피싱 공격이 지속적이고 다양하게 증가하고 있지만 대응방안은 아직도 공격을 식별한 이후에 방어하는 형태에 머무르고 있다. 공격 이전에 HTTP의 Referer 헤더필드를 이용한 피싱사이트 탐지방안이 제안 되었으나, 피싱의 표적이 될 사이트 마다 개별적인 트래픽 수집 시스템을 설치해야하는 한계점이 존재한다. 본 논문은 내부 네트워크에서 기존에 알려져 있지 않은 피싱사이트에 접속하는 것을 탐지하는 방안을 제안한다. 사용자가 피싱사이트에 접속할 때 발생하는 트래픽을 HTTP 프로토콜의 특성과 피싱사이트 특성을 바탕으로 전처리를 수행한다. 피싱으로 의심되는 사이트는 컨텐츠를 분석하는 피싱사이트 판단단계를 통해 탐지된다. 제안된 탐지방안은 100개의 피싱 URL과 100개의 정상 URL을 대상으로 두 가지 형태의 실험으로 검증하였다. 실험결과 피싱 URL의 탐지율은 66%, 정상 URL에 대한 오탐율 0%로 나타났으며, 이는 기존에 제안된 탐지방안에 비해 알려지지 않은 피싱사이트를 탐지하는데 높은 탐지율을 보인다.
피싱 공격이 지속적이고 다양하게 증가하고 있지만 대응방안은 아직도 공격을 식별한 이후에 방어하는 형태에 머무르고 있다. 공격 이전에 HTTP의 Referer 헤더필드를 이용한 피싱사이트 탐지방안이 제안 되었으나, 피싱의 표적이 될 사이트 마다 개별적인 트래픽 수집 시스템을 설치해야하는 한계점이 존재한다. 본 논문은 내부 네트워크에서 기존에 알려져 있지 않은 피싱사이트에 접속하는 것을 탐지하는 방안을 제안한다. 사용자가 피싱사이트에 접속할 때 발생하는 트래픽을 HTTP 프로토콜의 특성과 피싱사이트 특성을 바탕으로 전처리를 수행한다. 피싱으로 의심되는 사이트는 컨텐츠를 분석하는 피싱사이트 판단단계를 통해 탐지된다. 제안된 탐지방안은 100개의 피싱 URL과 100개의 정상 URL을 대상으로 두 가지 형태의 실험으로 검증하였다. 실험결과 피싱 URL의 탐지율은 66%, 정상 URL에 대한 오탐율 0%로 나타났으며, 이는 기존에 제안된 탐지방안에 비해 알려지지 않은 피싱사이트를 탐지하는데 높은 탐지율을 보인다.
While various phishing attacks are getting to be increased in constant, their response methods still stay on the stage of responding after identifying an attack. To detect a phishing site ahead of an attack, a method has been suggested with utilizing the Referer header field of HTTP. However, it has...
While various phishing attacks are getting to be increased in constant, their response methods still stay on the stage of responding after identifying an attack. To detect a phishing site ahead of an attack, a method has been suggested with utilizing the Referer header field of HTTP. However, it has a limitation to implement a traffic gathering system for each of prospective target hosts. This paper presents a unknown phishing site detection method in the Interior network environment. Whenever a user try to connect a phishing site, its traffic is pre-processed with considering of the characteristics of HTTP protocol and phishing site. The phishing site detection phase detects a suspicious site under phishing with analysing HTTP content. To validate the proposed method, some evaluations were conducted with 100 phishing URLs along with 100 normal URLs. The experimental results show that our method achieves higher phishing site detection rate than that of existing detection methods, as 66% detection rate for the phishing URLs, and 0% false negative rate for the normal URLs.
While various phishing attacks are getting to be increased in constant, their response methods still stay on the stage of responding after identifying an attack. To detect a phishing site ahead of an attack, a method has been suggested with utilizing the Referer header field of HTTP. However, it has a limitation to implement a traffic gathering system for each of prospective target hosts. This paper presents a unknown phishing site detection method in the Interior network environment. Whenever a user try to connect a phishing site, its traffic is pre-processed with considering of the characteristics of HTTP protocol and phishing site. The phishing site detection phase detects a suspicious site under phishing with analysing HTTP content. To validate the proposed method, some evaluations were conducted with 100 phishing URLs along with 100 normal URLs. The experimental results show that our method achieves higher phishing site detection rate than that of existing detection methods, as 66% detection rate for the phishing URLs, and 0% false negative rate for the normal URLs.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 정부·공공기관 내부에서 외부인터넷과 물리적인 분리 없이, 라우터와 보안스위치, 침입차단시스템, 침입탐지(방지)시스템 등을 통하여 접근통제하여 운용하고 있는 업무용 내부네트워크(행정전산망 등)에서 활용할 수 있는 피싱사이트 탐지 방안을 제안한다.
본 논문에서는 트래픽 수집 위치를 원시사이트에서 사용자 단으로 변경하여 이러한 단점을 보완 한다. 사용자가 인터넷 사이트 접속 시 발생하는 트래픽의 헤더정보의 HTTP Referer와 Host를 화이트리스트 기반으로 분석한다.
두 번째 실험은 본 논문에서 제안한 탐지방안의 경우 오탐이 발생하지 않지만, 피싱사이트 판단단계와 화이트리스트 사용의 필요성을 검증하기 위해 진행하였다.
본 논문에서는 내부 네트워크 환경에서 외부 인터넷에 접속하는 사용자의 트래픽을 미러링하고 이를 분석하여, 내부사용자가 기존에 알려지지 않은 피싱사이트의 접속을 탐지하는 방안을 제안하였다.
제안 방법
효과적인 탐지를 위해, 내부 사용자가 웹 사이트에 접속할 때 발생하는 트래픽(traffic)을 수집한다. 수집된 트래픽의 HTTP Referer와 Host 정보를 추출하고 화이트리스트와 비교하여 피싱으로 의심되는 사이트를 분류하는 전처리단계를 수행한다.
효과적인 탐지를 위해, 내부 사용자가 웹 사이트에 접속할 때 발생하는 트래픽(traffic)을 수집한다. 수집된 트래픽의 HTTP Referer와 Host 정보를 추출하고 화이트리스트와 비교하여 피싱으로 의심되는 사이트를 분류하는 전처리단계를 수행한다. 분류된 사이트는 TF-IDF[3]기반으로 컨텐츠를 분석하고, 검색엔진을 통해 검색한 결과로 피싱사이트 여부를 최종 판단한다.
수집된 트래픽의 HTTP Referer와 Host 정보를 추출하고 화이트리스트와 비교하여 피싱으로 의심되는 사이트를 분류하는 전처리단계를 수행한다. 분류된 사이트는 TF-IDF[3]기반으로 컨텐츠를 분석하고, 검색엔진을 통해 검색한 결과로 피싱사이트 여부를 최종 판단한다.
본 논문에서는 트래픽 수집 위치를 원시사이트에서 사용자 단으로 변경하여 이러한 단점을 보완 한다. 사용자가 인터넷 사이트 접속 시 발생하는 트래픽의 헤더정보의 HTTP Referer와 Host를 화이트리스트 기반으로 분석한다. 오탐을 방지하기 위해 화이트리스트, TF-IDF를 통해 컨텐츠를 분석하고 피싱사이트로 판단한다.
사용자가 인터넷 사이트 접속 시 발생하는 트래픽의 헤더정보의 HTTP Referer와 Host를 화이트리스트 기반으로 분석한다. 오탐을 방지하기 위해 화이트리스트, TF-IDF를 통해 컨텐츠를 분석하고 피싱사이트로 판단한다.
HTTP Referer 정보를 통해 해당 요청이 어떠한 소스 URL에서 참조되었는지 확인이 가능하며, HTTP Host를 통해 이미지를 제공하고 있는 서버의 정보를 확인할 수 있다. 이러한 특성을 바탕으로 원시사이트에서 이미지 전송 시 발생하는 트래픽을 분석함으로써 피싱사이트 접속을 탐지할 수 있다.
본 논문에서는 피싱사이트 탐지를 위해 필요한 트래픽 수집 시스템을 Fig.2.와 같이 구성하여, 사용자가 외부의 인터넷에 접속할 때 경유하는 내부 네트워크의 스위치 포트를 미러링(mirroring)한다. 이는 내부 사용자의 정보를 수집하기에 적합하면서 네트워크에 발생하는 부하를 최소화 할 수 있다.
수집정보는 트래픽을 기반으로 피싱사이트를 탐지하기 위해, 접속 요청자인 Src IP와 목적지 정보인 Dst IP, 접속 시점인 시간(time)으로 구성한다. 또한 HTTP 프로토콜의 링크 요청주소와 제공주소인 Referer와 호스트 정보를 포함한다.
기존 연구방법들이 블랙리스트를 기반으로 하여 탐지하는 것과는 다르게 제안한 방안은 화이트리스트(whitelist)를 기반으로 피싱사이트를 탐지한다.
정상URL은 Mediachannel[17]의 Rankey의 2014년 11월 4일 기준의 인터넷, 쇼핑, 뉴스, 금융 등 영역의 중소형 사이트 중 임의적으로 선택한 100개의 사이트를 사용한다. 정상URL은 본 논문에서 화이트리스트로 사용되지만, 탐지 방안의 검증을 위해 실험은 화이트리스트에 등록한 경우와 등록하지 않은 경우로 나뉘어 진행한다.
실험은 두 가지 형태로 진행하였다. 첫 번째 실험은 3.4.1의 전처리 단계와 3.4.2의 피싱사이트 판단단계의 효과성을 비교 검증하기 위해 진행하였다. 피싱URL을 대상으로 기존 연구에서 제안된 툴바 형태의 피싱사이트 탐지 방법인 네이버툴바, 알툴바, 스마트스크린필터[6, 7, 8]와 비교하는 방법으로 진행하였다.
2의 피싱사이트 판단단계의 효과성을 비교 검증하기 위해 진행하였다. 피싱URL을 대상으로 기존 연구에서 제안된 툴바 형태의 피싱사이트 탐지 방법인 네이버툴바, 알툴바, 스마트스크린필터[6, 7, 8]와 비교하는 방법으로 진행하였다. 각각을 정탐율과 오탐율로 나뉘어 비교하였다.
피싱URL을 대상으로 기존 연구에서 제안된 툴바 형태의 피싱사이트 탐지 방법인 네이버툴바, 알툴바, 스마트스크린필터[6, 7, 8]와 비교하는 방법으로 진행하였다. 각각을 정탐율과 오탐율로 나뉘어 비교하였다.
대상 데이터
화이트리스트는 별도로 추출한 Referer 및 Host와 비교를 위해 유효도메인[15]만을 이용하여 구성한다. 화이트리스트에 등록되는 사이트는 국가기관 및 공공기관, 금융기관, 포털사이트 등 신뢰할 수 있고, 피싱의 대상이 될 수 있는 모든 사이트를 포함한다.
본 논문에서는 제안한 탐지방안의 효과 검증을 위해 피싱URL 100개와 정상URL 100개를 이용하여 실험을 진행한다. 피싱URL은 2014년 11월 6일 ~ 11월 7일 사이에 OpenDNS[16]의 PhishTank를 통해 보고된 피싱URL 목록에서 무작위로 선택하였다.
본 논문에서는 제안한 탐지방안의 효과 검증을 위해 피싱URL 100개와 정상URL 100개를 이용하여 실험을 진행한다. 피싱URL은 2014년 11월 6일 ~ 11월 7일 사이에 OpenDNS[16]의 PhishTank를 통해 보고된 피싱URL 목록에서 무작위로 선택하였다. 피싱사이트의 수명을 고려하여 모든 피싱URL은 6시간 이내에 보고된 사이트로 구성한다.
정상URL은 Mediachannel[17]의 Rankey의 2014년 11월 4일 기준의 인터넷, 쇼핑, 뉴스, 금융 등 영역의 중소형 사이트 중 임의적으로 선택한 100개의 사이트를 사용한다. 정상URL은 본 논문에서 화이트리스트로 사용되지만, 탐지 방안의 검증을 위해 실험은 화이트리스트에 등록한 경우와 등록하지 않은 경우로 나뉘어 진행한다.
이론/모형
파싱한 컨텐츠는 CANTINA[3]에서 제안한 탐지방법을 활용하여 처리한다. CANTINA는 구문 분석을 통해 TF-IDF점수가 높은 5개의 단어를 어휘서명(lexical signature)으로 선택하여, 검색엔진의 검색결과의 유무로 피싱사이트를 판단하는 기법이다.
성능/효과
참고문헌[13]은 피싱사이트가 원시 사이트의 이미지나 컨텐츠 등을 링크하여 사용하는 특성을 기반으로 하여 원시사이트로 유입되는 HTTP Referer를 수집하여 실시간으로 탐지하는 방안을 제안하였다. 특정 사이트를 대상으로 하여 6일간 40개의 피싱사이트를 탐지 하여, HTTP Referer를 기반으로 한 피싱사이트 탐지의 효과성을 증명하였다.
전처리 단계만을 적용하였을 때 피싱사이트의 탐지율은 54%로 나타났다. 피싱사이트 판단단계를 함께 적용할 경우 탐지율은 66%로 나타났다. 이는 기존의 탐지방법인 스마트 스크린 필터[9]와 네이버툴바, 알툴바[7, 8]의 탐지율과 대조되는 결과이다.
기존 탐지방법은 블랙리스트를 기반으로 하고 있어, 알려져 있지 않은 피싱사이트를 탐지하는데 어려움이 있다. 반면 본 논문에서 제안된 방안은 알려지지 않은 피싱사이트의 접속을 탐지하는데 효과가 있는 것을 보여준다.
전처리 단계만을 적용하였을 경우 정상URL을 피싱URL로 인식하는 비율은 78%로 나타났으며, 정상적인 URL로 인식하는 비율은 21%로 낮게 나타났다. 피싱사이트 판단단계만을 적용하면 정상탐지율은 69%로 나타났으며, 전처리단계와 판단단계를 함께 적용하면 78%의 정탐율을 보였다.
전처리 단계만을 적용하였을 경우 정상URL을 피싱URL로 인식하는 비율은 78%로 나타났으며, 정상적인 URL로 인식하는 비율은 21%로 낮게 나타났다. 피싱사이트 판단단계만을 적용하면 정상탐지율은 69%로 나타났으며, 전처리단계와 판단단계를 함께 적용하면 78%의 정탐율을 보였다.
화이트 리스트에 정상URL을 추가할 경우 100%의 정탐율을 보였으며, 오탐은 나타나지 않았다. 이는 기존에 알려져 있는 정상사이트의 경우 제안된 방안으로 탐지하는 것에 문제가 없으며, 알려져 있지 않은 정상 사이트의 경우도 정상적으로 식별할 수 있음을 보여준다.
두 종류의 실험을 통해 제안된 방안이 내부 네트워크 내부의 사용자가 기존에 알려지지 않은 피싱사이트의 접속을 탐지하는데 좋은 방안이 될 수 있음을 보여준다. 그러나 이미지 등을 다운로드하여 직접 제작된 피싱사이트나 SSL(Secure Socket Layer)기반의 사이트를 링크하여 제작된 피싱사이트의 탐지에는 한계를 보인다.
제안된 탐지방안은 알려지지 않은 피싱사이트를 대상으로 66%의 탐지율과 34%의 미탐율을 보였다. 이는 기존에 제안된 블랙리스트 방식의 탐지 방법이 알려져 있지 않은 피싱사이트는 탐지하지 못하는 것과 비교할 때 매우 의미있는 탐지율이다.
후속연구
이는 기존에 제안된 블랙리스트 방식의 탐지 방법이 알려져 있지 않은 피싱사이트는 탐지하지 못하는 것과 비교할 때 매우 의미있는 탐지율이다. 하지만, 제안된 탐지방안은 이미지 등을 다운로드하여 직접 제작된 피싱사이트나 SSL기반의 사이트를 링크하여 제작된 피싱사이트의 탐지에는 한계를 보였다. 탐지율을 높이기 위해 휴리스틱, 블랙리스트 등과 결합한 추가적인 연구가 필요하다.
하지만, 제안된 탐지방안은 이미지 등을 다운로드하여 직접 제작된 피싱사이트나 SSL기반의 사이트를 링크하여 제작된 피싱사이트의 탐지에는 한계를 보였다. 탐지율을 높이기 위해 휴리스틱, 블랙리스트 등과 결합한 추가적인 연구가 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
내부 네트워크는 무엇인가?
내부 네트워크는 정부·공공기관에서 구성하여 운영하고 있는 네트워크로 외부 인터넷과 물리적인 분리 없이, 보안스위치, 침입차단시스템, 칩입탐지(방지)시스템 등을 통하여 접근통제하여 운영하고 있는 네트워크이다.
피싱은 어떻게 구성되는가?
피싱 공격은 사용자의 개인정보 중 민감정보를 탈취하기에 손쉽고 효과적인 방법으로 알려져 있다. 피싱은 일반적으로 신뢰할 수 있는 웹 사이트를 사칭하여 사용자의 개인정보(특히, 금융정보)를 탈취하는 형태로 구성 된다. 전 세계적으로 피싱사이트는 2014년 2분기에만 128,378개가 발견되었으며, 이는 APWG(Anti-Phishing Working Group)가 피싱에 대해 통계를 작성한 2004년 이후로 2번째로 많은 수치이다[1].
피싱사이트 탐지의 기반을 제공하는 화이트리스트의 용도는 무엇인가?
화이트리스트는 피싱사이트 탐지와 오탐율 개선을 위한 두 가지 용도로 이용한다. 첫째는 사용자에게 전송되는 HTTP Host 정보의 피싱사이트 공격대상 포함 유무를 화이트리스트를 기반으로 판단한다. 이는 피싱사이트 탐지의 기반을 제공한다.
참고문헌 (17)
R. Manning, "Phishing Activity Trends Report 2Q 2014," AntiPhishing Working Group(APWG), Aug. 2014.
KISA, "Computer Emergency Response Statics," Internet & Security Focus, pp. 155-158, Aug. 2014
Y. Zhang, J. Hong, and L. Cranor, "CANTINA:A Content-Based Approach to Detecting Phishing Web Sites," WWW '07 Proceedings of the 16th international conference on World Wide Web, pp. 639-648, May. 2007.
J.S. Shin, "Study on Anti-Phishing Solutions Related Researches and Future Directions," Journal of The Korea Institute of Information Security & Cryptology, 23(6), pp. 1037-1047, Dec. 2013
Microsoft Corp, "Internet Explorer 9 Smart Screen Filter," http://windows.microsoft.com/ko-kr/internet-explorer/products/ie-9/features/smartscreen-filter
N. Chou, R. Ledesma, Y. Teraguchi and J.C. Mitchell, "Client-Side Defense Against Web-Based Identity Theft," Network and Distributed System Security Symposium, 2004.
Y. Zhang, S. Egelman, L. Cranor, and J. Hong, "Phinding Phish: Evaluating Anti-Phishing Tools," Human Computer Interaction Institute, pp 76, http://repository.cmu.edu/hcii/76, 2006.
S. Garera, N. Provos, M. Chew, and Rubin, "A Framework for Detection and Measurement of Phishing Attacks," WORM '07, pp. 1-8, Nov. 2007.
J.H. Sa and S. Lee, "Real-time Phishing Site Detection Method," Journal of The Korea Institute of Information Security & Cryptology, 22(4), pp. 819-825, Aug. 2012
R. Fielding, J. Gettys, J. Mogul, H. Frystyk, L. Masinter, P. Leach, and T. Berners-Lee, "Hypertext Transfer Protocol-HTTP/1.1." RFC 2616, Jun 1999.
M. Still, "Python effective TLD library," http://www.stillhq.com/python/etld/000001.html
※ AI-Helper는 부적절한 답변을 할 수 있습니다.