효율적인 보안관제 수행을 위한 다크넷 트래픽 기반 악성 URL 수집 및 분석방법 연구

Vol. 24, No. 6, pp. 1185-1196, 12월. 2014
10.13089/JKIISC.2014.24.6.1185, Full Text:
Keywords: Darknet, Security Monitoring and Response, Malicious URLs
Abstract

국내 외 해킹공격 전담 대응조직(CERTs)들은 침해사고 피해 최소화 및 사전예방을 위해 탐지패턴 기반의 보안장비 등을 활용하여 사이버공격에 대한 탐지 분석 대응(즉, 보안관제)을 수행하고 있다. 그러나 패턴기반의 보안관제체계는 해킹공격을 탐지 및 차단하기 위해 미리 정의된 탐지규칙에 근거하여 알려진 공격에 대해서만 대응이 가능하기 때문에 신 변종 공격에 대한 대응은 어려운 실정이다. 최근 국내 외에서는 기존 보안관제의 이러한 문제점을 극복하기 위해 다크넷이라는 기술을 활용한 연구가 주목을 받고 있다. 다크넷은 미사용 중인 IP주소의 집합을 의미하며, 실제 시스템이 존재하지 않는 다크넷으로 유입된 패킷들은 악성코드에 감염된 시스템이나 해커에 의한 공격행위로 간주 될 수 있다. 따라서 본 연구에서는 효율적인 보안관제 수행을 위한 다크넷 트래픽 기반의 악성 URL 수집 및 분석방법을 제안한다. 제안방법은 국내 연구기관의 협력을 통해 확보한 8,192개(C클래스 32개)의 다크넷으로 유입된 전체 패킷을 수집하였으며, 정규표현식을 사용하여 패킷에 포함된 모든 URL을 추출하고 이에 대한 심층 분석을 수행하였다. 본 연구의 분석을 통해 얻어진 결과는 대규모 네트워크에서 발생하고 있는 사이버 위협상황에 대한 신속 정확한 관측이 가능할 뿐만 아니라 추출한 악성 URL을 보안관제에 적용(보안장비 탐지패턴, DNS 싱크홀 등)함으로서 해킹공격에 대한 사이버위협 대응체계를 고도화하는데 목적을 둔다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
K. Kim, S. Choi, H. Park, S. Ko and J. Song, "A Study on Collection and Analysis Method of Malicious URLs Based on Darknet Traffic for Advanced Security Monitoring and Response," Journal of The Korea Institute of Information Security and Cryptology, vol. 24, no. 6, pp. 1185-1196, 2014. DOI: 10.13089/JKIISC.2014.24.6.1185.

[ACM Style]
Kyu-Il Kim, Sang-So Choi, Hark-Soo Park, Sang-Jun Ko, and Jung-Suk Song. 2014. A Study on Collection and Analysis Method of Malicious URLs Based on Darknet Traffic for Advanced Security Monitoring and Response. Journal of The Korea Institute of Information Security and Cryptology, 24, 6, (2014), 1185-1196. DOI: 10.13089/JKIISC.2014.24.6.1185.