멀웨어 데이터 과학 (공격 탐지 및 원인 규명)

JoshuaSaxe

JoshuaSaxe는유수의보안업체Sophos에서데이터과학연구팀을이끌고있는총괄데이터과학자(ChiefDataScientist)이다.그는수천만명의고객들을멀웨어감염으로부터보호하는Sophos의신경망기반멀웨어탐지기의수석개발자이기도하다.
Sophos에합류하기전,그는DARPA가후원하는미정부보안데이터연구프로젝트를5년간지휘했다.

서문
감사의글
소개
데이터과학이란무엇인가?
데이터과학이보안에중요한이유
멀웨어에데이터과학적용
누가이책을읽어야하는가?
이책에대해
샘플코드및데이터사용방법

챕터1:기본정적멀웨어분석
마이크로소프트윈도우즈PortableExecutable포맷
PE헤더
선택적헤더
섹션헤더
pefile을이용한PE포맷해부
멀웨어이미지검사
멀웨어문자열검사
문자열프로그램사용
문자열덤프분석
요약

챕터2:기본정적분석을넘어:x86디스어셈블리
디스어셈블리방법
x86어셈블리언어기초
CPU레지스터
산술명령어
데이터이동명령어
pefile과capstone을이용한ircbot.exe디스어셈블
정적분석을제한하는인자들
패킹
자원난독화
디스어셈블리방지기법
동적으로다운로드한데이터
요약

챕터3:동적분석개요
왜동적분석을사용하는가?
멀웨어데이터과학을위한동적분석
동적분석을위한기본툴
일반적인멀웨어행동
malwr.com에파일업로드
malwr.com의결과분석
기본동적분석의한계
요약

챕터4:멀웨어네트워크를이용한캠페인공격식별
노드와엣지
이분네트워크
멀웨어네트워크시각화
왜곡문제
힘-방향알고리즘
NetworkX를통한네트워크구축
노드와엣지추가
속성추가
디스크에네트워크저장
GRAPHVIZ를통한네트워크시각화
매개변수를사용하여네트워크조정
GraphViz커맨드라인도구
노드와엣지에시각적속성추가
멀웨어네트워크구축
공유이미지관계네트워크구축
요약

챕터5:공유코드분석
특성추출을통한샘플비교준비
특성모둠모델의원리
N-그램이란?
자카드지수를사용하여유사성수치화
유사성행렬을통한멀웨어공유코드추정메서드검토
명령어시퀀스기반유사성
문자열기반유사성
임포트주소테이블기반유사성
동적API호출기반유사성
유사성그래프구축
유사성비교스케일링
minhash개괄
minhash심화
지속적인멀웨어유사성검색시스템구축
유사성검색시스템실행
요약

챕터6:머신러닝기반멀웨어탐지이해
머신러닝기반탐지기구축단계
훈련예시수집
특성추출
올바른특성설계
머신러닝시스템훈련시키기
머신러닝시스템테스트하기
특성공간과결정경계의이해
모델의가치판단:과적합및과소적합
주요머신러닝알고리즘타입
로지스틱회귀분석
K-근접이웃
의사결정트리
무작위숲
요약

챕터7:멀웨어탐지시스템평가
네가지탐지결과
검출정탐및오탐비율
검출정탐비율과오탐비율의관계
ROC곡선
평가를위한기준율의적용
기준율이정밀도에미치는영향
배포환경에서의정밀도추정
요약

챕터8:머신러닝탐지기만들기
용어와개념
모형의사결정트리기반탐지기구축
의사결정트리분류기훈련
의사결정트리시각화
전체샘플코드
sklearn을활용한실제머신러닝탐지기구축
실제특성추출
가능한모든특성을사용할수없는이유
해싱트릭을통한특성압축
강력한탐지기구축
특성추출
탐지기훈련
새로운바이너리에대해탐지기실행
우리가지금까지구현한것
탐지기의성능평가
ROC곡선을통한탐지기효율평가
ROC곡선계산
훈련및테스트세트로데이터분할
ROC곡선계산
교차검증
다음단계
요약

챕터9:멀웨어추세시각화
멀웨어데이터시각화가중요한이유
우리의멀웨어데이터셋이해하기
pandas에데이터로드
pandasDataFrame활용
조건을사용하여데이터필터링
MATPLOTLIB를사용하여데이터시각화
멀웨어크기와벤더탐지간관계플로팅
랜섬웨어탐지비율플로팅
랜섬웨어및웜탐지비율플로팅
seaborn을사용하여데이터시각화
안티바이러스탐지분포도식
바이올린도식생성
요약

챕터10:딥러닝기초
딥러닝이란무엇인가?
신경망의원리
뉴런의구조
뉴런들의네트워크
범용근사정리
자신만의신경망구축
네트워크에다른뉴런추가
자동특성생성
신경망훈련
역전파를통한신경망최적화
경로폭발
경사소실
신경망유형
피드포워드신경망
합성곱신경망
오토인코더신경망
생성적대립쌍네트워크
순환신경망
ResNet
요약

챕터11:Keras를활용한신경망멀웨어탐지기만들기
모델의구조정의
모델컴파일
모델훈련
특성추출
데이터생성기구축
검증데이터통합
모델저장및로드
모델평가
콜백을통한모델훈련프로세스강화
내장콜백사용
사용자정의콜백사용
요약

챕터12:데이터과학자되기
보안데이터과학자가되는방법
보안데이터과학자의삶
효과적인보안데이터과학자의특징
오픈마인드
경계없는호기심
결과에대한집착
결과에대한회의론적시각
앞으로의행보

부록:데이터셋및도구개괄
데이터셋개요
챕터1:기본정적멀웨어분석
챕터2:기본정적분석을넘어:x86디스어셈블리
챕터3:동적분석개요
챕터4:멀웨어네트워크를이용한캠페인공격식별
챕터5:공유코드분석
챕터6:머신러닝기반멀웨어탐지이해
그리고챕터7:멀웨어탐지시스템평가
챕터8:머신러닝탐지기만들기
챕터9:멀웨어추세시각화
챕터10:딥러닝기초
챕터11:Keras를활용한신경망멀웨어탐지기만들기
챕터12:데이터과학자되기
도구구현가이드
공유호스트이름네트워크시각화
공유이미지네트워크시각화
멀웨어유사성시각화
멀웨어유사성검색시스템
머신러닝멀웨어탐지시스템

*이책의구성
Chapter1:기본정적멀웨어분석에서는멀웨어파일들을판별하고이들이컴퓨터에서어떻게악의적인목적을달성하는지알아내기위한정적분석기법을다룬다.

Chapter2:기본정적분석을넘어-x86디스어셈블리에서는x86어셈블리언어와멀웨어의디스어셈블및리버스엔지니어링방법에대한간략한개요를제공한다.

Chapter3:동적분석개요에서는동적분석에대해논의하면서리버스엔지니어링섹션을마무리하며,통제된환경에서멀웨어를실행하여행동양식을학습한다.

Chapter4:멀웨어네트워크를이용한캠페인공격식별에서는멀웨어프로그램이호출하는호스트이름과같은공유속성을기반으로멀웨어를분석하고시각화하는방법을알아본다.
Chapter5:공유코드분석에서는멀웨어샘플간의공유코드관계를식별하고시각화하는방법을설명하며,이는멀웨어샘플그룹의출처가몇개의범죄그룹인지식별하는데도움이된다.

Chapter6:머신러닝기반멀웨어탐지기는머신러닝의기본개념에대한쉽고,직관적인소개이다.머신러닝관련경험이있다면이챕터는편안한기분전환이될것이다.

Chapter7:멀웨어탐지시스템평가에서는최선의접근방법을선택할수있도록기본적인통계메서드들을사용하여머신러닝시스템의정확도를평가하는방법을보여준다.

Chapter8:머신러닝탐지기만들기는머신러닝시스템구축에사용가능한오픈소스머신러닝도구를소개하고사용법을설명한다.
Chapter9:멀웨어트렌드시각화에서는공격캠페인과트렌드를파악하기위해파이썬을사용하여멀웨어위협데이터를시각화하는방법과보안데이터를분석할때일상적인워크플로우에데이터시각화를통합하는방법에대해다룬다.

Chapter10:딥러닝기초는딥러닝의기초가되는기본개념을다룬다.

Chapter11:Keras를활용한신경망멀웨어탐지기만들기에서는오픈소스툴을사용하여파이썬에딥러닝기반멀웨어탐지시스템을구현하는방법에대해설명한다.

Chapter12:데이터과학자되기에서는데이터과학자가되기위한다양한경로와실무에도움이되는소양을공유하며이책을마무리한다.

부록:데이터셋및도구개요는책에첨부된데이터와예시도구의구현을설명한다.