware images. We have made our analysis method independent of any program and it has also become less time consuming by turning the file into an image representation. To combat such adversaries, we integrate a well-known method known as involution to extract location-specific and channel-agnostic aspects of malware data while incorporating through a deep residual block. Prior studies found that visualization techniques performed admirably well in a variety of areas. This study extracts various visual cues from the malware's raw static bytes sequence, making it more sensitive to malware samples from related families and allowing it to categorize malware variants more correctly. This research conducted a series of experiments on one malware dataset totaling more than 40,000 samples to evaluate the suggested technique. Experiments revealed that the method outperformed some of the major malware visual classification algorithms in terms of accuracy, with a significant improvement. This thesis presents a novel and scalable approach for classifying malware using Involution Neural Networks (INNs). On the one hand, the approach employs INNs to learn a feature hierarchy in order to discriminate between malware samples represented as RGB images. The proposed methods achieved an improvement of 98.81% with respect to the equal probability benchmark.

ATM Malware 공격 방어 기술에 대한 연구 : 금융 표준 인터페이스 보안

이상규 서울대학교 대학원 2019 국내석사

최근 금융 자동화 기기(ATM)를 대상으로 하는 공격이 점점 많아지고 피해 규모도 커지고 있다. 특히 Malware를 이용한 논리적 공격은 점점 지능화되어 사전에 발견하기가 어려우며, 피해 규모를 파악하기도 상당히 어렵다. 이 것을 막기 위한 화이트리스팅 기법이나 안티바이러스과 같은 보안 수단은 존재하지만 ATM의 특성상 하드웨어 노출의 문제점이 존재하고, 설치된 많은 기기가 이전 세대의 OS를 사용하는 등 취약점이 여전히 존재한다. 또한 금융 표준 인터페이스는 보안보다는 호환성에 목적이 있어 Malware로 하여금 쉽게 공격할 수 있게 해주는 통로가 되고 있다. 이러한 환경의 문제로 공격자는 쉽게 시스템에 접근할 수 있어 좀더 다양하고 독창적인 방법의 보안이 필요하다. 본 연구는 금융 자동화 기기를 대상으로 하는 많은 위협 중에 Malware와 같이 논리적인 공격에 대한 방어 방법을 제시한다. 금융 표준 인터페이스 상에서 돌아가는 Malware를 막기 위해서 동일한 금융 표준 인터페이스 상에 Malware를 필터링 하는 보안 필터를 구현하였고 기존의 화이트리스트 방법과 비교하여 성능을 평가하였다. 보안 필터는 어플리케이션의 ID와 파일명을 구별하는 기능, 거래 순서를 확인하여 잘못된 순서의 거래를 차단하는 기능, 암호화 인터페이스 기능과 버전관리 기능을 가지고 있으며 테스트 결과 효과적으로 Malware를 방어하는 것을 확인할 수 있었다. Recently, attacks targeting ATMs have been increasing and the damage has been increasing. In particular, the logical attacks using malware are becoming intelligent and difficult to detect in advance. Although there are many security systems to prevent it such as a whitelisting and an anti-virus software, the damage is continuing. This study presents a defense against logical attacks such as malware targeting ATMs. In order to prevent logical attacks from running on the ATM interfaces, it is required to implement a security filter on the same interface with it. The security filter has functions to distinguish between normal and abnormal application using file name list and using parameter information, to block commands in the wrong order by checking the order of transactions, to encrypt interface, and to manage a version control. The test result shows that suggested interface defense methods can effectively defend from various malware attacks.

Droidgraph : an effective android malware detection using semantic behavior analysis

정지환 Korea University 2016 국내석사

Since the number of mobile malware has been tremendously increased for the last decade, discovering mobile malware has become an important issue. Numerous efforts have been devoted to mitigate mobile malware threats, but they experienced difficulties because of repackaging and metamorphic techniques. Malware authors are used to generate tremendous variants of malware by applying repackaging that hides attack modules into well-known legitimate applications. Furthermore, in order to evade the existing anti-malware solutions, they leverage the metamorphic techniques such as API substitution and junk code insertion, which allows the manipulation of malware appearance while maintaining same functionality. Consequently, current malware countermeasures are suffering from the scalability problem for responding to the dramatic increase of malware variants. In this paper, we propose a novel method, called DroidGraph, which is scalable and robust against the mobile malware threats. The DroidGraph operation focuses on the semantic behavior of malware. DroidGraph extracts behavior graphs from the application and abstracts behavior graphs to semantic graphs, which are represented with 128 identical nodes based on the semantics of the Android API calls. We select semantic graphs containing representative malicious behaviors of Android malware and employ them as semantic signatures to discover the malware variants. For evaluation, we collected 10,937 legitimate Android applications from the Google Play Store and 5,170 real-world Android malware from malware portal sites such as Contagio. DroidGraph reduced the number of signatures down to 1/8 by comparing with one of the latest research. DroidGraph showed a detection rate of 92.38% with 1.39% of false positives in ten-fold verification.

A Study on Solutions to Privilege Escalation, Fragmentation, and Malware Threats for Android Security

NGUYEN VU, LONG 숭실대학교 대학원 2021 국내박사

Android has become one of the most popular operating systems. As a result, it is a target of different types of attacks, which aim at the integrity of the device and the privacy of the user. While a lot of efforts have been made through security patches in the industry and proposals in the academy, Android devices are still vulnerable due to the openness and fragmentation of this operating system. This thesis is an attempt to mitigate several security issues regarding privilege escalation, fragmentation, and malicious code, which can be summarized are as follows: (1) an arms race between several rooting detection techniques from both Java and native code, and evasion techniques by major hooking tools; (2) a presence of fragmentation across several Android versions and its impacts on security; (3) an emerge of machine learning-based approaches to malware detection. To this end, several machine learning-based models are presented that target different Android API levels to mitigate fragmentation issues; and an approach named AdMat is proposed to build learning models to effectively characterize Android applications. Because AdMat transforms the application into a 2-D matrix, it allows Convolutional Neural Networks to be trained conveniently for malware classification and detection task. The study views the evolution of Android and its adversaries as an arms-race between evasion and detection. It is concluded that, malware and rooting has become prevalent as inevitable trends, given the fragmentation nature of Android, security mechanisms from hardware and software should be both employed for stronger protection. The result of this thesis is the effort to address the latter part. During the experiment, we found that this approach can generalize to different training conditions and achieve up to 98.26% accuracy on different malware datasets. It only requires a small amount of training data on classification tasks to correctly classify over 97.00% of different families of malware. Also, for classifiers targeting a particular API level, individual classifiers have proven to be more successful than cumulative classifiers. 안드로이드는 가장 인기있는 운영체제 중 하나가 되었으며, 결과적으로 안드로이드는 장치의 무결성과 사용자의 개인 정보를 목표로 하는 다양 한 유형의 공격의 대상이다. 산업 차원에서의 보안 패치, 아카데미 차원 에서의 제안 등을 통해 많은 노력을 기울이고 있으나, 안드로이드 기기 는 운영체제의 개방성과 단편화로 인해 여전히 취약하다. 이 논문은 권 한 상승, 단편화 및 악성코드와 관련된 여러 보안 문제를 완화하기 위한 시도이며 다음과 같이 요약될 수 있다: (1) Java와 native code 모두로부 터 다양한 루팅 탐지 기술 및 주요 후킹 도구에 의한 회피 기술 간의 경 쟁 (공격자와 방어자) (2) 여러 안드로이드 버전과 그것이 보안에 미치는 영향 사이의 단편화 존재 (3) 멀웨어 탐지를 위한 머신러닝 기반 접근법 의 출현. 이를 위해 다양한 범위의 안드로이드 API 레벨을 대상으로하 는 여러 기계 학습 기반 모델을 사용하여 단편화로 인한 문제를 완화한 다. 또한 안드로이드 애플리케이션을 이미지로 처리하여 효과적으로 특 성화할 수 있는 간단한 프레임워크인 AdMat을 제안하여 악성코드 탐지 작업을 위한 컨볼루션 신경망 (Convolutional Neural Networks, CNN) 교육이 가능하도록 하였다. 이 연구는 안드로이드의 진화를 회피와 탐지 사이의 경쟁으로 본다. 안드로이드의 단편화라는 특성을 감안할 때, 악 성코드와 루팅은 피할 수 없는 추세로 자리 잡았고, 강력한 보호를 위해 서는 하드웨어와 소프트웨어의 보안 메커니즘이 모두 사용되어야 한다고 결론지었다. 실험 중 AdMat은 다양한 훈련 비율에 적응할 수 있으며, 다양한 멀웨 어 데이터 세트에서 평균 탐지율 98.26%를 달성할 수 있는 것으로 확 인되었다. 분류 (classification) 작업에서도, 제한된 수의 학습 데이터에 서 서로 다른 멀웨어 제품군의 97.00% 이상을 성공적으로 인식했다. 특 정 API 레벨을 대상으로 하는 분류기의 경우, 개별적인 분류기가 누적 된 것보다 더 효과적인 것으로 나타났다.

A Learning-based Static Malware Detection System with Integrated Feature Selection

진치국 건국대학교 대학원 2019 국내박사

The amount of malware is exponential growth and causes a significant threat to the security of computer systems. Analysts now need to examine thousands of malware samples on a daily basis. It has become a challenging task to determine whether a given program is benign programs or malware. Since making an accurate decision about the program is crucial for anti-malware products. Therefore accurate malware detection techniques have become a hot issue in computer security. The traditional malware detection is used signature-based strategies which are the most widespread method used in commercial anti-malware software. This method performed well against know malware but not capable of detecting new malware. For overcoming the deficiency of a signature-based approach, the research community has been explored many diverse avenues and tried out in search of the best aspect that could be used to distinguish between benign program and malware. All the proposed approaches are intended to find a solution that maximizes the accuracy of classification with minimal computational overhead. Typically, these approaches can be mainly divided into the categories of static analysis and dynamic analysis. Dynamic analysis is detecting all of the programs according to their behavior and attempt to discover what the program does. Although dynamic analysis shows encouraging results for malware detection system, its potential from a practical standpoint is relatively limited in anti-malware products. Static analysis is a way of examining computer program without executing it. The malware could not detect that it was being analyzed and no possibility to infect the endpoint system. Static analysis scrutinizes the ‘‘genes’’ of the file, rather than current behavior which can be changed or delayed to an unexpected time in order to evade the dynamic analysis. Moreover, static analysis is relatively efficient and fast and can be performed in acceptable computational overhead. This dissertation proposed a static malware detection system using data mining techniques to identify known and unknown malware by comparing profiles of the malware and benign programs which have a real-time response and a low false positive ratio. The proposed system is composed of a sample labeling module, a feature extraction module, a pre-processing module, and a decision module. The sample labeling module used the Virustotal to confirm our collected samples were correctly labeled. The feature extraction module statically extracts a set of header information, section entropy, APIs as well as section opcode n-grams. The pre-processing module is mainly based on the PCA algorithm which is used to reduce the dimensionality of the features so as to reduce the computational overhead. The decision module is adopted various machine-learning algorithms such as K-Nearest Neighbors (KNN), Decision Tree (DT), Gradient Boosting Decision Tree (GBDT) and Extreme Gradient Boosting (XGBoost) to build the detection model for judging whether the program is benign program or malware. The experimental result indicates our proposed system can achieve 99.56% detection accuracy and 99.55% f1-scores in the extracted 79 features with the XGBoost algorithm and it has the potential for real-time analysis. 맬웨어 수량이 기하 급수적으로 증가하면서 컴퓨터 시스템 보안에 심각한 위협을 초래한다. 이에 현재 전문적인 분석가들은 매일 수많은 맬웨어 샘플을 검사해야 되고, 프로그램이 정상적인 프로그램인지 맬웨어인지 식별하는 것은 아주 어렵고 번거로운 작업이 된다. 맬웨어 탐지 프로그램에 있어서 정확히 악성 코드를 판단하는 것이 제품의 가치를 판단하는 기준이며, 맬웨어 탐지를 지원하는 기술이 컴퓨터 보안을 보장하는 프로그램의 가장 중요한 부분이다. 전통적인 맬웨어 탐지 방법은 시그니처 기반으로 악성 코드를 판단하고, 이는 가장 널리 알려진 기술이다. 그러나 이와 같은 방법은 이미 알려진 맬웨어를 정확히 탐지할 수 있지만 새로 생성된 악성 코드는 식별하지 못한다. 이런 문제점을 해결하기 위한 많은 연구자들이 다양한 방법을 제시하여 악성 코드를 구별할 수 있는 최선의 방안을 모색하고 있다. 기존 방법은 최소한의 계산 오버헤드로 악성 코드 탐지에 대한 정확성을 극대화할 수 있는 솔루션이고, 주로 정적 분석과 동적 분석으로 나뉘어진다. 동적 분석 방법은 모든 프로그램 실행 후의 행위를 통하여 해당 프로그램의 실행 목적을 정확히 찾으려고 한다. 이 방법은 맬웨어 탐지 시스템에 있어서 좋은 결과를 보여주고 있지만 실제 응용 측면에서 정적 분석 방법과 비교했을 때 상대적인 한계가 있다. 정적 분석 방법은 컴퓨터 프로그램을 실행하지 않은 상태에서 맬웨어에 대한 검사를 진행함으로써 endpoint 시스템을 감염시킬 가능성이 없고, 프로그램 파일에 대한 “유전자”를 자세히 분석하기 때문에 프로그램 실행 시 예기치 않은 시간에 발생할 수 있는 오류를 회피할 수 있다. 또한, 정적 분석 방법은 효율적이고 신속하며 수용 가능한 오버헤드에서 수행되며 동적 분석 방법보다 구현하기 쉽다. 본 논문에서 제안한 러닝 기반의 새로운 통합 특징을 이용한 정적 맬훼어 탐지 시스템은 실시간 탐지 및 오탐율이 낮은 맬웨어와 양성 프로그램의 프로필에 대한 비교를 통하여 이미 알려 져있거나 알려지지 않은 맬웨어를 식별한다. 제안한 시스템은 라벨링 모듈, 특징 추출 모듈, 전처리 모듈 및 결정 모듈로 구성된다. 샘플 라벨링 모듈은 수집 된 샘플이 올바르게 라벨링 되었는지 확인하기 위해 Virustotal을 사용하고, 특징 추출 모듈은 헤더 정보, 섹션 엔트로피, API 및 섹션 opcode n-gram을 정적으로 추출하며, 사전 처리 모듈은 주성분 분석을 기반으로 특징의 차원을 줄이고 계산 오버 헤드를 줄이고, 결정 모듈은 K-Nearest Neighbors (KNN), Decision Tree (DT), Gradient Boosting Decision Tree (GBDT) 및 Extreme Gradient Boosting (XGBoost) 등 다양한 머신 러닝 알고리즘을 통해 양성 소프트웨어인지 또는 악성 코드인지 판단한다. 제안한 시스템에 대한 성능평가 결과에 의하면 맬웨어의 117,161개의 특징 중에서 79개를 추출하여 XGBoost 기반으로 최고 99.56%의 탐지율 및 99.55 %의 f1 점수를 보여주며 실시간 분석 가능성을 제시한다.