KR100977827B1 - Apparatus and method detecting connection mailcious web server system - Google Patents

Apparatus and method detecting connection mailcious web server system Download PDF

Info

Publication number
KR100977827B1
KR100977827B1 KR1020080100676A KR20080100676A KR100977827B1 KR 100977827 B1 KR100977827 B1 KR 100977827B1 KR 1020080100676 A KR1020080100676 A KR 1020080100676A KR 20080100676 A KR20080100676 A KR 20080100676A KR 100977827 B1 KR100977827 B1 KR 100977827B1
Authority
KR
South Korea
Prior art keywords
network
information
systems
connection
web server
Prior art date
Application number
KR1020080100676A
Other languages
Korean (ko)
Other versions
KR20100041471A (en
Inventor
오형근
이도훈
김태균
장인숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020080100676A priority Critical patent/KR100977827B1/en
Publication of KR20100041471A publication Critical patent/KR20100041471A/en
Application granted granted Critical
Publication of KR100977827B1 publication Critical patent/KR100977827B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1278Dedicated interfaces to print systems specifically adapted to adopt a particular infrastructure
    • G06F3/1285Remote printer device, e.g. being remote from client or server
    • G06F3/1286Remote printer device, e.g. being remote from client or server via local network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/30007Arrangements for executing specific machine instructions to perform operations on data operands
    • G06F9/30036Instructions to perform operations on packed data, e.g. vector, tile or matrix operations

Abstract

본 발명은 악성 웹 서버 시스템의 접속을 탐지하는 장치 및 방법을 제공하기 위한 것이다.The present invention is to provide an apparatus and method for detecting a connection of a malicious web server system.

이를 위해 본 발명은 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집 및 가공하여, 상기 시스템들의 송수신 IP 정보를 기반으로 네트워크 부가정보를 산출하는 네트워크 패킷 데이터 수집모듈과, 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들 간의 네트워크 연결특성 정보를 추출하는 네트워크 연결특성 추출모듈과, 상기 추출된 네트워크 연결특성 정보를 기반으로 상기 시스템들의 연결 적절성을 판단하는 네트워크 연결 적절성 판단모듈과, 상기 시스템들의 연결 적절성을 기반으로 상기 시스템들 간의 연결을 허용 혹은 차단하는 네트워크 접속 결정모듈을 포함하는 것을 특징으로 한다.To this end, the present invention collects and processes packet data transmitted and received between systems connected through a network, a network packet data collection module for calculating network additional information based on the transmission and reception IP information of the systems, and the IP information of the systems And a network connection property extraction module for extracting network connection property information between the systems based on network additional information, and a network connection suitability determination module for determining connection suitability of the systems based on the extracted network connection property information. And a network connection determination module for allowing or blocking the connection between the systems based on the connection suitability of the systems.

패킷 데이터, 접속 망, 도메인, 악성 웹 서버 시스템 Packet data, access network, domain, malicious web server system

Description

악성 웹 서버 시스템의 접속탐지 장치 및 방법{APPARATUS AND METHOD DETECTING CONNECTION MAILCIOUS WEB SERVER SYSTEM}Apparatus and method for detecting connection of malicious web server system {APPARATUS AND METHOD DETECTING CONNECTION MAILCIOUS WEB SERVER SYSTEM}

본 발명은 정보보호 기술 분야 중 악성 코드에 관한 것으로, 특히 악성 웹 서버 시스템의 접속을 탐지하는 장치 및 방법에 관한 것으로서, 구체적으로는 네트워크 주소 정보에 기반하여 악성 웹 서버 시스템 접속을 탐지하는 장치 및 방법에 관한 것이다.The present invention relates to malicious code in the field of information protection technology, and more particularly, to an apparatus and method for detecting a connection of a malicious web server system, and more particularly, an apparatus for detecting a malicious web server system connection based on network address information; It is about a method.

최근 네트워크의 확산 및 인터넷의 급격한 발달로 인해 사용자의 접속 시스템이 네트워크를 통해 악성 웹 서버 시스템에 접속되어 악성 코드 감염, 불법 자료 유출 등의 피해가 급증하고 있다.Recently, due to the spread of the network and the rapid development of the Internet, the user's access system is connected to the malicious web server system through the network, and the damages such as malicious code infection and illegal data leakage are increasing rapidly.

이러한 악성 코드들은 외부로부터 인터넷 등과 같은 네트워크를 통해 사용자 컴퓨터로 유입되며 사용자 컴퓨터가 감염된 이후에는 다시 네트워크를 이용해서 다른 사용자에게 유포됨으로써 그 피해가 확산되게 된다.These malicious codes are introduced to the user's computer from the outside through the network such as the Internet, and after the user's computer is infected, the malicious codes are spread to other users again to spread the damage.

이러한 피해를 방지하기 위해 종래에는 코드 분석에 기반한 탐지 기술이 사 용되었으나, 이러한 방법은 새로운 악성 코드의 탐지에 한계를 가져와서 최근에는 알려지지 않은 악성 코드를 탐지하기 위한 다양한 방법들이 연구 및 제안되고 있다.Conventionally, detection techniques based on code analysis have been used to prevent such damages. However, these methods have limitations in detecting new malicious codes, and various methods for detecting unknown codes have recently been researched and proposed. .

알려지지 않은 악성 코드 탐지 방법은 시스템의 무결성을 검사하여 시스템에서 생성, 삭제, 변화하는 파일을 비교함으로써 새로운 악성 코드의 시스템 내 설치를 감시하는 무결성 검사 방법, 사전에 정의된 악성 행위를 기반으로 모든 코드들의 시스템 내 행위를 모니터링 하다가 특정 악성 행위를 수행할 경우 이를 탐지하는 실행코드행위 감시 방법, 코드 행위 모니터링 기법을 개선하여 1990년대 말부터 IDS 등에 적용되고 있는 분야인 악성코드 행위 예측 기술 등이 알려지지 않은 악성코드 탐지를 위한 새로운 연구 분야로 활발히 연구되고 있다. 그러나 상기와 같은 기술들은 무결성 정보 파일의 내용을 완전히 신뢰할 수 없으며, 모니터링 해야 하는 코드 행위가 굉장히 많다는 단점이 있다. 또한 상기와 같은 기술들은 일련의 행위 관련 이벤트들을 필터링하고 하나의 의미 있는 행위로 구성하는 것이 어려우며 정책을 설정하기 어렵다는 단점을 가지고 있다. 또한 행위 예측 기술은 데이터 마이닝 같은 알고리즘에 입력하기 위한 데이터의 종류와 해당 데이터의 특성에 맞는 알고리즘을 매핑하는 것이 어렵고 이러한 과정에서 오탐을 발생시킬 수 있는 구성 오류가 발생할 수 있어 연구는 활발히 이루어지고 있으나 아직은 상용 제품에 적용하기 어려운 기술로 알려져 있다.Unknown malware detection methods check the integrity of the system, compare the files created, deleted, and changing on the system to monitor the installation of new malware in the system, and all code based on predefined malicious behavior. Monitoring of behaviors in their systems and executing certain malicious behaviors, improved execution code behavior monitoring methods and code behavior monitoring techniques have been applied to IDS since the late 1990s. It is actively researched as a new research field for malware detection. However, the above techniques have the disadvantage that the contents of the integrity information file cannot be completely trusted, and there are a lot of code actions to be monitored. In addition, the above techniques have a disadvantage in that it is difficult to filter a series of event-related events and to configure a single meaningful action, and to set a policy. In addition, behavior prediction technology has been actively researched because it is difficult to map the type of data to be input to algorithms such as data mining and an algorithm suitable for the characteristics of the data, and a configuration error that may cause false positives may occur in this process. It is still known as a technology that is difficult to apply to commercial products.

이와 같이 악성 코드로 인한 피해를 극복하기 위해 악성 코드의 유입 및 확산 경로인 이메일, 인터넷 등에 대한 필터링 방법을 사용하고 있지만 아직 효과적 인 차단 방법이 개발되지 못한 실정이다. 따라서 악성 코드의 감염 및 확산을 효과적으로 차단함으로써 악성 코드 감염, 불법 자료 유출 등에 의한 피해 막기 위한 새로운 방안의 개발이 필요하다.In order to overcome the damage caused by malicious codes, the filtering method for email and internet, which are the influx and spread paths of malicious codes, is used, but effective blocking methods have not been developed yet. Therefore, it is necessary to develop a new method to prevent damage caused by malicious code infection and illegal data leakage by effectively blocking the infection and spread of malicious code.

본 발명은 네트워크 주소 정보를 기반으로 악성 웹 서버 시스템의 접속을 탐지하는 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting a connection of a malicious web server system based on network address information.

이를 위해 본 발명에 따른 악성 웹 서버 시스템의 접속 탐지 장치는 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집 및 가공하여, 상기 시스템들의 송수신 IP 정보를 기반으로 네트워크 부가정보를 산출하는 네트워크 패킷 데이터 수집모듈과, 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들 간의 네트워크 연결특성 정보를 추출하는 네트워크 연결특성 추출모듈과, 상기 추출된 네트워크 연결특성 정보를 기반으로 상기 시스템들의 연결 적절성을 판단하는 네트워크 연결 적절성 판단모듈과, 상기 시스템들의 연결 적절성을 기반으로 상기 시스템들 간의 연결을 허용 혹은 차단하는 네트워크 접속 결정모듈을 포함하는 것을 특징으로 한다.To this end, the connection detection apparatus of the malicious web server system according to the present invention collects and processes packet data transmitted and received between systems connected through a network, and calculates network additional information based on transmission / reception IP information of the systems. A data collection module, a network connection characteristic extraction module for extracting network connection characteristic information between the systems based on IP information and network additional information of the systems, and connection adequacy of the systems based on the extracted network connection characteristic information And a network connection determining module for allowing or blocking a connection between the systems based on the connection suitability of the systems.

또한 본 발명에 따른 악성 웹 서버 시스템의 접속 탐지 방법은 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집하고, 상기 수집된 패킷 데이터를 가공하여 네트워크를 통해 연결되는 시스템들에 대한 IP 정보 및 네트워크 부가정보를 산출하는 단계와, 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들간의 네트워크 연결 특성정보를 추출하는 단계와, 상기 추출된 네트워크 연결 특성정보를 기반으로 상기 시스템들 간의 연결 허용 또는 차단 여부를 판단하는 단계를 포함하는 것을 특징으로 한다.In addition, the connection detection method of a malicious web server system according to the present invention collects packet data transmitted and received between systems connected through a network, and processes the collected packet data to obtain IP information about systems connected through a network; Calculating network additional information; extracting network connection characteristic information between the systems based on IP information and network additional information of the systems; and connecting the systems based on the extracted network connection characteristic information. Determining whether to allow or block.

본 발명은 네트워크 정보만을 이용하여 악성 웹 서버 시스템을 통한 원격제어 기능의 악성 코드 연결을 탐지하는 악성 웹 서버 시스템의 접속 탐지 장치 및 방법에 관한 것으로 신규 원격제어 기능의 악성 코드 연결뿐만 아니라 새로운 비정상적인 네트워크 연결을 탐지할 수 있는 이점이 있다. The present invention relates to an apparatus and method for detecting a malicious web server system that detects a malicious code connection of a remote control function through a malicious web server system using only network information. There is an advantage to detecting connections.

또한, 해당 연결에 대한 단순 정보 제공뿐만 아니라 네트워크 정보에 기반한 의미 분석을 통해 다양한 형태의 네트워크 접속을 분석할 수 있어 피싱 탐지에 이용할 수 있으며, 네트워크 접속을 통한 각종 사이버 공격에 대응하는데 활용할 수 있는 이점이 있다.In addition, not only providing simple information on the connection but also analyzing the network connection in various forms through semantic analysis based on network information, it can be used for phishing detection, and can be used to respond to various cyber attacks through the network connection. There is this.

이하 본 발명의 바람직한 실시 예들을 첨부한 도면을 참조하여 상세히 설명한다. 도면들 중 동일한 구성 요소들은 가능한 한 어느 곳에서든지 동일한 부호들로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. It is to be noted that the same elements among the drawings are denoted by the same reference numerals whenever possible. In addition, detailed descriptions of well-known functions and configurations that may unnecessarily obscure the subject matter of the present invention will be omitted.

도 1은 웹 서버 시스템으로의 접속이 악성 웹 서버 시스템으로 재연결되는 환경을 나타낸 개념도이다.1 is a conceptual diagram illustrating an environment in which a connection to a web server system is reconnected to a malicious web server system.

사용자 접속 시스템(100) 및 접속 대상 웹 서버 시스템(110)은 네트워크를 통해 상호 연결되며 데이터를 송수신한다.The user access system 100 and the access target web server system 110 are interconnected through a network and transmit and receive data.

악성 웹 서버 시스템(120)은 접속 시스템(100)에 원격제어기능의 악성 코드를 전송하기 위하여, 접속 시스템(100)과 연결된 웹 서버 시스템(110)을 해킹하고, 웹 서버 시스템(110)을 통해 접속 시스템(100)으로 리다이렉션 파일을 송신한다.The malicious web server system 120 hacks the web server system 110 connected to the access system 100 and transmits the malicious code of the remote control function to the access system 100 and through the web server system 110. The redirection file is transmitted to the connection system 100.

접속 시스템(100)은 수신된 리다이렉션 파일에 따라 웹 서버 시스템(110)이 아닌 악성 웹 서버 시스템(120)에 접속되고, 악성 웹 서버 시스템(120)은 접속 시스템(100)에 악성 코드를 유포하거나 접속 시스템을 원격제어 하는 등의 악성 행위를 수행한다.The access system 100 is connected to the malicious web server system 120 rather than the web server system 110 according to the received redirection file, and the malicious web server system 120 distributes malicious code to the access system 100 or It performs malicious actions such as remote control of access system.

도 2는 본 발명의 일실시 예에 따른 악성 웹 서버 시스템 접속 탐지 장치의 내부 구성도이고,2 is an internal configuration diagram of a malicious web server system access detection apparatus according to an embodiment of the present invention,

도 3은 본 발명의 일실시 예에 따른 네트워크 연결 적절성 판단 모듈의 내부 구성도이다.3 is an internal configuration diagram of a network connection suitability determining module according to an embodiment of the present invention.

도 2 및 3을 참조하면, 악성 웹 서버 시스템 접속 탐지 장치는 네트워크 패킷 데이터 수집 모듈(210), 네트워크 연결 특성 추출모듈(220), 네트워크 연결 적절성 판단모듈(230), 네트워크 접속 결정모듈(240) 및 네트워크 주소정보 데이터베이스(250)를 포함한다.2 and 3, the malicious web server system connection detecting apparatus includes a network packet data collection module 210, a network connection characteristic extraction module 220, a network connection adequacy determination module 230, and a network connection determination module 240. And network address information database 250.

먼저, 네트워크 패킷 데이터 수집 모듈(210)은 접속 시스템 및 접속 대상 웹 서버 시스템이 네트워크를 통해 주고받는 패킷을 수집하고, 수집한 패킷의 데이터를 가공 처리하여 접속 시스템 및 웹 서버 시스템의 IP를 기반으로 네트워크 부가 정보를 산출한다. 이때 네트워크 부가정보는 접속 시스템 및 웹 서버 시스템 각각의 IP 세션 중복 개수, 송수신 포트 넘버, 프로토콜, 송수신 패킷 사이즈, 송수신 자율시스템(AS:Autonomous System)이름, 송수신 자율시스템 번호(ASN:Autonomous System Nember) 및 송수신 IP에 대한 앤에스룩업(nslookup) 정보 중 적어도 하나를 포함한다.First, the network packet data collection module 210 collects packets transmitted and received through the network by the access system and the access target web server system, and processes the collected packet data based on the IP of the access system and the web server system. Calculate network side information. At this time, the network additional information includes the number of IP session duplication, transmission / reception port number, protocol, transmission / reception packet size, transmission / reception autonomous system (AS) name, transmission / reception autonomous system number (ASN) of each access system and web server system. And nslookup information for the transmit / receive IP.

네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 IP 주소 및 네트워크 부가정보를 기반으로 접속 시스템 및 웹 서버 시스템의 네트워크 연결 특성정보를 산출하는 기능을 수행한다.The network connection characteristic extraction module 220 calculates network connection characteristic information of the access system and the web server system based on the IP address and the network additional information of the access system and the web server system.

네트워크 연결특성 추출모듈(220)에서 네트워크 연결 특성정보를 산출하는 기능을 자세히 설명하면, 네트워크 연결특성 추출모듈(220)은 네트워크 패킷 데이터 모듈(200)에서 산출한 IP 정보 및 네트워크 부가정보를 이용하여 접속 시스템 및 웹 서버 시스템의 접속 지역, 접속 망 및 접속 도메인 정보를 포함하는 네트워크 연결특성 정보를 추출한다. 일 실시 예로 네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 접속 지역 분석 및 접속 시스템 및 웹 서버 시스템의 도메인 유형을 분석하고, 기본 국가별 해킹 공격별/피해별 통계 자료에 기반하여 접속 대상 지역의 접속 위험 등급을 산출한다. 이때 분석된 1차 도메인 중 국가 도메인에 대해서도 해당 국가 도메인이 도메인 확보가 개방되어 있는지 또는 제한되어 있는지 등을 고려하여 제한형 국가 도메인 및 개방형 국가 도메인으로 분류하고 이를 접속 대상 지역의 접속 위험 등급 산출시 반영한다.When the network connection characteristic extraction module 220 describes the function of calculating network connection characteristic information in detail, the network connection characteristic extraction module 220 uses the IP information and the network additional information calculated by the network packet data module 200. Network connection characteristic information including access region, access network and access domain information of access system and web server system is extracted. In one embodiment, the network connection characteristic extraction module 220 analyzes the access region and the domain type of the access system and the web server system, and based on the basic country-specific hacking attack / damage statistics. Calculate the access risk level of the area to be accessed. At this time, considering the national domain among the analyzed primary domains, considering whether the domain domain is open or restricted, etc., classify it into restricted country domain and open country domain. Reflect.

또한 네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 접속 망 정보를 추출한다. 이를 위해 네트워크 연결특성 추출모듈(220)은 망 식별 번호 또는 자율시스템 번호(ASN: Autonomous System Nember)를 이용하여 접속 시스템 및 웹 서버 시스템이 사용하고 있는 망 소유 기관에 대한 정보를 추출한다. 이러한 정보들은 망 식별 번호를 중심으로 자율 시스템(AS:Autonomous System)이름과 해당 네트워크 사이즈, 프리픽스 길이(prefix size), 해당 망의 소유 기간의 국가 지역 정보, AS 클래스 정보들을 포함한다.In addition, the network connection characteristic extraction module 220 extracts the access network information of the access system and the web server system. To this end, the network connection feature extraction module 220 extracts information on the network ownership authority used by the access system and the web server system using a network identification number or an autonomous system number (ASN). Such information includes an autonomous system (AS) name, a corresponding network size, a prefix length, a country region information of a network owning period, and AS class information based on a network identification number.

또한 네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 접속 도메인을 분석한다. 이를 위해 네트워크 연결특성 추출모듈(220)은 접속 시스템 및 웹 서버 시스템의 도메인 정보를 수집하고, 이를 기반으로 사전에 네트워크 주소정보 데이터베이스(230)에 분류되어 저장되어 있는 도메인 등급에 따라 접속 시스템 및 웹 서버 시스템 도메인의 분류를 시도한다. 이때 네트워크 연결 특성 추출 모듈(220)은 1차 도메인, 2차 도메인 별로 분류를 시도하며, 최상위 도메인을 대상으로 접속 도메인 간의 성격 및 특성 등을 식별하기 위해 국가 도메인, 일반 도메인으로 구분한다. 또한 국가 도메인을 다시 제한형 국가 도메인, 개방형-재할당 가능형, 개방형-재할당 불가능형 도메인으로 구분하고 일반 도메인을 제한형 일반 도메인, 개방형 일반 도메인으로 분류함으로써 해커들에 의해 많이 사용되고 있는 개방형 국가 도메인들을 식별한다. 또한 도메인간 연결 빈도를 분석하여 접속 시스템간 상태를 분류한다.In addition, the network connection characteristic extraction module 220 analyzes the access domain of the access system and the web server system. To this end, the network connection characteristic extraction module 220 collects domain information of the access system and the web server system, and based on this, the access system and the web are classified according to the domain class previously classified and stored in the network address information database 230. Attempt to classify server system domains. At this time, the network connection feature extraction module 220 attempts to classify by the primary domain and the secondary domain, and classifies the domain domain and the general domain to identify the characteristics and characteristics between the access domains for the top-level domain. In addition, the open country, which is widely used by hackers by dividing the country domain into a restricted country domain, an open-reassignable type, and an open-non-reassignable domain, and classifying the general domain into a restricted general domain and an open general domain. Identifies domains. In addition, it analyzes the connection frequency between domains and classifies the status between access systems.

네트워크 연결특성 추출모듈(220)은 위와 같이 해당 도메인을 1차 도메인, 2차 도메인 별로 분류하고 이를 다시 해당 도메인의 신뢰정도, 도메인 성격, 도메인 타입, 접속 시스템 및 웹 서버 시스템의 호스트 도메인 네임 보유 여부 등의 정보를 추가 수집하여 네트워크 주소정보 데이터베이스(250)에 저장한다.The network connection feature extraction module 220 classifies the corresponding domains according to the primary domain and the secondary domain as described above, and again holds the host domain name of the trust level, domain characteristics, domain type, access system, and web server system of the corresponding domain. Information is collected and stored in the network address information database 250.

네트워크 연결 적절성 판단모듈(230)은 네트워크 연결특성 추출모듈(220)에서 수집 및 분류한 접속 시스템 및 웹 서버 시스템의 정보를 기반으로 접속 시스템 및 웹 서버 시스템의 네트워크 연결 적절성을 판단하는 기능을 수행한다.The network connection suitability determination module 230 determines a network connection suitability of the access system and the web server system based on the information of the access system and the web server system collected and classified by the network connection characteristic extraction module 220. .

도 3을 참조하여 네트워크 연결 적절성 판단모듈(230)에 대해 자세히 설명하면, 네트워크 연결 적절성 판단모듈(230)은 시스템기관 분류모듈(231), 시스템 연결유형 분류모듈(232), 시스템 연결유형 의미 분석 모듈(233)을 포함한다.Referring to FIG. 3, the network connection suitability determination module 230 will be described in detail. The network connection suitability determination module 230 includes a system engine classification module 231, a system connection type classification module 232, and a system connection type semantic analysis. Module 233.

시스템기관 분류모듈(231)은 네트워크 연결특성 추출모듈(220)에서 입력되는 도메인 네임 정보 및 망 식별 정보들로부터 접속 시스템 및 웹 서버 시스템에 대한 기관 성격을 파악한다. 이때 접속 시스템 및 웹 서버 시스템에 대한 기관 성격은 해당 기관이 정부 공공기관 소속 네트워크 회선을 사용하는지의 여부, 해당 망 식별 번호가 네트워크 서비스 사업자일 경우 네트워크 서비스 사업자의 네트워크 회선 보유 규모(T1/T2급), 재할당 가능한 도메인의 사용 여부, .gov, .int, .edu, .mil 등과 같은 도메인처럼 도메인 신청 제약이 있는지의 여부, 해당 접속 시스템들의 국가 코드, 도메인 사용 여부에 따른 시스템 서버/ 클라이언트 구분, 기본 통계 자료에 근거한 도메인 및 접속 지역에 대한 공격 및 피해 등급 구분, 기존 통계 자료에 근거한 도메인 및 접속 지역에 대한 공격 및 피해 등급 구분, 후이즈(Whois)정보를 이용한 상세 해당 IP보유 기관 정보 등을 포함하며 이를 통해 접속 시스템 및 웹 서버 시스템의 소속 지역간 연결 특성 및 기관 성격을 파악한다. The system agency classification module 231 detects the agency characteristics of the access system and the web server system from the domain name information and the network identification information input from the network connection characteristic extraction module 220. In this case, the nature of the organization for access system and web server system is whether the organization uses the network line belonging to the government public agency, and the network service provider's network line holding size if the network identification number is the network service provider (T1 / T2 level). ), Whether you use a reassignable domain, whether there are any domain application restrictions, such as .gov, .int, .edu, .mil, etc. , Classification of attack and damage level for domain and access area based on basic statistical data, attack and damage level classification for domain and access area based on existing statistical data, and detailed information of relevant IP holding organization using Whois information. Through this, the connection characteristics and organizational characteristics of the connection system and the web server system To be identified.

시스템연결 유형 분류모듈(232)은 시스템 기관 분류 모듈(231)에서 분류된 접속 시스템 및 웹 서버 시스템의 상세 정보를 이용하여 접속 시스템의 주소 정보를 분류하고, 분류된 주소 정보를 기반으로 관련 부가 정보들을 추가 수집한다.The system connection type classification module 232 classifies the address information of the access system using the detailed information of the access system and the web server system classified in the system organization classification module 231, and related additional information based on the classified address information. Collect additional ones.

그리고 시스템연결 유형 분류모듈(232)은 수집된 부가정보를 기반으로 접속 시스템들이 포함하는 논리적 네트워크 집단을 분류하고 이러한 논리적 네트워크 집단 간의 연결 유형을 판단한다. 그리고 접속 시스템 및 웹 서버 시스템의 네트워크 연결 유형을 분류한다.The system connection type classification module 232 classifies the logical network group included in the access systems based on the collected additional information and determines the connection type between the logical network groups. And classify network connection type of access system and web server system.

즉, 서버-서버, 서버-클라이언트, 클라이언트-서버, 클라이언트-클라이언트 접속 형태인지, 웹 서버 시스템이 비신뢰 도메인 혹은 공격 빈도가 높은 국가에 속한 도메인에의 접속인지, 도메인 리다이렉션 서비스에 의해 생성된 임시 도메인의 접속인지 등에 대한 유형을 분류한다.That is, whether it is a server-server, server-client, client-server, client-client connection type, whether the web server system is connected to an untrusted domain or a domain belonging to a country with high attack rate, or a temporary generated by a domain redirection service. Classify whether the domain is connected or not.

시스템연결 유형 의미 분석모듈(233)은 시스템 기관 분류 모듈(231) 및 시스템 연결 유형 분류 모듈(232)에서 분류한 접속 시스템 및 웹 서버 시스템들의 정보들을 이용하여 상호 접속하고 있는 접속 시스템 및 웹 서버 시스템간의 네트워크 연결 유형에 대한 의미를 분석한다. 일 실시 예로 시스템연결 유형 의미 분석 모듈(233)은 상호 네트워크상에 연결되어 있는 접속 시스템 및 웹 서버 시스템들이 같은 국가에 소속되어 있으면서, 망 식별 번호가 같고, 도메인도 같으며, 서버-클라이언트 혹은 클라이언트-서버 접속 형태일 경우 접속 시스템 및 웹 서버 시스템들은 같은 논리적인 조직 내에 속한 시스템들 간의 연결로 판단할 수 있으며 원격제어코드에 의한 접속과 구분된다고 할 수 있다.The system connection type semantic analysis module 233 is connected to each other by using the information of the access system and web server systems classified by the system organization classification module 231 and the system connection type classification module 232. Analyze the meaning of network connection types. In one embodiment, the system connection type semantic analysis module 233 is connected to the network and the access server and web server systems belong to the same country, the same network identification number, the same domain, the server-client or client -In case of server connection type, connection system and web server system can be regarded as connection between systems belonging to the same logical organization and can be said to be separated from connection by remote control code.

네트워크 연결 적절성 판단모듈(230)은 시스템 기관 분류모듈(231), 시스템 연결유형 분류모듈(232), 시스템 연결유형 의미분석모듈(233)에서 분석된 접속 시스템 및 웹 서버 시스템의 연결 유형을 바탕으로 최종적인 해당 네트워크 연결에 대한 적절성을 판단한다. 즉 같은 논리적 조직 내에 속한 시스템들 간의 접속이라 하더라도 더욱 구체적으로 해당 시스템들을 분류하고 특정 IP 대역의 시스템들만 특정 서버 시스템에 접속하도록 하거나 아니면 같은 조직 내 시스템들간의 접속을 허용할지 여부 등을 결정하여 반영하도록 한다. The network connection adequacy determining module 230 is based on the connection type of the connection system and the web server system analyzed by the system organization classification module 231, the system connection type classification module 232, and the system connection type semantic analysis module 233. Determine the appropriateness of the final network connection. In other words, even if the connection between systems belonging to the same logical organization is more specifically classified, the system is classified and only the systems of a specific IP band are connected to a specific server system, or whether to allow access between systems in the same organization is reflected. Do it.

네트워크 접속 결정 모듈(240)은 네트워크 연결 적절성 판단모듈(230)의 접속 허용 유무 결과에 따라 접속 시스템 및 웹 서버 시스템 연결의 실제 접속 여부를 제어하는 기능을 수행한다. 또한 네트워크 접속 결정 모듈(240)은 접속 시스템 및 웹 서버 시스템 연결의 상세 정보, 연결 유형, 접속 대상 기관 정보 및 연결의미 등을 사용자에게 제공한다.The network connection determination module 240 controls the actual connection of the connection system and the web server system connection according to the result of the access permission of the network connection suitability determination module 230. In addition, the network connection determination module 240 provides a user with detailed information of a connection system and a web server system connection, a connection type, information on a target organization, and a connection meaning.

네트워크 주소정보 데이터베이스(250)는 네트워크 연결특성 추출모듈(220)에서 추출된 접속 시스템 및 웹 서버 시스템의 네트워크 연결특성 정보를 저장한다. 접속 시스템 및 웹 서버 시스템의 네트워크 연결특성 정보는 접속 시스템 및 웹 서버 시스템의 프로토콜(Protocol), 게이트웨이(Gateway), IP주소(Address), 프록시 주소(Proxy address), 포트(Port), 도메인 정보, POP3(Post Office Protocol) 및 SMTP(Simple Mail Transfer Protocol) 서버주소와 같은 네트워크 연결 정보를 적어도 하나 포함하며, 접속 시스템 및 웹 서버 시스템의 도메인에 대한 신뢰정도, 도메인 성격, 도메인 타입, 접속 시스템 및 웹 서버 시스템의 호스트 도메인 네임 보 유 여부의 정보도 포함될 수 있다.The network address information database 250 stores network connection characteristic information of the access system and web server system extracted by the network connection characteristic extraction module 220. The network connection property information of the access system and web server system includes protocol, gateway, IP address, proxy address, port, domain information, It contains at least one network connection information such as Post Office Protocol (POP3) and Simple Mail Transfer Protocol (SMTP) server address, and the degree of trust in the domain of the access system and the web server system, the nature of the domain, the domain type, the access system and the web. It may also include information on whether the server system has a host domain name.

도 4는 본 발명의 일실시 예에 따라 악성 웹 서버 시스템의 접속을 탐지하는 과정을 나타내는 순서도이다.4 is a flowchart illustrating a process of detecting a connection of a malicious web server system according to an embodiment of the present invention.

도 4를 참조하면, 접속 시스템 및 웹 서버 시스템이 상호 연결되어 데이터를 송수신하는 중에 접속 시스템으로부터 웹 서버 시스템이 악성 웹 서버 시스템인지의 여부를 판단하기 위한 기능이 실행되면, 악성 웹 서버 시스템의 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템 사이에 송수신되는 패킷 데이터를 수집한다(410).Referring to FIG. 4, when a function for determining whether a web server system is a malicious web server system is executed from the access system while the access system and the web server system are interconnected to transmit and receive data, the access of the malicious web server system is performed. The detection apparatus collects packet data transmitted and received between the access system and the web server system (410).

그리고 악성 웹 서버 시스템 접속 탐지 장치는 수집된 패킷의 데이터를 가공하여, 접속 시스템 및 웹 서버 시스템의 IP 정보를 기반으로 네트워크 부가정보를 산출한다(420).The malicious web server system access detecting apparatus processes the data of the collected packet and calculates network additional information based on the IP information of the access system and the web server system (420).

420단계에서 접속 시스템 및 웹 서버 시스템의 IP 정보를 기반으로 네트워크 부가정보가 산출되었으면 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 IP 정보 및 네트워크 부가정보를 기반으로 접속 시스템 및 웹 서버 시스템의 네트워크 연결 특성정보를 수집 및 분류한다(430). 여기서 악성 웹 서버 시스템 접속 탐지 장치에서 수집 및 분류하는 접속 시스템 및 웹 서버 시스템의 네트워크 연결 특성정보는 접속 지역, 접속 망, 접속 도메인 네임 정보 중 적어도 하나를 포함한다.If the network additional information is calculated based on the IP information of the access system and the web server system in step 420, the malicious web server system access detection apparatus is based on the IP information and the network additional information of the access system and the web server system. The network connection characteristic information of the system is collected and classified (430). The network connection characteristic information of the access system and the web server system collected and classified by the malicious web server system access detecting apparatus includes at least one of access region, access network, and access domain name information.

악성 웹 서버 시스템 접속 탐지 장치는 430단계에서 수집된 접속 시스템 및 웹 서버 시스템의 접속 지역, 접속 망 및 접속 도메인 네임 정보를 이용하여 접속 시스템 및 웹 서버 시스템간의 연결 적절성 여부를 판단한다(440). 이하 도 5를 참조하여 접속 시스템 및 웹 서버 시스템간의 연결 적절성 여부를 판단하는 과정을 자세히 설명하기로 한다.The malicious web server system access detecting apparatus determines whether the connection between the access system and the web server system is appropriate using the access region, access network, and access domain name information of the access system and the web server system collected in step 430 (440). Hereinafter, a process of determining whether the connection between the access system and the web server system is appropriate will be described in detail with reference to FIG. 5.

440단계에서 악성 웹 서버 시스템 접속 탐지 장치의 판단하에 접속 시스템 및 웹 서버 시스템간의 접속 허용 여부가 결정되면, 악성 웹 서버 시스템 접속 탐지 장치는 이에 대한 상세 정보를 사용자에게 제공하고, 접속 시스템 및 웹 서버 시스템간의 접속을 허용 혹은 차단한다(450).When it is determined whether access is allowed between the access system and the web server system based on the determination of the malicious web server system access detecting apparatus in step 440, the malicious web server system access detecting apparatus provides the user with detailed information about the access system and the web server. Allow or block access between systems (450).

도 5는 본 발명의 일실시 예에 따른 악성 웹 서버 시스템의 접속 여부를 판단하는 과정을 나타낸 순서도이다.5 is a flowchart illustrating a process of determining whether a malicious web server system is connected according to an embodiment of the present invention.

도 5를 참조하면, 사용자의 접속 시스템 및 접속 대상 웹 서버 시스템이 네트워크를 통해 상호 연결되면, 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 지역 정보로서 국가 코드를 검사하고, 접속 시스템 및 웹 서버 시스템의 국가 코드가 동일한지 판단한다(510). 510단계에서 접속 시스템 및 웹 서버 시스템의 국가 코드가 동일하면 악성 웹 서버 시스템 접속 탐지 장치는 송수신 시스템 즉 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일한지 판단한다(520).Referring to FIG. 5, when a user's access system and an access target web server system are interconnected through a network, the malicious web server system access detecting apparatus checks a country code as area information of the access system and the web server system, and accesses the access system. And it is determined whether the country code of the web server system is the same (510). If the country codes of the access system and the web server system are the same in step 510, the malicious web server system access detection apparatus determines whether the network identification numbers of the transmission and reception system, that is, the access system and the web server system, are the same (520).

만약 510단계에서 접속 시스템 및 웹 서버 시스템의 국가 코드가 동일하지 않으면 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 1차 도메인 유형을 분석한다(511). 그리고 분석된 1차 도메인 유형을 통해 기존 공격/피해 도메인간 통계 분석 자료 및 사용자 접속 지역 패턴들을 이용하여 접속 시 스템 및 웹 서버 시스템들 간의 네트워크 연결 유형을 판단한다(512).If the country codes of the access system and the web server system are not the same in step 510, the malicious web server system access detection apparatus analyzes the primary domain types of the access system and the web server system (511). Then, using the analyzed primary domain type, the network connection type between the access system and the web server systems is determined using the existing attack / damage domain statistical analysis data and user access region patterns (512).

510단계에서 접속 시스템 및 웹 서버 시스템의 국가 코드가 동일하면 악성 웹 서버 시스템의 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일한지 판단한다(520).If the country codes of the access system and the web server system are the same in step 510, the access detection apparatus of the malicious web server system determines whether the network identification numbers of the access system and the web server system are the same (520).

520단계에서 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일할 경우 악성 웹 서버 시스템의 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 도메인 네임이 동일한지 판단한다(530).If the network identification numbers of the access system and the web server system are the same at step 520, the access detection apparatus of the malicious web server system determines whether the domain names of the access system and the web server system are the same (530).

만약 520단계에서 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일하지 않을 경우 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 망 식별 번호의 유형을 분류한다(521). 이때 망 식별 번호의 유형을 분류하기 위한 정보는 도 4의 430단계에서 송수신 시스템정보모듈을 통해 수집된 접속 시스템 및 웹 서버 시스템의 망 정보를 기반으로 접속 시스템 및 웹 서버 시스템이 사용하고 있는 망 간의 연결 형태를 분석한다. 즉 망 식별 번호의 클래스 정보들 간의 연결 형태 및 기존 해킹 사고 사례시 발생하는 주요 형태들을 비교하거나 송수신 시스템들의 사용 망 형태 등을 고려하여 유형을 분류한다.If the network identification numbers of the access system and the web server system are not the same in step 520, the malicious web server system access detecting apparatus classifies the types of network identification numbers of the access system and the web server system (521). In this case, the information for classifying the type of the network identification number is based on the network information of the access system and the web server system, which are collected through the transmission / reception system information module in step 430 of FIG. 4, between the network used by the access system and the web server system. Analyze the type of connection. That is, the types are classified in consideration of the connection type between class information of network identification number and the main types generated in the case of existing hacking accidents or the type of network used by transmission / reception systems.

그리고 악성 웹 서버 시스템 접속 탐지 장치는 이러한 정보를 바탕으로 상기 단계들에서 수행한 결과들의 일련의 연속된 패턴을 종합적으로 분석한 후 접속 시스템 및 웹 서버 시스템 연결의 의미를 분석하게 된다(522).Based on this information, the malicious web server system connection detecting apparatus comprehensively analyzes a series of consecutive patterns of the results performed in the above steps and then analyzes the meaning of the connection system and the web server system connection (522).

520단계에서 접속 시스템 및 웹 서버 시스템의 망 식별 번호가 동일 할 경우 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 도메인 네임이 동일한지 판단한다(530)If the network identification numbers of the access system and the web server system are the same at step 520, the malicious web server system access detecting apparatus determines whether the domain names of the access system and the web server system are the same (530).

530단계에서 접속 시스템 및 웹 서버 시스템의 도메인 네임이 동일하지 않을 경우 악성 웹 서버 시스템 접속 탐지 장치는 웹 서버 시스템에 도메인 네임이 존재하는지 확인하고 이를 분류한다(531). 이러한 분류는 웹 서버 시스템의 도메인이 이전에 공격 도메인 등에 이용되었었는지, 웹 서버 시스템의 도메인을 가지고 있는 지역이 공격 지역으로 분류되었는지, 도메인 자체가 도메인 리디렉턴스 서비스 등에 의해 임시 생성된 도메인인지 네임 서버와 같은 도메인 안에 위치하는지 등의 정보를 이용해서 구분한다.If the domain names of the access system and the web server system are not the same in step 530, the malicious web server system access detecting apparatus checks whether a domain name exists in the web server system and classifies it (531). This classification is based on whether the domain of the web server system has been previously used for the attack domain, the domain in which the domain of the web server system is classified as the attack region, the domain itself is a domain temporarily created by the domain redirection service, etc. It is identified using information such as whether it is located in the same domain as the server.

530단계에서 웹 서버 시스템의 도메인 분류가 종료되면 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템의 도메인 네임이 존재하는지 확인하고 이를 분류한다(532). 접속 시스템의 도메인 분류과정은 531단계의 웹 서버 시스템의 도메인 분류 과정과 동일하다.When domain classification of the web server system is finished in step 530, the malicious web server system access detecting apparatus checks whether a domain name of the access system exists and classifies it (532). The domain classification process of the access system is the same as the domain classification process of the web server system in step 531.

이후 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 도메인간 연결 유형의 의미를 분석한다(533).After that, the malicious web server system access detecting apparatus analyzes the meaning of the connection type between the domains of the access system and the web server system (533).

그리고 악성 웹 서버 시스템 접속 탐지 장치는 접속 시스템 및 웹 서버 시스템의 일련의 연속된 패턴 정보들에 대한 의미를 분석하고 이를 통해 접속 시스템 및 웹 서버 시스템간의 접속 허용 여부를 결정한다(540).The malicious web server system access detecting apparatus analyzes the meaning of a series of continuous pattern information of the access system and the web server system and determines whether to allow access between the access system and the web server system (540).

이와 같은 과정을 통해 악성 웹 서버 시스템 접속 탐지 장치는 사용자의 접속 시스템이 악성 웹 사이트에 연결되어 악성 코드 감염, 확산 및 해커에 의한 사용자 컴퓨터의 원격제어 등과 같은 피해를 예방할 수 있다.Through this process, the malicious web server system connection detecting apparatus can prevent the user's access system from being connected to the malicious web site, such as malicious code infection, spread, and remote control of the user's computer by hackers.

상술한 본 발명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형을 본 발명의 범위에서 벗어나지 않고 실시할 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위와 특허청구범위의 균등한 것들에 의해 정해져야 한다.In the above-described present invention, specific embodiments have been described, but various modifications can be made without departing from the scope of the present invention. Therefore, the scope of the present invention should not be defined by the described embodiments, but should be determined by the equivalents of the claims and claims.

도 1은 웹 서버 시스템으로의 접속이 악성 웹 서버 시스템으로 재연결되는 환경을 나타낸 개념도,1 is a conceptual diagram illustrating an environment in which a connection to a web server system is reconnected to a malicious web server system;

도 2는 본 발명의 일실시 예에 따른 악성 웹 서버 시스템 접속 탐지 장치의 내부 구성도,2 is an internal configuration diagram of a malicious web server system access detection apparatus according to an embodiment of the present invention;

도 3은 본 발명의 일 실시 예에 따른 네트워크 연결 적절성 판단 모듈의 내부 구성도,3 is an internal configuration diagram of a network connection suitability determination module according to an embodiment of the present invention;

도 4는 본 발명의 일실시 예에 따라 악성 웹 서버 시스템의 접속을 탐지하는 과정을 나타내는 순서도,4 is a flowchart illustrating a process of detecting a connection of a malicious web server system according to an embodiment of the present invention;

도 5는 본 발명의 일실시 예에 따른 악성 웹 서버 시스템의 접속 여부를 판단하는 과정을 나타낸 순서도.5 is a flowchart illustrating a process of determining whether a malicious web server system is connected according to an embodiment of the present invention.

Claims (12)

네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집 및 가공하여, 상기 시스템들의 송수신 IP 정보를 기반으로 네트워크 부가정보를 산출하는 네트워크 패킷 데이터 수집모듈과,A network packet data collection module for collecting and processing packet data transmitted and received between systems connected through a network, and calculating network additional information based on transmission / reception IP information of the systems; 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들의 접속 지역 분석, 접속 망 분석 및 도메인 분석을 통해 수집 및 분류한 네트워크 연결 특성 정보를 추출하는 네트워크 연결특성 추출모듈과,A network connection characteristic extraction module for extracting network connection characteristic information collected and classified through access region analysis, access network analysis, and domain analysis of the systems based on the IP information and network side information of the systems; 상기 추출된 네트워크 연결특성 정보를 기반으로 상기 시스템들의 연결 적절성을 판단하는 네트워크 연결 적절성 판단모듈과,A network connection suitability determination module for determining connection suitability of the systems based on the extracted network connection characteristic information; 상기 시스템들의 연결 적절성을 기반으로 상기 시스템들 간의 연결을 허용 혹은 차단하는 네트워크 접속 결정모듈을 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 장치.And a network access determination module for allowing or blocking a connection between the systems based on the connection adequacy of the systems. 제1 항에 있어서,According to claim 1, 상기 네트워크 연결특성 추출모듈에서 추출된 상기 시스템들의 네트워크 연결 특성 정보를 저장하는 네트워크 주소정보 데이터베이스를 더 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 장치.And a network address information database for storing network connection property information of the systems extracted by the network connection property extraction module. 삭제delete 제1 항에 있어서, 상기 네트워크 연결 적절성 판단모듈은,The method of claim 1, wherein the network connection suitability determination module, 상기 시스템들에 대한 기관 성격을 분류하는 시스템 기관 분류 모듈과,A system organ classification module for classifying organ characteristics for the systems; 상기 시스템들에 대한 네트워크 접속 유형을 분석하기 위한 시스템 연결 유형 분류 모듈과,A system connection type classification module for analyzing a network connection type for the systems; 상기 시스템들의 기관 및 네트워크 접속 유형 정보를 기반으로 네트워크 접속 유형에 대한 의미를 분석하기 위한 시스템 연결 유형 의미 분석 모듈을 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 장치.And a system connection type semantic analysis module for analyzing the meaning of the network connection type based on the organ and network connection type information of the systems. 제1 항에 있어서, According to claim 1, 상기 네트워크 부가정보는 상기 시스템들의 IP 정보를 기반으로 한 각각의 IP별 세션 중복 개수, 상기 시스템들 각각의 포트 넘버, 프로토콜, 패킷 사이즈 정보, 자율 시스템(AS:Autonomous System)이름, 자율 시스템 번호(ASN:Autonomous System Nember), 엔에스룩업(nslookup)정보 중 적어도 하나를 포함하는 것을 특징 으로 하는 악성 웹 서버 시스템의 접속 탐지 장치.The network additional information includes the number of session duplications for each IP based on the IP information of the systems, port numbers, protocols, packet size information, autonomous system (AS) names, and autonomous system numbers (AS) of each of the systems. ASN (Autonomous System Nember), nslookup (nslookup) information, characterized in that the connection detection device of the malicious web server system, characterized in that it comprises at least one. 제1 항에 있어서, According to claim 1, 상기 네트워크 연결 특성정보는 상기 시스템들이 위치하고 있는 지역, 사용 망 식별 번호 구분, 망 식별 이름, 망 식별 번호 클래스, 도메인 정보, 도메인 유형에 대한 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 장치.The network connection characteristic information includes at least one of a region in which the systems are located, a network identification number classification, a network identification name, a network identification number class, domain information, and domain type information. Connection detection device. 네트워크를 통해 연결되는 시스템들 간에 송수신되는 패킷 데이터를 수집하고, 상기 수집된 패킷 데이터를 가공하여 상기 시스템들에 대한 IP 정보 및 네트워크 부가정보를 산출하는 단계와,Collecting packet data transmitted and received between systems connected through a network, and processing the collected packet data to calculate IP information and network additional information about the systems; 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 상기 시스템들의 접속 지역 분석, 접속 망 분석 및 도메인 분석을 통해 수집 및 분류한 네트워크 연결 특성 정보를 추출하는 단계와,Extracting network connection property information collected and classified through access region analysis, access network analysis, and domain analysis of the systems based on the IP information and network side information of the systems; 상기 추출된 네트워크 연결 특성정보를 기반으로 상기 시스템들 간의 연결 허용 또는 차단 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 방법. And determining whether to allow or block the connection between the systems based on the extracted network connection characteristic information. 제7 항에 있어서,The method of claim 7, wherein 상기 시스템들 간의 연결 허용 또는 차단 여부에 따라 상기 시스템들 간의 연결을 허용 또는 차단하고, 상기 시스템들의 연결 정보를 표시하는 단계를 더 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 방법.And allowing or blocking a connection between the systems according to whether to allow or block the connection between the systems, and displaying connection information of the systems. 제7 항에 있어서, 상기 네트워크 연결특성 정보를 추출하는 단계는,The method of claim 7, wherein extracting the network connection characteristic information comprises: 상기 시스템들의 IP 정보 및 네트워크 부가정보를 기반으로 도메인 유형을 분석하고 상기 시스템들 각각의 접속 지역을 분석하는 단계와,Analyzing a domain type based on IP information and network side information of the systems and analyzing an access area of each of the systems; 상기 시스템들 각각의 망 식별 번호를 이용하여 상기 시스템들이 사용하는 망 소유 기관에 대한 정보를 분석하는 단계와,Using the network identification number of each of the systems to analyze information about the network ownership authority used by the systems; 상기 시스템들 각각의 도메인 유형을 이용하여 도메인 네임 정보를 분석하는 단계를 포함하는 것을 특징으로 하는 악성 웹 서버 시스템의 접속 탐지 방법.And analyzing domain name information using a domain type of each of the systems. 삭제delete 삭제delete 삭제delete
KR1020080100676A 2008-10-14 2008-10-14 Apparatus and method detecting connection mailcious web server system KR100977827B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080100676A KR100977827B1 (en) 2008-10-14 2008-10-14 Apparatus and method detecting connection mailcious web server system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080100676A KR100977827B1 (en) 2008-10-14 2008-10-14 Apparatus and method detecting connection mailcious web server system

Publications (2)

Publication Number Publication Date
KR20100041471A KR20100041471A (en) 2010-04-22
KR100977827B1 true KR100977827B1 (en) 2010-08-25

Family

ID=42217199

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080100676A KR100977827B1 (en) 2008-10-14 2008-10-14 Apparatus and method detecting connection mailcious web server system

Country Status (1)

Country Link
KR (1) KR100977827B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9729550B2 (en) 2011-09-30 2017-08-08 Korea University Research And Business Foundation Device and method for detecting bypass access and account theft
KR101345740B1 (en) * 2012-02-22 2013-12-30 박원형 A malware detection system based on correlation analysis using live response techniques
KR101483789B1 (en) * 2012-09-05 2015-01-19 한국과학기술원 Method for analyzing network characteristic and computer-readable medium and appratus for the same

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020062070A (en) * 2001-01-19 2002-07-25 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020062070A (en) * 2001-01-19 2002-07-25 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof

Also Published As

Publication number Publication date
KR20100041471A (en) 2010-04-22

Similar Documents

Publication Publication Date Title
CN109951500B (en) Network attack detection method and device
KR101890272B1 (en) Automated verification method of security event and automated verification apparatus of security event
KR100942456B1 (en) Method for detecting and protecting ddos attack by using cloud computing and server thereof
JP5844938B2 (en) Network monitoring device, network monitoring method, and network monitoring program
JP6001689B2 (en) Log analysis apparatus, information processing method, and program
KR101391781B1 (en) Apparatus and Method for Detecting HTTP Botnet based on the Density of Web Transaction
US20130031625A1 (en) Cyber threat prior prediction apparatus and method
CN114598525A (en) IP automatic blocking method and device for network attack
CN104135474B (en) Intrusion Detection based on host goes out the Network anomalous behaviors detection method of in-degree
CN111786966A (en) Method and device for browsing webpage
JPWO2008084729A1 (en) Application chain virus and DNS attack source detection device, method and program thereof
US20140344931A1 (en) Systems and methods for extracting cryptographic keys from malware
KR101045331B1 (en) Method for analyzing behavior of irc and http botnet based on network
KR101045330B1 (en) Method for detecting http botnet based on network
KR101487476B1 (en) Method and apparatus to detect malicious domain
CN104486320A (en) Intranet sensitive information disclosure evidence collection system and method based on honeynet technology
KR20130014300A (en) Cyber threat prior prediction apparatus and method
KR20200109875A (en) Harmful ip determining method
KR100977827B1 (en) Apparatus and method detecting connection mailcious web server system
JP6592196B2 (en) Malignant event detection apparatus, malignant event detection method, and malignant event detection program
KR101488271B1 (en) Apparatus and method for ids false positive detection
KR20070072835A (en) Web hacking responses through real time web log collection
CN112422486B (en) SDK-based safety protection method and device
KR101398740B1 (en) System, method and computer readable recording medium for detecting a malicious domain
Chiba et al. Botprofiler: Profiling variability of substrings in http requests to detect malware-infected hosts

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130710

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140630

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150703

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160812

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180816

Year of fee payment: 9