악성 URL 탐지 및 필터링 시스템 구현

장혜영; 김민재; 김동진; 이진영; 김홍근; 조성제; Hye-Young Chang; Min-Jae Kim; Dong-Jin Kim; Jin-Young Lee; Hong Kun Kim; Seong-Je Cho

연구문헌

국내 논문지

홈 > 연구문헌 > 국내 논문지 > 한국정보과학회 논문지 > 정보과학회 논문지 C : 컴퓨팅의 실제

정보과학회 논문지 C : 컴퓨팅의 실제

Current Result Document : 17 / 18

한글제목(Korean Title)	악성 URL 탐지 및 필터링 시스템 구현
영문제목(English Title)	An Implementation of System for Detecting and Filtering Malicious URLs
저자(Author)	장혜영 김민재 김동진 이진영 김홍근 조성제 Hye-Young Chang Min-Jae Kim Dong-Jin Kim Jin-Young Lee Hong Kun Kim Seong-Je Cho
원문수록처(Citation)	VOL 16 NO. 04 PP. 0405 ~ 0414 (2010. 04)
한글내용 (Korean Abstract)	2008년도 SecruityFocus 자료에 따르면 마이크로소프트사의 인터넷 익스플로러를 통한 클라이언트 측 공격(client-side attack)이 50%이상 증가하였다. 본 논문에서는 가상머신 환경에서 능동적으로 웹 페이지를 방문하여 행위 기반(즉, 상태변경 기반)으로 악성 URL을 분석하여 탐지하고, 블랙리스트 기반으로 악성 URL을 필터링하는 시스템을 구현하였다. 이를 위해, 우선 크롤링 시스템을 구축하여 대상 URL을 효율적으로 수집하였다. 특정 서버에서 구동되는 악성 URL 탐지 시스템은, 수집한 웹페이지를 직접 방문하여 머신의 상태 변경을 관찰 분석하고 악성 여부를 판단한 후, 악성 URL에 대한 블랙리스트를 생성·관리한다. 웹 클라이언트 머신에서 구동되는 악성 URL 필터링 시스템은 블랙리스트 기반으로 악성 URL을 필터링한다. 또한, URL의 분석 시에 메시지 박스를 자동으로 처리함으로써, 성능을 향상시켰다. 실험 결과, 게임 사이트가 다른 사이트에 비해 악성비율이 약 3배 많았으며, 파일생성 및 레지스트리 키 변경 공격이 많음을 확인할 수 있었다.
영문내용 (English Abstract)	According to the statistics of SecurityFocus in 2008, client-side attacks through the Microsoft Internet Explorer have increased by more than 50%. In this paper, we have implemented a behavior-based malicious web page detection system and a blacklist-based malicious web page filtering system. To do this, we first efficiently collected the target URLs by constructing a crawling system. The malicious URL detection system, run on a specific server, visits and renders actively the collected web pages under virtual machine environment. To detect whether each web page is malicious or not, the system state changes of the virtual machine are checked after rendering the page. If abnormal state changes are detected, we conclude the rendered web page is malicious, and insert it into the blacklist of malicious web pages. The malicious URL filtering system, run on the web client machine, filters malicious web pages based on the blacklist when a user visits web sites. We have enhanced system performance by automatically handling message boxes at the time of ULR analysis on the detection system. Experimental results show that the game sites contain up to three times more malicious pages than the other sites, and many attacks incur a file creation and a registry key modification.
키워드(Keyword)	클라이언트 측 공격 악성 URL 탐지 악성 URL 필터링 가상머신 블랙리스트 메시지 박스 Client-side attack Detecting Malicious URLs Filtering Malicious URLs Virtual Machine Blacklist Message Box
파일첨부	PDF 다운로드