The world wide web has changed dramatically from its beginnings, two decades ago. Several web pages of initial stage have become more than one trillion, static pages have largely been substituted by dynamic contents, and web applications providing a vast range of services(from online banking to social network service) are now commonplace. At the same time, the web has become the predominant mean for people to interact with each other, do business, and participate in democratic processes. Unfortunately, the web has also become a more dangerous place. After a hacker compromises vulnerable webserver, he injects malwares into a webpage to infect web clients. Although a lot of users visit web servers as usual, their PCs are infected by injected malwares. This is called drive-by-download because malwares are installed without noticing. The privacy data is disclosured from this infected computers or the computer is used as a drone of a botnet. \\ In order to solve this problem, the techniques that detect and remove drive-by-download using client honeypot have proposed. In addition, anti-virus products based on blacklists, browser helper object types of malicious URL blocking systems, browser sandboxes are proposed to protect web clients. The current state-of-the-art, however, has several limitations. First, drive-by-download detection and prevention techniques cannot resolve the problem, which is efficient and perfect detection for large-scale websites. Similarly, detection and prevention tools in an aspect of web clients are difficult to use, can be evaded, and offer limited explanatory power. \\ In this dissertation, we present the approaches and the techniques to defend the drive-by-download attack, which is one of the biggest issues. First of all, we propose a drive-by-download detection system for large-scale websites. Our system, {\em MalURLFinder}, has advantages of both high-interaction client honeypot and low-interaction client honeypot. It filters suspicious web pages using static analysis, executes them in a virtual machine, and determines whether it is malicious or not. We propose a filter having detection patterns based on heuristics resulting from analyzing many drive-by-downloads. It is shown that {\em MalURLFinder} has good detection rate and speed through experiments which consist of targetting 300 web pages including drive-by-downloads. \\ We propose {\em BrowserGuard} to block drive-by-downloads that aren`t removed in a malicious webserver. This tool decides whether a new process is created by normal component execution or by abnormal shellcode execution when a new process is created through API hooking. After we model API traces of normal component installation, we decide it is malicious when API traces of a browser get out this model. This can be modeled by deterministic finite automata. In this dissertation, we showed that {\em BrowserGuard} has 100\% detection rate through 200 web site experiements.

월드 와이드 웹은 20년 전에 출현한 이후 엄청나게 진화하고 있다. 초창기의 몇몇 웹 페이지들은 이제 1조 개 이상으로 증가하였고, 정적인 페이지들은 동적인 컨텐츠로 대체되고 있으며, 많은 서비스들(온라인 뱅킹에서 소셜 네트워킹까지)을 지원하는 웹 응용 프로그램들은 이제 당연한 얘기가 되고 있다. 또한, 웹은 사람들이 다른 사람들과 상호작용하거나 사업을 하거나 민주주의 과정에 참여하는 중요한 수단이 되고 있다. 그러나 불행히도 웹은 더욱 더 위험한 곳이 되고 있다. 해커는 취약한 웹서버를 해킹한 후에 웹 클라이언트들을 감염시키기 위해 악성코드를 은닉시킨다. 많은 인터넷 사용자들은 평소와 다름없이 웹서버에 접속하지만, 이미 은닉된 악성코드들은 사용자도 모르게 사용자들의 PC를 감염시킨다. 사용자의 인지없이 악성코드를 설치하는 것을 Drive-by-download라고 부르며, 이렇게 감염된 PC는 비밀 정보가 유출되거나 DDoS 봇넷으로 사용되는 등 다른 사이버 공격에 활용되는 경우가 많다. \\ 이와 같은 문제를 해결하기 위해 Client Honeypot을 이용한 웹 페이지 은닉 악성코드 탐지 기술이 제안되었다. 또한, 웹 클라이언트를 보호하기 위해 Blacklist 기반의 Anti-Virus 제품들, Browser Helper Object 형태의 악성 URL 차단 프로그램, 브라우저 Sandbox 등이 제안되기도 하였다. 그러나, 지금까지의 연구들은 여러가지 단점들을 가지고 있다. 우선, 웹 페이지에 은닉되어 있는 악성코드 탐지 및 제거 기술은 대규모 홈페이지들에 대한 효율적 탐지 및 제거 문제가 완벽히 해결되지 않고 있다. 또한, 웹 클라이언트에 대한 공격 탐지 및 방지 도구는 사용하기가 어렵거나, 일시적인 정보인 Blacklist에 기반하기 때문에 우회가 가능하다는 제한점이 존재한다. \\ 본 박사 논문에서는 최근에 가장 문제가 되는 웹 페이지 은닉 악성코드 문제를 개선하기 위한 방법과 기술들을 제안한다. 우선, 대규모 웹 페이지들에 은닉되어 있는 악성코드 탐지 시스템을 제안한다. 기존의 High-Interaction Client Honeypot과 Low-Interaction Client Honeypot의 장점을 합쳐 정적인 분석을 통해 의심적인 페이지를 필터링하고, 필터링된 의심 페이지를 가상 머신에서 브라우저로 실행하여 악성코드 여부를 판단하는 시스템인 MalURLFinder를 제안한다. 웹 페이지 은닉 악성코드를 분석하여 Heuristics에 기반한 탐지 패턴을 가진 필터를 제시하였다. 악성코드를 포함한 300개의 웹 페이지에 대해 실험을 수행하여 MalURLFinder의 탐지율과 성능이 우수함을 보였다. \\ 웹서버에서 완벽하게 제거하지 못한 웹 페이지 은닉 악성코드를 웹 클라이언트에서 차단하기 위해 BrowserGuard를 제안한다. BrowserGuard는 API 후킹기법을 이용하여, 웹 브라우저에서 새로운 프로세스가 실행될 때 정상적인 컴포넌트 실행에 의한 것인지 악의적인 쉘코드 실행에 의한 것인지 판단하는 방법을 사용한다. 즉, 정상적인 컴포넌트 실행시의 API Traces를 모델링하여 브라우저의 API 실행이 정상 모델을 벗어나면 악성이라고 판단하는 방법이다. 이 탐지 모형은 결정적 유한 오토마타(DFA)로 모델링할 수 있다. 본 논문에서는 BrowserGuard로 200개 웹 사이트 실험을 통해 100\% 탐지율을 가지는 것을 보였다. \\