머신러닝을 활용한 악성코드 분석 방안

https://www.youtube.com/watch?v=5qNbZKkkDX4 

주요 분야 2가지

1) 머신러닝 학습 후, 악성코드 탐지

2) 머신러닝 활용하여 악성코드 분류

 

머신러닝 + 악성코드 #1 (R.F)

머신러닝 학습 및 평가 프로세스 : 1) 데이터 수집(정상, 랜섬웨어, 그외 악성코드) -> 2) 특징 추출(PE 메타 정보) -> 3) 프레임워크 선택(Scikit-Learn) -> 4) 알고리즘 선택 및 학습(Random Forest) -> 5) 평가(Cross Validation)

 

2) Feature 추출 : DOS header, PE header 정보 추출하거나, NT header 중 Machine, Debug Directory Size, Debug Directory 등 여러 정보 추출

-> CSV 파일에 넣어 생성

3) 프레임워크 선택 : Scikit-Learn(하이레벨(쉬움), 간단한 머신러닝 알고리즘에 특화 - TensorFlow(로우레벨(어려움), 딥러닝에 특화)

4) 알고리즘 선택 및 학습 : 샘플 데이터 양에 따라 달라짐

- 알고리즘 선택(Decision Tree)

- 알고리즘 선택(Random Forest)

- 모델 학습(Train Set / Test Set)

 

머신러닝 + 악성코드 #2 (CNN)

CNN을 활용한 악성코드 분류 모델

: 악성코드 바이너리 -> 이미지화 -> 머신러닝 전처리 -> 텐서플로우 컨볼루션 신경망 시스템

학습을 위한 Feature 추출하여 hex 값을 이미지화

 

실무 적용 사례

침해사고에서의 Feature 분류

- 특징정보 분류(악성코드 & 악성문서) : PE 정보, File 정보, HASH, 행위 정보, Code 정보 & 문서 정보, 행위 정보

- 특징정보 분류(호스트) : 공격자 정보, 공격 도구, 공격 정보

Feature 추출 : 샌드박스 연동 모듈 -> 바이너리 특징정보 추출 모듈 -> 악성문서 특징정보 추출 모듈 -> 호스트 특징정보 추출 모듈

Feature 정규화 : 정규화 에이전트(필터링, 클린징, 변환)

머신러닝 학습 및 분석 : DB에 데이터 삽입(전처리 단계 -> 학습 단계 -> 분석 단계)

---

[사이버보안 강의②] - 악성앱 분석을 위한 기초 학습 자료

https://www.youtube.com/watch?v=ZgDY3kAdQxc&t=469s 

[사이버보안 강의③] - 피싱을 통한 공격 사례

https://www.youtube.com/watch?v=O3Yv66Cx2Tg&t=1s 

---

pixabay