Accelerated malware classification system through filtering on manycore system

Abstract

안티바이러스 회사들은 시그니쳐 기반의 탐지 방식으로 말웨어를 탐지해왔다. 하지만, 이러한 방식은 효과적이지 않은데 그 이유는 말웨어 변종 생성기가 보급되어왔기 때문이다. 이러한 툴의 쉬운 접근성 때문에, 말웨어 제작자들은 말웨어 변종을 만들어내었으며, 이 말웨어 변종은 기존의 말웨어의 약간 변형된 버전이다. 뿐만 아니라, 새로운 말웨어의 숫자가 급격하게 증가하고 있다. AV-TEST의 통계에 따르면 2013년간 8천만의 새로운 말웨어가 나타났으며 그중 88%는 말웨어 변종인 것으로 밝혀졌다. 그리고 이러한 숫자는 계속 증가할 것으로 보인다. 시그니쳐 기반의 탐지 방식이 말웨어 변종에 통용되지 않자, Malwise는 흐름도 매칭 방식으로 말웨어 변종을 흐름도 문자열로 변환 후 유사도를 측정하는 방식으로 말웨어 변종을 탐지하였다. 이 방식은 말웨어 변종 탐지에서 우수했다 왜냐하면 흐름도는 말웨어 변종 끼리는 거의 변하지 않았기 때문이다. 이 저자는 두가지 흐름도 매칭 방식을 제안하였는데 이는exact matching과 approximate matching이다. Exact matching은 빠르지만 느린데 이유는 흐름도가 동일한지의 여부만 체크하기 때문이다. 반면, Approximate matching 방식은 좀 더 정확하지만 느리며 흐름도를 하나하나 매칭한다. 게다가 현대에는 많은 자원을 사용할 수있음에도 불구하고, 두 가지 방식 모두 병렬화를 고려하고 있지 않다. 따라서 높은 정확도와 성능을 위해 높은 정확도를 가진 approximate matching을 MN-MATE 플랫폼 위에서 병렬화 및 가속하였다. 이 연구를 통해 우리의 목표는 apprximate matching을 가속하는데 이는 효율적인 동일한 흐름도 매칭, 데이터베이스 최적화 그리고 효율적인 병렬화를 통해 이루어진다. 효율적인 동일한 흐름도 매칭을 위해서 I-Filter를 디자인하였고, 데이터베이스 최적화를 위해서 테이블 분리 방식을 통해서 데이터베이스의 너무 많은 엔트리 수를 줄이고자 하였으며, 효율적인 병렬화를 위해 동적 자원 할당을 통해서 자원을 최대한 활용하며 병렬적으로 말웨어 분석을 하였다. 우리는 이러한 부분을 우리의 워크에 통합하여서 Mafinder를 개발하였으며, 총성능은 평균적으로 234.1배 증가하였습니다.