DOI QR코드

DOI QR Code

Development of a Performance Evaluation Model on Similarity Measurement Method of Malware

악성코드 유사도 측정 기법의 성능 평가 모델 개발

  • 천성택 (공주대학교 융합과학과) ;
  • 김희석 (한국과학기술정보연구원 과학기술사이버안전센터) ;
  • 임광혁 (배재대학교 전자상거래학과) ;
  • 김규일 (한국과학기술정보연구원 과학기술사이버안전센터) ;
  • 서창호 (공주대학교 융합과학과)
  • Received : 2014.08.27
  • Accepted : 2014.09.11
  • Published : 2014.10.28

Abstract

While there is a great demand for malware classification to reduce the time required in malware analysis and find a new type of malware, various similarity measurement methods of malware to classify a lot of malwares have been proposed. But, the existing methods to measure similarity just represented the classification results by them and have not carried out performance comparison with other methods. This is because an evaluation model to compare the performance of similarity measurement methods is non-existent. In this paper, we propose a new performance evaluation model on similarity measurement methods of malware by using two indicators: success rate and degree of confidence. In addition, we compare and evaluate the performance of existing similarity measurement methods by using these two indicators.

날로 급증하는 대량의 악성코드들을 분류하여 악성코드에 대한 분석시간을 단축하고 신종의 악성코드를 발견하기 위한 악성코드 분류의 필요성이 대두됨에 따라 대량의 악성코드들을 분류하기 위한 다양한 악성코드 유사도 측정 기법이 제안되고 있다. 하지만 제안된 기존 연구들은 대부분 유사도 측정 기법을 소개하고 해당 기법에 의한 악성코드 분류 결과만을 제시하고 있으며, 다른 유사도 측정 기법과의 성능 비교 결과는 제시하지 않는다. 이는 유사도 측정 기법의 성능을 비교할 수 있는 평가 모델이 존재하지 않기 때문이다. 본 논문에서는 다양한 악성코드 유사도 측정 기법들의 성능을 비교 및 평가할 수 있는 악성코드 유사도 측정기법의 성능평가 모델로 성공확률과 신뢰도의 두 지표를 제안한다. 또한 본 논문에서는 두 지표를 이용해 기존 유사도 측정 기법들의 성능을 비교 및 평가한다.

Keywords

References

  1. M. Bailey, J. Oberheide, J. Andersen, and Z. M. Mao, "Automated classification and analysis of Internet malware," RAID 2007, LNCS 4637, Springer-Verlag, pp.178-197, 2007.
  2. K. Rieck, T. Holz, C.Willems, P. Dussel, and P. Laskov, "Learning and classification of malware behavior," DIMVA 2008, LNCS 5137, Springer-Verlag, pp.108-125, 2008.
  3. J. Nakazato, J. Song, M. Eto, D. Inoue, and K. Nakao, "A novel malware clustering method using frequency of function call traces in parallel threads," IEICE Trans. on Inf. And Syst., Vol.E94-D, No.11, pp.2150-2158, 2011. https://doi.org/10.1587/transinf.E94.D.2150
  4. K. Iwamoto and K. Wasaki, "Malware Classification based on Extracted API Sequences using Static Analysis," AINTEC 2012, ACM, pp.31-38, 2012.
  5. V. P., H. Jain, Y. K. Golecha, M. S. Gaur, and V. Laxmi, "Medusa: MEtamorphic Malware Dynamic Analysis Using Signature from API," SIN 2010, ACM, pp.263-269, 2010.
  6. http://www.opswat.com/about/media/reports/antivirus-january-2014
  7. 김성환, 조환규, "PAM 행렬 모델을 이용한 음소간 유사도 자동 계산 기법", 한국콘텐츠학회논문지, 제12권, 제3호, pp.34-43, 2012.
  8. 유주원, 김종원, 최종욱, 배경율, "개선된 비디오 장면 유사도 검출 알고리즘", 한국콘텐츠학회논문지, 제9권, 제2호, pp.43-50, 2009. https://doi.org/10.5392/JKCA.2009.9.2.043
  9. http://www.cuckoosandbox.org/