지원사업
학술연구/단체지원/교육 등 연구자 활동을 지속하도록 DBpia가 지원하고 있어요.
커뮤니티
연구자들이 자신의 연구와 전문성을 널리 알리고, 새로운 협력의 기회를 만들 수 있는 네트워킹 공간이에요.
논문 기본 정보
- 자료유형
- 학위논문
- 저자정보
- 지도교수
- 김용민
- 발행연도
- 2014
- 저작권
- 전남대학교 논문은 저작권에 의해 보호받습니다.
이용수4
이 논문의 연구 히스토리 (2)
- 이 논문의 후속연구가 궁금하신가요?
- 연관 학술논문 또는 학술발표를 통해 보다 발전된 연구결과를 확인하실 수 있습니다.
- 이 논문의 연구 히스토리 확인하기
초록· 키워드
오류제보하기
인터넷과 웹서비스의 발전은 사용자에게 편리함을 가져다 준 반면 서비스거부공격, 해킹, 개인정보유출 등 인터넷을 이용한 침해사고가 증가하고 있다. 이러한 인터넷을 기반으로 한 침해사고는 최근의 대규모 해킹 사례에서 보여 주듯이 PC에 대한 악성코드 감염으로 시작된다. PC에 악성코드를 감염시키는 방법은 과거 전자우편을 통한 웜·바이러스의 유포와는 달리, 최근에 취약한 웹사이트를 통한 대규모 유포방법인 Drive-by download 공격을 이용하고 있다.
Drive-by download 공격은 취약한 웹사이트를 SQL 인젝션과 같은 해킹방법으로 침투하여 악성코드 유포지로 연결시키는 스크립트를 삽입하는 것으로, 인터넷 사용자는 웹사이트 접속만으로도 자동으로 유포지로 연결되어 악성코드에 감염된다. Drive-by download 공격을 효과적으로 탐지하기 위해 웹콘텐츠 분석, 메타데이터 분석 등과 같은 정적분석 방법과 에뮬레이션 및 가상머신기반 동적분석 방법이 복합적으로 연구되고 있다. 그러나, 공격자의 공격스크립트 은닉화와 난독화기술 등 탐지회피기술을 효과적으로 분석하기에는 한계가 있다. 더구나 공격 스크립트의 가상머신 우회기법의 기술발전에 기존의 분석 방법은 한계를 보이고 있다.
본 논문에서는 공격자의 스크립트 난독화, 은닉화 등 탐지우회 기법이 적용된 공격 스크립트를 정확하게 분석하고 추적하기 위한 멀티레벨 에뮬레이션을 제안한다. 또한, 악성코드 유포 전체 단계인 초기 페이지, 경유지, 최종 유포 페이지의 연결 구조를 분석할 수 있는 악성코드 유포 네트워크 탐지방법을 제안한다. 본 논문에서 제안한 탐지방법에서는 먼저 공격자가 숨겨놓은 유포지로 향하는 링크를 추적하여, 도출된 악성코드 유포 네트워크의 연결 구조를 분석하는 방법을 사용한다.
제안한 알고리즘은 바이러스토탈(VirusTotal)의 URL점검 엔진과 비교하는 방법으로 검증하였다. 난독화와 은닉화가 적용된 지능적 스크립트에 대해서도 최초접속지로부터 비정상적으로 연결되고 있는 웹사이트 사이의 연결고리를 추적할 수 있다는 것을 실험을 통해 검증하였다. 그 결과로 악성코드 유포 네트워크의 유포지 및 경유지를 효과적으로 분석할 수 있어서 악성코드 감염 이전 단계에서 악성코드 감염을 예방할 수 있게 되었다.
Drive-by download 공격은 취약한 웹사이트를 SQL 인젝션과 같은 해킹방법으로 침투하여 악성코드 유포지로 연결시키는 스크립트를 삽입하는 것으로, 인터넷 사용자는 웹사이트 접속만으로도 자동으로 유포지로 연결되어 악성코드에 감염된다. Drive-by download 공격을 효과적으로 탐지하기 위해 웹콘텐츠 분석, 메타데이터 분석 등과 같은 정적분석 방법과 에뮬레이션 및 가상머신기반 동적분석 방법이 복합적으로 연구되고 있다. 그러나, 공격자의 공격스크립트 은닉화와 난독화기술 등 탐지회피기술을 효과적으로 분석하기에는 한계가 있다. 더구나 공격 스크립트의 가상머신 우회기법의 기술발전에 기존의 분석 방법은 한계를 보이고 있다.
본 논문에서는 공격자의 스크립트 난독화, 은닉화 등 탐지우회 기법이 적용된 공격 스크립트를 정확하게 분석하고 추적하기 위한 멀티레벨 에뮬레이션을 제안한다. 또한, 악성코드 유포 전체 단계인 초기 페이지, 경유지, 최종 유포 페이지의 연결 구조를 분석할 수 있는 악성코드 유포 네트워크 탐지방법을 제안한다. 본 논문에서 제안한 탐지방법에서는 먼저 공격자가 숨겨놓은 유포지로 향하는 링크를 추적하여, 도출된 악성코드 유포 네트워크의 연결 구조를 분석하는 방법을 사용한다.
제안한 알고리즘은 바이러스토탈(VirusTotal)의 URL점검 엔진과 비교하는 방법으로 검증하였다. 난독화와 은닉화가 적용된 지능적 스크립트에 대해서도 최초접속지로부터 비정상적으로 연결되고 있는 웹사이트 사이의 연결고리를 추적할 수 있다는 것을 실험을 통해 검증하였다. 그 결과로 악성코드 유포 네트워크의 유포지 및 경유지를 효과적으로 분석할 수 있어서 악성코드 감염 이전 단계에서 악성코드 감염을 예방할 수 있게 되었다.
목차
1. 서론 1가. 연구배경 1나. 연구의 목적 및 내용 2다. 논문의 구성 32. 관련연구 4가. 웹을 통한 악성코드 위협 동향 41) Drive-by Download 공격 및 동향 42) 악성코드 유포 네트워크 83) 최근 악성코드 유포방식의 주요 특징 9나. 악성코드 유포 네트워크 탐지를 위한 분석방법 151) 웹페이지 정적분석 접근 202) 실행기반 동적분석 접근 21다. 분석방법의 주요 특징 및 한계점 23라. 악성코드 유포 네트워크 탐지의 제안 방법 253. 에뮬레이션 기반 비정상 링크분석 알고리즘 26가. 문제해결을 위한 접근 26나. 알고리즘 개요 및 목적 26다. 멀티레벨 에뮬레이션 311) 구조 및 절차 312) DOM 객체 쓰기행위 탐지 353) 멀티레벨 에뮬레이션 시나리오 36라. Linked Page Map(LPM) 분석 421) LPM의 정의 422) MDN 탐지를 위한 특성 인자 463) LPM 분석절차 564) LPM 분석 시나리오 58마. 기존연구와 MULAN의 차별점 604. 시험 및 분석 63가. 시험 환경 631) 목표 및 방법 632) 시험 시스템 환경 및 절차 65나. 시험결과 및 분석 681) 에뮬레이션 기능시험 결과 및 분석 682) MDN 탐지성능시험 결과 및 분석 725. 결론 89참고문헌 91영문초록 97부록. MULAN의 주요소스코드 및 구조체, 시험대상 99A. DOM 파싱 및 멀티레벨 에뮬레이션 99B. DOM 트리 구조체 101C. 분석속도 시험대상 웹사이트 현황 102D. 탐지성능 시험대상 웹사이트 현황 106
최근 본 자료
댓글(0)
0