The quantitative and qualitative growth rate of Malicious DHTML codes has been developed rapidly. Today, Most of malicious web content detection methods use dynamic analysis. That is, they run the scripts associated with a web page either directly in a real browser(running in a virtualized environment) or in an emulated browser, and they monitor the scripts` execution for malicious activity. The tools are quite accu-rate, but the analysis process is costly, often requiring half a minute to scan a single page. Therefore they are limited because tens thousands of web pages are not only created for a day but also there is a large set of web pages containing hundreds of millions of samples in the world. In this thesis, we suggest an improved filtering method for normal and malicious web content detec-tion. Previous filtering methods use a single classifier to filter normal web contents, but we use a multiclassifier to filter normal plus malicious web content accurately. We have one class for normal pages and other classes for different attack types, but we convert a multiclass classifier to a binary one and different features are used in each classifier. Simulation results show that our proposed framework improves precision and filter more plenty of pages.

네트워크 기술의 발달로 인해 언제 어디서든 인터넷에 접속할 수 있는 환경이 구축되고 있다. 유선 네트워크 환경을 살펴보면 초고속 인터넷 보급의 확산과 더불어 다양한 인터넷 서비스가 웹 어플리케이션을 통해 제공되고 있다. 웹 어플리케이션을 만들기 위해서 서비스 제공자들은 JavaScript나 VBScript와 같은 언어를 통해 자신들의 어플리케이션을 제공하게 되는데, 이러한 언어는 사용자가 만들기는 쉽지만 변형하여 공격에 악용되기도 쉽다. 악성 공격자에 의해 변형된 홈페이지에 사용자가 접속하게 될 경우 사용자의 컴퓨터가 바이러스나 웜에 감염되게 된다. 바이러스나 웜에 감염된 개인의 컴퓨터는 개인의 컴퓨터만 손실을 입는 것이 아니라 네트워크에 연결된 다른 컴퓨터에도 영향을 줄 수 있기 때문에 문제는 더욱 심각하다고 할 수 있다. 따라서 이러한 악성 웹페이지를 효율적으로 미리 탐지하여 접속을 사전에 차단하는 것이 중요하다. 기존의 악성웹페이지를 탐지하는 방식으로는 허니팟(honeypot) 등을 이용하는 동적 탐지 기법이 있다. 이러한 방식은 탐지율은 높지만 탐지에 걸리는 시간 및 자원소모가 많다는 약점이 있으며, 이와 같은 약점으로 인해 짧은 시간에 많은 악성 웹페이지를 탐지하지는 못하게 된다. 우후죽순으로 늘어나고 있는 악성 웹페이지를 제한된 시간 내에 탐지해야하는 현 실정 상, 이와 같은 다이나믹 기법들 만으로는 모든 악성 웹페이지를 탐지할 수가 없다. 악성 웹페이지를 탐지하는 또다른 방법으로는 백신 등의 보안 도구를 사용하여 악성 웹페이지에 접속하였을 경우 접속을 차단하는 방법이 있다. 하지만 실시간으로 진화하는 공격이 등장할 경우 백신은 이를 탐지하지 못하는 경우가 발생하는데, 이는 백신 등의 보안 도구는 기존의 알려진 공격의 패턴만을 학습하고 있다가 비슷한 패턴이 발견되었을 경우 이를 악성으로 규정하는 방식 (signature 기반 탐지)을 사용하고 있기 때문이다. 이렇듯, 기존의 방법들로는 악성 웹페이지를 효율적으로 탐지하는데 한계가 있다. 따라서 본 연구에서는 기계학습(Machine learning)을 이용하여 정상페이지와 악성페이지를 분류하고자 한다. 분류함에 있어서 확실히 분류되지 않는 페이지에 대한 클래스를 추가하여 정상과 악성페이지 모두를 필터링하여 확실히 분류되지 않은 페이지만을 동적 분석을 통해 탐지하는 프레임워크를 제안한다. 기존의 연구에서는 악성웹페이지의 공격유형에 따라 9가지로 정의한 후 하나의 분류기(classifier)로 일괄적인 특징선택(feature selection)을 통해 분류하여 모든 종류의 공격유형과 정상웹페이지를 모두 잘 구분 할 수 없었기 때문에 정의된 공격유형에 따라 각각의 공격유형을 잘 분류해 주는 특징(feature)을 선택하여 그 공격유형만 정상웹페이지와 잘 구분될 수 있도록 다중 분류기를 사용하여 정확도를 높일 수 있었다. 또한 하나의 분류기에서 정상웹페이지만을 필터링한 반면 본 연구는 다중 분류기에서 나온 결과를 조합하는 확률적 기법을 제안하여 정상뿐 아니라 악성웹페이지도 필터링하여 짧은 시간에 더 많은 페이지를 효과적으로 필터링하는 성능을 보였다.