클라이언트 허니팟을 이용하여 의심 웹페이지 분석을 위한 방문 알고리즘 개선

클라이언트 측 공격은 악성 코드가 숨겨진 웹페이지를 통해 일반사용자를 공격하는 것을 말한다. 이에 의한 피해가 급증함에 따라, 실제로 웹페이지를 방문하여 시스템의 상태 변화를 탐지하는 고 상호작용 클라이언트 허니팟(high interaction client honeypot) 시스템이 주목받고 있다. 하지만 이 시스템은 동적 분석을 기반으로 하고 있어서 정적 분석에 비해 테스트 시간이 오래 걸리고, 많은 시스템 자원을 요구하는 단점이 있다. 이 문제를 해결하기 위하여 동시에 여러 웹페이지를 방문하고, 방문 시 시스템에 비정상적인 변화가 발생한 경우, 변화를 일으킨 웹페이지를 찾기 위해 다시 방문하는 방문 알고리즘을 사용한다. 대표적인 방문 알고리즘으로는 의심스러운 k 개의 웹페이지를 k/2로 나누어 재방문하는 이진 분할정복(binary divide-and-conquer)과 ?log  ??개의 그룹으로 나누어 재방문하는 로그 분할정복(logarithmic divide-and-conquer) 등이 있다. 본 논문에서는 기존 방문 알고리즘의 성능을 개선하기 위해 이진 분할정복과 각 웹페이지를 순차적으로 방문하는 순차(Sequential) 방문 알고리즘을 결합한 순차-분할정복 (Sequential Divide and Conquer, S-DAC)을 제안한다. 시뮬레이션을 통한 실험에서 악성 웹페이지 비율이 실제와 유사한 환경에서 기존 방문 알고리즘에 비해 탐지 속도가 향상됨을 보였다.