Skip to main content
QUICK REVIEW

[논문 리뷰] Early Detection of In-Memory Malicious Activity based on Run-time Environmental Features

Dorel Yaffe, Danny Hendler|arXiv (Cornell University)|2021. 03. 29.
Advanced Malware Detection Techniques참고 문헌 27인용 수 2
한 줄 요약

이 논문은 실시간 런타임 환경 로그를 분석함으로써 윈도우에서 메모리 내 악성 소프트웨어를 조기에 탐지하는 새로운 저비용 기반의 기계학습 기반 시스템을 제안한다. 메모리 상태, 프로세스 행동, 시스템 호출을 포함한 정제된 프로세스 수준의 원격 감시 데이터를 활용함으로써, 낮은 오진율과 거의 영향을 주지 않는 성능 영향을 기반으로 높은 정밀도의 탐지를 달성하며, 악성 행동이 실행되기 이전에 대응 조치를 가능하게 한다.

ABSTRACT

In recent years malware has become increasingly sophisticated and difficult to detect prior to exploitation. While there are plenty of approaches to malware detection, they all have shortcomings when it comes to identifying malware correctly prior to exploitation. The trade-off is usually between false positives, causing overhead, preventing normal usage and the risk of letting the malware execute and cause damage to the target. We present a novel end-to-end solution for in-memory malicious activity detection done prior to exploitation by leveraging machine learning capabilities based on data from unique run-time logs, which are carefully curated in order to detect malicious activity in the memory of protected processes. This solution achieves reduced overhead and false positives as well as deployment simplicity. We implemented our solution for Windows-based systems, employing multi disciplinary knowledge from malware research, machine learning, and operating system internals. Our experimental evaluation yielded promising results. As we expect future sophisticated malware may try to bypass it, we also discuss how our solution can be extended to thwart such bypassing attempts.

연구 동기 및 목표

  • 기존의 시그니처 기반 및 히ュ리스틱 기반 방법이 종종 실패하는, 악성 코드가 실행되기 전에 정교한 메모리 내 악성 소프트웨어를 탐지하는 데 도전하는 것.
  • 특히 고보안 환경에서 중요한 자원을 보호할 때 오진률과 시스템 오버헤드를 줄이는 것.
  • 보호된 프로세스에서 추출한 런타임 환경 특징을 분석하여 실시간 탐지를 가능하게 하는 것.
  • 메모리 덤프나 가상 머신 샌드박스를 요구하지 않으며, 존재하는 시스템과 원활하게 통합되는 비침습적이고 구현 가능한 솔루션을 설계하는 것.

제안 방법

  • 보호된 프로세스에서 실시간 런타임 로그를 수집하고 처리하여 정적 및 동적 환경 변수를 기록한다.
  • 커널 수준의 에이gent를 통해 수집된 실제 워크로드와 실제 악성 소프트웨어 공격의 대규모 로그 데이터셋을 기반으로 기계학습 모델을 훈련한다.
  • 관련성이 메모리 내 공격 패tern과 연관된 특징으로서, 프로세스 메타데이터, 메모리 레이아웃, 시스템 호출, 실행 컨텍스트를 포함한다.
  • 조기 탐지 타이밍과 오진률 간의 균형을 맞추기 위해 임계값 기반 평가 시스템을 사용하여 감도를 구성 가능하게 한다.
  • 탐지기는 실시간으로 작동하며, 최소한의 런타임 로그를 쿼리하여 곧바로 악성 활동이 발생할 가능성을 추론하고, 실행 이전에 대응 조치를 유도한다.
  • 이동 목표 방어 기법을 포함한 오용 기법에 대응할 수 있도록 확장 가능한 아키텍처를 지원한다.

실험 결과

연구 질문

  • RQ1보호된 프로세스에서 추출한 런타임 환경 특징을 통해 악성 코드가 실행되기 이전에 메모리 내 악성 소프트웨어를 조기에 탐지할 수 있는가?
  • RQ2실제 워크로드 로그를 기반으로 훈련된 기계학습 모델이 높은 탐지 정확도를 유지하면서 낮은 오진률을 달성할 수 있는가?
  • RQ3메모리 덤프나 샌드박스 기반 접근 방식에 비해 제안된 솔루션은 얼마나 낮은 시스템 오버헤드를 보이는가?
  • RQ4다양한 악성 소프트웨어 패밀리, 특히 파일리스 및 제로데이 공격을 탐지하는 데 얼마나 효과적인가?
  • RQ5고도로 발전한 악성 소프트웨어의 오용 시도를 저지하기 위해 탐지 메커니즘을 확장할 수 있는가?

주요 결과

  • 다양한 악성 소프트웨어 패밀리, 랜섬웨어, 악성 코드 키트, 파일리스 악성 소프트웨어 포함하여, 악성 공격에 대해 높은 탐지 정확도와 낮은 오진률을 확보하였다.
  • 시스템 오버헤드가 거의 없었으며, 지속적인 로깅 상황에서 에이전트의 CPU 및 메모리 사용률이 1% 이하로 유지되었다.
  • 악성 작업이 실행되기 이전에 타겟 프로세스에서 악성 활동을 성공적으로 탐지하여 실시간 대응 조치를 가능하게 하였다.
  • 메모리 덤프나 VM 분석 대신 런타임 로그를 사용함으로써 탐지 지연 시간과 시스템 자원 소비를 크게 감소시켰다.
  • 임계값 기반 평가 시스템을 통해 조기 경고 간격을 제어 가능한 오진률로 조정할 수 있었으며, 고보안 환경에서의 구현을 지원하였다.
  • 아키텍처는 확장 가능하며, 고도화된 오용 전략에 대응하기 위해 이동 목표 방어 기법을 통합하여 향상시킬 수 있다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.