Journal of KIISE:Computing Practices and Letters (한국정보과학회논문지:컴퓨팅의 실제 및 레터)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

Execution-based System and Its Performance Analysis for Detecting Malicious Web Pages using High Interaction Client Honeypot

고 상호작용 클라이언트 허니팟을 이용한 실행 기반의 악성 웹 페이지 탐지 시스템 및 성능 분석

  • 김민재 (단국대학교 컴퓨터학과 컴퓨터과학) ;
  • 장혜영 (단국대학교 정보컴퓨터과학과 컴퓨터과학) ;
  • 조성제 (단국대학교 공과대학 컴퓨터학부)
  • Published : 2009.12.15
Download PDF
⟨ Previous Next ⟩

Abstract

Client-side attacks including drive-by download target vulnerabilities in client applications that interact with a malicious server or process malicious data. A typical client-side attack is web-based one related to a malicious web page exploiting specific browser vulnerability that can execute mal ware on the client system (PC) or give complete control of it to the malicious server. To defend those attacks, this paper has constructed high interaction client honeypot system using Capture-HPC that adopts execution-based detection in virtual machine. We have detected and classified malicious web pages using the system. We have also analyzed the system's performance in terms of the number of virtual machine images and the number of browsers executed simultaneously in each virtual machine. Experimental results show that the system with one virtual machine image obtains better performance with less reverting overhead. The system also shows good performance when the number of browsers executed simultaneously in a virtual machine is 50.

Drive-by download와 같은 클라이언트 측 공격은, 악의적인 서버와 상호작용하거나 악의적인 데이터를 처리하는 클라이언트 애플리케이션의 취약점을 대상으로 이루어진다. 전형적인 공격은 특정 브라우저 취약점을 악용하는 악성 웹 페이지와 관련된 웰 기반 공격으로, 클라이언트 시스템에 멀웨어를 실행하거나 클라이언트의 제어를 악의적인 서버에게 완전히 넘겨주기도 한다. 이러한 공격을 방어하기 위해, 본 논문에서는 Capture-HPC를 이용하여 가상 머신에서 실행기반으로 악성 웹 페이지를 탐지하는 고 상호작용(high interaction) 클라이언트 허니팟을 구축하였다. 이 실행기반 탐지 시스템을 이용하여 악성 웰 페이지를 탐지하고 분류하였다. 또한 가상머신의 이미지 개수 및 한 가상머신에서 동시 수행하는 브라우저 수에 따른 시스템 성능을 분석하였다. 실험 결과, 가상머신의 이미지 수는 하나이고 동시 수행하는 브라우저의 수가 50개일 때 시스템이 적은 리버팅 오버헤드를 유발하여 더 나은 성능을 보였다.

Keywords

References

  1. N. Proves, D. McNamee, et. al., “The Ghost In The Browser Analysis of Web-based Malware,” Proc. of the first USENIX workshop on hot topics in Botnets, Apr. 2007
  2. Niels Provos, Google's Anti-Malware Team, “All Your iFrame Are Point to Us,” Google Technical Report provos-2008a, February 11, 2008
  3. Alexander Moshchuk, Tanya Bragin, et. al., "A Crawler-based Study of Spyware on the Web," Proc. of the 2008 Networks and Distributed System Security Symposium, pp.17-33, Feb. 2006
  4. Christian Seifert, “Know Your Enemy: Malicious Web Servers,” The Honeynet Project, KYE paper, Aug. 2007
  5. Yi-Min, et. al., “Strider HoneyMonkeys: Active, Client-Side Honeypots for Finding Malicious Web-sites,” Appear in IEEE Transactions on Computers
  6. Yi-Min Wang, Doug Beck, et. al., “Automated Web Patrol with Strider HoneyMonkeys,” Proc. of the Networks and Distributed System Security Symposium, pp.35-49, Feb. 2006
  7. Kathy Wang, “Using Honeyclients for Detection an Response Against New Attacks,” MITRE
  8. VMCraft web site 가상 머신의 구성 및 분류 http://www.vmcraft.com/technology/vm.vm
  9. J. Zhuge, T. Holz, J. Guo, X. Han, and W. Zou, “Studying Malicious Websites and the Under-ground Economy on the Chinese Web,” Proc. qf the 2008 Workshop on the Economics of Informa-tion Security, June 2008