머신러닝을 활용한 실시간 리눅스 악성파일 탐지

Abstract

최근 IoT 혁명과 임베디드 장치 채택의 급증으로 악성코드 환경이 빠르게 변화하고 있다. 개인용 컴퓨터는 주로 x86 기반 아키텍처에서 실행되지만 임베디드 시스템은 다양한 아키텍처에 의존하고 있다. 이러한 측면에서 많은 시스템이 Linux 운영 체제 및 변종을 실행하고 있어 공격자는 "리눅스 악성코드"를 만들어내고 있다. 더욱이 리눅스 시스템에서 사용할 수 있는 안티 바이러스 및 샌드박스 솔루션은 매우 드문 현실이다. 따라서 리눅스 악성코드 탐지 방안을 개발하는 것이 필수 불가결한 상황하다. 리눅스 악성코드 문제를 해결하기 위하여, 본 논문에서는 리눅스 악성코드를 실시간에 탐지가 가능한 시그니처를 사용하지 않는 머신 러닝 기법을 제안한다. 본 논문에서는 보안 분석가들에게 악성 분류 이유에 대한 직관을 제시하기 위해서 실행파일로부터 추출한 각 특징의 정보 이득에 결정 트리(DT) 기법을 적용한다. 실험을 통하여 제안한 방안이 높은 탐지율과 낮은 오탐율을 갖고 있음을 증명한다. Recently, the IoT revolution and surge in adoption of embedded devices are rapidly changing the malware environment. While personal computers run predominantly on x86-flavored architectures, embedded systems rely on a variety of different architecture. In turn, this aspect causes a large number of these systems to run some variants of the Linux operating system, pushing malicious actors to give birth to "Linux malware". Also, there are not many Anti-Virus and sandboxing solutions for Linux systems. So, it is indispensable to develop Linux malware detection methods. To solve them, we propose a real-time, non-signature-based machine learning technique for detecting Linux malware. To provide human-comprehensible reasons to network security analysts, our method uses a decision tree technique on the Information Gain of each feature extracted from executable files. And we verify that our method has high accuracy at a low false positive rate by implementing it.