구조적 엔트로피를 활용한 컨볼루션 신경망을 이용한 악성코드 분류

악성 프로그램의 수는 증가하는 동시에 기술적 정교함도 더욱 높아지고 있다. 방대한 양의 데이터에서 악성 의도를 분석하기 위해서는 막대한 자원이 요구되며, 따라서 악성코드의 효과적인 분류가 필수적이다. 본 논문에서는 악성 프로그램의 내용을 파일 내 특정 위치에 있는 소규모 코드 청크의 엔트로피 값을 나타내는 엔트로피 스트림으로 표현한다. 이후 이 엔트로피 신호에 웨이브릿 변환(Wavelet transform)을 적용하여 엔트로피 에너지의 변동성을 설명한다. 동일한 가족에 속한 악성 소프트웨어의 엔트로피 스트림 간 시각적 유사성에 착안하여, 파일에 의존하지 않는 딥러닝 기반의 악성코드 분류 방법을 제안한다. 본 방법은 대부분의 변종이 공통된 오버스큐레이션 기법을 사용해 생성되며, 압축 및 암호화 알고리즘이 원본 코드에 존재하는 일부 특성을 유지한다는 사실을 활용한다. 이를 통해 특정 가족 내 거의 모든 변종이 공유하는 구분 가능한 패턴을 탐지할 수 있다. 제안된 방법은 Microsoft가 제공한 BigData Innovators Gathering 악성코드 예측 챌린지 데이터를 활용하여 평가되었으며, 기존 최첨단 기술 대비 유의미한 성능을 보였다.