Skip to main content
QUICK REVIEW

[논문 리뷰] Anomaly Detection for malware identification using Hardware Performance Counters

Alberto Garcia-Serrano|arXiv (Cornell University)|2015. 08. 29.
Network Security and Intrusion Detection참고 문헌 11인용 수 24
한 줄 요약

이 논문은 현대 프로세서의 하드웨어 성능 카운터(HPCs)를 사용하여 악성 소프트웨어 식별을 위한 비지도 이상 탐지 방법을 제안한다. 캐시 미스 및 분지 예측 오류와 같은 저수준 CPU 이벤트를 모니터링하여 버퍼 오버플로우나 리턴 기반 프로그래밍(ROP)과 같은 악용을 암시하는 비정상적인 프로그램 동작을 탐지함으로써, 악성 샘플에 대한 사전 학습이 필요 없이 알려지지 않은 악성 소프트웨어 및 고도로 정교한 지속적 위협(APTs)을 효과적으로 탐지한다.

ABSTRACT

Computers are widely used today by most people. Internet based applications, like ecommerce or ebanking attracts criminals, who using sophisticated techniques, tries to introduce malware on the victim computer. But not only computer users are in risk, also smartphones or smartwatch users, smart cities, Internet of Things devices, etc. Different techniques has been tested against malware. Currently, pattern matching is the default approach in antivirus software. Also, Machine Learning is successfully being used. Continuing this trend, in this article we propose an anomaly based method using the hardware performance counters (HPC) available in almost any modern computer architecture. Because anomaly detection is an unsupervised process, new malware and APTs can be detected even if they are unknown.

연구 동기 및 목표

  • 기존 시그니처 기반 악성 소프트웨어 방지 도구가 알려지지 않은 악성 소프트웨어나 제로데이 악성 소프트웨어를 탐지하는 데에 한계가 있다는 문제를 해결하기 위해.
  • 하드웨어 성능 카운터(HPCs)를 저수준 시스템 기능으로 활용하여 악성 소프트웨어 탐지 가능성 탐색하기 위해.
  • 라벨이 부여된 악성 소프트웨어 데이터가 필요 없이 정상 프로그램 동작에서의 이탈을 식별할 수 있는 비지도 이상 탐지 기법 개발하기 위해.
  • 버퍼 오버플로우 및 ROP 공격과 같은 정교한 공격 기법을 효과적으로 탐지할 수 있는가 평가하기 위해.

제안 방법

  • 현대 CPU에 내장된 하드웨어 성능 카운터(HPCs)를 활용하여 실행 지시어 수, 사이클 수, 데이터 캐시 미스, 분지 예측 오류 등의 저수준 메트릭을 수집한다.
  • 표준 도구인 'perf'나 PAPI와 같은 라이브러리를 사용하여 프로그램 실행 중 HPC 이벤트를 수집함으로써 다중 플랫폼 간 호환성을 확보한다.
  • 이상 탐지 기법—특히 비지도 학습—을 적용하여 HPC 기능 공간 내 이상치를 식별함으로써 잠재적 악용 시도를 탐지한다.
  • 클러스터링 및 이상치 탐지 알고리즘을 사용하여 정상 행동에서 크게 이탈한 실행 패턴을 경고 표시한다.
  • 악성 소프트웨어 시그니처에 대한 사전 지식이 필요 없기 때문에, APT와 같은 이전에 알려지지 않은 위협을 탐지하는 데 적합하다.
  • 시스템은 악성 프로그램 실행만을 기반으로 학습하며, 정상 HPC 프로파일에서의 통계적 이탈 기반으로 이상을 탐지한다.

실험 결과

연구 질문

  • RQ1알려지지 않은 악성 소프트웨어일지라도 하드웨어 성능 카운터가 악성 프로그램 행동 탐지에 효과적인 기능이 될 수 있는가?
  • RQ2HPC 데이터 기반으로 비지도 이상 탐지 기법이 버퍼 오버플로우 및 ROP 체인과 같은 악성 소프트웨어 공격을 얼마나 잘 식별할 수 있는가?
  • RQ3伝통적인 시그니처 기반 방법에 비해 HPC 기반 기능이 고도로 정교한 지속적 위협(APTs) 탐지에 얼마나 향상되는가?
  • RQ4라벨이 부여된 악성 소프트웨어 샘플이 없이도 메모리 손상 공격으로 인한 미세한 행동 이상을 탐지할 수 있는가?

주요 결과

  • 하드웨어 성능 카운터의 사용은 버퍼 오버플로우 및 ROP 공격과 같은 악용으로 인한 저수준 이상을 캡처함으로써 CPU 수준에서 악성 행동을 탐지할 수 있게 한다.
  • HPC 기능 기반 비지도 이상 탐지 기법은 악성 샘플에 대한 사전 학습 없이도 알려지지 않은 악성 소프트웨어 및 APT를 성공적으로 식별한다.
  • 실행 흐름이 정상적으로 변경되는 공격에 대해 효과적으로 대응함을 입증하며, 캐시 미스 및 분지 잘못 예측과 같은 HPC 메트릭에서의 심각한 이격이 관찰된다.
  • 성능 카운터는 정확도가 높고 현대 아키텍처 전반에서 널리 이용 가능하므로, 이 방법은 다양한 시스템 간 구현이 가능하고 이식성이 뛰어나다.
  • 기존의 시그니처 기반 방법에 비해 제로데이 및 다형성 악성 소프트웨어 탐지에서 행동 이상에 초점을 맞추므로 더 뛰어난 성능을 보인다.
  • 실험 결과 HPC 기반 이상 탐지 기법은 악성 활동을 매우 민감하게 탐지할 수 있음을 보여주며, 기존 탐지 기법을 회피하기 위해 오브스컬레이션 기법을 사용하는 악성 소프트웨어에도 효과적이다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.