KR101033932B1 - Apparatus and method for monitor and protect system resources from web browsers - Google Patents

Apparatus and method for monitor and protect system resources from web browsers Download PDF

Info

Publication number
KR101033932B1
KR101033932B1 KR1020080047443A KR20080047443A KR101033932B1 KR 101033932 B1 KR101033932 B1 KR 101033932B1 KR 1020080047443 A KR1020080047443 A KR 1020080047443A KR 20080047443 A KR20080047443 A KR 20080047443A KR 101033932 B1 KR101033932 B1 KR 101033932B1
Authority
KR
South Korea
Prior art keywords
web browser
access
list
registry
allow
Prior art date
Application number
KR1020080047443A
Other languages
Korean (ko)
Other versions
KR20090037789A (en
Inventor
김수용
최대식
이동현
이도훈
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US12/208,401 priority Critical patent/US8336097B2/en
Publication of KR20090037789A publication Critical patent/KR20090037789A/en
Application granted granted Critical
Publication of KR101033932B1 publication Critical patent/KR101033932B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 웹브라우저의 취약점을 이용하여 악성행위를 수행하려는 시도를 차단하기 위한 장치 및 방법을 제공하기 위한 것이다.The present invention is to provide an apparatus and method for blocking attempts to perform malicious behavior using vulnerabilities in a web browser.

이를 위해, 본 발명은 웹브라우저가 프로그램 실행 시 적어도 하나의 파일자원에 접근하는 것을 감시하고 상기 접근을 허용하거나 차단하는 파일보호모듈과, 상기 웹브라우저가 프로그램 실행 시 적어도 하나의 레지스트리자원에 접근하는 것을 감시하고 상기 접근을 허용하거나 차단하는 레지스트리보호모듈과, 상기 웹브라우저가 프로그램 실행 시 적어도 하나의 프로세스를 실행/종료하는 것을 감시하고 상기 접근을 허용하거나 차단하는 프로세스보호모듈을 포함하는 웹브라우저를 통한 악성행위 차단 장치를 제공한다.To this end, the present invention provides a file protection module for monitoring a web browser accessing at least one file resource when executing a program and allowing or blocking the access, and accessing at least one registry resource when the web browser executes a program. A registry protection module that monitors and permits or blocks the access, and a process protection module that monitors whether the web browser executes / shuts down at least one process when the program is executed and permits or blocks the access. Provides a malicious device blocking device through.

웹브라우저, 파일자원, 레지스트리자원 Web browser, file resource, registry resource

Description

웹브라우저를 통한 악성행위를 차단하는 장치 및 방법{APPARATUS AND METHOD FOR MONITOR AND PROTECT SYSTEM RESOURCES FROM WEB BROWSERS}Apparatus and method for blocking malicious behavior through web browser {APPARATUS AND METHOD FOR MONITOR AND PROTECT SYSTEM RESOURCES FROM WEB BROWSERS}

본 발명은 웹브라우저 실행 시스템에 관한 것으로 특히 웹브라우저를 통한 악성행위를 차단하기 위한 장치 및 방법에 관한 것이다.The present invention relates to a system for executing a web browser, and more particularly, to an apparatus and a method for blocking malicious behavior through a web browser.

일반적으로 웹브라우저는 사용자의 컴퓨터가 인터넷에 접속되어 웹 서버로부터 가져온 여러 가지 정보 또는 웹 페이지들을 열람할 수 있도록 도와주는 소프트웨어를 의미하며, ActiveX Control 등과 같이 웹브라우저 내부에서 동작하는 플러그인 프로그램들을 포함한다. Generally, a web browser is a software that helps a user's computer to access various information or web pages obtained from a web server by accessing the Internet, and includes plug-in programs that operate inside the web browser such as an ActiveX control. .

이러한 웹브라우저는 웹 페이지를 처리하는 과정에서 웹페이지를 작성한 자의 의도에 의해 시스템의 중요한 자원이 파괴되거나 노출되는 일이 발생하지 않도록 기본적으로 매우 제한된 영역의 시스템자원에만 접근이 허용된다.Such web browsers are basically only allowed to access system resources in very limited areas so that important resources of the system are not destroyed or exposed by the intention of the web page author in the process of processing the web pages.

여기서 웹브라우저가 접근하는 시스템자원은 웹브라우저가 실행되는 전산기기에 존재하면서 다양한 정보를 담고 있는 파일, 레지스트리 등을 의미한다.The system resources accessed by the web browser refer to files, registries, etc. that exist in the computer that the web browser is running on and contain various information.

한편 웹브라우저 내부에서 실행되고 있는 ActiveX Control과 같이 다양한 플러그인 프로그램들 중 일부 프로그램들은 웹 페이지를 처리하는 과정에서 시스템자원에 대한 접근이 허용된다.On the other hand, some of the various plug-in programs, such as the ActiveX control running inside the web browser, are allowed to access system resources in the process of processing web pages.

특히 ActiveX Control은 다른 일반 응용프로그램과 동일하게 아무런 제약 없이 시스템자원에 접근할 수 있다.In particular, ActiveX Control can access system resources without any restrictions like other general applications.

때문에 이러한 ActiveX Control과 같은 플러그인 프로그램 또는 웹브라우저의 취약점을 이용하여 악의의 사용자가 악성 행위를 수행하려는 시도가 급증하고 있다.Therefore, attempts to perform malicious behavior by malicious users by using plug-in programs such as ActiveX Controls or vulnerabilities of web browsers are increasing rapidly.

이때 ActiveX Control과 같은 플러그인 프로그램을 포함하는 웹브라우저의 취약점은 다음과 같이 나눌 수 있다.At this time, the vulnerability of web browser including plug-in program such as ActiveX Control can be classified as follows.

첫번째, 시스템에 악의적인 파일을 새로 생성하거나 기존의 파일의 내용을 악의적으로 갱신 또는 삭제할 수 있는 파일쓰기에 관한 문제점이 있다.First, there is a problem in writing a file that can create a new malicious file in the system or malicious update or delete the contents of an existing file.

두번째, 시스템 내의 허락되지 않은 파일의 내용을 열람하고 외부로 유출할 수있는 파일읽기에 관한 문제점이 있다.Second, there is a problem with reading a file that can read the contents of unauthorized files in the system and leak them to the outside.

세번째, 시스템에 레지스트리 키와 값을 새로 생성하거나 기본의 레지스트리 키와 값을 악의적으로 변경 또는 삭제할 수 있는 레지스트리 쓰기에 관한 문제점이 있다.Third, there is a problem with writing a registry that can create new registry keys and values in the system, or modify or delete the default registry keys and values.

네번째, 시스템에 존재하는 허용되지 않은 레지스트리 키의 값을 열람하고 외부로 유출할 수 있는 레지스트리 읽기에 관한 문제점이 있다.Fourth, there is a problem with reading a registry that can browse and leak values of unauthorized registry keys existing in the system.

다섯째, 시스템에 존재하는 허용되지 않은 파일을 실행할 수 있는 프로세스 실행에 관한 문제점이 있다.Fifth, there is a problem regarding the execution of a process that can execute an illegal file existing in the system.

여섯째, 시스템에 실행중인 임의의 프로세스를 종료할 수 있는 프로세스 종료에 관한 문제점이 있다.Sixth, there is a problem regarding process termination that can terminate any process running in the system.

따라서 본 발명은 웹브라우저의 취약점을 이용하여 악성행위를 수행하려는 시도를 차단하기 위한 장치 및 방법에 관한 것이다.Therefore, the present invention relates to an apparatus and method for blocking an attempt to perform malicious behavior using a vulnerability of a web browser.

이를 위해 본 발명은 웹브라우저가 프로그램 실행 시 적어도 하나의 파일자원에 접근하는 것을 감시하고 상기 접근을 허용하거나 차단하는 파일보호모듈과, 상기 웹브라우저가 프로그램 실행 시 적어도 하나의 레지스트리자원에 접근하는 것을 감시하고 상기 접근을 허용하거나 차단하는 레지스트리보호모듈과, 상기 웹브라우저가 프로그램 실행 시 적어도 하나의 프로세스 실행 또는 종료를 시도하는 것을 감시하고 상기 접근을 허용하거나 차단하는 프로세스보호모듈을 포함하는 것을 특징으로 하는 웹브라우저를 통한 악성행위 차단장치를 제공한다.To this end, the present invention provides a file protection module for monitoring a web browser accessing at least one file resource when executing a program and allowing or blocking the access, and accessing at least one registry resource when the web browser executes a program. A registry protection module for monitoring and allowing or blocking the access, and a process protection module for monitoring the web browser attempting to execute or terminate at least one process when the program is executed and allowing or blocking the access. It provides a malicious behavior blocking device through a web browser.

또한 웹브라우저가 프로그램 실행 시 적어도 하나의 파일자원에 접근을 시도하는지 감시하는 단계와, 상기 웹브라우저가 상기 적어도 하나의 파일자원에 접근을 시도하면, 상기 접근이 시도된 적어도 하나의 파일자원이 기본허용/거부파일자원목록, 사용자허용/거부파일자원목록 및 항상 실행목록 중 어느 하나에 포함되어 있는지 판단하는 단계와, 상기 판단에 따라 상기 웹브라우저의 파일자원에 대한 접근을 허용 또는 차단하는 단계를 포함하는 것을 특징으로 한다.In addition, monitoring whether a web browser attempts to access at least one file resource when the program is executed, and when the web browser attempts to access the at least one file resource, the at least one file resource attempted to access is based on a default value. Determining whether the file is included in the allow / deny file resource list, the user allow / deny file resource list, or the always run list; and allowing or blocking access to the file resource of the web browser according to the determination. It is characterized by including.

또한 웹브라우저에서 프로그램의 실행을 위해 적어도 하나의 레지스트리자원 에 접근을 시도하는지 감시하는 단계와, 상기 웹브라우저에서 상기 적어도 하나의 레지스트리자원에 접근을 시도하면 상기 접근이 시도된 적어도 하나의 레지스트리자원이 기본허용/거부레지스트리자원목록, 사용자 허용/거부레지스트리자원목록 및 항상 실행목록 중 어느 하나에 포함되어 있는지 판단하는 단계와, 상기 판단에 따라 상기 웹브라우저의 레지스트리자원에 대한 접근을 허용 또는 차단하는 단계를 포함하는 것을 특징으로 한다.And monitoring whether the web browser attempts to access the at least one registry resource for execution of the program, and if the web browser attempts to access the at least one registry resource, the at least one registry resource attempted to access the program is stored. Determining whether it is included in the default allow / deny registry resource list, the user allow / deny registry resource list, or the always run list; and allowing or blocking access to the registry resource of the web browser according to the judgment. Characterized in that it comprises a.

또한 웹브라우저에서 프로그램의 실행을 위해 적어도 하나의 프로세스 실행/종료를 시도하는지 감시하는 단계와, 상기 웹브라우저에서 상기 적어도 하나의 프로세스 실행/종료를 시도하면 상기 실행/종료가 시도된 적어도 하나의 프로세스가 기본허용/거부프로세스목록, 사용자 허용/거부프로세스목록 및 항상 실행목록 중 어느 하나에 포함되어 있는지 판단하는 단계와, 상기 판단에 따라 상기 웹브라우저의 프로세스 실행/종료를 허용 또는 차단하는 단계를 포함하는 것을 특징으로 한다.And monitoring whether the web browser attempts to execute / end at least one process for execution of the program, and if the web browser attempts to execute / end the at least one process, the at least one process attempted to execute / end. Determining whether is included in one of a default allowed / denied process list, a user allowed / denied process list, and always executed list, and allowing or blocking process execution / end of the web browser according to the judgment. Characterized in that.

본 발명은 웹브라우저의 시스템자원에 대한 접근을 감시하고 사전에 정의된 시스템자원 또는 사용자에 의해 접근이 허용된 시스템자원에 대해서만 웹브라우저의 접근을 허용함으로써, 웹브라우저를 통한 악성행위를 차단하여 안전한 웹브라우저 시스템을 운영할 수 있는 효과가 있다.The present invention monitors the access to the system resources of the web browser and allows the web browser to access only the predefined system resources or system resources that are allowed to be accessed by the user, thereby preventing malicious activity through the web browser, It is effective to operate web browser system.

또한 본 발명은 웹브라우저의 시스템자원에 대한 접근을 감시하고 차단함으 로써, 웹브라우저의 취약점을 악용하는 행위를 차단할 수 있는 효과가 있다.In addition, the present invention by monitoring and blocking the access to the system resources of the web browser, there is an effect that can block the abuse of the vulnerability of the web browser.

이하 본 발명의 바람직한 실시 예들을 첨부한 도면을 참조하여 상세히 설명한다. 도면들 중 동일한 구성 요소들은 가능한 한 어느 곳에서든지 동일한 부호들로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. It is to be noted that the same elements among the drawings are denoted by the same reference numerals whenever possible. In addition, detailed descriptions of well-known functions and configurations that may unnecessarily obscure the subject matter of the present invention will be omitted.

이하 본 발명의 실시 예에 따라 웹브라우저를 통해 웹 페이지를 열람하기 위한 시스템을 도 1을 참조하여 설명한다.Hereinafter, a system for reading a web page through a web browser according to an embodiment of the present invention will be described with reference to FIG. 1.

도 1은 본 발명의 실시 예에 따른 웹브라우저 시스템 구성도이다.1 is a configuration diagram of a web browser system according to an embodiment of the present invention.

도 1을 참조하면, 웹브라우저(100)는 ActiveX Control등의 플러그인 프로그램(110)을 포함하며, 파일쓰기/읽기를 수행하기 위해 적어도 하나의 파일자원(120)에 접근한다.Referring to FIG. 1, the web browser 100 includes a plug-in program 110 such as an ActiveX control and accesses at least one file resource 120 to perform file writing / reading.

또한 웹브라우저(100)는 레지스트리쓰기/읽기를 수행하기 위해 적어도 하나의 레지스트리자원(130)에 접근하며 프로세스 실행/종료를 수행하기 위해서는 프로세스실행/종료(140)를 관리하는 적어도 하나의 시스템자원에 접근한다.In addition, the web browser 100 accesses at least one registry resource 130 to perform a registry write / read, and at least one system resource that manages the process execution / end 140 to perform a process execution / end. Approach

웹브라우저 악성행위 차단장치(200)는 웹브라우저(100)가 적어도 하나의 시스템자원에 접근하는 것을 감시하고, 웹브라우저(100)가 적어도 하나의 시스템자원에 접근하는 것을 허용 또는 차단하는 기능을 수행한다.The web browser malicious activity blocking device 200 monitors the web browser 100 accessing at least one system resource, and performs or functions to allow or block the web browser 100 from accessing the at least one system resource. do.

또한 웹브라우저 악성행위 차단장치(200)는 웹브라우저(100)가 적어도 하나 의 프로세스를 실행 또는 종료하는지 감시하고, 웹브라우저(100)가 프로세스를 실행 또는 종료하도록 허용 또는 차단하는 기능을 수행한다.In addition, the web browser malicious activity blocking device 200 monitors whether the web browser 100 executes or terminates at least one process, and performs or functions to allow or block the web browser 100 to execute or terminate the process.

여기서 웹브라우저 악성행위 차단장치(200)는 웹브라우저(100) 내부 혹은 외부에서 동작할 수 있으며, API(Application Programming Interface) 후킹 기술 등과 같은 통상적인 기법들을 이용하여 웹브라우저(100)가 시스템자원에 접근하는 것을 감시하고, 허용 또는 차단하는 기능을 수행한다.Here, the web browser malicious behavior blocking device 200 may operate inside or outside the web browser 100, and the web browser 100 may be installed on system resources using conventional techniques such as an API (Application Programming Interface) hooking technique. It monitors access and allows or blocks access.

한편 본 발명의 실시 예에서는 웹브라우저 악성행위 차단장치(200)가 API 후킹 기법을 사용하는 것으로 설명하였으나, 이는 본 발명의 요지를 벗어나지 않는 범위 내에서 웹브라우저(100)가 시스템자원에 접근하기 위해 호출하는 함수의 실행 흐름을 가로채는 방식과 유사한 기법이라면 어느 것이든 적용 가능함은 물론이다.Meanwhile, in the embodiment of the present invention, the web browser malicious behavior blocking apparatus 200 is described as using an API hooking technique, but the web browser 100 accesses system resources within the scope not departing from the gist of the present invention. Of course, any technique similar to the method of intercepting the execution flow of a calling function can be applied.

도 2는 본 발명의 실시 예에 따른 웹브라우저 악성행위 차단장치의 내부 구성도이다.2 is an internal configuration of a web browser malicious behavior blocking device according to an embodiment of the present invention.

도 2를 참조하면, 웹브라우저 악성행위 차단장치(200)는 웹브라우저(100)가 파일읽기/쓰기를 수행하기 위해 적어도 하나의 파일자원(120)에 접근하는 것을 관리하는 파일보호모듈(210)과 웹브라우저(100)가 레지스트리읽기/쓰기를 수행하기 위해 적어도 하나의 레지스트리자원(130)에 접근하는 것을 관리하는 레지스트리보호모듈(220) 및 웹브라우저(100)가 프로세스 실행/종료를 수행하기 위해 적어도 하나의 프로세스실행/종료(140)에 접근하는 것을 관리하는 프로세스보호모듈(230)을 포함한다.Referring to FIG. 2, the web browser malicious activity blocking device 200 manages the web browser 100 to access at least one file resource 120 to perform a file read / write. And the registry protection module 220 and the web browser 100 that manage the web browser 100 accessing at least one registry resource 130 to perform the registry read / write to perform the process execution / end. And a process protection module 230 that manages access to at least one process execution / end 140.

또한 파일보호모듈(210)은 파일접근감시기(211), 파일접근차단기(212), 기본 허용/거부파일목록(213), 사용자허용/거부파일목록(214)을 포함한다.The file protection module 210 also includes a file access monitoring unit 211, a file access breaker 212, a basic allow / deny file list 213, and a user allow / deny file list 214.

이때 파일접근감시기(211)는 웹브라우저(100)가 파일자원에 접근하기 위해 호출하는 함수들을 가로채어 파일자원의 정보를 획득하고, 획득한 파일자원의 정보를 파일접근차단기(212)에게 제공한다.At this time, the file access monitoring unit 211 obtains information of the file resource by intercepting functions called by the web browser 100 to access the file resource, and provides the obtained file resource information to the file access blocker 212. .

파일접근차단기(212)는 파일접근 감시기(211)로부터 파일자원 정보가 제공되면, 제공된 파일자원이 기본허용/거부파일목록(213) 및 사용자 허용/거부파일목록(214)에 존재하는지 판단한다. When the file resource information is provided from the file access monitor 211, the file access blocker 212 determines whether the provided file resource exists in the basic allow / deny file list 213 and the user allow / deny file list 214.

그리고 해당 파일 정보가 기본허용/거부파일목록(213) 및 사용자 허용/거부파일목록(214) 중 어느 하나에 존재하면, 파일접근차단기(212)는 해당 파일 정보에 대한 웹브라우저(100)의 접근을 허용하거나 차단한다.If the file information exists in any one of the basic allow / deny file list 213 and the user allow / deny file list 214, the file access blocker 212 accesses the web browser 100 to the file information. Allow or block

기본허용/거부파일목록(213)은 기본허용파일목록과 기본거부파일목록으로 구성되며, 기본허용파일목록은 웹브라우저가 정상적으로 작동하기 위해 접근이 허용되어야하는 'Temporary Internet Files', '즐겨찾기', 'Cookies'등의 파일과 폴더를 포함한다.The default allow / deny file list (213) consists of a list of default allowable files and a list of default deny files. The list of default allowed files is 'Temporary Internet Files', 'Favorites' Includes files and folders, such as 'Cookies'.

그리고 기본거부파일목록은 보안상의 이유로 웹브라우저(100)의 접근이 금지되어야하는 '시작프로그램' 등의 파일 및 폴더를 포함한다.The default rejected file list includes files and folders such as a 'startup program' which should be prohibited from accessing the web browser 100 for security reasons.

사용자 허용/거부파일목록(214)은 사용자허용파일목록과 사용자거부파일목록으로 구성되며 사용자가 명시적 또는 묵시적으로 추가한 웹브라우저(100)의 접근을 허용 또는 차단하는 파일 및 폴더 정보를 포함한다.The user allow / deny file list 214 is composed of a user allow file list and a user deny file list, and includes file and folder information for allowing or blocking access of the web browser 100 added by users explicitly or implicitly. .

레지스트리보호모듈(220)은 레지스트리접근감시기(221), 레지스트리접근차단 기(222), 기본허용/거부레지스트리목록(223), 사용자허용/거부레지스트리목록(224)을 포함한다.The registry protection module 220 includes a registry access monitor 221, a registry access blocker 222, a basic allow / deny registry list 223, and a user allow / deny registry list 224.

레지스트리접근감시기(221)는 웹브라우저(100)에서 레지스트리자원에 접근하기 위해 호출한 함수들을 가로채어 레지스트리 정보를 획득하고, 획득한 레지스트리 정보를 레지스트리접근차단기(222)에게 제공한다.The registry access monitoring device 221 intercepts functions called by the web browser 100 to access registry resources, obtains registry information, and provides the obtained registry information to the registry access blocker 222.

레지스트리접근차단기(222)는 레지스트리접근감시기(221)로부터 레지스트리정보가 제공되면, 제공된 레지스트리 정보가 기본허용/거부레지스트리목록(223) 및 사용자 허용/거부레지스트리목록(224) 중 어느 하나에 존재하는지 판단한다. When the registry access blocker 222 provides the registry information from the registry access monitoring unit 221, the registry access blocker 222 determines whether the provided registry information exists in one of the basic allow / deny registry list 223 and the user allow / deny registry list 224. do.

그리고 해당 레지스트리 정보가 기본허용/거부레지스트리목록(223) 및 사용자 허용/거부레지스트리목록(224) 중 어느 하나에 존재하면, 레지스트리접근차단기(222)는 해당 레지스트리자원에 대한 웹브라우저(100)의 접근을 허용하거나 차단한다.If the corresponding registry information is present in any one of the basic allow / deny registry list 223 and the user allow / deny registry list 224, the registry access blocker 222 accesses the web browser 100 to the corresponding registry resource. Allow or block

기본허용/거부레지스트리목록(223)은 기본허용레지스트리목록과 기본거부레지스트리목록으로 구성되며, 기본허용레지스트리목록은 웹브라우저(100)가 정상적으로 작동하기 위해 접근이 허용되어야하는 레지스트리를 포함한다.The default allow / deny registry list 223 includes a default allow registry list and a default reject registry list, and the default allow registry list includes a registry to which access is allowed in order for the web browser 100 to operate normally.

기본거부레지스트리목록은 보안상의 이유로 웹브라우저(100)의 접근이 금지되어야하는 레지스트리를 포함하며, 이때 기본거부레지스트리목록에 포함되는 레지스트리는“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run",“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices",“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce",“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run", “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce"이 될 수 있다.The default reject registry list includes a registry for which the web browser 100 should be prohibited from access for security reasons, and the registry included in the default reject registry list is “HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ run”, “HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices ",“ HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce ",“ HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run ",“ HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion Can be \ Runonce ".

사용자 허용/거부레지스트리목록(224)은 사용자허용레지스트리목록과 사용자거부레지스트리목록으로 구성되며, 사용자가 명시적 또는 묵시적으로 추가한 웹브라우저(100)의 접근을 허용 또는 차단하는 레지스트리 정보를 포함한다.The user allow / deny registry list 224 includes a user allow registry list and a user deny registry list, and includes registry information for allowing or blocking access of the web browser 100 that the user explicitly or implicitly added.

프로세스보호모듈(230)은 프로세스접근감시기(231), 프로세스접근차단기(232), 기본허용/거부프로세스목록(233), 사용자허용/거부프로세스목록(234)을 포함한다.The process protection module 230 includes a process access monitor 231, a process access breaker 232, a basic allow / deny process list 233, and a user allow / deny process list 234.

프로세스접근감시기(231)는 웹브라우저(100)가 프로세스 실행을 위해 호출하는 함수들을 가로채어 프로세스 정보를 획득하고, 획득한 프로세스 정보를 프로세스접근 차단기(232)에게 제공한다.The process access monitoring device 231 intercepts functions called by the web browser 100 to execute a process, obtains process information, and provides the obtained process information to the process access blocker 232.

프로세스접근 차단기(232)는 프로세스접근 감시기(231)로부터 프로세스 정보가 제공되면, 제공된 프로세스가 기본허용/거부프로세스목록(233) 및 사용자 허용/거부프로세스목록(234) 중 어느 하나에 존재하는지 판단한다.When process information is provided from the process access monitor 231, the process access breaker 232 determines whether the provided process exists in one of the basic allow / deny process list 233 and the user allow / deny process list 234. .

그리고 기본허용/거부프로세스목록(233) 및 사용자허용/거부프로세스목록(234) 중 어느 하나에 존재하면 프로세스접근 차단기(232)는 웹브라우저(100)가 해당 프로세스를 실행 또는 종료하는 것을 허용하거나 차단한다.If there is any one of the basic allow / deny process list 233 and the user allow / deny process list 234, the process access blocker 232 allows or blocks the web browser 100 to execute or terminate the process. do.

기본허용/거부프로세스목록(233)은 기본허용프로세스목록 및 기본거부프로세스목록으로 구성되며, 기본허용프로세스목록은 웹브라우저(100)가 정상적으로 작동하기 위한 접근이 허용되어야하는 프로세스를 포함한다.The basic allow / deny process list 233 is composed of a basic allow process list and a default deny process list, and the basic allow process list includes a process to which access should be allowed for the web browser 100 to operate normally.

이때 기본허용프로세스목록에 포함되는 프로세스는 사용자가 웹브라우 저(100)의 소스 보기를 할 경우 실행되는 프로세스인 'notpad.exe'등이 포함된다.At this time, the process included in the default allowed process list includes 'notpad.exe', which is a process that is executed when the user views the source of the web browser 100.

또한 기본거부프로세스목록은 보안상의 이유로 웹브라우저(100)의 접근이 금지되어야하는 프로세스를 포함한다.In addition, the default rejection process list includes a process in which access of the web browser 100 should be prohibited for security reasons.

이때 기본거부프로세스목록은 악성행위 수행을 위해 자주 사용되지만, 정상적인 웹브라우저(100)의 사용에서는 거의 필요하지않는 'cmd.exe','mshta.exe'등이 포함된다.At this time, the basic rejection process list is frequently used for performing malicious behavior, but includes 'cmd.exe', 'mshta.exe', and the like, which are rarely needed in the normal use of the web browser 100.

사용자허용/거부프로세스목록(234)은 사용자허용프로세스목록과 사용자거부프로세스목록으로 구성되며, 사용자가 명시적 또는 묵시적으로 추가한 웹브라우저(100)의 접근을 허용 또는 차단하는 프로세스 정보를 포함한다.The user allow / deny process list 234 includes a user allow process list and a user deny process list, and includes process information for allowing or blocking access of the web browser 100 added by users explicitly or implicitly.

이하 도 3 내지 도7을 참조하여 본 발명의 실시예에 따른 웹브라우저 악성행위 차단장치에서 악성행위를 차단하기 위한 방법에 대해 상세히 설명하기로 한다.Hereinafter, a method for blocking malicious behavior in a web browser malicious behavior blocking apparatus according to an embodiment of the present invention will be described in detail with reference to FIGS. 3 to 7.

도 3은 본 발명의 실시 예에 따른 웹브라우저 악성행위 차단장치에서 악성행위를 차단하기 위한 제어 흐름도이고,3 is a control flowchart for blocking malicious behavior in a web browser malicious behavior blocking apparatus according to an embodiment of the present invention;

도 4는 본 발명의 실시 예에 따른 웹브라우저의 파일자원 접근에 대한 화면 예시도이며,4 is an exemplary view showing a screen for accessing a file resource of a web browser according to an embodiment of the present invention.

도 5는 본 발명의 실시 예에 따른 웹브라우저의 파일자원 접근에 대한 사용자 동의를 요청하는 화면 예시도이고,5 is a diagram illustrating a screen requesting user consent for accessing a file resource of a web browser according to an embodiment of the present invention.

도 6은 본 발명의 실시 예에 따른 웹브라우저의 레지스트리자원 접근에 대한 사용자 동의를 요청하는 화면 예시도이다.6 is an exemplary view of a screen requesting user consent for accessing a registry resource of a web browser according to an embodiment of the present invention.

또한 도 7은 본 발명의 실시 예에 따른 웹브라우저의 프로세스 실행에 대한 사용자 동의를 요청하는 화면 예시도이다. 7 is a diagram illustrating a screen for requesting user consent for execution of a process of a web browser according to an exemplary embodiment of the present invention.

도 3 내지 도7을 참조하면, 웹브라우저(100)가 웹페이지 방문시 웹페이지를 처리하기 위해 시스템자원에 접근을 시도하면, 웹브라우저 악성행위 차단장치(200)는 300단계에서 이를 감지하고 302단계로 진행한다.3 to 7, when the web browser 100 attempts to access a system resource to process a web page when the web page is visited, the web browser malicious activity blocking device 200 detects this at step 300 and 302. Proceed to step.

그리고 302단계에서 웹브라우저 악성행위 차단장치(200)는 웹브라우저(100)가 접근을 시도한 시스템자원의 정보를 판단한다.In operation 302, the web browser malicious behavior blocking apparatus 200 determines information of system resources that the web browser 100 attempts to access.

여기서 시스템자원은 파일자원(120), 레지스트리자원(130), 프로세스 실행/종료(140) 중 어느 하나가 될 수 있다.The system resource may be any one of a file resource 120, a registry resource 130, and a process execution / end 140.

302단계에서 웹브라우저 악성행위 차단장치(200)의 판단하에 웹브라우저(100)가 접근을 시도한 시스템자원이 판단되면 웹브라우저 악성행위 차단장치(200)는 304단계에서 웹브라우저(100)가 접근을 시도한 시스템자원이 기본허용시스템목록에 존재하는지 판단한다.If it is determined in step 302 that the system resources attempted to access the web browser 100 in the judgment of the web browser malicious behavior blocking device 200, the web browser malicious behavior blocking device 200 is accessed by the web browser 100 in step 304 Determine if the attempted system resource exists in the default allowed system list.

여기서 기본허용시스템목록은 기본허용파일목록(213), 기본허용레지스트리목록(223), 기본허용프로세스목록(233) 중 어느 하나가 될 수 있으며, 302단계에서 웹브라우저(100)의 접근이 시도된 시스템자원이 파일자원(120)일 경우에는 기본허용파일목록(213), 레지스트리자원(130)일 경우에는 기본허용레지스트리목록(223), 프로세스 실행/종료가 감지될 경우에는 기본허용프로세스목록(233)이 되는 것이 바람직하다.The default allowable system list may be any one of a default allowable file list 213, a default allowable registry list 223, and a default allowable process list 233. In step 302, an access of the web browser 100 is attempted. If the system resource is a file resource 120, the default allowed file list (213), if the registry resource 130, the default allowed registry list (223), if the process execution / termination is detected, the default allowed process list (233) It is preferable to become).

이어서 304단계에서 웹브라우저 악성행위 차단장치(200)의 판단하에 웹브라우저(100)가 접근을 시도한 시스템자원이 기본허용시스템목록에 존재하는 것으로 판단되면, 웹브라우저 악성행위 차단장치(200)는 318단계로 진행한다.Subsequently, if it is determined in step 304 that the system resource attempted by the web browser 100 is present in the basic allowed system list in the judgment of the web browser malicious behavior blocking apparatus 200, the web browser malicious behavior blocking apparatus 200 is 318. Proceed to step.

그리고 318단계에서 웹브라우저 악성행위 차단장치(200)는 웹브라우저(100)가 접근을 시도한 해당 시스템자원에 접근하도록 허용한다.In operation 318, the web browser malicious behavior blocking device 200 allows the web browser 100 to access the corresponding system resource attempted.

만약 304단계에서 웹브라우저 악성행위 차단장치(200)의 판단하에 웹브라우저(100)가 접근을 시도한 시스템자원이 기본허용시스템목록에 존재하지 않을 경우 웹브라우저 악성행위 차단장치(200)는 306단계로 진행한다.If the system resource attempted by the web browser 100 does not exist in the basic allowable system list in step 304 under the judgment of the web browser malicious behavior blocking apparatus 200 in step 304, the web browser malicious behavior blocking apparatus 200 proceeds to step 306. Proceed.

그리고 306단계에서 웹브라우저 악성행위 차단장치(200)는 웹브라우저(100)의 접근을 시도된 시스템자원이 기본거부시스템목록에 존재하는지 판단한다.In operation 306, the web browser malicious behavior blocking apparatus 200 determines whether system resources attempted to access the web browser 100 exist in the basic rejection system list.

여기서 기본거부시스템목록은 기본거부파일목록(213), 기본거부레지스트리목록(223), 기본거부프로세스목록(233) 중 어느 하나가 될 수 있으며, 웹브라우저(100)의 접근이 시도된 시스템자원이 파일자원(120)일 경우에는 기본거부파일목록(213), 레지스트리자원(130)일 경우에는 기본거부레지스트리목록(223), 프로세스 실행/종료가 감지될 경우에는 기본거부프로세스목록(233)이 되는 것이 바람직하다.Here, the default rejection system list may be any one of the default rejection file list 213, the default rejection registry list 223, and the default rejection process list 233. The system resource to which the web browser 100 is attempted to access In the case of the file resource 120, the default rejection file list 213, in the case of the registry resource 130, the default rejection registry list 223, and when the process execution / end is detected, the default rejection process list 233 It is preferable.

306단계에서 웹브라우저 악성행위 차단장치(200)의 판단하에 웹브라우저(100)가 접근을 시도한 시스템자원이 기본거부시스템목록에 존재하는 것으로 판단되면 웹브라우저 악성행위 차단장치(200)는 320단계로 진행한다.If it is determined in step 306 that the system resource attempted by the web browser 100 is present in the basic rejection system list under the judgment of the web browser malicious behavior blocking apparatus 200, the web browser malicious behavior blocking apparatus 200 proceeds to 320. Proceed.

그리고 320단계에서 웹브라우저 악성행위 차단장치(200)는 해당 시스템자원에 대한 웹브라우저(100)의 접근을 차단하고 도 4와 같은 접근차단메시지를 표시함으로써, 사용자에게 웹브라우저(100)가 해당 시스템자원에 접근하는 것이 차단되었음을 알린다.In operation 320, the web browser malicious behavior blocking device 200 blocks the web browser 100 access to the system resource and displays an access blocking message as shown in FIG. 4, so that the web browser 100 corresponds to the user. Signals that access to a resource has been blocked.

만약 306단계에서 웹브라우저 악성행위 차단장치(200)의 판단하에 기본거부시스템목록에 웹브라우저(100)가 접근을 시도한 시스템자원이 존재하지 않다고 판단될 경우, 웹브라우저 악성행위 차단장치(200)는 308단계로 진행한다.If it is determined in step 306 that the system resource that the web browser 100 attempts to access does not exist in the basic rejection system list under the judgment of the web browser malicious behavior blocking apparatus 200, the web browser malicious behavior blocking apparatus 200 Proceed to step 308.

그리고 308단계에서 웹브라우저 악성행위 차단장치(200)는 웹브라우저(100)가 접근하려는 시스템자원이 사용자허용시스템목록에 존재하는지 판단한다.In operation 308, the web browser malicious behavior blocking apparatus 200 determines whether the system resource to be accessed by the web browser 100 exists in the user allowed system list.

여기서 사용자허용시스템목록은 사용자허용파일목록(214), 사용자허용레지스트리목록(224), 사용자허용프로세스목록(234)이 중 어느 하나가 될 수 있으며, 웹브라우저(100)의 접근이 시도된 시스템자원이 파일자원(120)일 경우에는 사용자 허용파일목록(214), 레지스트리자원(130)일 경우에는 사용자 허용레지스트리목록(224), 프로세스 실행/종료가 감지될 경우에는 사용자 허용프로세스목록(234)이 되는 것이 바람직하다.Here, the user allowed system list may be any one of a user allowed file list 214, a user allowed registry list 224, and a user allowed process list 234. The system resource to which the web browser 100 is attempted to access The user allowed file list 214 for the file resource 120, the user allowed registry list 224 for the registry resource 130, and the user allowed process list 234 if the process execution / end is detected. It is preferable to be.

308단계에서 웹브라우저 악성행위 차단장치(200)의 판단하에 웹브라우저(100)가 접근을 시도한 시스템자원이 사용자허용시스템목록에 존재할 경우 웹브라우저 악성행위 차단장치(200)는 318단계로 진행하여 해당 시스템자원에 웹브라우저(100)의 접근을 허용한다.If the system resource attempted by the web browser 100 is present in the user allowable system list in step 308, the web browser malicious behavior blocking device 200 proceeds to step 318. Allows web browser 100 access to system resources.

만약 308단계에서 웹브라우저 악성행위 차단장치(200)의 판단하에 웹브라우저(100)가 접근을 시도한 시스템자원이 사용자 허용시스템목록에 존재하지 않을 경우에는 웹브라우저 악성행위 차단장치(200)는 310단계로 진행한다.If the system resources attempted to access the web browser 100 does not exist in the user allowed system list in step 308 by the judgment of the web browser malicious behavior blocking apparatus 200, the web browser malicious behavior blocking apparatus 200 is step 310. Proceed to

그리고 310단계에서 웹브라우저(100)가 접근하려는 시스템자원이 사용자 거부시스템목록에 존재하는지 판단한다.In operation 310, the system resource to be accessed by the web browser 100 is determined to exist in the user denied system list.

여기서 사용자거부시스템목록은 사용자거부파일목록(214), 사용자거부레지스트리목록(224), 사용자거부프로세스목록(234) 중 어느 하나가 될 수 있으며, 웹브라우저(100)의 접근이 시도된 시스템자원이 파일자원(120)일 경우에는 사용자 거부파일목록(214), 레지스트리자원(130)일 경우에는 사용자 거부레지스트리목록(224), 프로세스 실행/종료가 감지될 경우에는 사용자 거부프로세스목록(234)이 되는 것이 바람직하다.Here, the user rejection system list may be any one of the user rejection file list 214, the user rejection registry list 224, and the user rejection process list 234. The system resource to which the web browser 100 is attempted to access If the file resource 120 is a user denied file list 214, the registry resource 130 is a user denied registry list 224, if a process execution / termination is detected user denied process list 234 It is preferable.

310단계에서 웹브라우저 악성행위 차단장치(200)의 판단하에 웹브라우저(100)가 접근을 시도한 시스템자원이 사용자 거부시스템목록에 존재할 경우 웹브라우저 악성행위 차단장치(200)는 320단계로 진행하여 웹브라우저(100)가 해당 시스템자원에 접근하는 것을 차단한다.If the system resource attempted by the web browser 100 is present in the user rejected system list in step 310 based on the judgment of the web browser malicious behavior blocking apparatus 200, the web browser malicious behavior blocking apparatus 200 proceeds to step 320. The browser 100 blocks access to the system resource.

만약 310단계에서 웹브라우저 악성행위 차단장치(200)의 판단하에 웹브라우저(100)가 접근을 시도한 시스템자원이 사용자 거부파일목록에 존재하지 않을 경우 웹브라우저 악성행위 차단장치(200)는 312단계로 진행하여 해당 시스템자원이 웹브라우저(100)의 접근을 항상 허용하는 시스템자원인지 판단한다.If the system resource attempted by the web browser 100 does not exist in the user denied file list in step 310 under the judgment of the web browser malicious behavior blocking apparatus 200, the web browser malicious behavior blocking apparatus 200 proceeds to step 312. Proceed to determine whether the system resource is a system resource that always allows the web browser 100 access.

이때 312단계에서 웹브라우저 악성행위 차단장치(200)의 판단하에 해당 시스템자원이 웹브라우저(100)의 접근을 항상 허용하는 시스템자원인 것으로 판단되면 웹브라우저 악성행위 차단장치(200)는 318단계로 진행하여 웹브라우저(100)가 해당 시스템자원에 접근하는 것을 허용한다.In this case, if it is determined in step 312 that the corresponding system resource is a system resource that always allows access of the web browser 100 under the judgment of the web browser malicious behavior blocking apparatus 200, the web browser malicious behavior blocking apparatus 200 proceeds to step 318. Proceed to allow the web browser 100 to access the system resources.

만약 312단계에서 해당 시스템자원이 웹브라우저(100)의 접근을 항상 허용하는 시스템자원이 아닌 것으로 판단되면 웹브라우저 악성행위 차단장치(200)는 314 단계로 진행하고, 314단계에서 웹브라우저(100)가 접근을 시도한 시스템자원의 웹브라우저(100) 접근 허용 여부를 확인하기 위한 메시지를 도 5 또는 도 6 또는 도7과 같이 표시한다.If it is determined in step 312 that the system resource is not a system resource that always allows access of the web browser 100, the web browser malicious behavior blocking apparatus 200 proceeds to step 314, and in step 314 the web browser 100 5 or 6 or 7 displays a message for confirming whether the system resource attempted to access the web browser 100 is allowed to access.

먼저 시스템자원이 파일자원(120)일 경우에는 웹브라우저 악성행위 차단장치(200)가 314단계에서 웹브라우저(100)가 접근을 시도한 파일자원(120)의 웹브라우저(100)의 접근 허용 여부를 확인하기 위한 메시지를 도 4와 같이 표시한다.First, if the system resource is a file resource 120, the web browser malicious behavior blocking device 200 determines whether the web browser 100 is allowed to access the file resource 120 that the web browser 100 attempts to access in step 314. A message for confirmation is displayed as shown in FIG.

그러면 사용자는 도 4에 도시된 '이번만 허용', '이번만 거부', '항상허용', '항상거부', '폴더항상허용', '폴더항상거부' 중 어느 하나를 선택한다.Then, the user selects any one of 'allow this time only', 'deny this time only', 'always allow', 'always reject', 'always allow folder', and 'always reject folder' shown in FIG.

이때 사용자가 '항상 허용' 또는 '폴더항상허용'을 선택하면 웹브라우저 악성행위 차단장치(200)는 316단계에서 이를 판단하고, 318단계로 진행하여 웹브라우저(100)가 접근을 시도한 파일자원(120)의 접근을 허용한다. At this time, if the user selects 'Always Allow' or 'Always Allow Folder', the web browser malicious behavior blocking device 200 determines this in step 316, and proceeds to step 318 in which the web browser 100 attempts to access the file resource ( Allow access to 120).

그리고 웹브라우저 악성행위 차단장치(200)는 웹브라우저(100)가 접근을 시도한 파일자원(120)의 파일 또는 폴더를 사용자허용파일목록(214)에 추가하고, 이후에 해당 파일자원(120)에 대한 웹브라우저(100)의 접근을 자동으로 허용한다.In addition, the web browser malicious activity blocking device 200 adds a file or folder of the file resource 120 that the web browser 100 attempts to access to the user allowed file list 214, and then adds the file resource 120 to the file resource 120. Allow the web browser 100 access automatically.

그러나 316단계에서 사용자가 '항상 거부' 또는 '폴더항상거부'를 선택한 것으로 판단될 경우에 웹브라우저 악성행위 차단장치(200)는 320단계로 진행하여 웹브라우저(100)의 파일자원(120) 접근을 차단하고, 웹브라우저(100)가 접근을 시도한 파일자원(120)의 파일 또는 폴더를 사용자거부파일목록(214)에 추가시킨다. 그리고 이후에 웹브라우저(100)가 해당 파일자원(120)에 대한 접근을 시도하면 자동으로 접근을 차단한다.However, if it is determined in step 316 that the user has selected 'always deny' or 'always refuse the folder', the web browser malicious activity blocking device 200 proceeds to step 320 to access the file resource 120 of the web browser 100. Block and add the file or folder of the file resource 120 that the web browser 100 attempts to access to the user denied file list 214. Afterwards, when the web browser 100 attempts to access the file resource 120, the web browser 100 automatically blocks access.

또한 316단계에서 사용자가 '이번만 허용'을 선택한 것으로 판단되면 웹브라우저 악성행위 차단장치(200)는 318단계로 진행하여 웹브라우저(100)의 파일자원(120) 접근을 허용한다.In addition, if it is determined in step 316 that the user has selected 'allow only this time', the web browser malicious behavior blocking apparatus 200 proceeds to step 318 to allow the web browser 100 to access the file resource 120.

그러나 316단계에서 사용자가 '이번만 거부'를 선택한 것으로 판단될 경우에웹브라우저 악성행위 차단장치(200)는 320단계로 진행하여 웹브라우저(100)의 파일자원(120) 접근을 차단한다.However, when it is determined in step 316 that the user selects 'only this time', the web browser malicious activity blocking device 200 proceeds to step 320 to block the web browser 100 from accessing the file resource 120.

한편 시스템자원이 레지스트리자원(130)일 경우에는 웹브라우저 악성행위 차단장치(200)가 314단계에서 웹브라우저(100)가 접근을 시도한 레지스트리자원(130)의 접근 허용 여부를 확인하기 위한 메시지를 도 6과 같이 표시한다.On the other hand, if the system resource is a registry resource 130, the web browser malicious behavior blocking device 200 is a message for confirming whether or not to allow access to the registry resource 130, the web browser 100 attempted to access in step 314 Display as shown in 6.

그리고 사용자는 도 6에 도시된 '이번만 허용', '이번만 거부', '항상허용', '항상거부', '키항상허용', '키항상거부' 중 어느 하나를 선택한다.The user selects any one of 'allow this time only', 'deny this time only', 'always allow', 'always reject', 'always accept the key', and 'always reject the key' shown in FIG.

이때 사용자가 '항상 허용' 또는 '키항상허용'을 선택하면 웹브라우저 악성행위 차단장치(200)는 316단계에서 이를 판단하고, 318단계로 진행하여 웹브라우저(100)의 레지스트리자원(130) 접근을 허용한다. At this time, if the user selects 'Always Allow' or 'Always Allow Key', the web browser malicious behavior blocking device 200 determines this in step 316, and proceeds to step 318 to access the registry resource 130 of the web browser 100. Allow.

그리고 웹브라우저 악성행위 차단장치(200)는 웹브라우저(100)가 접근을 시도한 레지스트리자원(130) 또는 레지스트리 값이 존재하는 레지스트리키를 사용자허용레지스트리목록(224)에 추가한다.In addition, the web browser malicious activity blocking apparatus 200 adds a registry key 130 or a registry key in which the web browser 100 has attempted access to the user allowed registry list 224.

이후 웹브라우저(100)가 해당 레지스트리자원(130)에 대한 접근을 다시 시도하면 웹브라우저 악성행위 차단장치(200)는 자동으로 웹브라우저(100)의 접근을 허용한다. 또한 추가된 레지스트리키 내의 모든 하위 레지스트리 키 및 값에 대한 접 근도 자동으로 허용한다.Then, when the web browser 100 attempts to access the corresponding registry resource 130 again, the web browser malicious behavior blocking apparatus 200 automatically allows the web browser 100 to access. It also automatically allows access to all sub-registry keys and values within the added registry key.

그러나 316단계에서 사용자가 '항상 거부' 또는 '키항상거부'를 선택한 것으로 판단될 경우에 웹브라우저 악성행위 차단장치(200)는 320단계로 진행하여 웹브라우저(100)가 레지스트리자원(130)에 접근하는 것을 차단한다. However, if it is determined in step 316 that the user has selected 'always deny' or 'key deny always', the web browser malicious activity blocking device 200 proceeds to step 320 in which the web browser 100 accesses the registry resource 130. Block access

그리고 웹브라우저 악성행위 차단장치(200)는 웹브라우저(100)가 접근을 시도한 레지스트리자원(130) 또는 레지스트리 값이 존재하는 레지스트리키를 사용자거부레지스트리목록(224)에 추가시킨다. In addition, the web browser malicious behavior blocking apparatus 200 adds a registry key 130 or a registry key having a registry value to which the web browser 100 attempts to access the user reject registry list 224.

이후 웹브라우저(100)가 해당 레지스트리자원(130)에 대한 접근을 다시 시도하면 웹브라우저 악성행위 차단장치(200)는 웹브라우저(100)의 접근을 자동으로 차단한다. 또한 추가된 레지스트리키 내의 모든 하위 레지스트리 키 및 값에 대한 접근도 자동으로 차단한다.Then, when the web browser 100 attempts to access the corresponding registry resource 130 again, the web browser malicious behavior blocking apparatus 200 automatically blocks the access of the web browser 100. It also automatically blocks access to all subordinate registry keys and values within the added registry key.

그리고 316단계에서 사용자가 '이번만 허용'을 선택한 것으로 판단되면 웹브라우저 악성행위 차단장치(200)는 318단계로 진행하여 웹브라우저(100)의 레지스트리자원(130) 접근을 허용한다.If it is determined in step 316 that the user selects 'allow this time', the web browser malicious behavior blocking apparatus 200 proceeds to step 318 to allow access to the registry resource 130 of the web browser 100.

그러나 316단계에서 사용자가 '이번만 거부'를 선택한 것으로 판단될 경우에는 320단계로 진행하여 웹브라우저(100)의 레지스트리자원(130) 접근을 차단한다.However, if it is determined in step 316 that the user selects 'only this time', the process proceeds to step 320 to block access to the registry resource 130 of the web browser 100.

한편 웹브라우저 악성행위 차단장치(200)는 314단계에서 웹브라우저(100)가 프로세스 실행/종료(140)를 시도한 것으로 판단되면 프로세스의 허용 여부를 확인하기 위한 메시지를 도 7과 같이 표시한다.Meanwhile, when it is determined that the web browser 100 attempts to execute / end the process 140 in step 314, the web browser malicious activity blocking apparatus 200 displays a message for confirming whether the process is allowed as shown in FIG.

그리고 사용자는 도 7에 도시된 '이번만 허용', '이번만 거부', '항상허용', '항상거부' 중 어느 하나를 선택한다.The user selects any one of 'allow this time only', 'deny this time only', 'always allow', and 'reject always' shown in FIG.

이때 사용자가 '항상 허용'을 선택하면 웹브라우저 악성행위 차단장치(200)는 316단계에서 이를 판단하고, 318단계로 진행하여 웹브라우저(100)의 프로세스 실행/종료(140)를 허용한다. In this case, when the user selects 'Always Allowed', the web browser malicious behavior blocking device 200 determines this in step 316, and proceeds to step 318 to allow the process execution / end 140 of the web browser 100.

그리고 웹브라우저 악성행위 차단장치(200)는 웹브라우저(100)가 실행/종료를 시도한 프로세스를 사용자허용프로세스목록(234)에 추가하고, 이후에 해당 프로세스 실행/종료(140)에 대한 웹브라우저(100)의 시도를 자동으로 허용한다. In addition, the web browser malicious activity blocking device 200 adds a process that the web browser 100 attempts to execute / end to the user allowed process list 234, and then executes a web browser (140) for the corresponding process execution / end. Allow 100 attempts automatically.

그러나 316단계에서 사용자가 '항상 거부'를 선택한 것으로 판단될 경우에 웹브라우저 악성행위 차단장치(200)는 320단계로 진행하여 웹브라우저(100)의 프로세스 실행/종료(140)를 차단하고, 웹브라우저(100)가 실행/종료를 시도한 프로세스를 사용자거부프로세스목록(234)에 추가시킨다. However, if it is determined in step 316 that the user has selected 'always deny', the web browser malicious activity blocking device 200 proceeds to step 320 to block the process execution / end 140 of the web browser 100 and the web. The browser 100 adds the process that attempted to run / end to the user rejection process list 234.

그리고 웹브라우저(100)가 해당 프로세스 실행/종료(140)를 다시 시도하면 웹브라우저 악성행위 차단장치(200)는 자동으로 웹브라우저(100)의 프로세스 실행/종료(140)를 차단한다.When the web browser 100 attempts the process execution / end 140 again, the web browser malicious behavior blocking apparatus 200 automatically blocks the process execution / end 140 of the web browser 100.

한편 316단계에서 사용자가 '이번만 허용'을 선택한 것으로 판단되면 웹브라우저 악성행위 차단장치(200)는 318단계로 진행하여 웹브라우저(100)의 프로세스 실행/종료(140)를 허용한다.On the other hand, if it is determined in step 316 that the user has selected 'allow only this time', the web browser malicious behavior blocking apparatus 200 proceeds to step 318 to allow process execution / end 140 of the web browser 100.

그러나 316단계에서 사용자가 '이번만 거부'를 선택한 것으로 판단될 경우에는 320단계로 진행하여 웹브라우저(100)의 프로세스 실행/종료(140)를 차단한다.However, if it is determined in step 316 that the user selects 'only this time', the process proceeds to step 320 to block execution / end 140 of the web browser 100.

상술한 바와 같이 본 발명에 따른 웹브라우저 악성행위 차단장치(200)는 웹 브라우저(100)가 접근을 시도하는 시스템자원을 감시하고, 미리 설정된 프로세스에 따라 시스템자원의 접근을 허용 또는 차단한다.As described above, the web browser malicious activity blocking apparatus 200 according to the present invention monitors the system resources that the web browser 100 attempts to access, and permits or blocks the access of the system resources according to a preset process.

또한 본 발명은 사용자의 의지에 따라 웹브라우저(100)의 시스템자원 접근을 허용 또는 차단한다.In addition, the present invention allows or blocks access to system resources of the web browser 100 according to the user's will.

상술한 본 발명에서는 구체적인 실시 예에 관해 설명하였으나, 여러가지 변형을 본 발명의 범위에서 벗어나지 않고 실시할 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위와 특허청구범위의 균등한 것들에 의해 정해져야 한다.While the present invention has been described with respect to specific embodiments, various modifications can be made without departing from the scope of the present invention. Therefore, the scope of the present invention should not be defined by the described embodiments, but should be determined by the equivalents of the claims and claims.

도 1은 본 발명의 실시 예에 따른 웹브라우저 시스템 구성도,1 is a configuration diagram of a web browser system according to an embodiment of the present invention;

도 2는 본 발명의 실시 예에 따른 웹브라우저 악성행위 차단장치의 내부 구성도,2 is an internal configuration of a web browser malicious behavior blocking device according to an embodiment of the present invention,

도 3은 본 발명의 실시 예에 따른 웹브라우저 악성행위 차단장치에서 악성행위를 차단하기 위한 제어 흐름도,3 is a control flowchart for blocking malicious behavior in a web browser malicious behavior blocking apparatus according to an embodiment of the present invention;

도 4는 본 발명의 실시 예에 따른 웹브라우저의 파일자원 접근에 대한 화면 예시도,4 is an exemplary view showing a file resource access of a web browser according to an embodiment of the present invention;

도 5는 본 발명의 실시 예에 따른 웹브라우저의 파일자원 접근에 대한 사용자 동의를 요청하는 화면 예시도,5 is an exemplary screen for requesting user consent for accessing a file resource of a web browser according to an embodiment of the present invention;

도 6은 본 발명의 실시 예에 따른 웹브라우저의 레지스트리자원 접근에 대한 사용자 동의를 요청하는 화면 예시도,6 is an exemplary screen for requesting user consent for accessing a registry resource of a web browser according to an embodiment of the present invention;

도 7은 본 발명의 실시 예에 따른 웹브라우저의 프로세스 실행에 대한 사용자 동의를 요청하는 화면 예시도. 7 is an exemplary screen for requesting user consent for process execution of a web browser according to an embodiment of the present invention.

Claims (10)

웹브라우저가 프로그램 실행 시 상기 웹브라우저의 동작을 위해 접근을 허용 또는 차단하는 파일들의 목록인 기본허용/거부파일목록 및 사용자의 설정에 의해 상기 웹브라우저의 접근이 허용 또는 차단되는 사용자 허용/거부파일목록에 근거하여 적어도 하나의 파일자원에 접근하는 것을 감시하고 상기 접근을 허용하거나 차단하는 파일보호모듈과, User allow / deny file to allow or block access to the web browser by setting the default allow / deny file list, which is a list of files that allow or block access for the operation of the web browser when the program is executed by the web browser A file protection module for monitoring access to at least one file resource based on the list and allowing or blocking the access; 상기 웹브라우저가 프로그램 실행 시 상기 웹브라우저의 동작을 위해 접근을 허용 또는 차단하는 레지스트리들의 목록인 기본허용/거부레지스트리목록 및 사용자의 설정에 의해 상기 웹브라우저의 접근이 허용 또는 차단되는 사용자허용/거부레지스트리목록에 근거하여 적어도 하나의 레지스트리자원에 접근하는 것을 감시하고 상기 접근을 허용하거나 차단하는 레지스트리보호모듈과, Allow / Deny user access or allow of the web browser by setting the default allow / deny registry list and a list of registries which allow or block access for the operation of the web browser when the web browser is executed. A registry protection module for monitoring access to at least one registry resource based on the registry list and allowing or blocking the access; 상기 웹브라우저가 프로그램 실행 시 상기 웹브라우저의 동작을 위해 프로세스 실행 또는 종료를 허용 또는 차단하는 프로세스들의 목록인 기본허용/거부프로세스목록 및 사용자의 설정에 의해 상기 웹브라우저의 프로세스 실행 또는 종료가 허용 또는 차단되는 프로세스들의 목록인 사용자허용/거부프로세스목록에 근거하여 적어도 하나의 프로세스를 실행/종료하는 것을 감시하고 상기 실행/종료를 허용하거나 차단하는 프로세스보호모듈을 포함하는 것을 특징으로 하는 웹브라우저를 통한 악성행위 차단장치. When the web browser executes a program, the execution or termination of a process of the web browser is allowed by the user's setting of a default allow / deny process list and a list of processes that allow or block a process execution or termination for the operation of the web browser. A process protection module that monitors the execution / termination of at least one process based on the user allowed / denied process list which is a list of blocked processes and allows or blocks the execution / termination through a web browser. Malicious behavior blocking device. 제1 항에 있어서, 상기 파일보호모듈은,The method of claim 1, wherein the file protection module, 상기 웹브라우저가 적어도 하나의 파일자원에 접근을 시도하는지 감시하고, 상기 접근이 시도된 적어도 하나의 파일자원의 정보를 파일접근 차단기로 전송하는 파일접근 감시기와, A file access monitor that monitors whether the web browser attempts to access at least one file resource, and transmits information of the at least one file resource attempted to a file access blocker; 상기 파일접근 감시기로부터 수신된 적어도 하나의 파일자원에 대한 상기 웹브라우저의 접근허용 여부를 상기 기본허용/거부파일목록 및 상기 사용자 허용/거부파일목록에 근거하여 판단하고 상기 웹브라우저의 접근을 허용 또는 차단하는 상기 파일접근 차단기를 포함하는 것을 특징으로 하는 웹브라우저를 통해 악성행위 차단장치. The access of the web browser to at least one file resource received from the file access monitor is determined based on the basic allow / deny file list and the user allow / deny file list, and the access of the web browser is allowed or Malicious behavior blocking device through a web browser, characterized in that it comprises a file access blocker to block. 제1 항에 있어서, 상기 레지스트리보호모듈은,The method of claim 1, wherein the registry protection module, 상기 웹브라우저가 적어도 하나의 레지스트리자원에 접근을 시도하는지 감시하고, 상기 접근이 시도된 적어도 하나의 레지스트리자원의 정보를 레지스트리접근 차단기로 전송하는 레지스트리접근 감시기와, A registry access monitor that monitors whether the web browser attempts to access at least one registry resource, and transmits information of the at least one registry resource attempted to the registry access blocker; 상기 레지스트리접근 감시기로부터 수신된 적어도 하나의 레지스트리자원에 대한 상기 웹브라우저의 접근허용 여부를 상기 기본허용/거부레지스트리목록 및 상기 사용자 허용/거부레지스트리목록에 근거하여 판단하고, 상기 웹브라우저의 접근을 허용 또는 차단하는 상기 레지스트리접근 차단기를 포함하는 것을 특징으로 하는 웹브라우저를 통한 악성행위 차단장치. Determine whether to allow the web browser access to at least one registry resource received from the registry access monitor based on the basic allow / deny registry list and the user allow / deny registry list, and allow access to the web browser. Or blocking the malicious activity through the web browser, the registry access blocker blocking the block. 제1 항에 있어서, 상기 프로세스보호모듈은,The method of claim 1, wherein the process protection module, 상기 웹브라우저가 적어도 하나의 프로세스 실행 또는 종료를 시도하는지 감시하고, 상기 실행 또는 종료가 시도된 적어도 하나의 프로세스 정보를 프로세스접근 차단기로 전송하는 프로세스접근 감시기와, A process access monitor that monitors whether the web browser attempts to execute or terminate at least one process, and transmits at least one process information attempted to execute or terminate to a process access blocker; 상기 프로세스접근 감시기로부터 수신된 적어도 하나의 프로세스에 대한 상기 웹브라우저의 실행/종료허용 여부를 상기 기본허용/거부프로세스목록 및 상기 사용자 허용/거부프로세스목록에 근거하여 판단하고, 상기 웹브라우저의 프로세스 실행/종료를 허용 또는 차단하는 상기 프로세스접근 차단기를 포함하는 것을 특징으로 하는 웹브라우저를 통한 악성행위 차단장치. Determining whether the web browser is allowed to execute or terminate at least one process received from the process access monitor based on the basic allow / deny process list and the user allow / deny process list, and execute the process of the web browser. Apparatus for blocking malicious behavior through the web browser, characterized in that it comprises a process access blocker for allowing or blocking the termination. 악성행위 차단장치에서 웹브라우저를 통한 악성행위를 차단하는 방법에 있어서, 상기 방법은In the malicious activity blocking device to block malicious behavior through a web browser, the method 웹브라우저가 프로그램 실행시 파일자원에 대한 접근, 레지스트리자원에 대한 접근 및 프로세스 실행/종료 중에서 적어도 어느 하나를 시도하는지 상기 악성행위 차단장치가 감시하는 단계와,Monitoring, by the malicious activity blocking device, whether the web browser attempts at least one of access to file resources, access to registry resources, and process execution / end when the program is executed; 상기 웹브라우저가 적어도 하나의 파일자원에 접근을 시도한다면, 상기 접근이 시도된 파일자원이 기본허용/거부파일목록 및 사용자에 의해 설정된 사용자 허용/거부파일목록중 어느 하나에 포함되어 있는지 상기 악성행위 차단장치가 판단하는 단계와, If the web browser attempts to access at least one file resource, whether the file resource attempted to access is included in one of a basic allow / deny file list and a user allow / deny file list set by the user. Determining the blocking device, 상기 웹브라우저가 적어도 하나의 레지스트리자원에 접근을 시도하면 상기 접근이 시도된 레지스트리자원이 기본허용/거부레지스트리자원목록 및 사용자에 의해 설정된 사용자 허용/거부레지스트리자원목록 중 어느 하나에 포함되어 있는지 상기 악성행위 차단장치가 판단하는 단계와, If the web browser attempts to access at least one registry resource, whether the registry resource attempted to access is included in one of a basic allow / deny registry resource list and a user allow / deny registry resource list set by a user Determining the behavior blocking device, 상기 웹브라우저가 적어도 하나의 프로세스 실행/종료를 시도하면 상기 실행/종료가 시도된 프로세스가 기본허용/거부프로세스목록 및 사용자에 의해 설정된 사용자허용/거부프로세스목록중 어느 하나에 포함되어 있는지 상기 악성행위 차단장치가 판단하는 단계와, When the web browser attempts to execute / end at least one process, whether the process attempted to execute / terminate is included in one of a default allow / deny process list and a user allow / deny process list set by a user. Determining the blocking device, 상기 악성행위 차단장치가 상기와 판단한 결과들을 이용하여 상기 웹브라우저의 파일자원에 대한 접근, 레지스트리자원에 대한 접근 및 상기 프로세스 실행/종료에 대하여 허용 또는 차단하는 단계Allowing or blocking the malicious behavior blocking device to access the file resource of the web browser, access to the registry resource, and execute / end the process using the results determined above. 를 포함하는 웹브라우저를 통한 악성행위 차단방법. How to block malicious behavior through a web browser, including. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020080047443A 2007-10-12 2008-05-22 Apparatus and method for monitor and protect system resources from web browsers KR101033932B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US12/208,401 US8336097B2 (en) 2007-10-12 2008-09-11 Apparatus and method for monitoring and protecting system resources from web browser

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20070103038 2007-10-12
KR1020070103038 2007-10-12

Publications (2)

Publication Number Publication Date
KR20090037789A KR20090037789A (en) 2009-04-16
KR101033932B1 true KR101033932B1 (en) 2011-05-11

Family

ID=40762321

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080047443A KR101033932B1 (en) 2007-10-12 2008-05-22 Apparatus and method for monitor and protect system resources from web browsers

Country Status (1)

Country Link
KR (1) KR101033932B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160061141A (en) 2014-11-21 2016-05-31 에스케이텔레콤 주식회사 Method and apparatus for blocking web page attack

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101277516B1 (en) * 2010-11-03 2013-07-30 주식회사 안랩 Method and apparatus for blocking external access of process, and recording medium having computer program therefor
KR102310219B1 (en) * 2021-04-06 2021-10-08 주식회사 위엔 Apparatus for enhancementing personal information security and method thereof

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010092001A (en) * 2001-09-04 2001-10-24 공현식 An advertising method using WEB brower
KR20020075601A (en) * 2001-03-26 2002-10-05 주식회사데이콤 Linux System and Operating Method of the Linux System having improved access control function
KR20040056998A (en) * 2002-12-24 2004-07-01 한국전자통신연구원 Method and Apparatus for Detecting Malicious Executable Code using Behavior Risk Point
KR20060123024A (en) * 2004-02-17 2006-12-01 마이크로소프트 코포레이션 Tiered object-related trust decisions

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020075601A (en) * 2001-03-26 2002-10-05 주식회사데이콤 Linux System and Operating Method of the Linux System having improved access control function
KR20010092001A (en) * 2001-09-04 2001-10-24 공현식 An advertising method using WEB brower
KR20040056998A (en) * 2002-12-24 2004-07-01 한국전자통신연구원 Method and Apparatus for Detecting Malicious Executable Code using Behavior Risk Point
KR20060123024A (en) * 2004-02-17 2006-12-01 마이크로소프트 코포레이션 Tiered object-related trust decisions

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160061141A (en) 2014-11-21 2016-05-31 에스케이텔레콤 주식회사 Method and apparatus for blocking web page attack

Also Published As

Publication number Publication date
KR20090037789A (en) 2009-04-16

Similar Documents

Publication Publication Date Title
US8336097B2 (en) Apparatus and method for monitoring and protecting system resources from web browser
EP3123311B1 (en) Malicious code protection for computer systems based on process modification
US8973136B2 (en) System and method for protecting computer systems from malware attacks
EP3115920B1 (en) System and method of controlling opening of files by vulnerable applications
US7743336B2 (en) Widget security
US8161563B2 (en) Running internet applications with low rights
US8429741B2 (en) Altered token sandboxing
US20100175104A1 (en) Safe and secure program execution framework with guest application space
US20110239306A1 (en) Data leak protection application
EP2904535B1 (en) Limiting the functionality of a software program based on a security model
US20090150990A1 (en) Integrated access authorization
JP2007249782A (en) Electronic data leakage prevention program
CN106557669A (en) A kind of authority control method and device of application program installation process
US20130061320A1 (en) Computer Device with Anti-Tamper Resource Security
Schmid et al. Protecting data from malicious software
CN106557687A (en) A kind of authority control method and device of application program installation process
KR20060050768A (en) Access authorization api
KR101033932B1 (en) Apparatus and method for monitor and protect system resources from web browsers
KR20160061141A (en) Method and apparatus for blocking web page attack
AU2005209678B2 (en) Integrated access authorization
KR100925508B1 (en) Apparatus and method for managing execution of activex control
CN111222122A (en) Application authority management method and device and embedded equipment
KR100985073B1 (en) Apparatus for controlling access to shared folders on computer networks and method thereof
Carikli et al. The Intel Management Engine: An Attack on Computer Users’ Freedom
Iannillo et al. An REE-independent Approach to Identify Callers of TEEs in TrustZone-enabled Cortex-M Devices

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140326

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160328

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170406

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180406

Year of fee payment: 8