KR100977827B1 - Apparatus and method detecting connection mailcious web server system - Google Patents
Apparatus and method detecting connection mailcious web server system Download PDFInfo
- Publication number
- KR100977827B1 KR100977827B1 KR1020080100676A KR20080100676A KR100977827B1 KR 100977827 B1 KR100977827 B1 KR 100977827B1 KR 1020080100676 A KR1020080100676 A KR 1020080100676A KR 20080100676 A KR20080100676 A KR 20080100676A KR 100977827 B1 KR100977827 B1 KR 100977827B1
- Authority
- KR
- South Korea
- Prior art keywords
- network
- information
- systems
- connection
- web server
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000000605 extraction Methods 0.000 claims abstract description 18
- 230000005540 biological transmission Effects 0.000 claims abstract description 10
- 230000000903 blocking effect Effects 0.000 claims abstract description 6
- 238000013480 data collection Methods 0.000 claims abstract description 5
- 238000001514 detection method Methods 0.000 claims description 16
- 210000000056 organ Anatomy 0.000 claims 3
- 238000003012 network analysis Methods 0.000 claims 2
- 230000008569 process Effects 0.000 abstract description 14
- 230000008520 organization Effects 0.000 description 10
- 230000006399 behavior Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 208000015181 infectious disease Diseases 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000004941 influx Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/12—Digital output to print unit, e.g. line printer, chain printer
- G06F3/1201—Dedicated interfaces to print systems
- G06F3/1278—Dedicated interfaces to print systems specifically adapted to adopt a particular infrastructure
- G06F3/1285—Remote printer device, e.g. being remote from client or server
- G06F3/1286—Remote printer device, e.g. being remote from client or server via local network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/30—Arrangements for executing machine instructions, e.g. instruction decode
- G06F9/30003—Arrangements for executing specific machine instructions
- G06F9/30007—Arrangements for executing specific machine instructions to perform operations on data operands
- G06F9/30036—Instructions to perform operations on packed data, e.g. vector, tile or matrix operations
Abstract
본 발명은 악성 웹 서버 시스템의 접속을 탐지하는 장치 및 방법을 제공하기 위한 것이다.The present invention is to provide an apparatus and method for detecting a connection of a malicious web server system.
이를 위해 본 발명은 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집 및 가공하여, 상기 시스템들의 송수신 IP 정보를 기반으로 네트워크 부가정보를 산출하는 네트워크 패킷 데이터 수집모듈과, 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들 간의 네트워크 연결특성 정보를 추출하는 네트워크 연결특성 추출모듈과, 상기 추출된 네트워크 연결특성 정보를 기반으로 상기 시스템들의 연결 적절성을 판단하는 네트워크 연결 적절성 판단모듈과, 상기 시스템들의 연결 적절성을 기반으로 상기 시스템들 간의 연결을 허용 혹은 차단하는 네트워크 접속 결정모듈을 포함하는 것을 특징으로 한다.To this end, the present invention collects and processes packet data transmitted and received between systems connected through a network, a network packet data collection module for calculating network additional information based on the transmission and reception IP information of the systems, and the IP information of the systems And a network connection property extraction module for extracting network connection property information between the systems based on network additional information, and a network connection suitability determination module for determining connection suitability of the systems based on the extracted network connection property information. And a network connection determination module for allowing or blocking the connection between the systems based on the connection suitability of the systems.
패킷 데이터, 접속 망, 도메인, 악성 웹 서버 시스템 Packet data, access network, domain, malicious web server system
Description
본 발명은 정보보호 기술 분야 중 악성 코드에 관한 것으로, 특히 악성 웹 서버 시스템의 접속을 탐지하는 장치 및 방법에 관한 것으로서, 구체적으로는 네트워크 주소 정보에 기반하여 악성 웹 서버 시스템 접속을 탐지하는 장치 및 방법에 관한 것이다.The present invention relates to malicious code in the field of information protection technology, and more particularly, to an apparatus and method for detecting a connection of a malicious web server system, and more particularly, an apparatus for detecting a malicious web server system connection based on network address information; It is about a method.
최근 네트워크의 확산 및 인터넷의 급격한 발달로 인해 사용자의 접속 시스템이 네트워크를 통해 악성 웹 서버 시스템에 접속되어 악성 코드 감염, 불법 자료 유출 등의 피해가 급증하고 있다.Recently, due to the spread of the network and the rapid development of the Internet, the user's access system is connected to the malicious web server system through the network, and the damages such as malicious code infection and illegal data leakage are increasing rapidly.
이러한 악성 코드들은 외부로부터 인터넷 등과 같은 네트워크를 통해 사용자 컴퓨터로 유입되며 사용자 컴퓨터가 감염된 이후에는 다시 네트워크를 이용해서 다른 사용자에게 유포됨으로써 그 피해가 확산되게 된다.These malicious codes are introduced to the user's computer from the outside through the network such as the Internet, and after the user's computer is infected, the malicious codes are spread to other users again to spread the damage.
이러한 피해를 방지하기 위해 종래에는 코드 분석에 기반한 탐지 기술이 사 용되었으나, 이러한 방법은 새로운 악성 코드의 탐지에 한계를 가져와서 최근에는 알려지지 않은 악성 코드를 탐지하기 위한 다양한 방법들이 연구 및 제안되고 있다.Conventionally, detection techniques based on code analysis have been used to prevent such damages. However, these methods have limitations in detecting new malicious codes, and various methods for detecting unknown codes have recently been researched and proposed. .
알려지지 않은 악성 코드 탐지 방법은 시스템의 무결성을 검사하여 시스템에서 생성, 삭제, 변화하는 파일을 비교함으로써 새로운 악성 코드의 시스템 내 설치를 감시하는 무결성 검사 방법, 사전에 정의된 악성 행위를 기반으로 모든 코드들의 시스템 내 행위를 모니터링 하다가 특정 악성 행위를 수행할 경우 이를 탐지하는 실행코드행위 감시 방법, 코드 행위 모니터링 기법을 개선하여 1990년대 말부터 IDS 등에 적용되고 있는 분야인 악성코드 행위 예측 기술 등이 알려지지 않은 악성코드 탐지를 위한 새로운 연구 분야로 활발히 연구되고 있다. 그러나 상기와 같은 기술들은 무결성 정보 파일의 내용을 완전히 신뢰할 수 없으며, 모니터링 해야 하는 코드 행위가 굉장히 많다는 단점이 있다. 또한 상기와 같은 기술들은 일련의 행위 관련 이벤트들을 필터링하고 하나의 의미 있는 행위로 구성하는 것이 어려우며 정책을 설정하기 어렵다는 단점을 가지고 있다. 또한 행위 예측 기술은 데이터 마이닝 같은 알고리즘에 입력하기 위한 데이터의 종류와 해당 데이터의 특성에 맞는 알고리즘을 매핑하는 것이 어렵고 이러한 과정에서 오탐을 발생시킬 수 있는 구성 오류가 발생할 수 있어 연구는 활발히 이루어지고 있으나 아직은 상용 제품에 적용하기 어려운 기술로 알려져 있다.Unknown malware detection methods check the integrity of the system, compare the files created, deleted, and changing on the system to monitor the installation of new malware in the system, and all code based on predefined malicious behavior. Monitoring of behaviors in their systems and executing certain malicious behaviors, improved execution code behavior monitoring methods and code behavior monitoring techniques have been applied to IDS since the late 1990s. It is actively researched as a new research field for malware detection. However, the above techniques have the disadvantage that the contents of the integrity information file cannot be completely trusted, and there are a lot of code actions to be monitored. In addition, the above techniques have a disadvantage in that it is difficult to filter a series of event-related events and to configure a single meaningful action, and to set a policy. In addition, behavior prediction technology has been actively researched because it is difficult to map the type of data to be input to algorithms such as data mining and an algorithm suitable for the characteristics of the data, and a configuration error that may cause false positives may occur in this process. It is still known as a technology that is difficult to apply to commercial products.
이와 같이 악성 코드로 인한 피해를 극복하기 위해 악성 코드의 유입 및 확산 경로인 이메일, 인터넷 등에 대한 필터링 방법을 사용하고 있지만 아직 효과적 인 차단 방법이 개발되지 못한 실정이다. 따라서 악성 코드의 감염 및 확산을 효과적으로 차단함으로써 악성 코드 감염, 불법 자료 유출 등에 의한 피해 막기 위한 새로운 방안의 개발이 필요하다.In order to overcome the damage caused by malicious codes, the filtering method for email and internet, which are the influx and spread paths of malicious codes, is used, but effective blocking methods have not been developed yet. Therefore, it is necessary to develop a new method to prevent damage caused by malicious code infection and illegal data leakage by effectively blocking the infection and spread of malicious code.
본 발명은 네트워크 주소 정보를 기반으로 악성 웹 서버 시스템의 접속을 탐지하는 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting a connection of a malicious web server system based on network address information.
이를 위해 본 발명에 따른 악성 웹 서버 시스템의 접속 탐지 장치는 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집 및 가공하여, 상기 시스템들의 송수신 IP 정보를 기반으로 네트워크 부가정보를 산출하는 네트워크 패킷 데이터 수집모듈과, 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들 간의 네트워크 연결특성 정보를 추출하는 네트워크 연결특성 추출모듈과, 상기 추출된 네트워크 연결특성 정보를 기반으로 상기 시스템들의 연결 적절성을 판단하는 네트워크 연결 적절성 판단모듈과, 상기 시스템들의 연결 적절성을 기반으로 상기 시스템들 간의 연결을 허용 혹은 차단하는 네트워크 접속 결정모듈을 포함하는 것을 특징으로 한다.To this end, the connection detection apparatus of the malicious web server system according to the present invention collects and processes packet data transmitted and received between systems connected through a network, and calculates network additional information based on transmission / reception IP information of the systems. A data collection module, a network connection characteristic extraction module for extracting network connection characteristic information between the systems based on IP information and network additional information of the systems, and connection adequacy of the systems based on the extracted network connection characteristic information And a network connection determining module for allowing or blocking a connection between the systems based on the connection suitability of the systems.
또한 본 발명에 따른 악성 웹 서버 시스템의 접속 탐지 방법은 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집하고, 상기 수집된 패킷 데이터를 가공하여 네트워크를 통해 연결되는 시스템들에 대한 IP 정보 및 네트워크 부가정보를 산출하는 단계와, 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들간의 네트워크 연결 특성정보를 추출하는 단계와, 상기 추출된 네트워크 연결 특성정보를 기반으로 상기 시스템들 간의 연결 허용 또는 차단 여부를 판단하는 단계를 포함하는 것을 특징으로 한다.In addition, the connection detection method of a malicious web server system according to the present invention collects packet data transmitted and received between systems connected through a network, and processes the collected packet data to obtain IP information about systems connected through a network; Calculating network additional information; extracting network connection characteristic information between the systems based on IP information and network additional information of the systems; and connecting the systems based on the extracted network connection characteristic information. Determining whether to allow or block.
본 발명은 네트워크 정보만을 이용하여 악성 웹 서버 시스템을 통한 원격제어 기능의 악성 코드 연결을 탐지하는 악성 웹 서버 시스템의 접속 탐지 장치 및 방법에 관한 것으로 신규 원격제어 기능의 악성 코드 연결뿐만 아니라 새로운 비정상적인 네트워크 연결을 탐지할 수 있는 이점이 있다. The present invention relates to an apparatus and method for detecting a malicious web server system that detects a malicious code connection of a remote control function through a malicious web server system using only network information. There is an advantage to detecting connections.
또한, 해당 연결에 대한 단순 정보 제공뿐만 아니라 네트워크 정보에 기반한 의미 분석을 통해 다양한 형태의 네트워크 접속을 분석할 수 있어 피싱 탐지에 이용할 수 있으며, 네트워크 접속을 통한 각종 사이버 공격에 대응하는데 활용할 수 있는 이점이 있다.In addition, not only providing simple information on the connection but also analyzing the network connection in various forms through semantic analysis based on network information, it can be used for phishing detection, and can be used to respond to various cyber attacks through the network connection. There is this.
이하 본 발명의 바람직한 실시 예들을 첨부한 도면을 참조하여 상세히 설명한다. 도면들 중 동일한 구성 요소들은 가능한 한 어느 곳에서든지 동일한 부호들로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. It is to be noted that the same elements among the drawings are denoted by the same reference numerals whenever possible. In addition, detailed descriptions of well-known functions and configurations that may unnecessarily obscure the subject matter of the present invention will be omitted.
도 1은 웹 서버 시스템으로의 접속이 악성 웹 서버 시스템으로 재연결되는 환경을 나타낸 개념도이다.1 is a conceptual diagram illustrating an environment in which a connection to a web server system is reconnected to a malicious web server system.
사용자 접속 시스템(100) 및 접속 대상 웹 서버 시스템(110)은 네트워크를 통해 상호 연결되며 데이터를 송수신한다.The
악성 웹 서버 시스템(120)은 접속 시스템(100)에 원격제어기능의 악성 코드를 전송하기 위하여, 접속 시스템(100)과 연결된 웹 서버 시스템(110)을 해킹하고, 웹 서버 시스템(110)을 통해 접속 시스템(100)으로 리다이렉션 파일을 송신한다.The malicious
접속 시스템(100)은 수신된 리다이렉션 파일에 따라 웹 서버 시스템(110)이 아닌 악성 웹 서버 시스템(120)에 접속되고, 악성 웹 서버 시스템(120)은 접속 시스템(100)에 악성 코드를 유포하거나 접속 시스템을 원격제어 하는 등의 악성 행위를 수행한다.The
도 2는 본 발명의 일실시 예에 따른 악성 웹 서버 시스템 접속 탐지 장치의 내부 구성도이고,2 is an internal configuration diagram of a malicious web server system access detection apparatus according to an embodiment of the present invention,
도 3은 본 발명의 일실시 예에 따른 네트워크 연결 적절성 판단 모듈의 내부 구성도이다.3 is an internal configuration diagram of a network connection suitability determining module according to an embodiment of the present invention.
도 2 및 3을 참조하면, 악성 웹 서버 시스템 접속 탐지 장치는 네트워크 패킷 데이터 수집 모듈(210), 네트워크 연결 특성 추출모듈(220), 네트워크 연결 적절성 판단모듈(230), 네트워크 접속 결정모듈(240) 및 네트워크 주소정보 데이터베이스(250)를 포함한다.2 and 3, the malicious web server system connection detecting apparatus includes a network packet
먼저, 네트워크 패킷 데이터 수집 모듈(210)은 접속 시스템 및 접속 대상 웹 서버 시스템이 네트워크를 통해 주고받는 패킷을 수집하고, 수집한 패킷의 데이터를 가공 처리하여 접속 시스템 및 웹 서버 시스템의 IP를 기반으로 네트워크 부가 정보를 산출한다. 이때 네트워크 부가정보는 접속 시스템 및 웹 서버 시스템 각각의 IP 세션 중복 개수, 송수신 포트 넘버, 프로토콜, 송수신 패킷 사이즈, 송수신 자율시스템(AS:Autonomous System)이름, 송수신 자율시스템 번호(ASN:Autonomous System Nember) 및 송수신 IP에 대한 앤에스룩업(nslookup) 정보 중 적어도 하나를 포함한다.First, the network packet
네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 IP 주소 및 네트워크 부가정보를 기반으로 접속 시스템 및 웹 서버 시스템의 네트워크 연결 특성정보를 산출하는 기능을 수행한다.The network connection
네트워크 연결특성 추출모듈(220)에서 네트워크 연결 특성정보를 산출하는 기능을 자세히 설명하면, 네트워크 연결특성 추출모듈(220)은 네트워크 패킷 데이터 모듈(200)에서 산출한 IP 정보 및 네트워크 부가정보를 이용하여 접속 시스템 및 웹 서버 시스템의 접속 지역, 접속 망 및 접속 도메인 정보를 포함하는 네트워크 연결특성 정보를 추출한다. 일 실시 예로 네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 접속 지역 분석 및 접속 시스템 및 웹 서버 시스템의 도메인 유형을 분석하고, 기본 국가별 해킹 공격별/피해별 통계 자료에 기반하여 접속 대상 지역의 접속 위험 등급을 산출한다. 이때 분석된 1차 도메인 중 국가 도메인에 대해서도 해당 국가 도메인이 도메인 확보가 개방되어 있는지 또는 제한되어 있는지 등을 고려하여 제한형 국가 도메인 및 개방형 국가 도메인으로 분류하고 이를 접속 대상 지역의 접속 위험 등급 산출시 반영한다.When the network connection
또한 네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 접속 망 정보를 추출한다. 이를 위해 네트워크 연결특성 추출모듈(220)은 망 식별 번호 또는 자율시스템 번호(ASN: Autonomous System Nember)를 이용하여 접속 시스템 및 웹 서버 시스템이 사용하고 있는 망 소유 기관에 대한 정보를 추출한다. 이러한 정보들은 망 식별 번호를 중심으로 자율 시스템(AS:Autonomous System)이름과 해당 네트워크 사이즈, 프리픽스 길이(prefix size), 해당 망의 소유 기간의 국가 지역 정보, AS 클래스 정보들을 포함한다.In addition, the network connection
또한 네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 접속 도메인을 분석한다. 이를 위해 네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 도메인 정보를 수집하고, 이를 기반으로 사전에 네트워크 주소정보 데이터베이스(230)에 분류되어 저장되어 있는 도메인 등급에 따라 접속 시스템 및 웹 서버 시스템 도메인의 분류를 시도한다. 이때 네트워크 연결 특성 추출 모듈(220)은 1차 도메인, 2차 도메인 별로 분류를 시도하며, 최상위 도메인을 대상으로 접속 도메인 간의 성격 및 특성 등을 식별하기 위해 국가 도메인, 일반 도메인으로 구분한다. 또한 국가 도메인을 다시 제한형 국가 도메인, 개방형-재할당 가능형, 개방형-재할당 불가능형 도메인으로 구분하고 일반 도메인을 제한형 일반 도메인, 개방형 일반 도메인으로 분류함으로써 해커들에 의해 많이 사용되고 있는 개방형 국가 도메인들을 식별한다. 또한 도메인간 연결 빈도를 분석하여 접속 시스템간 상태를 분류한다.In addition, the network connection
네트워크 연결특성 추출모듈(220)은 위와 같이 해당 도메인을 1차 도메인, 2차 도메인 별로 분류하고 이를 다시 해당 도메인의 신뢰정도, 도메인 성격, 도메인 타입, 접속 시스템 및 웹 서버 시스템의 호스트 도메인 네임 보유 여부 등의 정보를 추가 수집하여 네트워크 주소정보 데이터베이스(250)에 저장한다.The network connection
네트워크 연결 적절성 판단모듈(230)은 네트워크 연결특성 추출모듈(220)에서 수집 및 분류한 접속 시스템 및 웹 서버 시스템의 정보를 기반으로 접속 시스템 및 웹 서버 시스템의 네트워크 연결 적절성을 판단하는 기능을 수행한다.The network connection
도 3을 참조하여 네트워크 연결 적절성 판단모듈(230)에 대해 자세히 설명하면, 네트워크 연결 적절성 판단모듈(230)은 시스템기관 분류모듈(231), 시스템 연결유형 분류모듈(232), 시스템 연결유형 의미 분석 모듈(233)을 포함한다.Referring to FIG. 3, the network connection
시스템기관 분류모듈(231)은 네트워크 연결특성 추출모듈(220)에서 입력되는 도메인 네임 정보 및 망 식별 정보들로부터 접속 시스템 및 웹 서버 시스템에 대한 기관 성격을 파악한다. 이때 접속 시스템 및 웹 서버 시스템에 대한 기관 성격은 해당 기관이 정부 공공기관 소속 네트워크 회선을 사용하는지의 여부, 해당 망 식별 번호가 네트워크 서비스 사업자일 경우 네트워크 서비스 사업자의 네트워크 회선 보유 규모(T1/T2급), 재할당 가능한 도메인의 사용 여부, .gov, .int, .edu, .mil 등과 같은 도메인처럼 도메인 신청 제약이 있는지의 여부, 해당 접속 시스템들의 국가 코드, 도메인 사용 여부에 따른 시스템 서버/ 클라이언트 구분, 기본 통계 자료에 근거한 도메인 및 접속 지역에 대한 공격 및 피해 등급 구분, 기존 통계 자료에 근거한 도메인 및 접속 지역에 대한 공격 및 피해 등급 구분, 후이즈(Whois)정보를 이용한 상세 해당 IP보유 기관 정보 등을 포함하며 이를 통해 접속 시스템 및 웹 서버 시스템의 소속 지역간 연결 특성 및 기관 성격을 파악한다. The system
시스템연결 유형 분류모듈(232)은 시스템 기관 분류 모듈(231)에서 분류된 접속 시스템 및 웹 서버 시스템의 상세 정보를 이용하여 접속 시스템의 주소 정보를 분류하고, 분류된 주소 정보를 기반으로 관련 부가 정보들을 추가 수집한다.The system connection
그리고 시스템연결 유형 분류모듈(232)은 수집된 부가정보를 기반으로 접속 시스템들이 포함하는 논리적 네트워크 집단을 분류하고 이러한 논리적 네트워크 집단 간의 연결 유형을 판단한다. 그리고 접속 시스템 및 웹 서버 시스템의 네트워크 연결 유형을 분류한다.The system connection
즉, 서버-서버, 서버-클라이언트, 클라이언트-서버, 클라이언트-클라이언트 접속 형태인지, 웹 서버 시스템이 비신뢰 도메인 혹은 공격 빈도가 높은 국가에 속한 도메인에의 접속인지, 도메인 리다이렉션 서비스에 의해 생성된 임시 도메인의 접속인지 등에 대한 유형을 분류한다.That is, whether it is a server-server, server-client, client-server, client-client connection type, whether the web server system is connected to an untrusted domain or a domain belonging to a country with high attack rate, or a temporary generated by a domain redirection service. Classify whether the domain is connected or not.
시스템연결 유형 의미 분석모듈(233)은 시스템 기관 분류 모듈(231) 및 시스템 연결 유형 분류 모듈(232)에서 분류한 접속 시스템 및 웹 서버 시스템들의 정보들을 이용하여 상호 접속하고 있는 접속 시스템 및 웹 서버 시스템간의 네트워크 연결 유형에 대한 의미를 분석한다. 일 실시 예로 시스템연결 유형 의미 분석 모듈(233)은 상호 네트워크상에 연결되어 있는 접속 시스템 및 웹 서버 시스템들이 같은 국가에 소속되어 있으면서, 망 식별 번호가 같고, 도메인도 같으며, 서버-클라이언트 혹은 클라이언트-서버 접속 형태일 경우 접속 시스템 및 웹 서버 시스템들은 같은 논리적인 조직 내에 속한 시스템들 간의 연결로 판단할 수 있으며 원격제어코드에 의한 접속과 구분된다고 할 수 있다.The system connection type
네트워크 연결 적절성 판단모듈(230)은 시스템 기관 분류모듈(231), 시스템 연결유형 분류모듈(232), 시스템 연결유형 의미분석모듈(233)에서 분석된 접속 시스템 및 웹 서버 시스템의 연결 유형을 바탕으로 최종적인 해당 네트워크 연결에 대한 적절성을 판단한다. 즉 같은 논리적 조직 내에 속한 시스템들 간의 접속이라 하더라도 더욱 구체적으로 해당 시스템들을 분류하고 특정 IP 대역의 시스템들만 특정 서버 시스템에 접속하도록 하거나 아니면 같은 조직 내 시스템들간의 접속을 허용할지 여부 등을 결정하여 반영하도록 한다. The network connection
네트워크 접속 결정 모듈(240)은 네트워크 연결 적절성 판단모듈(230)의 접속 허용 유무 결과에 따라 접속 시스템 및 웹 서버 시스템 연결의 실제 접속 여부를 제어하는 기능을 수행한다. 또한 네트워크 접속 결정 모듈(240)은 접속 시스템 및 웹 서버 시스템 연결의 상세 정보, 연결 유형, 접속 대상 기관 정보 및 연결의미 등을 사용자에게 제공한다.The network
네트워크 주소정보 데이터베이스(250)는 네트워크 연결특성 추출모듈(220)에서 추출된 접속 시스템 및 웹 서버 시스템의 네트워크 연결특성 정보를 저장한다. 접속 시스템 및 웹 서버 시스템의 네트워크 연결특성 정보는 접속 시스템 및 웹 서버 시스템의 프로토콜(Protocol), 게이트웨이(Gateway), IP주소(Address), 프록시 주소(Proxy address), 포트(Port), 도메인 정보, POP3(Post Office Protocol) 및 SMTP(Simple Mail Transfer Protocol) 서버주소와 같은 네트워크 연결 정보를 적어도 하나 포함하며, 접속 시스템 및 웹 서버 시스템의 도메인에 대한 신뢰정도, 도메인 성격, 도메인 타입, 접속 시스템 및 웹 서버 시스템의 호스트 도메인 네임 보 유 여부의 정보도 포함될 수 있다.The network
도 4는 본 발명의 일실시 예에 따라 악성 웹 서버 시스템의 접속을 탐지하는 과정을 나타내는 순서도이다.4 is a flowchart illustrating a process of detecting a connection of a malicious web server system according to an embodiment of the present invention.
도 4를 참조하면, 접속 시스템 및 웹 서버 시스템이 상호 연결되어 데이터를 송수신하는 중에 접속 시스템으로부터 웹 서버 시스템이 악성 웹 서버 시스템인지의 여부를 판단하기 위한 기능이 실행되면, 악성 웹 서버 시스템의 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템 사이에 송수신되는 패킷 데이터를 수집한다(410).Referring to FIG. 4, when a function for determining whether a web server system is a malicious web server system is executed from the access system while the access system and the web server system are interconnected to transmit and receive data, the access of the malicious web server system is performed. The detection apparatus collects packet data transmitted and received between the access system and the web server system (410).
그리고 악성 웹 서버 시스템 접속 탐지 장치는 수집된 패킷의 데이터를 가공하여, 접속 시스템 및 웹 서버 시스템의 IP 정보를 기반으로 네트워크 부가정보를 산출한다(420).The malicious web server system access detecting apparatus processes the data of the collected packet and calculates network additional information based on the IP information of the access system and the web server system (420).
420단계에서 접속 시스템 및 웹 서버 시스템의 IP 정보를 기반으로 네트워크 부가정보가 산출되었으면 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 IP 정보 및 네트워크 부가정보를 기반으로 접속 시스템 및 웹 서버 시스템의 네트워크 연결 특성정보를 수집 및 분류한다(430). 여기서 악성 웹 서버 시스템 접속 탐지 장치에서 수집 및 분류하는 접속 시스템 및 웹 서버 시스템의 네트워크 연결 특성정보는 접속 지역, 접속 망, 접속 도메인 네임 정보 중 적어도 하나를 포함한다.If the network additional information is calculated based on the IP information of the access system and the web server system in
악성 웹 서버 시스템 접속 탐지 장치는 430단계에서 수집된 접속 시스템 및 웹 서버 시스템의 접속 지역, 접속 망 및 접속 도메인 네임 정보를 이용하여 접속 시스템 및 웹 서버 시스템간의 연결 적절성 여부를 판단한다(440). 이하 도 5를 참조하여 접속 시스템 및 웹 서버 시스템간의 연결 적절성 여부를 판단하는 과정을 자세히 설명하기로 한다.The malicious web server system access detecting apparatus determines whether the connection between the access system and the web server system is appropriate using the access region, access network, and access domain name information of the access system and the web server system collected in step 430 (440). Hereinafter, a process of determining whether the connection between the access system and the web server system is appropriate will be described in detail with reference to FIG. 5.
440단계에서 악성 웹 서버 시스템 접속 탐지 장치의 판단하에 접속 시스템 및 웹 서버 시스템간의 접속 허용 여부가 결정되면, 악성 웹 서버 시스템 접속 탐지 장치는 이에 대한 상세 정보를 사용자에게 제공하고, 접속 시스템 및 웹 서버 시스템간의 접속을 허용 혹은 차단한다(450).When it is determined whether access is allowed between the access system and the web server system based on the determination of the malicious web server system access detecting apparatus in
도 5는 본 발명의 일실시 예에 따른 악성 웹 서버 시스템의 접속 여부를 판단하는 과정을 나타낸 순서도이다.5 is a flowchart illustrating a process of determining whether a malicious web server system is connected according to an embodiment of the present invention.
도 5를 참조하면, 사용자의 접속 시스템 및 접속 대상 웹 서버 시스템이 네트워크를 통해 상호 연결되면, 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 지역 정보로서 국가 코드를 검사하고, 접속 시스템 및 웹 서버 시스템의 국가 코드가 동일한지 판단한다(510). 510단계에서 접속 시스템 및 웹 서버 시스템의 국가 코드가 동일하면 악성 웹 서버 시스템 접속 탐지 장치는 송수신 시스템 즉 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일한지 판단한다(520).Referring to FIG. 5, when a user's access system and an access target web server system are interconnected through a network, the malicious web server system access detecting apparatus checks a country code as area information of the access system and the web server system, and accesses the access system. And it is determined whether the country code of the web server system is the same (510). If the country codes of the access system and the web server system are the same in
만약 510단계에서 접속 시스템 및 웹 서버 시스템의 국가 코드가 동일하지 않으면 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 1차 도메인 유형을 분석한다(511). 그리고 분석된 1차 도메인 유형을 통해 기존 공격/피해 도메인간 통계 분석 자료 및 사용자 접속 지역 패턴들을 이용하여 접속 시 스템 및 웹 서버 시스템들 간의 네트워크 연결 유형을 판단한다(512).If the country codes of the access system and the web server system are not the same in
510단계에서 접속 시스템 및 웹 서버 시스템의 국가 코드가 동일하면 악성 웹 서버 시스템의 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일한지 판단한다(520).If the country codes of the access system and the web server system are the same in
520단계에서 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일할 경우 악성 웹 서버 시스템의 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 도메인 네임이 동일한지 판단한다(530).If the network identification numbers of the access system and the web server system are the same at
만약 520단계에서 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일하지 않을 경우 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 망 식별 번호의 유형을 분류한다(521). 이때 망 식별 번호의 유형을 분류하기 위한 정보는 도 4의 430단계에서 송수신 시스템정보모듈을 통해 수집된 접속 시스템 및 웹 서버 시스템의 망 정보를 기반으로 접속 시스템 및 웹 서버 시스템이 사용하고 있는 망 간의 연결 형태를 분석한다. 즉 망 식별 번호의 클래스 정보들 간의 연결 형태 및 기존 해킹 사고 사례시 발생하는 주요 형태들을 비교하거나 송수신 시스템들의 사용 망 형태 등을 고려하여 유형을 분류한다.If the network identification numbers of the access system and the web server system are not the same in
그리고 악성 웹 서버 시스템 접속 탐지 장치는 이러한 정보를 바탕으로 상기 단계들에서 수행한 결과들의 일련의 연속된 패턴을 종합적으로 분석한 후 접속 시스템 및 웹 서버 시스템 연결의 의미를 분석하게 된다(522).Based on this information, the malicious web server system connection detecting apparatus comprehensively analyzes a series of consecutive patterns of the results performed in the above steps and then analyzes the meaning of the connection system and the web server system connection (522).
520단계에서 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일 할 경우 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 도메인 네임이 동일한지 판단한다(530)If the network identification numbers of the access system and the web server system are the same at
530단계에서 접속 시스템 및 웹 서버 시스템의 도메인 네임이 동일하지 않을 경우 악성 웹 서버 시스템 접속 탐지 장치는 웹 서버 시스템에 도메인 네임이 존재하는지 확인하고 이를 분류한다(531). 이러한 분류는 웹 서버 시스템의 도메인이 이전에 공격 도메인 등에 이용되었었는지, 웹 서버 시스템의 도메인을 가지고 있는 지역이 공격 지역으로 분류되었는지, 도메인 자체가 도메인 리디렉턴스 서비스 등에 의해 임시 생성된 도메인인지 네임 서버와 같은 도메인 안에 위치하는지 등의 정보를 이용해서 구분한다.If the domain names of the access system and the web server system are not the same in
530단계에서 웹 서버 시스템의 도메인 분류가 종료되면 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템의 도메인 네임이 존재하는지 확인하고 이를 분류한다(532). 접속 시스템의 도메인 분류과정은 531단계의 웹 서버 시스템의 도메인 분류 과정과 동일하다.When domain classification of the web server system is finished in
이후 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 도메인간 연결 유형의 의미를 분석한다(533).After that, the malicious web server system access detecting apparatus analyzes the meaning of the connection type between the domains of the access system and the web server system (533).
그리고 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 일련의 연속된 패턴 정보들에 대한 의미를 분석하고 이를 통해 접속 시스템 및 웹 서버 시스템간의 접속 허용 여부를 결정한다(540).The malicious web server system access detecting apparatus analyzes the meaning of a series of continuous pattern information of the access system and the web server system and determines whether to allow access between the access system and the web server system (540).
이와 같은 과정을 통해 악성 웹 서버 시스템 접속 탐지 장치는 사용자의 접속 시스템이 악성 웹 사이트에 연결되어 악성 코드 감염, 확산 및 해커에 의한 사용자 컴퓨터의 원격제어 등과 같은 피해를 예방할 수 있다.Through this process, the malicious web server system connection detecting apparatus can prevent the user's access system from being connected to the malicious web site, such as malicious code infection, spread, and remote control of the user's computer by hackers.
상술한 본 발명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형을 본 발명의 범위에서 벗어나지 않고 실시할 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위와 특허청구범위의 균등한 것들에 의해 정해져야 한다.In the above-described present invention, specific embodiments have been described, but various modifications can be made without departing from the scope of the present invention. Therefore, the scope of the present invention should not be defined by the described embodiments, but should be determined by the equivalents of the claims and claims.
도 1은 웹 서버 시스템으로의 접속이 악성 웹 서버 시스템으로 재연결되는 환경을 나타낸 개념도,1 is a conceptual diagram illustrating an environment in which a connection to a web server system is reconnected to a malicious web server system;
도 2는 본 발명의 일실시 예에 따른 악성 웹 서버 시스템 접속 탐지 장치의 내부 구성도,2 is an internal configuration diagram of a malicious web server system access detection apparatus according to an embodiment of the present invention;
도 3은 본 발명의 일 실시 예에 따른 네트워크 연결 적절성 판단 모듈의 내부 구성도,3 is an internal configuration diagram of a network connection suitability determination module according to an embodiment of the present invention;
도 4는 본 발명의 일실시 예에 따라 악성 웹 서버 시스템의 접속을 탐지하는 과정을 나타내는 순서도,4 is a flowchart illustrating a process of detecting a connection of a malicious web server system according to an embodiment of the present invention;
도 5는 본 발명의 일실시 예에 따른 악성 웹 서버 시스템의 접속 여부를 판단하는 과정을 나타낸 순서도.5 is a flowchart illustrating a process of determining whether a malicious web server system is connected according to an embodiment of the present invention.
Claims (12)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080100676A KR100977827B1 (en) | 2008-10-14 | 2008-10-14 | Apparatus and method detecting connection mailcious web server system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080100676A KR100977827B1 (en) | 2008-10-14 | 2008-10-14 | Apparatus and method detecting connection mailcious web server system |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100041471A KR20100041471A (en) | 2010-04-22 |
KR100977827B1 true KR100977827B1 (en) | 2010-08-25 |
Family
ID=42217199
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080100676A KR100977827B1 (en) | 2008-10-14 | 2008-10-14 | Apparatus and method detecting connection mailcious web server system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100977827B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9729550B2 (en) | 2011-09-30 | 2017-08-08 | Korea University Research And Business Foundation | Device and method for detecting bypass access and account theft |
KR101345740B1 (en) * | 2012-02-22 | 2013-12-30 | 박원형 | A malware detection system based on correlation analysis using live response techniques |
KR101483789B1 (en) * | 2012-09-05 | 2015-01-19 | 한국과학기술원 | Method for analyzing network characteristic and computer-readable medium and appratus for the same |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020062070A (en) * | 2001-01-19 | 2002-07-25 | 주식회사 정보보호기술 | Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof |
-
2008
- 2008-10-14 KR KR1020080100676A patent/KR100977827B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020062070A (en) * | 2001-01-19 | 2002-07-25 | 주식회사 정보보호기술 | Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof |
Also Published As
Publication number | Publication date |
---|---|
KR20100041471A (en) | 2010-04-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109951500B (en) | Network attack detection method and device | |
KR101890272B1 (en) | Automated verification method of security event and automated verification apparatus of security event | |
KR100942456B1 (en) | Method for detecting and protecting ddos attack by using cloud computing and server thereof | |
JP5844938B2 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
JP6001689B2 (en) | Log analysis apparatus, information processing method, and program | |
KR101391781B1 (en) | Apparatus and Method for Detecting HTTP Botnet based on the Density of Web Transaction | |
US20130031625A1 (en) | Cyber threat prior prediction apparatus and method | |
CN114598525A (en) | IP automatic blocking method and device for network attack | |
CN104135474B (en) | Intrusion Detection based on host goes out the Network anomalous behaviors detection method of in-degree | |
CN111786966A (en) | Method and device for browsing webpage | |
JPWO2008084729A1 (en) | Application chain virus and DNS attack source detection device, method and program thereof | |
US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
KR101045331B1 (en) | Method for analyzing behavior of irc and http botnet based on network | |
KR101045330B1 (en) | Method for detecting http botnet based on network | |
KR101487476B1 (en) | Method and apparatus to detect malicious domain | |
CN104486320A (en) | Intranet sensitive information disclosure evidence collection system and method based on honeynet technology | |
KR20130014300A (en) | Cyber threat prior prediction apparatus and method | |
KR20200109875A (en) | Harmful ip determining method | |
KR100977827B1 (en) | Apparatus and method detecting connection mailcious web server system | |
JP6592196B2 (en) | Malignant event detection apparatus, malignant event detection method, and malignant event detection program | |
KR101488271B1 (en) | Apparatus and method for ids false positive detection | |
KR20070072835A (en) | Web hacking responses through real time web log collection | |
CN112422486B (en) | SDK-based safety protection method and device | |
KR101398740B1 (en) | System, method and computer readable recording medium for detecting a malicious domain | |
Chiba et al. | Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130710 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140630 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150703 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160812 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20180816 Year of fee payment: 9 |