JP5507699B2 - 悪性サイト検出装置及び方法 - Google Patents
悪性サイト検出装置及び方法 Download PDFInfo
- Publication number
- JP5507699B2 JP5507699B2 JP2012537803A JP2012537803A JP5507699B2 JP 5507699 B2 JP5507699 B2 JP 5507699B2 JP 2012537803 A JP2012537803 A JP 2012537803A JP 2012537803 A JP2012537803 A JP 2012537803A JP 5507699 B2 JP5507699 B2 JP 5507699B2
- Authority
- JP
- Japan
- Prior art keywords
- hook code
- website
- stack structure
- malignant site
- malignant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 125
- 230000003211 malignant effect Effects 0.000 title claims description 50
- 238000001514 detection method Methods 0.000 title claims description 23
- 230000008569 process Effects 0.000 claims description 103
- 238000007689 inspection Methods 0.000 claims description 28
- 238000012544 monitoring process Methods 0.000 claims description 13
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 238000003780 insertion Methods 0.000 claims description 5
- 230000037431 insertion Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims 1
- 238000004519 manufacturing process Methods 0.000 claims 1
- 230000005856 abnormality Effects 0.000 description 5
- 238000002347 injection Methods 0.000 description 5
- 239000007924 injection Substances 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000008570 general process Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008571 general function Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 235000015067 sauces Nutrition 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Multi Processors (AREA)
Description
Claims (13)
- 悪性サイト検出装置において、コンピューティング装置内で実行されるあらゆるプロセスを監視する監視部と、
前記監視部によりブラウザの実行が検知された場合、前記ブラウザで実行されるプロセスにフックコードを挿入するフックコード挿入部と、
ウェブサイトの移動が検知される場合、前記フックコードを利用して前記ウェブサイトの移動に応じて発生するプロセスのスタック構造を検査、前記スタック構造を検査したか否かを判断し、前記移動したウェブサイトが悪性サイトであるか否かを判断する危険値判断部と、
前記判断された悪性サイトのリストが格納されるデータベースとを含む悪性サイト検出装置。 - 前記フックコードは第1フックコードと第2フックコードを含み、前記フックコード挿入部は前記ブラウザで実行されるプロセスの実行進入点に前記第1フックコードを挿入し、前記ブラウザで実行されるプロセスの実行中間点に前記第2フックコードを挿入するように構成され、
前記危険値判断部は、前記第1フックコードを利用して前記ウェブサイトの移動に応じて発生するプロセスのスタック構造を検査するプロセス判断部と、前記第2フックコードを利用して前記第1フックコードを利用したスタック構造を検査したか否かを確認するフックコード実行如何判断部とを含むことを特徴とする請求項1に記載の悪性サイト検出装置。 - 前記プロセス判断部は、前記第1フックコードを利用して前記ウェブサイトの移動に応じて発生するプロセスのプログラム内に認証書が存在するか否かを確認し、
前記プログラム内に認証書がない場合に、特定プロセスのスタックに含まれるDLLファイルの製造会社情報と、各ウェブサイトの固有プロセス及び前記固有プロセス内の固有コールスタック構造情報を含むスタック構造情報に基づいて前記スタック構造を検査するように構成されたことを特徴とする請求項2に記載の悪性サイト検出装置。 - 前記危険値判断部は、前記スタック構造の検査完了後、検査完了の標識を該当プロセス内に挿入し、前記スタック構造の検査結果、前記スタック構造が異常であると判断される場合、前記移動したウェブサイトを悪性サイトと判断するように構成されたことを特徴とする請求項3に記載の悪性サイト検出装置。
- 前記フックコード実行如何判断部は、前記第2フックコードを利用して前記検査完了標識の存否を検査し、前記検査完了の標識が存在しない場合、前記移動したウェブサイトを悪性サイトと判断するように構成されたことを特徴とする請求項4に記載の悪性サイト検出装置。
- 前記フックコード判断部は、既設定プロセス関数を用いて前記第1フックコード及び前記第2フックコードを利用した2つの検査の完了如何を確認し、前記両検査のうちいずれか1つでも行われていない場合、前記移動したウェブサイトを悪性サイトと判断するよう構成されたことを特徴とする請求項2に記載の悪性サイト検出装置。
- 悪性サイト検出装置において、
コンピューティング装置内で実行されるあらゆるプロセスを監視する中でブラウザの実行が検知される場合、前記ブラウザで実行されるプロセスにフックコードを挿入する段階と、
ウェブサイトの移動が検知される場合に前記フックコードを利用してウェブサイトの移動に応じて発生するプロセスのスタック構造を検査し、前記スタック構造を検査したか否かを判断する段階と、
移動したウェブサイトが悪性サイトであるか否かを判断する段階と、
判断された悪性サイトをデータベースに格納する段階とを含む悪性サイト検出方法。 - 前記フックコードは第1フックコードと第2フックコードを含み、前記フックコードを挿入する段階は、
前記ブラウザで実行されるプロセスの実行進入点に前記第1フックコードを挿入する段階と、
前記ブラウザで実行されるプロセスの実行中間点に前記第2フックコードを挿入する段階を含み、
前記移動したウェブサイトが悪性サイトであるか否かを判断する段階は、
前記第1フックコードを利用して前記スタック構造を検査する段階と、
前記第2フックコードを利用して前記第1フックコードを利用したスタック構造を検査したか否かを確認する段階とを含むことを特徴とする請求項7に記載の悪性サイト検出方法。 - 前記移動したウェブサイトが悪性サイトであるか否かを判断する段階は、
前記スタック構造を検査する前に前記ウェブサイトの移動に応じて発生するプロセスのプログラム内に認証書が存在するか否かを確認する段階を更に含み、
前記プログラム内に認証書が存在しない場合に、特定プロセスのスタックに含まれるDLLファイルの製造会社情報と、各ウェブサイトの固有プロセス及び前記固有プロセス内の固有コールスタック構造情報を含むスタック構造情報に基づいて前記スタック構造を検査することを特徴とする請求項8に記載の悪性サイト検出方法。 - 前記移動したウェブサイトが悪性サイトであるか否かを判断する段階は、
前記スタック構造の検査完了後、検査完了の標識を前記プロセス内に挿入する段階と、
前記スタック構造の検査結果、前記スタック構造が異常であると判断される場合、前記移動したウェブサイトを悪性サイトと判断する段階とを更に含むことを特徴とする請求項9に記載の悪性サイト検出方法。 - 前記移動したウェブサイトが悪性サイトであるか否かを判断する段階は、
前記第2フックコードを利用して前記検査完了標識の存否を検査する段階と、
前記検査完了の標識が存在しない場合、前記移動したウェブサイトを悪性サイトと判断する段階とを更に含むことを特徴とする請求項10に記載の悪性サイト検出方法。 - 前記移動したウェブサイトが悪性サイトであるか否かを判断する段階は、
既設定プロセス関数を用いて前記第1フックコード及び前記第2フックコードを利用した両検査の完了如何を確認する段階と、
前記両検査のうち、いずれか1つでも行われていない場合に前記移動したウェブサイトを悪性サイトと判断する過程とを更に含むことを特徴とする請求項11に記載の悪性サイト検出方法。 - 請求項7〜請求項12のいずれか一項の悪性サイト検出方法を行うコンピュータプログラムが記録された記録媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2009-0105344 | 2009-11-03 | ||
KR1020090105344A KR101044274B1 (ko) | 2009-11-03 | 2009-11-03 | 악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체 |
PCT/KR2010/007608 WO2011055945A2 (ko) | 2009-11-03 | 2010-11-01 | 악성 사이트 검출 장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013510361A JP2013510361A (ja) | 2013-03-21 |
JP5507699B2 true JP5507699B2 (ja) | 2014-05-28 |
Family
ID=43970516
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012537803A Active JP5507699B2 (ja) | 2009-11-03 | 2010-11-01 | 悪性サイト検出装置及び方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8745740B2 (ja) |
JP (1) | JP5507699B2 (ja) |
KR (1) | KR101044274B1 (ja) |
WO (1) | WO2011055945A2 (ja) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102789557B (zh) * | 2011-05-18 | 2015-01-14 | 腾讯科技(深圳)有限公司 | 在网页中实现网页安全功能的数据处理系统及方法 |
US8539506B2 (en) * | 2012-02-09 | 2013-09-17 | Microsoft Corporation | Dynamic injection of code into running process |
KR101249279B1 (ko) * | 2012-07-03 | 2013-04-02 | 알서포트 주식회사 | 동영상 생성 방법 및 장치 |
KR101410838B1 (ko) * | 2012-11-09 | 2014-06-23 | 최미선 | 고형세제 그라인더 |
KR101388962B1 (ko) * | 2012-11-19 | 2014-04-24 | 한국인터넷진흥원 | 대규모 웹사이트 고속 점검방법 |
KR101445634B1 (ko) * | 2014-01-27 | 2014-10-06 | 주식회사 이글루시큐리티 | 프로그램의 취약점을 이용한 공격의 탐지 장치 및 방법 |
CN106663171B (zh) * | 2014-08-11 | 2019-12-10 | 日本电信电话株式会社 | 浏览器模拟器装置、构建装置、浏览器模拟方法以及构建方法 |
CN104318156B (zh) * | 2014-10-22 | 2017-07-25 | 上海斐讯数据通信技术有限公司 | 一种进程访问安全方法及系统 |
US10467409B2 (en) | 2014-12-23 | 2019-11-05 | Mcafee, Llc | Identification of malicious execution of a process |
KR101851680B1 (ko) | 2015-12-03 | 2018-04-24 | 네이버비즈니스플랫폼 주식회사 | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 |
RU2658878C1 (ru) | 2017-04-04 | 2018-06-25 | Общество С Ограниченной Ответственностью "Яндекс" | Способ и сервер для классификации веб-ресурса |
KR102040929B1 (ko) * | 2017-08-04 | 2019-11-27 | 국방과학연구소 | 비정상 행위 감시를 이용한 드라이브 바이 다운로드 탐지 장치 및 그 방법 |
US20190156024A1 (en) * | 2017-11-20 | 2019-05-23 | Somansa Co., Ltd. | Method and apparatus for automatically classifying malignant code on basis of malignant behavior information |
CN108563577A (zh) * | 2018-04-19 | 2018-09-21 | 武汉极意网络科技有限公司 | 基于JavaScript堆栈信息检测模拟器的方法 |
CN112395597A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 网站应用漏洞攻击的检测方法及装置、存储介质 |
US11086948B2 (en) | 2019-08-22 | 2021-08-10 | Yandex Europe Ag | Method and system for determining abnormal crowd-sourced label |
US11710137B2 (en) | 2019-08-23 | 2023-07-25 | Yandex Europe Ag | Method and system for identifying electronic devices of genuine customers of organizations |
RU2757007C2 (ru) | 2019-09-05 | 2021-10-08 | Общество С Ограниченной Ответственностью «Яндекс» | Способ и система для определения вредоносных действий определенного вида |
US11108802B2 (en) * | 2019-09-05 | 2021-08-31 | Yandex Europe Ag | Method of and system for identifying abnormal site visits |
US11334559B2 (en) | 2019-09-09 | 2022-05-17 | Yandex Europe Ag | Method of and system for identifying abnormal rating activity |
US11128645B2 (en) | 2019-09-09 | 2021-09-21 | Yandex Europe Ag | Method and system for detecting fraudulent access to web resource |
RU2752241C2 (ru) | 2019-12-25 | 2021-07-23 | Общество С Ограниченной Ответственностью «Яндекс» | Способ и система для выявления вредоносной активности предопределенного типа в локальной сети |
KR102555831B1 (ko) | 2021-02-02 | 2023-07-13 | 강원대학교산학협력단 | 악성 url 탐지 추론 모델의 분산 처리 시스템 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2570593B2 (ja) * | 1993-09-24 | 1997-01-08 | 日本電気株式会社 | デバッグ装置 |
JP4052007B2 (ja) * | 2002-05-17 | 2008-02-27 | 日本電気株式会社 | Webサイト安全度認証システム、方法及びプログラム |
WO2004075060A1 (ja) * | 2003-02-21 | 2004-09-02 | Tabei, Hikaru | コンピュータウィルス検出装置 |
KR100516304B1 (ko) * | 2003-05-16 | 2005-09-26 | 주식회사 안철수연구소 | 프로세스메모리의 악성코드 검출기 및 그 방법 |
KR100520788B1 (ko) * | 2003-06-03 | 2005-10-17 | 주식회사 안철수연구소 | 악성쓰레드 검출기 및 그 방법 |
EP2176767A1 (fr) * | 2005-06-14 | 2010-04-21 | Patrice Guichard | Procede et dispositif de protection de donnees et de systeme informatique |
US20070113282A1 (en) * | 2005-11-17 | 2007-05-17 | Ross Robert F | Systems and methods for detecting and disabling malicious script code |
US7716686B1 (en) * | 2006-02-14 | 2010-05-11 | Mcafee, Inc. | System, method and computer program product for interface hooking |
KR100870140B1 (ko) * | 2006-11-13 | 2008-11-24 | 한국전자통신연구원 | 악성 코드가 숨겨진 파일 탐지 장치 및 방법 |
US20080115219A1 (en) | 2006-11-13 | 2008-05-15 | Electronics And Telecommunications Research | Apparatus and method of detecting file having embedded malicious code |
KR100945247B1 (ko) | 2007-10-04 | 2010-03-03 | 한국전자통신연구원 | 가상 환경을 이용한 비실행 파일 내의 악성 코드 분석 방법및 장치 |
KR100915202B1 (ko) * | 2007-11-27 | 2009-09-02 | 유디코스모 주식회사 | 악성코드 수집 방법 및 장치 |
KR100954356B1 (ko) * | 2008-03-10 | 2010-04-21 | 주식회사 안철수연구소 | 코드 보호 기법을 고려한 악성 프로그램 감지 시스템 및 그방법 |
KR100961149B1 (ko) * | 2008-04-22 | 2010-06-08 | 주식회사 안철수연구소 | 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체 |
US7930744B2 (en) * | 2008-07-02 | 2011-04-19 | Check Point Software Technologies Ltd. | Methods for hooking applications to monitor and prevent execution of security-sensitive operations |
-
2009
- 2009-11-03 KR KR1020090105344A patent/KR101044274B1/ko active IP Right Grant
-
2010
- 2010-11-01 US US13/505,858 patent/US8745740B2/en active Active
- 2010-11-01 WO PCT/KR2010/007608 patent/WO2011055945A2/ko active Application Filing
- 2010-11-01 JP JP2012537803A patent/JP5507699B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
WO2011055945A3 (ko) | 2011-11-03 |
KR20110048670A (ko) | 2011-05-12 |
JP2013510361A (ja) | 2013-03-21 |
US20120233692A1 (en) | 2012-09-13 |
WO2011055945A2 (ko) | 2011-05-12 |
US8745740B2 (en) | 2014-06-03 |
KR101044274B1 (ko) | 2011-06-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5507699B2 (ja) | 悪性サイト検出装置及び方法 | |
CN105069355B (zh) | webshell变形的静态检测方法和装置 | |
Carmony et al. | Extract Me If You Can: Abusing PDF Parsers in Malware Detectors. | |
US20080115219A1 (en) | Apparatus and method of detecting file having embedded malicious code | |
US20090133126A1 (en) | Apparatus and method for detecting dll inserted by malicious code | |
US20090133125A1 (en) | Method and apparatus for malware detection | |
US20110307956A1 (en) | System and method for analyzing malicious code using a static analyzer | |
KR101055267B1 (ko) | 액티브엑스 컨트롤의 배포 사이트 식별 방법과 보안 취약점 검출 방법 및 면역화 방법 | |
JP5863973B2 (ja) | プログラム実行装置及びプログラム解析装置 | |
US8931100B2 (en) | Disinfection of a file system | |
JPWO2006087780A1 (ja) | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 | |
JP2013520719A (ja) | ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム | |
KR100870140B1 (ko) | 악성 코드가 숨겨진 파일 탐지 장치 및 방법 | |
JP2007241906A (ja) | Webアプリケーション脆弱性動的検査方法およびシステム | |
CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
CN103793649A (zh) | 通过云安全扫描文件的方法和装置 | |
CN110968874B (zh) | 一种漏洞检测方法、装置、服务器及存储介质 | |
CN107103237A (zh) | 一种恶意文件的检测方法及装置 | |
JP4587976B2 (ja) | アプリケーションの脆弱性検査方法および装置 | |
CN110851838A (zh) | 一种基于互联网的云测试系统及安全测试方法 | |
CN105100065B (zh) | 基于云的webshell攻击检测方法、装置及网关 | |
CN115168847A (zh) | 应用补丁生成方法、装置、计算机设备及可读存储介质 | |
CN103390129A (zh) | 检测统一资源定位符安全性的方法和装置 | |
CN111027072B (zh) | Linux下基于elf二进制标准解析的内核Rootkit检测方法及装置 | |
JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131031 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131105 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140127 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140218 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140319 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5507699 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |