[논문 리뷰] Android Malware Detection using Deep Learning on API Method Sequences
MalDozer는 DEX 파일에서 얻은 원시 API 메서드 호출 시퀀스를 사용하여 안드로이드 악성코드를 탐지하고 가족으로 분류하는 딥러닝 기반 프레임워크입니다. 탐지에 대해 96–99%의 F1 스코어와 가족 할당에 대해 96–98%의 F1 스코어를 달성하며, 이는 모바일 및 IoT 디바이스에의 배포를 가능하게 하는 낮은 자원 오버헤드를 제공합니다.
Android OS experiences a blazing popularity since the last few years. This predominant platform has established itself not only in the mobile world but also in the Internet of Things (IoT) devices. This popularity, however, comes at the expense of security, as it has become a tempting target of malicious apps. Hence, there is an increasing need for sophisticated, automatic, and portable malware detection solutions. In this paper, we propose MalDozer, an automatic Android malware detection and family attribution framework that relies on sequences classification using deep learning techniques. Starting from the raw sequence of the app's API method calls, MalDozer automatically extracts and learns the malicious and the benign patterns from the actual samples to detect Android malware. MalDozer can serve as a ubiquitous malware detection system that is not only deployed on servers, but also on mobile and even IoT devices. We evaluate MalDozer on multiple Android malware datasets ranging from 1K to 33K malware apps, and 38K benign apps. The results show that MalDozer can correctly detect malware and attribute them to their actual families with an F1-Score of 96%-99% and a false positive rate of 0.06%-2%, under all tested datasets and settings.
연구 동기 및 목표
- 모바일 및 IoT 디바이스를 대상으로 하는 안드로이드 악성코드의 증가하는 위협에 대응하기 위해 운영체제의 광범위한 보급에 기인합니다.
- 높은 정확도, 낮은 거짓 양성률, 최소한의 인간 간섭을 갖춘 악성코드 탐지 시스템을 개발합니다.
- 성능을 희생시키지 않고도 저전력 IoT 디바이스를 포함한 다양한 아키텍처에 배포할 수 있도록 합니다.
- 이진 분류를 넘어서 악성코드 가족 할당을 포함하여 위협 우선순위 설정을 향상시킵니다.
- 전처리 오버헤드를 최소화하여 원시 DEX 수준의 API 시퀀스에서 경량이고 확장 가능하며 자동으로 특징을 추출할 수 있도록 합니다.
제안 방법
- 중간 단계의 정적 분석이나 코드 변환 없이 DEX 파일에서 직접 원시 API 메서드 호출 시퀀스를 추출합니다.
- 각 API 메서드를 고정 길이의 고차원 의미 벡터로 매핑하여 기능적 의미를 유지합니다.
- 임bed된 벡터 시퀀스를 딥 네URAL 네트워크에 입력하여 악성 및 양성 패tern을 엔드 투 엔드로 학습합니다.
- 수동 특징 공학 없이 API 호출 흐름의 시간적 의존성을 학습할 수 있는 시퀀스 분류 아키텍처를 사용합니다.
- 원시 API 시퀀스에서 엔드 투 엔드로 모델을 학습하여 악성코드 탐지 및 가족 할당을 위한 분별 가능한 패턴을 자동으로 발견합니다.
- 자원 제약이 있는 디바이스, 특히 IoT 플랫폼에서도 배포를 지원할 수 있도록 모델 효율성을 최적화합니다.
실험 결과
연구 질문
- RQ1원시 API 메서드 시퀀스로 훈련된 딥러닝 모델이 다양한 데이터셋에서 높은 정확도로 안드로이드 악성코드를 탐지할 수 있는가?
- RQ2이러한 모델이 탐지 성능과 유사한 수준에서 악성코드 가족 할당을 수행할 수 있는 정도는 어느 정도인가?
- RQ3서버부터 IoT 디바이스에 이르기까지 다양한 배포 환경에서 추론 시간과 메모리 사용 측면에서 모델의 효율성은 어떠한가?
- RQ4확장성, 전처리 오버헤드, 내구성 측면에서 기존 솔루션인 MAMADroid와 비교해 본다면, 제안된 방법은 어떻게 다른가?
- RQ5수동 재설정이나 특징 공학 없이도 새로운 안드로이드 API와 오브스컬레이티드 악성코드를 처리할 수 있는가?
주요 결과
- MalDozer는 Malgenome (1K), Drebin (5.5K), 그리고 33K개의 악성코드 샘플을 포함한 통합 데이터셋을 포함한 여러 데이터셋에서 악성코드 탐지에 대해 96–99%의 F1 스코어를 달성합니다.
- 프레임워크는 악성코드 가족 할당에 대해 96–98%의 F1 스코어를 기록하여 정확한 위협 분류를 가능하게 합니다.
- 거짓 양성률은 0.06%에서 2% 사이로 매우 낮으며, 다양한 데이터셋 구성 조건에서도 동일하게 유지됩니다.
- MalDozer의 추론 시간은 가장 자원이 제한된 IoT 디바이스에서 평균 5.3초로 매우 효율적임을 보여줍니다.
- 배포 유연성, 전처리 오버헤드, 내구성 측면에서 MAMADroid를 뛰어넘으며, 앱 처리 실패율이 0%이지만 MAMADroid는 4.6%의 실패율을 보입니다.
- MalDozer는 수동 특징 공학이나 복잡한 전처리가 필요 없어 새로운 API와 악성코드 변종에 자동으로 적응할 수 있습니다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.