KR101190261B1 - Hybrid interaction client honeypot system and its operation method - Google Patents

Hybrid interaction client honeypot system and its operation method Download PDF

Info

Publication number
KR101190261B1
KR101190261B1 KR1020100131404A KR20100131404A KR101190261B1 KR 101190261 B1 KR101190261 B1 KR 101190261B1 KR 1020100131404 A KR1020100131404 A KR 1020100131404A KR 20100131404 A KR20100131404 A KR 20100131404A KR 101190261 B1 KR101190261 B1 KR 101190261B1
Authority
KR
South Korea
Prior art keywords
interaction client
malicious
client honeypot
website
web
Prior art date
Application number
KR1020100131404A
Other languages
Korean (ko)
Other versions
KR20120070019A (en
Inventor
김병익
임채태
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020100131404A priority Critical patent/KR101190261B1/en
Publication of KR20120070019A publication Critical patent/KR20120070019A/en
Application granted granted Critical
Publication of KR101190261B1 publication Critical patent/KR101190261B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 인터액션 클라이언트 허니팟 시스템에 있어서, 의심되는 URL의 웹페이지를 다운받는 웹 크롤러와, 상기 웹 크롤러가 다운받은 웹페이지를 정적으로 분석하여, 상기 웹페이지가 포함하고 있는 HTML 태그 중 Iframe을 숨기거나 문자열의 길이가 200Byte를 초과하는 경우 악성 의심 웹페이지로 하고 사용되어진 자바 스크립트의 난독화 여부를 분석하여 난독화가 되어 있는 경우 악성 의심 웹페이지로 선정하는 분석 모듈을 포함하여 웹사이트의 응답뿐만 아니라 해당 웹사이트의 웹페이지를 다운받아 분석하는 로우 인터액션 클라이언트 허니팟; 및 상기 로우 인터액션 클라이언트 허니팟으로부터 선정된 악성이 의심되는 웹사이트를 직접 방문하여 웹사이트의 행위를 파악하여 악성 유무를 확인하는 하이 인터액션 클라이언트 허니팟;을 포함하는 것을 특징으로 하는 하이브리드 인터액션 클라이언트 허니팟 시스템을 제공한다.
또한, 본 발명은 인터액션 클라이언트 허니팟 시스템 운용방법에 있어서, 로우 인터액션 클라이언트 허니팟의 웹 크롤러가 의심되는 URL의 웹페이지를 다운받는 단계; 로우 인터액션 클라이언트 허니팟의 분석 모듈이 상기 웹 크롤러가 다운받은 웹페이지를 정적으로 분석하여, 상기 웹페이지가 포함하고 있는 HTML 태그 중 Iframe을 숨기거나 문자열의 길이가 200Byte를 초과하는 경우 악성 의심 웹페이지로 하고 사용되어진 자바 스크립트의 난독화 여부를 분석하여 난독화가 되어 있는 경우 악성 의심 웹페이지로 선정하는 단계; 및 하이 인터액션 클라이언트 허니팟이 상기 로우 인터액션 클라이언트 허니팟으로부터 선정된 악성이 의심되는 웹사이트를 직접 방문하여 웹사이트의 행위를 파악하여 악성 유무를 확인하는 단계;를 포함하는 것을 특징으로 하는 하이브리드 인터액션 클라이언트 허니팟 시스템 운용방법을 제공한다.In the interaction client honeypot system, a web crawler downloading a web page of a suspected URL and a web page downloaded by the web crawler are statically analyzed to hide an Iframe among HTML tags included in the web page. Or if the length of the string exceeds 200 bytes, it is regarded as a malicious suspicious web page and if the obfuscation is used, it analyzes whether or not the JavaScript is obfuscated. A row interaction client honeypot that downloads and analyzes a web page of the website; It provides a hybrid interaction client honeypot system comprising a; and a high-interaction client honeypot that visits the suspected malicious website directly selected from the low-interaction client honeypot to identify the behavior of the website to determine whether there is malicious do.
In addition, the present invention provides a method for operating an interaction client honeypot system, comprising: downloading a web page of a URL suspected by a web crawler of a low interaction client honeypot; The analysis module of the low-interaction client honeypot statically analyzes the webpage downloaded by the web crawler, and hides an Iframe among the HTML tags included in the webpage, or if the length of the string exceeds 200 bytes. Analyzing whether or not the JavaScript has been obfuscated and selecting a malicious suspicious webpage if the obfuscation is performed; And a high interaction client honeypot directly visiting a suspected malicious website selected from the low interaction client honeypot to identify the behavior of the website and confirming the malicious presence. Provide operational methods.

Description

하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법{Hybrid interaction client honeypot system and its operation method}Hybrid interaction client honeypot system and its operation method

본 발명은 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법에 관한 것으로, 로우 인터액션 클라이언트 허니팟과 하이 인터액션 클라이언트 허니팟을 연동한 복합적인 형태를 갖는 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법에 관한 것이다.
The present invention relates to a hybrid interaction client honeypot system and a method of operating the same. The present invention relates to a hybrid interaction client honeypot system and a method of operating the hybrid interaction client honeypot having a complex form.

인터넷의 보급이 다양한 방면으로 우리의 생활을 바꾸고 있다. 기존의 오프라인 거래에 비하여 최근에는 온라인 쇼핑몰을 이용한 거래가 활발해지고 있다. The spread of the Internet is changing our lives in various ways. Recently, transactions using online shopping malls have become more active than existing offline transactions.

SNS의 보급으로 인하여 오프라인 상의 만남이 온라인상으로 연결이 되어지고 먼 거리의 사람들과도 즉각적인 정보 공유가 가능하게 되었다. 그리고 스마트폰의 보급으로 인하여 스마트폰 유저들은 공간의 제약을 받지 않고 다양한 인터넷 서비스를 이용하고 있다. 이러한 인터넷 인프라의 증가로 인하여 우리들은 보다 편리한 생활을 영위할 수 있게 되었다. 하지만 인터넷을 악용하여 개인적 이익을 취하거나 공공기관을 공격하는 악성 사용자 즉, 해커들이 존재한다. 이들은 발전된 인터넷 환경을 이용하여 기존보다 더욱 손쉽게 공격을 할 수 있게 되었다. 해커들은 취약점을 가지는 웹사이트를 분석하여 일반 사용자가 접속할 경우 악성 행위 코드를 사용자 컴퓨터로 내려 받도록 공격을 실시한다. 사용자는 자신이 모르는 사이 해커가 배포하는 악성 코드를 실행하게 되고 이러한 악성 코드들은 개인 정보를 유출하거나 DDoS공격 같은 기능을 수행한다. 이러한 공격은 최근 들어 많이 증가하고 있으며 Driven-by Download라고 불린다.Due to the spread of SNS, offline meetings can be connected online and instant information sharing with long distance people is possible. And with the spread of smart phones, smart phone users are using various internet services without being restricted by space. This increase in Internet infrastructure has enabled us to lead a more convenient life. However, there are malicious users, hackers, who use the Internet to take personal advantage or attack public institutions. They can use the advanced Internet environment to attack more easily than before. Hackers analyze web sites with vulnerabilities and attack them to download malicious code to the user's computer. Users run malicious code distributed by hackers without their knowledge, and these malicious codes can leak personal information or perform DDoS attacks. These attacks have increased in recent years and are called Driven-by Download.

이러한 악성 웹사이트를 이용한 공격을 분석하고 사용자들이 해당 악성 웹사이트로 접근하지 못하도록 하는 연구가 진행되고 있다. 이러한 연구 방식은 크게 두 가지 방향으로 이루어지고 있다. 특정 웹사이트를 만들어 해커들이 공격하기를 기다리는 서버기반의 허니팟과 연구 분석가들이 만든 프로그램이 능동적으로 악성 웹사이트를 찾아가 분석하는 클라이언트 허니팟이 존재한다. 서버기반의 허니팟은 초기 연구 형태로 수동적으로 공격이 유입되길 기다리는 방식으로 요즘에는 사용 빈도가 떨어지고 있다. 하지만 웹사이트를 능동적으로 방문하여 분석하는 클라이언트 허니팟은 그 활용 빈도가 증가하고 있다.  Researches are being conducted to analyze attacks using such malicious websites and to prevent users from accessing the malicious websites. This research method has two directions. There are server-based honeypots that create specific websites and wait for hackers to attack, and client honeypots, where programs created by research analysts actively search and analyze malicious websites. Server-based honeypots are a form of early research, waiting to be attacked passively. However, client honeypots that actively visit and analyze websites are increasingly used.

악성 코드가 숨겨진 악성 웹사이트를 탐지하는 방식에는 크게 두 가지로 나뉘어 진다. 공격자가 공격을 할 수 있도록 서버를 구축하여 그 공격을 분석하는 서버 기반의 허니팟이 있다. 이 서버 기반의 허니팟은 공격자의 특정 행위를 할 때까지 기다리다 공격이 이루어지면 그때 동작을 한다. 이러한 경우 적극적인 탐지가 이루어지지 않아 많은 시간을 대기하는 상태가 된다. 이러한 방식의 단점을 보완하기 위해서 적극적으로 웹사이트를 방문하여 해당 웹사이트의 악성 유무를 확인하는 클라이언트 허니팟이 연구 되었다. 이러한 클라이언트 허니팟은 웹사이트와 분석하는 시스템간의 상호작용의 강도에 따라 두 가지로 나누어진다. 능동적으로 웹사이트를 분석하는 클라이언트 허니팟은 분석하는 강도에 따라서 로우 인터액션 허니팟과 하이 인터액션 허니팟으로 구분이 된다. 각 방식은 장단점을 가지고 있으며 이들 단점은 상호 보완이 가능하다. There are two main ways in which malicious code detects hidden malicious websites. There is a server-based honeypot that builds a server so that an attacker can attack and analyzes the attack. This server-based honeypot waits for an attacker to perform a specific action and then operates when the attack is made. In this case, there is no active detection, which leads to a lot of waiting time. In order to make up for the shortcomings of this method, a client honeypot that actively visits a website and checks the malicious status of the website has been studied. These client honeypots are divided into two types according to the strength of interaction between the website and the analyzing system. Client honeypots that actively analyze websites are classified into low interaction honeypots and high interaction honeypots according to the strength of the analysis. Each approach has advantages and disadvantages and these disadvantages can be complemented.

도 1에 도시된 바와 같이, 로우 인터액션 클라이언트 허니팟은 웹사이트의 반응만을 가지고 웹사이트를 분석한다. 웹사이트를 분석 시 패턴 매칭 방식을 사용하여 해당 웹사이트의 응답을 확인하고 이를 분석하여 악성행위 유무를 판별한다. 특정 응답을 웹사이트가 보내거나 취약점을 가진 응용프로그램을 사용하려 하는 경우 악성 행위를 하는 웹사이트라고 판단을 한다. 이 외에 다양한 방식의 웹사이트 반응을 확인하여 웹사이트를 분석한다. 로우 인터액션 클라이언트는 웹사이트의 응답만 분석하는 방식이므로 분석 속도가 빠르고 악의적 공격에 노출이 되지 않는 장점을 가지고 있다. 하지만 동적 생성 코드를 이용한 공격이나 기존의 탐지 패턴을 벗어난 공격 그리고 알려지지 않은 공격을 탐지하지 못하는 단점을 가진다. As shown in FIG. 1, a low interaction client honeypot analyzes a website with only the response of the website. When analyzing a website, we check the response of the website using a pattern matching method and analyze it to determine the presence of malicious behavior. If a website sends a specific response or attempts to use a vulnerable application, it is determined to be a malicious website. In addition, the website is analyzed by checking the website response in various ways. The low-interaction client only analyzes the website's response, so it has a fast analysis speed and is not exposed to malicious attacks. However, it has the disadvantage of not detecting an attack using dynamic generated code, an attack outside the existing detection pattern, and an unknown attack.

도 2에 도시된 바와 같이, 하이 인터액션 클라이언트 허니팟은 웹사이트와 주고받는 응답 메시지를 분석하는 로우 인터액션 클라이언트 허니팟과는 다르게 웹사이트를 직접 방문한다. 분석 시스템은 특정 웹사이트를 방문하여 직접 그 웹사이트가 행하는 모든 행위를 할 수 있도록 허용한다. 웹사이트의 동작이 완료된 후 분석 시스템은 자신의 시스템에 변경 사항이 존재하는지 확인한다. 특정 폴더에 파일을 생성하거나 레지스트리를 변경하는 등 특정 악성행위를 취하는 경우 해당 웹사이트를 악성으로 판단하게 된다. 이 경우 웹사이트를 직접 방문하게 되므로 동적으로 생성되는 코드들의 분석과 숨겨진 재경로 등을 확인할 수 있다. 또한 알려지지 않는 공격을 탐지하는데 효과적인 방식이다. 하지만 웹사이트를 방문하여 분석하므로 하이 인터액션 클라이언트 방식은 공격에 직접 노출될 가능성이 높다. 따라서 웹사이트 분석이 끝난 후 분석 시스템을 분석 시점 이전으로 초기화하는 작업이 필요하다. 초기화하는 부분에서 많은 시간이 소요되고 방문한 악성 웹사이트의 개수가 증가할수록 초기화 빈도는 점차 증가하게 된다.
As shown in FIG. 2, a high interaction client honeypot visits a website directly unlike a low interaction client honeypot that analyzes a response message exchanged with a website. The analysis system allows you to visit a particular website and do everything that the website does directly. After the website is done, the analysis system checks for changes in its system. If a particular malicious activity is performed, such as creating a file in a specific folder or changing the registry, the website is considered to be malicious. In this case, you can visit the website directly, so that you can analyze the dynamically generated code and check the hidden reroute. It is also an effective way to detect unknown attacks. However, by visiting and analyzing a website, the high-interaction client approach is likely to be directly exposed to the attack. Therefore, after analyzing the website, it is necessary to initialize the analysis system before the analysis point. Initialization takes a lot of time, and as the number of malicious websites visited increases, the frequency of initialization gradually increases.

따라서, 본 발명은 종래 기술에 제기된 문제점을 해결하기 위한 것으로, 웹사이트의 취약점을 먼저 확인하는 로우 인터액션 클라이언트 허니팟과 알려지지 않은 공격까지 탐지하는 하이 인터액션 클라이언트 허니팟을 연동함으로써, 로우 인터액션 클라이언트 허니팟보다는 분석 시간이 오래 걸리지만 보다 정확한 결과를 얻을 수 있으며, 하이 인터액션 클라이언트 허니팟과 동일한 분석 결과를 보이면서 빠른 분석 시간을 구축할 수 있는 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법을 제공하는데 그 목적이 있다.
Accordingly, the present invention is to solve the problems raised in the prior art, by linking the low interaction client honeypot that first checks the vulnerabilities of the website and the high interaction client honeypot that detects unknown attacks, the analysis rather than the low interaction client honeypot Its purpose is to provide a hybrid interaction client honeypot system and its operation method that can take a long time but obtain more accurate results, and can achieve fast analysis time while showing the same analysis results as a high interaction client honeypot.

상기의 목적을 달성하기 위한 본 발명은 인터액션 클라이언트 허니팟 시스템에 있어서, 의심되는 URL의 웹페이지를 다운받는 웹 크롤러와, 상기 웹 크롤러가 다운받은 웹페이지를 정적으로 분석하여, 상기 웹페이지가 포함하고 있는 HTML 태그 중 Iframe을 숨기거나 문자열의 길이가 200Byte를 초과하는 경우 악성 의심 웹페이지로 하고 사용되어진 자바 스크립트의 난독화 여부를 분석하여 난독화가 되어 있는 경우 악성 의심 웹페이지로 선정하는 분석 모듈을 포함하여 웹사이트의 응답뿐만 아니라 해당 웹사이트의 웹페이지를 다운받아 분석하는 로우 인터액션 클라이언트 허니팟; 및 상기 로우 인터액션 클라이언트 허니팟으로부터 선정된 악성이 의심되는 웹사이트를 직접 방문하여 웹사이트의 행위를 파악하여 악성 유무를 확인하는 하이 인터액션 클라이언트 허니팟;을 포함하는 것을 특징으로 하는 하이브리드 인터액션 클라이언트 허니팟 시스템을 제공한다.In an interaction client honeypot system, the present invention provides a web crawler that downloads a web page of a suspected URL and a web page downloaded by the web crawler, and includes the web page. Among the HTML tags that are hidden, if Iframe is hidden or the length of the string exceeds 200Byte, it is a malicious suspicious web page and if it is obfuscated, the analysis module selects a malicious suspicious web page if it is obfuscated. A low-interaction client honeypot that downloads and analyzes the website as well as the website's response; It provides a hybrid interaction client honeypot system comprising a; and a high-interaction client honeypot that visits the suspected malicious website directly selected from the low-interaction client honeypot to identify the behavior of the website to determine whether there is malicious do.

이때, 상기 웹 크롤러는 다수의 User-Agent를 보고 서로 다른 반응을 보이는 웹사이트들의 웹페이지와, 해당 웹사이트가 가지고 있는 내용을 다운받을 수 있다.In this case, the web crawler may download the web pages of the web sites and the contents of the corresponding web sites having different responses based on the plurality of user-agents.

또한, 상기 분석 모듈은, 상기 웹 페이지가 포함하고 있는 HTML 문서의 태그를 분석하는 HTML 태그 분석부; 자바 스크립트의 난독화 여부를 분석하는 자바 스크립트 분석부; 및 상기 HTML 태그 분석부 및 자바 스크립트 분석부의 분석 결과를 통해 악성 의심 웹페이지를 선정하는 악성 웹페이지 선정부;를 포함할 수 있다.The analysis module may include an HTML tag analyzer configured to analyze a tag of an HTML document included in the web page; JavaScript analysis unit for analyzing whether or not obfuscated JavaScript; And a malicious web page selecting unit configured to select a malicious suspicious web page through an analysis result of the HTML tag analyzing unit and the JavaScript analyzing unit.

또한, 상기 하이 인터액션 클라이언트 허니팟은, 웹사이트의 행위를 파악하여 악성 유무를 분석하는 악성코드 분석부; 가상환경에서 파일의 쓰기, 삭제, 변경 작업이 이루어도록 하는 가상 파일 시스템부; 및 분석 완료 후 상기 가상 파일 시스템부만 초기화시키는 시스템 초기화부;를 포함할 수 있다.In addition, the high-interaction client honeypot, the malicious code analysis unit for analyzing the presence of malicious web site activity; A virtual file system unit for writing, deleting, and changing a file in a virtual environment; And a system initialization unit for initializing only the virtual file system unit after the analysis is completed.

상기의 목적을 달성하기 위한 본 발명은 인터액션 클라이언트 허니팟 시스템 운용방법에 있어서, 로우 인터액션 클라이언트 허니팟의 웹 크롤러가 의심되는 URL의 웹페이지를 다운받는 단계; 로우 인터액션 클라이언트 허니팟의 분석 모듈이 상기 웹 크롤러가 다운받은 웹페이지를 정적으로 분석하여, 상기 웹페이지가 포함하고 있는 HTML 태그 중 Iframe을 숨기거나 문자열의 길이가 200Byte를 초과하는 경우 악성 의심 웹페이지로 하고 사용되어진 자바 스크립트의 난독화 여부를 분석하여 난독화가 되어 있는 경우 악성 의심 웹페이지로 선정하는 단계; 및 하이 인터액션 클라이언트 허니팟이 상기 로우 인터액션 클라이언트 허니팟으로부터 선정된 악성이 의심되는 웹사이트를 직접 방문하여 웹사이트의 행위를 파악하여 악성 유무를 확인하는 단계;를 포함하는 것을 특징으로 하는 하이브리드 인터액션 클라이언트 허니팟 시스템 운용방법을 제공한다.In order to achieve the above object, the present invention provides a method for operating an interaction client honeypot system, the method comprising: downloading a web page of a URL suspected by a web crawler of a low interaction client honeypot; The analysis module of the low-interaction client honeypot statically analyzes the webpage downloaded by the web crawler, and hides an Iframe among the HTML tags included in the webpage, or if the length of the string exceeds 200 bytes. Analyzing whether or not the JavaScript has been obfuscated and selecting a malicious suspicious webpage if the obfuscation is performed; And a high interaction client honeypot directly visiting a suspected malicious website selected from the low interaction client honeypot to identify the behavior of the website and confirming the malicious presence. Provide operational methods.

또한, 로우 인터액션 클라이언트 허니팟의 웹 크롤러가 의심되는 URL의 웹페이지를 다운받는 단계에서, 상기 웹 크롤러는 다수의 User-Agent를 보고 서로 다른 반응을 보이는 웹사이트들의 웹페이지와, 해당 웹사이트가 가지고 있는 내용을 다운받을 수 있다.In addition, when the web crawler of the low-interaction client honeypot downloads the web page of the suspected URL, the web crawler looks at a plurality of user-agents and displays web pages of websites that react differently. You can download the content.

또한, 하이 인터액션 클라이언트 허니팟이 상기 로우 인터액션 클라이언트 허니팟으로부터 선정된 악성이 의심되는 웹사이트를 직접 방문하여 웹사이트의 행위를 파악하여 악성 유무를 확인하는 단계에서, 상기 하이 인터액션 클라이언트 허니팟은 가상환경에서 파일의 쓰기, 삭제, 변경 작업이 이루어도록 하는 가상 파일 시스템부를 구비하고, 분석이 완료된 후 가상 파일 시스템만을 초기화할 수 있다.
In addition, the high-interaction client honeypot directly visits the suspected malicious website selected from the low-action client honeypot and checks the behavior of the website to determine whether the high-interaction client honeypot is a file in a virtual environment. It is provided with a virtual file system unit for writing, deleting, and changing operations, and after the analysis is completed, only the virtual file system may be initialized.

이상에서, 본 발명은 웹사이트의 취약점을 먼저 확인하는 로우 인터액션 클라이언트 허니팟과 알려지지 않은 공격까지 탐지하는 하이 인터액션 클라이언트 허니팟을 연동함으로써, 로우 인터액션 클라이언트 허니팟보다는 분석 시간이 오래 걸리지만 보다 정확한 결과를 얻을 수 있으며, 하이 인터액션 클라이언트 허니팟과 동일한 분석 결과를 보이면서 빠른 분석 시간을 구축할 수 있는 효과가 있다.
In the above, the present invention integrates a low interaction client honeypot that first checks a vulnerability of a website and a high interaction client honeypot that detects an unknown attack, so that analysis time takes longer than that of a low interaction client honeypot, but more accurate results can be obtained. In addition, it shows the same analysis result as the high-interaction client honeypot and has an effect of establishing a fast analysis time.

도 1은 종래기술에 따른 로우 인터액션 클라이언트 허니팟과 하이 인터액션 클라이언트 허니팟에 대한 도면이다.
도 2는 본 발명의 실시예에 따른 하이브리드 인터액션 클라이언트 허니팟 시스템에 대한 구성도이다.
도 3은 본 발명의 실시예에 따른 하이브리드 인터액션 클라이언트 허니팟 시스템 운용방법에 대한 순서도이다.1 is a diagram of a low interaction client honeypot and a high interaction client honeypot according to the prior art.
2 is a block diagram of a hybrid interaction client honeypot system according to an embodiment of the present invention.
3 is a flowchart illustrating a method for operating a hybrid interaction client honeypot system according to an embodiment of the present invention.

본 발명에 따른 하이브리드 인터액션 클라이언트 허니팟 시스템 및 그 운용방법에 대한 기술적 구성을 비롯한 작용효과에 관한 사항은 본 발명의 바람직한 실시예가 도시된 도면을 참조하여 아래의 상세한 설명에 의해서 명확하게 이해될 것이다. Details of the effects including the technical configuration of the hybrid interaction client honeypot system and its operation method according to the present invention will be clearly understood by the following detailed description with reference to the drawings showing preferred embodiments of the present invention.

하이브리드hybrid 인터액션Interaction 클라이언트  Client 허니팟Honey Pot 시스템 system

도 2을 참조하여 설명하면, 본 발명의 실시예에 따른 인터액션 클라이언트 허니팟 시스템(100)에 있어서, 의심되는 URL의 웹페이지를 다운받는 웹 크롤러(111)와, 상기 웹 크롤러(111)가 다운받은 웹페이지를 정적으로 분석하여, 상기 웹페이지가 포함하고 있는 HTML 태그 중 Iframe을 숨기거나 문자열의 길이가 200Byte를 초과하는 경우 악성 의심 웹페이지로 하고 사용되어진 자바 스크립트의 난독화 여부를 분석하여 난독화가 되어 있는 경우 악성 의심 웹페이지로 선정하는 분석 모듈(112)을 포함하여 웹사이트의 응답뿐만 아니라 해당 웹사이트의 웹페이지를 다운받아 분석하는 로우 인터액션 클라이언트 허니팟(110) 및 상기 로우 인터액션 클라이언트 허니팟(110)으로부터 선정된 악성이 의심되는 웹사이트를 직접 방문하여 웹사이트의 행위를 파악하여 악성 유무를 확인하는 하이 인터액션 클라이언트 허니팟(120)을 포함하여 이루어질 수 있다.Referring to Figure 2, in the interaction client honeypot system 100 according to an embodiment of the present invention, the web crawler 111 to download the web page of the suspected URL and the web crawler 111 downloaded If the webpage is statically analyzed and the Iframe is hidden among the HTML tags included in the webpage, or if the length of the string exceeds 200 bytes, it is considered as a suspicious webpage and the obfuscation is analyzed by analyzing the JavaScript obfuscation used. In this case, a low interaction client honeypot 110 and a low interaction client honeypot 110 which downloads and analyzes a web page of the website as well as a response of the website, including an analysis module 112 for selecting a suspected malicious web page. ) Visits the suspected malicious website directly and grasps the website's behavior A high interaction client honeypot 120 to check may be made, including.

본 발명에 따른 하이브리드 인터액션 클라이언트 허니팟 시스템(100)은 도면에 도시된 바와 같이 웹사이트의 취약점을 먼저 확인하는 로우 인터액션 클라이언트 허니팟(110)과 알려지지 않은 공격까지 탐지하는 하이 인터액션 클라이언트 허니팟(120)을 연동한 복합적인 형태의 클라이언트 허니팟 시스템(100)이다.The hybrid interaction client honeypot system 100 according to the present invention interoperates with the low interaction client honeypot 110 that first checks the vulnerability of the website and the high interaction client honeypot 120 that detects unknown attacks as shown in the drawing. One type of complex client honeypot system 100 is provided.

상기 로우 인터액션 클라이언트 허니팟(110)은 기존의 로우 인터액션 클라이언트 허니팟의 구현 원리와 동일하나 웹사이트의 응답뿐만 아니라 해당 웹사이트의 웹페이지를 다운 받아 그것을 분석한다.The low interaction client honeypot 110 is the same as the existing low interaction client honeypot implementation principle, but downloads and analyzes the webpage of the corresponding website as well as the response of the website.

상기 로우 인터액션 클라이언트 허니팟(110)은 웹 크롤러(111)와 분석모듈로 구성된다.The low interaction client honeypot 110 is composed of a web crawler 111 and an analysis module.

상기 웹 크롤러(111)는 의심되는 URL의 웹페이지를 다운 받는다. 이때, 웹사이트는 크롤러(111)의 User-Agent를 보고 서로 다른 반응을 보이는데 다양한 User-Agent를 이용하여 각기 다른 반응을 보이는 웹사이트들의 웹페이지를 시스템에 저장을 한다. 즉, 상기 웹 크롤러(111)는 웹사이트의 웹페이지뿐만 아니라 해당 웹사이트가 가지고 있는 내용 역시 다운 받아 시스템에 보관하고 차후 분석에 이용을 한다.The web crawler 111 downloads the web page of the suspected URL. At this time, the website looks at the User-Agent of the crawler 111 and shows different reactions. The website stores the web pages of the websites showing different responses using various User-Agents in the system. That is, the web crawler 111 downloads not only the web page of the web site but also the contents of the web site and stores it in the system for later analysis.

상기 분석 모듈(112)은 웹 크롤러(111)가 다운 받은 웹페이지를 정적으로 분석한다. 웹페이지가 포함하고 있는 HTML 태그 중 Iframe을 숨기거나 문자열의 길이가 특정 길이 즉, 200Byte를 초과하는 경우 이를 악성 의심 웹페이지로 선정한다. 또한 사용되어진 스크립트의 난독화 여부를 난독화 점검 모듈을 통해 난독화가 되어 있는 경우 역시 악성 의심 웹페이지로 선정한다. 이렇게 웹 페이지의 정적 분석을 통하여 하이 인터액션 클라이언트 허니팟(120) 부분에서는 강력하게 의심되는 웹사이트만을 방문하여 동적 분석 시간을 줄일 수 있다.The analysis module 112 statically analyzes the web page downloaded by the web crawler 111. If an Iframe is hidden among HTML tags included in a web page or the length of a string exceeds a certain length, that is, 200 bytes, it is selected as a malicious suspicious web page. In addition, if the obfuscation of the script used is obfuscated through the obfuscation check module, the malicious suspicious web page is also selected. Through the static analysis of the web page, the high-interaction client honeypot 120 may reduce the dynamic analysis time by visiting only the strongly suspected website.

이와 같은, 상기 분석 모듈(112)은 HTML 태그 분석부(112a)와, 자바 스크립트 분석부(112b), 악성 웹페이지 선정부(112c)를 포함한다. 상기 HTML 태그 분석부(112a)는 상기 웹 페이지가 포함하고 있는 HTML 문서의 태그를 분석하며, 자바 스크립트 분석부(112b)는 자바 스크립트의 난독화 여부를 분석하며, 상기 악성 웹페이지 선정부(112c)는 상기 HTML 태그 분석부(112a) 및 자바 스크립트 분석부(112b)의 분석 결과를 통해 악성 의심 웹페이지를 선정한다.As such, the analysis module 112 includes an HTML tag analysis unit 112a, a JavaScript analysis unit 112b, and a malicious webpage selecting unit 112c. The HTML tag analysis unit 112a analyzes the tags of the HTML document included in the web page, and the JavaScript analysis unit 112b analyzes whether or not the JavaScript is obfuscated, and selects the malicious web page selection unit 112c. ) Selects a malicious suspicious web page through the analysis results of the HTML tag analysis unit 112a and the JavaScript analysis unit 112b.

상기 하이 인터액션 클라이언트 허니팟(120)은 웹사이트를 직접 방문하여 웹사이트의 행위를 파악하여 악성 유무를 확인하는 부분이다. 기 연구된 하이 인터액션 클라이언트 허니팟(120)은 웹사이트를 분석 후 모든 시스템을 초기화하여야 한다. 이 경우 많은 시간을 분석 이외에 투자하게 되고 분석 효율을 저해하는 부분이 된다. 따라서 제안하는 시스템에서는 이러한 단점을 최소화하고자 시스템의 특정 부분을 구분하여 가상 파일 시스템을 만들고 파일의 쓰기, 읽기 등의 작업을 수행한다. 분석이 완료된 후 시스템 전체를 초기화하지 않고 가상 파일 시스템만 분석 전으로 초기화하면 웹사이트가 동작한 모든 흔적을 지울 수 있다. 초기화 시간이 단축되며 보다 높은 분석 효율성을 달성할 수 있다.The high-interaction client honeypot 120 is a part that checks the behavior of the website by directly visiting the website and confirming the presence of malicious code. The previously studied high interaction client honeypot 120 should initialize all the systems after analyzing the website. In this case, a lot of time is invested outside of the analysis, and this is a part that hinders the analysis efficiency. Therefore, in the proposed system, to minimize these drawbacks, the virtual file system is created by dividing certain parts of the system, and the operations such as writing and reading files are performed. After the analysis is complete, you can erase all traces of your website by only initializing the virtual file system before analysis, rather than initializing the entire system. Initialization time is shortened and higher analysis efficiency can be achieved.

이와 같은, 상기 하이 인터액션 클라이언트 허니팟(120)은 악성코드 분석부(121), 가상 파일 시스템부(122), 시스템 초기화부(123)를 포함한다. 상기 악성코드 분석부(121)는 웹사이트의 행위를 파악하여 악성 유무를 분석하며, 상기 가상 파일 시스템부(122)는 가상환경에서 파일의 쓰기, 삭제, 변경 작업이 이루어도록 하며, 상기 시스템 초기화부(123)는 분석 완료 후 상기 가상 파일 시스템부(122)만 초기화시킨다.As described above, the high interaction client honeypot 120 includes a malicious code analysis unit 121, a virtual file system unit 122, and a system initialization unit 123. The malware analysis unit 121 detects the behavior of the website by analyzing the malicious status, and the virtual file system unit 122 writes, deletes, or changes a file in a virtual environment, and initializes the system. The unit 123 initializes only the virtual file system unit 122 after the analysis is completed.

하이브리드hybrid 인터액션Interaction 클라이언트  Client 허니팟Honey Pot 시스템 운용방법 System operation method

도 3을 참조하여 설명하면, 본 발명의 실시예에 따른 하이브리드 인터액션 클라이언트 허니팟 시스템 운용방법은 앞서 설명한 도 2와 같은 구성으로 이루어진 하이브리드 인터액션 클라이언트 허니팟 시스템(100)을 기반으로 하는 시스템 운용방법으로 이하 중복되는 설명은 생략한다.Referring to FIG. 3, the hybrid interaction client honeypot system operating method according to an exemplary embodiment of the present invention is a system operation method based on the hybrid interaction client honeypot system 100 configured as shown in FIG. 2. The description will be omitted.

먼저, 로우 인터액션 클라이언트 허니팟(110)의 웹 크롤러(111)가 의심되는 URL의 웹페이지를 다운받는다.(S100) 이때, 상기 웹 크롤러(111)는 다수의 User-Agent를 보고 서로 다른 반응을 보이는 웹사이트들의 웹페이지와, 해당 웹사이트가 가지고 있는 내용을 다운받을 수 있다.First, the web crawler 111 of the low-interaction client honeypot 110 downloads the web page of the suspected URL (S100). At this time, the web crawler 111 looks at a plurality of User-Agents and shows different responses. You can download web pages of websites and the contents of the websites.

다음으로, 로우 인터액션 클라이언트 허니팟(110)의 분석 모듈(112)이 상기 웹 크롤러(111)가 다운받은 웹페이지를 정적으로 분석하여, 상기 웹페이지가 포함하고 있는 HTML 태그 중 Iframe을 숨기거나 문자열의 길이가 200Byte를 초과하는 경우 악성 의심 웹페이지로 하고 사용되어진 자바 스크립트의 난독화 여부를 분석하여 난독화가 되어 있는 경우 악성 의심 웹페이지로 선정한다.(S110)Next, the analysis module 112 of the low-interaction client honeypot 110 statically analyzes the web page downloaded by the web crawler 111, and hides an Iframe or a string of HTML tags included in the web page. If the length exceeds 200 bytes, it is considered as a malicious suspicious web page and if it is obfuscated by analyzing the JavaScript obfuscated, it is selected as a suspicious web page. (S110)

다음으로, 하이 인터액션 클라이언트 허니팟(120)이 상기 로우 인터액션 클라이언트 허니팟(110)으로부터 선정된 악성이 의심되는 웹사이트를 직접 방문하여 웹사이트의 행위를 파악하여 악성 유무를 확인한다.(S120) 이때, 상기 하이 인터액션 클라이언트 허니팟(120)은 가상환경에서 파일의 쓰기, 삭제, 변경 작업이 이루어도록 하는 가상 파일 시스템부(122)를 구비하고, 분석이 완료된 후 가상 파일 시스템만을 초기화할 수 있다.Next, the high interaction client honeypot 120 directly visits the suspected malicious website selected from the low interaction client honeypot 110 to check the behavior of the website to check whether there is malicious activity (S120). The high-interaction client honeypot 120 may include a virtual file system unit 122 for writing, deleting, and changing a file in a virtual environment, and may initialize only the virtual file system after analysis is completed.

이처럼, 본 발명에 따른 하이브리드 인터액션 클라이언트 허니팟 시스템(100) 및 그 운용방법은 웹사이트의 취약점을 먼저 확인하는 로우 인터액션 클라이언트 허니팟(110)과 알려지지 않은 공격까지 탐지하는 하이 인터액션 클라이언트 허니팟(120)을 연동함으로써, 로우 인터액션 클라이언트 허니팟(110)보다는 분석 시간이 오래 걸리지만 보다 정확한 결과를 얻을 수 있으며, 하이 인터액션 클라이언트 허니팟(120)과 동일한 분석 결과를 보이면서 빠른 분석 시간을 구축할 수 있다.As such, the hybrid interaction client honeypot system 100 and its operation method according to the present invention interwork a low interaction client honeypot 110 that first checks the vulnerability of a website and a high interaction client honeypot 120 that detects unknown attacks. As a result, although the analysis time is longer than that of the low interaction client honeypot 110, a more accurate result can be obtained, and a faster analysis time can be established while showing the same analysis result as the high interaction client honeypot 120.

이상에서 설명한 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 당해 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 수 있을 것이다.Although the preferred embodiments of the present invention described above have been described in detail, those skilled in the art will understand that various modifications and equivalent other embodiments are possible therefrom.

따라서, 본 발명의 권리 범위는 개시된 실시예에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변경 및 개량 형태 또는 본 발명의 권리 범위에 속하는 것으로 보아야 할 것이다.Accordingly, the scope of the present invention should not be limited to the disclosed embodiments but should be regarded as belonging to various modifications and improvements of those skilled in the art using the basic concept of the present invention as defined in the following claims, or the scope of the present invention. .

100 : 하이브리드 인터액션 클라이언트 허니팟 시스템
110 : 로우 인터액션 클라이언트 허니팟
120 : 하이 인터액션 클라이언트 허니팟100: Hybrid Interaction Client Honeypot System
110: Low Interaction Client Honeypot
120: High Interaction Client Honeypot

Claims (7)

인터액션 클라이언트 허니팟 시스템에 있어서,
악성으로 의심되는 URL의 웹페이지를 다운받는 웹 크롤러와, 상기 웹 크롤러가 다운받은 웹페이지를 정적으로 분석하여, 상기 웹페이지가 포함하고 있는 HTML 태그 중 Iframe을 숨기거나 문자열의 길이가 200Byte를 초과하는 경우 악성 의심 웹페이지로 하고 사용되어진 자바 스크립트의 난독화 여부를 분석하여 난독화가 되어 있는 경우 악성 의심 웹페이지로 선정하는 분석 모듈을 포함하여 웹사이트의 응답뿐만 아니라 해당 웹사이트의 웹페이지를 다운받아 분석하는 로우 인터액션 클라이언트 허니팟; 및
상기 로우 인터액션 클라이언트 허니팟으로부터 선정된 악성이 의심되는 웹사이트를 직접 방문한 후, 웹사이트의 행위를 파악하여 악성 유무를 분석하는 악성코드 분석부와, 가상환경에서 파일의 쓰기, 삭제, 변경 작업이 이루어도록 하는 가상 파일 시스템부와, 분석 완료 후 상기 가상 파일 시스템부만 초기화시키는 시스템 초기화부를 포함하는 하이 인터액션 클라이언트 허니팟;을 포함하여 구성되며,
상기 웹 크롤러는 다수의 User-Agent를 보고 서로 다른 반응을 보이는 웹사이트들의 웹페이지와, 해당 웹사이트가 가지고 있는 내용을 다운받으며,
상기 분석 모듈은,
상기 웹 페이지가 포함하고 있는 HTML 문서의 태그를 분석하는 HTML 태그 분석부와, 자바 스크립트의 난독화 여부를 분석하는 자바 스크립트 분석부와, 상기 HTML 태그 분석부 및 자바 스크립트 분석부의 분석 결과를 통해 악성 의심 웹페이지를 선정하는 악성 웹페이지 선정부를 포함하여 구성되는 것을 특징으로 하는 하이브리드 인터액션 클라이언트 허니팟 시스템.
In the interaction client honeypot system,
Statically analyzes web crawlers that download web pages with suspected malicious URLs and web pages downloaded by the web crawlers, and hides Iframes or lengths of strings exceeding 200 bytes among HTML tags included in the web pages. If you have a suspicious web page, and if it is obfuscated by analyzing the obfuscated JavaScript, it includes an analysis module that selects a suspicious web page. Receive and analyze raw interaction client honeypots; And
After visiting the suspected malicious website directly from the low-interaction client honeypot, the malware analysis unit analyzes the behavior of the website and analyzes the malicious status, and writes, deletes, and changes files in a virtual environment. And a high-interaction client honeypot including a virtual file system unit configured to perform the analysis, and a system initializer configured to initialize only the virtual file system unit after the analysis is completed.
The web crawler downloads the web pages of websites that react to different user-agents and reacts with each other, and the contents of the websites.
The analysis module,
The HTML tag analysis unit for analyzing the tag of the HTML document included in the web page, the JavaScript analysis unit for analyzing the JavaScript obfuscation, and the malicious result through the analysis results of the HTML tag analysis unit and the JavaScript analysis unit Hybrid interaction client honeypot system, characterized in that it comprises a malicious web page selection unit for selecting a suspicious web page.
삭제delete 삭제delete 삭제delete 인터액션 클라이언트 허니팟 시스템 운용방법에 있어서,
로우 인터액션 클라이언트 허니팟의 웹 크롤러가 악성으로 의심되는 URL의 웹페이지를 다운받는 단계;
로우 인터액션 클라이언트 허니팟의 분석 모듈이 상기 웹 크롤러가 다운받은 웹페이지를 정적으로 분석하여, 상기 웹페이지가 포함하고 있는 HTML 태그 중 Iframe을 숨기거나 문자열의 길이가 200Byte를 초과하는 경우 악성 의심 웹페이지로 하고 사용되어진 자바 스크립트의 난독화 여부를 분석하여 난독화가 되어 있는 경우 악성 의심 웹페이지로 선정하는 단계; 및
하이 인터액션 클라이언트 허니팟이 상기 로우 인터액션 클라이언트 허니팟으로부터 선정된 악성이 의심되는 웹사이트를 직접 방문하여 웹사이트의 행위를 파악하여 악성 유무를 확인하는 단계를 포함하여 이루어지며,
상기 웹 크롤러가 의심되는 URL의 웹페이지를 다운받는 단계에서, 웹 크롤러는 다수의 User-Agent를 보고 서로 다른 반응을 보이는 웹사이트들의 웹페이지와, 해당 웹사이트가 가지고 있는 내용을 다운받으며,
상기 하이 인터액션 클라이언트 허니팟이 악성 의심 웹사이트를 방문하여 악성 유무를 확인하는 단계에서, 하이 인터액션 클라이언트 허니팟은 가상환경에서 파일의 쓰기, 삭제, 변경 작업이 이루어도록 하는 가상 파일 시스템부를 구비하고, 분석이 완료된 후 가상 파일 시스템만을 초기화하는 것을 특징으로 하는 하이브리드 인터액션 클라이언트 허니팟 시스템 운용방법.In the interaction client honeypot system operating method,
Downloading a web page of a URL suspected to be malicious by a web crawler of a low interaction client honeypot;
The analysis module of the low-interaction client honeypot statically analyzes the webpage downloaded by the web crawler, and hides an Iframe among the HTML tags included in the webpage, or if the length of the string exceeds 200 bytes. Analyzing whether or not the JavaScript has been obfuscated and selecting a malicious suspicious webpage if the obfuscation is performed; And
The high-interaction client honeypot is performed by directly visiting a suspected malicious website selected from the low-action client honeypot, and identifying the malicious behavior by checking the behavior of the website.
In the step of downloading the web page of the URL that the web crawler suspects, the web crawler downloads the web pages of the websites that respond to different user-agents and the contents of the web site.
When the high interaction client honeypot visits a malicious suspicious website and checks for malicious, the high interaction client honeypot includes a virtual file system unit for writing, deleting, and changing a file in a virtual environment. Hybrid interaction client honeypot system operating method characterized in that the initialization of only the virtual file system after completion. 삭제delete 삭제delete
KR1020100131404A 2010-12-21 2010-12-21 Hybrid interaction client honeypot system and its operation method KR101190261B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100131404A KR101190261B1 (en) 2010-12-21 2010-12-21 Hybrid interaction client honeypot system and its operation method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100131404A KR101190261B1 (en) 2010-12-21 2010-12-21 Hybrid interaction client honeypot system and its operation method

Publications (2)

Publication Number Publication Date
KR20120070019A KR20120070019A (en) 2012-06-29
KR101190261B1 true KR101190261B1 (en) 2012-10-12

Family

ID=46687977

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100131404A KR101190261B1 (en) 2010-12-21 2010-12-21 Hybrid interaction client honeypot system and its operation method

Country Status (1)

Country Link
KR (1) KR101190261B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109474629A (en) * 2018-12-28 2019-03-15 深圳竹云科技有限公司 A kind of honey jar design and implementation methods of anti-web crawlers
KR102120200B1 (en) * 2019-12-27 2020-06-17 주식회사 와이햇에이아이 Malware Crawling Method and System
NL2031256B1 (en) 2022-02-14 2023-08-18 Group Ib Global Private Ltd Method and computing device for detection of target malicious web resource

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101428725B1 (en) * 2012-11-06 2014-08-12 한국인터넷진흥원 A System and a Method for Finding Malicious Code Hidden Websites by Checking Sub-URLs
KR101481910B1 (en) * 2013-08-14 2015-01-15 한국과학기술원 Apparatus and method for monitoring suspicious information in web page
KR101540672B1 (en) * 2014-01-13 2015-07-31 주식회사 엔피코어 A system and method for protecting from hacking of mobile terminal
CN109361670B (en) * 2018-10-21 2021-05-28 北京经纬信安科技有限公司 Device and method for capturing malicious sample by utilizing targeted dynamic deployment of honeypots
CN111488547B (en) * 2020-04-16 2020-12-25 广州锦行网络科技有限公司 Implementation device for flattening management of honeypots and honeynets based on web technology
CN114928484A (en) * 2022-05-16 2022-08-19 上海斗象信息科技有限公司 Honeypot generation method and device, electronic equipment and storage medium

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
김병익, 임채태, 정현철. "Advanced High-interaction Client Honeypot에 관한 연구", 2010년 한국멀티미디어학회 추계학술발표논문집, 제13권 제2호, pp.637-640 (2010.11.)*
정현철, "정보보호침해사례 유형 및 보안대책 : 정보보호", 지역정보화, 지역정보화조합, pp.30-31 (2006.09.)*

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109474629A (en) * 2018-12-28 2019-03-15 深圳竹云科技有限公司 A kind of honey jar design and implementation methods of anti-web crawlers
KR102120200B1 (en) * 2019-12-27 2020-06-17 주식회사 와이햇에이아이 Malware Crawling Method and System
NL2031256B1 (en) 2022-02-14 2023-08-18 Group Ib Global Private Ltd Method and computing device for detection of target malicious web resource

Also Published As

Publication number Publication date
KR20120070019A (en) 2012-06-29

Similar Documents

Publication Publication Date Title
KR101190261B1 (en) Hybrid interaction client honeypot system and its operation method
US10102372B2 (en) Behavior profiling for malware detection
US9424424B2 (en) Client based local malware detection method
EP3113064B1 (en) System and method for determining modified web pages
Egele et al. Defending browsers against drive-by downloads: Mitigating heap-spraying code injection attacks
Ford et al. Analyzing and detecting malicious flash advertisements
Kharraz et al. Optical delusions: A study of malicious QR codes in the wild
JP5654944B2 (en) Application analysis apparatus and program
CN111163094B (en) Network attack detection method, network attack detection device, electronic device, and medium
Malisa et al. Mobile application impersonation detection using dynamic user interface extraction
WO2018066221A1 (en) Classification device, classification method, and classification program
Praitheeshan et al. Attainable hacks on Keystore files in Ethereum wallets—A systematic analysis
Al-Shehari et al. An empirical study of web browsers’ resistance to traffic analysis and website fingerprinting attacks
Kim et al. A study on the digital forensic investigation method of clever malware in IoT devices
JP6527111B2 (en) Analysis device, analysis method and analysis program
Priya et al. A static approach to detect drive-by-download attacks on webpages
Mas' ud et al. Profiling mobile malware behaviour through hybrid malware analysis approach
Rafsanjani et al. Qsecr: Secure qr code scanner according to a novel malicious url detection framework
Takata et al. Website forensic investigation to identify evidence and impact of compromise
Takata et al. Fine-grained analysis of compromised websites with redirection graphs and javascript traces
Sheik Abdullah et al. Big Data and Analytics
Takata et al. MineSpider: Extracting hidden URLs behind evasive drive-by download attacks
Delosières et al. DroidCollector: A honeyclient for collecting and classifying Android applications
US11132447B1 (en) Determining security vulnerabilities of Internet of Things devices
Tanwar et al. A Survey on the Role of Reverse Engineering in Security Attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150915

Year of fee payment: 4