한국컴퓨터정보학회논문지 (Journal of the Korea Society of Computer and Information)

  • 제14권9호
  • /
  • Pages.47-54
  • /
  • 2009
  • /
  • 1598-849X(pISSN)
  • /
  • 2383-9945(eISSN)
한국컴퓨터정보학회 (Korean Society of Computer Information)
권호 표지
DOI QR코드

DOI QR Code

HTTP Outbound Traffic을 이용한 개선된 악성코드 탐지 기법

An Improved Detecting Scheme of Malicious Codes using HTTP Outbound Traffic

  • 최병하 (단국대학교 정보통신대학원) ;
  • 조경산 (단국대학교 컴퓨터학부)
  • 발행 : 2009.09.30
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

웹을 통해 유포되는 악성코드는 다양한 해킹 기법과 혼합되어 진화되고 있지만, 이의 탐지 기법은 해킹 기술의 발전과 신종 악성코드에 제대로 대응하지 못하고 있는 실정이다. 본 논문에서는 악성코드와 이의 유포 특성의 분석에 따라 탐지 시스템이 갖추어야 할 요구사항을 정의하고, 이를 기반으로 HTTP Outbound Traffic을 감시하여 악성코드의 유포를 실시간으로 탐지하는 개선된 탐지 기법을 제안한다. 제안 기법에서는 악성코드를 유포하는 것으로 입증된 HTML 태그와 자바스크립트 코드를 시그니쳐로 IDS에 설정한다. 실제 침입된 환경에서의 검증 분석을 통해 제안 기법이 기존 기법에 비해 요구 사항의 만족에 우수하고 악성코드에 대한 높은 탐지율을 보임을 제시한다.

Malicious codes, which are spread through WWW are now evolved with various hacking technologies However, detecting technologies for them are seemingly not able to keep up with the improvement of hacking and newly generated malicious codes. In this paper, we define the requirements of detecting systems based on the analysis of malicious codes and their spreading characteristics, and propose an improved detection scheme which monitors HTTP Outbound traffic and detects spreading malicious codes in real time. Our proposed scheme sets up signatures in IDS with confirmed HTML tags and Java scripts which spread malicious codes. Through the verification analysis under the real-attacked environment, we show that our scheme is superior to the existing schemes in satisfying the defined requirements and has a higher detection rate for malicious codes.

키워드

참고문헌

  1. 김미선, 김진보, 양형초, 김용민, 서재현, "웹 2.0과 Ajax 보안 취약점," 정보과학회지, 제 25권, 제 10호, 43-48쪽, 2007년 10월.
  2. 한국정보보호 진흥원, "2009년 1월 인터넷침해사고 동향 및 분석 월보," 2009년 2월.
  3. 안철수 연구소, http://blog.ahnlab.com/ahnlab/576.
  4. Joanna Rutkowska, "Introducing Stealth Malware Taxonomy," COSEINC Advanced Malware Labs, November, 2006
  5. 우종우, 하경휘, "시그너처 패턴기반의 악성코드 탐색도구의 개발," 한국컴퓨터 정보학회논문지, 제 10권 제 6호, 127-135쪽, 2005년 12월.
  6. 한국정보보호진흥원, "웹 해킹을 통한 악성 코드 유포 사이트 사고 사례," 2005년 6월.
  7. 김대유, 김정태, "홈페이지에 삽입된 악성코드 및 피싱과 파밍탐지를 위한 웹 로봇의 설계 및 구현," 한국해양정보통신학회논문지, 제 12권, 제 11호, 1993-1998쪽, 2008년 11월.
  8. 최상명, "중국발 해킹 위협과 대응방안," 순천향대학원 석사학위논문, 2008년 8월.
  9. 한국정보보호진흥원, "Muma, Hantian Trojan 분석," 2005년 8월.
  10. 한국정보보호진흥원, "2006년 9월 인터넷 침해사고 동향 및 분석월보," 2006년 10월.
  11. 한국정보보호진흥원, "자동화된 SQL Injection 공격을 통한 악성코드 대량 삽입 수법 분석 (Mass SQL Injection)," 2008년 12월.
  12. 한국정보보호진흥원, "웹쉘의 현황 및 분석," 2007년 2월.
  13. 손우용, 송정길, "통합보안 관리시스템의 침입탐지 및 대응을 위한 보안 정책 모델," 한국컴퓨터정보학회논문지, 제 9권, 제 2호, 81-87쪽, 2004년 6월.
  14. 우종우, 하경휘, "시그너처 패턴기반의 악성코드 탐색도구의 개발," 한국컴퓨터정보학회논문지, 제 10권, 제 6호, 127-135쪽, 2005년 12월.
  15. 서정택, "가상환경을 이용한 악성코드 탐지기술," 정보보호학회지, 제 17권, 제 4호, 74-82쪽, 2007년 8월.
  16. 양경철, 이수연, 박원형, 박광철, 임종인, "전자우편을 이용한 악성코드 유포방법 분석 및 탐지에 관한 연구," 정보보호학회논문지, 제19권, 제1호, 93-101쪽, 2009년 2월.
  17. 박준홍, 최병호, 고대식, "행동패턴을 이용한 실시간 악성프로그램 탐지", 한국정보기술학회논문지, 제6권, 제6호, 124-130쪽, 2008년 12월.