악성 웹 콘텐츠에 의한 클라이언트 측 공격이 급증하면서, 이들 공격들에 효과적으로 대응 가능한 고 상호작용 클라이언트 허니팟(high-interaction client honeypot) 시스템이 주목받고 있다. 동적분석 기반의 고 상호작용 클라이언트 허니팟이 알려지자, 이 클라이언트 허니팟에 의한 탐지를 회피하기 위한 기술들이 등장하였다. 대표적인 탐지회피 기술이 시한폭탄(time-bomb) 공격이다. 본 논문에서는 시한폭탄 공격을 효율적으로 탐지하기 위해 기존의 동적분석에 정적분석을 결합한 시스템 모델을 제안한다. 즉, 먼저 시한폭탄 공격 패턴을 가진 웹 페이지들을 분류하였다. 분류된 페이지들에 대해서는, 클라이언트 허니팟의 방문 대기시간을 늘리고 순차방문 알고리즘을 적용하여 악성 웹 페이지 탐지율을 개선하였다. 또한 비용기반의 평가 방법을 통해, 탐지율과 비용 변에서 제안 시스템 모델이 기존 모델 보다 우수함을 보였다.
As the client-side attacks by malicious web contents have increased rapidly, much research has focused on high-interaction client honeypots which are effective to detect the attacks using dynamic analysis. As a result, high-interaction client honeypots become generally known. At the same time, a new malicious web page group including a time-bomb emerges to avoid the detection by high-interaction client honeypots. The web pages with a time bomb attack a target after a certain delay. In order to detect efficiently the malicious web pages with time bomb, the paper proposes a new detection model which introduces static analysis before dynamic analysis. The proposed model has first classified the suspicious web pages which are assumed to include a time bomb. We have enhanced the detection ratio of the malicious web pages by increasing the passage of time only for the classified pages and visiting them sequentially under the client honeypot. With a cost-based evaluation method, we have shown that our proposed model is better than the conventional one in terms of detection accuracy and cost.
