JP2016053956A - ウェブ基盤の悪性コード探知システムおよび方法 - Google Patents

ウェブ基盤の悪性コード探知システムおよび方法 Download PDF

Info

Publication number
JP2016053956A
JP2016053956A JP2015168747A JP2015168747A JP2016053956A JP 2016053956 A JP2016053956 A JP 2016053956A JP 2015168747 A JP2015168747 A JP 2015168747A JP 2015168747 A JP2015168747 A JP 2015168747A JP 2016053956 A JP2016053956 A JP 2016053956A
Authority
JP
Japan
Prior art keywords
malicious code
pattern
malignant
web
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015168747A
Other languages
English (en)
Inventor
ヒュン チョウ,ラエ
Rae Hyun Cho
ヒュン チョウ,ラエ
ジャエ リー,ウー
Woo Jae Lee
ジャエ リー,ウー
ホ アン,セウン
Seung Ho Ahn
ホ アン,セウン
ク カン,ヨン
Yong Kuk Kang
ク カン,ヨン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SK Infosec Co Ltd
Original Assignee
SK Infosec Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SK Infosec Co Ltd filed Critical SK Infosec Co Ltd
Publication of JP2016053956A publication Critical patent/JP2016053956A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Abstract

【課題】システムを破壊したり情報を流出するなどの活動を行う、ウェブ基盤の悪性コード探知システムおよび方法を提供する。
【解決手段】少なくとも一つ以上のウェブサーバーのURL情報を収集しS310、貯蔵されたURL情報を基盤としてウェブサイト内に存在するコンテンツデータをクローリングして貯蔵しS320、データクローリング段階で貯蔵されたデータで既保存された悪性パターン情報と一致するパターンを探知S330した後、探知されたパターンを含むイベントを悪性コード候補として抽出しS350、抽出された悪性コード候補で既保存された安全さが知られた安全パターンと一致するパターンを探知した後、探知されたパターンを含むイベントを抽出された悪性コード候補でフィルタリングしS360、残った悪性コード候補を悪性コードに出力するS370。
【選択図】図3

Description

本発明はウェブ基盤の悪性コード探知システムおよび方法に関し、より詳しくは、保安上の弱点を利用してハッキングされたウェブページを通じて悪性コード(Malicious Code,悪意のあるコード)を流布したり経由サイトに悪用されることを事前に探知し対応可能な技術に関する。
悪性コードとは、使用者の意志と利益に反してシステムを破壊したりまたは情報を流出するなど悪意のある活動を行うように意図的に製作されたソフトウェアである。
代表的な悪性コードの流布経路はインターネットで容易に求められる各種無料ソフトウェアによることでファイル共有プログラムである場合が多く、これは当該プログラムが設置される時に悪性コードが共に設置されるようにする。
このようなプログラムはすでに長期間インターネットに露出していてコンピュータワクチンプログラムで探知する場合が多いが、このような感染経路以外にウェブサイトに悪性コードが挿入されている場合もある。
図1は従来の技術において、ウェブサイトを通じた悪性コードの感染経路を説明するための一実施例である。図1は使用者端末器110、ウェブサイト120、ウェブサーバー130および攻撃者サーバー140を示している。
使用者が使用者端末器110を通じてウェブサイト120を訪問しようと要請する場合、ウェブサーバー130は使用者端末器110にウェブサイト120を提供することができる。このとき、使用者が訪問したウェブサイト120にハッカーによる意図的攻撃で悪性コードが挿入されたり、または非意図的攻撃で協力社などで製作したコンテンツにすでに悪性コードが挿入されていると、使用者が単純にウェブサイト120の特定ページを訪問するだけで特定ページに隠している悪性コードが実行され、以降悪性コードリンク150を通じて使用者端末器110が攻撃者サーバー140に接近するようになるので、使用者端末器110は攻撃者サーバー140から悪性プログラム160をダウンロードして設置することになる。このとき、従来の技術ではこのような悪性コードの設置および実行を予め探知できない実情である。
このような保安上の弱点を利用した攻撃をエクスプロイト(exploit)といい、これはジャバスクリプト(JavaScript(登録商標))に作成された場合が多く、通常コード難読化(obfuscation)を通じてコードを読みにくくする場合が多い。さらに、使用者が当該ページに訪問するごとに動的に変更される属性を持ったりもする。
こういう形態の攻撃コードはコンピュータワクチンから探知するためのパターン化作業を難しくし、特に、動的に自動変更されるコードはワクチンから探知できない場合が大部分である。
一方、韓国登録特許第1308228号“悪性コードの自動探知方法”はプログラムを構成するイベントの種類と順序を共に活用して悪性コードを分析し、機能的に類似の行為をするプログラムを同じ種類に分類することによって、悪性コード分類装置の性能を向上させる技術を提示する。
しかし、前記先行技術は同じイベントフルで選択されたイベントからなる二つの悪性コードの順次的特性を活用して類似度を計算することによって、計算された類似度により同種の悪性コードを探知することができるという長所があるが、悪性コードの設置および実行を予め探知できないので、ウェブサイトに予め挿入された悪性コードの場合、つまり、保安上の弱点を利用したエクスプロイト攻撃の場合にはこれを対応できず依然として悪性コードの攻撃から感染する危険がある。
韓国登録特許第1308228号(登録日付:2013.09.06.)
本発明は、このような従来技術の問題点を解決するために導出されたものであって、ウェブ基盤の悪性コード探知システムおよび方法を提供することを目的とする。
本発明は、保安上の弱点を利用してハッキングされたウェブページを通じて悪性コードを流布したり経由サイトに悪用されることを事前に探知して対応しようとすることを目的とする。
本発明は新種または変種の悪性コードに対する未探(探知すべき悪性コードを探知できない現象)を減らすことを目的とする。
本発明はウェブページの点検の際、不必要なリソースおよび時間消耗を減らすことを目的とする。
このような目的を達成するために本発明の一実施例に係るウェブ基盤の悪性コード探知システムは、URL収集部、データクローリング部、悪性パターンデータベース、悪性コード候補抽出部、安全パターンデータベース、安全パターンフィルタリング部およびパターン学習部を含む。
前記URL収集部は少なくとも一つ以上のウェブサーバーのURL情報を収集して貯蔵する。前記データクローリング部は前記貯蔵されたURL情報を基盤としてウェブサイト内に存在するコンテンツデータをクローリングして貯蔵する。前記悪性コード候補抽出部は前記データクローリング部に貯蔵されたデータで前記悪性パターンデータベースに既保存された(既に保存された、予め保存された)悪性パターン情報と一致するパターンを探知した後、前記探知されたパターンを含むイベントを悪性コード候補として抽出する。このとき、前記悪性パターンデータベースに既保存された悪性パターンは既存に悪性コードと知られた特定文字列の一部を除いた残りの文字列を利用して生成することができる。前記安全パターンフィルタリング部は前記抽出された悪性コード候補で安全パターンデータベースに既保存された安全さが知られた安全パターン情報と一致するパターンを探知した後、前記探知されたパターンを含むイベントを前記抽出された悪性コード候補でフィルタリングし、残った悪性コード候補を悪性コードに出力する。前記パターン学習部は前記出力された悪性コードを基盤として悪性パターンの規則性または安全パターンと悪性パターンとの間の関連性を分析して新たな悪性パターン情報を生成し、前記生成された悪性パターン情報を前記既保存された悪性パターン情報に追加する。
また、前記データクローリング部は前記ウェブサイトのソースコードだけでなく前記ウェブサイトをIEコンポーネントモジュールを利用して接近することによって収集されたイメージ、エンコーディングジャバスクリプトおよびスタイルシートデータを前記コンテンツデータとして保存できる。
また、前記データクローリング部は前記貯蔵されたデータで前記既保存された悪性パターン情報と一致しないデータをハッシュ(hash)値に保存することができ、前記悪性コード候補抽出部は前記データクローリング部に既保存されたハッシュ値と前記ウェブサイトのコンテンツデータを周期的にクローリングして獲得された追加コンテンツデータのハッシュ値を比較することによって変化したハッシュ値を探知し、前記探知された変化したハッシュ値を基盤として悪性コード候補を抽出することができる。
一方、本発明の一実施例に係るウェブ基盤の悪性コードの探知方法はURL収集段階、データクローリング段階、悪性コード候補抽出段階、安全パターンフィルタリング段階およびパターン学習段階を含む。
前記URL収集段階は少なくとも一つ以上のウェブサーバーのURL情報を収集して貯蔵する。前記データクローリング段階は前記貯蔵されたURL情報を基盤としてウェブサイト内に存在するコンテンツデータをクローリングして貯蔵する。前記悪性コード候補抽出段階は前記データクローリング段階で貯蔵されたデータで悪性パターンデータベース部に既保存された悪性パターン情報と一致するパターンを探知した後、前記探知されたパターンを含むイベントを悪性コード候補として抽出する。このとき、前記悪性パターンデータベースに既保存された悪性パターンは既存に悪性コードと知られた特定文字列の一部を除いた残りの文字列を利用して生成することができる。前記安全パターンフィルタリング段階は前記抽出された悪性コード候補で安全パターンデータベース部に既保存された安全さが知られた安全パターンと一致するパターンを探知した後、前記探知されたパターンを含むイベントを前記抽出された悪性コード候補でフィルタリングし、残った悪性コード候補を悪性コードに出力する。前記パターン学習段階は前記出力された悪性コードを基盤として悪性パターンの規則性または安全パターンと悪性パターンとの間の関連性を分析して新たな悪性パターン情報を生成し、前記生成された悪性パターン情報を前記既保存された悪性パターン情報に追加する。
また、前記データクローリング段階は前記ウェブサイトのソースコードだけでなく前記ウェブサイトをIEコンポーネントモジュールを利用して接近することによって収集されたイメージ、エンコーディングジャバスクリプトおよびスタイルシートデータを前記コンテンツデータとして保存できる。
また、前記データクローリング段階は前記貯蔵されたデータで前記既保存された悪性パターン情報と一致しないデータをハッシュ(hash)値に保存でき、前記悪性コード候補抽出段階は前記データクローリング段階で既保存されたハッシュ値と前記ウェブサイトのコンテンツデータを周期的にクローリングして獲得された追加コンテンツデータのハッシュ値を比較することによって変化したハッシュ値を探知し、前記探知された変化したハッシュ値を基盤として悪性コード候補を抽出することができる。
本発明のまた他のウェブ基盤の悪性コードの探知方法は、一次URLサイトに含まれているウェブ文書に悪性コードまたはエクスプロイトイベント(exploit event)を探知するのはもちろん、そのサイト内のコードによってリンクされるイベントを追跡して複数の段階を経てリンクされる他のサイトを追跡し、結果として悪性コードが実行できるように誘導するイベントを検出することができる。このとき、リンクされるサイトのウェブ文書も全てクローリングして収集されることによって、リンクされるサイトのウェブ文書に対する保安もチェックすることができる。このとき、リンクされるサイトが同じドメイン内部のサイトである場合には本発明のまた他のウェブ基盤の悪性コードの探知方法は内部リンカーについては一時的にイベント探知プロセスを省略することができる。ドメイン内部のサイトであれば結果的にクローリングして収集されることによって悪性コードの検出が別のプロセスで実行されるので、悪性コード探知過程が重複して実行されることを防止するためである。
本発明は保安上の弱点を利用してハッキングされたウェブページを通じて悪性コードを流布したり経由サイトに悪用されることを事前に探知し対応できる効果がある。
本発明は悪性コードの探知の際、広い範囲のパターンで探知した後、安全さが知られた安全パターンをフィルタリングするので、新種または変種悪性コードに対する未探を減らすことができる効果がある。
本発明はIEコンポーネントモジュールを利用してウェブサイトをエミュレーションするので、IEウェブブラウザーを実際に実行しなくてもウェブブラウザーを利用したウェブ接近と同等な結果を収集することができ、これによって、リソース消耗を減らし、悪性コードの探知範囲を拡大することができる効果がある。
本発明はHTMLに対する単純分析だけでなくイメージ、エンコーディングジャバスクリプトおよびスタイルシートなど多様なコンテンツ分析を通じてIE水準の分析が可能である。
本発明はデータクローリング部に既保存されたハッシュ値とウェブサイトのコンテンツデータを周期的にクローリングして獲得された追加コンテンツデータのハッシュ値を比較して変化したハッシュ値を探知し、前記探知された変化したハッシュ値に相当するデータだけ悪性コード検査を行うので、不必要なリソースおよび時間消耗を減らすことができる効果がある。
また、本発明はウェブサイトの安全性を確保するためにクローリングされたウェブ文書でリンクされる別個のサイトまで分析対象を拡大することができ、このような過程を複数の段階を繰り返すことによってウェブサイトの安全性を一層高めることができる。このとき、ウェブサイト内のリンクは多くの場合にドメイン内部の文書/サイトに対するリンクであるので、ウェブ文書に対する悪性コード分析プロセスによって検出可能なイベントを検出するまで多くの演算量およびメモリを使用する必要がないので、リンクイベントが内部の文書に対するリンクである場合には一時的に悪性コードの探知プロセスを解除して演算量およびメモリ使用量を減らすことができる。つまり、悪性コードの探知範囲を広げる過程で重複する探知プロセスについては一回の探知プロセスだけが実行されるようにして重複する演算およびメモリ使用量を減らすことができる。
従来の技術において、ウェブサイトを通じた悪性コードの感染経路を説明するための一実施例である。 本発明の一実施例に係るウェブ基盤の悪性コード探知システムを示した図である。 本発明の一実施例に係るウェブ基盤の悪性コードの探知方法を示した図である。 本発明の一実施例に係るコンテンツデータを周期的にクローリングするときの悪性コードの探知方法を示した図である。 図3に示された本発明の一実施例に係るウェブ基盤の悪性コードの探知方法の一段階をさらに詳しく示した図である。 本発明の一実施例に係るウェブ基盤の悪性コードの探知方法でサイトリンクイベントを追跡して悪性コードの誘引を検出する過程を示した図である。 本発明の一実施例に係るウェブ基盤の悪性コードの探知方法の過程および探知されるイベントの種類を示した一例である。 本発明の一実施例に係るウェブ基盤の悪性コードの探知方法で一次URLと検出されたhtml文書ドキュメントを通じて隠された悪性コードを探知する過程を示した一例である。
以下、本発明の望ましい実施例を添付図面を参照して詳しく説明する。本発明を説明するにあたって、関連した公知構成または、機能に対する具体的な説明が本発明の要旨を曇ることができると判断される場合には、その詳細な説明は、省略する。また、本発明の実施例を説明するにあたって、具体的な数値は実施例に過ぎないものである。
本発明はウェブ基盤の悪性コード探知システムおよび方法に関し、より詳しくは、保安上の弱点を利用してハッキングされたウェブページを通じて悪性コードを流布したり経由サイトに悪用されることを事前に探知し対応することができる技術を提示する。
図2は本発明の一実施例に係るウェブ基盤の悪性コード探知システムを示した図である。
図2を参照すれば、本発明のウェブ基盤の悪性コード探知システム200はURL収集部210、データクローリング部220、悪性パターンデータベース230、悪性コード候補抽出部240、安全パターンデータベース250、安全パターンフィルタリング部260およびパターン学習部270を含む。
URL収集部210は少なくとも一つ以上のウェブサーバーのURL情報を収集して貯蔵する。ウェブ基盤の悪性コード探知システム200はURLのようなリンク情報を利用してウェブサイトに接近することができる。
データクローリング部220はURL収集部210に貯蔵されたURL情報を基盤としてウェブサイト内に存在するコンテンツデータをクローリングして貯蔵する。
このとき、ウェブ基盤の悪性コード探知システム200はIEコンポーネントモジュールを利用してウェブページに接近することができ、これはウェブブラウザーを利用した接近と同等な結果を収集できるようになる。このとき、IEコンポーネントモジュールを利用すれば一般使用者がウェブページに接続した時に接近(access)するようになるコードだけでなくコンテンツその他データを同等に収集することによって悪性コードに露出可能な使用者環境をより実際状況に近く再現することができる。つまり、ウェブ基盤の悪性コード探知システム200はIEコンポーネントモジュールを利用してウェブに接近することによってエミュレーションが可能である。このとき、エミュレーション(emulation)とは、デジタル情報を生産した時点で使用されたハードウェア、媒体、運営体制、ソフトウェアの運用をそのままエミュレート(emulate)してその内容を読み出すプログラムを通じて再現する保存戦略である。一方、IEコンポーネントモジュールとは、このようなエミュレーションを可能にするための目的で本発明が採択したウェブデータ収集モジュールの一実施例に過ぎないものであって、本発明が追求しようとするのはウェブデータを収集するとき、実際使用者が悪性コードに露出できる使用者環境をより実際状況に近く再現できる収集モジュールである。IEコンポーネントモジュールとは、当業界に知られた公知のソフトウェアモジュールであって、このような本発明の目的に符合するように選択した一実施例に過ぎないものであって、本発明の思想がこのような実施例によって限定されるものではない。
したがって、ウェブ基盤の悪性コード探知システム200は従来にIEウェブブラウザーに接近時にロードされるコンテンツの検証が行われなくてコンテンツロードの際、悪性コードに感染する危険が存在した問題を解決することができ、また、ウェブ基盤の悪性コード探知システム200はIEコンポーネントモジュールを利用してIEウェブブラウザーを実際に実行せずにウェブに接近するようになるので、リソース消耗を減らすことができ、悪性コードの探知範囲を拡大することができる。
データクローリング部220はウェブサイトのソースコード(HTML)だけでなく、IEコンポーネントモジュールを利用してウェブに接近することによって付随的に収集されたイメージ(image)、エンコーディングジャバスクリプト(encoding JavaScript(登録商標))およびスタイルシートなどのデータを共にクローリングして貯蔵する。
また、データクローリング部220は貯蔵されたデータで悪性パターンデータベース230に既保存された悪性パターン情報と一致しないデータ(つまり、悪性コード候補として抽出されないデータ)および安全パターンフィルタリング部260で安全パターンによって安全なものでフィルタリングされたデータ(つまり、悪性コードではないデータ)をハッシュ(hash)値に保存することができる。
また、データクローリング部220はウェブサイトのコンテンツデータを周期的にクローリングし、悪性コード候補抽出部240はデータクローリング部220に既保存されたハッシュ値と前記ウェブサイトを周期的にクローリングして獲得された追加コンテンツデータのハッシュ値を比較することによって変化したハッシュ値を探知し、前記探知された変化したハッシュ値を基盤として悪性コード候補を抽出する。
悪性パターンデータベース230は既存に悪性コードと知られた特定文字列の情報だけでなく、既存に悪性コードと知られた特定文字列の一部を除いた残りの文字列を利用して生成された悪性コードパターン情報を貯蔵する。つまり、悪性パターンデータベース230は既存に知られた悪性コードの情報だけでなく、前記既存に知られた悪性コードとパターンが類似の同種の悪性コードの情報までデータベース化して貯蔵する。
悪性コード候補抽出部240はデータクローリング部220に貯蔵されたデータで悪性パターンデータベース230に既保存された悪性パターン情報と一致するパターンを探知した後、前記探知されたパターンを含むイベントを悪性コード候補として抽出する。
従来は悪性コードを探知する時、既存に知られた悪性コード情報と同じであるか否かによって探知したので、偵察率は増加するが、新規または同種の悪性コードを探知できない未探の場合が多く発生した。
しかし、本発明の悪性コード候補抽出部240は悪性パターンデータベース230が既存に悪性コードと知られた特定文字列の情報だけでなく、既存に悪性コードと知られた特定文字列の一部を除いた残りの文字列を利用して生成された悪性コードパターン情報を保存しているので、悪性コード候補を抽出する時に従来とは異なるように幅広い範囲のパターンで悪性コード探知が可能で、以降抽出された悪性コード候補で安全パターンデータベース250に貯蔵された安全パターン情報と一致するパターンをフィルタリングすることによって未探率を下げることができるようになる。
例えば、既存に知られた悪性コードをABCDEFと仮定すると、悪性コードが進化または変形してABCCEFも悪性コードと同様の機能を遂行することができるので、本発明の一実施例ではABC/C/EFのように既存に知られた悪性コードの一部が異なるパターンで代替された形態のコードも悪性コード候補として探知されることができる。
このとき、悪性コード候補の範囲が過度に広くなるので過誤探(悪性コードではないものを悪性コードとして認識する)が問題となることができるが、本発明ではすでに安全であると知らされた安全パターンを探知してこのような誤探を防止することができる。
また、悪性パターンデータベース230にはパターン学習部270によって分析された新たな悪性パターン情報を追加することができる。
また、悪性コード候補抽出部240は悪性コード候補として抽出されたイベント情報をリスト構造(list structure)形態に保存することができ、また、悪性コード候補抽出部240は抽出されたイベントがどんな悪性パターンによって悪性コード候補として抽出されたかに対するヒストリーを全て保存することができる。
したがって、悪性コード候補抽出部240は以降安全パターンをフィルタリングするために、抽出されたイベントがどんな悪性パターンによって抽出され、抽出された悪性パターンの当該文字列がある位置にあるかに対する詳細情報をデータベース化して保存することができる。
安全パターンデータベース250は既存に知られた安全さが知られたパターンを貯蔵する。これは悪性パターンと安全パターンの文字列が類似する場合、悪性コード候補抽出部240で誤探知されたイベントを安全パターンデータベース250に貯蔵された安全パターンを利用してフィルタリングすることによって誤探を除去することができる。
また、安全パターンデータベース250に貯蔵された安全パターンはどんな悪性パターンに対する例外規定であるかによって定義され、安全パターンフィルタリング部260はこのように悪性パターンと安全パターンとの間の関連性によって定義された安全パターンを利用することによって、抽出された悪性コード候補で誤探をフィルタリングすることができる。
言い換えると、安全パターンが探知されたとき、無条件安全なものと認識すれば、様々な悪性コード類似パターンによって一つの安全パターンによって安全なものと認識される可能性(悪性コード候補と認識されたコードが実際には安全ではないが、安全なものと誤認識される余地)もあるので、このときは悪性コード候補がどんな悪性パターンと類似して悪性コード候補と認識されたかに対する探知ヒストリーも共に貯蔵して安全パターンによって過度に未探率が高くなる現象も防止することができる。悪性コード候補が複数の悪性パターンと類似して悪性コード候補として選ばれた場合には、各悪性パターンに対する安全度が全て検証された場合にだけ悪性コード候補から除外するなどの例外処理規定が追加的に備えられる。
安全パターンフィルタリング部260は悪性コード候補抽出部240で抽出された悪性コード候補で安全パターンデータベース部250に既保存された安全さが知られた安全パターン情報と一致するパターンを探知した後、前記探知されたパターンを含むイベントを前記抽出された悪性コード候補でフィルタリングし、残った悪性コード候補を悪性コードに出力する。
このとき、安全パターンフィルタリング部280でフィルタリングされた安全なデータはデータクローリング部220にハッシュ値に保存され、反面、フィルタリングして残った悪性コード候補データは悪性コードとして使用者に知られる(alert)。
安全パターンフィルタリング部260は悪性コード候補で安全パターンを含むイベントをフィルタリングすることによって偵察の可能性の高いイベントだけを残ることになるので、新規または同種の悪性コードに対する探知脱落を減らすことができる。
パターン学習部270は安全パターンフィルタリング部260から出力された悪性コードを基盤として悪性パターンの規則性または安全パターンと悪性パターンとの間の関連性を分析して新たな悪性パターン情報を生成し、前記生成された悪性パターン情報を悪性パターンデータベース230に追加する。
したがって、パターン学習部270は安全パターンフィルタリング部260でフィルタリングが続くことによって漸次に残っているイベントの偵察率が増加することになり、新たな悪性パターン情報をさらに多く確報することができるようになる。
図3は本発明の一実施例に係るウェブ基盤の悪性コードの探知方法を示した図である。
図3を参照すれば、URL収集部210は少なくとも一つ以上のウェブサーバーのURL情報を収集して保存する(S310)。これはウェブ基盤の悪性コード探知システム200がURLのようなリンク情報を利用してウェブサイトに接近することができるようにするためである。
そして、データクローリング部220はURL収集部210に貯蔵されたURL情報を基盤としてウェブサイト内に存在するコンテンツデータをクローリングして保存する(S320)。このとき、クローリングして保存されるデータはウェブサイトのソースコード(HTML)だけでなく、IEコンポーネントモジュールを利用してウェブに接近することによって付随的に収集されたイメージ(image)、エンコーディングジャバスクリプト(encoding JavaScript(登録商標))およびスタイルシートなどのデータであることができる。
このとき、本発明のウェブ基盤の悪性コード探知システム200はIEコンポーネントモジュールを利用してウェブページに接近することができ、これはウェブブラウザーを利用した接近と同等な結果が収集可能になる。つまり、ウェブ基盤の悪性コード探知システム200はIEコンポーネントモジュールを利用してウェブに接近することによってエミュレーションが可能である。
したがって、ウェブ基盤の悪性コード探知システム200は従来にIEウェブブラウザーに接近の際、ロードされるコンテンツの検証が行われなくてコンテンツロードの際に悪性コードに感染する恐れが存在する問題を解決することができ、また、ウェブ基盤の悪性コード探知システム200はIEコンポーネントモジュールを利用してIEウェブブラウザーを実際に実行せずにウェブに接近することになるので、リソース消耗を減らすことができ、悪性コードの探知範囲を拡大することができる効果がある。
次に、悪性コード候補抽出部240はデータクローリング部220に貯蔵されたデータで悪性パターンデータベース230に既保存された悪性パターン情報と一致するパターンがあるか否かを確認する(S330)。
このとき、悪性パターンデータベース230に既保存された悪性パターン情報は既存に悪性コードと知られた特定文字列の情報だけでなく、既存に悪性コードと知られた特定文字列の一部を除いた残りの文字列を利用して生成された悪性コードパターン情報であることができる。つまり、悪性パターンデータベース230は既存に知られた悪性コードの情報だけでなく、前記既存に知られた悪性コードとパターンが類似の同種の悪性コードの情報までデータベース化して保存することができる。
次に、悪性コード候補抽出部240はデータクローリング部220に貯蔵されたデータで既保存された悪性パターン情報と一致するパターンが探知された場合(S330−Y)、前記探知されたパターンを含むイベントを悪性コード候補として抽出し(S350)、データクローリング部220に貯蔵されたデータで既保存された悪性パターン情報と一致しないデータ(つまり、悪性コード候補として抽出されないデータ(S330−N))はハッシュ(hash)値に保存する(S340)。
このとき、段階S350は悪性コード候補を抽出するとき、悪性パターンデータベース230が既存に悪性コードと知られた特定文字列の情報だけでなく既存に悪性コードと知られた特定文字列の一部を除いた残りの文字列を利用して生成された悪性コードパターン情報を保存しているので、従来とは異なるように幅広い範囲のパターンで悪性コード探知が可能であり、これによって、未探率を減らすことができる効果がある。
また、段階S350で悪性コード候補を抽出する悪性コード候補抽出部240は悪性コード候補として抽出されたイベント情報をリスト構造(list structure)形態に保存することができ、また、悪性コード候補抽出部240は抽出されたイベントがどんな悪性パターンによって悪性コード候補として抽出されたかに対するヒストリーを全て保存することができる。つまり、悪性コード候補抽出部240は以降安全パターンをフィルタリングするために、抽出されたイベントがどんな悪性パターンによって抽出され、抽出された悪性パターンの当該文字列がある位置にあるかに対する詳細情報をデータベース化して保存することができる。
次に、悪性コード候補が抽出された後(S350)、安全パターンフィルタリング部260は悪性コード候補抽出部240で抽出された悪性コード候補で安全パターンデータベース部250に既保存された安全さが知られた安全パターン情報と一致するパターンを探知した後、前記探知されたパターンを含むイベントを前記抽出された悪性コード候補でフィルタリングし(S360)、残った悪性コード候補を悪性コードに出力する(S370)。
このとき、安全パターンデータベース250は既存に知られた安全さが知られたパターンを保存しており、これは悪性パターンと安全パターンが似た文字列が類似する場合、悪性コード候補抽出部240で誤探知されたイベントを安全パターンデータベース250に貯蔵された安全パターンを利用してフィルタリングすることによって誤探を除去することができる。
また、安全パターンデータベース250に貯蔵された安全パターンはどんな悪性パターンに対する例外規定であるかによって定義され、安全パターンフィルタリング部260はこのように悪性パターンと安全パターンとの間の関連性によって定義された安全パターンを利用することによって、抽出された悪性コード候補で誤探をフィルタリングすることができる。
また、安全パターンフィルタリング部280でフィルタリングされた安全なデータはデータクローリング部220にハッシュ値に保存され、反面、フィルタリングして残った悪性コード候補データは悪性コードとして使用者に知られる(alert)。
また、安全パターンフィルタリング部260は悪性コード候補で安全パターンを含むイベントをフィルタリングすることによって偵察の可能性の高いイベントだけを残ることになるので、新規または同種の悪性コードに対する探知脱落を減らすことができる。
次に、悪性コードが出力された後(S370)、パターン学習部270は安全パターンフィルタリング部260から出力された悪性コードを基盤として悪性パターンの規則性または安全パターンと悪性パターンとの間の関連性を分析して新たな悪性パターン情報を生成し(S380)、前記生成された悪性パターン情報を悪性パターンデータベース230に追加する(S390)。
したがって、本発明は安全パターンフィルタリング部260で安全パターンを継続してフィルタリングすることによって、漸次に残っているイベントの偵察率が増加することなり、新たな悪性パターン情報をさらに多く確報することができる。
図4は本発明の一実施例に係るコンテンツデータを周期的にクローリングするときの悪性コードの探知方法を示した図である。
図4を参照すれば、データクローリング部220はURL収集部210に収集されたURL情報(S310)を基盤として、ウェブサイト内に存在するコンテンツデータを周期的にクローリング(S410)して貯蔵する。
そして、悪性コード候補抽出部240はデータクローリング部220に既保存されたハッシュ値と前記ウェブサイトを周期的にクローリングして獲得された追加コンテンツデータのハッシュ値を比較して変化したハッシュ値を探知し(S420)、前記探知された変化したハッシュ値に相当するデータだけ悪性コード検査を遂行する(S430)。
このとき、周期的にクローリングして獲得される追加コンテンツのデータはウェブサイトのソースコード(HTML)だけでなく、IEコンポーネントモジュールを利用してウェブに接近することによって付随的に収集されたイメージ(image)、エンコーディングジャバスクリプト(encoding JavaScript(登録商標))およびスタイルシートなどのデータであることができる。
また、段階S430は変化したハッシュ値に相当するデータだけ悪性コード検査を行うので、従来にウェブページ点検の際、変動事項のない場合にも点検が行われて不必要なリソースおよび時間消耗が発生した問題を効果的に減らすことができる。
また、段階S430で悪性コードを検査する段階は、図3の段階S330ないし段階S390と同じ過程を通じて遂行することができ、以下、これに対する説明は上記に詳しく記述されているので省略する。
図5は図3に示された発明の一実施例に係るウェブ基盤の悪性コードの探知方法の一段階をさらに詳しく示した図である。
図5を参照すれば、安全パターンに対するフィルタリングに関する段階(S360)が実行された以後、ウェブ基盤の悪性コードの探知方法は環境基盤フィルタリング条件と一致するイベントをフィルタリングすることができる(S361)。このとき、環境基盤フィルタリング条件は悪性コード探知環境によって設定される重複プロセスを防止するためのフィルタリング条件である。つまり、悪性コード探知が別のプロセスによって行われるので重複検出を防止し、不必要な演算量およびメモリ使用量を減らすために環境基盤フィルタリング条件をもって重複プロセスとなるイベントを予めフィルタリングする。一例に、ドメイン内部の文書を全てクローリングして悪性コード文字列およびコード実行による悪性コードの探知プロセスが別途進行の場合、ドメイン内部のリンクによって誘引される悪性コードリンクイベントについては、あえて重複して検出する必要がない。このとき、環境基盤フィルタリング条件は“ドメイン内部のリンクイベント”であることができ、ドメイン内部のリンクイベントはフィルタリングされて悪性コード検出過程で一時的に除外することができる。
図6は本発明の一実施例に係るウェブ基盤の悪性コードの探知方法でサイトリンクイベントを追跡して悪性コードの誘引を検出する過程を示した図である。
図6を参照すれば、本発明のウェブ基盤の悪性コードの探知方法は、サイトA610の特定コード611によってリンクされる他のサイトA’620に対するクローリングを通じてウェブ文書の安全性を分析することができる。このとき、サイトA’620内の特定コード621によってリンクされるまた他のサイトA’’630に対してもクローリングまたは文書コード分析を通じてまた他のサイトA’’’640にリンクされるコード631を探知することができる。
このように本発明のウェブ基盤の悪性コードの探知方法は、サイトA610内部の文書だけを検証するのではなく、これによってリンク可能な他のサイト620ないし640に対する安全性を検証することもできる。サイトA610をおいた状態で使用者が意識的、無意識的に、コード611のリンクをマウスにクリックした場合、リンクイベントによってサイトA’620が実行されるので、このような偶発的なイベントまでも考慮してサイトの安全性を検証することができる。もちろん、図6のような方法を使用して、使用者の偶然なクリックによるリンクだけでなく、隠しプロセス(hidden process)に自動的に実行されるリンクイベントまでも検証することができる。
図7は本発明の一実施例に係るウェブ基盤の悪性コードの探知方法の過程および探知されるイベントの種類を示した一例である。
図7を参照すれば、本発明のウェブ基盤の悪性コードの探知方法はウェブ文書外部のタグ(tag)を使用した悪性コードホームページにリダイレクション(re−direction)を誘導するスクリプト(外部のリンカー)を探知してこれを悪性コードとしてアラート(alerting)することを基本機能にすることができる。このとき、ウェブ文書外部のリンカーが難読化されていたり、エンコーディング(Encoding)された場合にも解読またはデコーディング(decoding)してリンカーを検出しこれをフィルタリングすることができる。このとき、利用されるエンコーディング/デコーディング方法は公知の方法を利用するため、本発明の主な範囲には属しないので詳しい説明は省略する。
また、本発明のウェブ基盤の悪性コードの探知方法は、ウェブ文書の内部に存在し、またタグ(tag)を使用して悪性コードホームページにリダイレクションを誘導するスクリプト(内部のリンカー)については次の段階の悪性コード検出アルゴリズムに分担させ、現段階では自動フィルタリングして悪性コード探知ロジックの負担を減らすことができる。このとき、内部のリンカーを探知する過程でも難読化やエンコーディングされたリンカーに対する取り扱いは内部のリンカーに対する取り扱いと同一である。
また、本発明のウェブ基盤の悪性コードの探知方法は、シェルコード(shellcode)を探知して悪性コードを探知することができ、このときにも難読化されたりエンコーディングされたシェルコードを探知することができる。また、このときには本発明のウェブ基盤の悪性コードの探知方法は、特定パッカー(packer)によってパッキング(packing)されたコードを探知して隠された悪性コードに誘引するシェルコードを検出することができる。
このとき、探知されるイベントの3種類はscript、iframe tagなどを使用するtag event、tagを利用するlink event、実際悪性コードを実行するエクスプロイトイベントを全て含むことができる。
本発明の一実施例に係るウェブ基盤の悪性コードの探知方法で悪性コード探知過程の演算量/メモリ使用量を減少する方法は次の通りである。本発明の一実施例に係るウェブ基盤の悪性コードの探知方法でタグイベント(tag event)の場合、同じドメイン内でロード(load)されるのは一次に信頼可能であると仮定して自動フィルタリングし悪性コードに検出しない。このような内部文書のリンクの場合、リンクされる文書はどうせ別のプロセスでクローリングされて悪性コードの検出が行われるので重複するプロセスによって演算量/メモリ使用量が不必要に増加することを防止することができる。
本発明の一実施例に係るウェブ基盤の悪性コードの探知方法でタグイベント(tag event)が他のドメインでロード(load)されるのは信頼できないのでイベントアラート(alert)する。これは、他のドメインについては別個の検証方法がないので、必ず必要な手続である。
本発明の一実施例に係るウェブ基盤の悪性コードの探知方法でリンクイベント内のURLには接近してレスポンス(response)値を検出する。当該レスポンス(response)値でタグイベント(tag event)はリンクイベントのURLのような場合、次のデップス(depth)の検出過程で検証されるのでフィルター処理することができる。
本発明の一実施例に係るウェブ基盤の悪性コードの探知方法でエクスプロイト(exploit)関連イベントはすべてのドメインで信頼できないものと見なし、無条件アラート(Alert)することができる。
図7のイベント検出ロジックは一つのデップス(depth)内で実行することができる。
図8は本発明の一実施例に係るウェブ基盤の悪性コードの探知方法で一次URLと検出されたhtml文書ドキュメントを通じて隠された悪性コードを探知する過程を示した一例である。
図8を参照すれば、特定サイトのURLとそのウェブ文書のRAW−DATAが一次的にクローリングされて悪性コードの可否が探知される。このとき、タグなどによるリンクイベントを追跡してリンクされるサイト/文書の悪性コード実行の可否を探知することができる。このとき、図8では3段階まで外部リンクを追跡する過程が示されているが、本発明の思想はこのような実施例によって限定されない。
本発明のウェブ基盤の悪性コードの探知方法は、実行される悪性コードに誘導するサイト/文書内のコードを悪性コード配布コードまたは誘発コードに認識して悪性コード認識のためのデータベースを追加的にアップデートすることができる。
このとき、ドメイン内部的にリンクされるタグイベントは、独立的に実行される別のプロセスで当該ドメイン内部文書RAW−DATAがクローリングされてチェックされるので、イベント検出過程では悪性コードとして認識されずに自動的にフィルタリングされることができる。しかし、このような悪性コードは、結局、内部文書に対する別個の検証過程で発見されて排除される。
また、図示していないが、本発明のウェブ基盤の悪性コードの探知方法は、各リクエスト(request)URLとそれに対応するレスポンスデータ(response data)を選択的に一覧できる使用者インターフェースを提供し、これらそれぞれはRAW−DATA、URL−listなどのカテゴリーに区分して提供することができる。
本発明のウェブ基盤の悪性コードの探知方法は、一次URLサイトに含まれているウェブ文書に悪性コードまたはエクスプロイトイベントを探知するのはもちろん、そのサイト内のコードによってリンクされるイベントを追跡して複数の段階を経てリンクされる他のサイトを追跡し、結果として悪性コードが実行可能に誘導するイベントを検出することができる。このとき、リンクされるサイトのウェブ文書も全てクローリングして収集されることによって、リンクされるサイトのウェブ文書に対する保安もチェックすることができる。このとき、リンクされるサイトが同じドメイン内部のサイトである場合、本発明のまた他のウェブ基盤の悪性コードの探知方法は、内部リンカーについては一時的にイベント探知プロセスを省略することができる。ドメイン内部のサイトであれば結果的にクローリングして収集されることによって悪性コードの検出が別のプロセスで実行されるので、悪性コード探知過程が重複して実行されることを防止するためである。
本発明の一実施例に係るウェブ基盤の悪性コードの探知方法は、多様なコンピュータ手段を通じて遂行可能なプログラム命令形態に具現されてコンピュータ読取可能媒体に記録される。前記コンピュータ読取可能媒体はプログラム命令、データファイル、データ構造などを単独でまたは組み合わせて含むことができる。前記媒体に記録されるプログラム命令は本発明のために特に設計され構成されたものであるかコンピュータソフトウェア当業者に公知されて使用可能なものであることができる。コンピュータ読取可能記録媒体の例としては、ハードディスク、フロッピー(登録商標)ディスクおよび磁気テープのような磁気媒体(magnetic media)、CD−ROM、DVDのような光記録媒体(optical media)、フロプティカルディスク(floptical disk)のような磁気−光媒体(magneto−optical media)、およびロム(ROM)、ラム(RAM)、フラッシュメモリなどのようなプログラム命令を貯蔵し行うように特に構成されたハードウェア装置が含まれる。プログラム命令の例としてはコンパイラーによって作られるような機械語コードだけでなく、インタープリタなどを使用してコンピュータにより実行できる高級言語コードを含む。前記ハードウェア装置は本発明の動作を行うために一つ以上のソフトウェアモジュールとして作動するように構成することができ、その逆も同様である。
以上のように、本発明では具体的な構成要素などのような特定事項と限定された実施例および図面によって説明したが、これは本発明のより全般的な理解を助けるために提供されたものであり、本発明は前記の実施例に限定されるものではなく、本発明の属する分野で通常の知識を有する者であればこのような記載から多様な修正および変形が可能である。
したがって、本発明の思想は前述した実施例に限定して決めてはならないし、後述する特許請求の範囲だけでなく、この特許請求の範囲と均等にまたは等価的に変形された全てのものは、本発明の思想の範疇に属すると言える。
200 ウェブ基盤の悪性コード探知システム
210 URL収集部
220 データクローリング部
230 悪性パターンデータベース
240 悪性コード候補抽出部
250 安全パターンデータベース
260 安全パターンフィルタリング部
270 パターン学習部

Claims (10)

  1. ウェブサーバーに悪性コードが挿入される攻撃を探知するシステムにおいて、
    少なくとも一つ以上のウェブサーバーのURL情報を収集して貯蔵するURL収集部と、
    前記貯蔵されたURL情報を基盤としてウェブサイト内に存在するコンテンツデータをクローリングして貯蔵するデータクローリング部と、
    前記データクローリング部に貯蔵されたデータで既保存された悪性パターン情報と一致するパターンを探知した後、前記探知されたパターンを含むイベントを悪性コード候補として抽出する悪性コード候補抽出部と、
    前記抽出された悪性コード候補で既保存された安全さが知られた安全パターン情報と一致するパターンを探知した後、前記探知されたパターンを含むイベントを前記抽出された悪性コード候補でフィルタリングし、残った悪性コード候補を悪性コードに出力する安全パターンフィルタリング部とを含むことを特徴とするウェブ基盤の悪性コード探知システム。
  2. 前記既保存された悪性パターンは、
    既存に悪性コードと知られた特定文字列の一部を除いた残りの文字列を利用して生成されることを特徴とする請求項1に記載のウェブ基盤の悪性コード探知システム。
  3. 前記出力された悪性コードを基盤として悪性パターンの規則性または安全パターンと悪性パターンとの間の関連性を分析して新たな悪性パターン情報を生成し、前記生成された悪性パターン情報を前記既保存された悪性パターン情報に追加するパターン学習部をさらに含むことを特徴とする請求項1に記載のウェブ基盤の悪性コード探知システム。
  4. 前記データクローリング部は、
    前記ウェブサイトのソースコードだけでなく前記ウェブサイトをIEコンポーネントモジュールを利用して接近することによって収集されたイメージ、エンコーディングジャバスクリプトおよびスタイルシートデータを前記コンテンツデータに保存することを特徴とする請求項1に記載のウェブ基盤の悪性コード探知システム。
  5. 前記データクローリング部は、
    前記貯蔵されたデータで前記既保存された悪性パターン情報と一致しないデータをハッシュ(hash)値に貯蔵し、
    前記悪性コード候補抽出部は、
    前記データクローリング部に既保存されたハッシュ値と前記ウェブサイトのコンテンツデータを周期的にクローリングして獲得された追加コンテンツデータのハッシュ値を比較することによって変化したハッシュ値を探知し、前記探知された変化したハッシュ値を基盤として悪性コード候補を抽出することを特徴とする請求項1に記載のウェブ基盤の悪性コード探知システム。
  6. ウェブサーバーに悪性コードが挿入される攻撃を探知する方法において、
    少なくとも一つ以上のウェブサーバーのURL情報を収集して貯蔵するURL収集段階と、
    前記貯蔵されたURL情報を基盤としてウェブサイト内に存在するコンテンツデータをクローリングして貯蔵するデータクローリング段階と、
    前記データクローリング段階で貯蔵されたデータで既保存された悪性パターン情報と一致するパターンを探知した後、前記探知されたパターンを含むイベントを悪性コード候補として抽出する悪性コード候補抽出段階と、
    前記抽出された悪性コード候補で既保存された安全さが知られた安全パターンと一致するパターンを探知した後、前記探知されたパターンを含むイベントを前記抽出された悪性コード候補でフィルタリングし、残った悪性コード候補を悪性コードに出力する安全パターンフィルタリング段階とを含むことを特徴とするウェブ基盤の悪性コードの探知方法。
  7. 前記既保存された悪性パターンは、
    既存に悪性コードと知られた特定文字列の一部を除いた残りの文字列を利用して生成されることを特徴とする請求項6に記載のウェブ基盤の悪性コードの探知方法。
  8. 前記出力された悪性コードを基盤として悪性パターンの規則性または安全パターンと悪性パターンとの間の関連性を分析して新たな悪性パターン情報を生成し、前記生成された悪性パターン情報を前記既保存された悪性パターン情報に追加するパターン学習段階をさらに含むことを特徴とする請求項6に記載のウェブ基盤の悪性コードの探知方法。
  9. 前記データクローリング段階は、
    前記貯蔵されたデータで前記既保存された悪性パターン情報と一致しないデータをハッシュ(hash)値に貯蔵し、
    前記悪性コード候補抽出段階は、
    前記データクローリング段階で既保存されたハッシュ値と前記ウェブサイトのコンテンツデータを周期的にクローリングして獲得された追加コンテンツデータのハッシュ値を比較することによって変化したハッシュ値を探知し、前記探知された変化したハッシュ値を基盤として悪性コード候補を抽出することを特徴とする請求項6に記載のウェブ基盤の悪性コードの探知方法。
  10. 請求項6乃至9のうちいずれか一項に記載の方法を実行するためのプログラムが記録されていることを特徴とするコンピュータで読取可能な記録媒体。
JP2015168747A 2014-09-02 2015-08-28 ウェブ基盤の悪性コード探知システムおよび方法 Pending JP2016053956A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2014-0116468 2014-09-02
KR20140116468 2014-09-02

Publications (1)

Publication Number Publication Date
JP2016053956A true JP2016053956A (ja) 2016-04-14

Family

ID=55403919

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015168747A Pending JP2016053956A (ja) 2014-09-02 2015-08-28 ウェブ基盤の悪性コード探知システムおよび方法

Country Status (2)

Country Link
US (1) US20160065613A1 (ja)
JP (1) JP2016053956A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020013536A (ja) * 2018-07-13 2020-01-23 クラウドブリック コーポレーション ウェブトラフィック学習のための16進数イメージ変換と増分学習を適用したディープラーニング方法
CN110837642A (zh) * 2019-11-14 2020-02-25 腾讯科技(深圳)有限公司 恶意程序分类方法、装置、设备及存储介质
KR102120200B1 (ko) * 2019-12-27 2020-06-17 주식회사 와이햇에이아이 악성 코드 수집 방법 및 시스템
KR102257139B1 (ko) * 2020-12-18 2021-05-27 한국인터넷진흥원 다크웹 정보 수집 방법 및 장치

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10805331B2 (en) 2010-09-24 2020-10-13 BitSight Technologies, Inc. Information technology security assessment system
US9438615B2 (en) 2013-09-09 2016-09-06 BitSight Technologies, Inc. Security risk management
US11182720B2 (en) 2016-02-16 2021-11-23 BitSight Technologies, Inc. Relationships among technology assets and services and the entities responsible for them
US10491621B2 (en) * 2016-08-18 2019-11-26 International Business Machines Corporation Website security tracking across a network
CN106357618B (zh) * 2016-08-26 2020-10-16 北京奇虎科技有限公司 一种Web异常检测方法和装置
CN106789980A (zh) * 2016-12-07 2017-05-31 北京亚鸿世纪科技发展有限公司 一种网站合法性的安全监管方法和装置
US10425380B2 (en) 2017-06-22 2019-09-24 BitSight Technologies, Inc. Methods for mapping IP addresses and domains to organizations using user activity data
US11695793B2 (en) 2017-10-31 2023-07-04 Micro Focus Llc Vulnerability scanning of attack surfaces
US11716348B2 (en) * 2017-10-31 2023-08-01 Bluvector, Inc. Malicious script detection
CN108234520A (zh) * 2018-02-06 2018-06-29 武汉理工大学 一种基于本福特定律的异常流模式识别方法
US10257219B1 (en) 2018-03-12 2019-04-09 BitSight Technologies, Inc. Correlated risk in cybersecurity
RU2702081C2 (ru) * 2018-03-30 2019-10-03 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения модификации веб-ресурса
US10812520B2 (en) 2018-04-17 2020-10-20 BitSight Technologies, Inc. Systems and methods for external detection of misconfigured systems
WO2019237362A1 (en) * 2018-06-15 2019-12-19 Nokia Technologies Oy Privacy-preserving content classification
US11200323B2 (en) 2018-10-17 2021-12-14 BitSight Technologies, Inc. Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios
US10521583B1 (en) 2018-10-25 2019-12-31 BitSight Technologies, Inc. Systems and methods for remote detection of software through browser webinjects
JP7140268B2 (ja) * 2019-03-25 2022-09-21 日本電気株式会社 警告装置、制御方法、及びプログラム
US10726136B1 (en) 2019-07-17 2020-07-28 BitSight Technologies, Inc. Systems and methods for generating security improvement plans for entities
US11956265B2 (en) 2019-08-23 2024-04-09 BitSight Technologies, Inc. Systems and methods for inferring entity relationships via network communications of users or user devices
US10848382B1 (en) 2019-09-26 2020-11-24 BitSight Technologies, Inc. Systems and methods for network asset discovery and association thereof with entities
US11032244B2 (en) 2019-09-30 2021-06-08 BitSight Technologies, Inc. Systems and methods for determining asset importance in security risk management
US11799876B2 (en) * 2019-10-04 2023-10-24 Zscaler, Inc. Web crawler systems and methods to efficiently detect malicious sites
CN111104617B (zh) * 2019-12-11 2023-05-09 西安易朴通讯技术有限公司 网页数据获取方法、装置、电子设备及存储介质
US10791140B1 (en) 2020-01-29 2020-09-29 BitSight Technologies, Inc. Systems and methods for assessing cybersecurity state of entities based on computer network characterization
US10893067B1 (en) 2020-01-31 2021-01-12 BitSight Technologies, Inc. Systems and methods for rapidly generating security ratings
US11582250B2 (en) * 2020-02-24 2023-02-14 Bank Of America Corporation Scanning of content in weblink
US10764298B1 (en) 2020-02-26 2020-09-01 BitSight Technologies, Inc. Systems and methods for improving a security profile of an entity based on peer security profiles
US11023585B1 (en) 2020-05-27 2021-06-01 BitSight Technologies, Inc. Systems and methods for managing cybersecurity alerts
US11122073B1 (en) 2020-12-11 2021-09-14 BitSight Technologies, Inc. Systems and methods for cybersecurity risk mitigation and management
US11556638B1 (en) * 2021-07-19 2023-01-17 Expel, Inc. Systems and methods for intelligent cybersecurity alert similarity detection and cybersecurity alert handling
CN114338240B (zh) * 2022-03-07 2022-08-26 浙江网商银行股份有限公司 漏洞扫描方法以及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006172484A (ja) * 2004-12-17 2006-06-29 Microsoft Corp 検索エンジンを利用して汚染を防ぐシステムおよび方法
KR20110077512A (ko) * 2009-12-30 2011-07-07 한양대학교 산학협력단 블룸 필터를 사용한 악성 코드 탐지 시스템 및 방법
KR20110088042A (ko) * 2010-01-28 2011-08-03 주식회사 안철수연구소 악성 코드 자동 판별 장치 및 방법
US20110239294A1 (en) * 2010-03-29 2011-09-29 Electronics And Telecommunications Research Institute System and method for detecting malicious script
KR20110129020A (ko) * 2010-05-25 2011-12-01 (주)위너다임 코드 분석기법을 이용한 악성코드 차단 시스템 및 방법
US20120272317A1 (en) * 2011-04-25 2012-10-25 Raytheon Bbn Technologies Corp System and method for detecting infectious web content

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7398553B1 (en) * 2000-10-30 2008-07-08 Tread Micro, Inc. Scripting virus scan engine
US7555777B2 (en) * 2004-01-13 2009-06-30 International Business Machines Corporation Preventing attacks in a data processing system
US7543055B2 (en) * 2006-06-20 2009-06-02 Earthlink Service provider based network threat prevention
US8544089B2 (en) * 2009-08-17 2013-09-24 Fatskunk, Inc. Auditing a device
US8484740B2 (en) * 2010-09-08 2013-07-09 At&T Intellectual Property I, L.P. Prioritizing malicious website detection
US20140156782A1 (en) * 2012-11-30 2014-06-05 Agile Communications Europe Limited Method of providing content data
US10127379B2 (en) * 2013-03-13 2018-11-13 Mcafee, Llc Profiling code execution

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006172484A (ja) * 2004-12-17 2006-06-29 Microsoft Corp 検索エンジンを利用して汚染を防ぐシステムおよび方法
KR20110077512A (ko) * 2009-12-30 2011-07-07 한양대학교 산학협력단 블룸 필터를 사용한 악성 코드 탐지 시스템 및 방법
KR20110088042A (ko) * 2010-01-28 2011-08-03 주식회사 안철수연구소 악성 코드 자동 판별 장치 및 방법
US20110239294A1 (en) * 2010-03-29 2011-09-29 Electronics And Telecommunications Research Institute System and method for detecting malicious script
KR20110129020A (ko) * 2010-05-25 2011-12-01 (주)위너다임 코드 분석기법을 이용한 악성코드 차단 시스템 및 방법
US20120272317A1 (en) * 2011-04-25 2012-10-25 Raytheon Bbn Technologies Corp System and method for detecting infectious web content

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020013536A (ja) * 2018-07-13 2020-01-23 クラウドブリック コーポレーション ウェブトラフィック学習のための16進数イメージ変換と増分学習を適用したディープラーニング方法
CN110837642A (zh) * 2019-11-14 2020-02-25 腾讯科技(深圳)有限公司 恶意程序分类方法、装置、设备及存储介质
CN110837642B (zh) * 2019-11-14 2023-10-13 腾讯科技(深圳)有限公司 恶意程序分类方法、装置、设备及存储介质
KR102120200B1 (ko) * 2019-12-27 2020-06-17 주식회사 와이햇에이아이 악성 코드 수집 방법 및 시스템
KR102257139B1 (ko) * 2020-12-18 2021-05-27 한국인터넷진흥원 다크웹 정보 수집 방법 및 장치
US11301522B1 (en) 2020-12-18 2022-04-12 Korea Internet & Security Agency Method and apparatus for collecting information regarding dark web
US11797617B2 (en) 2020-12-18 2023-10-24 Korea Internet & Security Agency Method and apparatus for collecting information regarding dark web

Also Published As

Publication number Publication date
US20160065613A1 (en) 2016-03-03

Similar Documents

Publication Publication Date Title
JP2016053956A (ja) ウェブ基盤の悪性コード探知システムおよび方法
Iqbal et al. The ad wars: retrospective measurement and analysis of anti-adblock filter lists
Rathore et al. XSSClassifier: an efficient XSS attack detection approach based on machine learning classifier on SNSs
Rao et al. Phishshield: a desktop application to detect phishing webpages through heuristic approach
Gupta et al. PHP-sensor: a prototype method to discover workflow violation and XSS vulnerabilities in PHP web applications
Lee et al. A novel method for SQL injection attack detection based on removing SQL query attribute values
US7854002B2 (en) Pattern matching for spyware detection
CN103744802B (zh) Sql注入攻击的识别方法及装置
Gupta et al. Static analysis approaches to detect SQL injection and cross site scripting vulnerabilities in web applications: A survey
Liu et al. A novel approach for detecting browser-based silent miner
Kamtuo et al. Machine Learning for SQL injection prevention on server-side scripting
Nissim et al. Keeping pace with the creation of new malicious PDF files using an active-learning based detection framework
Das Guptta et al. Modeling hybrid feature-based phishing websites detection using machine learning techniques
CN103279710A (zh) Internet信息系统恶意代码的检测方法和系统
Møller et al. Automated detection of client-state manipulation vulnerabilities
AL‐Taharwa et al. JSOD: JavaScript obfuscation detector
Deepa et al. Black-box detection of XQuery injection and parameter tampering vulnerabilities in web applications
Singh et al. Malcrawler: A crawler for seeking and crawling malicious websites
JP6450022B2 (ja) 解析装置、解析方法、および、解析プログラム
CN110309667A (zh) 一种网站暗链检测方法和装置
Gonzalez et al. Authorship attribution of android apps
Gorji et al. Detecting obfuscated JavaScript malware using sequences of internal function calls
Wu et al. TrackerDetector: A system to detect third-party trackers through machine learning
Ashlam et al. Multi-phase algorithmic framework to prevent SQL injection attacks using improved machine learning and deep learning to enhance database security in real-time
Krishnaveni et al. Multiclass classification of XSS web page attack using machine learning techniques

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160913

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170404