[논문]고 상호작용 클라이언트 허니팟을 이용한 실행 기반의 악성 웹 페이지 탐지 시스템 및 성능 분석

김민재; 장혜영; 조성제

고 상호작용 클라이언트 허니팟을 이용한 실행 기반의 악성 웹 페이지 탐지 시스템 및 성능 분석
Execution-based System and Its Performance Analysis for Detecting Malicious Web Pages using High Interaction Client Honeypot 원문보기

정보과학회논문지. Journal of KIISE. 컴퓨팅의 실제 및 레터, v.15 no.12, 2009년, pp.1003 - 1007

김민재 (단국대학교 컴퓨터학과 컴퓨터과학) , 장혜영 (단국대학교 정보컴퓨터과학과 컴퓨터과학) , 조성제 (단국대학교 공과대학 컴퓨터학부)

초록
AI-Helper

Drive-by download와 같은 클라이언트 측 공격은, 악의적인 서버와 상호작용하거나 악의적인 데이터를 처리하는 클라이언트 애플리케이션의 취약점을 대상으로 이루어진다. 전형적인 공격은 특정 브라우저 취약점을 악용하는 악성 웹 페이지와 관련된 웰 기반 공격으로, 클라이언트 시스템에 멀웨어를 실행하거나 클라이언트의 제어를 악의적인 서버에게 완전히 넘겨주기도 한다. 이러한 공격을 방어하기 위해, 본 논문에서는 Capture-HPC를 이용하여 가상 머신에서 실행기반으로 악성 웹 페이지를 탐지하는 고 상호작용(high interaction) 클라이언트 허니팟을 구축하였다. 이 실행기반 탐지 시스템을 이용하여 악성 웰 페이지를 탐지하고 분류하였다. 또한 가상머신의 이미지 개수 및 한 가상머신에서 동시 수행하는 브라우저 수에 따른 시스템 성능을 분석하였다. 실험 결과, 가상머신의 이미지 수는 하나이고 동시 수행하는 브라우저의 수가 50개일 때 시스템이 적은 리버팅 오버헤드를 유발하여 더 나은 성능을 보였다.

Abstract ▼ AI-Helper

Client-side attacks including drive-by download target vulnerabilities in client applications that interact with a malicious server or process malicious data. A typical client-side attack is web-based one related to a malicious web page exploiting specific browser vulnerability that can execute mal ware on the client system (PC) or give complete control of it to the malicious server. To defend those attacks, this paper has constructed high interaction client honeypot system using Capture-HPC that adopts execution-based detection in virtual machine. We have detected and classified malicious web pages using the system. We have also analyzed the system's performance in terms of the number of virtual machine images and the number of browsers executed simultaneously in each virtual machine. Experimental results show that the system with one virtual machine image obtains better performance with less reverting overhead. The system also shows good performance when the number of browsers executed simultaneously in a virtual machine is 50.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 drive-by download 공격과 같은 클라이언트 측 공격을 사전에 탐지하고, 피해를 줄이는 방법으로 고 상호작용 클라이언트 허니팟을 이용한 악성 웹페이지 탐지 시스템을 구축하고 실험하였다. 그 결과, 검사 대상 증에 악성 페이지의 숫자가 적을수록 동시에 많은 웹 페이지를 검사하는 것이 효율적이었다.
실제로 10억 개의 URL 중 3백만 개 이상의 악성 URL플이 drive- by dow기。거d 공격과 관련 있다는 통계가 있다[1, 2]. 본 논문에서는 driv언나)y download 공격으로부터 믈라이언트(웹 브라우저 이용자)를 보호하기 위해, '웹 브라우저를 통한 왭 페이지 방문 시 해당 웹 페이지의 악성 여부를 탐지하여 분석하는 클라이언트 허니팟 시스템'을 구축하고 실험하였다. 구축 시스템은 가상머신 (Virtual Machine, 이하 VM) 상에서 능동적으로 웹 페이지를 방문하며, 웹 페이지 방문 후 VM의 상태변화를 조사하여 악성 여부률 판단한다.
본 논문에서는 악성 웹 페이지 탐지 시스템의 개선에 대한 연구로, 실행기반으로 의심스러운 웹 페이지들 분석할 때 어떤 VM 구성이 좋은 성능을 내는 지를 파악하고 또한 악성 웹 페이지들올 분류한다.
VM 기반의 클라이언트 허니팟 시스템에서 수많은 웹 페이지를 분석할 때 시스템 성능이 매우 중요하다. 이에 본 논문에서는 하나의 물리머산(host OS) 상에 구동하는 VM 이미지(gues£ OS)의 개수와 할당된 메모리의 크기에 따륜 악성 웹페이지 탐지 성능도 분석하였다.

제안 방법

각 이미지마다 동시에 실행하는 웹 브라우저 수를 조절하면서 실험하였다(각 브라우저마다 하나의 페이지를 방문함). 20개로 설정된 디폴트 상태에서 40개의 페이지를 검사할 경우 악성 페이지가 없다면 2번의 실험으로 분석을 끝낼 수 있다.
또한 이미지 개수(1개, 2개, 4개, 8개)와 각 이피지에 할당되는 메모리 크기(512MB, 1024MB, 3600MB)를 변화시키면서 리버팅 횟수, 시간 등을 측정하였다. 검사를 위한 uH은 무작위로 수집하고, 카테고리별 분류를 위해 웹 검색방법을 이용하였으며, 이를 크롤링하였다.
국내 웹 페이지를 성인 사이트, 와레즈 사이트, 커뮤니티 사이트, 쇼핑 사이트, 기업 사이트, 게임 사이트 카테고리로 나누어 분석하였다. 이 분류는 중국 Peking 대학의 사이트 분류[9]를 참조하고 국내에서 유행하는 쇼핑 사이트 카테고리를 추가하여 결정되었다.
또한 이미지 개수(1개, 2개, 4개, 8개)와 각 이피지에 할당되는 메모리 크기(512MB, 1024MB, 3600MB)를 변화시키면서 리버팅 횟수, 시간 등을 측정하였다. 검사를 위한 uH은 무작위로 수집하고, 카테고리별 분류를 위해 웹 검색방법을 이용하였으며, 이를 크롤링하였다.
악성 웹페이지가 없더라도 한번 검사 후에 다음 검사를 위해 리버팅을 해야 한다. 리버팅은 검사시간 외에 추가시간을 요구하게 되므로’ VMware의 리버팅 횟수를 최소화 하는 것이 필요하다 이를 위해, 검사에서 수행된 리버팅 횟수와 전체 리버팅 소요시간, 1회 리버팅의 평균 시간, 초기 VM 이미지 생성 시간을 측정하고 분석하였다(표 1 참조). 표를 보면, 동시에 실행되는 웹 브라우저 개수에 따라 리버팅 횟수가 변화함을 알 수 있다.
먼저, Cap饨KeHPC 옵션을 이용하여 한 guestOS(이홍}, 이미지)마다 동시에 띄우는 웹 브라우저의 개수를 10개, 20개, 30개, 50개, 70개로 나누어 실험하였다, 이는 한 번에 악성 여부를 분석하는 URL 개수를 의머한다. 또한 이미지 개수(1개, 2개, 4개, 8개)와 각 이피지에 할당되는 메모리 크기(512MB, 1024MB, 3600MB)를 변화시키면서 리버팅 횟수, 시간 등을 측정하였다.
500개의 ur!을 가지고, 동시에 실행되는 웹 브라우저의 수를 조절하면서 각각 2회씩 실험하여 그 평균을 구했으며, 그 결과가 표 1에 나타나 있다.
나누어 분석하였다. 이 분류는 중국 Peking 대학의 사이트 분류[9]를 참조하고 국내에서 유행하는 쇼핑 사이트 카테고리를 추가하여 결정되었다. 쉡 페이지 수집을 위해 검색엔진에 6개의 키워드로 각각 50개의 대표 URL(seed URL)을 적용하였다.
첫째는 샌드박스 VM으로 VM 내부를 고립하여 웹이나 P2P등을 통해 다운로드한 프로그램 등 신뢰할 수 없는 어플리케이션을 실행하게 돤다. 특정 어플리케이션 내부의 악성 코드가 실행되더라도 그 효력이 VM 내부로만 제한되어, 실제 컴퓨터는 안전하게 유지되어 중요정보를 보호할 수 있다.

대상 데이터

쉡 페이지 수집을 위해 검색엔진에 6개의 키워드로 각각 50개의 대표 URL(seed URL)을 적용하였다. 6개의 분류된 사이트에서 각각 4, 800개의 파생 페이지를 수작업을 통해 얻었다. 총 28, 800개(书脳, 800개)의 웹페이지의 악성 여부를 판단한 결과 표 3에서와 같은 통계를 얻을 수 있었고, 전체 약 27시간 顷)분이 소요됐다'
VM의 메모리 용량과 이미지 개수에 따른 성능을 분석하기 위해, 각 이미지에서 동시 수행하는 브라우저의 수를 디폴트인 20개로 하고, 무작위로 추출된 50()개의 웹 페이지들을 대상으로 실험하였다.
com에 적용하여 페이지를 각각 100개씩 수집하였다. 수집된 500개의 ur!을 가지고, 동시에 실행되는 웹 브라우저의 수를 조절하면서 각각 2회씩 실험하여 그 평균을 구했으며, 그 결과가 표 1에 나타나 있다.
이 분류는 중국 Peking 대학의 사이트 분류[9]를 참조하고 국내에서 유행하는 쇼핑 사이트 카테고리를 추가하여 결정되었다. 쉡 페이지 수집을 위해 검색엔진에 6개의 키워드로 각각 50개의 대표 URL(seed URL)을 적용하였다. 6개의 분류된 사이트에서 각각 4, 800개의 파생 페이지를 수작업을 통해 얻었다.
시스템 성능 분석을 위해 인텔 Core2Quard CPU, 8GB RAM, 500GB 7200rpm Serial-ATA HDD를 장착한 서버에 MS Server 2(X)3을 구동시키고, Capture HPC 2.5.1-384 엔진을 설치하였다. 탐지용 言라이언트 시스템을 구동할 Guest OS로 VMware 서버L0.
악성 웹 페이지 탐지를 위해 본 논문에서는 뉴질랜드빅토리아 대학의 Capture-HPC 엔진을 이용하였으며, 그구조가 그림 2에 나타나 있다. Capture-HPC는 크게 Capture gerver와 Capture cHst로 나눌 수 있다.

성능/효과

그 결과, 검사 대상 증에 악성 페이지의 숫자가 적을수록 동시에 많은 웹 페이지를 검사하는 것이 효율적이었다. 28, m 개의 웹 페이지에서 119걔의 페이지가 악성으로 판단되었으며, 커뮤니티 사이트와 기업 사이트、쇼핑 사이트의 게시판에서 drive-by download 공격이 빈변히 발생함을 확인할 수 있었다.
guestOS(가상머신) 이미지수와 RAM 크기에 따른전체 수행시간을 측정하여 비교한 결과 1024MB 이상의 단일 가상머신이미지에서 가장 좋은 성능을 보였다. 향후 탐지된 악성페이지의 공격 유형과 분류를 좀더 구체화하고 리印팅 횟수 틀 줄이는 방법에 대한 연구를 진행할 계획이다 '
검사 시간의 경우, 한 이미지에 동시에 50개의 브라우저를 띄울 때 약 6, 224초로 가장 좋은 성능을, 10개의 브라우저를 띄울 때 약 1.1, 559초로 가장 나쁜 성능을 보였다. 리버팅 시간을 제외한, 한 페이지 당 평균 검사시간욘 50 개 브라우저 경우 약 11초였고, 가장 성능이 좋지 않은 10 개 브라우저 경우 약 21초가 소요되었다.
따라서 동시에 분석되는 페이지들 I고룸이 크고 악성 페이지가 있다면 리버팅 횟수가 많아지고분석 시간도 길어진다. 결과적으로 현재 시스템 자원에서 악성 웹 페이지 비율이 낮으면 각 이미지에서 동시에 수행하는 브라우저의 수를 50개 이상으로 하는 것이좋고, 악성 웹 페이지 비율이 높으면 동시 수행하는 브라우저 수를 10개로 하는 것이 좋다. 실제로 검사에서어떠한 웹 페이지가 악성일지 예상할 수 없으므로 주기적인 실험 분석에 따른 적정한 설정이 중요하다.
탐지 시스템을 구축하고 실험하였다. 그 결과, 검사 대상 증에 악성 페이지의 숫자가 적을수록 동시에 많은 웹 페이지를 검사하는 것이 효율적이었다. 28, m 개의 웹 페이지에서 119걔의 페이지가 악성으로 판단되었으며, 커뮤니티 사이트와 기업 사이트、쇼핑 사이트의 게시판에서 drive-by download 공격이 빈변히 발생함을 확인할 수 있었다.
1, 559초로 가장 나쁜 성능을 보였다. 리버팅 시간을 제외한, 한 페이지 당 평균 검사시간욘 50 개 브라우저 경우 약 11초였고, 가장 성능이 좋지 않은 10 개 브라우저 경우 약 21초가 소요되었다.
실험 결과, 전체 2&800개의 URL 중 H₉개, 즉 0.41% 비율로 악성으로 의심되는 웹 페이지가 있었다. 이 중에서 커뮤니티 사이트와 기업 사이트가 0.
이 실험을 통해, 탐지 성능이 리버팅 횟수와 동시에 띄우는 웹 브라우저 수와 밀접한 관계가 있음을 알 수있었다. 주목해야 할 사항은 Capture HPC는 리버팅을 위해 divide and conquer 알고리즘을 이용한다는 점이다.
41% 비율로 악성으로 의심되는 웹 페이지가 있었다. 이 중에서 커뮤니티 사이트와 기업 사이트가 0.95%, 0.87% 순서로 높은 비율을 보였고, 와레즈 사이트의 경우 악성페이지가 발견되지 않았다. 커뮤니티, 기업 사이트에서 공격 행위가 탐지되는 이유를 분석한 결과, 계시퐌이 주요 공격대상 임을 파악할 수 있었다.
그 이유는 크게 두 가지이다. 첫 번째, 악성 웹 페이지가 실제 서버시스템에서 실행된다면 서버를 감염시킬 것이며, 이로인해 다음 웹 페이지를 분석하기 전에 실제 시스템은 재설치 되어야 한다. 즉, 실제 시스템으로 악성 URL 주소를 방문할 때마다 깨끗한 상태로 되돌리기 위해 재설치해야 하므로 많은 비용과 시간이 든다.

참고문헌 (9)

N. Proves, D. McNamee, et. al., “The Ghost In The Browser Analysis of Web-based Malware,” Proc. of the first USENIX workshop on hot topics in Botnets, Apr. 2007
Niels Provos, Google's Anti-Malware Team, “All Your iFrame Are Point to Us,” Google Technical Report provos-2008a, February 11, 2008
Alexander Moshchuk, Tanya Bragin, et. al., "A Crawler-based Study of Spyware on the Web," Proc. of the 2008 Networks and Distributed System Security Symposium, pp.17-33, Feb. 2006
Christian Seifert, “Know Your Enemy: Malicious Web Servers,” The Honeynet Project, KYE paper, Aug. 2007
Yi-Min, et. al., “Strider HoneyMonkeys: Active, Client-Side Honeypots for Finding Malicious Web-sites,” Appear in IEEE Transactions on Computers
Yi-Min Wang, Doug Beck, et. al., “Automated Web Patrol with Strider HoneyMonkeys,” Proc. of the Networks and Distributed System Security Symposium, pp.35-49, Feb. 2006
Kathy Wang, “Using Honeyclients for Detection an Response Against New Attacks,” MITRE
VMCraft web site 가상 머신의 구성 및 분류 http://www.vmcraft.com/technology/vm.vm
J. Zhuge, T. Holz, J. Guo, X. Han, and W. Zou, “Studying Malicious Websites and the Under-ground Economy on the Chinese Web,” Proc. qf the 2008 Workshop on the Economics of Informa-tion Security, June 2008

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

고 상호작용 클라이언트 허니팟을 이용한 실행 기반의 악성 웹 페이지 탐지 시스템 및 성능 분석
Execution-based System and Its Performance Analysis for Detecting Malicious Web Pages using High Interaction Client Honeypot 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

참고문헌 (9)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

연관된 기능

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

고 상호작용 클라이언트 허니팟을 이용한 실행 기반의 악성 웹 페이지 탐지 시스템 및 성능 분석 Execution-based System and Its Performance Analysis for Detecting Malicious Web Pages using High Interaction Client Honeypot 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

참고문헌 (9)

이 논문을 인용한 문헌

저자의 다른 논문 :

김민재 (2) 장혜영 (5) 조성제 (43)

관련 콘텐츠

원문 보기

원문 URL 링크

연관된 기능

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

고 상호작용 클라이언트 허니팟을 이용한 실행 기반의 악성 웹 페이지 탐지 시스템 및 성능 분석
Execution-based System and Its Performance Analysis for Detecting Malicious Web Pages using High Interaction Client Honeypot 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper