KR20130068425A - 악성코드 경유-유포지의 위험도 평가 시스템 및 그 방법 - Google Patents

악성코드 경유-유포지의 위험도 평가 시스템 및 그 방법 Download PDF

Info

Publication number
KR20130068425A
KR20130068425A KR1020110135567A KR20110135567A KR20130068425A KR 20130068425 A KR20130068425 A KR 20130068425A KR 1020110135567 A KR1020110135567 A KR 1020110135567A KR 20110135567 A KR20110135567 A KR 20110135567A KR 20130068425 A KR20130068425 A KR 20130068425A
Authority
KR
South Korea
Prior art keywords
risk
address
target address
malicious code
center
Prior art date
Application number
KR1020110135567A
Other languages
English (en)
Other versions
KR101329108B1 (ko
Inventor
정종일
강홍구
이진경
김병익
지승구
이태진
정현철
김도훈
인호
Original Assignee
한국인터넷진흥원
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원, 고려대학교 산학협력단 filed Critical 한국인터넷진흥원
Priority to KR1020110135567A priority Critical patent/KR101329108B1/ko
Publication of KR20130068425A publication Critical patent/KR20130068425A/ko
Application granted granted Critical
Publication of KR101329108B1 publication Critical patent/KR101329108B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computational Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Signal Processing (AREA)
  • Pure & Applied Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

악성코드 경유-유포지의 위험도 평가 방법이 제공된다. 악성코드 경유-유포지의 위험도 평가 방법은, 대상 주소지의 연결 중심도, 매개 중심도, 및 위세 중심도를 고려하여 대상 주소지의 제1 위험도를 산출하고, 산출된 제1 위험도를 바탕으로 대상 주소지의 속성을 고려하여 대상 주소지의 제2 위험도를 산출하고, 산출된 제1 위험도와 제2 위험도를 바탕으로 대상 주소지의 최종 위험도를 산출하는 것을 포함한다.

Description

악성코드 경유-유포지의 위험도 평가 시스템 및 그 방법{System for evaluating the degree of risk for hopping and distribution sites of malicious code and method for evaluating the same}
본 발명은 악성코드 경유-유포지의 위험도 평가 시스템 및 그 방법에 관한 것이다.
대규모 망관리자 입장에서 산발적이고 예측 불가능한 다양한 악성코드의 출현은 이를 탐지하고 이에 대응하는데 있어 많은 어려움이 따른다. 특히, 악성코드를 내포하고 있는 웹 페이지들은 그 잠재적 위험이 높고 확산을 유발할 수 있기 때문에, 이러한 위협에 대응하기 위해 다양한 악성코드 유포 및 경유 사이트를 탐지하는 연구가 수행되고 있다.
하지만, 매일 그 숫자가 늘어나는 의심 웹사이트를 분석하고 보고하며, 관리하기에는 인적자원(Human Resource)에 한계가 있다. 따라서, 관리자 입장에서 효율적으로 이에 대응하기 위해서 악성코드 내포 사이트의 위험도를 산정하는 것이 중요하다.
본 발명이 해결하고자 하는 기술적 과제는 신뢰성 있는 위험도 평가가 가능한 악성코드 경유-유포지의 위험도 평가 방법을 제공하는 것이다.
본 발명이 해결하고자 하는 다른 기술적 과제는 신뢰성 있는 위험도 평가가 가능한 악성코드 경유-유포지의 위험도 평가 시스템을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 달성하기 위한 본 발명의 일 실시예에 따른 악성코드 경유-유포지의 위험도 평가 방법은, 대상 주소지의 연결 중심도, 매개 중심도, 및 위세 중심도를 고려하여 대상 주소지의 제1 위험도를 산출하고, 산출된 제1 위험도를 바탕으로 대상 주소지의 속성을 고려하여 대상 주소지의 제2 위험도를 산출하고, 산출된 제1 위험도와 제2 위험도를 바탕으로 대상 주소지의 최종 위험도를 산출하는 것을 포함한다.
상기 다른 기술적 과제를 달성하기 위한 본 발명의 일 실시예에 따른 악성코드 경유-유포지의 위험도 평가 시스템은, 대상 주소지가 저장된 주소지 DB, 주소지 DB에 저장된 대상 주소지의 연결 중심도, 매개 중심도, 및 위세 중심도를 고려하여 대상 주소지의 제1 위험도를 산출하는 제1 위험도 산출부, 산출된 제1 위험도를 바탕으로 대상 주소지의 속성을 고려하여 대상 주소지의 제2 위험도를 산출하는 제2 위험도 산출부, 산출된 제1 위험도와 제2 위험도를 바탕으로 대상 주소지의 최종 위험도를 산출하는 최종 위험도 산출부를 포함한다.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
이처럼 본 발명의 실시예들에 따른 악성코드 경유-유포지의 위험도 평가 시스템 및 방법은 대상 주소지를 체계적이고 합리적인 기준에 따라 평가함으로써, 대상 주소지에 대한 신뢰성 있는 위험도 평가가 가능하다.
본 발명에 따른 효과들은 이상에서 언급한 것에 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 악성코드 경유-유포지의 위험도 평가 시스템의 블록 구성도이다.
도 2는 본 발명의 일 실시예에 따른 제1 위험도 산출부의 상세 블록 구성도이다.
도 3은 본 발명의 일 실시예에 따른 제1 위험도 산출부의 동작을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 제2 위험도 산출부의 상세 블록 구성도이다.
도 5는 본 발명의 일 실시예에 따른 악성코드 경유-유포지의 위험도 평가 방법의 순서도이다.
도 6은 본 발명의 실시예들에 따른 악성코드 경유-유포지의 위험도 평가 방법에 따라 평가한 주소지 별 위험도 평가 데이터들이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 도면에서 표시된 구성요소의 크기 및 상대적인 크기는 설명의 명료성을 위해 과장된 것일 수 있다.
명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "이루어지다(made of)"는 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
비록 제1, 제2 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
본 명세서에서 악성코드 경유-유포지란 악성코드의 근원지(landing site), 경유지(hopping site) 또는 유포지(distribution site) 중 적어도 어느 하나를 의미하는 개념일 수 있다. 구체적으로, 악성코드의 근원지란 예를 들어, 악성코드가 생성되는 사이트일 수 있으며, 악성코드의 경유지란 근원지에서 유포지로 연결되는 중간 과정의 사이트일 수 있고, 악성코드의 유포지란 실제 악성코드가 사용자에게 유포되는 사이트를 의미할 수 있다.
이하, 도 1 내지 도 4를 참조하여 본 발명의 일 실시예에 따른 악성코드 경유-유포지의 위험도 평가 시스템에 대해 설명한다.
도 1은 본 발명의 일 실시예에 따른 악성코드 경유-유포지의 위험도 평가 시스템의 블록 구성도이고, 도 2는 본 발명의 일 실시예에 따른 제1 위험도 산출부의 상세 블록 구성도이다. 도 3은 본 발명의 일 실시예에 따른 제1 위험도 산출부의 동작을 설명하기 위한 도면이며, 도 4는 본 발명의 일 실시예에 따른 제2 위험도 산출부의 상세 블록 구성도이다.
도 1을 참조하면, 악성코드 경유-유포지의 위험도 평가 시스템(1)은 주소지 DB(10), 제1 위험도 산출부(20), 제2 위험도 산출부(30), 최종 위험도 산출부(40)를 포함한다.
주소지 DB(10)에는 다수의 분석 대상 주소지가 저장될 수 있다. 각 분석 대상 주소지는 악성코드의 경유-유포지로 의심되는 주소지일 수 있다. 본 실시예에서, 주소지는 특정 웹사이트의 주소인 URL(Uniform Resource Locator)일 수 있다. 즉, 주소지 DB(10)에는 악성코드의 경유-유포지로 의심되는 다수의 URL이 저장될 수 있다.
한편, 본 실시예의 주소지는 URL일 수 있으나, 본 발명이 이에 제한되는 것은 아니다. 본 발명의 다른 몇몇 실시예에서, 주소지로는 필요에 따라 IP 주소가 사용될 수도 있으며, 전화번호(call ID) 등도 사용될 수 있다.
제1 위험도 산출부(20)는 주소지 DB(10)에 저장된 대상 주소지의 연결 중심도, 매개 중심도, 및 위세 중심도를 고려하여 대상 주소지의 제1 위험도를 산출할 수 있다. 이하 도 2를 참조하여 본 실시예에 따른 제1 위험도 산출부(20)에 대해 보다 구체적으로 설명하도록 한다.
도 2를 참조하면, 제1 위험도 산출부(20)는 연결 중심도 산출부(21), 매개 중심도 산출부(22), 및 위세 중심도 산출부(23)를 포함할 수 있다.
여기서, 연결 중심도 산출부(21)는 대상 주소지의 연결 중심도(degree centrality)를 산출할 수 있고, 매개 중심도 산출부(22)는 대상 주소지의 매개 중심도(betweeness centrality)를 산출할 수 있으며, 위세 중심도 산출부(23)는 대상 주소지의 위세 중심도(eigenvector centrality)를 산출할 수 있다.
이하 도 3을 참조하여, 먼저 주소지의 연결 중심도, 매개 중심도, 및 위세 중심도의 개념에 대해 설명하도록 한다.
도 3을 참조하면, 도 3에는 다수의 노드(A~R)가 도시되어 있으며, 각 노드는 하나 이상의 링크로 이웃하는 노드와 연결되어 있다. 여기서, 각 노드(A~R)는 각각 하나의 주소지(예를 들어, 하나의 URL)를 의미할 수 있으며, 노드 간에 링크가 존재하는 것은 주소지간에 연결이 형성되어 있음을 의미할 수 있다. 예를 들어, 노드 A와 노드 F 사이에는 링크가 형성되어 있으므로, 주소지 A와 주소지 F는 서로 연결되어 있다.
한편, 노드 A는 주변 노드로 연결되는 링크가 다수 존재하나, 노드 F는 더 이상 연결되는 링크가 없다. 따라서, 주소지 A는 악성코드가 유포되기 위해 경유하는 경유지이고, 주소지 F는 악성코드가 사용자 등에 유포되는 유포지로 볼 수 있다. 즉, 도 3에 도시된 예시에서, 노드 A, B, C, G, M은 악성코드 경유지이고, 나머지 노드들은 악성코드 유포지이다.
이를 종합하면, 주소지 A와 주소지 F는 서로 연결되어 있으며, 주소지 A는 악성코드의 경유지이고, 주소지 F는 악성코드의 유포지임을 알 수 있다.
주소지(노드)의 연결 중심도는 노드에 연결된 링크들의 가중치 합을 의미한다. 즉, 주소지(노드)의 연결 중심도는 하나의 주소지(노드)가 얼마나 많은(또는 중요한) 주소지(노드)와 직접 연결되어 있는지를 측정한 지표이다. 만약, 각 링크의 가중치가 1로 동일하다면, 대상 주소지의 연결 중심도는 주변 노드와 연결된 링크 수에 따라 증가할 수 있다. 따라서, 도 3의 예에서, 각 링크의 가중치가 1로 동일하다면, 노드 A, B, C의 연결 중심도가 다른 노드들에 비해 클 수 있다.
구체적으로, 본 실시예에서, 대상 주소지의 연결 중심도(DCI)는 아래와 같은 수학식1에 의해 계산될 수 있다.
<수학식1>
대상 주소지의 연결 중심도(DCI) = Σ(대상 주소지에 링크된 각 링크의 가중치) / (대상 주소지에 링크된 주소지의 개수 - 1)
한편, 주소지(노드)의 매개 중심도는 특정 네트워크에서 대상 주소지(노드)가 담당하는 매개자 또는 중개자 역할의 정도를 측정한 지표이다. 도 3에 도시된 예에서, 노드 G는, 노드 A가 중심인 제1 네트워크와 노드 B가 중심인 제2 네트워크를 연결하는 매개 역할을 하며, 노드 M은, 노드 B가 중심인 제2 네트워크와 노드 C가 중심인 제3 네트워크를 연결하는 매개 역할을 한다. 따라서, 도 3에 도시된 예에서, 노드 G와 노드 M의 매개 중심도가 다른 노드들에 비해 클 수 있다.
구체적으로, 본 실시예에서, 대상 주소지의 매개 중심도(BCI)는 아래와 같은 수학식2에 의해 계산될 수 있다.
<수학식2>
대상 주소지의 매개 중심도(BCI) = ΣGjk(ni)/Gjk
(여기서, Gjk는주소지 j와 주소지 k 사이에 존재하는 최단 경로의 경우의 수, Gjk(ni)는 주소지 j와 주소지 k의 최단 경로들 중에서 대상 주소지 i를 포함할 경우의 수, j<k)
마지막으로, 주소지(노드)의 위세 중심도는 특정 네트워크에서 대상 노드와 연결된 이웃 노드들의 중요성을 고려하여 대상 노드의 중심성을 측정한 지표이다. 도 3에 도시된 예에서, 노드 R은 노드 자체의 연결 중심성과 매개 중심성은 낮지만 매개 중심성이 높은 M과 연결되어 있기 때문에, 노드 R의 위세 중심도는 다른 노드들에 비해 클 수 있다.
구체적으로, 본 실시예에서, 대상 주소지의 위세 중심도(ECI)는 아래와 같은 수학식3에 의해 계산될 수 있다.
<수학식3>
대상 주소지 Ni의 매개 중심도(ECI) = I(Ni) = ΣI(Nj)/Ij
(여기서, Nj는 대상 주소지 Ni에 링크된 주소지, Ij는 Nj의 링크 수)
다시 도 2를 참조하면, 제1 위험도 산출부(20)의 연결 중심도 산출부(21), 매개 중심도 산출부(22), 및 위세 중심도 산출부(23)는 각각 앞서 설명한 과정을 통해 대상 주소지의 연결 중심도, 매개 중심도, 및 위세 중심도를 산출한다. 이러한 산출과정이 완료되면, 제1 위험도 산출부(20)는 아래의 수학식4에 의해 계산되는 대상 주소지의 제1 위험도(r1)를 산출할 수 있다.
<수학식4>
r1 = SQR〔 S(DCI) + S(ECI) + S(BCI) 〕
(여기서, DCI는 대상 주소지의 연결 중심도, ECI는 대상 주소지의 위세 중심도, BCI는 대상 주소지의 매개 중심도, S(a)는 a의 제곱, SQR〔b〕는 b의 제곱근)
다시 도 1을 참조하면, 제2 위험도 산출부(30)는 제1 위험도 산출부(20)를 통해 산출된 제1 위험도를 바탕으로 대상 주소지의 속성을 고려하여 대상 주소지의 제2 위험도를 산출할 수 있다. 여기서, 대상 주소지의 속성을 고려한다는 것은, 대상 주소지가 악성코드 경유지 또는 악성코드 유포지 중 어느 것인지 고려하는 것을 의미할 수 있다.
이하, 도 4를 참조하여, 본 실시예에 따른 제2 위험도 산출부(30)에 대해 보다 구체적으로 설명하도록 한다.
도 4를 참조하면, 제2 위험도 산출부(30)는 유포지 위험도 산출부(31)와 경유지 위험도 산출부(32)를 포함할 수 있다.
경유지 위험도 산출부(32)는 대상 주소지가 악성코드 경유지인 경우, 대상 주소지의 제2 위험도(경유지 위험도)를 산출할 수 있다.
구체적으로, 대상 주소지가 악성코드 경유지라면(예를 들어, 도 3의 노드 A, B, C, G, M), 경유지 위험도 산출부(32)는 대상 주소지의 중복 감염 이력(I)과 일정 기간 동안의 생존율 정보(S)를 반영하여 대상 주소지의 제2 위험도를 산출할 수 있다.
여기서, 대상 주소지의 중복 감염 이력은 대상 주소지가 몇 번이나 악성코드에 감염되었는지를 나타내는 지표일 수 있다. 그리고, 대상 주소지의 생존율 정보는 아래와 같은 수학식5와 같이 계산될 수 있다.
<수학식5>
대상 주소지의 생존율(S) = 1년 동안 대상 주소지를 점검한 결과 대상 주소지가 생존한 횟수(또는 치료된 횟수) / (1년 동안 대상 주소지를 점검한 결과 대상 주소지가 생존한 횟수 + 1년 동안 대상 주소지를 점검한 결과 대상 주소지가 치료된 횟수)
(여기서, 대상 주소지가 치료된 경우에는 상기 식의 분자는 생존한 횟수가 되고, 대상 주소지가 치료되지 않은 경우에는 상기 식의 분자는 치료된 횟수가 됨)
최종적으로, 대상 주소지가 악성코드 경유지인 경우, 경유지 위험도 산출부(32)가 산출하는 제2 위험도(r2)는 아래의 수학식6과 같이 계산될 수 있다.
<수학식6>
r2 = r1 × I × S
(여기서, r1은 대상 주소지의 제1 위험도, I는 대상 주소지의 중복 감염 이력, S는 대상 주소지의 1년간 생존율)
한편, 유포지 위험도 산출부(31)는 대상 주소지가 악성코드 유포지인 경우, 대상 주소지의 제2 위험도(유포지 위험도)를 산출할 수 있다.
구체적으로, 대상 주소지가 악성코드 유포지라면(예를 들어, 도 3의 노드 D, E, F, H, J, K, L, O, P, Q, R), 유포지 위험도 산출부(31)는 대상 주소지의 대상 주소지의 중복 감염 이력(I)과 노출 횟수(E)를 반영하여 대상 주소지의 제2 위험도를 산출할 수 있다.
여기서, 대상 주소지의 노출 횟수(E)는 대상 주소지가 인터넷 검색사이트 내에서 노출된 횟수를 나타내는 지표일 수 있다.
이 경우, 최종적으로 유포지 위험도 산출부(31)가 산출하는 제2 위험도(r2)는 아래의 수학식7과 같이 계산될 수 있다.
<수학식7>
r2 = r1 × (2 × I × E) / (I + E)
(여기서, r1은 대상 주소지의 제1 위험도, I는 대상 주소지의 중복 감염 이력, E는 대상 주소지의 노출 횟수)
다시 도 1을 참조하면, 최종 위험도 산출부(40)는 제1 위험도 산출부(20)에 의해 산출된 제1 위험도(r1)와 제2 위험도 산출부(30)에 의해 산출된 제2 위험도(r2)를 바탕으로 대상 주소지의 최종 위험도를 산출할 수 있다.
구체적으로, 최종 위험도 산출부(40)가 산출하는 최종 위험도(r)는 아래의 수학식8과 같이 계산될 수 있다.
<수학식8>
r = SQR〔 S(r1) + S(r2) 〕
(여기서, r1은 대상 주소지의 제1 위험도, r2는 대상 주소지의 제2 위험도, S(a)는 a의 제곱, SQR〔b〕는 b의 제곱근)
이처럼 본 발명의 실시예들에 따른 악성코드 경유-유포지의 위험도 평가 시스템은 대상 주소지를 체계적이고 합리적인 기준에 따라 평가함으로써, 대상 주소지에 대한 신뢰성 있는 위험도 평가가 가능한 장점이 있다.
다음 도 5를 참조하여, 본 발명의 일 실시예에 따른 악성코드 경유-유포지의 위험도 평가 방법에 대해 설명한다.
도 5는 본 발명의 일 실시예에 따른 악성코드 경유-유포지의 위험도 평가 방법의 순서도이다.
도 5를 참조하면, 대상 주소지의 제1 위험도를 산출한다(S100). 구체적으로, 대상 주소지의 연결 중심도, 매개 중심도, 및 위세 중심도를 고려하여 대상 주소지의 제1 위험도를 산출할 수 있다. 각각의 중심도를 산출하는 방법과 산출된 중심도를 바탕으로 제1 위험도를 산출하는 방법은 앞서 충분히 설명한바 여기서는 중복된 상세한 설명은 생략하도록 한다.
이어서, 대상 주소지의 속성이 악성코드 유포지인지 아니면 악성코드 경유지인지 판단한다(S110).
판단 결과, 대상 주소지가 악성코드 유포지라면, 대상 주소지에 대한 제2 위험도(유포지 위험도)를 산출한다(S120). 이와 반대로, 대상 주소지가 악성코드 경유지라면, 대상 주소지에 대한 제2 위험도(경유지 위험도)를 산출한다(S130). 이와 같이 대상 주소지의 속성을 고려하여 제2 위험도(유포지 위험도 또는 경유지 위험도)를 산출하는 방법 역시 앞서 자세히 설명한바, 중복된 설명은 생략하도록 한다.
이어서, 제1 위험도와 제2 위험도가 모두 산출되면, 그 결과를 바탕으로 대상 주소지에 대한 최종 위험도를 산출한다(S140).
도 6은 본 발명의 실시예들에 따른 악성코드 경유-유포지의 위험도 평가 방법에 따라 평가한 주소지 별 위험도 평가 데이터들이다.
도 6을 참조하면, 대상 주소지(악성 URL) 별로 앞서 설명한 방법에 따라 산출된 최종 위험도가 각각 다름을 알 수 있다. 여기서, 최종 위험도가 높은 대상 주소지(악성 URL)들은 악성코드가 사용자에게 유포되는 과정에서 주요 경유지 또는 유포지로 이용된다고 볼 수 있다. 따라서, 이러한 대상 주소지들을 먼저 차단하거나 이들을 조기에 치료함으로써, 악성코드 유포에 대한 신속 대응이 가능할 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였으나, 본 발명은 상기 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 제조될 수 있으며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
10: 주소지 DB 20: 제1 위험도 산출부
30: 제2 위험도 산출부 40: 최종 위험도 산출부
S100~S140: 악성코드 경유-유포지의 위험도 평가 방법

Claims (25)

  1. 대상 주소지의 연결 중심도, 매개 중심도, 및 위세 중심도를 고려하여 상기 대상 주소지의 제1 위험도를 산출하고,
    상기 산출된 제1 위험도를 바탕으로 상기 대상 주소지의 속성을 고려하여 상기 대상 주소지의 제2 위험도를 산출하고,
    상기 산출된 제1 위험도와 상기 제2 위험도를 바탕으로 상기 대상 주소지의 최종 위험도를 산출하는 것을 포함하는 악성코드 경유-유포지의 위험도 평가 방법.
  2. 제 1항에 있어서,
    상기 주소지는 URL(Uniform Resource Locator)을 포함하는 악성코드 경유-유포지의 위험도 평가 방법.
  3. 제 2항에 있어서,
    상기 대상 주소지의 연결 중심도는, 상기 대상 주소지에 링크된 링크들의 가중치 합이 증가할수록 증가하는 악성코드 경유-유포지의 위험도 평가 방법.
  4. 제 3항에 있어서,
    상기 대상 주소지의 연결 중심도는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 방법.
    <수학식>
    대상 주소지의 연결 중심도(DCI) = Σ(대상 주소지에 링크된 각 링크의 가중치) / (대상 주소지에 링크된 주소지의 개수 - 1)
  5. 제 2항에 있어서,
    상기 대상 주소지의 매개 중심도는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 방법.
    <수학식>
    대상 주소지의 매개 중심도(BCI) = ΣGjk(ni)/Gjk
    (여기서, Gjk는주소지 j와 주소지 k 사이에 존재하는 최단 경로의 경우의 수, Gjk(ni)는 주소지 j와 주소지 k의 최단 경로들 중에서 대상 주소지 i를 포함할 경우의 수, j<k)
  6. 제 2항에 있어서,
    상기 대상 주소지의 위세 중심도는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 방법.
    <수학식>
    대상 주소지 Ni의 매개 중심도(ECI) = I(Ni) = ΣI(Nj)/Ij
    (여기서, Nj는 대상 주소지 Ni에 링크된 주소지, Ij는 Nj의 링크 수)
  7. 제 2항에 있어서,
    상기 대상 주소지의 제1 위험도(r1)는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 방법.
    <수학식>
    r1 = SQR〔 S(DCI) + S(ECI) + S(BCI) 〕
    (여기서, DCI는 대상 주소지의 연결 중심도, ECI는 대상 주소지의 위세 중심도, BCI는 대상 주소지의 매개 중심도, S(a)는 a의 제곱, SQR〔b〕는 b의 제곱근)
  8. 제 1항에 있어서,
    상기 대상 주소지의 속성을 고려하는 것은,
    상기 대상 주소지가 악성코드 경유지 또는 악성코드 유포지 중 어느 것인지 고려하는 것을 포함하는 악성코드 경유-유포지의 위험도 평가 방법.
  9. 제 8항에 있어서,
    상기 대상 주소지가 악성코드 유포지일 경우, 상기 제2 위험도에는 상기 대상 주소지의 중복 감염 이력과 일정 기간 동안의 생존율 정보가 반영되는 악성코드 경유-유포지의 위험도 평가 방법.
  10. 제 9항에 있어서,
    상기 제2 위험도(r2)는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 방법.
    <수학식>
    r2 = r1 ×I ×S
    (여기서, r1은 대상 주소지의 제1 위험도, I는 대상 주소지의 중복 감염 이력, S는 대상 주소지의 1년간 생존율)
  11. 제 8항에 있어서,
    상기 대상 주소지가 악성코드 경유지일 경우, 상기 제2 위험도에는 상기 대상 주소지의 중복 감염 이력과 노출 횟수가 반영되는 악성코드 경유-유포지의 위험도 평가 방법.
  12. 제 11항에 있어서,
    상기 제2 위험도(r2)는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 방법.
    <수학식>
    r2 = r1 ×(2 ×I ×E) / (I + E)
    (여기서, r1은 대상 주소지의 제1 위험도, I는 대상 주소지의 중복 감염 이력, E는 대상 주소지의 노출 횟수)
  13. 제 1항에 있어서,
    상기 대상 주소지의 최종 위험도는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 방법.
    <수학식>
    r = SQR〔S(r1)+S(r2)〕
    (여기서, r1은 대상 주소지의 제1 위험도, r2는 대상 주소지의 제2 위험도, S(a)는 a의 제곱, SQR〔b〕는 b의 제곱근)
  14. 대상 주소지가 저장된 주소지 DB;
    상기 주소지 DB에 저장된 대상 주소지의 연결 중심도, 매개 중심도, 및 위세 중심도를 고려하여 상기 대상 주소지의 제1 위험도를 산출하는 제1 위험도 산출부;
    상기 산출된 제1 위험도를 바탕으로 상기 대상 주소지의 속성을 고려하여 상기 대상 주소지의 제2 위험도를 산출하는 제2 위험도 산출부;
    상기 산출된 제1 위험도와 상기 제2 위험도를 바탕으로 상기 대상 주소지의 최종 위험도를 산출하는 최종 위험도 산출부를 포함하는 악성코드 경유-유포지의 위험도 평가 시스템.
  15. 제 14항에 있어서,
    상기 주소지는 URL(Uniform Resource Locator)을 포함하는 악성코드 경유-유포지의 위험도 평가 시스템.
  16. 제 15항에 있어서,
    상기 제1 위험도 산출부는, 상기 대상 주소지의 연결 중심도를 산출하는 연결 중심도 산출부를 포함하고,
    상기 대상 주소지의 연결 중심도는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 시스템.
    <수학식>
    대상 주소지의 연결 중심도(DCI) = Σ(대상 주소지에 링크된 각 링크의 가중치) / (대상 주소지에 링크된 주소지의 개수 - 1)
  17. 제 15항에 있어서,
    상기 제1 위험도 산출부는, 상기 대상 주소지의 매개 중심도를 산출하는 매개 중심도 산출부를 포함하고,
    상기 대상 주소지의 매개 중심도는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 시스템.
    <수학식>
    대상 주소지의 매개 중심도(BCI) = ΣGjk(ni)/Gjk
    (여기서, Gjk는주소지 j와 주소지 k 사이에 존재하는 최단 경로의 경우의 수, Gjk(ni)는 주소지 j와 주소지 k의 최단 경로들 중에서 대상 주소지 i를 포함할 경우의 수, j<k)
  18. 제 15항에 있어서,
    상기 제1 위험도 산출부는, 상기 대상 주소지의 위세 중심도를 산출하는 위세 중심도 산출부를 포함하고,
    상기 대상 주소지의 위세 중심도는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 시스템.
    <수학식>
    대상 주소지 Ni의 매개 중심도(ECI) = I(Ni) = ΣI(Nj)/Ij
    (여기서, Nj는 대상 주소지 Nj에 링크된 주소지, Ij는 Nj의 링크 수)
  19. 제 15항에 있어서,
    상기 제1 위험도 산출부가 산출하는 상기 대상 주소지의 제1 위험도(r1)는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 시스템.
    <수학식>
    r1 = SQR〔 S(DCI) + S(ECI) + S(BCI) 〕
    (여기서, DCI는 대상 주소지의 연결 중심도, ECI는 대상 주소지의 위세 중심도, BCI는 대상 주소지의 매개 중심도, S(a)는 a의 제곱, SQR〔b〕는 b의 제곱근)
  20. 제 14항에 있어서,
    상기 제2 위험도 산출부는 상기 대상 주소지가 악성코드 유포지인 경우 상기 제2 위험도로 유포지 위험도를 산출하는 유포지 위험도 산출부와,
    상기 대상 주소지가 악성코드 경유지인 경우 상기 제2 위험도로 경유지 위험도를 산출하는 경유지 위험도 산출부를 포함하는 악성코드 경유-유포지의 위험도 평가 시스템.
  21. 제 20항에 있어서,
    상기 유포지 위험도 산출부는 상기 대상 주소지의 중복 감염 이력과 일정 기간 동안의 생존율을 반영하여 상기 제2 위험도를 산출하는 악성코드 경유-유포지의 위험도 평가 시스템.
  22. 제 21항에 있어서,
    상기 제2 위험도(r2)는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 시스템.
    <수학식>
    r2 = r1 ×I ×S
    (여기서, r1은 대상 주소지의 제1 위험도, I는 대상 주소지의 중복 감염 이력, S는 대상 주소지의 1년간 생존율)
  23. 제 20항에 있어서,
    상기 경유지 위험도 산출부는 상기 대상 주소지의 중복 감염 이력과 노출 횟수를 반영하여 상기 제2 위험도를 산출하는 악성코드 경유-유포지의 위험도 평가 시스템.
  24. 제 23항에 있어서,
    상기 제2 위험도(r2)는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 시스템.
    <수학식>
    r2 = r1 ×(2 ×I ×E) / (I + E)
    (여기서, r1은 대상 주소지의 제1 위험도, I는 대상 주소지의 중복 감염 이력, E는 대상 주소지의 노출 횟수)
  25. 제 14항에 있어서,
    상기 최종 위험도 산출부가 산출하는 상기 대상 주소지의 최종 위험도는 다음의 수학식으로 계산되는 악성코드 경유-유포지의 위험도 평가 시스템.
    <수학식>
    r = SQR〔S(r1)+S(r2)〕
    (여기서, r1은 대상 주소지의 제1 위험도, r2는 대상 주소지의 제2 위험도, S(a)는 a의 제곱, SQR〔b〕는 b의 제곱근)
KR1020110135567A 2011-12-15 2011-12-15 악성코드 경유-유포지의 위험도 평가 시스템 및 그 방법 KR101329108B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110135567A KR101329108B1 (ko) 2011-12-15 2011-12-15 악성코드 경유-유포지의 위험도 평가 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110135567A KR101329108B1 (ko) 2011-12-15 2011-12-15 악성코드 경유-유포지의 위험도 평가 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20130068425A true KR20130068425A (ko) 2013-06-26
KR101329108B1 KR101329108B1 (ko) 2013-11-20

Family

ID=48864048

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110135567A KR101329108B1 (ko) 2011-12-15 2011-12-15 악성코드 경유-유포지의 위험도 평가 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101329108B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101648349B1 (ko) * 2015-11-12 2016-09-01 한국인터넷진흥원 웹사이트 위험도 산출 장치 및 그 방법
WO2019027106A1 (ko) * 2017-08-01 2019-02-07 주식회사 에프원시큐리티 머신러닝을 이용한 악성코드 유포지 위험도 분석 시스템
CN110858176A (zh) * 2018-08-24 2020-03-03 西门子股份公司 代码质量评估方法、装置、系统及存储介质
KR20210117377A (ko) 2020-03-18 2021-09-29 (주)디지링크 전기자극 및 광원을 이용한 탄성체 구조의 다기능 자극기 및 제어 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100475311B1 (ko) * 2002-12-24 2005-03-10 한국전자통신연구원 위험도 점수를 이용한 악성실행코드 탐지 장치 및 그 방법
JP3861064B2 (ja) 2003-02-26 2006-12-20 京セラコミュニケーションシステム株式会社 認証システム、プログラム、記録媒体および認証方法
KR100955281B1 (ko) 2007-10-18 2010-04-30 한국정보보호진흥원 위협 관리를 위한 보안 위험도 평가 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101648349B1 (ko) * 2015-11-12 2016-09-01 한국인터넷진흥원 웹사이트 위험도 산출 장치 및 그 방법
WO2017082470A1 (en) * 2015-11-12 2017-05-18 Korea Internet & Security Agency Apparatus and method for calculating risk of web site
WO2019027106A1 (ko) * 2017-08-01 2019-02-07 주식회사 에프원시큐리티 머신러닝을 이용한 악성코드 유포지 위험도 분석 시스템
CN110858176A (zh) * 2018-08-24 2020-03-03 西门子股份公司 代码质量评估方法、装置、系统及存储介质
CN110858176B (zh) * 2018-08-24 2024-04-02 西门子股份公司 代码质量评估方法、装置、系统及存储介质
KR20210117377A (ko) 2020-03-18 2021-09-29 (주)디지링크 전기자극 및 광원을 이용한 탄성체 구조의 다기능 자극기 및 제어 방법

Also Published As

Publication number Publication date
KR101329108B1 (ko) 2013-11-20

Similar Documents

Publication Publication Date Title
Nsoesie et al. A systematic review of studies on forecasting the dynamics of influenza outbreaks
del Rey Mathematical modeling of the propagation of malware: a review
CN106161345B (zh) 针对性攻击的发现
US10574695B2 (en) Gateway apparatus, detecting method of malicious domain and hacked host thereof, and non-transitory computer readable medium
Gómez et al. Network theory may explain the vulnerability of medieval human settlements to the Black Death pandemic
CN103701793B (zh) 服务器肉鸡的识别方法和装置
CN110431828A (zh) 基于域名系统(dns)日志和网络数据检测dns隧道
US9692779B2 (en) Device for quantifying vulnerability of system and method therefor
KR101625338B1 (ko) 악성 경유지를 탐지하는 시스템 및 방법
KR101329108B1 (ko) 악성코드 경유-유포지의 위험도 평가 시스템 및 그 방법
KR102061833B1 (ko) 사이버 침해 사고 조사 장치 및 방법
Marchal et al. On designing and evaluating phishing webpage detection techniques for the real world
CN111079138A (zh) 异常访问检测方法、装置、电子设备及可读存储介质
Ravinder et al. An adaptive, interacting, cluster-based model for predicting the transmission dynamics of COVID-19
CN108683654A (zh) 一种基于零日攻击图的网络脆弱性评估方法
CN104579819B (zh) 网络安全检测方法以及装置
Feal et al. Blocklist babel: On the transparency and dynamics of open source blocklisting
Capuano et al. The trend odds model for ordinal data
Munir et al. Cookiegraph: Understanding and detecting first-party tracking cookies
Doynikova et al. Enhancement of probabilistic attack graphs for accurate cyber security monitoring
Kim Potential risk analysis method for malware distribution networks
Baumann et al. Vulnerability against internet disruptions–a graph-based perspective
US10965693B2 (en) Method and system for detecting movement of malware and other potential threats
Xie et al. Disrupted transportation networks under different information availability and stochasticity situations
KR20120071826A (ko) 악성코드 경유-유포지 탐지 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171030

Year of fee payment: 5