KR100902466B1 - 키워드 검색 어뷰저 추적 방법 및 시스템 - Google Patents
키워드 검색 어뷰저 추적 방법 및 시스템 Download PDFInfo
- Publication number
- KR100902466B1 KR100902466B1 KR1020070109266A KR20070109266A KR100902466B1 KR 100902466 B1 KR100902466 B1 KR 100902466B1 KR 1020070109266 A KR1020070109266 A KR 1020070109266A KR 20070109266 A KR20070109266 A KR 20070109266A KR 100902466 B1 KR100902466 B1 KR 100902466B1
- Authority
- KR
- South Korea
- Prior art keywords
- keyword search
- keyword
- address
- search
- website
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000001514 detection method Methods 0.000 claims description 10
- 239000000284 extract Substances 0.000 claims description 4
- 238000012935 Averaging Methods 0.000 claims description 2
- 239000012190 activator Substances 0.000 abstract 1
- IWEDIXLBFLAXBO-UHFFFAOYSA-N dicamba Chemical compound COC1=C(Cl)C=CC(Cl)=C1C(O)=O IWEDIXLBFLAXBO-UHFFFAOYSA-N 0.000 description 5
- 208000015181 infectious disease Diseases 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013515 script Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000005067 remediation Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Engineering & Computer Science (AREA)
- Economics (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Information Transfer Between Computers (AREA)
Abstract
가상 머신을 통해 어뷰저(Abuser) 판별 대상이 되는 웹사이트에 접속하여 어뷰저 판별 대상 코드를 다운로드 및 실행함으로써 키워드 검색 어뷰저 여부를 자동으로 판단하고 추적할 수 있는 본 발명의 일 실시예에 따른 키워드 어뷰저 추적 방법 및 시스템은, 가상 머신으로 제1 웹사이트에 접속하는 단계; 상기 제1 웹사이트의 접속 결과를 통해 키워드 검색 어뷰징(Abusing) 발생 여부를 판단하는 단계; 및 상기 키워드 검색 어뷰징이 발생하면, 상기 제1 웹사이트를 키워드 검색 어뷰저로 판단하고 키워드 검색 어뷰저 정보를 추출하는 단계를 포함하는 것을 특징으로 한다.
키워드 검색 어뷰저, 추적, 가상 머신
Description
본 발명은 키워드 검색 어뷰저(Abuser) 추적 방법 및 시스템에 관한 것으로서 보다 상세하게는 인터넷 검색 서비스를 제공하는 검색 사이트에서 키워드 검색 어뷰징(Abusing)을 행하는 키워드 검색 어뷰저의 정보를 추적하기 위한 방법 및 시스템에 관한 것이다.
최근에 남녀노소 할 것 없이 인터넷 사용이 대중화되고 있는 반면, 인터넷 사용에 따른 피해 사례도 점차 증가하고 있다. 일례로, 인터넷상에서 정보를 서로 공유하기 위하여 운영되고 있는 검색, 또는 포탈 사이트에서 불공정 광고 또는 검색 사이트를 다운시킬 목적의 키워드 검색 어뷰징(Abusing)으로 많은 네티즌들의 불편함을 가중시키고 있다.
키워드 검색 어뷰징이란 검색 서비스 제공 사이트를 통하여 검색 서비스를 제공받으려는 정상적인 사용자에 의한 검색 키워드 전송행위가 아니라 단시간에 많은 검색 키워드를 전송함으로써 검색 순위 조작이나 웹사이트를 마비시키려는 행위를 말한다.
키워드 검색 어뷰징 방법의 일 예로, 일반 인터넷 사용자의 컴퓨터가 키워드 검색 어뷰징 발생 코드를 유포하는 웹사이트(이하, '키워드 검색 어뷰저'라 한다)에 접속하면, 키워드 검색 어뷰저(Abuser)는 일반 인터넷 사용자의 컴퓨터로 웝페이지의 요소와 응용 프로그램을 조정할 수 있는 액티브엑스 컨트롤(ActiveX control), 역컴파일이 방지된 자바 스크립트(Obfuscated javascript), 비쥬얼 베이직 스크립트(Visual Basic script), 또는 게임 도중 키워드 검색 어뷰징 목적의 코드(이하 '키워드 검색 어뷰징 코드'라 한다)를 삽입한다.
상기 삽입된 키워드 검색 어뷰징 코드들은 악성 코드로서, 실행되면 어뷰징 목적의 파일 및 프로세스가 생성되고 검색 서비스 제공 사이트로 일반 인터넷 사용자가 의도하지 않은 검색 키워드를 자동으로 전송한다. 따라서, 다수의 사용자가 감염되었다면, 검색 순위 조작이나 웹사이트의 마비가 일어나게 된다.
이러한 키워드 검색 어뷰징에 대해 종래에는 단시간 내에 다수의 동일한 검색 키워드 전송행위가 있었음을 인식하거나 검색 키워드 전송시의 레퍼러(referrer)를 참조하여 키워드 검색 어뷰징의 발생 사실을 알 수 있을 뿐, 키워드 검색 어뷰저에 대한 확인이 불가능하므로 키워드 검색 어뷰징 코드에 감염된 사용자에 대한 일시적인 치유행위만 제공할 수밖에 없었다.
따라서, 종래에는 키워드 검색 어뷰징 코드에 감염되기 전 키워드 검색 어뷰저에 대한 자동 추적 및 차단과 같은 능동적인 대응이 아니라 감염된 후 수동적인 대응일 수밖에 없어, 그 피해가 더 확산 될 수밖에 없는 추세에 있었다.
본 발명은 상술한 문제점을 해결하기 위한 것으로서, 가상 머신을 통해 키워드 검색 어뷰저를 자동으로 추적하는 방법 및 시스템을 제공하는 것을 그 기술적 과제로 한다.
또한, 본 발명은 키워드 검색 어뷰저 정보를 획득하고 데이타 베이스화 함으로써 검색 서비스 사용자가 키워드 검색 어뷰저 정보를 열람할 수 있는 방법 및 시스템을 제공하는 것을 다른 기술적 과제로 한다.
또한, 본 발명은 자동으로 키워드 검색 어뷰저 정보를 추출함으로써 감염 전 능동적인 대처를 가능케 하는 방법 및 시스템을 제공하는 것을 다른 기술적 과제로 한다.
상술한 목적을 달성하기 위한 본 발명의 일 측면에 따른 키워드 검색 어뷰저 추적 방법은 가상 머신으로 제1 웹사이트에 접속하는 단계; 상기 제1 웹사이트의 접속 결과를 통해 키워드 검색 어뷰징(Abusing) 발생 여부를 판단하는 단계; 및 상기 키워드 검색 어뷰징이 발생하면, 상기 제1 웹사이트를 키워드 검색 어뷰저(Abuser)로 판단하고 키워드 검색 어뷰저 정보를 추출하는 단계를 포함하는 것을 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명의 다른 측면에 따른 키워드 검색 어뷰저 추적 시스템은 가상 머신으로 제1 웹사이트에 접속하는 가상 머신 구동부; 상기 제1 웹사이트의 접속 결과를 통해 키워드 검색 어뷰징의 발생을 판단하는 어뷰징 판단부; 및 상기 키워드 검색 어뷰징이 발생하면, 상기 제1 웹사이트를 키워드 검색 어뷰저로 판단하고 키워드 검색 어뷰저 정보를 추출하는 어뷰저 정보 추출부를 포함하는 것을 특징으로 한다.
상술한 바와 같이 본 발명에 따르면, 가상 머신을 통해 어뷰저 판별 대상이 되는 웹사이트에 접속하여 어뷰저 판별 대상 코드를 다운로드 및 실행함으로써 키워드 검색 어뷰저 여부를 자동으로 판단하고 추적할 수 있다는 효과가 있다.
또한, 본 발명에 따르면, 키워드 검색 어뷰저 정보를 추출하고 데이터 베이스화 함으로써 검색 서비스 사용자는 웹사이트 등을 통해 데이터 베이스에 저장된 정보를 열람하고 대처할 수 있으므로 검색 서비스의 신뢰도 및 안정도를 향상시킬 수 있다는 다른 효과가 있다.
또한, 본 발명에 따르면, 키워드 검색 어뷰징을 발생시키는 지에 대한 판별 대상이 되는 웹사이트를 미리 수집하고, 키워드 검색 어뷰저 정보를 파악함으로써, 키워드 검색 어뷰징을 발생시키는 코드에 감염 후의 수동적인 대처가 아닌 감염 전 능동적인 대처를 할 수 있다는 다른 효과가 있다.
본 발명의 실시예에 대한 상세한 설명을 하기 이전에 본 발명에서 사용된 용어에 대해 간략히 설명한다.
가상 머신(virtual machine)은 컴퓨터 내에 이기종 운영체제를 보유한 가상 의 컴퓨터라 할 수 있다. 예를 들면, 리눅스 운영 체제의 컴퓨터상에서 윈도우 운영 체제를 효과적으로 사용할 수 있는 여러가지 방법이 제안되어 왔는데, 이 중 하드웨어에 리눅스와 윈도우 두 가지를 설치하고 리눅스 사용 중 필요시 윈도우를 로드하여 사용하는 가상화 방식이 있다. 이러한 가상화 방식은 VMware나 vertual PC와 같은 가상 머신 제공 프로그램을 이용하여, 리눅스로 부팅한 후에도 윈도우 영역을 액세스하여 사용할 수 있게 한다.
이하 첨부된 도면을 참조하여 본 발명의 실시예에 대해 상세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 키워드 검색 어뷰저(Abuser) 추적 시스템(100) 및 주변 요소를 도시한 블럭도이다. 이하, 키워드 검색 어뷰저 추적 시스템(100)을 여러 구성요소로 나누어 설명하였으나, 구성요소들끼리 합쳐진 형태로 실시될 수 있음을 미리 밝혀둔다.
도시된 바와 같이, 키워드 어뷰저 검색 추적 시스템(100)은 주소 수집부(102), 가상 머신이 탑재된 가상 머신 구동부(106), 키워드 검색 어뷰징(Abusing)의 발생 여부를 판단하는 어뷰징 판단부(108), 키워드 검색 어뷰징 발생시 어뷰저 정보를 추출하여 키워드 검색 어뷰저 정보 데이터 베이스(114)에 저장하는 어뷰저 정보 추출부(110), 및 가상 머신의 인터넷 연결과 프로그램 실행에 대한 로그를 저장하는 로그 저장부(112)를 포함하여 구성된다.
주소 수집부(102)는 제1 키워드를 획득한다. 상기 제1 키워드는 키워드 검색 어뷰징 목적으로 검색 서비스 제공 사이트에 전송되는 키워드(이하 '어뷰징 키워드'라 한다), 어뷰징 키워드일 가능성이 높다고 판단된 키워드, 또는 주소 수집 부(102) 자체에서 랜덤하게 생성된 키워드일 수 있다.
여기서, 주소 수집부(102)가 상기 제1 키워드를 획득하는 방법은 키워드 어뷰저 검색 추적 시스템(100)의 운영자가 입력한 키워드를 수신하는 방법, IT 보안실(미도시) 또는 검색 키워드 데이터 분석 센터(미도시)로부터 제공되는 키워드를 수신하는 방법, 또는 주소 수집부(102) 자체에서 랜덤하게 생성하는 방법일 수 있다.
그리고, 주소 수집부(102)는 상기 제1 키워드를 검색 서버(104)에 송신하고, 검색 서버(104)로부터 제1 키워드에 대한 검색 결과를 수신한다.
주소 수집부(102)는 수신된 검색 결과로부터 유알엘(URL) 주소 또는 IP주소 리스트를 추출하여 가상 머신 구동부(106)로 전송한다. 이때, 검색 결과로부터 추출한 주소 리스트는 어뷰저 판별 대상이 되는 웹사이트(이하 '어뷰저 판별 대상 웹사이트'라 한다)의 주소 리스트가 된다.
여기서, 어뷰저 판별 대상 웝사이트는 키워드 검색 어뷰징을 발생시키는 악성코드(이하 '키워드 검색 어뷰징 코드'라 한다)를 유포하는지에 대해 조사대상이 되는 웹사이트이고, 실제로 키워드 검색 어뷰징 코드를 유포시키는 경우 키워드 검색 어뷰저가 된다.
도 2는 본 발명의 일 실시예에 따른 주소 수집 웹페이지(200)로서, 어뷰저 판별 대상 웹사이트의 URL 주소 수집을 위해 주소 수집부(102)가 제공하는 웹페이지이다.
도 2에 도시된 일 실시예에서, 주소 수집부(102)는 주소 수집 웹페이지(200) 의 키워드 검색 항목(208)에 키워드 어뷰저 검색 추적 시스템(100)의 운영자가 입력한 키워드를 수신하는 방법으로 제1 키워드를 획득한다.
또한, 주소 수집 웹페이지(200)는 URL 주소를 수집하기 위한 검색 결과를 제공하는 검색 서비스 제공 사이트 선택 항목(202), 키워드 검색 어뷰저 추적 시스템(100)으로 URL 주소를 전송할지에 대한 선택 항목(204), 추출할 URL 주소가 검색 결과에 표시된 웹사이트 주소인지 아니면 그 웹사이트 상에 하이퍼링크되어 있는 웹사이트 주소인지에 대한 선택 항목(206)을 포함한다.
여기서, 검색 서비스 제공 사이트 선택 항목(202)에서 선택 가능한 검색 서비스 제공 사이트는 검색 서버(104)를 이용하여 검색 서비스를 제공한다.
또한, 주소 수집 웹페이지(200)에는 검색 결과 중 웹페이지의 형태에 따라 URL 주소의 추출 여부를 결정할 수 있는 선택 항목(210)이 포함될 수 있다
따라서, 주소 수집부(102)는 주소 수집 웹페이지(200)를 통해 입력된 제1 키워드를 통해 검색 서버(104)로부터 제1 키워드의 검색 결과를 얻고, 상기 다양한 선택 항목에 따라 어뷰저 판별 대상 웹사이트의 URL 주소를 자동으로 수집한다.
도 2를 참조하면, 주소 수집부(102)는 입력받은 "에스에스걸"이란 키워드(208)를 "네이버"란 검색 서비스 제공 사이트(202)의 검색 서버(104)에 전송하고 검색 결과를 수신한다. 이어, 그 검색 결과에 표시된 웹사이트가 사이트인지 블로그인지 상관 없이(210) 하이퍼링크 주소를 포함하는 "http://로 시작하는 주소 전부"(206)를 추출하여 가상 머신 구동부(106)로 전송(204)하게 된다.
다시 도 1을 참조하면, 키워드 검색 어뷰저 추적 시스템(100)은 리눅스 기반 의 서버임에도 윈도우 운영체계의 가상 머신을 탑재한 가상 머신 구동부(106)를 구비하고 있으며, 이에 한정되지 않고 구현이 가능하다.
일 실시예에서, 가상 머신 구동부(106)를 포함하는 키워드 검색 어뷰저 추적 시스템(100)은 자바 실행 환경(JRE: JAVA Runtime Environment) 버젼 1.6 기반에서 Capture-HPC 허니팟 시스템과 VMware 프로그램을 이용하여 구현될 수 있다.
허니팟(honeypot) 시스템은 어뷰저를 취약성을 가진 컴퓨터로 유도한 뒤 어뷰징 수법이나 그 경로를 관찰해 역추적하는데 도움을 줄 수 있는 능동적인 보안 솔루션이다. 지금까지 인터넷 사이버 공격에 대한 방어기술은 침입차단기술(Firewall)과, 침입탐지시스템(IDS)기술을 중심으로 발전해왔지만 새로고 다양한 공격을 유연하게 실시간으로 대처해오지는 못했다. 이러한 단점을 극복하고자 일명 '꿀단지'라고도 명명된 '허니팟' 시스템은 어뷰저를 가짜 호스트로 유인하여 거기서 일어나는 시도들을 모니터링하고, 그 결과를 분석할 수 있게 한다.
가상 머신 구동부(106)는 주소 수집부(102)를 통해 획득한 어뷰저 판별 대상 웝사이트의 URL 주소리스트를 이용하여, 가상 머신이 URL 주소별로 어뷰저 판별 대상 웝사이트에 접속하도록 한다. 이때, 가상 머신은 윈도우 운영체계를 사용하는 일반 검색 서비스 사용자 역할을 하며, 마치 웹사이트 검색 중 어뷰저 판별 대상 웹사이트에 접속한 것과 같이 행동한다.
이때, 어뷰저 판별 대상 웹사이트는 액티브엑스 컨트롤(ActiveX control), 역컴파일이 방지된 자바 스크립트(Obfuscated java script), 또는 비쥬얼 베이직 스크립트(Visual Basic script) 형태의 코드(이하, '어뷰저 판별 대상 코드'라 한 다)를 가상 머신에 설치하려고 시도할 수 있다.
여기서, 가상 머신의 보안 설정은 상기 어뷰저 판별 대상 코드를 다운로드 받을 수 있도록 서명 또는 사용자 인증을 요구하지 않는 수준으로 설정될 수 있다.
만약, 상기 어뷰저 판별 대상 웹사이트가 키워드 검색 어뷰저이고 어뷰저 판별 대상 코드가 키워드 검색 어뷰징 코드라면, 상기 어뷰저 판별 대상 코드를 다운로드 받아 실행하는 경우, 가상 머신은 소정의 검색 서비스 제공 사이트로 TCP/IP를 통해 연결하여 의도하지 않은 어뷰징 키워드를 송신할 것이다.
즉, 가상 머신은 키워드 검색 어뷰저가 키워드 검색 어뷰징 코드를 감염시키기 쉬운 허니팟 역할을 하고, 그 결과 가상 머신이 어뷰징 키워드를 검색 서비스 제공 사이트에 전송함으로써 키워드 검색 어뷰징이 발생한다.
또한, 가상 머신 구동부(106)는 키워드 검색 어뷰징 대상의 주소, 키워드 검색 어뷰저의 주소, 및 어뷰징 탐지시간과 가상 머신과 어뷰저 판별 대상 웹사이트간의 송수신 패킷을 스니핑(sniffing)하여 얻은 어뷰징 키워드 등을 로그 저장부(112)에 저장한다. 여기서 키워드 검색 어뷰징 대상의 주소는 어뷰징 키워드의 수신처가 되는 검색 서비스 제공 사이트의 주소이다.
어뷰징 판단부(108)는 상기 키워드 검색 어뷰징을 감지할 경우, 현재 접속한 어뷰저 판별 대상 웝사이트를 키워드 검색 어뷰저로 판단한다.
여기서, 어뷰징 판단부(108)는 키워드 검색 어뷰저 추적 시스템(100)에 미리 저장된 검색 서비스 제공 사이트의 주소와 상기 어뷰저 판별 대상 코드의 실행에 의해 상기 가상 머신이 연결하려는 검색 서비스 제공 사이트의 주소가 같을 경우 키워드 검색 어뷰징이 발생했다고 판단할 수 있다.
여기서, 어뷰징 판단부(108)는 상기 검색 서비스 제공 사이트의 주소가 서로 일치하는 것뿐만 아니라, 검색 키워드가 전송되는가를 더 고려하여 키워드 검색 어뷰징이 발생했다고 판단할 수 있다. 이때 검색 키워드가 전송되면, 이 검색 키워드는 어뷰징 키워드라고 볼 수 있다.
또한, 어뷰징 판단부(108)는 상기 키워드 검색 어뷰징을 감지할 경우, 어뷰저 정보 추출부(110)에게 키워드 검색 어뷰저 정보를 추출할 것을 지시한다.
어뷰저 정보 추출부(110)는 어뷰징 판단부(108)로 부터 키워드 검색 어뷰저 정보를 추출할 것을 지시받은 경우 키워드 검색 어뷰저 정보를 추출한다.
여기서, 키워드 검색 어뷰저 정보는 키워드 검색 어뷰징 대상의 주소, 어뷰징 키워드, 키워드 검색 어뷰저의 주소, 및 어뷰징 탐지시간 중 적어도 하나를 포함할 수 있다. 여기서 키워드 검색 어뷰저 정보는 로그 저장부(112)에 저장된 정보 또는 가상 머신 구동부(106)로부터 직접 수신한 정보일 수 있다.
로그 저장부(112)는 가상 머신 구동부(106)를 통해 가상 머신이 어뷰저 판별 대상 웹사이트에 접속하고, 키워드 검색 어뷰져인지 여부를 탐지하는 동안 생성된 로그를 저장한다.
또한, 어뷰징 판단부(108)가 가상 머신이 접속한 어뷰저 판별 대상 웹사이트가 키워드 검색 어뷰저라고 판단한 경우, 로그 저장부는(112) 저장된 로그 중 키워드 검색 어뷰저 정보를 어뷰저 정보 추출부(110)로 전송한다.
일 실시예로서, 로그 저장부(112)는 키워드 검색 어뷰징 대상의 주소, 키워 드 검색 어뷰저의 주소, 및 어뷰징 탐지시간과 같은 키워드 검색 어뷰저와의 접속에 대한 로그뿐만 아니라, 어뷰저 판별 대상 코드의 실행으로 생성된 파일, 어뷰징 키워드, 프로세스, 및 레지스트리 등의 정보를 저장할 수 있다.
키워드 검색 어뷰저 데이터 베이스(114)는 어뷰저 정보 추출부(110)에 의해 추출된 키워드 검색 어뷰저 정보를 저장한다. 여기서, 키워드 검색 어뷰저 정보는 키워드 검색 어뷰저 데이터 베이스(114)에 누적되어 저장되며, 검색 서비스 사용자가 열람을 요청하는 경우, 검색 서비스 사용자에게 제공된다.
일 실시예에 있어서, 키워드 검색 어뷰저 데이터 베이스(114)에 저장된 키워드 검색 어뷰저 정보는 어뷰저 블랙리스트가 게재된 웹페이지(미도시)를 통해 검색 서비스 사용자에게 제공될 수 있다. 이때, 게재되는 키워드 검색 어뷰저 정보는 어뷰저 블랙리스트 정보로서의 기능을 하므로, 검색 서비스 사용자가 열람하여 키워드 검색 어뷰저로의 접속을 피한다면, 키워드 검색 어뷰징 코드에 감염되는 것을 미리 방지할 수 있다.
도 3은 본 발명의 일 실시예에 따른 어뷰저 블랙리스트가 게재된 웹페이지(300)를 나타낸 도면이다.
도시된 바와 같이, 어뷰저 블랙리스트가 게재된 웹페이지(300)는 키워드 검색 어뷰징 대상의 주소(302), 어뷰징 키워드(304), 키워드 검색 어뷰저의 URL 주소(306), 키워드 검색 어뷰저의 IP 주소(308), 및 어뷰징 탐지 시간(310)을 하나의 행으로 하여 어뷰저 블랙리스트를 제공한다.
키워드 검색 어뷰저 정보를 어뷰저 블랙리스트가 게재된 웹페이지(300) 상에 게재함에 있어서, 키워드 검색 어뷰저는 추적을 피하기 위해 IP 주소를 시간에 따라 변경할 수 있으므로 키워드 검색 어뷰저의 유동 IP 주소별로 키워드 검색 어뷰저의 URL 주소와 어뷰징 탐지시간을 함께 게재할 수 있다.
도 3을 참조하여 게재된 첫 번째 행의 키워드 검색 어뷰저 정보를 살펴보면, "www.ssgirl.co.kr"의 URL 주소(306)와 "202.124.35.241"의 IP 주소(308)를 가지는 키워드 검색 어뷰저에 의해 키워드 검색 어뷰징 코드가 유포되었음을 알 수 있다. 그리고, 그 키워드 검색 어뷰징 코드가 감염된 가상 머신이 "에스에스걸"이란 어뷰징 키워드(304)를 "www.naver.com"이란 검색 서비스 제공 사이트(302)로 "2007-09-03, 19:49:57"의 시각(310)에 전송하였음을 알 수 있다.
본 발명에 따른 변형된 실시예에서는, 키워드 어뷰저 검색 추적 시스템(100)은 주소 수집부(102) 또는 키워드 검색 어뷰저 데이터 베이스(114)를 선택적으로 포함할 수 있다.
즉, 키워드 어뷰저 검색 추적 시스템(100)은 주소 수집부(102)와 키워드 검색 어뷰저 데이터 베이스(114)를 직접 포함하지 않고, 외부의 주소 수집부(미도시)로부터 어뷰저 판별 대상 웝사이트의 주소를 수신받을 수 있고, 외부의 키워드 검색 어뷰저 데이터 베이스(미도시)에 키워드 검색 어뷰저 정보를 저장할 수 있다.
도 4는 본 발명의 일 실시예에 따른 키워드 검색 어뷰저 추적 방법을 나타낸 순서도이다.
먼저, 제1 키워드 검색 결과로부터 키워드 검색 어뷰저 판별 대상이 되는 웹사이트(이하 '제1 웹사이트'라 한다)의 주소 리스트를 획득한다(제402단계). 여기 서, 제1 키워드는 어뷰징 키워드, 키워드일 가능성이 높다고 판단된 키워드, 또는 랜덤한 키워드일 수 있다.
다음으로, 가상 머신을 통해 제1 웹사이트에 접속하고, 어뷰저 판별 대상 코드를 다운로드 받아 실행시킨다(제404단계).
다음으로, 상기 어뷰저 판별 대상 코드의 실행으로 키워드 검색 어뷰징 발생을 감지하게 되면(제406단계), 제1 웹사이트를 키워드 검색 어뷰저로 판단하고 키워드 검색 어뷰저 정보를 추출하여 키워드 검색 어뷰저 데이터 베이스에 저장한다(제408단계). 그리고 키워드 검색 어뷰징을 감지하지 못한다면, 가상 머신은 다른 주소의 제1 웹사이트에 접속하고 같은 과정을 반복한다.
이때, 더 이상 접속할 제1 웹사이트의 주소가 없다면, 접속을 멈추고 종료하거나 새로운 제1 웹사이트의 주소를 획득할 때까지 대기할 수 있을 것이다.
여기서, 키워드 검색 어뷰저 정보는 키워드 검색 어뷰징 발생시 생성된 로그 중 키워드 검색 어뷰징 대상의 주소, 키워드 검색 어뷰저의 주소, 어뷰징 탐지시간, 및 가상 머신과 제1 웝사이트간의 송수신 패킷을 스니핑하여 얻은 어뷰징 키워드를 포함할 수 있다.
다음으로, 검색 서비스 사용자들에게 열람 가능하도록 키워드 검색 어뷰저 데이터 베이스에 저장되어 있는 키워드 검색 어뷰저 정보들을 웹페이지에 게재한다(제410단계).
상술한 키워드 검색 어뷰저 추적 방법은 다양한 컴퓨터 수단을 이용하여 수행될 수 있는 프로그램 형태로도 구현될 수 있는데, 이때 키워드 검색 어뷰저 추적 방법을 수행하기 위한 프로그램은 하드 디스크, CD-ROM, DVD, 롬(ROM), 램, 또는 플래시 메모리와 같은 컴퓨터로 판독할 수 있는 기록 매체에 저장된다.
본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다.
그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
도 1은 본 발명의 일 실시예에 따른 키워드 검색 어뷰저 추적 시스템 및 주변 요소를 도시한 블럭도.
도 2는 본 발명의 일 실시예에 따른 주소 수집 웹페이지.
도 3은 본 발명의 일 실시예에 따른 어뷰저 블랙리스트가 게재된 웹페이지.
도 4는 본 발명의 일 실시예에 따른 키워드 검색 어뷰저 추적 방법을 나타낸 순서도.
<도면의 주요부분에 대한 부호의 설명>
102: 주소 수집부 104: 검색 서버
106: 가상 머신 구동부 108: 어뷰징 판단부
110: 어뷰저 정보 추출부 112: 로그 저장부
114: 키워드 검색 어뷰저 데이터 베이스
Claims (22)
- 가상 머신으로 제1 웹사이트에 접속하는 단계;상기 제1 웹사이트의 어뷰저 판별 대상 코드에 의한 접속 결과를 통해 키워드 검색 어뷰징(Abusing) 발생 여부를 판단하는 단계; 및상기 어뷰저 판별 대상 코드의 실행에 의해 상기 가상 머신이 접속하려는 제2 웹사이트의 주소가 제3 웹 사이트의 주소와 일치하여 상기 키워드 검색 어뷰징이 발생하면, 상기 제1 웹사이트를 키워드 검색 어뷰저(Abuser)로 판단하고 키워드 검색 어뷰저 정보를 추출하는 단계;를 포함하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 방법.
- 제1항에 있어서,상기 제1 웹사이트의 접속 결과는 상기 제1 웹사이트로부터 상기 어뷰저 판별 대상 코드를 다운로드하고 실행함으로써 획득되는 것을 특징으로 하는 키워드 검색 어뷰저 추적 방법.
- 제1항에 있어서,상기 제2 웹사이트의 주소는 소정의 검색 서비스 제공 사이트의 주소이며, 상기 제3 웹사이트의 주소는 기 저장된 검색 서비스 제공 사이트의 주소인 것을 특징으로 하는 키워드 검색 어뷰저 추적 방법.
- 제1항에 있어서,상기 키워드 검색 어뷰징 발생 여부는 상기 제1 웹사이트로부터 다운로드된 상기 어뷰저 판별 대상 코드의 실행에 의해 소정의 사이트로 검색 키워드가 전송되는 경우 키워드 검색 어뷰징의 발생으로 판단하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 방법.
- 제2항에 있어서,상기 키워드 검색 어뷰저 정보는 상기 가상 머신이 상기 제1 웹사이트에 접속하고 상기 어뷰저 판별 대상 코드를 실행함으로써 생성된 로그로부터 추출되는 것을 특징으로 하는 키워드 검색 어뷰저 추적 방법.
- 제1항에 있어서,상기 키워드 검색 어뷰저 정보는 키워드 검색 어뷰징 대상의 주소, 어뷰징 키워드, 상기 키워드 검색 어뷰저의 주소, 및 어뷰징 탐지시간 중 적어도 하나를 포함하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 방법.
- 제1항에 있어서,상기 추출된 키워드 검색 어뷰저 정보를 키워드 검색 어뷰저 데이터 베이스에 저장하는 단계를 더 포함하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 방법.
- 제1항에 있어서,상기 추출된 키워드 검색 어뷰저 정보를 제공하는 단계를 더 포함하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 방법.
- 제8항에 있어서,상기 키워드 검색 어뷰저 정보를 제공함에 있어서, 상기 키워드 검색 어뷰저의 IP 주소별로 해당 유알엘 및 어뷰징 탐지시간을 함께 제공하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 방법.
- 제1항에 있어서,제1 키워드를 이용한 검색 결과로부터 상기 제1 웹사이트의 주소를 획득하는 단계를 더 포함하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 방법.
- 제1항에 있어서,상기 제1 웹사이트의 주소는 특정 웹사이트의 주소 및 상기 특정 웹사이트에 하이퍼링크된 주소 중 적어도 하나를 포함하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 방법.
- 제1항에 있어서,상기 가상 머신의 보안 설정은 상기 어뷰저 판별 대상 코드를 다운로드 받을 수 있도록 서명 또는 사용자 인증을 요구하지 않는 수준인 것을 특징으로 하는 키워드 검색 어뷰저 추적 방법.
- 제1항 내지 제12항 중 어느 하나의 항에 기재된 방법을 수행하기 위한 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체.
- 가상 머신으로 제1 웹사이트에 접속하는 가상 머신 구동부;상기 제1 웹사이트의 어뷰저 판별 대상 코드에 의한 접속 결과를 통해 키워드 검색 어뷰징의 발생을 판단하는 어뷰징 판단부; 및상기 어뷰저 판별 대상 코드의 실행에 의해 상기 가상 머신이 접속하려는 제2 웹사이트의 주소가 제3 웹사이트의 주소와 일치하여 상기 키워드 검색 어뷰징이 발생하면, 상기 제1 웹사이트를 키워드 검색 어뷰저로 판단하고 키워드 검색 어뷰저 정보를 추출하는 어뷰저 정보 추출부;를 포함하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 시스템.
- 제14항에 있어서,상기 가상 머신 구동부는 상기 제1 웹사이트로부터 상기 어뷰저 판별 대상 코드를 다운로드하고 실행함으로써 상기 제1 웹사이트의 접속 결과를 획득하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 시스템.
- 제14항에 있어서,상기 제2 웹사이트의 주소는 소정의 검색 서비스 제공 사이트의 주소이며, 상기 제3 웹사이트의 주소는 기 저장된 검색 서비스 제공 사이트의 주소인 것을 특징으로 하는 키워드 검색 어뷰저 추적 시스템.
- 제14항에 있어서,상기 어뷰징 판단부는 상기 제1 웹사이트로부터 다운로드된 상기 어뷰저 판별 대상 코드의 실행에 의해 소정의 사이트로 검색 키워드가 전송되는 경우 상기 키워드 검색 어뷰징으로 판단하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 시스템.
- 제15항에 있어서,상기 제1 웹사이트의 접속과 상기 어뷰저 판별 대상 코드의 실행에 대한 로그를 저장하는 로그 저장부를 더 구비하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 시스템.
- 제15항에 있어서,상기 어뷰저 정보 추출부는 상기 키워드 검색 어뷰저 정보를 상기 제1 웹사이트의 접속과 상기 어뷰저 판별 대상 코드의 실행에 대한 로그로부터 추출하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 시스템.
- 제14항에 있어서,상기 키워드 검색 어뷰저 정보는 키워드 검색 어뷰징 대상의 주소, 어뷰징 키워드, 상기 키워드 검색 어뷰저의 주소, 및 어뷰징 탐지시간 중 적어도 하나를 포함하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 시스템.
- 제14항에 있어서,상기 추출된 키워드 검색 어뷰저 정보를 저장하는 키워드 검색 어뷰저 데이터 베이스를 더 포함하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 시스템.
- 제14항에 있어서,제1 키워드의 검색 결과로부터 상기 제1 웹사이트의 주소를 획득하는 주소 수집부를 더 포함하는 것을 특징으로 하는 키워드 검색 어뷰저 추적 시스템.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020070109266A KR100902466B1 (ko) | 2007-10-30 | 2007-10-30 | 키워드 검색 어뷰저 추적 방법 및 시스템 |
| JP2008271224A JP4845948B2 (ja) | 2007-10-30 | 2008-10-21 | キーワード検索アビューザー追跡方法及びシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020070109266A KR100902466B1 (ko) | 2007-10-30 | 2007-10-30 | 키워드 검색 어뷰저 추적 방법 및 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20090043629A KR20090043629A (ko) | 2009-05-07 |
| KR100902466B1 true KR100902466B1 (ko) | 2009-06-11 |
Family
ID=40778885
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020070109266A KR100902466B1 (ko) | 2007-10-30 | 2007-10-30 | 키워드 검색 어뷰저 추적 방법 및 시스템 |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP4845948B2 (ko) |
| KR (1) | KR100902466B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102038957B1 (ko) | 2018-10-11 | 2019-10-31 | 넷마블 주식회사 | 게임 어뷰저 검출 방법 및 장치 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101531330B1 (ko) * | 2012-04-23 | 2015-06-24 | 줌인터넷 주식회사 | 패킷미러링을 이용한 검색어 순위 제공 방법 및 시스템 |
| KR102165494B1 (ko) | 2018-12-28 | 2020-10-14 | 네이버 주식회사 | 온라인 서비스에서의 비정상 사용 행위 식별 방법, 장치 및 컴퓨터 프로그램 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002245339A (ja) | 2001-02-20 | 2002-08-30 | Mitsubishi Electric Corp | インターネット広告の対価決定システム及び不正防止システム |
| KR20040082633A (ko) * | 2003-03-19 | 2004-09-30 | 엔에이치엔(주) | 인터넷 검색 엔진에 있어서의 무효 클릭 검출 방법 및 장치 |
| KR20070101042A (ko) * | 2006-04-10 | 2007-10-16 | (주)소만사 | 키워드 광고 부정 사용 검출 장치 |
| KR20070101043A (ko) * | 2006-04-10 | 2007-10-16 | (주)소만사 | 로봇 기반 키워드 광고 부정 사용 방지 방법 및 이를실현시키기 위한 프로그램을 기록한 컴퓨터로 판독 가능한기록 매체 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060136374A1 (en) * | 2004-12-17 | 2006-06-22 | Microsoft Corporation | System and method for utilizing a search engine to prevent contamination |
-
2007
- 2007-10-30 KR KR1020070109266A patent/KR100902466B1/ko active IP Right Grant
-
2008
- 2008-10-21 JP JP2008271224A patent/JP4845948B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002245339A (ja) | 2001-02-20 | 2002-08-30 | Mitsubishi Electric Corp | インターネット広告の対価決定システム及び不正防止システム |
| KR20040082633A (ko) * | 2003-03-19 | 2004-09-30 | 엔에이치엔(주) | 인터넷 검색 엔진에 있어서의 무효 클릭 검출 방법 및 장치 |
| KR20070101042A (ko) * | 2006-04-10 | 2007-10-16 | (주)소만사 | 키워드 광고 부정 사용 검출 장치 |
| KR20070101043A (ko) * | 2006-04-10 | 2007-10-16 | (주)소만사 | 로봇 기반 키워드 광고 부정 사용 방지 방법 및 이를실현시키기 위한 프로그램을 기록한 컴퓨터로 판독 가능한기록 매체 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102038957B1 (ko) | 2018-10-11 | 2019-10-31 | 넷마블 주식회사 | 게임 어뷰저 검출 방법 및 장치 |
| KR20200041288A (ko) | 2018-10-11 | 2020-04-21 | 넷마블 주식회사 | 게임 어뷰저 검출 방법 및 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4845948B2 (ja) | 2011-12-28 |
| KR20090043629A (ko) | 2009-05-07 |
| JP2009110515A (ja) | 2009-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9424424B2 (en) | Client based local malware detection method | |
| Egele et al. | Defending browsers against drive-by downloads: Mitigating heap-spraying code injection attacks | |
| US8020206B2 (en) | System and method of analyzing web content | |
| CN103368957B (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
| CN103297394B (zh) | 网站安全检测方法和装置 | |
| RU2697950C2 (ru) | Система и способ выявления скрытого поведения расширения браузера | |
| US20140245438A1 (en) | Download resource providing method and device | |
| US11552988B2 (en) | Creating malware prevention rules using malware detection and prevention system | |
| US20110161486A1 (en) | Detecting and monitoring server side states during web application scanning | |
| CN102663052B (zh) | 一种提供搜索引擎搜索结果的方法及装置 | |
| KR100968126B1 (ko) | 웹쉘 탐지 시스템 및 웹쉘 탐지 방법 | |
| Singh et al. | Malcrawler: A crawler for seeking and crawling malicious websites | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| Choi et al. | Automated link tracing for classification of malicious websites in malware distribution networks | |
| KR100902466B1 (ko) | 키워드 검색 어뷰저 추적 방법 및 시스템 | |
| Grégio et al. | An empirical analysis of malicious internet banking software behavior | |
| CN115987638A (zh) | 一种网页漏洞检测方法、装置、设备及存储介质 | |
| US9094452B2 (en) | Method and apparatus for locating phishing kits | |
| Koide et al. | To Get Lost is to Learn the Way: An Analysis of Multi-Step Social Engineering Attacks on the Web | |
| Oh et al. | A study for classification of web browser log and timeline visualization | |
| Aggarwal et al. | Spying Browser Extensions: Analysis and Detection | |
| de Sousa | XS-Leaks Crutch: Assisted Detection & Exploitation of Cross-Site Leaks | |
| Sundareswaran et al. | Image repurposing for gifar-based attacks | |
| Liu et al. | From Promises to Practice: Evaluating the Private Browsing Modes of Android Browser Apps | |
| Tran | User-driven data portability: A user-driven data portability approach utilizing web scraping techniques to liberate data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| N231 | Notification of change of applicant | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20120329 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20160329 Year of fee payment: 8 |
|
| FPAY | Annual fee payment |
Payment date: 20170328 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20180405 Year of fee payment: 10 |