KR102518394B1 - 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템 - Google Patents
설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템 Download PDFInfo
- Publication number
- KR102518394B1 KR102518394B1 KR1020210130023A KR20210130023A KR102518394B1 KR 102518394 B1 KR102518394 B1 KR 102518394B1 KR 1020210130023 A KR1020210130023 A KR 1020210130023A KR 20210130023 A KR20210130023 A KR 20210130023A KR 102518394 B1 KR102518394 B1 KR 102518394B1
- Authority
- KR
- South Korea
- Prior art keywords
- malware
- data
- dimensional
- sample
- deep learning
- Prior art date
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 38
- 238000013135 deep learning Methods 0.000 title claims abstract description 35
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 55
- 238000000605 extraction Methods 0.000 claims abstract description 24
- 238000000034 method Methods 0.000 claims abstract description 22
- 238000006243 chemical reaction Methods 0.000 claims description 18
- 238000013461 design Methods 0.000 claims description 17
- 239000002131 composite material Substances 0.000 claims description 10
- 238000009795 derivation Methods 0.000 claims description 10
- 230000004913 activation Effects 0.000 claims description 7
- 239000000284 extract Substances 0.000 claims description 4
- 238000013528 artificial neural network Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 abstract description 9
- 230000008569 process Effects 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 17
- 238000007781 pre-processing Methods 0.000 description 7
- 230000000903 blocking effect Effects 0.000 description 5
- 230000003068 static effect Effects 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000009897 systematic effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/906—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Virology (AREA)
- Computational Linguistics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
본 발명은 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템에 관한 것으로, 보다 상세하게는 악성코드 이미지를 기반으로 안드로이드 악성코드 군을 자동으로 분류하는 MFCN(Malware Family Classification Network) 모델을 적용하고, 멀웨어 감지 프로세스를 개선하여 멀웨어 패턴을 체계화하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템으로, 1차원 배열 형태의 멀웨어 데이터 샘플을 입력으로 하는 멀웨어입력부; 와 합성곱 신경망 필터를 통해, 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 파일특징도출부; 및 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 기반으로, 멀웨어 데이터 샘플을 군집화하여 분류하는 샘플분류부;를 포함한다.
Description
본 발명은 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템에 관한 것으로, 보다 상세하게는 악성코드 이미지를 기반으로 안드로이드 악성코드 군을 자동으로 분류하는 MFCN(Malware Family Classification Network) 모델을 적용하고, 멀웨어 감지 프로세스를 개선하여 멀웨어 패턴을 체계화하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템에 관한 것이다.
종래의 시그니처 기반의 악성코드 탐지 방법 또는 정적 혹은 동적 분석 방법으로는 빠르게 증가하는 변종 악성코드에 대처하기에 어려움이 있다. 즉, 종래의 악성코드 탐지 방법 및 정적 혹은 동적 분석 방법은, 악성코드가 사용하는 특정 코드 섹션(section)의 바이트(byte)를 가지고 탐지하거나, 악성코드가 동작하며 발생하는 각종 로그 정보 및 파일의 구조 정보를 바탕으로 악성코드가 생성하는 의심스러운 DLL, API 함수의 존재 여부를 가지고 위험 수준을 측정하여 악성 여부를 판단한다. 이러한 악성코드 탐지의 경우, 수동적 분석 및 시그니처를 생성하는 방식으로 대응하기 때문에 변종에 대한 대처가 어렵고, 악성코드 자동 생성 도구 등을 이용한 변종 생성 및 전파가 쉽다. 특히, 기존 악성코드의 정적분석 방식은, 악성코드의 실행파일 또는 디스어셈블된 코드(code)로부터 사람이 임의로 특징을 뽑아내어 분석하기 때문에 데이터의 복합적인 특성을 반영하기 어렵다. 또한, 악성코드는 다양한 안티 가상머신(Anti-VM) 기술 및 안티-디버깅(Anti-디버깅) 기술을 통해 분석 시스템 내에서 실행된다고 판단할 경우, 악성코드 자체가 멈추거나 악성코드는 실행되고 있으나 악성 행위를 발생시키지 않는다. 따라서 분석 시스템에서 분석이 되지 않기 때문에 분석에 어려움이 발생할 수 있다.
따라서, 최근에 특정 코드 섹션의 패턴 정보를 이용하여 악성코드를 탐지하는 대신, 악성코드의 정적분석 및 동적 분석을 통해 특징(feature)을 추출하여 딥러닝 기반으로 악성코드를 탐지하는, AI 딥러닝 기반의 악성코드 탐지 시스템 기술이 활발하게 개발되고 있다. 악성코드의 정적분석 및 동적 분석을 통해 추출된 특징을 기반으로, 악성코드 분류를 딥러닝 네트워크를 사용하면 역엔지니어링, 암호 해독, 난독화 제거, 코드 실행 등을 별도의 과정 없이 데이터를 분류할 수 있다.
다만, 평균 100만 개 정도의 성분을 가지고 있는 데이터 샘플들을 분류하기 위해, 기존의 딥러닝 네트워크 기반의 분류 방법에 사용하려면 네트워크의 학습 연산 상의 한계로 데이터 크기를 줄여야 하는 전처리 과정을 거쳐야 하며, 이러한 데이터를 다운 샘플링하는 과정에서 의도치 않은 정보의 손실이 발생하기 쉽고, 다양한 다운 샘플링 방법과 리사이징 크기에 대한 분류 실험 결과를 통해, 데이터 전처리 과정으로 인해 네트워크 분류 성능이 불안정해진다는 문제점이 있다.
본 발명은 이와 같은 문제점을 감안한 것으로서, 본 발명은 멀웨어 패밀리 분류를 위해 간단한 구조의 1D-CNN 콘볼루션 네트워크를 설계하여, 별도의 전처리 없이 본래의 데이터 샘플을 그대로 사용함으로써, 전체 분류 네트워크의 구조를 단순화하여 예측할 수 없는 정보의 왜곡 가능성을 차단하여 결과의 신뢰도를 향상하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템을 제공하는 것이다.
본 발명의 실시예들에 따른, 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템은 1차원 배열 형태의 멀웨어 데이터 샘플을 입력으로 하는 멀웨어입력부; 와 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 파일특징도출부; 및 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 기반으로, 상기 멀웨어 데이터 샘플을 군집화하여 분류하는 샘플분류부;를 포함한다.
본 발명의 실시예들에 있어서, 상기 멀웨어입력부는, 1차원 배열 멀웨어 데이터 샘플을 입력으로 하며, 상기 1차원 배열 멀웨어 데이터 샘플은 파일 형식으로 구성되어 있으며, 상기 파일 형식 중의 어느 하나의 파일은 N개 이상의 서브섹션으로 구분된다.
본 발명의 실시예들에 있어서, 상기 파일특징도출부는, 멀웨어 패밀리 분류를 위해 구조의 1차원의 합성곱 신경망 네트워크를 설계하는 CNN네트워크설계부; 및 상기 1차원의 합성곱 신경망 필터를 통해 상기 멀웨어 데이터 샘플을 구성하는 파트별 멀웨어 데이터 특징정보를 도출하는 CNN특징추출부;를 포함한다.
본 발명의 실시예들에 있어서, 상기 CNN네트워크설계부는, 멀웨어 데이터 샘플(malware data sample)의 파트(part)별 복수의 상기 분별 정보(discriminant information)만 포함하고 있는 네트워크를 기반으로 복수의 스트림(stream)을 구성하여, 네트워크의 형태특징(composite feature)을 추출하는 상기 1차원의 합성곱 신경망 네트워크를 설계한다.
본 발명의 실시예들에 있어서, 상기 CNN네트워크설계부는, 상기 분별 정보(discriminant information)가 많은 스트림(stream)들만을 선별적으로 사용함으로써 상기 네트워크 형태특징(composite feature)의 데이터양을 증가시킨다.
본 발명의 실시예들에 있어서, 상기 CNN특징추출부는, Grad-CAM(Gradient Weighted Class Activation Map)을 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터에서 유효 데이터를 샘플에 대한 유효데이터지도(heatmap)를 구성한다.
본 발명의 실시예들에 있어서, 상기 CNN특징추출부는, 상기 유효데이터지도(heatmap)를 이차원 형태로 변환하는 차원변환부; 및 이차원 형식의 유효데이터지도(heatmap)의 가시화하기 위해 이차원 성분값별로 색 변환하는 색변환부;를 포함한다.
본 발명의 실시예들에 있어서, 상기 CNN특징추출부는, 상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 이차원 성분값의 크기를 구성(plot)하여, 상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포 형태를 확인하는 분별특징정보추출부;를 포함한다.
본 발명의 실시예들에 있어서, 상기 샘플분류부는, 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포 형태가 큰 멀웨어 데이터만을 선별하여 군집화하는 선별정보군집화부;를 포함한다.
본 발명의 실시예들에 있어서, 상기 샘플분류부는, 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)를 기반으로 군집화된 멀웨어 데이터로 네트워크 신경망을 학습하는 군집샘플학습부;를 더 포함한다.
본 발명의 또 다른 실시예들에 따른, 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템을 통해 멀웨어 데이터의 특징정보를 도출하는 방법에 있어서, 1차원 배열 형태의 멀웨어 데이터 샘플을 입력으로 하는 단계; 와 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계; 및 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 기반으로, 상기 멀웨어 데이터 샘플을 군집화하여 분류하는 단계;를 포함한다.
본 발명의 실시예들에 있어서, 상기 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계는, Grad-CAM(Gradient Weighted Class Activation Map)을 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터에서 유효 데이터를 샘플에 대한 유효데이터지도(heatmap)를 구성한다.
본 발명의 실시예들에 있어서, 상기 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계는, 상기 유효데이터지도(heatmap)를 이차원 형태로 변환하는 단계; 및 이차원 형식의 유효데이터지도(heatmap)의 가시화하기 위해 이차원 성분값별로 색 변환하는 단계;를 더 포함한다.
본 발명의 실시예들에 있어서, 상기 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계는, 상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 이차원 성분값의 크기를 구성(plot)하여, 상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포의 형태를 확인하는 단계;를 더 포함한다.
이상에서 설명한 바와 같은, 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템에 따르면 다음과 같은 효과가 있다.
첫째, 별도의 전처리 없이 본래의 데이터 샘플을 그대로 사용함으로써, 전체 분류 네트워크의 구조를 단순화할 수 있다.
둘째, 예측할 수 없는 정보의 왜곡 가능성을 차단하여 결과의 신뢰도를 향상할 수 있다.
셋째, 유사한 멀웨어 샘플을 하나의 그룹으로 분류하고, 특성화하여 안전한 안도로이드 앱 생태계를 구축할 수 있다.
넷째, 1차원 콘볼루션 멀웨어 패밀리의 분류는 효율적으로 멀웨어 감지 프로세스를 개선하며, 멀웨어 패턴을 체계적 이해가 가능하다.
다섯째, 악성코드 이미지를 기반으로 안드로이드 악성코드 군을 자동 분류가 가능하다.
도 1은 본 발명의 구성도이다.
도 2는 본 발명의 일실시 예에 따른, 멀웨어입렵부에 입력되는 멀웨어 샘플들의 총체적 구조도이며, [도 2a]는 안드로이드 앱(APK)의 구조도이며, [도 2b]는 APK내에 있는 classes.dex의 세부 구조도이다.
도 3은 본 발명의 일실시 예에 따른, 파일특징도출부의 구성도이다.
도 4는 본 발명의 일실시 예에 따른, CNN특징추출부의 구성도이다.
도 5는 본 발명의 일실시 예에 따른, 색변환부의 이미지 색 변환 설명도 및 본 발명의 흐름도이다.
도 6은 본 발명의 일실시 예에 따른, 선별된 스트림 및 복수의 스트림 분류 네트워크의 관련 모식도이다.
도 7은 본 발명의 일실시 예에 따른, 샘플분류부의 구성도이다.
도 8은 본 발명의 일실시 예에 따른, 특징 도출 방법의 흐름도이다.
도 2는 본 발명의 일실시 예에 따른, 멀웨어입렵부에 입력되는 멀웨어 샘플들의 총체적 구조도이며, [도 2a]는 안드로이드 앱(APK)의 구조도이며, [도 2b]는 APK내에 있는 classes.dex의 세부 구조도이다.
도 3은 본 발명의 일실시 예에 따른, 파일특징도출부의 구성도이다.
도 4는 본 발명의 일실시 예에 따른, CNN특징추출부의 구성도이다.
도 5는 본 발명의 일실시 예에 따른, 색변환부의 이미지 색 변환 설명도 및 본 발명의 흐름도이다.
도 6은 본 발명의 일실시 예에 따른, 선별된 스트림 및 복수의 스트림 분류 네트워크의 관련 모식도이다.
도 7은 본 발명의 일실시 예에 따른, 샘플분류부의 구성도이다.
도 8은 본 발명의 일실시 예에 따른, 특징 도출 방법의 흐름도이다.
첨부한 도면을 참조하여 본 발명의 실시예들에 따른 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템에 대하여 상세히 설명한다. 본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물이나 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. 첨부된 도면에 있어서, 구조물들의 치수는 본 발명의 명확성을 기하기 위하여 실제보다 확대하거나, 개략적인 구성을 이해하기 위하여 실제보다 축소하여 도시한 것이다. 또한, 제1 및 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 한편, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 같은 의미가 있다. 일반적으로 사용되는 사전에 정의된 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미가 있는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
본 발명은 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템에 관한 것으로, 보다 상세하게는 악성코드 이미지를 기반으로 안드로이드 악성코드군을 자동으로 분류하는 MFCN(Malware Family Classification Network) 모델을 적용하고, 멀웨어 감지 프로세스를 개선하여 멀웨어 패턴을 체계화를 위한 기술이다. 따라서, 본 발명은 멀웨어 패밀리 분류를 위해 간단한 구조의 1D-CNN 콘볼루션 네트워크를 설계하여, 별도의 전처리 없이 본래의 데이터 샘플을 그대로 사용함으로써, 전체 분류 네트워크의 구조를 단순화하여 예측할 수 없는 정보의 왜곡 가능성을 차단하여 결과의 신뢰도를 향상하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템을 제공하는 것이다.
도 1은 본 발명의 구성도이다. 도 1을 참고하면, 본 발명의 실시예들에 따른, 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템은 멀웨어입력부(100)와 파일특징도출부(200) 및 샘플분류부(300)로 구성된다.
멀웨어입력부(100)는 1차원 배열 형태의 멀웨어 데이터 샘플을 입력으로 하며, 파일특징도출부(200)는 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출한다. 샘플분류부(300)는 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 기반으로, 상기 멀웨어 데이터 샘플을 군집화하여 분류한다. 따라서, 본 발명은 멀웨어 패밀리 분류를 위해 간단한 구조의 1D-CNN 콘볼루션 네트워크를 설계하여, 별도의 전처리 없이 본래의 데이터 샘플을 그대로 사용함으로써, 전체 분류 네트워크의 구조를 단순화하여 예측할 수 없는 정보의 왜곡 가능성을 차단하여 결과의 신뢰도를 향상하는 기술이다.
도 2는 본 발명의 일실시 예에 따른, 멀웨어 데이터 샘플들의 구조도 및 멀웨어 데이터 샘플들의 각각을 구성하고 있는 APK 여러 파트들 중의 하나인 classes.dex 파일의 세부 구조도이다.
[도 2a]를 참고하면, 멀웨어입력부(100)는 1차원 배열 멀웨어 데이터 샘플을 입력으로 하며, 상기 1차원 배열 멀웨어 데이터 샘플은 파일 형식으로 구성되어 있으며, 상기 파일 형식 중의 어느 하나의 파일은 N개 이상의 서브섹션으로 구분된다. 좀 더 상세하게 설명하자면, 안드로이드용 멀웨어 데이터 샘플(악성 앱) 각각은 APK(Android application Package) 파일 구조를 가지며, 상기 APK(Android application Package) 파일은 내부에 3개의 서브파일(AndroidManifest.xml, classes.dex, resources.arsc)과 3개의 폴더(META-INF/, res/, lib/)로 구성된다. 즉 상기 안드로이드용 멀웨어 데이터 샘플 각각은 6개의 파트(3개의 서브파일 및 3개의 폴더)로 구성된다고 볼 수 있다.
[도 2b]를 참고하면, 상기 APK(Android application Package) 파일 내부의 3개의 서브파일 중 하나인 클래스.dex(classes.dex) 파일의 세부구조를 보여주며, 상기 클래스.dex(classes.dex) 파일은 여러 섹션들(class_defs, data section 등)로 구성되며, 여기서 데이터 섹션(data section)의 경우, [도 6]과 같이 여러 서브섹션(map_list, string_data_item, call_site_item, class_data_item, type_list, code_item, debug_info_item, Additional_data)으로 구성된다.
여기서, 예를 든 것은 상기 안드로이드용 멀웨어 데이터 샘플들의 구조이며, MS Windows 혹은 iOS 멀웨어 데이터 샘플들은 서로 다른 파일 구조를 갖는다. 즉, 좀 더 상세하게 설명하자면, 플랫폼마다 멀웨어 데이터 샘들들을 구성하는 파트, 섹션들은 다를 수 있지만, 본 발명은 상기 플랫폼마다 멀웨어 데이터 샘플들을 구성하는 파트, 섹션별로 적용할 수 있다. 특히, 멀웨어입력부(100)로 상기 안드로이드용 멀웨어 데이터 샘플들이 적용될 수 있으며, 상기 MS Windows 혹은 iOS 멀웨어 데이터 샘플들도 멀웨어입력부(100)의 데이터로 적용될 수 있다.
도 3은 본 발명의 일실시 예에 따른, 파일특징도출부의 구성도이다.
도 3을 참고하면, 파일특징도출부(200)는 CNN네트워크설계부(210)와 CNN특징추출부(220)으로 구성된다. CNN네트워크설계부(210)는, 멀웨어 패밀리 분류를 위해 구조의 1차원의 합성곱 신경망 네트워크를 설계하며, CNN특징추출부(220)는 상기 1차원의 합성곱 신경망 필터를 통해 상기 멀웨어 데이터 샘플을 구성하는 파트별 멀웨어 데이터 특징정보를 도출한다.
좀 더 상세하게 설명하자면, CNN네트워크설계부(210)는, 멀웨어 데이터 샘플(malware data sample)의 파트(part)별 복수의 상기 분별 정보(discriminant information)만 포함하고 있는 네트워크를 기반으로 복수의 스트림(stream)을 구성하여, 네트워크의 형태특징(composite feature)을 추출하는 상기 1차원의 합성곱 신경망 네트워크를 설계한다. 또한, 상기 분별 정보(discriminant information)가 많은 스트림(stream)들만을 선별적으로 사용함으로써 상기 네트워크 형태특징(composite feature)의 데이터양을 증가시킨다. 결과적으로, 상기 분별 정보(discriminant information)가 많은 스트림(stream)들만을 선별적으로 사용함으로써 상기 네트워크 형태특징(composite feature)을 증가시키는 동시에 상기 네트워크가 효율적인 연산을 수행할 수 있도록 한다.
도 4는 본 발명의 일실시 예에 따른, CNN특징추출부의 구성도이다.
도 4를 참고하면, CNN특징추출부(220)는 Grad-CAM(Gradient Weighted Class Activation Map)을 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터에서 유효 데이터를 샘플에 대한 유효데이터지도(heatmap)를 구성한다. 좀 더 상세하게 설명하자면, 상기 Grad-CAM(Gradient Weighted Class Activation Map)을 이용하여, 멀웨어 데이터(malware Data)의 각 파트(file, section or subsection)가 포함하고 있는 패밀리 분류(family classification)의 분별 정보(discriminant information)의 분포를 분석한다.
CNN특징추출부(220)는 차원변환부(220a)와 색변환부(220b) 및 분별특징정보추출부(220c)로 구성되며, 차원변환부(220a)는 상기 유효데이터지도(heatmap)를 이차원 형태로 변환하며, 색변환부(220b)는 이차원 형식의 유효데이터지도(heatmap)의 가시화하기 위해 이차원 성분값별로 색 변환한다. 또한, 분별특징정보추출부(220c)는 상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 이차원 성분값의 크기를 구성(plot)하여, 상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포 형태를 확인한다. 즉, 좀 더 상세하게 설명하자면, 상기 Grad-CAM은 분류하고자 하는 각각의 클래스(family)에 대해, 입력 데이터와 같은 크기의 상기 유효데이터지도(Heatmap)을 생성한다. 상기 유효데이터지도(Heatmap)의 각 성분은 데이터 샘플(data sample)의 해당 성분이 분류 결과에 영향을 미치는 정도를 의미하는데, 0에서 1사이로 정규화된 값으로 표현된다.
따라서, N개의 상기 각 클래스에 대헤서 상기 Grad-CAM는, 상기 유효데이터지도(Heatmap)로부터 상기 멀웨어 데이터(malware Data)으로부터 상기 패밀리 분류(family classification)에 유용한 파트(file, section, or subsection)을 선별하기 위해 유효한 분별 정보(discriminant information)를 추출하며, 상기 유효한 분별 정보(discriminant information)는 상기 패밀리 분류를 필터하는 필터기(classifier)에 입력된다. 여기서 상기 필터기(classifier)는 특징정보 추출기(feature extractor)로부터 추출된 특징정보를 입력으로 하는 두 레이어(two layer)를 가진 FC(Fully Connected Layer)로 구성된다.
도 5는 본 발명의 일실시 예에 따른, 색변환부의 이미지 색 변환 설명도이다. 도 5를 참고하면, 색변환부(220b)는 이차원 형식의 유효데이터지도(heatmap)의 가시화하기 위해 이차원 성분값별로 색 변환하며, 상기 이차원 성분값의 유효숫자가 1이면 빨간색으로 색 변환하며, 상기 이차원 성분값의 유효숫자가 0이면 파란색으로 색 변환한다. 분별특징정보추출부(220c)의 경우, 상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 이차원 성분값의 크기를 구성(plot)하여, 상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포 형태를 확인한다. 좀 더 상세하게 설명하자면, 시각화를 위해 상기 유효데이터지도(Heatmap)를 이차원 형태로 변환하여 가짜의 색(pseudo color)으로 변환하며, 상기 유효데이터지도(Heatmap) 성분값이 1에 가까울수록 빨간색으로, 0에 가까울수록 파란색으로 표시하였다. 따라서 상기 멀웨어 데이터(malware data)중에 클래스별로 분류에 유용한 정보들이 데이터 전체에 골고루 분포하지 않고, 특정 부문(section)들에 집중됨을 가시적으로 확인할 수 있다.
도 6은 본 발명의 일실시 예에 따른, 선별된 스트림 및 복수의 스트림 분류 네트워크의 관련 모식도이다.
[도 6a]을 참고하면, CNN네트워크설계부(210)는 상기 멀웨어 패밀리 분류를 위한 효율적인 딥러닝 네트워크를 구축하기 위해 식별 정보가 많은 AM, Cert.RSA, proto_ids, class_defs, string_data_item 및 code_item 6개 부분을 선택하여, 이를 통해 분류에 불필요한 부분을 제거하여 계산량을 줄인다.
[도 6b]를 참고하면, 선별된 개별 스트림(stream)만으로도 구성된 복수의 스트림(Multi-stream)으로 제안된 분류 네트워크의 구성을 보여주며, 상기 네트워크는 크게 특징 추출기와 분류기로 구성된다. 각 부분은 상기 멀웨어 데이터의 차원(길이)과 정보 속성이 다르므로 각 부분에 대해 다른 특징 추출기를 구성하여, 각 부분에 특정한 특징을 추출한다. 상기 개별 스트림(stream)에서 생성된 특성 맵(map)을 결합하여, 생성된 합성 특성은 최종 분류 결과를 얻기 위해 두 개의 조밀한 계층(layer)으로 구성된, 상기 분류기에 대한 입력으로 사용된다. 이로써 상기 분별 정보(discriminant information)가 많은 스트림(stream)들만을 선별적으로 사용함으로써, 상기 네트워크 형태특징(composite feature)을 증가시키는 동시에 상기 네트워크가 효율적인 연산을 수행할 수 있도록 한다. 좀 더 상세하게 설명하자면, 상기 분별 정보(discriminant information)가 많은 개별 스트림(stream)들만을 선별적으로 사용하여 복수의 스트림(multi-stream) 네트워크를 구성하여 분류기에 입력으로 사용된다. 이로써, 상기 네트워크 형태특징(composite feature)을 증가시키는 동시에 상기 네트워크가 효율적인 연산을 수행할 수 있다.
도 7은 본 발명의 일실시 예에 따른, 샘플분류부의 구성도이다.
도 7을 참고하면, 샘플분류부(300)는 선별정보군집화부(300a) 및 군집샘플학습부(300b)로 구성된다. 선별정보군집화부(300a)는 상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포 형태가 큰 멀웨어 데이터만을 선별하여 군집화하며, 군집샘플학습부(300b)는 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 기반으로 군집화된 정보를 네트워크 신경망을 학습한다. 좀 더 상세하게 설명하자면, 상기 이차원 형식의 유효데이터지도(heatmap)들의 멀웨어 데이터에서 분별 정보(discriminant information)가 어떻게 분포 하는지를 확인하기 위해, 파일별 또는 섹션별 상기 이차원 형식의 유효데이터지도(heatmap)의 성분값들의 크기를 구성(plot)한다. 멀웨어 패밀리 분류를 위한 상기 분별 정보(discriminant information)가 6개의 파트(AM, Cert.RSA, proto_ids, class_defs, string_items, code_item)를 선별하여 효율적인 딥러닝 네트워크를 구축한다. 이를 통해, 상기 멀웨어 패밀리 분류에 불필요한 섹션들을 제거함으로써 연산량은 감소하고, 상기 유효데이터만을 가지고 연산할 수 있다.
도 8는 본 발명의 일실시 예에 따른, 특징 도출 방법의 흐름도이다.
도 8을 참고하면, 본 발명의 실시예들에 따른, 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템을 통해 멀웨어 데이터의 특징정보를 도출하는 방법에 따르면, 1차원 배열 형태의 멀웨어 데이터 샘플을 입력으로 하는 단계(S901);와 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계(S902); 및 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 기반으로, 상기 멀웨어 데이터 샘플을 군집화하여 분류하는 단계(S903);를 포함한다.
합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계(S902)는, Grad-CAM(Gradient Weighted Class Activation Map)을 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터에서 유효 데이터를 샘플에 대한 유효데이터지도(heatmap)를 구성한다. 좀 더 상세하게 설명하면, 상기 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계는, 상기 유효데이터지도(heatmap)를 이차원 형태로 변환하는 단계; 및 이차원 형식의 유효데이터지도(heatmap)의 가시화하기 위해 이차원 성분값별로 색 변환하는 단계;를 거친다. 이후, 상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 이차원 성분값의 크기를 구성(plot)하여, 상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포 형태를 확인하는 단계;를 거친다.
이상에서 설명한 바와 같은, 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템에 따르면 다음과 같은 효과가 있다. 첫째, 별도의 전처리 없이 본래의 데이터 샘플을 그대로 사용함으로써, 전체 분류 네트워크의 구조를 단순화할 수 있다. 둘째, 예측할 수 없는 정보의 왜곡 가능성을 차단하여 결과의 신뢰도를 향상할 수 있다. 셋째, 유사한 멀웨어 샘플을 하나의 그룹으로 분류하고, 특성화하여 안전한 안도로이드 앱 생태계를 구축할 수 있다. 넷째, 1차원 콘볼루션 멀웨어 패밀리의 분류는 효율적으로 멀웨어 감지 프로세스를 개선하며, 멀웨어 패턴을 체계적 이해가 가능하다. 다섯째, 악성코드 이미지를 기반으로 안드로이드 악성코드 군을 자동 분류가 가능하다.
앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 해당 업계 종사자 또는 해당 기술 분야에 통상의 지식을 갖는 자라면 후숙될 특허청구범위에 기재된 본 발명의 사상 및 기술 영역에서 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 멀웨어입력부 200: 파일특징도출부
210: CNN네트워크설계 220: CNN특징추출부
220a: 차원변환부 220b: 색변환부
220c: 분별특징정보추출부 300: 샘플분류부
300a: 선별정보군집화부 300b: 군집샘플학습부
210: CNN네트워크설계 220: CNN특징추출부
220a: 차원변환부 220b: 색변환부
220c: 분별특징정보추출부 300: 샘플분류부
300a: 선별정보군집화부 300b: 군집샘플학습부
Claims (14)
1차원 배열 형태의 멀웨어 데이터 샘플을 입력으로 하는 멀웨어입력부;
합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 파일특징도출부;
상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 기반으로, 상기 멀웨어 데이터 샘플을 군집화하여 분류하는 샘플분류부;를 포함하며,
상기 파일특징도출부는,
멀웨어 패밀리 분류를 위해 구조의 1차원의 합성곱 신경망 네트워크를 설계하는 CNN네트워크설계부; 및
상기 1차원의 합성곱 신경망 필터를 통해 상기 멀웨어 데이터 샘플을 구성하는 파트별 멀웨어 데이터 특징정보를 도출하는 CNN특징추출부;를 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 파일특징도출부;
상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 기반으로, 상기 멀웨어 데이터 샘플을 군집화하여 분류하는 샘플분류부;를 포함하며,
상기 파일특징도출부는,
멀웨어 패밀리 분류를 위해 구조의 1차원의 합성곱 신경망 네트워크를 설계하는 CNN네트워크설계부; 및
상기 1차원의 합성곱 신경망 필터를 통해 상기 멀웨어 데이터 샘플을 구성하는 파트별 멀웨어 데이터 특징정보를 도출하는 CNN특징추출부;를 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
제1항에 있어서,
상기 멀웨어입력부는,
1차원 배열 멀웨어 데이터 샘플을 입력으로 하며,
상기 1차원 배열 멀웨어 데이터 샘플은 파일 형식으로 구성되어 있으며,
상기 파일 형식 중의 어느 하나의 파일은 N개 이상의 서브섹션으로 구분된 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
상기 멀웨어입력부는,
1차원 배열 멀웨어 데이터 샘플을 입력으로 하며,
상기 1차원 배열 멀웨어 데이터 샘플은 파일 형식으로 구성되어 있으며,
상기 파일 형식 중의 어느 하나의 파일은 N개 이상의 서브섹션으로 구분된 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
삭제
제1항에 있어서,
상기 CNN네트워크설계부는,
멀웨어 데이터 샘플(malware data sample)의 파트(part)별 복수의 상기 분별 정보(discriminant information)만 포함하고 있는 개별 스트림 네트워크를 기반으로 복수의 스트림(stream)을 구성하여,
네트워크 형태특징(composite feature)을 추출하는 상기 1차원의 합성곱 신경망 네트워크를 설계하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
상기 CNN네트워크설계부는,
멀웨어 데이터 샘플(malware data sample)의 파트(part)별 복수의 상기 분별 정보(discriminant information)만 포함하고 있는 개별 스트림 네트워크를 기반으로 복수의 스트림(stream)을 구성하여,
네트워크 형태특징(composite feature)을 추출하는 상기 1차원의 합성곱 신경망 네트워크를 설계하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
제4항에 있어서,
상기 CNN네트워크설계부는,
복수의 상기 분별 정보(discriminant information)를 포함하는 스트림(stream)들만 선별적으로 사용함으로써 상기 네트워크 형태특징(composite feature)의 데이터양을 증가시키는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
상기 CNN네트워크설계부는,
복수의 상기 분별 정보(discriminant information)를 포함하는 스트림(stream)들만 선별적으로 사용함으로써 상기 네트워크 형태특징(composite feature)의 데이터양을 증가시키는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
제1항에 있어서,
상기 CNN특징추출부는,
Grad-CAM(Gradient Weighted Class Activation Map)을 통해,
상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터에서 유효 데이터를 샘플에 대한 유효데이터지도(heatmap)를 구성하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
상기 CNN특징추출부는,
Grad-CAM(Gradient Weighted Class Activation Map)을 통해,
상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터에서 유효 데이터를 샘플에 대한 유효데이터지도(heatmap)를 구성하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
제6항에 있어서,
상기 CNN특징추출부는,
상기 유효데이터지도(heatmap)를 이차원 형태로 변환하는 차원변환부; 및
이차원 형식의 유효데이터지도(heatmap)의 가시화하기 위해 이차원 성분값별로 색 변환하는 색변환부;를 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
상기 CNN특징추출부는,
상기 유효데이터지도(heatmap)를 이차원 형태로 변환하는 차원변환부; 및
이차원 형식의 유효데이터지도(heatmap)의 가시화하기 위해 이차원 성분값별로 색 변환하는 색변환부;를 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
제7항에 있어서,
상기 CNN특징추출부는,
상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 이차원 성분값의 크기를 구성(plot)하여,
상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포 형태를 확인하는 분별특징정보추출부;를 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
상기 CNN특징추출부는,
상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 이차원 성분값의 크기를 구성(plot)하여,
상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포 형태를 확인하는 분별특징정보추출부;를 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
제1항에 있어서,
상기 샘플분류부는,
이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포 형태가 큰 멀웨어 데이터만을 선별하여 군집화하는 선별정보군집화부;를 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
상기 샘플분류부는,
이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포 형태가 큰 멀웨어 데이터만을 선별하여 군집화하는 선별정보군집화부;를 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
제9항에 있어서,
상기 샘플분류부는,
이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)를 기반으로 군집화된 멀웨어 데이터로 네트워크 신경망을 학습하는 군집샘플학습부;를 더 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
상기 샘플분류부는,
이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)를 기반으로 군집화된 멀웨어 데이터로 네트워크 신경망을 학습하는 군집샘플학습부;를 더 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템.
설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템을 통해 멀웨어 데이터의 특징정보를 도출하는 방법에 있어서,
1차원 배열 형태의 멀웨어 데이터 샘플을 입력으로 하는 단계;와
합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계; 및
상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 기반으로,
상기 멀웨어 데이터 샘플을 군집화하여 분류하는 단계;를 포함하며,
멀웨어 패밀리 분류를 위해 구조의 1차원의 합성곱 신경망 네트워크를 설계하는 단계; 및
1차원의 상기 합성곱 신경망 필터를 통해, 멀웨어 데이터 샘플을 구성하는 파트별 멀웨어 데이터 특징정보를 도출하는 단계;
를 포함하고 있는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 방법.
1차원 배열 형태의 멀웨어 데이터 샘플을 입력으로 하는 단계;와
합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계; 및
상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 기반으로,
상기 멀웨어 데이터 샘플을 군집화하여 분류하는 단계;를 포함하며,
멀웨어 패밀리 분류를 위해 구조의 1차원의 합성곱 신경망 네트워크를 설계하는 단계; 및
1차원의 상기 합성곱 신경망 필터를 통해, 멀웨어 데이터 샘플을 구성하는 파트별 멀웨어 데이터 특징정보를 도출하는 단계;
를 포함하고 있는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 방법.
제11항에 있어서,
상기 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계는,
Grad-CAM(Gradient Weighted Class Activation Map)을 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터에서 유효 데이터를 샘플에 대한 유효데이터지도(heatmap)를 구성하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 방법.
상기 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계는,
Grad-CAM(Gradient Weighted Class Activation Map)을 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터에서 유효 데이터를 샘플에 대한 유효데이터지도(heatmap)를 구성하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 방법.
제12항에 있어서,
상기 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계는,
상기 유효데이터지도(heatmap)를 이차원 형태로 변환하는 단계; 및
이차원 형식의 유효데이터지도(heatmap)의 가시화하기 위해 이차원 성분값별로 색 변환하는 단계;를 더 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 방법.
상기 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계는,
상기 유효데이터지도(heatmap)를 이차원 형태로 변환하는 단계; 및
이차원 형식의 유효데이터지도(heatmap)의 가시화하기 위해 이차원 성분값별로 색 변환하는 단계;를 더 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 방법.
제13항에 있어서,
상기 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계는,
상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 이차원 성분값의 크기를 구성(plot)하여,
상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포 형태를 확인하는 단계;를 더 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 방법.
상기 합성곱 신경망 필터를 통해, 상기 멀웨어 데이터 샘플의 파트별 멀웨어 데이터 분별 정보(discriminant information)를 도출하는 단계는,
상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 이차원 성분값의 크기를 구성(plot)하여,
상기 이차원 형식의 유효데이터지도(heatmap)의 멀웨어 데이터의 파일별로 또는 섹션별 분별 정보(discriminant information)의 분포 형태를 확인하는 단계;를 더 포함하는 것을 특징으로 하는 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210130023A KR102518394B1 (ko) | 2021-09-30 | 2021-09-30 | 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210130023A KR102518394B1 (ko) | 2021-09-30 | 2021-09-30 | 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102518394B1 true KR102518394B1 (ko) | 2023-04-05 |
Family
ID=85884847
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210130023A KR102518394B1 (ko) | 2021-09-30 | 2021-09-30 | 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102518394B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117574364A (zh) * | 2023-07-27 | 2024-02-20 | 广东工业大学 | 一种基于PSEAM-MobileNet神经网络的安卓恶意软件检测方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101863615B1 (ko) | 2017-05-24 | 2018-06-01 | (주)이스트소프트 | 신경망 학습 기반의 변종 악성 코드를 탐지하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 |
| KR101880686B1 (ko) | 2018-02-28 | 2018-07-20 | 에스지에이솔루션즈 주식회사 | Ai 딥러닝 기반의 악성코드 탐지 시스템 |
| KR102033354B1 (ko) * | 2017-11-01 | 2019-10-17 | 국민대학교산학협력단 | Cnn 학습 기반의 멀웨어 분석 장치, 이를 수행하는 cnn 학습 기반의 멀웨어 분석 방법 및 이를 저장하는 기록매체 |
| KR20200061830A (ko) * | 2018-11-26 | 2020-06-03 | 단국대학교 산학협력단 | 안드로이드 애플리케이션의 주요부분을 패턴화한 멀웨어 탐지 분류 방법 및 시스템 |
| KR20200071822A (ko) | 2018-11-30 | 2020-06-22 | 단국대학교 산학협력단 | 애플리케이션의 동적 특징정보 및 머신러닝을 이용하여 멀웨어를 탐지 분류하는 시스템 및 방법 |
| CN111740971A (zh) | 2020-06-15 | 2020-10-02 | 郑州大学 | 基于类不平衡处理的网络入侵检测模型sgm-cnn |
| KR102283054B1 (ko) * | 2020-11-20 | 2021-07-29 | 숭실대학교 산학협력단 | Api 호출 그래프 추출 기반 모바일 애플리케이션 악성 행위 패턴 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치 |
-
2021
- 2021-09-30 KR KR1020210130023A patent/KR102518394B1/ko active IP Right Grant
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101863615B1 (ko) | 2017-05-24 | 2018-06-01 | (주)이스트소프트 | 신경망 학습 기반의 변종 악성 코드를 탐지하기 위한 장치, 이를 위한 방법 및 이 방법을 수행하기 위한 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 |
| KR102033354B1 (ko) * | 2017-11-01 | 2019-10-17 | 국민대학교산학협력단 | Cnn 학습 기반의 멀웨어 분석 장치, 이를 수행하는 cnn 학습 기반의 멀웨어 분석 방법 및 이를 저장하는 기록매체 |
| KR101880686B1 (ko) | 2018-02-28 | 2018-07-20 | 에스지에이솔루션즈 주식회사 | Ai 딥러닝 기반의 악성코드 탐지 시스템 |
| KR20200061830A (ko) * | 2018-11-26 | 2020-06-03 | 단국대학교 산학협력단 | 안드로이드 애플리케이션의 주요부분을 패턴화한 멀웨어 탐지 분류 방법 및 시스템 |
| KR20200071822A (ko) | 2018-11-30 | 2020-06-22 | 단국대학교 산학협력단 | 애플리케이션의 동적 특징정보 및 머신러닝을 이용하여 멀웨어를 탐지 분류하는 시스템 및 방법 |
| CN111740971A (zh) | 2020-06-15 | 2020-10-02 | 郑州大学 | 基于类不平衡处理的网络入侵检测模型sgm-cnn |
| KR102283054B1 (ko) * | 2020-11-20 | 2021-07-29 | 숭실대학교 산학협력단 | Api 호출 그래프 추출 기반 모바일 애플리케이션 악성 행위 패턴 탐지 방법, 이를 수행하기 위한 기록 매체 및 장치 |
Non-Patent Citations (3)
| Title |
|---|
| Daniel Arp et al., "DREBIN: Effective and Explainable Detection of Android Malware in Your Pocket"(2014.)* * |
| Marek Krcal et al., "Deep Convolutional Malware Classifiers Can Learn from Raw Executables and Labels Only"(2018.)* * |
| Mihaela Gaman, "Seeing Malware Through the Eyes of a Convolutional Neural Network"(2020.11.)* * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117574364A (zh) * | 2023-07-27 | 2024-02-20 | 广东工业大学 | 一种基于PSEAM-MobileNet神经网络的安卓恶意软件检测方法及系统 |
| CN117574364B (zh) * | 2023-07-27 | 2024-05-10 | 广东工业大学 | 一种基于PSEAM-MobileNet神经网络的安卓恶意软件检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Venkatraman et al. | A hybrid deep learning image-based analysis for effective malware detection | |
| Yakura et al. | Malware analysis of imaged binary samples by convolutional neural network with attention mechanism | |
| Chen et al. | Detecting android malware using clone detection | |
| Asam et al. | IoT malware detection architecture using a novel channel boosted and squeezed CNN | |
| Singh et al. | Classification and analysis of android malware images using feature fusion technique | |
| CN108985064B (zh) | 一种识别恶意文档的方法及装置 | |
| Liu et al. | A new learning approach to malware classification using discriminative feature extraction | |
| CN107368856B (zh) | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 | |
| CN110572393A (zh) | 一种基于卷积神经网络的恶意软件流量分类方法 | |
| CN103473346A (zh) | 一种基于应用程序编程接口的安卓重打包应用检测方法 | |
| CN109831422A (zh) | 一种基于端到端序列网络的加密流量分类方法 | |
| Naeem et al. | A cross-platform malware variant classification based on image representation | |
| Zhong et al. | Malware-on-the-brain: Illuminating malware byte codes with images for malware classification | |
| Cepeda et al. | Feature selection and improving classification performance for malware detection | |
| Kumar et al. | Machine learning based malware detection in cloud environment using clustering approach | |
| KR102518394B1 (ko) | 설명 가능한 딥러닝 분석을 활용한 멀웨어 패밀리 분류 네트워크 시스템 | |
| Lo et al. | Towards an effective and efficient malware detection system | |
| Assefa et al. | Intelligent phishing website detection using deep learning | |
| Srinivasan | Tp-detect: trigram-pixel based vulnerability detection for ethereum smart contracts | |
| Su et al. | Arbitrary-sized JPEG steganalysis based on fully convolutional network | |
| Masabo et al. | Improvement of malware classification using hybrid feature engineering | |
| CN113468524A (zh) | 基于rasp的机器学习模型安全检测方法 | |
| Ding et al. | Detecting android malware using bytecode image | |
| CN114817925B (zh) | 基于多模态图特征的安卓恶意软件检测方法及系统 | |
| Kumar et al. | Detection of malware using deep learning techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |