WhiteList 기반의 악성코드 행위분석을 통한 악성코드 은닉 웹사이트 탐지 방안 연구

Vol. 21, No. 4, pp. 61-76, 8월. 2011
10.13089/JKIISC.2011.21.4.61, Full Text:
Keywords: Zomebie PC, Worm, Virus
Abstract

최근 DDoS공격용 좀비, 기업정보 및 개인정보 절취 등 각종 사이버 테러 및 금전적 이윤 획득의 목적으로 웹사이트를 해킹, 악성코드를 은닉함으로써 웹사이트 접속PC를 악성코드에 감염시키는 공격이 지속적으로 증가하고 있으며 은닉기술 및 회피기술 또한 지능화 전문화되고 있는 실정이다. 악성코드가 은닉된 웹사이트를 탐지하기 위한 현존기술은 BlackList 기반 패턴매칭 방식으로 공격자가 악성코드의 문자열 변경 또는 악성코드를 변경할 경우 탐지가 불가능하여 많은 접속자가 악성코드 감염에 노출될 수 밖에 없는 한계점이 존재한다. 본 논문에서는 기존 패턴매칭 방식의 한계점을 극복하기 위한 방안으로 WhiteList 기반의 악성코드 프로세스 행위분석 탐지기술을 제시하였다. 제안방식의 실험 결과 현존기술인 악성코드 스트링을 비교하는 패턴매칭의 MC-Finder는 0.8%, 패턴매칭과 행위분석을 동시에 적용하고 있는 구글은 4.9%, McAfee는 1.5%임에 비해 WhiteList 기반의 악성코드 프로세스 행위분석 기술은 10.8%의 탐지율을 보였으며, 이로써 제안방식이 악성코드 설치를 위해 악용되는 웹 사이트 탐지에 더욱 효과적이라는 것을 증명할 수 있었다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
J. Ha, H. Kim, J. Lim, "Research on Malicious code hidden website detection method through WhiteList-based Malicious code Behavior Analysis," Journal of The Korea Institute of Information Security and Cryptology, vol. 21, no. 4, pp. 61-76, 2011. DOI: 10.13089/JKIISC.2011.21.4.61.

[ACM Style]
Jung-Woo Ha, Huy-Kang Kim, and Jong-In Lim. 2011. Research on Malicious code hidden website detection method through WhiteList-based Malicious code Behavior Analysis. Journal of The Korea Institute of Information Security and Cryptology, 21, 4, (2011), 61-76. DOI: 10.13089/JKIISC.2011.21.4.61.