[Paper] 프로세스 리소스 활용 메트릭을 이용한 온라인 악성코드 탐지
발행: (2026년 1월 15일 오후 05:05 GMT+9)
8 min read
원문: arXiv
Source: arXiv - 2601.10164v1
개요
이 논문은 프로세스의 자원 사용 지표(CPU, 메모리, I/O 등)를 모니터링하여 실시간으로 악성코드를 탐지하는 온라인 학습 프레임워크를 제시한다. 방대한 사전 라벨링된 데이터셋으로 정적 모델을 학습하는 대신, 저자들은 새로운 실행 데이터가 들어올 때마다 분류기를 지속적으로 업데이트하여 제로데이 위협을 포착하고 끊임없이 변하는 악성코드 환경에 적응할 수 있게 한다.
주요 기여
- 온라인 학습 파이프라인은 실시간 프로세스 수준 자원 사용 데이터를 수집하고 탐지 모델을 점진적으로 업데이트합니다.
- OS‑레벨 메트릭만을 기반으로 한 특징 집합으로, 무거운 계측이나 샌드박싱을 피합니다.
- 전통적인 배치‑학습 분류기와의 실증적 비교를 통해 미지의 (제로‑데이) 악성코드 탐지에서 우수함을 보이고, 학습 데이터가 부족할 때도 견고함을 입증합니다.
- 클라우드 VM, 컨테이너, 엣지/IoT 디바이스에 적합한 저오버헤드 배포 시연을 제공합니다.
Methodology
- Data Collection – 프로그램이 실행되는 동안 시스템은 경량 메트릭(코어당 CPU % , 상주 메모리, 디스크 읽기/쓰기, 네트워크 I/O, 컨텍스트 스위치 등)을 정기적인 간격(예: 1초마다)으로 기록합니다.
- Feature Engineering – 원시 시계열 데이터를 평균, 분산, 최소/최대, 엔트로피와 같은 통계적 기술자와 단기 트렌드로 요약하여 프로세스당 고정 길이 벡터를 생성합니다.
- Online Learning Algorithm – 저자들은 Hoeffding Adaptive Trees와 Online Gradient Boosting과 같은 적응형 알고리즘을 사용합니다. 이 알고리즘은 한 번에 하나의 샘플을 받아들이고, 처음부터 재학습하지 않고도 결정 경계를 조정할 수 있습니다.
- Label Propagation – 프로세스가 보안 분석가나 오프라인 스캐너에 의해 나중에 정상 또는 악성으로 확인되면, 해당 특징 벡터가 라벨이 지정된 인스턴스로 모델에 다시 입력되어 증분 업데이트를 트리거합니다.
- Evaluation Setup – 두 가지 실험 시나리오가 고려됩니다:
- Zero‑day detection: 모델을 이전 악성코드 패밀리로 학습시키고, 완전히 새로운 샘플에 대해 테스트합니다.
- Limited data: 학습에 사용할 라벨이 지정된 인스턴스가 몇 개만 존재하는 상황을 가정하여, 초기 단계의 발생 상황을 모방합니다.
결과 및 발견
| 시나리오 | 배치 모델 (예: Random Forest) | 온라인 모델 (Hoeffding Tree) |
|---|---|---|
| 제로데이 탐지 (F1‑score) | 0.62 | 0.78 |
| 제한된 데이터 (10 샘플) | 0.48 | 0.71 |
| 프로세스당 평균 CPU 오버헤드 | ~3 % | ~1.5 % |
| 메모리 사용량 | 150 MB | ≈ 45 MB |
- 온라인 접근 방식은 정적 배치 모델보다 보이지 않는 악성코드에 대해 F1‑score가 15–30 % 더 높습니다.
- 배치 모델이 급격히 성능이 떨어지는 반면, 라벨이 지정된 예시가 10개만 있어도 효과적입니다.
- 리소스 소비는 프로덕션 서버와 엣지 디바이스의 한계 내에 머물러, 메트릭 전용 피처 세트의 실용성을 확인합니다.
실용적인 시사점
- 클라우드 테넌트를 위한 실시간 보호 – 클라우드 제공업체는 하이퍼바이저 또는 컨테이너 런타임에 탐지기를 삽입하여 다른 워크로드를 손상시키기 전에 의심스러운 프로세스를 표시할 수 있습니다.
- 엣지/IoT 보안 – 저전력 디바이스는 전체 샌드박스 환경 없이도 경량 모니터를 실행할 수 있어 악성 펌웨어 업데이트나 손상된 서비스의 조기 탐지가 가능합니다.
- 지속적인 보안 태세 – 보안 운영팀은 분석가가 검증한 라벨을 시스템에 다시 입력함으로써 모든 조사 과정을 모델 개선 단계로 전환할 수 있습니다—본질적으로 “자기 학습” IDS입니다.
- 시그니처 업데이트 의존도 감소 – 모델이 행동을 학습하기 때문에 기존 안티바이러스 시그니처를 회피하는 새로운 랜섬웨어, 크립토마이너, 파일리스 공격 등을 포착할 수 있습니다.
제한 사항 및 향후 작업
- Feature scope – 리소스 메트릭만을 의존하면 정상 사용 패턴을 모방하는 은밀한 악성코드를 놓칠 수 있다; 시스템 콜이나 네트워크 흐름 데이터와 결합하면 커버리지를 향상시킬 수 있다.
- Label latency – 온라인 모델은 프로세스에 라벨이 붙은 후에만 업데이트되므로 빠르게 확산되는 위협에 적응하는 데 지연이 발생할 수 있다. 반지도학습 또는 비지도형 드리프트 감지를 탐구하는 것이 다음 단계이다.
- Evaluation breadth – 실험은 선별된 Windows 실행 파일 데이터셋에서 수행되었으며; Linux, Android 및 이종 IoT 펌웨어로 확장하면 크로스 플랫폼 견고성을 검증할 수 있다.
Bottom line: 정적이고 배치 학습된 분류기에서 증분형, 행동 기반 탐지 엔진으로 전환함으로써, 이 연구는 개발자와 보안 팀이 급변하는 악성코드보다 앞서 나갈 수 있는 확장 가능한 경로를 제공한다—특히 속도와 자원 효율성이 가장 중요한 클라우드 및 엣지 환경에서.
저자
- Themistoklis Diamantopoulos
- Dimosthenis Natsos
- Andreas L. Symeonidis
논문 정보
- arXiv ID: 2601.10164v1
- 분류: cs.SE
- 출판일: 2026년 1월 15일
- PDF: PDF 다운로드