Malware API Classification Technology Using LSTM Deep Learning Algorithm

LSTM 딥러닝 알고리즘을 활용한 악성코드 API 분류 기술 연구

Recently, malicious code is not a single technique, but several techniques are combined and merged, and only important parts are extracted. As new malicious codes are created and transformed, attack patterns are gradually diversified and attack targets are also diversifying. In particular, the number of damage cases caused by malicious actions in corporate security is increasing over time. However, even if attackers combine several malicious codes, the APIs for each type of malicious code are repeatedly used and there is a high possibility that the patterns and names of the APIs are similar. For this reason, this paper proposes a classification technique that finds patterns of APIs frequently used in malicious code, calculates the meaning and similarity of APIs, and determines the level of risk.

최근 악성코드는 한 가지의 기법이 아닌 여러 기법들이 조합되고 합쳐지고 중요한 부분만 추출되어 새로운 악성코드들이 제작되고 변형되면서 점차적으로 공격 패턴이 다양해지고 공격 대상 또한 다양해지고 있다. 특히, 기업들의 보안에서의 악성 행위로 인한 피해 사례는 시간이 지날수록 늘어나고 있다. 하지만 공격자들이 여러 악성코드를 조합하더라도 각 악성코드의 종류별로 API들은 반복적으로 사용되고 API들의 패턴들과 이름이 유사할 가능성이 높다. 그로 인해 본 논문은 악성코드에서 자주 사용되는 API의 패턴을 찾고 API의 의미와 유사도를 계산하여 어느 정도의 위험도가 있는지 판단하는 분류 기술을 제안한다.