Opcode와 Windows API를 사용한 멀웨어 탐지

• Published in: The journal of the institute of internet, broadcasting and communication : JIIBC Vol. 17; no. 6; pp. 11 - 17
• Main Authors: 안태현, 오상진, 권영만, Ahn, Tae-Hyun, Oh, Sang-Jin, Kwon, Young-Man
• Format: Journal Article
• Language: Korean
• Published: 한국인터넷방송통신학회 31.12.2017
• Subjects: 컴퓨터학; Windows API Calls; Opcode; K-Nearest Neighbor; Malware; Machine Learning; Bernoulli Naive Bayes; PE File Format
• ISSN: 2289-0238; 2289-0246
• DOI: 10.7236/JIIBC.2017.17.6.11

We proposed malware detection method, which use the feature vector that consist of Opcode(operation code) and Windows API Calls extracted from executable files. And, we implemented our feature vector and measured the performance of it by using Bernoulli Naïve Bayes and K-Nearest Neighbor classifier. In experimental result, when using the K-NN classifier with the proposed method, we obtain 95.21% malware detection accuracy. It was better than existing methods using only either Opcode or Windows API Calls. 본 논문에서는 멀웨어 탐지 방법으로 Opcode (operation code)와 실행 파일에서 추출한 Windows API Call로 구성된 특징 벡터를 사용하는 방법을 제안한다. 먼저 PE 파일에서 추출한 opcode와 windows API로 특징 벡터를 구성하고 Bernoulli Naïve Bayes과 K-Nearest Neighbor 분류기 알고리즘을 사용하여 성능을 각각 측정하였다. 실험결과, 제안한 방법과 KNN 분류기를 사용하여 분류하면 95.21%의 멀웨어 탐지 정확도를 얻을 수 있었다. 결과적으로 기존의 Opcode 또는 Windows API 호출 중 하나만 사용하는 방법보다 제안한 방법이 멀웨어 탐지 정확도에서 높은 성능을 보인다.