KR20180106430A - Network and host-based malware infection prevention system - Google Patents

Network and host-based malware infection prevention system Download PDF

Info

Publication number
KR20180106430A
KR20180106430A KR1020170034751A KR20170034751A KR20180106430A KR 20180106430 A KR20180106430 A KR 20180106430A KR 1020170034751 A KR1020170034751 A KR 1020170034751A KR 20170034751 A KR20170034751 A KR 20170034751A KR 20180106430 A KR20180106430 A KR 20180106430A
Authority
KR
South Korea
Prior art keywords
malicious code
recording medium
network
information
scan server
Prior art date
Application number
KR1020170034751A
Other languages
Korean (ko)
Inventor
백진성
Original Assignee
백진성
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 백진성 filed Critical 백진성
Priority to KR1020170034751A priority Critical patent/KR20180106430A/en
Publication of KR20180106430A publication Critical patent/KR20180106430A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a system for preventing a malicious code infection based on a network and a host, which comprises: an electronic recording medium for enabling a user to perform an Internet or network communication; a first scan server for generating a first hash map of an Internet domain; a second scan server for generating a second hash map and transmitting an analysis request based on the second hash map; and a third scan server for performing JavaScript rendering.

Description

네트워크 및 호스트 기반의 악성코드 감염 예방 시스템{NETWORK AND HOST-BASED MALWARE INFECTION PREVENTION SYSTEM}[0001] NETWORK AND HOST-BASED MALWARE INFECTION PREVENTION SYSTEM [0002]

본 발명은 네트워크 및 호스트기반의 악성코드 감염 예방 시스템 및 방법에 관한 것으로, 보다 상세하게는 네트워크와 호스트를 악성코드로부터 보호할 수 있는 네트워크 및 호스트기반의 악성코드 감염 예방 시스템에 관한 것이다.The present invention relates to a network and host-based malicious code infection prevention system and method, and more particularly, to a network and host-based malicious code infection prevention system capable of protecting a network and a host from malicious code.

일반적으로, 개인정보는 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 알아볼 수 있는 정보를 말한다. 또한, 해당 정보만으로는 개인을 식별할 수 없더라도 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 경우, 개인정보에 포함된다고 볼 수 있다. 즉, 하나의 정보 혹은 두 개 이상의 정보들이 모여서 개인을 식별할 수 있다면 개인정보라고 할 수 있다. In general, personal information is information about a living individual, which can be identified through a name, resident registration number, and images. In addition, if the information alone can not identify an individual but can be easily identified by combining other information, it can be considered to be included in personal information. That is, if one information or two or more pieces of information can be gathered to identify an individual, it can be called personal information.

개인정보의 범위는 과거에는 이름, 주민등록번호, 생년월일, 주소 등의 단순한 신분정보를 의미하였으나 오늘날에는 개인의 위치정보, 바이오정보를 비롯한 개인의 기호, 성향, 신념, 사상까지 포함될 정도로 매우 광범위해졌습니다. 이러한 개인정보가 노출되어 악용될 경우 막대한 경제적, 정신적 피해가 발생할 수 있으므로 홈페이지를 통해 노출되지 않도록 특별히 주의해서 관리해야 할 필요가 있다.In the past, the scope of personal information meant simple identification information such as name, resident registration number, date of birth, address, and so on. Today, however, it has become very wide to include personal information such as personal location information, bio information and personal preferences, inclinations, beliefs and ideas. If such personal information is exposed and abused, it may cause enormous financial and mental harm. Therefore, it is necessary to take special care to prevent exposure through the homepage.

최근에는, 인터넷 기술이 계속해서 발달해가고 있고 인터넷의 이용이 전세계적으로 상용화 되면서 사람들의 온라인 접속활동이 증가하고 있고, 생활의 편의성이 점점 높아지고 있는 반면에 온라인상에서 타인에 의한 노출이 쉽게 이루어지고 있다.In recent years, as Internet technology continues to develop and the use of the Internet has become commercially available all over the world, the online access activity of people has been increasing and the convenience of living has been increasing, have.

또한, 인터넷 해커들의 활동량과 침해기술도 따라서 높아지면서 개인정보 및 기업기밀의 유출 등으로 네티즌 및 기업의 사이버 피해가 증가하고 있다. 이러한 개인정보 및 기업의 기밀유출은 악성코드를 이용한 사이버 공격으로 인해 발생하고 있다.In addition, as the activity and infringement technology of Internet hackers increase, cyber damages of netizens and corporations are increasing due to leak of personal information and confidential company information. Such personal information and corporate confidentiality are caused by cyber attacks using malicious code.

악성코드는 악의적인 목적을 위해 작성된 자동실행이 가능한 코드의 통칭을 말하며, 자기복제능력과 감염 대상 유무에 따라 바이러스, 웜, 트로이목마, 스파이웨어, 애드웨어, 랜섬웨어, 키로그 등으로 분류된다. 최근에는, 악성코드의 증상이나 유포 방법이 복잡해지고 지능화하고 있어서 기존 안티바이러스 프로그램이나 전용백신 프로그램들은 다양한 악성코드를 진단하고 치료할 수 있는 통합보안 프로그램들이 개발되고 있다.Malicious code refers to code that can be executed automatically for malicious purpose. It is classified into virus, worm, Trojan horse, spyware, adware, Ransomware, and keylog, depending on the ability to self-replicate and the target of infection. In recent years, the symptoms and distribution methods of malicious codes have become complicated and intelligent, so that existing antivirus programs and dedicated anti-virus programs are being developed as integrated security programs capable of diagnosing and treating various malicious codes.

특히, 기업이 보유하고 있는 기밀문서나 기업내부에서 비밀리에 개발되고 있는 기술의 정보, 영업정보, 데이터베이스에 대한 피해가 막대하기 때문에 기업에 대한 사이버 공격에 대응할 수 있는 기업보안체계가 제대고 이루어져야 할 필요가 있다.Especially, since the confidential documents possessed by corporations and the information of secretly developed technologies, sales information and databases are damaged, it is necessary to implement a corporate security system that can cope with cyber attacks against corporations There is a need.

그러나, 종래의 보안체계 시스템이나 기술들은 크게 보안체계 영역에서 볼 때, 네트워크 영역과 호스트 영역으로 분류되는 2가지 보안체계로 구성되는데, 네트워크 영역만 관리하는 보안시스템이나 호스트 영역만 관리하는 보안시스템이 따로 구성되기에, 보안시스템 관리자 입장에서는 관리하기에 불편한 애로사항이 많고, 시스템 점검이나 고장복구 시 인건비와 보안관리체계가 혼란이 오는 문제점이 있다.However, the conventional security system or technology is composed of two security systems classified into a network area and a host area in a security system area. A security system that manages only a network area or a security system that manages only a host area There are many inconveniences that are difficult for the security system administrator to manage, and there is a problem that the personnel cost and the security management system are confused when the system is checked or the malfunction is restored.

대한민국 공개특허공보 10-2016-0142268 (2016년 12월 12일)Korean Patent Publication No. 10-2016-0142268 (December 12, 2016) 대한민국 공개특허공보 10-2012-0078016 (2012년 07월 10일)Korean Patent Publication No. 10-2012-0078016 (Jul. 10, 2012)

본 발명은 상기의 문제를 해결하기 위해서 안출된 것으로, 네트워크 영역과 호스트 영역을 통합적으로 관리하고 악성코드의 유포나 접근을 차단할 수 있는 네트워크 및 호스트 기반의 악성코드 감염 예방 시스템을 제공하는 것을 목적으로 한다.It is an object of the present invention to provide a network and host-based malicious code infection prevention system capable of integrally managing a network area and a host area, and preventing malicious code from being distributed or accessed. do.

본 발명이 해결하고자 하는 과제들은 이상에서 언급한 과제로 제한되지 않으며, 여기에 언급되지 않은 본 발명이 해결하고자 하는 또 다른 과제들은 아래의 기재로부터 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The problems to be solved by the present invention are not limited to the above-mentioned problems, and other problems to be solved by the present invention, which are not mentioned here, As will be appreciated by those skilled in the art.

상기 과제의 해결 수단에 의해, 본 발명의 네트워크 및 호스트 기반의 악성 코드 예방 시스템은, 사용자가 인터넷 또는 네트워크 통신이 가능하게 하는 전자기록매체; 사용자가 상기 전자기록매체를 통해 접속한 인터넷 도메인의 정보를 수집하기 위해 수집요청정보를 상기 인터넷 도메인으로 전송하고, 요청 정보에 응답한 응답정보를 수신하면 상기 인터넷 도메인의 제1 해쉬맵(Hashmap)을 생성하는 제1 스캔서버; 상기 제1 스캔서버로부터 상기 제1 해쉬맵을 수신받고, 상기 인터넷 도메인으로 URL(Uniform Resource Locator)을 요청하고, 요청에 미응답하면 상기 URL의 수집을 종료하고, 요청에 응답하면 상기 URL을 수신한 후 크롤링(Crawling)을 하여 수신한 상기 URL을 페이지 단위로 링크를 추출하고, 추출한 상기 링크의 정보을 기반으로 제2 해쉬맵을 생성하고, 상기 제2 해쉬맵을 기반으로 한 분석요청을 전송하는 제2 스캔서버; 및 상기 제2 스캔서버에서 전송한 상기 분석요청과 상기 제2 해쉬맵을 수신받고, 수신한 정보의 HTML(Hyperlink Text Markup) 또는 자바스크립트의 난독화 여부를 확인하고, 상기 HTML 또는 상기 자바스크립트에서 난독화 코드가 발견되면 상기 난독화 코드를 복호화하기 위해 자바스크립트 렌더링을 수행하는 제3 스캔서버;를 포함한다.According to a solution of the above-mentioned problem, the network and host-based malicious code prevention system of the present invention is an electronic recording medium in which a user enables Internet or network communication; A first hash map (Hashmap) of the Internet domain is transmitted to the Internet domain when the user transmits collection request information to the Internet domain to collect information of the Internet domain accessed by the user via the electronic record medium, A first scan server for generating a first scan request; Receives the first hash map from the first scan server, requests a URL (Uniform Resource Locator) from the Internet domain, terminates collection of the URL if the request is not answered, and receives the URL Extracts a link on a page-by-page basis of the received URL by performing crawling, generates a second hash map based on the extracted information of the link, and transmits an analysis request based on the second hash map A second scan server; And receiving the analysis request and the second hash map transmitted from the second scan server and checking whether the received information is obfuscated with Hyperlink Text Markup or JavaScript, And a third scan server for performing JavaScript rendering to decode the obfuscated code if the obfuscated code is found.

또한, 다수개의 악성코드 DB 도메인을 통해 악성코드 DB를 입력받고, 상기 악성코드 DB의 엔진버전을 상시로 업데이트하고, 상기 전자기록매체의 네트워크와 연동하여 상기 악성코드 DB의 엔진데이터를 상기 전자기록매체로 전송하는 모니터링서버를 더 포함하는 것을 특징으로 한다.In addition, the malicious code DB is input through a plurality of malicious code DB domains, the engine version of the malicious code DB is constantly updated, and the engine data of the malicious code DB is interlocked with the network of the electronic record medium, And a monitoring server for transmitting the data to the medium.

또한, 상기 전자기록매체는 전자우편 또는 이동식 저장매체 중 적어도 하나의 방식을 이용하는 이동식 기록매체가 사용되면 상기 악성코드 DB와 연동하여 상기 이동식 기록매체의 데이터에 대한 무결성을 검사하는 에이전트 프로그램을 포함하는 것을 특징으로 한다.Also, the electronic record medium may include an agent program for checking the integrity of data of the removable recording medium in cooperation with the malicious code DB when a removable recording medium using at least one of an electronic mail or a removable storage medium is used .

또한, 상기 에이전트 프로그램은 상기 전자기록매체의 API(Application Programming Interface) 호출빈도를 기록하고, 상기 무결성에 대한 검사결과를 상시로 저장하고 상기 전자기록매체로 전송하는 것을 특징으로 한다.Also, the agent program records the API (Application Programming Interface) call frequency of the electronic record medium, and always stores the check result of the integrity and transmits the result to the electronic record medium.

또한, 상기 제1 스캔서버는 적어도 4계층 이상의 접속계층으로 형성되는 스위치 허브와 연결되고, 상기 스위치 허브에서 패킷 미러링(Packet Mirroring)을 실행하도록 실행명령을 전송하는 것을 특징으로 한다.In addition, the first scan server is connected to a switch hub having at least four connection layers and transmits an execution command to perform packet mirroring in the switch hub.

또한, 상기 패킷 미러링을 실행한 상기 스위치 허브의 영역에 대해, 사용자가 접속한 외부 홈페이지 접속기록을 수신받고, 상기 전자기록매체로 상기 외부 홈페이지 접속기록을 전송하는 것을 특징으로 한다.In addition, the control unit receives the external-homepage access record to which the user has accessed the area of the switch hub that has performed the packet mirroring, and transmits the external homepage access record to the electronic record medium.

상기 과제의 해결 수단에 의해, 본 발명의 네트워크 및 호스트 기반의 악성코드 예방 시스템은, 기관과 기업 등 내부 사용자의 인터넷 접근을 통제하여 악성코드 유포사이트 접근을 차단할 수 있는 효과가 있다.According to the solution of the above problem, the network and host-based malicious code prevention system of the present invention has the effect of blocking the malicious code distribution site access by controlling the internet access of internal users such as an organization and a company.

또한, 악성코드 유포 홈페이지 탐지 엔진을 구비한 서버를 개발하고 데이터베이스를 구축하여 침입을 시도하는 악성코드를 차단할 수 있는 효과가 있다.In addition, a server having a malicious code distribution homepage detection engine is developed, and a database is constructed, thereby blocking malicious codes from intrusion attempts.

도 1은 본 발명의 일실시예에 따른 네트워크 및 호스트 기반의 악성코드 예방 시스템의 전체적인 구조를 나타낸 도면이다.
도 2는 본 발명의 다른 실시예에 따른 네트워크 및 호스트 기반의 악성코드 예방 시스템의 전체적인 구조를 나타낸 도면이다.
도 3는 본 발명의 일실시예에 따른 네트워크 및 호스트 기반의 실제 동작흐름의 예시를 도식화한 플로차트이다. FIG. 1 is a diagram illustrating the overall structure of a network and host-based malicious code prevention system according to an embodiment of the present invention. Referring to FIG.
FIG. 2 is a diagram illustrating the overall structure of a network and host-based malicious code prevention system according to another embodiment of the present invention.
Figure 3 is a flow chart illustrating an example of a network and host based actual operational flow in accordance with one embodiment of the present invention.

이상과 같은 본 발명에 대한 해결하고자 하는 과제, 과제의 해결 수단, 발명의 효과를 포함한 구체적인 사항들은 다음에 기재할 실시예 및 도면들에 포함되어 있다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. The above and other objects, features and advantages of the present invention will be more apparent from the following detailed description taken in conjunction with the accompanying drawings, in which: FIG. BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and the manner of achieving them, will be apparent from and elucidated with reference to the embodiments described hereinafter in conjunction with the accompanying drawings.

덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 ‘연결’되어 있다고 할 때, 이는 ‘직접적으로 연결’되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 ‘간접적으로 연결’되어 있는 경우도 포함한다. 또한, 어떤 구성요소를 ‘포함’한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다.In addition, in the entire specification, when a part is referred to as being 'connected' to another part, it may be referred to as 'indirectly connected' not only with 'directly connected' . Also, to "include" an element means that it may include other elements, rather than excluding other elements, unless specifically stated otherwise.

이하, 첨부된 도면을 참조하여 본 발명을 보다 상세히 설명하기로 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The present invention will be described in more detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 네트워크 및 호스트 기반의 악성코드 예방 시스템의 구조흐름을 나태낸 도면이다.FIG. 1 is a diagram illustrating a structure of a network and host-based malicious code prevention system according to an embodiment of the present invention.

도 1을 참조하여 본 발명에 따른 네트워크 및 호스트 기반의 악성코드 예방 시스템을 자세히 설명하면, 전자기록매체(10), 제1 스캔서버(20), 제2 스캔서버(30), 제3 스캔서버(40)로 구성된다.Referring to FIG. 1, a network and host-based malicious code prevention system according to the present invention will be described in detail. Referring to FIG. 1, (40).

먼저, 전자기록매체(10)는 데스크톱, 노트북, 태블릿 PC, 휴대폰, 스마트폰, PDA 등의 인터넷 또는 인트라넷 접속이 가능하며 사용자가 입력하는 데이터의 기록이 가능한 장치로 구성된다.First, the electronic recording medium 10 is composed of a device capable of accessing the Internet or intranet such as a desktop, a notebook, a tablet PC, a mobile phone, a smart phone, a PDA and the like and capable of recording data inputted by a user.

다음으로, 제1 스캔서버(20)는 사용자가 전자기록매체(10)를 이용해 인터넷 등의 온라인 네트워크에 접속을 시도하면, 접속한 인터넷의 도메인 정보를 수집하기 위해 수집에 필요한 요청정보를 인터넷 도메인으로 전송하고, 도메인이 요청에 응답하여 전송되는 요청정보를 수신하고, 수신한 정보들을 분석에 알맞은 데이터함수를 구성하기 위해 제1 해쉬맵을 생성하는 것을 특징으로 한다.Next, when the user attempts to access an online network such as the Internet using the electronic recording medium 10, the first scan server 20 transmits request information necessary for collection to the Internet domain The domain receives the request information transmitted in response to the request, and generates the first hash map to construct a data function suitable for analysis of the received information.

다음으로, 제2 스캔서버(30)는 제1 스캔서버(20)에서 생성한 제1 해쉬맵을 수신하고, 사용자가 접속한 도메인의 URL를 수집하기 위해 URL 요청코드를 생성하여 도메인으로 전송한다. 그 다음, URL 요청코드를 수신한 인터넷 도메인이 요청에 미응답 시 URL의 수신대기를 종료하고, 인터넷 도메인이 요청에 응답 시 URL을 수신하여 크롤링(Crawling) 작업을 수행하고, 수신한 URL을 페이지 단위로 링크를 추출한다. Next, the second scan server 30 receives the first hash map generated by the first scan server 20, generates a URL request code for collecting the URL of the domain accessed by the user, and transmits the generated URL request code to the domain . Then, the Internet domain that has received the URL request code terminates the reception of the URL in response to the request, the Internet domain receives the URL in response to the request, performs a crawling operation, The link is extracted in units.

여기에서, 수신한 URL을 페이지 단위로 추출하는 것은 종래에 사용하던 방식은 일반적으로 URL을 기준으로 웹페이지를 다단계 방식으로 추출하는 방식을 사용하는데 이러한 방식은 불필요한 컨텐츠 수집이 이루어지며, 데이터 수신을 위한 메모리 자원이 낭비되는 문제가 발생하기에 본 발명에는 단계별 추출방식이 아닌 페이지 자체의 단위로 추출하는 방법을 사용하는 것을 특징으로 한다.Here, the method of extracting the received URL on a page-by-page basis uses a method of extracting a web page in a multi-step manner on the basis of a URL in a conventional method. This method is used to collect unnecessary contents, There is a problem that a memory resource for a page is wasted. Therefore, the present invention uses a method of extracting a unit of a page itself rather than a stepwise extraction method.

그리고, 추출한 링크의 정보를 기반으로 제2 해쉬맵을 생성하고, 제2 해쉬맵을 기반으로 분석요청을 전송한다. 예를 들어, 요청 알림을 생성하면, 분석을 수행하는 분석용 서버나 다기능 서버로 전송을 하여 분석수행을 맡기고 대기중인 다른 URL 수신요청을 수신하여 같은 과정을 수행한다.The second hash map is generated based on the extracted link information, and the analysis request is transmitted based on the second hash map. For example, when a request notification is generated, the request is transmitted to the analysis server or the multifunction server that performs analysis, and the analysis is performed, and another URL reception request is received in the same process.

다음으로, 제3 스캔서버(40)는 제2 스캔서버(30)에서 전송한 분석요청을 수신하고, 수신한 정보에 포함된 HTML(Hyperlink Text Markup) 또는 자바스크립트를 분석한다.Next, the third scan server 40 receives the analysis request transmitted from the second scan server 30, and analyzes HTML (Hyperlink Text Markup) or JavaScript included in the received information.

또한, 수신한 HTML(Hyperlink Text Markup) 또는 자바스크립트의 프로그램 코드를 탐색하여 난독화가 되었는지를 확인하고, 난독화 코드가 발견되면 난독화 코드를 복호화하기 위해 자바스크립트 렌더링을 수행하여 코드난독화를 복구시킨다. 난독화 코드가 발견되지 않으면, 자바스크립트 렌더링 작업을 생략한다.In addition, it checks whether the obfuscation has been made by searching the program codes of the received HTML (Hyperlink Text Markup) or JavaScript, and if the obfuscation code is found, performs JavaScript rendering to decode the obfuscation code to recover the code obfuscation . If the obfuscation code is not found, omit the JavaScript rendering operation.

추가적으로 설명하면, 악성코드는 코드 출처를 감추거나 스크립트 분석과 보안장비 분석을 방해하기 위해 코드에 난독화를 적용하는 경우가 많다.In addition, malicious code often obfuscates code to hide its source or to interfere with script analysis and security instrument analysis.

또한, 코드 난독화는 단순 패턴 및 시그니처 매칭 방식의 스크립트 분석 시 문자열 재조합, 자바 스크립트 난독화 등을 통하여 탐지를 우회할 수 있어 명확한 정보를 얻을수가 없는 문제점이 많다. 그렇기에, 악성코드를 추적하거나 탐지에 있어서 스크립트 분석을 위한 코드 난독화의 복호화는 매우 중요한 기술이라 할 수 있고, 복호화를 위해 코드 렌더링이나 리버스 엔지리어링 같은 역해킹 추적기술이 많이 이용되고 있다.In addition, code obfuscation can bypass detection through string reassembly and JavaScript obfuscation in script analysis of simple patterns and signature matching methods, and thus there is a problem that clear information can not be obtained. Therefore, decoding of code obfuscation for script analysis in tracking or detecting malicious code is very important technology, and reverse hacking technology such as code rendering or reverse engineering is widely used for decoding.

도 2는 본 발명의 다른 실시예에 따른 네트워크 및 호스트 기반의 악성코드 예방 시스템의 전체적인 구조를 나타낸 도면이다.FIG. 2 is a diagram illustrating the overall structure of a network and host-based malicious code prevention system according to another embodiment of the present invention.

도 2를 참조하면, 네트워크 및 호스트 기반의 악성코드 예방 시스템은, 다수개의 악성코드 DB를 입력받고, 제3 스캔서버(40)로부터 판단요청을 수신하고 악성코드의 감염여부를 판단하는 모니터링서버(50)를 더 포함한다.Referring to FIG. 2, the network and host-based malicious code prevention system includes a plurality of malicious code DBs, a monitoring server (not shown) for receiving a determination request from the third scan server 40 and determining whether the malicious code is infected 50).

자세히 설명하면, 모니터링서버(50)는 제3 스캔서버(40)에서 분석되고 스크립트 분석 또는 스크립트 렌더링 작업을 거친 분석결과 데이터들을 수신하고, 수신한 정보들의 악성코드 감염 여부를 판단하기 위해 다수의 악성코드 도메인으로부터 수집한 악성코드 DB를 구비하고 있는 특징이 있다.In detail, the monitoring server 50 receives the analysis result data analyzed by the third scan server 40 and has undergone the script analysis or the script rendering operation, and detects a plurality of malicious codes And a malicious code DB collected from the code domain.

또한, 모니터링서버(50)는 수신받은 악성코드 DB를 통해 제3 스캔서버(40)로부터 수신받은 분석결과 데이터와 대조하기 위한 악성코드 DB 엔진을 구성하고, 악성코드 DB 엔진의 업데이트를 상시로 수행한다.Also, the monitoring server 50 constructs a malicious code DB engine for checking against the analysis result data received from the third scan server 40 through the received malicious code DB, and updates the malicious code DB engine at all times do.

또한, 모니터링서버(50)는 사용자가 이용하는 전자기록매체(10)의 네트워크와 연동하여 악성코드 DB의 엔진데이터를 최신으로 갱신하고, 갱신한 엔진데이터를 전자기록매체(10)로 전송하여 전자기록매체(10)의 악성코드 감시 기능을 효과적으로 높일 수 있다.In addition, the monitoring server 50 updates the engine data of the malicious code DB to the latest in cooperation with the network of the electronic recording medium 10 used by the user, transmits the updated engine data to the electronic recording medium 10, The malicious code monitoring function of the medium 10 can be effectively enhanced.

도 3는 본 발명의 일실시예에 따른 네트워크 및 호스트 기반의 실제 동작흐름의 예시를 도식화한 플로차트이다. Figure 3 is a flow chart illustrating an example of a network and host based actual operational flow in accordance with one embodiment of the present invention.

도 3을 참조하면, 본 발명의 네트워크 및 호스트 기반의 악성코드 감염 예방 시스템은, 전자기록매체(10)가 전자우편 또는 이동식 저장매체 등의 이동식 기록매체가 연결되면 모니터링서버(50)의 악성코드 DB와 연동을 수행하고, 이동식 기록매체의 데이터에 대한 무결성을 검사하는 에이전트 프로그램을 더 포함한다.Referring to FIG. 3, the network and host-based malicious code infection prevention system of the present invention is a malicious code infection prevention system in which when an electronic recording medium 10 is connected to a portable recording medium such as an electronic mail or a removable storage medium, And an agent program that performs interworking with the DB and checks the integrity of data on the removable recording medium.

또한, 본 발명은 제1 스캔서버(20)와 연결되며, 제2 스캔서버(30) 또는 제3 스캔서버(40) 중 적어도 하나의 서버와 연결될 수 있으며 4계층 이상의 접속계층으로 형성되어 전자기록매체(10)들을 하나의 플랫폼으로 구성하는 스위칭 허브를 더 포함한다.In addition, the present invention is connected to the first scan server 20 and can be connected to at least one server of the second scan server 30 or the third scan server 40, And further comprises a switching hub that configures the media 10 as one platform.

여기에서, 이동식 기록매체는 전자기록매체(10)의 내부에서 실행되는 전자우편, SNS, SMTP 또는 POP3 같은 외부메일계정을 이용하는 이메일링 시스템 같은 소프트웨어와 USB, SD 카드, MicroSD, 플래시메모리 같은 하드웨어 구조의 외부저장장치가 이용된다.Here, the removable recording medium may be a software such as an e-mail system running on the inside of the electronic recording medium 10, an e-mail ring system using an external mail account such as SNS, SMTP or POP3 and a hardware structure such as USB, SD card, MicroSD, Is used.

에이전트 프로그램은, 전자기록매체(10)에서 API(Application Programming Interface) 호출빈도를 기록하고, 무결성 검사를 수행한 후 제1 스캔서버(20), 제2 스캔서버(30), 제3 스캔서버(40) 중 적어도 하나 이상의 서버에 상시로 저장하고 전자기록매체(10)로 전송한다. 또한, 전자기록매체(10)로 무결성 검사결과를 전송할 시 위험요소가 발견되거나 사용자가 반드시 점검해야할 알림이 발견된다면 알림창을 표시하도록 전자기록매체(10)로 알림을 전송한다.The agent program records the frequency of calling an API (Application Programming Interface) in the electronic recording medium 10 and performs an integrity check on the first scan server 20, the second scan server 30, the third scan server 40, and transmits the same to the electronic recording medium 10. In addition, if a risk factor is found when transmitting the integrity check result to the electronic recording medium 10, or if a notification is found to be surely checked by the user, a notification is transmitted to the electronic recording medium 10 to display a notification window.

여깃에서, API는 운영체제와 응용프로그램 사이의 통신에 사용되는 언어나 메시지 형식을 말하며, 프로그램 내에서 실행을 위해 특정 서브루틴에 연결을 제공하는 함수를 호출하는 것으로 구현된다.The API is a language or message format used to communicate between an operating system and an application program, and is implemented by calling a function that provides a connection to a specific subroutine for execution within the program.

도 2 및 도 3을 참조하면, 제1 스캔서버(20)는 스위치 허브와 연결되고, 스위치 허브에서 패킷 미러링을 실행하도록 하기 위해 실행명령을 전송하는 것을 특징으로 한다. 또한, 패킷 미러링이 아닌 포트 미러링을 수행하기 위해 포트 미러링 실행명령을 전송할 수 도 있으며, 스위치 허브에서 접속된 네트워크 스위치 포트를 통과하는 패킷들을 감시 또는 관찰하기 우해 패킷들을 서버로 복사하는 작업을 수행한다.Referring to FIGS. 2 and 3, the first scan server 20 is connected to a switch hub and transmits an execution command to perform packet mirroring in the switch hub. In addition, the port mirroring execution command may be transmitted to perform port mirroring instead of packet mirroring. In order to monitor or observe packets passing through the network switch port connected to the switch hub, a task of copying the packets to the server is performed .

또한, 본 발명에 기술되고 있지는 않지만, 구조적인 문제로 스위치 허브를 연결하기 힘들 경우에는 제1 스캔서버(20)가 아닌 제2 스캔서버(30) 또는 제3 스캔서버(40)로 연결할 수 있으며, 연결된 서버를 통해 다시 제1 스캔서버(20)로 전송할 수 있는 리커버 루트를 구성할 수 있다.Also, although not described in the present invention, when it is difficult to connect the switch hub due to a structural problem, the second scan server 30 or the third scan server 40 may be connected instead of the first scan server 20 , And configure a recovery route that can be transmitted to the first scan server 20 through the connected server.

패킷 미러링 또는 포트 미러링을 실행한 스위치 허브의 영역에서, 사용자가 접속한 외부 홈페이지 또는 온라인 네트워크의 접속기록을 제1 스캔서버(20)가 수신한다.In the area of the switch hub that has performed packet mirroring or port mirroring, the first scan server 20 receives the access record of the external homepage or online network accessed by the user.

또한, 제1 스캔서버(20)는 사용자가 웹 상의 홈페이지 접속기록 또는 온라인 네트워크의 접속기록이나 감시상황기록을 쉽게 확인할 수 있도록 상기의 접속기록 또는 감시상황기록을 전자기록매체(10)로 전송하여 사용자가 효율적으로 악성코드 감시를 관리할 수 있도록 편의성을 제공할 수 있다.In addition, the first scan server 20 transmits the connection record or the monitoring status record to the electronic recording medium 10 so that the user can easily check the homepage access record on the web or the online network connection record or the surveillance status record It can provide convenience for users to efficiently manage malicious code monitoring.

더 나아가, 본 발명은 종래의 기술들과 비교하여, 보안정보 및 이벤트관리(SIEM) 및 통합보안관리(ESM)과 같은 취약점 관리를 통해 다양한 기관 및 기업 등을 대상으로 맞춤형 컨설팅을 제공하고 내부 위협에 대해 사전에 차단할 수 있는 악성코드 예방 시스템을 제공할 수 있다.Furthermore, the present invention provides customized consulting to various organizations and companies through vulnerability management such as security information and event management (SIEM) and integrated security management (ESM) A malicious code prevention system that can block malicious code in advance can be provided.

이와 같이, 상술한 본 발명의 기술적 구성은 본 발명이 속하는 기술분야의 당업자가 본 발명의 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다.As described above, it is to be understood that the technical structure of the present invention can be embodied in other specific forms without departing from the spirit and essential characteristics of the present invention.

그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해되어야 하고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타나며, 특허청구범위의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.Therefore, it should be understood that the above-described embodiments are to be considered in all respects as illustrative and not restrictive, the scope of the invention being indicated by the appended claims rather than the foregoing description, All changes or modifications that come within the scope of the present invention should be construed as being included within the scope of the present invention.

10 : 전자기록매체
20 : 제1 스캔서버
30 : 제2 스캔서버
40 : 제3 스캔서버
50 : 모니터링서버
21 : 스위칭 허브10: Electronic recording medium
20: First scan server
30: Second scan server
40: Third scan server
50: Monitoring Server
21: Switching hub

Claims (6)

사용자가 인터넷 또는 네트워크 통신이 가능하게 하는 전자기록매체(10);
사용자가 상기 전자기록매체(10)를 통해 접속한 인터넷 도메인의 정보를 수집하기 위해 수집요청정보를 상기 인터넷 도메인으로 전송하고, 요청 정보에 응답한 응답정보를 수신하면 상기 인터넷 도메인의 제1 해쉬맵(Hashmap)을 생성하는 제1 스캔서버(20);
상기 제1 스캔서버(20)로부터 상기 제1 해쉬맵을 수신받고, 상기 인터넷 도메인으로 URL(Uniform Resource Locator)을 요청하고, 요청에 미응답하면 상기 URL의 수집을 종료하고, 요청에 응답하면 상기 URL을 수신한 후 크롤링(Crawling)을 하여 수신한 상기 URL을 페이지 단위로 링크를 추출하고, 추출한 상기 링크의 정보을 기반으로 제2 해쉬맵을 생성하고, 상기 제2 해쉬맵을 기반으로 한 분석요청을 전송하는 제2 스캔서버(30); 및
상기 제2 스캔서버(30)에서 전송한 상기 분석요청과 상기 제2 해쉬맵을 수신받고, 수신한 정보의 HTML(Hyperlink Text Markup) 또는 자바스크립트의 난독화 여부를 확인하고, 상기 HTML 또는 상기 자바스크립트에서 난독화 코드가 발견되면 상기 난독화 코드를 복호화하기 위해 자바스크립트 렌더링을 수행하는 제3 스캔서버(40);
를 포함하는 네트워크 및 호스트 기반의 악성코드 감염 예방 시스템.An electronic recording medium (10) enabling a user to make Internet or network communication;
When the user transmits collection request information to the Internet domain to collect information of the Internet domain accessed by the user through the electronic recording medium 10 and receives response information in response to the request information, A first scan server 20 for generating a hashmap;
Receives the first hash map from the first scan server 20, requests a URL (Uniform Resource Locator) to the Internet domain, terminates collection of the URL if the request is not answered, Extracts a link in units of pages of the received URL by crawling after receiving a URL, generates a second hash map based on the extracted information of the link, and transmits an analysis request based on the second hash map A second scan server 30 for transmitting the first scan request; And
Receives the analysis request and the second hash map transmitted from the second scan server 30, confirms whether the HTML information (Hyperlink Text Markup) or JavaScript of the received information is obfuscated, A third scan server (40) for performing JavaScript rendering to decode the obfuscated code if an obfuscated code is found in the script;
And a host-based malware infection prevention system. 제1항에 있어서,
다수개의 악성코드 DB 도메인을 통해 악성코드 DB를 입력받고, 상기 악성코드 DB의 엔진버전을 상시로 업데이트하고, 상기 전자기록매체(10)의 네트워크와 연동하여 상기 악성코드 DB의 엔진데이터를 상기 전자기록매체(10)로 전송하는 모니터링서버(50)를 더 포함하는 것을 특징으로 하는 네트워크 및 호스트 기반의 악성코드 감염 예방 시스템.The method according to claim 1,
The malicious code DB is received via a plurality of malicious code DB domains, the engine version of the malicious code DB is constantly updated, and the engine data of the malicious code DB is linked with the network of the electronic recording medium 10, And a monitoring server (50) for transmitting the malicious code to the recording medium (10). 제1항에 있어서,
상기 전자기록매체(10)는 전자우편 또는 이동식 저장매체 중 적어도 하나의 방식을 이용하는 이동식 기록매체가 사용되면 상기 악성코드 DB와 연동하여 상기 이동식 기록매체의 데이터에 대한 무결성을 검사하는 에이전트 프로그램을 포함하는 것을 특징으로 하는 네트워크 및 호스트 기반의 악성코드 감염 예방 시스템.The method according to claim 1,
The electronic recording medium 10 includes an agent program for checking the integrity of data on the removable recording medium in cooperation with the malicious code DB when a removable recording medium using at least one of e-mail and a removable storage medium is used Wherein said malicious code is a malicious code. 제3항에 있어서,
상기 에이전트 프로그램은,
상기 전자기록매체(10)의 API(Application Programming Interface) 호출빈도를 기록하고, 상기 무결성에 대한 검사결과를 상시로 저장하고 상기 전자기록매체(10)로 전송하는 것을 특징으로 하는 네트워크 및 호스트 기반의 악성코드 감염 예방 시스템.The method of claim 3,
The agent program includes:
A network and a host-based device for recording the API (Application Programming Interface) calling frequency of the electronic recording medium (10), storing the integrity test result at all times, and transmitting the result to the electronic recording medium Malicious code infection prevention system. 제1항에 있어서,
상기 제1 스캔서버(20)는,
적어도 4계층 이상의 접속계층으로 형성되는 스위치 허브와 연결되고, 상기 스위치 허브에서 패킷 미러링(Packet Mirroring)을 실행하도록 실행명령을 전송하는 것을 특징으로 하는 네트워크 및 호스트 기반의 악성코드 감염 예방 시스템.The method according to claim 1,
The first scan server (20)
A network and a host-based malicious code infection prevention system connected to a switch hub formed of at least four or more connection layers, and transmitting an execution command to perform packet mirroring in the switch hub. 제5항에 있어서,
상기 패킷 미러링을 실행한 상기 스위치 허브의 영역에 대해, 사용자가 접속한 외부 홈페이지 접속기록을 수신받고, 상기 전자기록매체(10)로 상기 외부 홈페이지 접속기록을 전송하는 것을 특징으로 하는 네트워크 및 호스트 기반의 악성코드 감염 예방 시스템.6. The method of claim 5,
Wherein the control unit receives the external homepage access record to which the user has accessed the area of the switch hub that has performed the packet mirroring and transmits the external homepage access record to the electronic record medium Malware infection prevention system.
KR1020170034751A 2017-03-20 2017-03-20 Network and host-based malware infection prevention system KR20180106430A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170034751A KR20180106430A (en) 2017-03-20 2017-03-20 Network and host-based malware infection prevention system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170034751A KR20180106430A (en) 2017-03-20 2017-03-20 Network and host-based malware infection prevention system

Publications (1)

Publication Number Publication Date
KR20180106430A true KR20180106430A (en) 2018-10-01

Family

ID=63876980

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170034751A KR20180106430A (en) 2017-03-20 2017-03-20 Network and host-based malware infection prevention system

Country Status (1)

Country Link
KR (1) KR20180106430A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102044870B1 (en) * 2019-07-29 2019-11-14 주식회사 에프원시큐리티 Apparatus and method for managing using url map

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102044870B1 (en) * 2019-07-29 2019-11-14 주식회사 에프원시큐리티 Apparatus and method for managing using url map

Similar Documents

Publication Publication Date Title
Lee et al. CloudRPS: a cloud analysis based enhanced ransomware prevention system
Seo et al. Detecting mobile malware threats to homeland security through static analysis
Gupta et al. Cross-site scripting (XSS) abuse and defense: exploitation on several testing bed environments and its defense
Kirda et al. Client-side cross-site scripting protection
US9032520B2 (en) Remote security self-assessment framework
US10009370B1 (en) Detection and remediation of potentially malicious files
Jiang et al. Android malware
US10685116B2 (en) Anti-ransomware systems and methods using a sinkhole at an electronic device
Parsons et al. The predator in your pocket: A multidisciplinary assessment of the stalkerware application industry
WO2009032379A1 (en) Methods and systems for providing trap-based defenses
Moonsamy et al. Towards an understanding of the impact of advertising on data leaks
Villalba et al. Ransomware automatic data acquisition tool
US8516100B1 (en) Method and apparatus for detecting system message misrepresentation using a keyword analysis
Kara Cyber-espionage malware attacks detection and analysis: A case study
KR101968633B1 (en) Method for providing real-time recent malware and security handling service
Ameer Android ransomware detection using machine learning techniques to mitigate adversarial evasion attacks
Wang et al. Using malware for software-defined networking–based smart home security management through a taint checking approach
Smelcer Rise of fileless malware
KR20180106430A (en) Network and host-based malware infection prevention system
Rawal et al. Malware
Sharma et al. Smartphone security and forensic analysis
Blasco et al. Detection of app collusion potential using logic programming
Johar et al. Feature based comparative analysis of online malware scanners (OMS)
Baviskar et al. Protection of web user’s privacy by securing browser from web privacy attacks
Kadebu et al. A hybrid machine learning approach for analysis of stegomalware

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application