JP2012234540A - Malicious code detection system and malicious code detection method - Google Patents

Malicious code detection system and malicious code detection method Download PDF

Info

Publication number
JP2012234540A
JP2012234540A JP2012100899A JP2012100899A JP2012234540A JP 2012234540 A JP2012234540 A JP 2012234540A JP 2012100899 A JP2012100899 A JP 2012100899A JP 2012100899 A JP2012100899 A JP 2012100899A JP 2012234540 A JP2012234540 A JP 2012234540A
Authority
JP
Japan
Prior art keywords
code
malicious code
website
malicious
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012100899A
Other languages
Japanese (ja)
Inventor
相 鉉 ▲曹▼
Sang-Hyeon Cho
Jeong-Woo Kim
正 雄 金
Sang-Sin Lee
▲尚▼ 信 李
Gyu Heo
圭 許
Hee-Kuk Lee
熙 國 李
Seong-Beom Chu
盛 範 朱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Naver Cloud Corp
Original Assignee
NHN Business Platform Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NHN Business Platform Corp filed Critical NHN Business Platform Corp
Publication of JP2012234540A publication Critical patent/JP2012234540A/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

PROBLEM TO BE SOLVED: To efficiently detect a malicious code inserted in a website.SOLUTION: A malicious code detection system 300 comprises: a website connection control part 310 which uses link information to connect to a website corresponding to the link information; and a malicious code detection part 320 which detects, if execution behavior via a code contained in the website is detected, the code and at least one of files downloaded by the code as a malicious code.

Description

本発明は、悪性コード検出システム及び悪性コード検出方法に関する。   The present invention relates to a malicious code detection system and a malicious code detection method.

悪性コードとは、ユーザの意思または/および利益に反してシステムを破壊したり、または情報を流出させたりするなど、悪意的な活動を行うように意図的に作成されたソフトウェアのことを指す。代表的な悪性コードの感染経路には、インターネットで容易に入手できる各種の無料ソフトウェアによるものがある。さらに、ファイル共有プログラムの場合、該当のプログラムインストールのうちに悪性コードが共にインストールされることがある。このようなプログラムは、既に長期間インターネット上に提供され、コンピュータのワクチンプログラムによって検出される場合が多い。   Malicious code refers to software intentionally created to perform malicious activities, such as destroying a system or leaking information against the user's intention or / and interests. Typical infection routes for malicious codes include various free software that can be easily obtained on the Internet. Furthermore, in the case of a file sharing program, a malicious code may be installed together with the corresponding program installation. Such programs are often provided on the Internet for a long time and are often detected by computer vaccine programs.

しかし、このような感染経路の他にウェブサイトに悪性コードが挿入される場合もある。図1は、従来のウェブサイトを介した悪性コードの感染経路の一例を示す構成図である。図1は、ユーザ端末110、ウェブサイト120、ウェブサーバ130、及び攻撃因子サーバ140を示している。   However, in addition to such infection routes, malicious code may be inserted into websites. FIG. 1 is a block diagram showing an example of a malicious code infection route via a conventional website. FIG. 1 shows a user terminal 110, a website 120, a web server 130, and an attack factor server 140.

ユーザが、ユーザ端末110によってウェブサイト120を訪問することをリクエストした場合、ウェブサーバ130は、ユーザ端末110にウェブサイト120を提供してもよい。ここで、ユーザが訪問したウェブサイト120がセキュリティに弱く、攻撃因子の悪性コードが隠されていた場合、ユーザが単にウェブサイト120の特定ページを訪問するだけで特定ページに隠されている悪性コードが実行されてしまう。そして、悪性コードリンク150を介してユーザ端末110が攻撃因子サーバ140にアクセスされ、攻撃因子サーバ140から悪性プログラム160をダウンロードしてインストールされる。従来では、このような悪性コードのインストール及び実行を予め検出することができないのが現状であった。   When the user requests to visit the website 120 by the user terminal 110, the web server 130 may provide the website 120 to the user terminal 110. Here, if the website 120 visited by the user is weak in security and the malicious code of the attack factor is hidden, the malicious code hidden on the specific page simply by visiting the specific page of the website 120 by the user Will be executed. Then, the user terminal 110 is accessed to the attack factor server 140 via the malicious code link 150, and the malicious program 160 is downloaded from the attack factor server 140 and installed. Conventionally, the installation and execution of such malicious code cannot be detected in advance.

このような攻撃コードをエクスプロイト(exploit)といい、ジャバスクリプト(JavaScript(登録商標))で作成される場合が多く、コードの乱読化によってコードの読み出しを困難にする場合が多い。さらに、ユーザが該当ページに訪問する度に動的に変更される特徴も有する場合がある。   Such an attack code is referred to as an exploit, and is often created by JavaScript (JavaScript (registered trademark)), and it is often difficult to read the code due to code obfuscation. Further, there may be a feature that is dynamically changed each time the user visits the corresponding page.

このような攻撃コードは、コンピュータワクチンプログラムで検出するためのパターン化作業を困難にし、特に、動的に自動変更されるコードはワクチンプログラムで検出できない場合が多い。   Such an attack code makes patterning work for detection by a computer vaccine program difficult, and in particular, a code that is dynamically changed automatically cannot be detected by a vaccine program in many cases.

このような攻撃コードは、オペレーティングシステムやアクティブエックス(ActiveX)、ウェブプラグイン(フラッシュなど)モジュールの弱点を用いてセキュリティパッチの発表されていない新規の弱点を用いる攻撃コード(ゼロデイエクスプロイト(Zero−Day−Exploit))へ容易に変更できるため深刻な問題を誘発する。   Such an attack code is a code that uses a weakness of an operating system, ActiveX, or a web plug-in (flash, etc.) module and uses a new vulnerability that has not been announced as a security patch (zero-day exploit (Zero-Day). -Exploit)) can be easily changed to induce serious problems.

本発明では、悪性コードを効率よく検出可能なシステム及び悪性コードを効率良く検出可能な方法が提案される。   In the present invention, a system capable of efficiently detecting a malicious code and a method capable of efficiently detecting a malicious code are proposed.

韓国公開特許第2009−0078691号公報Korean Published Patent No. 2009-0078691

本発明の目的は、ユーザ端末と類似の動作をする環境エミュレータを構成してウェブサイトに接続し、プログラムの実行行為の有無を確認して攻撃コードを検出する悪性コード検出システム及び悪性コード検出方法を提供する。   An object of the present invention is to provide a malicious code detection system and a malicious code detection method for detecting an attack code by configuring an environment emulator that operates similarly to a user terminal, connecting to a website, and confirming whether or not a program is executed. I will provide a.

本発明の他の目的は、悪性コードのパターンに応じて、悪性コードを検出することなく、悪性コードによって実行される行為に応じて悪性コードを検出することで、コードの乱読化によってコードが読み難い悪性コードや動的に自動変更される悪性コードも容易に検出する悪性コード検出システム及び悪性コード検出方法を提供する。   Another object of the present invention is to detect a malicious code according to an action executed by the malicious code without detecting the malicious code according to the pattern of the malicious code. A malignant code detection system and a malignant code detection method for easily detecting difficult malignant codes and dynamically changed malignant codes are provided.

本発明の一実施形態に係る悪性コード検出システムは、リンク情報を用いてリンク情報に対応するウェブサイトに接続するウェブサイト接続制御部と、ウェブサイトに含まれたコードを介した実行が検出される場合、コード及びコードによってダウンロードされるファイルのうち少なくとも1つを悪性コードとして検出する悪性コード検出部と、を備えることを特徴とする。   The malicious code detection system according to an embodiment of the present invention detects a website connection control unit that connects to a website corresponding to link information using the link information, and execution via a code included in the website. A malicious code detection unit that detects at least one of the code and a file downloaded by the code as a malicious code.

悪性コード検出部は、コードによって任意のサーバに接続され、ファイルが自動にダウンロードされてインストールまたは実行される場合、実行行為を検出してもよい。   The malicious code detection unit may be connected to an arbitrary server by a code, and may detect an execution action when the file is automatically downloaded and installed or executed.

ウェブサイト、コード、ファイル、及びサーバのうち少なくとも1つに関する情報を収集して記録する情報収集部をさらに備えてもよい。   You may further provide the information collection part which collects and records the information regarding at least one of a website, a code | cord | chord, a file, and a server.

コード及びファイルのうち少なくとも1つが悪性コードとして検出される場合、記録された少なくとも1つに関する情報を管理者に提供する情報提供部をさらに備えてもよい。   When at least one of the code and the file is detected as a malicious code, an information providing unit may be further provided that provides the administrator with information regarding the recorded at least one.

本発明の一実施形態に係る悪性コード検出方法は、リンク情報を用いてリンク情報に対応するウェブサイトに接続するステップと、ウェブサイトに含まれたコードを通した実行行為が検出される場合、コード及びコードによってダウンロードされるファイルのうち少なくとも1つを悪性コードとして検出するステップとを含むことを特徴とする。   The malicious code detection method according to an embodiment of the present invention includes a step of connecting to a website corresponding to link information using the link information, and an execution action through the code included in the website is detected. And detecting at least one of the code and a file downloaded by the code as a malicious code.

本発明によると、ユーザ端末と類似の動作をする環境エミュレータを構成してウェブサイトに接続し、プログラムの実行の有無を確認して攻撃コードを検出することが可能となる。   According to the present invention, it is possible to configure an environment emulator that operates similarly to a user terminal, connect to a website, check whether a program is executed, and detect an attack code.

本発明によると、悪性コードのパターンに応じて悪性コードを検出することなく、悪性コードによって実行される行為に応じて悪性コードを検出することで、コードの乱読化によってコードが読み難い悪性コードや動的に自動変更される悪性コードも検出することが可能となる。   According to the present invention, it is possible to detect a malicious code according to an action executed by the malicious code without detecting the malicious code according to the pattern of the malicious code. It is also possible to detect malicious code that is dynamically changed automatically.

従来に係るウェブサイトを介する悪性コード感染の経路の一例を示す構成図である。It is a block diagram which shows an example of the path | route of the malicious code infection through the website which concerns on the past. 本発明の一実施形態に係るウェブサイトを介して悪性コードを検出する一例を示す構成図である。It is a block diagram which shows an example which detects a malicious code | symbol via the website which concerns on one Embodiment of this invention. 本発明の一実施形態に係る悪性コード検出システムの内部構成を示すブロック図である。It is a block diagram which shows the internal structure of the malicious code detection system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る悪性コード検出方法を示すフローチャートである。It is a flowchart which shows the malicious code detection method which concerns on one Embodiment of this invention. 本発明の一実施形態に係る悪性コード検出システムがエミュレータによって収集した情報の一例を示す図である。It is a figure which shows an example of the information which the malicious code detection system which concerns on one Embodiment of this invention collected by the emulator.

以下、本発明の実施形態を添付の図面を参照しながら詳細に説明する。   Embodiments of the present invention will be described below in detail with reference to the accompanying drawings.

図2は、本発明の一実施形態に係るウェブサイトを介した悪性コードを検出する一例を示す構成図である。図2は、悪性コード検出システム210、ウェブサイト220、ウェブサーバ230、及び攻撃因子サーバ240を示す。   FIG. 2 is a configuration diagram illustrating an example of detecting a malicious code via a website according to an embodiment of the present invention. FIG. 2 shows a malicious code detection system 210, a website 220, a web server 230, and an attack factor server 240.

まず、悪性コード検出システム210は、ユーザ端末と同一または類似の動作のエミュレーションを行う環境エミュレータを備えてもよい。ここで、エミュレータは、いずれのハードウェアやソフトウェアの機能を異なる種類のハードウェアやソフトウェアによりエミュレート(模倣)して実現するための装置やプログラムであってもよい。また、悪性コード検出システム210は、ウェブサーバ230を介してウェブサイト220にアクセスするためのユーザ端末の機能をエミュレートして実現した装置またはプログラムであってもよい。すなわち、悪性コード検出システム210は、ウェブサイト220にアクセスするためにユーザ端末の機能をエミュレートして構成されたエミュレータを備えてもよい。ここで、悪性コード検出システム210は、URLのようなリンク情報を用いてウェブサイト220にアクセスしてもよい。   First, the malicious code detection system 210 may include an environment emulator that performs emulation of the same or similar operation as the user terminal. Here, the emulator may be a device or a program for emulating (simulating) any hardware or software function with different types of hardware or software. Further, the malicious code detection system 210 may be a device or a program realized by emulating the function of a user terminal for accessing the website 220 via the web server 230. That is, the malicious code detection system 210 may include an emulator configured to emulate the function of a user terminal in order to access the website 220. Here, the malicious code detection system 210 may access the website 220 using link information such as a URL.

悪性コード検出システム210は、このようなエミュレータを用いてウェブサーバ230を介してウェブサイト220に接続される。例えば、該当ウェブサイト220に悪性コードが含まれていることにより、悪性コードリンク250を介して攻撃因子サーバ240に接続され、悪性プログラム260などのダウンロードと実行が行われると、悪性コード検出システム210は、接続されたウェブサイト220に関する情報、悪性コードリンク250に関する情報、悪性プログラム260に関する情報などを取得する。このように、悪性コード検出システム210は、取得された情報を分析して悪性コードの感染を検出できるだけではなく、このような悪性コードの感染に関する情報を管理者に通知することで、管理者が該当ウェブサイト220に悪性コードが隠されていることを検出できる。   The malicious code detection system 210 is connected to the website 220 via the web server 230 using such an emulator. For example, when a malicious code is included in the corresponding website 220, the malicious code detection system 210 is connected to the attack factor server 240 via the malicious code link 250 and the malicious program 260 is downloaded and executed. Obtains information about the connected website 220, information about the malicious code link 250, information about the malicious program 260, and the like. As described above, the malicious code detection system 210 can not only detect the infection of the malicious code by analyzing the acquired information, but also notifies the administrator of the information related to the infection of the malicious code so that the administrator can It can be detected that the malicious code is hidden on the corresponding website 220.

図3は、本発明の一実施形態に係る悪性コード検出システムの内部構成を示すブロック図である。本実施形態に係る悪性コード検出システム300は、図2に示した悪性コード検出システム210に対応していてもよく、ウェブサイト接続制御部310及び悪性コード検出部320を備えてもよい。また、悪性コード検出システム300は、必要に応じて図3に示した情報収集部330及び情報提供部340をさらに備えてもよい。   FIG. 3 is a block diagram showing the internal configuration of the malicious code detection system according to an embodiment of the present invention. The malicious code detection system 300 according to the present embodiment may correspond to the malicious code detection system 210 illustrated in FIG. 2 and may include a website connection control unit 310 and a malicious code detection unit 320. The malicious code detection system 300 may further include the information collection unit 330 and the information provision unit 340 illustrated in FIG. 3 as necessary.

ウェブサイト接続制御部310は、リンク情報を用いてそのリンク情報に対応するウェブサイトに接続する。ここで、リンク情報はウェブサイトのURLのように該当ウェブサイトを識別及び接続するための情報を含んでもよい。   The website connection control unit 310 uses the link information to connect to the website corresponding to the link information. Here, the link information may include information for identifying and connecting the corresponding website, such as a URL of the website.

悪性コード検出部320は、ウェブサイトに含まれたコードを介した実行(execution)が検出される場合、コード及びコードによってダウンロードされるファイルのうち少なくとも1つを悪性コードとして検出する。すなわち、上述したように、ウェブ上における攻撃行為は、ユーザ端末に悪性コードをインストールするための実行を誘発する。したがって、悪性コード検出部320は、データとしての悪性コードのパターンを参照して悪性コードを検出する必要はなく、悪性コードの実行による振る舞い(behavior)を検出して該当コードやコードによってダウンロードされるファイルが悪性コードであることを検出する。ここに「コードを介した実行(execution)」とは、そのコードの実行あるいは、そのコードから直接的または間接的に呼び出されたコードの実行などを指す。例えば、悪性コード検出部320は、コードの実行によって任意のサーバに接続され、ファイルが自動的にダウンロードされてそのファイルがインストールされる場合、またはそのファイルに含まれるコードが呼び出されて実行される場合、その実行を検出してもよい。   The malicious code detection unit 320 detects at least one of the code and a file downloaded by the code as a malicious code when execution through the code included in the website is detected. That is, as described above, an attacking action on the web induces execution for installing a malicious code in the user terminal. Therefore, the malicious code detection unit 320 does not need to detect the malicious code by referring to the malicious code pattern as data, but detects the behavior caused by the execution of the malicious code and downloads the corresponding code or code. Detect that the file is malicious code. Here, “execution via code” refers to execution of the code or execution of code directly or indirectly called from the code. For example, the malicious code detection unit 320 is connected to an arbitrary server by executing the code, and when the file is automatically downloaded and the file is installed, or the code included in the file is called and executed. If so, its execution may be detected.

情報収集部330は、ウェブサイト、コード、ファイル、及びサーバのうち少なくとも1つに関する情報を収集して記録してもよい。例えば、情報収集部330は、ウェブサイトのURL、コードそのものに関する情報、ファイル名、ファイルがダウンロードされ、インストールされた経路、またはサーバのIPアドレスなどの情報を収集して記録してもよい。   The information collecting unit 330 may collect and record information on at least one of a website, code, file, and server. For example, the information collection unit 330 may collect and record information such as the URL of the website, information about the code itself, the file name, the path where the file is downloaded and installed, or the IP address of the server.

情報提供部340は、コード及びファイルのうち少なくとも1つが悪性コードとして検出された場合、記録された少なくとも1つに関する情報を管理者に提供する。すなわち、情報提供部340は、悪性コードが検出されたことを管理者に通知すると同時に、悪性コードに関連するウェブサイト、コード、ファイル、及びサーバのうち少なくとも1つに関する情報を管理者に通知することによって管理者が悪性コードに対応できるようにする。   When at least one of the code and the file is detected as a malicious code, the information providing unit 340 provides information regarding the recorded at least one to the administrator. That is, the information providing unit 340 notifies the administrator that a malicious code has been detected, and simultaneously notifies the administrator of information related to at least one of a website, code, file, and server related to the malicious code. This allows the administrator to deal with malicious code.

図4は、本発明の一実施形態に係る悪性コード検出方法を示すフローチャートである。本実施形態に係る悪性コード検出方法は、図3に示した悪性コード検出システム300によって行われてもよい。図4では、悪性コード検出システム300による各工程の悪性コード検出方法を説明するフローチャートである。   FIG. 4 is a flowchart illustrating a malicious code detection method according to an embodiment of the present invention. The malicious code detection method according to the present embodiment may be performed by the malicious code detection system 300 illustrated in FIG. FIG. 4 is a flowchart for explaining a malicious code detection method in each step by the malicious code detection system 300.

図4に示すように、まず、ステップS410において、悪性コード検出システム300は、リンク情報を用いてリンク情報に対応するウェブサイトに接続する。ここで、リンク情報は、ウェブサイトのURLのように該当ウェブサイトを識別及び接続するための情報を含んでもよい。   As shown in FIG. 4, first, in step S410, the malicious code detection system 300 uses the link information to connect to a website corresponding to the link information. Here, the link information may include information for identifying and connecting the corresponding website, such as a URL of the website.

次に、ステップS420において、悪性コード検出システム300はウェブサイトに含まれたコードを介した実行(execution)が検出された場合、コード及びコードによってダウンロードされるファイルのうち少なくとも1つを悪性コードとして検出する。すなわち、上述したウェブ上における攻撃行為は、ユーザの端末に悪性コードをインストールするためのコードの実行を誘発する。したがって、悪性コード検出システム300は、データとしての悪性コードのパターンを用いて悪性コードを検出することなく、悪性コードの実行による振る舞いを検出して該当コードやコードによってダウンロードされるファイルが悪性コードであることを検出する。例えば、悪性コード検出システム300は、コードによって任意のサーバに接続され、ファイルが自動的にダウンロードされてインストールまたは実行される場合に、その実行を検出してもよい。   Next, in step S420, when the malicious code detection system 300 detects an execution through the code included in the website, at least one of the code and the file downloaded by the code is defined as the malicious code. To detect. That is, the above-mentioned attack action on the web induces execution of code for installing malicious code on the user's terminal. Therefore, the malicious code detection system 300 does not detect the malicious code using the malicious code pattern as data, detects the behavior due to the execution of the malicious code, and the code or the file downloaded by the code is a malicious code. Detect that there is. For example, the malicious code detection system 300 may detect an execution when a file is automatically downloaded and installed or executed by being connected to an arbitrary server by a code.

次に、ステップS430において、悪性コード検出システム300は、ウェブサイト、コード、ファイル、及びサーバのうち少なくとも1つに関する情報を収集して記録してもよい。例えば、悪性コード検出システム300は、ウェブサイトのURL、コードそのものに関する情報、ファイル名、ファイルがダウンロードされるかインストールされた経路、または、サーバのIPアドレスなどの情報を収集して記録してもよい。   Next, in step S430, the malicious code detection system 300 may collect and record information regarding at least one of a website, a code, a file, and a server. For example, the malicious code detection system 300 may collect and record information such as a URL of a website, information about the code itself, a file name, a route where the file is downloaded or installed, or a server IP address. Good.

次に、ステップS440において、悪性コード検出システム300は、コード及びファイルのうち少なくとも1つが悪性コードとして検出される場合、記録された少なくとも1つに関する情報を管理者に提供する。すなわち、悪性コード検出システム300は、悪性コードが検出されたことを管理者に通知すると同時に、悪性コードに関連するウェブサイト、コード、ファイル、及びサーバのうち少なくとも1つに関する情報を管理者に通知することによって、管理者が悪性コードに対応できるようにする。   Next, in step S440, when at least one of the code and the file is detected as a malicious code, the malicious code detection system 300 provides information regarding the recorded at least one to the administrator. That is, the malicious code detection system 300 notifies the administrator that the malicious code has been detected, and simultaneously notifies the administrator of information related to at least one of the website, code, file, and server related to the malicious code. By doing so, the administrator can cope with the malicious code.

図3及び図4において、省略されたウェブサイト220、ウェブサーバ230、及び攻撃因子サーバ240などの内容は、必要に応じて図2などを参照することにより理解される。   3 and 4, the contents of the omitted website 220, web server 230, attack factor server 240, and the like are understood by referring to FIG. 2 and the like as necessary.

図5は、本発明の一実施形態に係る悪性コード検出システムがエミュレータによって収集した情報の一例を示す図である。   FIG. 5 is a diagram showing an example of information collected by the emulator by the malicious code detection system according to the embodiment of the present invention.

表500は、図2〜図4を参照して説明した悪性コード検出システム210または300で収集可能な情報を表している。まず、「Target URL」は、悪性コード検出システム210または300が接続され、悪性コードの有無を分析しようとするウェブサイトのURLを意味する。また、「Analysis Date Time」は分析が行われた日付と時刻を意味し、「Top Level」は危険度を表すレベルの最高レベルを意味する。   The table 500 represents information that can be collected by the malicious code detection system 210 or 300 described with reference to FIGS. First, “Target URL” means the URL of a website to which the malicious code detection system 210 or 300 is connected and the presence or absence of malicious code is to be analyzed. “Analysis Date Time” means the date and time when the analysis was performed, and “Top Level” means the highest level representing the degree of risk.

「Type Code」は記録された情報の種類を表し、「Result Code」は記録された情報に悪性コードが含まれる可能性を表す。また、「Risk Level」は記録された情報の危険度を表し、「Info」は実際に記録された情報がどのような情報であるかを表す。「Type Code」において「CDR(Cross−Domain−Request)」は互いに異なるドメイン間のリクエスト発生を表す。例えば、「aaa.com」サイトを訪問したとき、「bbb.com」のデータを受信する状況が発生する場合、CDRが発生することがある。「FILE」は、記録された情報による行為をファイルがダウンロードされる行為として表し、「EXECUTION」は、記録された情報による行為がファイル、または関連プログラムが実行される行為を表す。また、「Result Code」において「Malcode Distribution Possibility」は記録された情報が悪性コードの配布に関連する可能性が存在することを表す。   “Type Code” represents the type of recorded information, and “Result Code” represents the possibility that the recorded information includes a malicious code. “Risk Level” represents the degree of danger of the recorded information, and “Info” represents what information is actually recorded information. In “Type Code”, “CDR (Cross-Domain-Request)” represents a request occurrence between different domains. For example, when visiting the “aaa.com” site, if a situation occurs in which data of “bbb.com” is received, a CDR may occur. “FILE” represents an action based on recorded information as an action to download a file, and “EXECUTION” represents an action based on recorded information to execute a file or a related program. In “Result Code”, “Malcode Distribution Possibilities” indicates that there is a possibility that the recorded information is related to the distribution of the malicious code.

ここで、表500を参照すると、ユーザがウェブサイト「www.aaa.kr」を訪問する場合、「www.bbb.com」に関連して悪性コードが含まれた「sky.html」及び「ko1.htm」のような経路がウェブサイト「www.aaa.kr」に含まれ、このような悪性コードが「www.bbb.com.cn」に対応する攻撃因子サーバから「s.exe」ファイルを自動的にダウンロードして該当するプログラムを実行またはインストールする実行が行われることが分かる。   Here, referring to the table 500, when the user visits the website “www.aaa.kr”, “sky.html” and “ko1” including malicious codes related to “www.bbb.com” are included. A path such as “.htm” is included in the website “www.aaa.kr”, and such malicious code downloads the “s.exe” file from the attack factor server corresponding to “www.bbb.com.cn”. It can be seen that the program is automatically downloaded and the corresponding program is executed or installed.

すなわち、悪性コード検出システム210または300は、特定ウェブサイトに接続してウェブサイトに含まれたコードがファイルをダウンロードしてインストールまたはダウンロードされたファイルに含まれるコードが実行されるように制御するか否かにより、悪性コードを検出する。   That is, whether the malicious code detection system 210 or 300 controls to connect to a specific website so that the code included in the website downloads the file and the code included in the installed or downloaded file is executed. Depending on whether or not, malicious code is detected.

このように、本発明の実施形態によると、ユーザ端末と同一または類似の動作をエミュレートする環境エミュレータを構成してウェブサイトに接続し、プログラムの実行の有無を確認して攻撃コードを検出することができ、データとしての悪性コードのパターンに応じて悪性コードを検出することなく、悪性コードによって実行される行為に応じて悪性コードを検出することで、コード乱読化によってコードが読み難い悪性コードや動的に自動変更される悪性コードも容易に検出することができる。また、ワクチンプログラムなどで検出できないゼロデイエクスプロイト(Zero−Day−Exploit)のような悪性コードの検出を可能にする。   As described above, according to the embodiment of the present invention, an environment emulator that emulates the same or similar operation as the user terminal is configured and connected to the website, and whether or not the program is executed is detected to detect the attack code. It is possible to detect the malicious code according to the action executed by the malicious code without detecting the malicious code according to the pattern of the malicious code as data, and to detect the malicious code according to the act executed by the malicious code. It is also possible to easily detect malicious code that is automatically and dynamically changed. In addition, it enables detection of a malicious code such as Zero-Day-Exploit that cannot be detected by a vaccine program or the like.

本発明の実施形態に係る悪性コード検出方法は、多様なコンピュータ手段によって行うことができるプログラム命令形態で実現され、コンピュータ読み出し可能媒体に記録してもよい。記録媒体は、プログラム命令、データファイル、データ構造などを単独または組み合わせたものを含んでもよい。記録媒体及びプログラム命令は、本発明の目的のために特別に設計して構成されたものでもよく、コンピュータソフトウェア分野の技術を有する当業者にとって公知のものであり使用可能なものであってもよい。コンピュータ読取可能な記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスク及び磁気テープのような磁気媒体、CD−ROM、DVDのような光記録媒体、フロプティカルディスクのような磁気−光媒体、及びROM、RAM、フラッシュメモリなどのようなプログラム命令を保存して実行するように特別に構成されたハードウェア装置を含んでもよい。プログラム命令の例としては、コンパイラによって生成されるような機械語コードだけでなく、インタプリタなどを用いてコンピュータによって実行され得る高級言語コードを含む。上述のハードウェア装置は、本発明の動作を行うために1つ以上のソフトウェアモジュールとして作動するように構成してもよく、その逆も同様である。   The malicious code detection method according to the embodiment of the present invention may be realized in the form of program instructions that can be performed by various computer means and recorded on a computer-readable medium. The recording medium may include a program instruction, a data file, a data structure, etc., alone or in combination. The recording medium and the program instructions may be specially designed and configured for the purpose of the present invention, and may be known and usable by those skilled in the art having computer software technology. . Examples of computer-readable recording media include magnetic media such as hard disks, floppy (registered trademark) disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, and magnetic-lights such as floppy disks. The medium and hardware devices specially configured to store and execute program instructions such as ROM, RAM, flash memory, etc. may be included. Examples of program instructions include not only machine language code generated by a compiler but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

上述したように本発明を限定された実施形態と図面によって説明したが、本発明は、上記の実施形態に限定されることなく、本発明が属する分野における通常の知識を有する者であれば、このような実施形態から様々に修正及び変形が可能である。   As described above, the present invention has been described with reference to the limited embodiments and drawings. However, the present invention is not limited to the above-described embodiments, and any person having ordinary knowledge in the field to which the present invention belongs can be used. Various modifications and variations are possible from such an embodiment.

したがって、本発明の範囲は、開示された実施形態に限定して定められるものではなく、特許請求の範囲及び特許請求の範囲と均等なものなどによって定められるものである。   Therefore, the scope of the present invention is not limited to the disclosed embodiments, but is defined by the claims and equivalents of the claims.

210 悪性コード検出システム
220 ウェブサイト
230 ウェブサーバ
240 攻撃因子サーバ
250 悪性コードリンク
260 悪性プログラム 210 Malicious Code Detection System 220 Website 230 Web Server 240 Attack Factor Server 250 Malicious Code Link 260 Malicious Program

Claims (9)

リンク情報を用いて、前記リンク情報に対応するウェブサイトに接続するウェブサイト接続制御部と、
前記ウェブサイトに含まれるコードを介した実行が検出される場合、前記コード及び前記コードによってダウンロードされるファイルのうち少なくとも1つを悪性コードとして検出する悪性コード検出部と、
を備えることを特徴とする悪性コード検出システム。 Using link information, a website connection control unit that connects to a website corresponding to the link information;
When execution through code included in the website is detected, a malicious code detection unit that detects at least one of the code and a file downloaded by the code as malicious code;
A malicious code detection system comprising: 前記悪性コード検出部は、前記コードによって任意のサーバに接続され、前記ファイルが自動的にダウンロードされてインストールまたは実行される場合、前記実行を検出することを特徴とする請求項1に記載の悪性コード検出システム。   The malicious code detection unit according to claim 1, wherein the malicious code detection unit is connected to an arbitrary server by the code, and detects the execution when the file is automatically downloaded and installed or executed. Code detection system. 前記ウェブサイト、前記コード、前記ファイル、及び前記サーバのうち少なくとも1つに関する情報を収集して記録する情報収集部をさらに備えることを特徴とする請求項2に記載の悪性コード検出システム。   The malignant code detection system according to claim 2, further comprising an information collection unit that collects and records information about at least one of the website, the code, the file, and the server. 前記コード及び前記ファイルのうち少なくとも1つが悪性コードとして検出される場合、前記記録された少なくとも1つに関する情報を管理者に提供する情報提供部をさらに備えることを特徴とする請求項3に記載の悪性コード検出システム。   The information providing unit according to claim 3, further comprising: an information providing unit that provides an administrator with information about the recorded at least one when at least one of the code and the file is detected as a malicious code. Malicious code detection system. リンク情報を用いて、前記リンク情報に対応するウェブサイトに接続し、
前記ウェブサイトに含まれるコードを介した実行が検出される場合、前記コード及び前記コードによってダウンロードされるファイルのうち少なくとも1つを悪性コードとして検出することを特徴とする悪性コード検出方法。 Use the link information to connect to the website corresponding to the link information,
A malignant code detection method, wherein when execution through a code included in the website is detected, at least one of the code and a file downloaded by the code is detected as a malignant code. 前記コード及び前記コードによってダウンロードされるファイルのうち少なくとも1つを悪性コードとして検出することは、前記コードによって任意のサーバに接続され、前記ファイルが自動にダウンロードされてインストールまたは実行される場合、前記実行を検出することを特徴とする請求項5に記載の悪性コード検出方法。   Detecting at least one of the code and a file downloaded by the code as malicious code is connected to an arbitrary server by the code, and when the file is automatically downloaded and installed or executed, 6. The malicious code detection method according to claim 5, wherein execution is detected. 前記ウェブサイト、前記コード、前記ファイル、及び前記サーバのうち少なくとも1つに関する情報を収集して記録することをさらに含むことを特徴とする請求項6に記載の悪性コード検出方法。   The method according to claim 6, further comprising collecting and recording information on at least one of the website, the code, the file, and the server. 前記コード及び前記ファイルのうち少なくとも1つが悪性コードとして検出される場合、前記記録された少なくとも1つに関する情報を管理者に提供することをさらに含むことを特徴とする請求項7に記載の悪性コード検出方法。   The malicious code of claim 7, further comprising: providing an administrator with information on the recorded at least one when at least one of the code and the file is detected as a malicious code. Detection method. 請求項5から請求項8のいずれか1項の方法を行うプログラムを記録したコンピュータで読み出し可能な記録媒体。   A computer-readable recording medium having recorded thereon a program for performing the method according to any one of claims 5 to 8.
JP2012100899A 2011-05-04 2012-04-26 Malicious code detection system and malicious code detection method Pending JP2012234540A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2011-0042414 2011-05-04
KR1020110042414A KR20120124638A (en) 2011-05-04 2011-05-04 Malignant code detecting system and method based on action

Publications (1)

Publication Number Publication Date
JP2012234540A true JP2012234540A (en) 2012-11-29

Family

ID=47434740

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012100899A Pending JP2012234540A (en) 2011-05-04 2012-04-26 Malicious code detection system and malicious code detection method

Country Status (2)

Country Link
JP (1) JP2012234540A (en)
KR (1) KR20120124638A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014188780A1 (en) * 2013-05-20 2014-11-27 日本電信電話株式会社 Information processing device and identifying method
CN115037490A (en) * 2021-11-12 2022-09-09 国网浙江省电力有限公司衢州供电公司 Cross-network communication system for transformer substation malicious code detection

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101589652B1 (en) 2015-01-19 2016-01-28 한국인터넷진흥원 System and method for detecting and inquiring metamorphic malignant code based on action
KR101589656B1 (en) 2015-01-19 2016-01-28 한국인터넷진흥원 System and method for detecting and inquiring metamorphic malignant code based on action
KR102040929B1 (en) * 2017-08-04 2019-11-27 국방과학연구소 Apparatus and method for the detection of drive-by download using unusual behavior monitoring

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014188780A1 (en) * 2013-05-20 2014-11-27 日本電信電話株式会社 Information processing device and identifying method
CN105247533A (en) * 2013-05-20 2016-01-13 日本电信电话株式会社 Information processing device and identifying method
JP5965059B2 (en) * 2013-05-20 2016-08-03 日本電信電話株式会社 Information processing apparatus and identification method
CN105247533B (en) * 2013-05-20 2017-12-12 日本电信电话株式会社 Information processor and determination method
US10097567B2 (en) 2013-05-20 2018-10-09 Nippon Telegraph And Telephone Corporation Information processing apparatus and identifying method
CN115037490A (en) * 2021-11-12 2022-09-09 国网浙江省电力有限公司衢州供电公司 Cross-network communication system for transformer substation malicious code detection
CN115037490B (en) * 2021-11-12 2023-12-15 国网浙江省电力有限公司衢州供电公司 Cross-network communication system for detecting malicious codes of transformer substation

Also Published As

Publication number Publication date
KR20120124638A (en) 2012-11-14

Similar Documents

Publication Publication Date Title
CN105493470B (en) The system and method for dynamic application safety verification
Cheng et al. DTaint: detecting the taint-style vulnerability in embedded device firmware
Bhoraskar et al. Brahmastra: Driving Apps to Test the Security of {Third-Party} Components
JP2016053956A (en) System and method for detecting web-based malicious codes
WO2013026320A1 (en) Method and system for detecting webpage trojan embedded
JP2018502351A (en) RASP for script language
JP6791134B2 (en) Analytical systems, analytical methods, analyzers and computer programs
US9450980B2 (en) Automatic malignant code collecting system
CN102622536A (en) Method for catching malicious codes
CN105760787B (en) System and method for the malicious code in detection of random access memory
JP2012234540A (en) Malicious code detection system and malicious code detection method
CN106663171B (en) Browser simulator device, browser simulator building device, browser simulation method, and browser simulation building method
EP3232359A1 (en) Identification device, identification method, and identification program
KR100939020B1 (en) Web source analysis system and method
KR20120070019A (en) Hybrid interaction client honeypot system and its operation method
WO2011008632A1 (en) Multiple instance commercial browser website test agent
JPWO2018131199A1 (en) Coupling device, coupling method and coupling program
EP3340097B1 (en) Analysis device, analysis method, and analysis program
JP5478390B2 (en) Log extraction system and program
KR101052443B1 (en) Malware Analysis Method and System
Darki et al. Rare: A systematic augmented router emulation for malware analysis
Kim et al. Burnfit: Analyzing and exploiting wearable devices
Yin et al. Automatic malware analysis: an emulator based approach
Lee et al. Adlib: Analyzer for mobile ad platform libraries
JP2017224150A (en) Analyzer, analysis method, and analysis program