초록 close

악성코드(Malware)란, 일반 사용자의 컴퓨터를 감염시켜 악성 행위를 하기위한 목적으로 만들어진 바이너리 파일을 일컫는다. 아이디나 암호와 같은 개인정보를 유출하는 것에서부터 주요기관에 대한 DDoS공격 까지, 다양한 종류의 악성 행위를 하며, 보통 이들의 행위를 바탕으로 트로이 목마, 바이러스, 웜, 디도스 등으로 구분된다. 이러한 악성코드의 탐지는 여러 가지 많은 분석방법을 통해 만들어진 시그니처에 의해 주로 수행된다. 하지만 하루에도 수 백개의 변종 악성코드들이 간단한 실행압축 등의 기술을 통해서 제작되며 이를 시그니처를 기반으로 탐지하는 경우, 변종 분석 및 데이터베이스의 업데이트 등 오랜 소요 시간을 필요로 한다. 본 논문에서는 많은 탐지방법 중 하나인 N-gram 기법을 설명하고, 이를 악성코드 분류에 적합하게 개선하여 동종 및 변종 악성코드를 분류하는 방법을 제시하고 일부 악성코드들을 대상으로 제시한 기법을 적용함으로써 그 정확성과 효율성을 기술한다.


Malware means binary file infecting user computers which aim to does malicious actions. Not only exposing personal informations such as ID and password, but also attacking major organization using DDoS, they do actions in various ways. In common, they are classified by their behavior, for example, Trojan, virus, worn and DDoS. Detection of malwares are usually conducted by signatures obtained by various analysis methods. However, because hundreds of mutant malwares are produced in a simple packing technique in a day, existing detection technique costs long processing time, for analyzing mutants and updating databases. In this paper, we explain N-gram technique and improve it to fitted for classifying malwares whether same kind or various ones. Furthermore, verifies accuracy and efficiency of this novel technique by applying it to the real-world malwares.