• 한국멀티미디어학회논문지
• /
• 제23권11호
• /
• pp.1396-1405
• /
• 2020

Cyber threats such as forced personal information collection and distribution of malicious codes using malicious URLs continue to occur. In order to cope with such cyber threats, a security technologies that quickly detects malicious URLs and prevents damage are required. In a web environment, malicious URLs have various forms and are created and deleted from time to time, so there is a limit to the response as a method of detecting or filtering by signature matching. Recently, researches on detecting and predicting malicious URLs using machine learning techniques have been actively conducted. Existing studies have proposed various features and machine learning algorithms for predicting malicious URLs, but most of them are only suggesting specialized algorithms by supplementing features and preprocessing, so it is difficult to sufficiently reflect the strengths of various machine learning algorithms. In this paper, a system for predicting malicious URLs using multiple machine learning algorithms was proposed, and an experiment was performed to combine the prediction results of multiple machine learning models to increase the accuracy of predicting malicious URLs. Through experiments, it was proved that the combination of multiple models is useful in improving the prediction performance compared to a single model.

• 한국컴퓨터정보학회논문지
• /
• 제24권5호
• /
• pp.27-33
• /
• 2019

One of serious security threats is a botnet-based attack. A botnet in general consists of numerous bots, which are computing devices with networking function, such as personal computers, smartphones, or tiny IoT sensor devices compromised by malicious codes or attackers. Such botnets can launch various serious cyber-attacks like DDoS attacks, propagating mal-wares, and spreading spam e-mails over the network. To establish a botnet, attackers usually inject malicious URLs into web source codes stealthily by using data hiding methods like Javascript obfuscation techniques to avoid being discovered by traditional security systems such as Firewall, IPS(Intrusion Prevention System) or IDS(Intrusion Detection System). Meanwhile, it is non-trivial work in practice for software developers to manually find such malicious URLs which are hidden in numerous web source codes stored in web servers. In this paper, we propose a security defense system to discover such suspicious, malicious URLs hidden in web source codes, and present experiment results that show its discovery performance. In particular, based on our experiment results, our proposed system discovered 100% of URLs hidden by Javascript encoding obfuscation within sample web source files.

• Journal of Korea Artificial Intelligence Association
• /
• 제1권2호
• /
• pp.1-6
• /
• 2023

In this paper, we present a new method for classifying malicious URLs to reduce cases of learning difficulties due to unfamiliar and difficult terms related to information protection. This study plans to extract only visually distinguishable features within the URL structure and compare them through map learning algorithms, and to compare the contribution values of the best map learning algorithm methods to extract features that have the most impact on classifying malicious URLs. As research data, Kaggle used data that classified 7,046 malicious URLs and 7.046 normal URLs. As a result of the study, among the three supervised learning algorithms used (Decision Tree, Support Vector Machine, and Logistic Regression), the Decision Tree algorithm showed the best performance with 83% accuracy, 83.1% F1-score and 83.6% Recall values. It was confirmed that the contribution value of https is the highest among whether to use https, sub domain, and prefix and suffix, which can be visually distinguished through the feature contribution of Decision Tree. Although it has been difficult to learn unfamiliar and difficult terms so far, this study will be able to provide an intuitive judgment method without explanation of the terms and prove its usefulness in the field of malicious URL detection.

• 정보보호학회논문지
• /
• 제30권3호
• /
• pp.481-491
• /
• 2020

악성 URL의 전송을 통한 악성코드 전파 및 불법적 정보 수집은 정보보안 분야의 가장 큰 위협 중의 하나이다. 특히, 최근 스마트폰의 보급으로 인하여 사용자들이 악성 URL에 노출될 확률이 더욱 높아지고 있다. 또한, 악성 URL을 노출 시키는 방법 역시 다양해 지고 있어서 이를 탐지하는 것이 점점 어려워지고 있다. 본 논문은 악성 URL에 대한 사용자의 경험에 대한 설문을 진행한 후, 이를 고려하여 악성 URL을 규칙기반으로 탐지하기 위한 라이브러리 개발 연구를 다루고 있다. 특히, 본 연구에서는 독자적인 규칙을 기반으로 악성 URL을 탐지 하기 위해 Rule-set을 정의하고, Rule-chain을 생성하여 악성 URL 탐지의 확장성을 제시하고 있다. 또한 어떤 애플리케이션에서도 활용이 가능한 라이브러리 형태로의 개발을 통해 다양한 응용프로그램에서 활용할 수 있도록 하였다.

• International Journal of Computer Science & Network Security
• /
• 제22권8호
• /
• pp.275-279
• /
• 2022

The growth of technology nowadays has made many things easy for humans. These things are from everyday small task to more complex tasks. Such growth also comes with the illegal activities that are perform by using technology. These illegal activities can simple as displaying annoying message to big frauds. The easiest way for the attacker to perform such activities is to convenience user to click on the malicious link. It has been a great concern since a decay to classify URLs as malicious or benign. The blacklist has been used initially for that purpose and is it being used nowadays. It is efficient but has a drawback to update blacklist automatically. So, this method is replace by classification of URLs based on machine learning algorithms. In this paper we have use four machine learning classification algorithms to classify URLs as malicious or benign. These algorithms are support vector machine, random forest, n-nearest neighbor, and decision tree. The dataset that is used in this research has 36694 instances. A comparison of precision accuracy and recall values are shown for dataset with and without preprocessing.

• 정보보호학회논문지
• /
• 제32권3호
• /
• pp.555-564
• /
• 2022

최근 사이버 공격은 지능적이고 고도화된 악성코드를 활용한 해킹 기법을 활용하여 재택근무 및 원격의료, 자동산업설비를 공격하고 있어서 피해 규모가 커지고 있다. 안티바이러스와 같은 전통적인 정보보호체계는 시그니처 패턴 기반의 알려진 악성 URL을 탐지하는 방식이어서 알려지지 않은 악성 URL을 탐지할 수 없다. 그리고 종래의 정적 분석 기반의 악성 URL 분석 방식은 동적 로드와 암호화 공격에 취약하다. 본 연구에서는 악성 URL 데이터를 동적으로 학습하여 효율적으로 악성 URL 탐지하는 기법을 제안한다. 제안한 탐지 기법에서는 머신러닝 기반의 특징 선택 알고리즘을 사용해 악성 코드를 분류했고, 가중 유클리드 거리(Weighted Euclidean Distance, WED)를 활용하여 사전처리를 진행한 후 난독화 요소를 제거하여 정확도를 개선한다. 실험 결과에 따르면 본 연구에서 제안한 머신러닝 기반 악성 URL 탐지 기법은 종래의 방법 대비 2.82% 향상된 89.17%의 정확도를 보인다.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제16권4호
• /
• pp.405-414
• /
• 2010

2008년도 SecruityFocus 자료에 따르면 마이크로소프트사의 인터넷 익스플로러를 통한 클라이언트 측 공격(client-side attack)이 50%이상 증가하였다. 본 논문에서는 가상머신 환경에서 능동적으로 웹 페이지를 방문하여 행위 기반(즉, 상태변경 기반)으로 악성 URL을 분석하여 탐지하고, 블랙리스트 기반으로 악성 URL을 필터링하는 시스템을 구현하였다. 이를 위해, 우선 크롤링 시스템을 구축하여 대상 URL을 효율적으로 수집하였다. 특정 서버에서 구동되는 악성 URL 탐지 시스템은, 수집한 웹페이지를 직접 방문하여 머신의 상태 변경을 관찰 분석하고 악성 여부를 판단한 후, 악성 URL에 대한 블랙리스트를 생성 관리한다. 웹 클라이언트 머신에서 구동되는 악성 URL 필터링 시스템은 블랙리스트 기반으로 악성 URL을 필터링한다. 또한, URL의 분석 시에 메시지 박스를 자동으로 처리함으로써, 성능을 향상시켰다. 실험 결과, 게임 사이트가 다른 사이트에 비해 악성비율이 약 3배 많았으며, 파일생성 및 레지스트리 키 변경 공격이 많음을 확인할 수 있었다.

• 정보보호학회논문지
• /
• 제24권6호
• /
• pp.1185-1195
• /
• 2014

국내 외 해킹공격 전담 대응조직(CERTs)들은 침해사고 피해 최소화 및 사전예방을 위해 탐지패턴 기반의 보안장비 등을 활용하여 사이버공격에 대한 탐지 분석 대응(즉, 보안관제)을 수행하고 있다. 그러나 패턴기반의 보안관제체계는 해킹공격을 탐지 및 차단하기 위해 미리 정의된 탐지규칙에 근거하여 알려진 공격에 대해서만 대응이 가능하기 때문에 신 변종 공격에 대한 대응은 어려운 실정이다. 최근 국내 외에서는 기존 보안관제의 이러한 문제점을 극복하기 위해 다크넷이라는 기술을 활용한 연구가 주목을 받고 있다. 다크넷은 미사용 중인 IP주소의 집합을 의미하며, 실제 시스템이 존재하지 않는 다크넷으로 유입된 패킷들은 악성코드에 감염된 시스템이나 해커에 의한 공격행위로 간주 될 수 있다. 따라서 본 연구에서는 효율적인 보안관제 수행을 위한 다크넷 트래픽 기반의 악성 URL 수집 및 분석방법을 제안한다. 제안방법은 국내 연구기관의 협력을 통해 확보한 8,192개(C클래스 32개)의 다크넷으로 유입된 전체 패킷을 수집하였으며, 정규표현식을 사용하여 패킷에 포함된 모든 URL을 추출하고 이에 대한 심층 분석을 수행하였다. 본 연구의 분석을 통해 얻어진 결과는 대규모 네트워크에서 발생하고 있는 사이버 위협상황에 대한 신속 정확한 관측이 가능할 뿐만 아니라 추출한 악성 URL을 보안관제에 적용(보안장비 탐지패턴, DNS 싱크홀 등)함으로서 해킹공격에 대한 사이버위협 대응체계를 고도화하는데 목적을 둔다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권11호
• /
• pp.5580-5593
• /
• 2019

A malicious Uniform Resource Locator (URL) recognition and detection method based on the combination of Attention mechanism with Convolutional Neural Network and Long Short-Term Memory Network (Attention-Based CNN-LSTM), is proposed. Firstly, the WHOIS check method is used to extract and filter features, including the URL texture information, the URL string statistical information of attributes and the WHOIS information, and the features are subsequently encoded and pre-processed followed by inputting them to the constructed Convolutional Neural Network (CNN) convolution layer to extract local features. Secondly, in accordance with the weights from the Attention mechanism, the generated local features are input into the Long-Short Term Memory (LSTM) model, and subsequently pooled to calculate the global features of the URLs. Finally, the URLs are detected and classified by the SoftMax function using global features. The results demonstrate that compared with the existing methods, the Attention-based CNN-LSTM mechanism has higher accuracy for malicious URL detection.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제6권2호
• /
• pp.766-783
• /
• 2012

Recently, many malicious users have attacked web browsers using JavaScript code that can execute dynamic actions within the browsers. By forcing the browser to execute malicious JavaScript code, the attackers can steal personal information stored in the system, allow malware program downloads in the client's system, and so on. In order to reduce damage, malicious web pages must be located prior to general users accessing the infected pages. In this paper, a novel framework (JsSandbox) that can monitor and analyze the behavior of malicious JavaScript code using internal function hooking (IFH) is proposed. IFH is defined as the hooking of all functions in the modules using the debug information and extracting the parameter values. The use of IFH enables the monitoring of functions that API hooking cannot. JsSandbox was implemented based on a debugger engine, and some features were applied to detect and analyze malicious JavaScript code: detection of obfuscation, deobfuscation of the obfuscated string, detection of URLs related to redirection, and detection of exploit codes. Then, the proposed framework was analyzed for specific features, and the results demonstrate that JsSandbox can be applied to the analysis of the behavior of malicious web pages.