Windows 프로그램의 동적 API 호출 트레이스를 이용한 기능 단위 버스마크

Abstract

소프트웨어 버스마크는 프로그램의 고유하고 내재적인 특징으로써 어떤 프로그램을 확인하는 데 사용할 수 있다. 이는 어떤 프로그램을 다른 프로그램과 구별하는 기준이 되며 이를 이용해 소프트웨어의 도용을 탐지할 수 있다. Tamada가 제안한 기존의 Windows 용 동적 API 트레이스 버스마크는 프로그램을 실행시키고 로딩이 끝나고 곧바로 종료시키는 방법만으로 API 호출 순서를 뽑아내었다. 이 논문에서는 Windows 프로그램의 동적 API 호출 트레이스를 기반으로 한 기능 단위 소프트웨어 버스마크를 새롭게 제안한다. 이 버스마크는 Detours라는 API 후킹 라이브러리를 이용해 프로그램의 특정 기능이 실행되는 동안의 API 호출 트레이스를 추출한다. Tamada의 버스마크는 최대 공유 문자열(LCS) 알고리즘을 이용해 두 API 트레이스를 비교하였다. LCS 알고리즘은 공유 문자열이 정확히 일치하는 것을 찾기 때문에 트레이스에 노이즈가 있는 경우 정확도가 크게 떨어지게 된다. 이 문제를 해결하기 위해 준 전체 정렬(semi-global alignment) 알고리즘을 도입하여 일치하는 시퀀스에는 가산점을, 일치하지 않는 시퀀스에는 감점을 하여 약간의 노이즈가 있을 때에도 효과적으로 두 API 트레이스를 대응시켰다. 신뢰성과 강인성은 소프트웨어 버스마크를 평가하는 중요한 기준이다. 신뢰성은 버스마크가 독립적으로 개발된 두 프로그램을 얼마나 정확히 구별하는지를 나타내고 강인성은 버스마크가 프로그램의 변형을 얼마나 잘 탐지해내는지를 나타낸다. 우리는 이 두 기준에 따라 우리가 제안한 버스마크를 평가하기 위해 다양한 실험을 고안하였다. Tamada의 기존의 버스마크가 소프트웨어의 모듈 도용을 탐지하지 못하는 데 비해 우리가 제안한 버스마크는 탐지할 수 있음을 실험을 통해 보였다.