• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1069-1086
• /
• 2013

최근에 발생하는 웹 사이트 해킹은 기업의 이미지와 평판에 악영향을 끼치는 큰 위협이 되고 있다. 이러한 웹 사이트 변조 행위는 해커의 정치적인 동기나 성향을 반영하기도 하므로, 행위에 대한 분석은 해커나 해커 그룹을 추적하기 위한 결정적인 단서를 제공할 수 있다. 웹 사이트에 남겨진 특정한 메시지나 사진, 음악 등의 흔적들은 해커를 추적하기 위한 단서를 제공할 수 있고, 인코딩 방법과 해커가 남긴 메시지에 사용된 폰트, 트위터나 페이스북 같은 해커의 SNS ID 또한 해커의 정보를 추적하는데 도움을 준다. 본 논문에서는 zone-h.org의 웹 해킹 사례들로부터 특성들을 추출하고, CBR(Case-Based Reasoning) 알고리즘을 적용하여 침해사고 프로파일링 시스템을 구현하였다. 해커의 흔적과 습관에 관한 분석 및 연구는 추후 사이버 수사에 있어 공격 의도를 파악하고 그에 따른 대응책을 마련하는 데 있어 IDSS(Investigation Detection Support System)로써 중요한 역할을 기대 할 수 있으리라 본다.

• 한국컴퓨터정보학회논문지
• /
• 제24권5호
• /
• pp.27-33
• /
• 2019

One of serious security threats is a botnet-based attack. A botnet in general consists of numerous bots, which are computing devices with networking function, such as personal computers, smartphones, or tiny IoT sensor devices compromised by malicious codes or attackers. Such botnets can launch various serious cyber-attacks like DDoS attacks, propagating mal-wares, and spreading spam e-mails over the network. To establish a botnet, attackers usually inject malicious URLs into web source codes stealthily by using data hiding methods like Javascript obfuscation techniques to avoid being discovered by traditional security systems such as Firewall, IPS(Intrusion Prevention System) or IDS(Intrusion Detection System). Meanwhile, it is non-trivial work in practice for software developers to manually find such malicious URLs which are hidden in numerous web source codes stored in web servers. In this paper, we propose a security defense system to discover such suspicious, malicious URLs hidden in web source codes, and present experiment results that show its discovery performance. In particular, based on our experiment results, our proposed system discovered 100% of URLs hidden by Javascript encoding obfuscation within sample web source files.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.475-477
• /
• 2004

일반적으로 웹 페이지 변조 점검 시스템은 해시 코드를 이용한다. 해시 코드 방법은 웹 페이지의 민감한 변화를 즉시 찾아 낼 수 있는 장점이 있지만, 인터넷 포털이나 뉴스 사이트 등의 동적인 웹 페이지의 경우에 적용하기 어려운 단점이 있다. 본 논문에서는 인터넷 포털이나 뉴스 사이트 등과 같은 웹 페이지의 내용이 계속해서 변화하는 경우에도 적용할 수 있는 N-Gram 색인 기반의 웹 페이지 변조 점검 시스템인 웹 레이더 시스템을 제시한다. 웹 레이더 시스템은 정상적인 웹 페이지의 N-Gram 색인과 점검 시에 생성한 N-Gram 색인을 비교하여 두 인덱스의 동일 N-Gram의 발생 비율 차이를 합한 값을 N-Gram 색인 거리로 정의하고 이 값을 이용하여 웹 페이지 변조를 확인한다 본 논문에서 제시하는 웹 레이더 시스템은 구조화되지 않은 동적 웹 페이지의 변조를 원격에서 점검할 수 있다.

• 정보처리학회논문지D
• /
• 제14D권2호
• /
• pp.145-156
• /
• 2007

최근 웹 문서의 변조의 탐지, 버전 관리 등을 위한 XML/HTML 문서들에 대한 효과적인 실시간 변화탐지 알고리즘의 필요성이 증대하고 있다. 특히 대용량의 XML/HTML 문서들에 대한 실시간 변화탐지 응용들은 최소비용의 편집스크립트를 계산하는 알고리즘 보다는 실시간 처리가 가능한 빠른 휴리스틱 알고리즘들을 필요로 한다. 기존의 휴리스틱 알고리즘들은 실행속도는 빠르나 생성되는 편집스크립트의 질이 만족스럽지 못하다. 본 논문에서는 기존의 알고리즘 XyDiff와 X-tree Diff를 소개하고 이들 알고리즘들의 문제점들을 분석하고 문제점들을 개선한 알고리즘 X-tree Diff+를 제안한다. X-tree Diff+는 실행시간 측면에서 기존 알고리즘들과 유사하나 대응효율성에 기반한 대응과정의 개선을 통해 두 문서 간의 노트들의 대응률을 향상시킨 알고리즘이다.

• 정보처리학회논문지C
• /
• 제10C권6호
• /
• pp.683-694
• /
• 2003

인터넷 사용이 급속도로 증가함에 따라 XML/HTML 문서와 같이 트리 구조로 표현되는 데이터의 변화 탐지가 중요한 연구 분야로 등장하고 있다. 본 논문에서는 효율적인 변화 탐지를 위한 데이터 구조로 X-tree와 이에 기초한 휴리스틱 변화 탐지 알고리즘 X-tree Diff 를 제안한다. X-tree Diff 는 X-tree 의 변화 내용에 대한 최소 비용 편집 스크립트를 찾는 알고리즘과는 달리 휴리스틱 트리 대응 알고리즘을 통해 병화 내용을 확인하는 알고리즘으로, X-tree 에 속한 모든 노드에 대해 각각의 노드를 루트로 하는 서브트리의 구조와 서브트리속에 속한 노드들의 데이터들을 128비트 해시값으로 표현한 값인 트리 MD를 각 노드에 저장하고, 이를 변화 탐지 과정에서 활용하여 신-구 버전의 X-tree들에 속한 서브트리들의 비교을 효율적으로 처리한다. X-tree Diff 는 4단계로 구성되며 1)신-구버넌의 X-tree노드들에 대해, 우선 1:1 대응이 가능한 모든 동등한 서브트리 쌍을 찾고, 2) 이들 서브트리 쌍의 루트로부터 신-구 버전의 X-tree의 루트까지의 경로 상에 존재하는 노드들에 대한 대응관계를 결정한다. 3) 그 후 신-구 버전의 X-tree의 루트들로부터 깊이 우선 탐색으로 노드를 방문하며 대응이 결정되지 않은 노드들에 대한 대응여부를 결정해 나간다. 4) 마지막까지 대응여부가 결정되지 않은 도드들은 삭제나 삽입된 것으로 간주한다. X-tree Diff XML 문서들에 대한 버저닝(Versioning) 을 목적으로 설계된 BUILD Diff 알고리즘과 달리 XML/HTML 에 공통적으로 사용할 수 있을 뿐 아니라, 알고리즘이 명확하고 간결하여 다양한 형태의 확장이 가능하다. 알고리즘의 성능도 개선되어 신-구 X-tree의 노드의 수를 n이라 할 때, O(n)의 시간 복잡도를 갖는다. 제안된 알고리즘은 현재 보안 관련 상용 시스템인 WIDS(Web-Document Instrusion Detection System) 에서 사용되고 있으며, 본 논문에서는 WIDS를 이용하여 20여개 신문-방송 사이트에서 변화가 탐지된 11,000 개 페이지에 대한 성능평가를 보이고 있다.