[논문]시한폭탄 기반의 악성 웹 콘텐츠들의 효율적인 탐지 방법

김동진; 조성제; 김홍근

문제 정의

실제 정적분석은 대부분의 동적분석의 단점 및 한계를 개선시키는데 매우 효과적이다. 따라서 본 연구진은 앞으로, 분석 대상 웹 서버를 줄이기 위해 악성이라고 의심되는 웹 서버들만을 분류하기 위해 정적분석을 도입하여 연구하려고 한다.
본 논문에서는 시한폭탄 기반의 공격을 탐지하는 오버헤드를 최소화하고, 탐지 정확도를 높이기 위해 기존의 동적분석에 정적분석을 결합한 모델을 제안하고, 실제 실험을 통해 평가하고 검증하였다.
이를 개선하기 위해, 본 논문에서는 동적분석 이전에 패턴 매칭 기반으로 시한폭탄 공격이라고 의심되는 웹 서버 페이지들을 정적분석하여 분류하는 기법을 제안하였다. 즉, 의심스러운 웹 페이지들을 동적분석하기 전에 시한폭탄 공격이 아닌 웹 페이지들과 시한폭한 공격의 웹 페이지들로 분류하였다.

제안 방법

실험을 위해 기존 연구 [4]를 따라 시간 당 소모 전력은 0.125 US dollars로 고정하고, 탐지 정확도는 측정할 수 없으므로 악성웹페이지를 정상 페이지로 잘못 판단하는 False-Negative(FN)를 1에서 뺀 값(1-FN)을 사용하며, Pm은 0.005~0.05, 분할정복 방문 알고리즘의 웹서버 그룹의 크기는 기존 연구를 따라 Pm당 각 80~8개(그룹 크기)를 사용하였다[1]. 전체 탐지시간(Tt)을 결정짓는 요소 중 시한폭탄 공격 탐지 성능에 영향을 주지 않는 요소인 “시스템 초기화 시간(Tq)”, “가상머신 리버팅 시간(Tr)”, “웹 서버 응답 시간(Ti)”, “테스트 대상 웹 서버 개수(n)”는 Tq=500s, Tr=60s, Ti=1.
전체 탐지시간(Tt)을 결정짓는 요소 중 시한폭탄 공격 탐지 성능에 영향을 주지 않는 요소인 “시스템 초기화 시간(Tq)”, “가상머신 리버팅 시간(Tr)”, “웹 서버 응답 시간(Ti)”, “테스트 대상 웹 서버 개수(n)”는 Tq=500s, Tr=60s, Ti=1.2s, n=5000으로 고정하였으며, 시한폭탄 시간은 35초로 하였다.
이를 개선하기 위해, 본 논문에서는 동적분석 이전에 패턴 매칭 기반으로 시한폭탄 공격이라고 의심되는 웹 서버 페이지들을 정적분석하여 분류하는 기법을 제안하였다. 즉, 의심스러운 웹 페이지들을 동적분석하기 전에 시한폭탄 공격이 아닌 웹 페이지들과 시한폭한 공격의 웹 페이지들로 분류하였다. 또한, 서로 분류된 웹 페이지들에 서로 다른 동적분석 기법을 적용하여 악성 웹 페이지 탐지율을 높이고 탐지 속도를 높여서 전체적으로 약 10%의 시스템 성능 향상을 보였고, 결론적으로 고 상호작용 클라이언트 허니팟의 성능을 개선하였다.
탐지 성능에 영향을 주는 요소인 “방문대기시간(Tw)”과 “Pm에 대한 시한폭탄 공격비율”에 따라 4개의 테스트 모델을 시뮬레이션하여, (그림 1)과 같이 Tt를 기준으로 성능을 비교하고, (그림 2)와 같이 TPCC를 기준으로 성능을 비교하여, 제안모델에 따른 고상호작용 클라이언트 허니팟 시스템의 성능 및 탐지율의 향상을 검증한다.
효율적인 시한폭탄 기반 악성 웹 콘텐츠 탐지를 위해 동적분석 이전에 정적분석을 통해 시한폭탄 공격 패턴을 가진 시한폭탄 공격 의심 웹 페이지들을 분류하여, 시한폭탄 공격으로 분류된(의심되는) 페이지들에 대해서는 방문대기시간을 늘리고(35초), 악성 웹페이지 비율이 높을 경우에는 효율적인 순차 방문 알고리즘을 적용하였다. 시한폭탄 공격으로 분류되지 않은 웹 페이지들은 기존 연구를 통해 확인된 일반적인 공격 대기시간, 즉 일반적인 고 상호작용 클라이언트 허니팟의 방문 대기시간(25초)을 적용하고, 악성 웹 페이지 비율이 낮은 경우 효율적인 분할정복 방문 알고리즘을 적용하는 탐지 모델을 제안한다[6].

이론/모형

제안 모델의 성능을 분석하기 위해 “자원비용(전력)”, “속도(탐지시간)”, “탐지 정확도(True Positive, TP)”, “악성 웹서버 비율(Pm)” 등을 이용하여, 고 상호작용 클라이언트 허니팟 시스템을 평가하는 방법인 비용 기반 평가방법(True Positive Cost Curve, TPCC)을 통해 검증하였다[4].

성능/효과

즉, 의심스러운 웹 페이지들을 동적분석하기 전에 시한폭탄 공격이 아닌 웹 페이지들과 시한폭한 공격의 웹 페이지들로 분류하였다. 또한, 서로 분류된 웹 페이지들에 서로 다른 동적분석 기법을 적용하여 악성 웹 페이지 탐지율을 높이고 탐지 속도를 높여서 전체적으로 약 10%의 시스템 성능 향상을 보였고, 결론적으로 고 상호작용 클라이언트 허니팟의 성능을 개선하였다.
하지만 (그림 1)은 Tt를 기준으로 비교한 것이기 때문에 시한폭탄 웹 페이지에 대한 탐지 정확도를 고려한 것이 아니므로 정확하지 못한 성능평가이다. 전체 탐지시간(Tt) 이외에 탐지 정확도(TP) 등을 고려한 (그림 2)의 TPCC를 이용한 성능 평가 비교를 보면 2)번 모델에 비해 탐지 정확도가 높고, 3)번 모델에 비해 Tt가 더 빠른, 본 논문의 제안모델 4)가 모든 Pm에서 약 10% 더 성능이 좋은 것을 알 수 있고, 이를 통해 본 논문에서 제안한 시한폭탄 기반 악성 웹 콘텐츠 탐지 모델의 효율성과 성능을 검증하였다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] 시한폭탄 기반의 악성 웹 콘텐츠들의 효율적인 탐지 방법
An Efficient Method to Detect Malicious Web Contents Based on Time-Bomb 원문보기

AI 본문요약
AI-Helper

문제 정의

제안 방법

이론/모형

성능/효과

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] 시한폭탄 기반의 악성 웹 콘텐츠들의 효율적인 탐지 방법 An Efficient Method to Detect Malicious Web Contents Based on Time-Bomb 원문보기

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

이론/모형

성능/효과

이 논문을 인용한 문헌

관련 콘텐츠

원문 보기

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국내논문] 시한폭탄 기반의 악성 웹 콘텐츠들의 효율적인 탐지 방법
An Efficient Method to Detect Malicious Web Contents Based on Time-Bomb 원문보기

AI 본문요약
AI-Helper