Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지
DOI QR코드

DOI QR Code

Implementation of reliable dynamic honeypot file creation system for ransomware attack detection

랜섬웨어 공격탐지를 위한 신뢰성 있는 동적 허니팟 파일 생성 시스템 구현

  • 국경완 (명지대학교 / 보안경영공학과) ;
  • 류연승 (명지대학교 / 보안경영공학과) ;
  • 신삼범 (명지대학교 / 보안경영공학과)
  • Received : 2023.05.18
  • Accepted : 2023.06.02
  • Published : 2023.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

In recent years, ransomware attacks have become more organized and specialized, with the sophistication of attacks targeting specific individuals or organizations using tactics such as social engineering, spear phishing, and even machine learning, some operating as business models. In order to effectively respond to this, various researches and solutions are being developed and operated to detect and prevent attacks before they cause serious damage. In particular, honeypots can be used to minimize the risk of attack on IT systems and networks, as well as act as an early warning and advanced security monitoring tool, but in cases where ransomware does not have priority access to the decoy file, or bypasses it completely. has a disadvantage that effective ransomware response is limited. In this paper, this honeypot is optimized for the user environment to create a reliable real-time dynamic honeypot file, minimizing the possibility of an attacker bypassing the honeypot, and increasing the detection rate by preventing the attacker from recognizing that it is a honeypot file. To this end, four models, including a basic data collection model for dynamic honeypot generation, were designed (basic data collection model / user-defined model / sample statistical model / experience accumulation model), and their validity was verified.

최근 몇 년 동안 랜섬웨어 공격이 사회 공학, 스피어피싱, 심지어 기계 학습과 같은 전술을 사용하여 특정 개인이나 조직을 대상으로 하는 공격의 정교함과 더불어 더욱 조직화 되고 전문화되고 있으며 일부는 비즈니스 모델로 운영되고 있다. 이를 효과적으로 대응하기 위해 심각한 피해를 입히기 전에 공격을 감지하고 예방할 수 있는 다양한 연구와 솔루션들이 개발되어 운영되고 있다. 특히, 허니팟은 조기 경고 및 고급 보안 감시 도구 역할 뿐만 아니라, IT 시스템 및 네트워크에 대한 공격 위험을 최소화하는 데 사용할 수 있으나, 랜섬웨어가 미끼파일에 우선적으로 접근하지 않은 경우나, 완전히 우회한 경우에는 효과적인 랜섬웨어 대응이 제한되는 단점이 있다. 본 논문에서는 이러한 허니팟을 사용자 환경에 최적화하여 신뢰성 있는 실시간 동적 허니팟 파일을 생성, 공격자가 허니팟을 우회할 가능성을 최소화함으로써 공격자가 허니팟 파일이라는 것을 인지하지 못하도록 하여 탐지율을 높일 수 있도록 하였다. 이를 위해 동적 허니팟 생성을 위한 기본 데이터수집 모델 등 4개의 모델을 설계하고 (기본 데이터 수집 모델 / 사용자 정의 모델 / 표본 통계모델 / 경험치 축적 모델) 구현하여 유효성을 검증하였다.

Keywords

References

  1. Moore, C., "Detecting ransomware with honeypot techniques", Cybersecurity and Cyberforensics Conference (CCC) IEEE, pp. 77-81, 2016.
  2. Farouk, S.,, "Design and Implementation of a Real-Time Honeypot System for the Detection and Prevention of Systems Attacks", Culminating Projects in Information Assurance, 2016.
  3. Andronio, N., Zanero S., Maggi F., "Dissecting and detecting mobile ransomware" Springer-Verlag, Berlin, Heidelberg Heldroid, pp. 382-404, 2015.
  4. Farouk, S., "Design and Implementation of a Real-Time Honeypot System for the Detection and Prevention of Systems Attacks", Culminating Projects in Information Assurance, pp. 41 - 48, 2016.
  5. Devin, P., "How to Detect Ransomware Using 5 Techniques", https://www.enterprisenetworkingplanet.com/security/ransomware-detection/, 2023.
  6. 박세균., 「Endpoint Level의 효과적인 APT 공격대응 방안 연구」, 석사학위논문, 서울: 고려대학교 컴퓨터정보통신대학원, pp. 3 - 6, 2015.
  7. Devin, P., "How to Detect Ransomware Using 5 Techniques", https://www.enterprisenetworkingplanet.com/security/ransomware-detection/, 2023.
  8. Bill, C., "Top 5 ransomware detection techniques: Pros and cons of each", www.malwarebytes.com, 2022.
  9. Craig, B., Ashley, B., Toluwalope, D., Saqib, H., & Muhammad, K. K., "Ransomware: Recent advances, analysis, challenges and future research directions", Elsevier Public Health Emergency Collection, 2021.
  10. Stockman, M., Rein, R., & Heile, A., An open-source honeynet system to study system banner message effects on hackers. Journal of Computing Sciences in Colleges, pp. 282-293., 2015.
  11. Drew, R. (2022), "Techniques for Ransomware Detection", https://www.cioinsight.com/security/ransomware-detection(검색일: 2023.02.21.).
  12. Jonathan, E.(2023), "The Top Ransomware Trends to Watch Out for in 2023", https://www.reliaquest.com/blog/ransomware-trends-2023/ (검 색 일 : 2023.03.21.).
  13. malwarebytes, "Ransomware", https://www.malwarebytes.com/ransomware(검색일 : 2023.03.17.).
  14. 이후기, 성종혁, 김유천, 김종배, 김광용, "랜섬웨어 분석 및 탐지패턴 자동화 모델에 관한 연구", 한국정보통신학회논문지(J. Korea Inst. Inf. Commun. Eng.) Vol. 21, No. 8, pp. 1581 - 1587, 2021.
  15. 이진우, 김용민, 이정환, 홍지만., "랜섬웨어 탐지를 위한 효율적인 미끼 파일 배치 방법", 스마트미디어 저널, Vol.8, No.1, pp. 28 - 33. 2019.