JP5507699B2 - 悪性サイト検出装置及び方法 - Google Patents
悪性サイト検出装置及び方法 Download PDFInfo
- Publication number
- JP5507699B2 JP5507699B2 JP2012537803A JP2012537803A JP5507699B2 JP 5507699 B2 JP5507699 B2 JP 5507699B2 JP 2012537803 A JP2012537803 A JP 2012537803A JP 2012537803 A JP2012537803 A JP 2012537803A JP 5507699 B2 JP5507699 B2 JP 5507699B2
- Authority
- JP
- Japan
- Prior art keywords
- hook code
- website
- stack structure
- malignant site
- malignant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 125
- 230000003211 malignant effect Effects 0.000 title claims description 50
- 238000001514 detection method Methods 0.000 title claims description 23
- 230000008569 process Effects 0.000 claims description 103
- 238000007689 inspection Methods 0.000 claims description 28
- 238000012544 monitoring process Methods 0.000 claims description 13
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 238000003780 insertion Methods 0.000 claims description 5
- 230000037431 insertion Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims 1
- 238000004519 manufacturing process Methods 0.000 claims 1
- 230000005856 abnormality Effects 0.000 description 5
- 238000002347 injection Methods 0.000 description 5
- 239000007924 injection Substances 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000008570 general process Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008571 general function Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 235000015067 sauces Nutrition 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Multi Processors (AREA)
Description
本発明はコンピュータ及びユーザー機器に存在する悪性プログラムを検知する技術に関し、特に、コンピュータ及びユーザー機器におけるブラウザでプロセスを実行した時点で悪性サイトであるか否かを判断するに適した悪性サイト検出装置及び方法に関するものである。
一般的に、セキュリティソフトベンダー或いは関連セキュリティ企業により分析されていない新種の悪性プログラム及びマルウェアはセキュリティソフトがインストールされているコンピューティング装置であっても、該当コンピューティング装置を感染させてしまう。特に、ユーザーがコンピューティング装置を通じてインターネットに接続した状態で特定のウェブサイトにアクセスするだけでもマルウェア(例えば、脆弱性攻撃(Exploit)コード)に感染し得る。
これは攻撃者が該当ウェブサイトをハッキングしてそのサイトにアクセスした人々にマルウェアを配布したり、攻撃者が直接ウェブサイトを運営してマルウェアを配布しているためである。
また、攻撃者は検索エンジンを通じて攻撃の対象となるウェブページを自動で収集し、実際の攻撃のために自動化したSQLインジェクション攻撃ツールを用いる。最近用いられているSQLインジェクション攻撃は、特定のウェブサイトにマルウェアリンクを密かに隠しておき、アクセス者を感染させる。このようなSQLインジェクション攻撃ツールは検索エンジンで脆弱性サイトを検索した後、脆弱性サイトに実際にSQLインジェクション攻撃を行ってDBに悪意あるスクリプト(script)ファイルを連結するスクリプトを埋め込む。
ユーザーが悪性スクリプトが埋め込まれているウェブサイトに接続する際、ウェブサーバーはDBからユーザーに示すコンテンツを呼び出すが、埋め込まれているスクリプトも同時に呼び出す。ウェブブラウザを通じてスクリプトが実行された後、攻撃者のウェブサーバーからもう1つの悪性スクリプトを呼び出して実行する。この悪性スクリプトにはユーザーのコンピューティング装置を攻撃する脆弱点攻撃コード(Exploit Code)が搭載されており、セキュリティレベルの低いユーザーのコンピューティング装置にマルウェアをインストールして、重要な情報を流出する。
ただし、このようなSQLインジェクション攻撃に備えるために、ウェブサイトに対するリアルタイム検査及び有害性の有無の検討を通じてマルウェアの流入経路を遮断する方式に対する多くの研究がなされている。
従来技術において、特定のサイトで悪性ページか否かを判断する方式では、悪性パターンがスクリプトにあるかどうかを検査したり、接続したサイトのページ構造が悪性ページと類似しているか否かだけを検査するため、特定の悪性パターンが存在しなかったり、新規悪性プログラムに対しては検査を実行しても検出されないこともあり得るという問題点があった。関連する先行技術が下記の特許文献1に開示されている。
そこで、本発明は上記事情を鑑みてなされたものである。その目的は、悪性サイトからダウンロードしたプログラムの最終目的であるプロセスの実行時に一般的なプロセスの実行と異なる点を捕捉して悪性サイトであるか否かを判断できる悪性サイト検出装置及び方法を提供することにある。
また、本発明の他の目的は、特定のサイトからダウンロードしたプログラムのプロセスの実行時点で該当プロセス内に認証書が含まれているか、スタック構造が正常か否かを確認して、現在のサイトが危険なサイトであるか或いは現在コンピュータで実行しているプロセスが異常であるかを判断できる悪性サイト検出装置及び方法を提供することにある。
本発明の態様による悪性サイト検出装置は、コンピューティング装置内で実行されるあらゆるプロセスを監視する監視部と、前記コンピューティング装置内のブラウザが実行された場合に前記プロセスにフックコードを挿入し、スタック構造を検査し、前記スタック構造を検査したか否かを判断して悪性サイトを判断する危険値判断部、前記判断された悪性サイトのリストが格納されるデータベースを含む。
本発明の他の態様による悪性サイト検出方法は、コンピューティング装置内で実行されるあらゆるプロセスを監視する段階と、前記コンピューティング装置内のブラウザが実行される場合に前記プロセスにフックコードを挿入しスタック構造を検査し前記スタック構造を検査したか否かを判断して悪性サイトを判断する段階、判断された悪性サイトのリストをデータベースに格納する段階とを含む。
本発明の実施形態による悪性サイト検出装置及び方法により、実際のブラウザ上で実行されるスクリプトパターン及びマルウェアを探知して迅速な分析及び駆除を可能にし、まだ広く知られていない新規マルウェアを検出できるので、悪性サイトを容易に区別できるという効果を奏する。
以下、本明細書の一部をなす添付の図面を参照して本発明の実施形態を詳細に説明する。
図1は、コンピューティング装置と連結されるウェブサービス装置を示す図である。
図1を参照すると、コンピューティング装置100は有無線通信網102を介してウェブサービス装置104と接続されている。このとき、コンピューティング装置100とウェブサービス装置104は、クライアント端末とサーバー関係になり得、少なくとも1つのコンピューティング装置100が有無線通信網102に連結され、少なくとも1つのウェブサービス装置104と相互間で連結され得る。
コンピューティング装置100は例えば、パソコン(PC)、ノートブックパソコンと、PMP(Portable Multimedia Player)、PDA(Personal Digital Assistants)、携帯電話、スマートフォンを含むユーザー機器などのような有無線通信網102に接続してウェブサービス装置104で提供するウェブサイトにアクセス可能なあらゆる電子機器を含み得る。
ユーザーがコンピューティング装置100において、ブラウザを実行してウェブサービス装置104のウェブサイトに接続すると、ウェブサービス装置104はユーザーが要請するウェブページ情報をユーザーのコンピューティング装置100に提供する。
ここでいうウェブページは、動的ウェブページ、静的ウェブページなどを含む。動的ウェブページとは、株式情報、天気予報、掲示板などのようにコンテンツが動的に登録、修正、削除されるページを意味し、このような動的ウェブページは、ASP(Active Server Page)ソース、PHP(professional HTML preprocessor)ソースなどの形態で示す。静的ウェブページは動的ウェブページとは異なり、ページ生成時にコンテンツが固定されたページを意味し、例えば、HTML(hypertext markup language)ソースなどの形態で示す。
そして、このようなHTMLソースにはスクリプトが含まれ得、スクリプトには悪性パターン又は悪性スクリプトがリンクされ得る。悪性スクリプトが埋め込まれているウェブページがユーザーに提供されるとき、該当ウェブページのHTMLにリンクされている悪性スクリプトがユーザーのコンピューティング装置100で実行される。
これにより、悪性スクリプトは特定のプログラム及びプロセスを実行するようになり、ユーザーのコンピューティング装置100で実行されるプロセスを用いて情報流出、ファイル感染、システム破壊などの攻撃を行う。
コンピューティング装置100で実行される悪性スクリプトとして脆弱性攻撃コードの最終目的は、悪性プログラムのダウンロードとの実行にある。実際にブラウザを用いて多くのファイルがダウンロードされるが、実際に実行されるプログラムは限定されている。正常なプロセスを実行する場合にはプロセスが同一のスタック構造を有するようになるので、コンピューティング装置100ではこのような事項を参照してプロセスの実行時点でプロセスに認証書が含まれているか、又はスタック構造が正常か否かを確認する。これを通じて、コンピューティング装置100は、現在のウェブサイトが悪意あるウェブサイトであるか、或いは現在のコンピューティング装置100で実行したプロセスが異常か否かの判断が可能になる。
図2は、本発明の実施形態による悪性サイト検出装置の構造を示すブロック図である。
図2を参照すると、悪性サイト検出装置200は1つのコンピューティング装置100であるか、又はコンピューティング装置100内に含まれる装置であり、プロセス実行監視部202、フックコード挿入部204、危険値判断部206、危険URLリストDB212を含む。
具体的に、プロセス実行監視部202はコンピューティング装置100が駆動されれば駆動時から実行されるプロセスを周期的にモニタリングする。
ここでいうプロセスとは、プログラムがメモリに積載されて実行されている状態をいう。あらゆるプログラムは実行時に少なくとも1つのプロセスを有する。1つのプロセスには複数の命令語とカウント、CPUレジスタ、そしてルーチン因子、復帰アドレス、格納されている変数、関数などを入れたスタックが含まれている。このような各プロセスは固有の権限と責任のもと相互通信を行いシステムで動作中である1つのプロセスが誤った演算を行いエラーが発生しても他のプロセスは正常に作動する。
プロセス実行監視部202はコンピューティング装置100でブラウザの実行だけでなくブラウザが実行された後、特定のウェブサイトに接続することにより発生するあらゆるプロセスをリアルタイムで監視するようになる。プロセス実行監視部202でウェブページ、例えば、ハイパーテキスト文書を示すブラウザが実行されたことを検知すると、フックコード挿入部204はブラウザで実行されるプロセスの実行進入点に第1フック(Hook)コードを挿入し、プロセスの実行中間点に第2フックコードを挿入する。挿入されたフックコードはその後、ユーザーが他のウェブサイトに移動することにより生成するプロセスの実行時に共に実行されて該当プロセスを検査する。
第1フックコードは実行されるプログラムに認証書が含まれているかと、プロセスが異常なスタック構造の有無を判断するためのものであり、第2フックコードは第1フックコードによる検査の実行有無を判断するためのものである。実行進入点及び中間点はプロセスの既設定される位置であり、実現方式によってその位置が変わり得る。特に、中間点は第1フックコードによる検査の完了確認が可能な位置であれば、どの位置でも可能である。危険値判断部206は、フックコード挿入部204で挿入したフックコードを利用してユーザーが移動するサイトが危険であるか否かを判断するためのものであり、プロセス判断部208と、フックコード実行如何判断部210とを含む。
プロセス判断部208は第1フックコードを利用してプロセスを検査するものであり、ユーザーがウェブサイトを移動する際に、これにより実行されるプログラムが認証書を含むか否かを確認する。プログラムが公認認証機関からプログラムに対する公認認証を受けた場合、該当プログラム内に認証書が挿入されているので、プログラムの実行時に該当認証書を含むか否かの確認を通じて該当プログラムのプロセスは正常であると判断できる。
また、このような場合には後述する第1フックコードを利用したスタック構造の検査、及び第2フックコードを利用した第1フックコードの実行如何検査の手順を省略でき、これらのフックコードを利用した不要な検査を防止できる。
更に、プロセス判断部208は、第1フックコードを利用して実行されるプロセスのスタック構造を検査して該当スタック構造が異常なスタック構造であるか否かを判断する。スタックには一種の検査エンジンのようにパターン情報が格納されているので、開始スタックとスタックに含まれているDLL(Dynamic Link Library)などの製造会社の確認(例えば、マイクロソフト、アドビアクロバットなど)を通じてスタック構造の異常の有無が分かる。下記(表1)のようにマルウェアで実行されたプロセスのスタック構造は、特定名からなっているDLLファイルが繰り返されていることが分かる。
また、特定プロセス毎に特定コールスタック構造の情報を含んでいるので、プロセス判断部208は該当スタック構造の異常の有無を判断した後、該当スタック構造が該当プロセスとマッチしない場合には悪性サイトとして該当サイトのアドレス(Uniform Resource Locator、以下URLという)を危険URLと判断する。この危険URL情報は危険URLリストDB212に格納されるか、コンピューティング装置100に又は有無線通信網102と連動し、危険URLリストを管理する管理サーバーがある場合には管理サーバーに送信される。危険URLと判断された該当サイトのプログラムは遮断されて駆除され得る。プロセス判断部208は、スタック構造を検査した後、スタック構造の検査完了を知らせる既に設定された標識を該当プロセス又はスタック構造に挿入する。
一方、各ウェブサイトにある特定のプロセスが特定のコールスタック構造を含むという情報は、モニタリングサービスのためのクライアントやクライアント-サーバモデルで適用可能である。即ち、モニタリングサービスのためのクライアントは関連情報をエンジンの形態で有しているが周期的にチェックでき、クライアント-サーバーはクライアントで特定のサイト内に既に報告されていた特定のプロセスのコールスタック構造と異なる情報が収集されるか否かを検査する。
フックコード実行如何判断部210は、第2フックコードを利用して第1フックコードが実行されたか否かを検査する。第1フックコードの実行如何は、プロセス判断部208が第1フックコードでスタック構造を検査した後は既に設定された標識を該当プロセス又はスタック構造に挿入するようになるので、標識が残っているかを確認することで分かる。標識が残っている場合には第1フックコードが実行されて検査が完了したものであり、該当サイトは正常であると判断できる。
しかし、標識が残っていない場合には、悪性コードにより第1フックコードが代替、変更及び削除された可能性があるので、この際には該当URLを危険URLと判断して危険URLリストDB212に格納するか、管理サーバーにこれを伝達する。
一方、危険値判断部206ではEnumProcessのような関数を利用して第1及び第2フックコードを利用したスタック構造の検査及び標識検査がいずれも行われたかどうかを判断する。これにより、両検査がいずれも行われた場合には正常なプロセスであると判断できるが、少なくとも1つの検査が行われていない場合には該当プロセスが実行されたウェブサイトのURLを危険URLと判断する。
図3は、本発明の実施形態による悪性サイト検出装置の動作手順を示すフローチャートである。
図3を参照すると、悪性サイト検出装置200内のプロセス実行監視部202はコンピューティング装置100が実行後に実行されるプロセスを周期的に確認する。この段階でプロセス実行監視部202がユーザーによるブラウザの実行を検知する場合(300段階)、フックコード挿入部204はブラウザで実行されるプロセスの実行進入点に第1フックコードを挿入し(302段階)、プロセスの実行中間点に第2フックコードを挿入する(304段階)。
ユーザーによるウェブサイトの移動が検知される場合、危険値判断部206内のプロセス判断部208は第1フックコードを利用してウェブサイトの移動に応じて実行されるプロセスを検査する。まず、306段階において第1フックコードでプログラム内に認証書が存在するか否かを判断し、認証書が存在する場合には正常なプロセスであるので悪性サイトの検出手順を終了する。しかしながら、プログラム内に認証書が存在しない場合、308段階において第1フックコードでプロセスのスタック構造を検査しその異常有無を判断する。プロセス判断部208には正常なプロセススタック構造との比較ができるように開始スタックとスタックに含まれているDLLファイルなどの製造会社の確認を可能にする情報と、サイト別の特定プロセス及び特定のコールスタック構造情報が格納されている。310段階でプロセス判断部208の前記検査が完了した場合、該当プロセス又はスタック構造内に検査完了の標識を挿入する。
その後、312段階で検査されたスタック構造に異常がある場合は314段階に進み、ユーザーが移動したウェブサイトを悪性サイトと判断し、該当URLを危険URLに分類して危険URLリストDB212に格納するか、管理サーバーに伝達する。
ただし、312段階で検査されたスタック構造に異常がない場合又は検査が行われていない場合には316段階に進み、フックコード実行如何判断部210は第2フックコードによる標識検査を行う。標識検査は第1フックコードによる検査実行有無を判断するためのものであり、標識が残されていない場合にはマルウェアにより第1フックコードが代替、変更及び削除されたと判断できる。
従って、318段階で標識が存在しないと判断された場合には314段階に進んで該当サイトを悪性サイトと判断し、このサイトのURLを危険URLに分類して危険URLリストDB212に格納するか、管理サーバーに伝達する。
しかし、318段階で標識が存在すると判断された場合には320段階に進み、EnumProcess関数により周期的にブラウザで実行されるプロセスがあるとチェックされると、第1及び第2フックコードを利用した検査の実行有無を判断する。これにより、両検査の過程がいずれも行われたと判断された場合、正常なプロセスと判断して終了するが、いずれか1つでも行われていない場合には314段階に進み、該当サイトのURLを危険URLに分類して危険URLリストDB212に格納するか、管理サーバーに伝達する。
以上説明した通り、本発明の実施形態による悪性サイト検出装置及び方法は、悪性サイトでダウンロードしたプログラムのプロセス実行時に一般的なプロセスの実行と異なる点を捕捉して悪性サイトであるか否かを判断するものであり、プロセスの実行時点でプログラムに認証書が含まれているか、スタック構造が正常か否かを確認して現在のサイトが危険な悪性サイトであるか、或いは現在のコンピュータで実行したプロセスが異常か否かの判断を可能にする。
本発明の範疇内の実施形態は、コンピュータ実行可能な命令語又はデータ構造を格納するコンピュータ読み取り可能な媒体を含むことができる。前記コンピュータ読み取り可能な媒体は一般的な機能又は特別な機能をするコンピュータにより制御可能な媒体であり得る。前記コンピュータ読み取り可能媒体は、例えば、RAM(Random-Access Memory)、ROM(Read Only-Memory)、EEPROM(Electrically Erasable Programmable Read-Only Memory)、CD-ROM及び光ディスク、マグネチックディスク及びマグネチック格納装置などを含む。また、前記コンピュータ読み取り可能媒体は、前記例を上げた媒体以外に、コンピュータ実行可能な命令又はデータ構造の形態におけるプログラムコードを格納できる媒体も含むことができる。
以上、本発明の好適な実施形態が説明されたが、本発明はこれらの特定の実施形態に限定されず、後続する請求範囲の範疇から逸脱することなく、多様な変更及び変形がなされ得、それも本発明の範疇内に属すると言える。
Claims (13)
- 悪性サイト検出装置において、コンピューティング装置内で実行されるあらゆるプロセスを監視する監視部と、
前記監視部によりブラウザの実行が検知された場合、前記ブラウザで実行されるプロセスにフックコードを挿入するフックコード挿入部と、
ウェブサイトの移動が検知される場合、前記フックコードを利用して前記ウェブサイトの移動に応じて発生するプロセスのスタック構造を検査、前記スタック構造を検査したか否かを判断し、前記移動したウェブサイトが悪性サイトであるか否かを判断する危険値判断部と、
前記判断された悪性サイトのリストが格納されるデータベースとを含む悪性サイト検出装置。 - 前記フックコードは第1フックコードと第2フックコードを含み、前記フックコード挿入部は前記ブラウザで実行されるプロセスの実行進入点に前記第1フックコードを挿入し、前記ブラウザで実行されるプロセスの実行中間点に前記第2フックコードを挿入するように構成され、
前記危険値判断部は、前記第1フックコードを利用して前記ウェブサイトの移動に応じて発生するプロセスのスタック構造を検査するプロセス判断部と、前記第2フックコードを利用して前記第1フックコードを利用したスタック構造を検査したか否かを確認するフックコード実行如何判断部とを含むことを特徴とする請求項1に記載の悪性サイト検出装置。 - 前記プロセス判断部は、前記第1フックコードを利用して前記ウェブサイトの移動に応じて発生するプロセスのプログラム内に認証書が存在するか否かを確認し、
前記プログラム内に認証書がない場合に、特定プロセスのスタックに含まれるDLLファイルの製造会社情報と、各ウェブサイトの固有プロセス及び前記固有プロセス内の固有コールスタック構造情報を含むスタック構造情報に基づいて前記スタック構造を検査するように構成されたことを特徴とする請求項2に記載の悪性サイト検出装置。 - 前記危険値判断部は、前記スタック構造の検査完了後、検査完了の標識を該当プロセス内に挿入し、前記スタック構造の検査結果、前記スタック構造が異常であると判断される場合、前記移動したウェブサイトを悪性サイトと判断するように構成されたことを特徴とする請求項3に記載の悪性サイト検出装置。
- 前記フックコード実行如何判断部は、前記第2フックコードを利用して前記検査完了標識の存否を検査し、前記検査完了の標識が存在しない場合、前記移動したウェブサイトを悪性サイトと判断するように構成されたことを特徴とする請求項4に記載の悪性サイト検出装置。
- 前記フックコード判断部は、既設定プロセス関数を用いて前記第1フックコード及び前記第2フックコードを利用した2つの検査の完了如何を確認し、前記両検査のうちいずれか1つでも行われていない場合、前記移動したウェブサイトを悪性サイトと判断するよう構成されたことを特徴とする請求項2に記載の悪性サイト検出装置。
- 悪性サイト検出装置において、
コンピューティング装置内で実行されるあらゆるプロセスを監視する中でブラウザの実行が検知される場合、前記ブラウザで実行されるプロセスにフックコードを挿入する段階と、
ウェブサイトの移動が検知される場合に前記フックコードを利用してウェブサイトの移動に応じて発生するプロセスのスタック構造を検査し、前記スタック構造を検査したか否かを判断する段階と、
移動したウェブサイトが悪性サイトであるか否かを判断する段階と、
判断された悪性サイトをデータベースに格納する段階とを含む悪性サイト検出方法。 - 前記フックコードは第1フックコードと第2フックコードを含み、前記フックコードを挿入する段階は、
前記ブラウザで実行されるプロセスの実行進入点に前記第1フックコードを挿入する段階と、
前記ブラウザで実行されるプロセスの実行中間点に前記第2フックコードを挿入する段階を含み、
前記移動したウェブサイトが悪性サイトであるか否かを判断する段階は、
前記第1フックコードを利用して前記スタック構造を検査する段階と、
前記第2フックコードを利用して前記第1フックコードを利用したスタック構造を検査したか否かを確認する段階とを含むことを特徴とする請求項7に記載の悪性サイト検出方法。 - 前記移動したウェブサイトが悪性サイトであるか否かを判断する段階は、
前記スタック構造を検査する前に前記ウェブサイトの移動に応じて発生するプロセスのプログラム内に認証書が存在するか否かを確認する段階を更に含み、
前記プログラム内に認証書が存在しない場合に、特定プロセスのスタックに含まれるDLLファイルの製造会社情報と、各ウェブサイトの固有プロセス及び前記固有プロセス内の固有コールスタック構造情報を含むスタック構造情報に基づいて前記スタック構造を検査することを特徴とする請求項8に記載の悪性サイト検出方法。 - 前記移動したウェブサイトが悪性サイトであるか否かを判断する段階は、
前記スタック構造の検査完了後、検査完了の標識を前記プロセス内に挿入する段階と、
前記スタック構造の検査結果、前記スタック構造が異常であると判断される場合、前記移動したウェブサイトを悪性サイトと判断する段階とを更に含むことを特徴とする請求項9に記載の悪性サイト検出方法。 - 前記移動したウェブサイトが悪性サイトであるか否かを判断する段階は、
前記第2フックコードを利用して前記検査完了標識の存否を検査する段階と、
前記検査完了の標識が存在しない場合、前記移動したウェブサイトを悪性サイトと判断する段階とを更に含むことを特徴とする請求項10に記載の悪性サイト検出方法。 - 前記移動したウェブサイトが悪性サイトであるか否かを判断する段階は、
既設定プロセス関数を用いて前記第1フックコード及び前記第2フックコードを利用した両検査の完了如何を確認する段階と、
前記両検査のうち、いずれか1つでも行われていない場合に前記移動したウェブサイトを悪性サイトと判断する過程とを更に含むことを特徴とする請求項11に記載の悪性サイト検出方法。 - 請求項7〜請求項12のいずれか一項の悪性サイト検出方法を行うコンピュータプログラムが記録された記録媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2009-0105344 | 2009-11-03 | ||
| KR1020090105344A KR101044274B1 (ko) | 2009-11-03 | 2009-11-03 | 악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체 |
| PCT/KR2010/007608 WO2011055945A2 (ko) | 2009-11-03 | 2010-11-01 | 악성 사이트 검출 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013510361A JP2013510361A (ja) | 2013-03-21 |
| JP5507699B2 true JP5507699B2 (ja) | 2014-05-28 |
Family
ID=43970516
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012537803A Active JP5507699B2 (ja) | 2009-11-03 | 2010-11-01 | 悪性サイト検出装置及び方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8745740B2 (ja) |
| JP (1) | JP5507699B2 (ja) |
| KR (1) | KR101044274B1 (ja) |
| WO (1) | WO2011055945A2 (ja) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102789557B (zh) * | 2011-05-18 | 2015-01-14 | 腾讯科技(深圳)有限公司 | 在网页中实现网页安全功能的数据处理系统及方法 |
| US8539506B2 (en) * | 2012-02-09 | 2013-09-17 | Microsoft Corporation | Dynamic injection of code into running process |
| KR101249279B1 (ko) * | 2012-07-03 | 2013-04-02 | 알서포트 주식회사 | 동영상 생성 방법 및 장치 |
| KR101410838B1 (ko) * | 2012-11-09 | 2014-06-23 | 최미선 | 고형세제 그라인더 |
| KR101388962B1 (ko) * | 2012-11-19 | 2014-04-24 | 한국인터넷진흥원 | 대규모 웹사이트 고속 점검방법 |
| KR101445634B1 (ko) * | 2014-01-27 | 2014-10-06 | 주식회사 이글루시큐리티 | 프로그램의 취약점을 이용한 공격의 탐지 장치 및 방법 |
| CN106663171B (zh) * | 2014-08-11 | 2019-12-10 | 日本电信电话株式会社 | 浏览器模拟器装置、构建装置、浏览器模拟方法以及构建方法 |
| CN104318156B (zh) * | 2014-10-22 | 2017-07-25 | 上海斐讯数据通信技术有限公司 | 一种进程访问安全方法及系统 |
| US10467409B2 (en) | 2014-12-23 | 2019-11-05 | Mcafee, Llc | Identification of malicious execution of a process |
| KR101851680B1 (ko) | 2015-12-03 | 2018-04-24 | 네이버비즈니스플랫폼 주식회사 | 불법 접속 탐지 및 처리 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 |
| RU2658878C1 (ru) | 2017-04-04 | 2018-06-25 | Общество С Ограниченной Ответственностью "Яндекс" | Способ и сервер для классификации веб-ресурса |
| KR102040929B1 (ko) * | 2017-08-04 | 2019-11-27 | 국방과학연구소 | 비정상 행위 감시를 이용한 드라이브 바이 다운로드 탐지 장치 및 그 방법 |
| US20190156024A1 (en) * | 2017-11-20 | 2019-05-23 | Somansa Co., Ltd. | Method and apparatus for automatically classifying malignant code on basis of malignant behavior information |
| CN108563577A (zh) * | 2018-04-19 | 2018-09-21 | 武汉极意网络科技有限公司 | 基于JavaScript堆栈信息检测模拟器的方法 |
| CN112395597A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 网站应用漏洞攻击的检测方法及装置、存储介质 |
| US11086948B2 (en) | 2019-08-22 | 2021-08-10 | Yandex Europe Ag | Method and system for determining abnormal crowd-sourced label |
| US11710137B2 (en) | 2019-08-23 | 2023-07-25 | Yandex Europe Ag | Method and system for identifying electronic devices of genuine customers of organizations |
| RU2757007C2 (ru) | 2019-09-05 | 2021-10-08 | Общество С Ограниченной Ответственностью «Яндекс» | Способ и система для определения вредоносных действий определенного вида |
| US11108802B2 (en) * | 2019-09-05 | 2021-08-31 | Yandex Europe Ag | Method of and system for identifying abnormal site visits |
| US11334559B2 (en) | 2019-09-09 | 2022-05-17 | Yandex Europe Ag | Method of and system for identifying abnormal rating activity |
| US11128645B2 (en) | 2019-09-09 | 2021-09-21 | Yandex Europe Ag | Method and system for detecting fraudulent access to web resource |
| RU2752241C2 (ru) | 2019-12-25 | 2021-07-23 | Общество С Ограниченной Ответственностью «Яндекс» | Способ и система для выявления вредоносной активности предопределенного типа в локальной сети |
| KR102555831B1 (ko) | 2021-02-02 | 2023-07-13 | 강원대학교산학협력단 | 악성 url 탐지 추론 모델의 분산 처리 시스템 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2570593B2 (ja) * | 1993-09-24 | 1997-01-08 | 日本電気株式会社 | デバッグ装置 |
| JP4052007B2 (ja) * | 2002-05-17 | 2008-02-27 | 日本電気株式会社 | Webサイト安全度認証システム、方法及びプログラム |
| WO2004075060A1 (ja) * | 2003-02-21 | 2004-09-02 | Tabei, Hikaru | コンピュータウィルス検出装置 |
| KR100516304B1 (ko) * | 2003-05-16 | 2005-09-26 | 주식회사 안철수연구소 | 프로세스메모리의 악성코드 검출기 및 그 방법 |
| KR100520788B1 (ko) * | 2003-06-03 | 2005-10-17 | 주식회사 안철수연구소 | 악성쓰레드 검출기 및 그 방법 |
| EP2176767A1 (fr) * | 2005-06-14 | 2010-04-21 | Patrice Guichard | Procede et dispositif de protection de donnees et de systeme informatique |
| US20070113282A1 (en) * | 2005-11-17 | 2007-05-17 | Ross Robert F | Systems and methods for detecting and disabling malicious script code |
| US7716686B1 (en) * | 2006-02-14 | 2010-05-11 | Mcafee, Inc. | System, method and computer program product for interface hooking |
| KR100870140B1 (ko) * | 2006-11-13 | 2008-11-24 | 한국전자통신연구원 | 악성 코드가 숨겨진 파일 탐지 장치 및 방법 |
| US20080115219A1 (en) | 2006-11-13 | 2008-05-15 | Electronics And Telecommunications Research | Apparatus and method of detecting file having embedded malicious code |
| KR100945247B1 (ko) | 2007-10-04 | 2010-03-03 | 한국전자통신연구원 | 가상 환경을 이용한 비실행 파일 내의 악성 코드 분석 방법및 장치 |
| KR100915202B1 (ko) * | 2007-11-27 | 2009-09-02 | 유디코스모 주식회사 | 악성코드 수집 방법 및 장치 |
| KR100954356B1 (ko) * | 2008-03-10 | 2010-04-21 | 주식회사 안철수연구소 | 코드 보호 기법을 고려한 악성 프로그램 감지 시스템 및 그방법 |
| KR100961149B1 (ko) * | 2008-04-22 | 2010-06-08 | 주식회사 안철수연구소 | 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체 |
| US7930744B2 (en) * | 2008-07-02 | 2011-04-19 | Check Point Software Technologies Ltd. | Methods for hooking applications to monitor and prevent execution of security-sensitive operations |
-
2009
- 2009-11-03 KR KR1020090105344A patent/KR101044274B1/ko active IP Right Grant
-
2010
- 2010-11-01 US US13/505,858 patent/US8745740B2/en active Active
- 2010-11-01 WO PCT/KR2010/007608 patent/WO2011055945A2/ko active Application Filing
- 2010-11-01 JP JP2012537803A patent/JP5507699B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011055945A3 (ko) | 2011-11-03 |
| KR20110048670A (ko) | 2011-05-12 |
| JP2013510361A (ja) | 2013-03-21 |
| US20120233692A1 (en) | 2012-09-13 |
| WO2011055945A2 (ko) | 2011-05-12 |
| US8745740B2 (en) | 2014-06-03 |
| KR101044274B1 (ko) | 2011-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5507699B2 (ja) | 悪性サイト検出装置及び方法 | |
| CN105069355B (zh) | webshell变形的静态检测方法和装置 | |
| Carmony et al. | Extract Me If You Can: Abusing PDF Parsers in Malware Detectors. | |
| US20080115219A1 (en) | Apparatus and method of detecting file having embedded malicious code | |
| US20090133126A1 (en) | Apparatus and method for detecting dll inserted by malicious code | |
| US20090133125A1 (en) | Method and apparatus for malware detection | |
| US20110307956A1 (en) | System and method for analyzing malicious code using a static analyzer | |
| KR101055267B1 (ko) | 액티브엑스 컨트롤의 배포 사이트 식별 방법과 보안 취약점 검출 방법 및 면역화 방법 | |
| JP5863973B2 (ja) | プログラム実行装置及びプログラム解析装置 | |
| US8931100B2 (en) | Disinfection of a file system | |
| JPWO2006087780A1 (ja) | 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法 | |
| JP2013520719A (ja) | ウェブサービスのリアルタイム脆弱性診断及び結果情報提供サービスシステム | |
| KR100870140B1 (ko) | 악성 코드가 숨겨진 파일 탐지 장치 및 방법 | |
| JP2007241906A (ja) | Webアプリケーション脆弱性動的検査方法およびシステム | |
| CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
| CN103793649A (zh) | 通过云安全扫描文件的方法和装置 | |
| CN110968874B (zh) | 一种漏洞检测方法、装置、服务器及存储介质 | |
| CN107103237A (zh) | 一种恶意文件的检测方法及装置 | |
| JP4587976B2 (ja) | アプリケーションの脆弱性検査方法および装置 | |
| CN110851838A (zh) | 一种基于互联网的云测试系统及安全测试方法 | |
| CN105100065B (zh) | 基于云的webshell攻击检测方法、装置及网关 | |
| CN115168847A (zh) | 应用补丁生成方法、装置、计算机设备及可读存储介质 | |
| CN103390129A (zh) | 检测统一资源定位符安全性的方法和装置 | |
| CN111027072B (zh) | Linux下基于elf二进制标准解析的内核Rootkit检测方法及装置 | |
| JP6258189B2 (ja) | 特定装置、特定方法および特定プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131031 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131105 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140127 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140218 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140319 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5507699 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |