N-gram을 이용한 윈도우즈 프로그램의 정적 버스마크

Abstract

소프트웨어 버스마크란 프로그램 도용의 식별을 도울만한 프로그램 고유의 특성을 말한다. 본 논문에서는 실행 파일 형태의 Windows 프로그램을 대상으로 새로운 버스마크를 제안 하였다. 제안된 버스마크는 Windows 운영체제에서 제공하는 API를 이용하여 정의된다. API는 Windows 프로그램의 기능적인 부분을 구성하는데 핵심이며, 따라서 제안된 버스마크는 프 로그램의 기능성을 반영하게 된다. 단순히 API의 호출 종류나 사용 정도만을 통해 버스마크를 정의한 것이 아니라 실행 파일 상의 API의 배열 위치를 통해 만들어지는 특징을 추출하므로 기능적으로 유사성이 있는 프로그램도 신뢰성있게 처리할 수 있다는데 강점이 있다. 제안된 버스마크를 평가하기 위해 제안된 버스마크를 Windows 실행 파일에서 추출하 고 비교하는 시스템을 작성하고 이를 이용해 실험하였다. 구현된 시스템은 IDAPro 디스어셈블러를 이용하여 구성되었으며, DB추출기, 간접 호 출 해석기, n-gram 추출기로 이루어진 버스마크 추출 부분과 두 버스마크를 비교하여 도용 을 판별하는데 기준이 되는 유사성을 계산하는 버스마크 비교기로 구성하였다. 실험은 구현된 시스템을 통해 실제 배포된 프로그램들에서 버스마크를 추출하여 수행 하였다. 동일 프로그램의 다른 버전과의 비교, 같은 기능을 가진 다른 프로그램과의 비교, 같은 소스로부터 다른 컴파일러를 이용해 생성된 프로그램과의 비교로 구성 되었으며 이러한 실험의 결과는 제안된 버스마크의 유효성과, 속성인 신뢰성과 강인성을 보였다. 제안된 버스마크는 유사한 기능을 가진 프로그램들을 잘 구분해내어 신뢰성을 가졌으며, 같은 소스에 대해 다른 컴파일러로 컴파일한 변형된 프로그램에 관해서도 같은 프로그램으로 분류하므로 강인성를 가졌다. 이전에 진행된 Choi의 연구와 비교하였을 때 다소 높은 신뢰성을 가진다. 또한 주어진 실험 군에서의 버스마크의 비교 시간을 측정한 결과 초 단위의 결 과로 빠른 비교 속도를 보였으며, 이러한 속도는 다수의 프로그램으로 버스마크 데이터 베이스를 구성할 수 있는 가능성을 보여준다. 다만 제안된 버스마크는 프로그램 정적 분석 기술에 의존하므로, 정적 분석 기술의 적 용이 어려운 프로그램의 경우에 적용 범위가 한정되는 단점이 있다.