Visualized Malware Classification Based-on Convolutional Neural Network

Abstract

요 약 본 논문에서는 악성코드를 실행시키지 않고 패밀리를 분류하는 방법으로 악성 코드 파일을 8-bit gray-scale 이 미지로 시각화 하고 이미지 인식분야에서 널리 쓰이고 있는 convolutional neural network를 통해 악성코드를 분류해내는 기법을 제안한다. 9개의 악성코드 패밀리로 분류해 내는 실험의 Top-1,2 예측 정확도는 각각 96.2%, 98.7%을 기록하였고, 27개의 패밀리를 분류하는 실험의 경우 Top-1 예측 정확도는 82.9%, Top-2는 89%로 악 성코드 패밀리를 분류할 수 있다. ABSTRACT In this paper, we propose a method based on a convolutional neural network which is one of the deep neural network. So, we convert a malware code to malware image and train the convolutional neural network. In experiment with classify 9-families, the proposed method records a 96.2%, 98.7% of top-1, 2 error rate. And our model can classify 27 families with 82.9%, 89% of top-1,2 error rate. 패밀리의 정확한 분류가 선행되어야 하고 이에 따라 적절한 방어기법이 제공되어야 한다. 이를 위해 악성 코드 패밀리를 분류하기 위한 다양한 방법들이 연구 되고 있는데 분류 성능을 높이기 위해서는 패밀리를 구분 짓는 악성코드 특징에 대해 연구하거나 분류기 자체의 성능을 높이는 두 가지 방법이 존재한다. 악성코드들마다 가지고 있는 고유한 특성을 찾는 방법은 악성코드를 실행시키지 않고 악성코드 분석만 을 이용하여 명령어 사용빈도, 함수 호출 관계, 코드 상의 String 정보를 분석하는 정적 분석 기법[2, 3, 4, 5]과 악성코드를 가상의 환경에서 실행시켜 행동 패턴을 분석하는 정적 분석 기법[6, 7] 또는 이 두 가지를 모두 이용하는 방법[8, 9]이 존재한다. 악성코드 패밀리를 분류할 때 악성코드의 고유특