SSDeep을 이용한 유사도 처리과정에서 ssdeep 유사도가 안맞는 문제

kookmin-sw / 2018-cap1-16

Malware Analysis System in Kookmin

GNU General Public License v3.0

4 stars 4 forks source link

SSDeep을 이용한 유사도 처리과정에서 ssdeep 유사도가 안맞는 문제 #5

Closed JunNyung-Hur closed 6 years ago

JunNyung-Hur commented 6 years ago

코싸인 유사도가 0.99로 매우 높은 두 악성코드에 ssdeep 유사도가 0이나옴 이것은 이 한쌍의 문제만이 아니라 다른 것들도 유사도가 맞지 않게나옴

JunNyung-Hur commented 6 years ago

파일 전체에 대한 ssdeep 값이 아닌, opcode sequence의 ssdeep 값을 이용하여 유사도 비교를 진행해볼 예정

JunNyung-Hur commented 6 years ago

파일의 opcode sequence를 이용해 ssdeep 알고리즘을 적용한 결과, 유사도가 99%인 한쌍의 파일에 대해서 ssdeep 점수가 94점이 나옴. 따라서 opcode sequence를 이용하여 ssdeep 스트링을 추출하는 방식을 유사도 검색을 위한 방법으로 채택