The Internet is open network and provides diffusion network at the same time. Thus, its architecture enables easy malware dissemination and contamination. In this malware propagation, prior studies have focused on malware detection and protection via Web and email. In addition, they have also centralized on social network studies such as Facebook or Twitter, diffusing malware extensively. For instance, static/dynamic malware detection, and exploit kits detection via Web and Email. They have also proposed the analysis of various intercorrelation between follower-followee in malware delivery behaviors through online social networks. However, these approaches are not enough to explain malware distribution networks. The goal of this study is to find high-degree nodes, performing core roles in malware spreading on malware distribution networks, including the fundamental understandings of malware distribution networks. To do so, we performed following studies. First, we need a malware detection-collection system to gather data generated by a web malware attack. This system should collect all types of malicious URLs participated in malware distribution. Second, we should understand the properties of malicious URLs. Attackers utilize each different role of malicious URLs to distribute malware. For instance, attackers differently construct the geolocation of landing sites that Internet users access and exploit sites that attacks are launched. The difference of this geolocation makes defenders difficulties in searching core nodes and blocking them. That is, attackers manipulate geolocation differently, and make a difficulty in responses. Hence, defenders need to search other significant nodes in the control-possible location, which affects in the block of core nodes. Third, to find significant nodes, we need comprehensive understandings relevance to malware distribution networks. That is, we need to understand the properties that can distinguish malicious networks from benign networks, and various nodes (i.e., malicious URLs, malware, C2 servers) used in malware distribution networks. In addition, we should understand a true that the used nodes have each different risk degree. For instance, the contamination rate of malware that is propagated via Naver with a high Alexa rank definitely differs with that of website low ranked. Thus, we need to reasonably assigns a magnitude of risk to each node engaging in a malware distribution. Lastly, we built new risk assessment methodologies to observe the traits of malware distribution networks, and to estimates the network's overall risk. With these approaches, we list malware distribution networks according to risk magnitude. In particular, this model helps find significant nodes that largely influence malware diffusion within enumerated malware distribution networks; this provides a solution to prohibit malware proliferation. In this dissertation, we provide comprehensive insights into malware distribution networks.

인터넷은 개방형 네트워크인 동시에, 확산 네트워크를 제공하여 악성코드 배포와 감염을 쉽게 허용한다. 이런 악성코드 배포 행위에 대해, 이전 연구들은 전파 매체인 웹, 메일을 대상으로 한 악성코드를 탐지하고 차단하는 연구에 집중해 왔다. 또는 이들 악성코드를 광범위하게 확산시키는 소셜네트워크(예, 페이스북, 트위터)의 연구에 집중해 왔다. 예를들어, 정적/동적기반 악성코드 탐지 또는 웹이나 메일을 통한 익스플로잇 킷 탐지, 또는 소셜네트워크를 통한 악성코드 전파 행위의 인과관계를 분석, 탐지하는 방안을 제안해 왔다. 그러나, 이들 연구만으로 인터넷상에 광범위하게 분포하고 있는 악성코드배포네트워크의 특성을 이해하는 데는 상당히 부족하다. 따라서, 악성코드배포네트워크에 대한 근원적인 접근과 이해가 필요하다. 본 연구의 최종 목적은 악성코드배포네트워크의 근원적/포괄적(comprehensive) 이해 외에, 악성코드배포네트워크 상에서 악성코드배포에 있어 핵심적인 역할을 수행하는 노드를 발견하는 것이다. 이 핵심노드를 찾기 위해서는 다음과 같은 연구들이 제시되었다. 첫째, 웹을 통해 전파되는 악성코드 수집시스템이 필요하고, 이 수집시스템은 악성코드 전파에 사용되는 각종 악성URL을 수집해야 한다. 둘째, 악성URL의 특성을 이해해야 한다. 즉, 공격자는 악성코드를 배포하기 위해 각기 다른 역할을 수행하는 악성URL들을 사용한다. 예를들어, 공격자는 사용자가 접속하는 landing page와 공격을 시도하는 exploit page의 지리적 위치를 다르게 구성한다. 이 위치적 차별성은 핵심노드를 찾아, 대응해야 하는 방어자 입장에서는 난감한 일이다. 공격자가 이 지리적 차별성은 대응을 어렵게 만든다. 따라서, 방어자가 핵심노드를 차단할 수 있는 또 다른 위치의 중요노드를 함께 찾는 것이 중요하다. 셋째, 핵심노드를 찾기 위해서는 악성코드배포네트워크에 대한 전반적인 이해가 필요하다. 즉, 악성코드배포네트워크와 정상네트워크에 대한 차이점과 특징에 대한 이해가 필요하다. 그리고, 악성코드배포네트워크에서 사용되는 다양한 노드들 (예, 악성URL, 악성코드, C2서버 등)에 대한 특성을 이해해야 한다. 그리고, 사용된 노드들은 각기 다른 위험의 크기를 가지고 있다는 것을 알아야 한다. 예를들어, high Aleax rank (예, 네이버)를 통해 전파되는 악성코드의 감염율과, low Alexa rank (예, 개인클리닉병원)를 가진 웹사이트를 통해 전파되는 악성코드 감염율의 impact는 현격히 다르다. 따라서, 각기 다른 위험을 합리적인 기준에 따라, 노드별로 반영해야 한다. 넷째, 악성코드배포네트워크의 핵심노드를 찾기 위한 위험분석방이 필요하다. 이 과정을 통해 우리는 악성코드배포네트워크들 중에서 중요도 별로 악성코드배포네트워크를 나열할 수 있고, 그 각기 나열된 악성코드배포네트워크에서 핵심노드를 발견하고 그 노드를 차단함으로써, 악성코드 증식에 대응할 수 있다.