Antivirus vendors have detected malware through signature-based detection. However, such malware detection has become ineffective as malware variant generation tools have been available. Due to the availability of such tools, malware authors can easily create malware variants that are slight modifications of existing malware. In addition, the number of new malware variants has increased at an exploding pace. According to statistics of the AV-TEST, approximately 80 million new malware samples 88% of which are malware variants, and this exploding appearance speed has continued to increase. Due to the incapability in detecting malware variants through signature-based detection, Malwise has proposed control flow matching methods that convert malware variants into the set of control flow strings and classify them by measuring similarities in existing malware samples. Their approaches are effective in detecting malware variants because, unlike signatures, control flows of malware variants are invariant. Its authors have proposed two control flow matching methods. One of them is exact matching and the other one is approximate matching. However, there is a trade-off between the two methods. Exact matching is faster but less accurate than approximate matching because it is only necessary to check whether each control flow is identical. On the other hand, approximate matching is more accurate but has lower performance since this method compares all parts of each control flow in a fine-grained manner. In addition, both neither method considers parallelism even though many resources are available in recent high performance computers. Therefore, in order to achieve high accuracy and performance and apply parallelism, we chose to accelerate approximate matching on our platform, MN-MATE, which has higher accuracy than exact matching. Our objective in this study is to devise acceleration of approximate matching through efficient identical control flow matching, database optimization and efficient parallelism. For efficient identical control flows matching, we designed I-Filter to accelerate the fine-grained approximate matching method through fast identical procedure-level control flow string matching. For database optimization, we suggest the table division method which reduces unnecessary comparisons by decreasing the large number of entries in malware databases because such entries contain malware samples that cannot be similar. For efficient parallelism, we propose dynamic resource allocation to efficiently utilize resource in parallel analysis. We integrate the above components into our work, Accelerated Malware Classification System through Filtering on Manycore System briefly called Malfinder. As a result, we gained on average 234.1 times total performance improvements in our experiments.

안티바이러스 회사들은 시그니쳐 기반의 탐지 방식으로 말웨어를 탐지해왔다. 하지만, 이러한 방식은 효과적이지 않은데 그 이유는 말웨어 변종 생성기가 보급되어왔기 때문이다. 이러한 툴의 쉬운 접근성 때문에, 말웨어 제작자들은 말웨어 변종을 만들어내었으며, 이 말웨어 변종은 기존의 말웨어의 약간 변형된 버전이다. 뿐만 아니라, 새로운 말웨어의 숫자가 급격하게 증가하고 있다. AV-TEST의 통계에 따르면 2013년간 8천만의 새로운 말웨어가 나타났으며 그중 88%는 말웨어 변종인 것으로 밝혀졌다. 그리고 이러한 숫자는 계속 증가할 것으로 보인다. 시그니쳐 기반의 탐지 방식이 말웨어 변종에 통용되지 않자, Malwise는 흐름도 매칭 방식으로 말웨어 변종을 흐름도 문자열로 변환 후 유사도를 측정하는 방식으로 말웨어 변종을 탐지하였다. 이 방식은 말웨어 변종 탐지에서 우수했다 왜냐하면 흐름도는 말웨어 변종 끼리는 거의 변하지 않았기 때문이다. 이 저자는 두가지 흐름도 매칭 방식을 제안하였는데 이는exact matching과 approximate matching이다. Exact matching은 빠르지만 느린데 이유는 흐름도가 동일한지의 여부만 체크하기 때문이다. 반면, Approximate matching 방식은 좀 더 정확하지만 느리며 흐름도를 하나하나 매칭한다. 게다가 현대에는 많은 자원을 사용할 수있음에도 불구하고, 두 가지 방식 모두 병렬화를 고려하고 있지 않다. 따라서 높은 정확도와 성능을 위해 높은 정확도를 가진 approximate matching을 MN-MATE 플랫폼 위에서 병렬화 및 가속하였다. 이 연구를 통해 우리의 목표는 apprximate matching을 가속하는데 이는 효율적인 동일한 흐름도 매칭, 데이터베이스 최적화 그리고 효율적인 병렬화를 통해 이루어진다. 효율적인 동일한 흐름도 매칭을 위해서 I-Filter를 디자인하였고, 데이터베이스 최적화를 위해서 테이블 분리 방식을 통해서 데이터베이스의 너무 많은 엔트리 수를 줄이고자 하였으며, 효율적인 병렬화를 위해 동적 자원 할당을 통해서 자원을 최대한 활용하며 병렬적으로 말웨어 분석을 하였다. 우리는 이러한 부분을 우리의 워크에 통합하여서 Mafinder를 개발하였으며, 총성능은 평균적으로 234.1배 증가하였습니다.