TraceTree: 공급망 공격을 포착하기 위한 악성코드 동작 매핑
요약
TraceTree는 syscall 그래프 추출기를 사용하여 악성코드의 메모리 덤프 트레이스를 10개의 특징 벡터로 매핑하는 기술입니다. Random Forest 모델을 통해 공급망 공격을 탐지하며, Docker 샌드박스 환경에서 syscall을 추적하여 분석합니다.
핵심 포인트
- syscall 그래프 추출기를 통한 10개 특징 벡터 매핑
- Random Forest 모델을 활용한 악성코드 동작 분류
- Docker 샌드박스 및 strace를 이용한 안전한 분석 환경 구축
- NetworkX를 활용한 유향 그래프 파싱 기술 적용
저희는 방금 중요한 업데이트를 출시했습니다: CIC-MalMem-2022 데이터셋의 실제 악성코드 동작을 사용하여 Random Forest 모델을 재학습했습니다. 과제는 58,000개의 복잡한 메모리 덤프(memory dump) 트레이스를 저희의 syscall 그래프 추출기가 생성하는 깨끗한 10개 특징(feature) 벡터 공간으로 매핑하는 것이었습니다.
작동 방식:
- Docker 내의 샌드박스 타겟 (네트워크 차단)
- strace -t -f를 사용하여 모든 syscall 추적
- NetworkX 유향 그래프(directed graph)로 파싱
- 10개 특징 추출 (프로세스 수, 네트워크 연결, 파일 작업, 심각도 점수 등)
- 분류를 위해 RandomForest에 입력
또한 모듈 수준의 임포트 사이클(import cycles)을 해결하였으며, 프로덕션 환경에서 더 안전한 모델 역직렬화(deserialization)를 위해 skops 버전을 고정했습니다.
악성코드 동작, syscall 파싱을 이해하거나 탐지 규칙(detection rules) 기여를 원하는 협업자를 찾고 있습니다. 이슈(issues)와 PR(Pull Requests)을 환영합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기