Core Concepts
악성코드 탐지기의 강건성을 높이면서도 성능 저하를 방지하는 방법을 제안한다.
Abstract
이 논문은 윈도우 악성코드 탐지기의 강건성과 성능 저하 문제를 다룬다. 악성코드 탐지기는 기계학습 모델을 활용하여 악성코드를 탐지하지만, 이러한 모델은 악의적으로 조작된 악성코드(adversarial EXEmples)에 취약하다. 이를 해결하기 위해 모델을 강화하는 방법이 제안되었지만, 이는 기존에 잘 탐지되던 악성코드에 대한 성능 저하(회귀)를 초래할 수 있다.
이 논문에서는 EXE-scanner라는 플러그인을 제안한다. EXE-scanner는 기존 악성코드 탐지기에 연결되어 adversarial EXEmples를 탐지하고 차단할 수 있다. 실험 결과, EXE-scanner는 기존 모델의 성능 저하 없이 adversarial EXEmples에 대한 강건성을 높일 수 있음을 보여준다. 또한 adversarial training 기법보다 우수한 성능을 보인다. 이와 함께 다양한 상용 백신 엔진에 EXE-scanner를 적용하여 강화할 수 있음을 확인하였다. 마지막으로 EXE-scanner 자체에 대한 공격 실험을 통해 강건성을 검증하였다.
Stats
악성코드 탐지기의 정확도(ACC)는 95.84%에서 EXE-scanner 적용 시 99.02%로 향상되었다.
악성코드 탐지율(TPR)은 94.60%에서 99.07%로 증가하였다.
악성코드 변종(adversarial EXEmples) 탐지율(TPR(Adv.))은 94.82%에서 99.43%로 향상되었다.
오탐율(FPR)은 1.05%에서 1.1%로 소폭 증가하였다.
Quotes
"EXE-scanner는 기존 모델의 성능 저하 없이 adversarial EXEmples에 대한 강건성을 높일 수 있다."
"EXE-scanner는 adversarial training 기법보다 우수한 성능을 보인다."
"EXE-scanner는 다양한 상용 백신 엔진에 적용하여 강화할 수 있다."