산업융합연구 (Journal of Industrial Convergence)

대한산업경영학회 (DAEHAN Society of Industrial Management)
권호 표지
DOI QR코드

DOI QR Code

랜섬웨어 탐지를 위한 머신러닝 기반 암호화 행위 감지 기법

A Machine Learning-Based Encryption Behavior Cognitive Technique for Ransomware Detection

  • 황윤철 (한남대학교 탈메이지교양.융합대학)
  • Yoon-Cheol Hwang (Department of Talmage Liberal Arts⋅Convergence College, Hannam University)
  • 투고 : 2023.10.06
  • 심사 : 2023.12.20
  • 발행 : 2023.12.28
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

최근 등장하는 랜섬웨어들은 다양한 공격 기법과 다양한 경로를 통해 공격을 수행하고 있어 조기 탐지와 방어에 많은 어려움을 겪고 있으며, 그 피해 규모도 날로 증가하고 있다. 따라서 본 논문에서는 효과적인 랜섬웨어 탐지를 위하여 파일 암호화와 암호화 패턴을 머신러닝 기반으로 하는 감지 기법을 제안한다. 파일 암호화는 랜섬웨어가 공격하는데 필수적으로 사용하는 기능으로 암호 행위와 암호화 패턴을 분석함으로써 랜섬웨어를 탐지하고 랜섬웨어의 특정 변종이나 새로운 유형의 랜섬웨어를 탐지할 수 있기 때문에 랜섬웨어 공격을 식별하고 차단하는 데 매우 효과적이다. 제안한 머신러닝 기반의 암호화 행위 감지 기법은 암호화 특성과 암호화 패턴 특성을 추출하여 머신러닝 기반의 분류기를 통해 각각 학습을 시켜 해당 행위에 대한 탐지를 진행하고 최종 결과는 두 분류기의 평가 결과를 기반으로 앙상블 분류기에서 랜섬웨어 유무를 판별하여 좀 더 정확도를 높였다. 또한, 제안한 기법을 numpy와 pandas, 파이썬의 사이킷런 라이브러리를 사용하여 구현하여 평가지표를 사용한 성능를 평가한 결과 평균적으로 94%,의 정확도와 95%의 정밀도, 93%의 재현률과 95%의 F1 스코어가 산출되었다. 성능 평가 결과를 보면 암호화 행위 감지를 통해 랜섬웨어 탐지가 가능하다는 것을 확인할 수 있었고 랜섬웨어의 사전 탐지를 위해 제안한 기법의 성능을 높이기 위한 연구도 계속해서 진행되어야 한다.

Recent ransomware attacks employ various techniques and pathways, posing significant challenges in early detection and defense. Consequently, the scale of damage is continually growing. This paper introduces a machine learning-based approach for effective ransomware detection by focusing on file encryption and encryption patterns, which are pivotal functionalities utilized by ransomware. Ransomware is identified by analyzing password behavior and encryption patterns, making it possible to detect specific ransomware variants and new types of ransomware, thereby mitigating ransomware attacks effectively. The proposed machine learning-based encryption behavior detection technique extracts encryption and encryption pattern characteristics and trains them using a machine learning classifier. The final outcome is an ensemble of results from two classifiers. The classifier plays a key role in determining the presence or absence of ransomware, leading to enhanced accuracy. The proposed technique is implemented using the numpy, pandas, and Python's Scikit-Learn library. Evaluation indicators reveal an average accuracy of 94%, precision of 95%, recall rate of 93%, and an F1 score of 95%. These performance results validate the feasibility of ransomware detection through encryption behavior analysis, and further research is encouraged to enhance the technique for proactive ransomware detection.

키워드

과제정보

This work was supported by 2023 Hannam University Research Fund.

참고문헌

  1. Mos, M. A., & Chowdhury, M. M. (2020, July). The growing influence of ransomware. In 2020 IEEE International Conference on Electro Information Technology (EIT) (pp. 643-647). IEEE. DOI : 10.1109/EIT48999.2020.9208254
  2. Y. C. Hwang. (2022). Extraction and classification of malicious code feature information for intelligent detection model. Industrial Convergence Research (formerly Journal of the Korean Society of Industrial Management), 20(5), 61-68. DOI : 10.22678/JIC.2022.20.5.061
  3. K. W. Moon, J. H. Lee. (2022). Recent Ransomware Trends and Development Direction. Journal of Information Security Society, 32(3), 33-39.
  4. Kok, S., Abdullah, A.,Jhanjhi,N.,& Supramaniam, M. (2019). Ransomware, threat and detection techniques: A review. Int. J. Comput. Sci. Netw. Secur, 19(2), 136.
  5. H. S. Kim,, & S. J. Lee. (2023). Comparative analysis of effective feature extraction techniques for machine learning-based ransomware attack detection. Convergence Security Thesis, 23(1), 117-123.
  6. Wan, Y. L., Chang, J. C., Chen, R. J., & Wang, S. J. (2018, April). Feature-selection-based ransomware detection with machine learning of data analysis. In 2018 3rd international conference on computer and communication systems (ICCCS) (pp. 85-88). IEEE. DOI : 10.1109/CCOMS.2018.8463300
  7. H. G. Lee, J. H. Sung, Y. C. Kim, J. B. Kim, & K. Y. Kim. (2017). A study on ransomware analysis and detection pattern automation model. Journal of the Korea Institute of Information & Communication Engineering, 21(8).
  8. H. G. Kim, D. H. Jeong, P. K.. Jin, C. M. Han, & G. B. Kim. (2017). $ UsnJrnl Based ransomware encryption pattern typology and detection model. Digital forensic research, 11(3), 71-80.
  9. Berrueta, E., Morato, D., Magana, E., & Izal, M. (2019). A survey on detection techniques for cryptographic ransomware. IEEE Access, 7, 144925-144944. DOI : 10.1109/ACCESS.2019.2945839
  10. Kok, S. H., Abdullah, A., Jhanjhi, N. Z., & Supramaniam, M. (2019). Prevention of cryptoransomware using a pre-encryption detection algorithm. Computers, 8(4), 79. DOI : 10.3390/computers8040079
  11. Gonzalez, D., & Hayajneh, T. (2017, October). Detection and prevention of crypto-ransomware. In 2017 IEEE 8th Annual Ubiquitous Computing, Electronics and Mobile Communication Conference (UEMCON) (pp. 472-478). IEEE. DOI : 10.1109/UEMCON.2017.8249052
  12. Usharani, S., Bala, P. M., & Mary, M. M. J. (2021). Dynamic analysis on crypto-ransomware by using machine learning: Gandcrab ransomware. In Journal of Physics: Conference Series (Vol. 1717, No. 1, p. 012024). IOP Publishing. DOI : 10.1088/1742-6596/1717/1/012024
  13. Y. S. Lee, H. J. Choi, D. M. Shin, & J. J. Lee, (2019). Evaluation of User Abnormal Behavior Detection Performance Based on Deep Learning for Ransomware Prevention. Journal of the Korea Software Appraisal Society, 15(2), 43-50.
  14. Y. C. Hwang. (2023). Extraction and Taxonomy of ransomware features for proactive detection and prevention. Industrial Convergence Research (formerly Journal of the Korean Society of Industrial Management), 21(9), 61-68. DOI : 10.22678/JIC.2023.21.9.041
  15. Juba, B., & Le, H. S. (2019, July). Precisionrecall versus accuracy and the role of large data sets. In Proceedings of the AAAI conference on artificial intelligence (Vol. 33, No. 01, pp. 4039- 4048). DOI : 10.1609/aaai.v33i01.33014039
  16. Powers, D. M. (2020). Evaluation: from precision, recall and F-measure to ROC, informedness, markedness and correlation. arXiv preprint arXiv:2010.16061.