최소 단어 이상 선택하여야 합니다.
최대 10 단어까지만 선택 가능합니다.
다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
NTIS 바로가기다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
DataON 바로가기다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
Edison 바로가기다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
Kafe 바로가기주관연구기관 | 한국인터넷진흥원 Korea Internet & Security Agency |
---|---|
보고서유형 | 최종보고서 |
발행국가 | 대한민국 |
언어 | 한국어 |
발행년월 | 2014-03 |
과제시작연도 | 2013 |
주관부처 | 미래창조과학부 Ministry of Science, ICT and Future Planning |
등록번호 | TRKO201600014542 |
과제고유번호 | 1711006622 |
사업명 | 방송통신융합미디어원천기술개발 |
DB 구축일자 | 2016-12-17 |
키워드 | 악성코드.자동분석.악성URL.경유지.유포지.좀비PC.안티바이러스.싱크홀.제로데이 공격.스팸 메일.Malicious code.Zombie PC.Malware distribution site.Sink-hole.Zero-day attack.Spam email. |
DOI | https://doi.org/10.23000/TRKO201600014542 |
핵심기술
악성URL 탐지 및 유포경로 분석 기술, 이메일 분석을 통한 좀비PC 탐지 기술, 악성코드 행위 자동 분석 및 탐지 기술
최종목표
o 최종 연구목표
- 네트워크 트래픽 분석 및 악성행위 탐지 기술 개발
- 악성코드 배양 기반 공격패턴 분석 기술 개발
- 이메일 기반 대규모 좀비PC Pool 탐지 기술 개발
- 레지스트리 기반 좀비PC 악성코드 추출 기술 개발
- 대규모 Malnet 자동 탐지 및 시각화 기술 개발
- 악성코드 자동 분석 기술 개발
- 악성URL 탐
핵심기술
악성URL 탐지 및 유포경로 분석 기술, 이메일 분석을 통한 좀비PC 탐지 기술, 악성코드 행위 자동 분석 및 탐지 기술
최종목표
o 최종 연구목표
- 네트워크 트래픽 분석 및 악성행위 탐지 기술 개발
- 악성코드 배양 기반 공격패턴 분석 기술 개발
- 이메일 기반 대규모 좀비PC Pool 탐지 기술 개발
- 레지스트리 기반 좀비PC 악성코드 추출 기술 개발
- 대규모 Malnet 자동 탐지 및 시각화 기술 개발
- 악성코드 자동 분석 기술 개발
- 악성URL 탐지 기술 개발
- 싱크홀 기반 악성코드 경유지 탐지 기술 개발
개발내용 및 결과
o 연차별 개발내용
1차년도(2010)
· 실행 가능한 형태의 악성코드 자동 수집/분석 기술 개발
· 악성코드분류및DNA자동관리기술개발
· 시그니쳐기반악성코드경유/유포지탐지 기술개발
· 좀비PC/숙주에대한공지및인터넷/네트워크 접속차단기술개발
· 좀비 PC 비휘발성 정보 기반감염 악성코드 추출기술개발
2차년도(2011)
· SNS에서의 악성코드 수집 기술 및 행위 기반악성코드경유/유포지탐지기술개발
· 문서형태의악성코드자동분석기술개발
· 악성코드 고유 DNA 생성 및 공유 기술 개발
· 좀비PC 휘발성정보기반감염악성코드 추출기술개발
· 무선단말유형별웹공지및웹접속제한 기술연구
3차년도(2012)
· 악성코드 최종 유포지 탐지 및 경유지 추적 기술 개발
· 웹브라우저제로데이공격탐지기술개발
· 한국형악성코드 종합 진단및 정보 관리 기술개발
· 이메일 시스템 기반 좀비PC 및 문서형 악성코드탐지기술개발
· 좀비PC에서의악성코드 감염경로/상관관계 분석기술개발
4차년도(2013)
· 네트워크 트래픽 실시간분석 및 점검대상 URL 선별기술개발
· 악성코드배양기반공격패턴분석기술개발
· 이메일 기반 대규모 좀비IP Pool 탐지 기술 개발
· 대규모 악성코드 유포그룹 자동 탐지 및 시각화 기술 개발
· 레지스트리 정보 기반 좀비PC 악성코드 추출 기술 개발
o 개발 결과물
- 네트워크 트래픽 실시간 분석 및 점검 대상 URL 선별 시스템 (SW)
- 악성코드 배양 기반 공격패턴 분석 시스템 (SW)
- 이메일 기반 대규모 좀비IP Pool 탐지 시스템 (SW)
- 레지스트리 정보 기반 좀비PC 악성코드 추출 도구 (SW)
- 악성코드 유포경로 분석 시스템 (SW)
- 악성코드 자동 분석 시스템 (SW)
- 웹브라우저 제로데이 공격탐지 시스템 (SW)
- 싱크홀 기반 악성코드 경유지 탐지 시스템 (SW)
기술개발배경
o 2012년 Microsoft 보고서에 따르면 한국이 악성코드 감염율 세계 1위로 감염PC가 급증하고 있음
- 악성코드의 대부분은 Drive-by-Download 기법으로 웹사이트에서 전파되고 있음
- KrCERT에서 악성코드 유포지 분포 현황을 분석한 결과, 전체의 46%가 한국에 존재하는 것으로 파악됨
o 최근 Java, IE, Flash 등 웹브라우저의 제로데이 취약점을 이용한 공격사례가 다량 발생하고 있으나, 기존 기술로는 조치가 불가능함
o 전세계 스팸메일의 85%가 좀비PC에서 발송되고 있고 있으며 좀비 PC는 공격자의 명령에 따라 DDos, 악성코드 유포, 개인정보유출 등 추가적인 침해사고를 유발함
핵심개발기술의 의의
o ‘악성URL 탐지 및 유포경로 분석 기술’은 2013년부터 매일 국내 8만개 웹사이트를 방문 점검하여 제로데이 공격을 포함한 악성 URL 6,700여건을 탐지함
- KISA 싱크홀 시스템과 연동하여 110일간 운영한 결과, 악성코드 유포지당 최대 101개의 경유지를 추가로 탐지함
- 하나의 악성URL이 수백~수천대의 PC를 감염시킬 수 있으므로, 1년에 수백만~수천만의 감염PC를 예방하는 효과가 있음
o 이메일 기반 좀비PC 탐지기술은 상용환경에서 유통중인 스팸메일 분석결과, 좀비IP 96.61% 탐지
- 좀비PC 1대당 평균 13개의 스팸메일을 발송
- 일일 1,000만개 이메일 서비스가 이루어지는 포털업체에 적용시 55만개의 좀비PC 탐지 및 차단 가능
적용분야
o 핵심개발기술은 ISP 사업자, 포털사업자, 침해사고대응센터 등에서 악성코드 예방 및 대응을 위한 요소기술로 활용 가능
o ‘악성URL 탐지 기술’, ‘싱크홀 기반 악성코드 경유지 탐지 기술’, 그리고, ‘대규모 Malnet 자동 탐지 기술’은 악성코드 유포/경유지를 탐지하고 분석하므로 ISP 사업자의 차단 대상 URL 선별, F/W등 보안 솔루션의 차단 성능 개선에 활용할 수 있음
o ‘악성코드 자동 분석 기술’, ‘악성코드 배양 기반 공격패턴 분석 기술’, 그리고, ‘레지스트리 기반 좀비PC 악성코드 추출 기술’은 안티바이러스, 네트워크, 관제 등 보안업체의 신종/변종 악성코드 자동 대응체계 구축에 적용하여 기존 악성코드 분석 업무의 효율성 향상에 기여할 수 있음
o ‘이메일 기반 좀비PC/봇넷그룹 탐지 기술’은 ISP 사업자, 포털사업자, 보안업체의 좀비PC IP 및 스팸메일 발송 차단 솔루션에 활용 가능
Ⅰ. The Development of Automatic Analysis and Malicious Site Detection Technology Against Malware
Ⅱ. The objective and necessity of research and development
o A technology to collect and analyze the network traffic of cyber incidents is required for effective response to a cyber terrorism a
Ⅰ. The Development of Automatic Analysis and Malicious Site Detection Technology Against Malware
Ⅱ. The objective and necessity of research and development
o A technology to collect and analyze the network traffic of cyber incidents is required for effective response to a cyber terrorism attack such as “6.25” and “3.20” incidents.
o We also need a technology to collect and analyze network traffic data in real time to automatically detect cyber incidents and unknown attacks.
o The number of cyber incidents caused by web-page modulation, drive-by download attacks, or malicious code distribution using a zero-day exploit has been rapidly increased
o To prevent cyber incidents, malicious codes on web pages need to be automatically collected and malware distribution sites are urgently required to be disinfected.
o Since malicious code distribution sites are altering their URL in a short time period, a tracking method is required to trace the malicious code distribution URLs changing over time.
o Recently the number of new and variant malicious codes distributed via web sites has been dramatically increased. However, the number of malicious code analysts is limited
o Therefore, it is urgent to develop an automatical malicious code analysis technique for the analysts.
o As a result, we need an intelligent countermeasure system for malicious codes which enables to automate malicious code distribution detection, malicious code distribution site tracing, and malicious code analysis in real time.
Ⅲ. Contents and Scope of Research
o Development of malicious code spreading site detection technology based on network traffic analysis
- Building a platform for malware site detection based on network traffic analysis
- Management of malicious code spreading sites and zombie PC blacklists
o Development of attack pattern analysis technology based on monitoring of malicious codes
- C&C server and zombie PC detection by monitoring of malicious codes
- Timeline based attack update and defense pattern analysis
o Development of massive zombie PC pool detection by analyzing emails
- Massive zombie PC pool detection by aggregating and analyzing analogous bot-net groups
- Spam email filtering technique based on zombie PC detection results
o Development of zombie PC malicious code extraction technique by analyzing registry
- Malicious code extraction technique from zombie PC using volatility/non-volatility information
- Association analysis technique between malicious code and registry information
o Development of massive malware network and visualization technique
- Automatic massive malware network detection and variance analysis techniques
- Malicious code spreading history analysis and inspection web-site list filtering
o Development of automatic malicious code analysis technique
- Behavior analysis and classification of malicious codes in a form of PE file
- Analysis malicious code with well-known running compression technique
- Dynamic analysis environment diversification and clustering for inspecting malicious codes
o Development of malicious URL detection technique
- Automatic collection and interconnection of malicious codes on web-sites, email and SNS
- Behavioral analysis-based web browser zero-day attack detection technique
o Development of sink-hole based exploit site detection technique
- Domestic exploit site trace-back technique by using a malicious code distribution sink-hole
- Malicious code distribution site detection technology using detected exploit site information
Ⅳ. Research results
o Network traffic analysis and malicious behaviour detection technology
o Attack pattern analysis technology based on malicious code monitoring
o Massive zombie PC pool detection technology using email
o Zombie PC malicious code extraction technology using registry
o Automatic massive Malnet detection and visualization technology
o Automatic malicious code analysis technology
o Malicious URL detection technology
o Exploit site detection technology using sink-hole
Ⅴ. Future plan of research results
- Customer : National CERT and ISP network operator
- Total demand : 10 Public sector Cyber Security Centres & 16 City / State Cyber Incident Response Centre
- Systems
◦ Network Traffic Analysis and malicious behavior detection system
◦ Massive zombie PC Pool detection systems using email
◦ Zombie PC malware extraction system using registry
◦ Automatic massive Malnet detection and visualization systems
◦ Automatic Malware Analysis System
◦ Malicious URL detection system
◦ Sinkhole based malware destination sites detection system
- Customer : Educational institution
- Total demand : 16 city and provincial education offices & 412 colleges
- Systems
◦ Network Traffic Analysis and malicious behavior detection system
◦ Automatic massive Malnet detection and visualization systems
◦ Malicious URL detection system
- Customer : Company
- Total demand : Major Company CERT
- Systems
◦ Network Traffic Analysis and malicious behavior detection system
◦ Automatic massive Malnet detection and visualization systems
◦ Malicious URL detection system
- Customer : Public institution
- Total demand : 295 central public authorities & 392 local public agencies
- Systems
◦ Network Traffic Analysis and malicious behavior detection system
◦ Automatic massive Malnet detection and visualization systems
◦ Malicious URL detection system
- Customer : Network security vendor
- Total demand :
- Systems
◦ Network Traffic Analysis and malicious behavior detection system
◦ Malicious attack pattern analysis system based con malicious code monitoring
◦ Massive zombie PC Pool detection systems using email
◦ Automatic massive Malnet detection and visualization systems
◦ Automatic malicious code analysis system
◦ Sinkhole based malware destination sites detection system
- Customer : Anti-Virus develop company
- Total demand :
- Systems
◦ Malicious attack pattern analysis system based con malicious code monitoring
◦ Zombie PC malware extraction system using registry
◦ Automatic malicious code analysis system
◦ Malicious URL detection system
과제명(ProjectTitle) : | - |
---|---|
연구책임자(Manager) : | - |
과제기간(DetailSeriesProject) : | - |
총연구비 (DetailSeriesProject) : | - |
키워드(keyword) : | - |
과제수행기간(LeadAgency) : | - |
연구목표(Goal) : | - |
연구내용(Abstract) : | - |
기대효과(Effect) : | - |
Copyright KISTI. All Rights Reserved.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.