전 세계적으로 모바일 플랫폼에서 안드로이드 운영체제 시장점유율이 지속 증가하고 있다. 이러한 점유율의 증가와 함께, 안드로이드가 오픈소스라는 것과 서드파티 마켓에서도 애플리케이션 다운로드가 가능하다는 점 때문에, 악성코드 개발자들의 주요 공격대상이 되고 있다.
안드로이드를 대상으로 하는 악성코드의 수가 증가함에 따라서 사람이 지속적으로 보안 솔루션을 업데이트해야 하는 기존의 시그니쳐 및 룰 기반의 악성코드 탐지방법은 한계에 직면하고 있다. 따라서, 악성코드 탐지방법에 인공지능을 적용한 방법이 지속 연구되어 오고 있다.
하지만, 인공지능의 한 분야인 머신러닝은 악성코드 분류를 위한 유효한 특성(Feature)을 선정하는 특성공학(Feature engineering) 단계가 필수적이기 때문에, 시간과 인력의 소요가 증가하게된다. 따라서, 최근에는 특성공학 단계를 생략함으로써 효과적으로 악성코드를 탐지할 수 있는 CNN (Convolution Neural Network)에 대한 연구가 활발하게 진행되고 있다.
본 논문에서는 API Call 및 악성코드 파일의 바이너리(Binary) 정보 등을 활용하는 기 존의 CNN 기반의 모바일 악성 코드 탐지연구와는 다르게 네트워크 트래픽을 이미지로 변환하여 CNN 기반으로 악성코드를 탐지하는 모델을 제안하였다. 실험결과, 정상 트래픽과 악성 트래픽을 분류하는 이진 분류에서는 99.9% 이상의 F1-Score를 달성하였고, 악성코드 카테고리 및 패밀리 분류에서 각각 98%, 96%의 F1-Score를 달성하였다. 특히, 이진 분류에서 학습되지 않은 악성코드를 99.9% 이상의 F1-Score로 분류하여, 신종 및 변종 악성코드에 대한 효과성을 입증하였다.