KR100961149B1 - 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체 - Google Patents

악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체 Download PDF

Info

Publication number
KR100961149B1
KR100961149B1 KR1020080037016A KR20080037016A KR100961149B1 KR 100961149 B1 KR100961149 B1 KR 100961149B1 KR 1020080037016 A KR1020080037016 A KR 1020080037016A KR 20080037016 A KR20080037016 A KR 20080037016A KR 100961149 B1 KR100961149 B1 KR 100961149B1
Authority
KR
South Korea
Prior art keywords
site
malicious
information
code
node
Prior art date
Application number
KR1020080037016A
Other languages
English (en)
Other versions
KR20090111416A (ko
Inventor
박종필
오주현
이창우
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020080037016A priority Critical patent/KR100961149B1/ko
Publication of KR20090111416A publication Critical patent/KR20090111416A/ko
Application granted granted Critical
Publication of KR100961149B1 publication Critical patent/KR100961149B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software

Abstract

본 발명은 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법, 장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체에 관한 것으로, 인터넷 등과 같은 데이터 통신망을 통해 사이트와 응용프로그램과의 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하는 사이트를 검사하여 악성 사이트 정보 및/또는 악성 사이트 코드 정보를 획득 및 수집하면서 악성 사이트의 로드 및/또는 악성 프로세스의 실행을 차단함으로써, 브라우저를 탑재한 데이터 통신 단말에 의해 악성 사이트를 검사 및 인지할 수 있고, 새로 만들어진 웹페이지라도 방문만 하면 악성 여부를 알 수 있으며, 서버의 내용이 변경되었을 경우에 이 내용을 바로 적용할 수 있고, 악성 호환프로그램을 사용하는 사이트도 검사할 수 있으며, 동적으로 바뀌는 웹문서를 제공하는 사이트 또한 악성 여부를 검사 및 인지할 수 있고, 브라우저의 익스플로잇을 통해서 실행되는 바이너리의 악성을 판단하기 때문에 변종 또는 의심되는 익스플로잇 코드를 수집할 수 있는 이점이 있다.
악성 사이트, 악성 프로세스, 악성코드, 액티브엑스, 익스플로잇 코드

Description

악성 사이트 검사 방법, 악성 사이트 정보 수집 방법, 장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체{METHOD FOR DETECTING MALICIOUS SITE, METHOD FOR GATHERING INFORMATION OF MALICIOUS SITE, APPARATUS, SYSTEM, AND RECORDING MEDIUM HAVING COMPUTER PROGRAM RECORDED}
본 발명은 악성 사이트 검사에 관한 것으로서, 더욱 상세하게는 인터넷 등과 같은 데이터 통신망을 통해 사이트와 응용프로그램과의 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하는 사이트를 검사하는 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법, 악성 사이트 검사 장치, 악성 사이트 정보 수집 장치, 악성 사이트 검사 시스템 및 악성 사이트 검사 방법을 수행하는 컴퓨터 프로그램이 기록된 기록매체에 관한 것이다.
최근 인터넷 시대라고 해도 과언이 아닐 정도로 인터넷이 보급화되면서 해킹도 인터넷을 통해서 이뤄지고 있다. 공격자는 웹서버를 해킹한 뒤 사이트의 내용을 자신의 목적대로 바꾸며, 이렇게 바뀐 사이트에 방문하게 되면 공격자가 심어 놓은 악성코드가 실행되거나 원하지 않는 사이트로 방문하게 된다. 웹사이트의 수는 폭발적으로 증가하고 있으나 모든 웹사이트의 보안을 일정한 수준으로 유지하는 것은 실질적으로 어려운 것이기에 크래커(cracker)는 보안 상태가 취약한 웹사이트를 해킹하여 악성코드를 숨겨놓고, 웹사이트에 방문하거나 웹사이트와 링크된 사이트에 방문하는 방문자들이 악성코드에 감염되도록 하고 있다. 특히 악성코드들은 종류에 따라 사용자의 컴퓨터 또는 네트워크상에서 시스템을 파괴하거나 기밀 정보를 유출할 수 있도록 설계되어 있으므로, 사용자의 컴퓨터 시스템이나 보안에 치명적인 피해를 가할 수 있다. 악성코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 이러한 악성코드의 종류로는 바이러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor), 논리폭탄(Logic Bomb), 트랩도어(Trap Door) 등의 해킹툴 및 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다. 이들은 자기복제나 자동번식 기능을 구비한 채, 사용자 식별정보(IDentification, ID)와 암호 등의 개인정보 유출, 대상 시스템 통제, 파일 삭제변경/시스템 파괴, 응용프로그램/시스템의 서비스 거부, 핵심 자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으켜 그 피해가 매우 다양하고 심각하다.
이런 웹서버를 목적으로 한 해킹을 막기 위해서 웹 방화벽 같은 솔루션을 사용하기도 한다. 하지만 이런 웹 방화벽 장비는 고가이며 웹서버의 필수 사항이 아니기에 그 피해가 사용자에게 돌아가기 일수이다.
새로이 만들어지는 악성코드는 기존에 만들어진 컴퓨터 백신으로 검사하거나 치유할 수 없는 경우가 대부분이다. 따라서, 사용자가 주의를 기울이지 않으면 해당 웹사이트 서버의 관리자 및 해당 사이트 방문자가 악성코드 감염 여부를 느끼지 못한 상태에서 네트워크를 통하여 악성코드가 빠른 속도로 확산된다.
그러나, 현재까지는 악성코드로 인하여 실질적으로 피해를 입은 웹사이트 서버 관리자 또는 사용자들이 해킹 피해 사이트나 백신 제조 사이트에 이를 신고함으로써, 후속 조치들이 이루어지는 것이 일반적이었다. 즉, 악성코드의 발견 및 대응이 전적으로 사용자 신고 위주로 되어있어 침해 사이트를 발견하고 악성코드 유포를 방지하는 작업이 신속하게 이루어질 수 없었다.
따라서, 실질적으로 피해자가 피해 사실을 인지하기까지 이미 급속도로 악성코드가 번져나간 상태인 경우가 대부분이므로, 최초 유포자를 찾아내 처벌하거나 악성코드에 감염된 모든 컴퓨터 시스템 및 서버를 치유하고 복구하는 것은 현실적으로 불가능했다. 그러므로, 이러한 악성코드 감염에 의한 피해 확산을 방지하기 위해서는 조기에 악성코드 감염 여부를 검사하여 신속하게 차단할 수 있는 시스템 개발이 절실하다.
종래 기술에 따른 악성 사이트 검사 기술로는, 프록시(proxy) 방식과 네트워크 필터링(network filtering) 방식을 들 수 있다.
종래의 프록시 방식은 웹문서를 대신 받아서 파싱(parsing)하여 검사하는 방식인데, 웹문서를 대신 받고 분석 후에 브라우저(browser)에 보내기 때문에 성능 저하가 심하며, 파서(parser)가 모든 웹문서를 분석할 수 없는 문제점이 있다.
종래의 네트워크 필터링 방식은 네트워크의 중간 레벨에서 모든 데이터를 필터링하는 방식으로서, 데이터를 파싱하거나 패턴(pattern)을 찾는 방식이다. 그런데 모든 데이터를 검사하여야 하기 때문에 성능 저하가 심하며, 새로 만들어진 패턴이나 변형된 패턴에 대해서는 악성코드를 찾을 수 없는 문제점이 있다.
본 발명은 인터넷 등과 같은 데이터 통신망을 통해 사이트와 응용프로그램과의 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하는 사이트를 검사하여 악성 사이트 정보 및/또는 악성 사이트 코드 정보를 획득 및 수집하면서 악성 사이트의 로드 및/또는 악성 프로세스의 실행을 차단한다.
본 발명은 사용자가 방문하는 사이트와 그 사이트에서 실행되는 코드를 인터넷 등과 같은 데이터 통신망에 접속하는 데이터 통신 단말에서 검사할 수 있다. 브라우저의 행위를 실시간 감시하고 브라우저가 방문하는 사이트에서 실행되려고 하는 코드를 검사한 후에 악성 여부를 판단하고 악성이면 해당 코드를 차단한다. 또한 이런 악성코드를 실행하는 사이트를 악성 사이트로 판정한다. 데이터 통신 단말에서 브라우저가 방문하는 사이트를 실시간으로 검사하기 때문에 모든 사이트를 안 전하게 방문할 수 있다.
본 발명의 제 1 관점으로서 악성 사이트 검사 방법은, 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 해당 사이트 페이지 정보를 획득하는 단계와, 상기 사이트와 응용프로그램과의 호환프로그램에 대한 상기 브라우저의 로드가 감지되면 해당 호환프로그램 정보를 획득하면서 상기 호환프로그램의 악성 여부를 확인하는 단계와, 상기 호환프로그램이 악성으로 확인되면 상기 사이트 페이지 정보 및 상기 호환프로그램 정보를 악성 사이트 정보로 획득하면서 상기 사이트의 로드를 중지하는 단계를 포함한다.
본 발명의 제 2 관점으로서 악성 사이트 검사 방법은, 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 해당 사이트 페이지 정보 및 사이트 코드 정보를 획득하는 단계와, 파일의 로드가 감지되면 프로세스 정보를 획득하면서 상기 파일의 악성 여부를 확인하는 단계와, 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하는 단계와, 상기 파일의 비정상적 실행이 확인되면 상기 사이트 페이지 정보와 상기 사이트 코드 정보 및 상기 프로세스 정보를 악성 사이트 코드 정보로 획득하면서 상기 파일의 실행을 차단하는 단계를 포함한다.
본 발명의 제 3 관점으로서 컴퓨터 프로그램이 기록된 기록매체는, 본 발명에 의한 악성 사이트 검사 방법을 수행하는 컴퓨터 프로그램이 기록된다.
본 발명의 제 4 관점으로서 악성 사이트 정보 수집 방법은, 통신망을 통해 사이트와 응용프로그램과의 악성 호환프로그램을 배포하는 악성 사이트를 검사하는 방법을 활용하여 악성 사이트 정보를 수집하는 방법으로서, 상기 검사하는 방법은, 상기 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 해당 사이트 페이지 정보를 획득하는 단계와, 상기 사이트와 응용프로그램과의 호환프로그램에 대한 상기 브라우저의 로드가 감지되면 해당 호환프로그램 정보를 획득하면서 상기 호환프로그램의 악성 여부를 확인하는 단계와, 상기 호환프로그램이 악성으로 확인되면 상기 사이트 페이지 정보 및 상기 호환프로그램 정보를 상기 악성 사이트 정보로 획득하면서 상기 사이트의 로드를 중지하는 단계를 포함하며, 상기 수집하는 방법은, 상기 통신망을 통해 상기 악성 사이트 정보를 수집하여 데이터베이스화한다.
본 발명의 제 5 관점으로서 악성 사이트 정보 수집 방법은, 악성 프로세스를 실행하는 악성 사이트를 검사하는 방법을 활용하여 악성 사이트 코드 정보를 수집하는 방법으로서, 상기 검사하는 방법은, 상기 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 해당 사이트 페이지 정보 및 사이트 코드 정보를 획득하는 단계와, 파일의 로드가 감지되면 프로세스 정보를 획득하면서 상기 파일의 악성 여부를 확인하는 단계와, 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하는 단계와, 상기 파일의 비정상적 실행이 확인되면 상기 사이트 페이지 정보와 상기 사이트 코드 정보 및 상기 프로세스 정보를 악성 사이트 코드 정보로 획득하면서 상기 파일의 실행을 차단하는 단 계를 포함하며, 상기 수집하는 방법은, 통신망을 통해 상기 악성 사이트 코드 정보를 수집하여 데이터베이스화한다.
본 발명의 제 6 관점으로서 악성 사이트 검사 장치는, 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트 및 상기 사이트와 응용프로그램과의 호환프로그램에 대한 상기 브라우저의 로드를 감지하는 이벤트 감시부와, 상기 이벤트 감시부에 의해 상기 호환프로그램의 로드가 감지되면 해당 호환프로그램의 악성 여부를 확인하는 악성코드 검사부와, 상기 이벤트 감시부에 의해 상기 탐색 이벤트가 감지되면 해당 사이트 페이지 정보를 획득하고, 상기 이벤트 감시부에 의해 상기 호환프로그램의 로드가 감지되면 해당 호환프로그램 정보를 획득하며, 상기 악성코드 검사부에 의해 상기 호환프로그램이 악성으로 확인되면 상기 사이트 페이지 정보 및 상기 호환프로그램 정보를 악성 사이트 정보로 획득하는 정보 관리부를 포함한다.
본 발명의 제 7 관점으로서 악성 사이트 검사 장치는, 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트와 파일의 로드를 감지하는 이벤트 감시부와, 상기 이벤트 감시부에 의해 상기 파일의 로드가 감지되면 상기 파일의 악성 여부를 확인하여 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하는 악성코드 검사부와, 상기 이벤트 감시부에 의해 상기 탐색 이벤트가 감지되면 해당 사이트 페이지 정보 및 사이트 코드 정보를 획득하며, 상기 이벤트 감시부에 의해 상기 파일의 로드가 감지되면 프로세스 정보를 획득하고, 상기 악성코드 검사부에 의해 상기 파일의 비정상적 실행이 확인되면 상기 사이트 페이지 정보와 상기 사이트 코드 정보 및 상기 프로세스 정보를 악성 사이트 코드 정보로 획득하는 정보 관리부를 포함한다.
본 발명의 제 8 관점으로서 악성 사이트 정보 수집 장치는, 통신망을 통해 사이트와 응용프로그램과의 악성 호환프로그램을 배포하는 악성 사이트를 검사하는 장치를 활용하여 악성 사이트 정보를 수집하는 장치로서, 상기 검사하는 장치는, 상기 사이트의 접속을 위해 활성화되는 브라우저가 로드하는 호환프로그램이 악성으로 확인되면 해당 사이트 페이지 정보 및 호환프로그램 정보를 악성 사이트 정보로 획득하며, 상기 수집하는 장치는, 상기 통신망을 통해 상기 악성 사이트 정보를 수집하는 데이터 수집 서버와, 데이터베이스화된 상기 악성 사이트 정보를 저장하는 악성 사이트 데이터베이스를 포함한다.
본 발명의 제 9 관점으로서 악성 사이트 정보 수집 장치는, 악성 프로세스를 실행하는 악성 사이트를 검사하는 장치를 활용하여 악성 사이트 코드 정보를 수집하는 장치로서, 상기 검사하는 장치는, 상기 사이트의 접속을 위해 활성화되는 브라우저가 로드하는 파일이 악성으로 확인 및 비정상적 실행으로 확인되면 해당 사이트 페이지 정보와 사이트 코드 정보 및 프로세스 정보를 악성 사이트 코드 정보로 획득하며, 상기 수집하는 장치는, 통신망을 통해 상기 악성 사이트 코드 정보를 수집하는 데이터 수집 서버와, 데이터베이스화된 상기 악성 사이트 코드 정보를 저장하는 악성 사이트 데이터베이스를 포함한다.
본 발명의 제 10 관점으로서 악성 사이트 검사 시스템은, 통신망을 통해 사이트와 응용프로그램과의 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하 는 악성 사이트를 검사하는 시스템으로서, 상기 사이트의 접속을 위해 활성화되는 브라우저, 로드하는 호환프로그램이 악성으로 확인되면 해당 사이트 페이지 정보 및 호환프로그램 정보를 악성 사이트 정보로 획득하거나 로드하는 파일이 악성으로 확인 및 비정상적 실행으로 확인되면 해당 사이트 페이지 정보와 사이트 코드 정보 및 프로세스 정보를 악성 사이트 코드 정보로 획득하는 악성 사이트 검사 장치를 포함하는 데이터 통신 단말과, 상기 통신망을 통해 상기 악성 사이트 정보 또는 상기 악성 사이트 코드 정보를 수집하는 데이터 수집 서버, 데이터베이스화된 상기 악성 사이트 정보 또는 상기 악성 사이트 코드 정보를 저장하는 악성 사이트 데이터베이스를 포함하는 악성 사이트 정보 수집 장치를 포함한다.
본 발명에 의하면 인터넷 등과 같은 데이터 통신망을 통해 사이트와 응용프로그램과의 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하는 사이트를 검사하여 악성 사이트 정보 및/또는 악성 사이트 코드 정보를 획득 및 수집하면서 악성 사이트의 로드 및/또는 악성 프로세스의 실행을 차단할 수 있다.
본 발명은 브라우저를 탑재한 데이터 통신 단말에 의해 악성 사이트를 검사 및 인지함으로써, 새로 만들어진 웹페이지라도 방문만 하면 악성 여부를 알 수 있으며, 서버의 내용이 변경되었을 경우에 이 내용을 바로 적용할 수 있고, 악성 호환프로그램을 사용하는 사이트도 검사할 수 있으며, 동적으로 바뀌는 웹문서(예, ajax)를 제공하는 사이트 또한 악성 여부를 검사 및 인지할 수 있다.
또한, 브라우저의 익스플로잇(exploit)은 계속 변경되나 익스플로잇을 통해 서 실행되는 바이너리의 악성을 판단하기 때문에 변종 또는 의심되는 익스플로잇 코드를 수집할 수 있다.
이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 아울러 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
도 1은 본 발명에 따른 악성 사이트 검사 시스템의 네트워크 구성도이며, 도 2는 본 발명에 따른 악성 사이트 검사 장치의 세부 구성도이고, 도 3은 본 발명에 따른 악성 사이트 정보 수집 장치의 세부 구성도이다.
도 1 내지 도 3을 참조하면 본 발명에 따른 악성 사이트 검사 시스템은, 인터넷 등과 같은 데이터 통신망(200)을 통해 웹서버에 자료를 요청하거나 제공받는 클라이언트 프로그램인 브라우저(110) 및 웹환경에서 사이트와 응용프로그램과의 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하는 사이트를 검사하는 악성 사이트 검사 장치(120)를 포함하는 데이터 통신 단말(100)과, 악성 사이트 검사 장치(120)에 의한 악성 사이트 검사 결과에 따라 데이터 통신망(200)을 통해 악성 사이트 정보 및/또는 악성 사이트 코드 정보를 수집하는 악성 사이트 정보 수집 장치(300)를 포함한다.
악성 사이트 검사 장치(120)는 이벤트 감시부(121), 악성코드 검사부(123), 정보 관리부(125), 정보 저장부(127), 데이터 통신부(129) 등을 포함한다.
이벤트 감시부(121)는 데이터 통신망(200)을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저(110)에 의한 사이트의 탐색 이벤트, 사이트와 응용프로그램과의 호환프로그램에 대한 브라우저(110)의 로드, 파일의 로드 등을 감지한다. 이를 위해 감시 환경을 설정하는데, 이벤트를 감시하기 위해 브라우저(110)에 의해 불리어서 실행되는 연결 프로그램을 생성하며, 호환프로그램의 로드를 감시하기 위해 동적 링크 라이브러리 파일의 식별자를 후킹(hooking)하고, 파일의 로드를 감시하기 위해 브라우저 프로세스의 식별자를 후킹한다.
악성코드 검사부(123)는 이벤트 감시부(121)에 의해 호환프로그램의 로드가 감지되면 해당 호환프로그램의 악성 여부를 확인하며, 이벤트 감시부(121)에 의해 파일의 로드가 감지되면 파일의 악성 여부를 확인하여 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인한다.
정보 관리부(125)는 이벤트 감시부(121)에 의해 탐색 이벤트가 감지되면 해당 사이트 페이지 정보 및 사이트 코드 정보를 획득하고, 이벤트 감시부(121)에 의해 호환프로그램의 로드가 감지되면 해당 호환프로그램 정보를 획득하며, 악성코드 검사부(123)에 의해 호환프로그램이 악성으로 확인되면 사이트 페이지 정보 및 호환프로그램 정보를 악성 사이트 정보로 획득하고, 이벤트 감시부(121)에 의해 파일의 로드가 감지되면 프로세스 정보를 획득하고, 악성코드 검사부(123)에 의해 파일의 비정상적 실행이 확인되면 사이트 페이지 정보와 사이트 코드 정보 및 프로세스 정보를 악성 사이트 코드 정보로 획득한다.
정보 저장부(127)는 정보 관리부(125)에 의해 획득된 사이트 페이지 정보, 사이트 코드 정보, 프로세스 정보, 악성 사이트 정보, 악성 사이트 코드 정보 등을 저장한다. 이러한 정보 저장부(127)는 정보 관리부(125)가 내부 메모리 등을 활용하여 관련 데이터를 저장하거나 데이터 통신부(129)를 통해 악성 사이트 정보 수집 장치(300)간에 관련 데이터를 상호 실시간 전송하는 경우에는 생략할 수도 있다.
데이터 통신부(129)는 정보 관리부(125)에 의해 획득된 악성 사이트 정보, 악성 사이트 코드 정보 등을 데이터 통신망(200)을 통해 악성 사이트 수집 장치(300)에게 전송한다. 이러한 데이터 통신부(129)는 악성 사이트 검사 장치(120)와 악성 사이트 정보 수집 장치(300)간에 악성 사이트 정보, 악성 사이트 코드 정보 등의 관련 데이터를 상호 전송하지 않고 악성 사이트 검사 장치(120)가 독립적으로 구동되는 경우에는 생략할 수도 있다.
악성 사이트 정보 수집 장치(300)는 데이터 통신망(200)을 통해 악성 사이트 검사 장치(120)로부터 악성 사이트 정보, 악성 사이트 코드 정보 등을 수집하여 데이터베이스화한다. 이러한 악성 사이트 정보 수집 장치(300)는 데이터 수집 서버(310), 악성 사이트 데이터베이스(320)를 포함한다.
데이터 수집 서버(310)는 데이터 통신망(200)을 통해 악성 사이트 검사 장치(120)로부터 악성 사이트 정보, 악성 사이트 코드 정도 등을 수집하며, 악성 사이트 데이터베이스(320)는 데이터 수집 서버(310)에 의해 데이터베이스화된 악성 사이트 정보, 악성 사이트 코드 정도 등을 저장한다.
도 4 및 도 5는 본 발명에 따른 악성 사이트 검사 장치에 의해 웹환경에서 사이트와 응용프로그램과의 악성 호환프로그램을 배포하는 악성 사이트를 검사하는 방법을 설명하기 위한 도면으로서, 도 4는 흐름도이고, 도 5는 개념도이다.
도 1 내지 도 5를 참조하여 웹환경에서 사이트와 응용프로그램과의 악성 호환프로그램을 배포하는 악성 사이트를 검사하는 과정을 살펴보면 아래와 같다.
먼저, 악성 사이트 검사 장치(120)는 브라우저(110)를 구동하는 데이터 통신 단말(100)에 설치 및 탑재되며, 브라우저(110)가 인터넷 등과 같은 웹환경의 데이터 통신망(200)을 통해 웹사이트에 접속할 때에 응용프로그램과의 악성 호환프로그램을 배포하는 악성 사이트를 검사한다.
이를 위해, 악성 사이트 검사 장치(120)의 이벤트 감시부(121)는 브라우저(110)에 의한 이벤트 발생을 감시하기 위해서 활성화된 브라우저(110)에 의해 불리어서 실행되어 브라우저(110)의 이벤트를 감시할 수 있는 연결 프로그램을 생성한다. 예로서, 브라우저(110)가 마이크로소프트의 익스플로러일 경우에 브라우저 헬퍼 오브젝트(browser helper object)를 만든다(S401).
아울러, 이벤트 감시부(121)는 브라우저(110)가 액티브엑스(ActiveX) 등과 같은 사이트와 응용프로그램과의 호환프로그램을 로드하는 것을 감시하기 위해 동적 링크 라이브러리 파일의 식별자를 후킹한다. 예로서, URLMon.dll의 CoGetClassObject 함수를 감시하는 것이다(S403).
이와 같이 이벤트 감시부(121)가 이벤트를 감시(S405)하는 중에 브라우저(110)가 임의의 URL를 찾은 이벤트가 발생할 때(S407), 예로서 NavigateComplete 가 호출될 때에 이벤트 감시부(121)에 의해 해당 이벤트가 감지되며, 이벤트 감시부(121)는 해당 이벤트의 발생을 악성 사이트 검사 장치(120)의 정보 관리부(125)에게 알려준다.
그러면, 정보 관리부(125)는 악성 사이트 검사 장치(120)의 정보 저장부(127)에 저장된 사이트 페이지 목록 정보에서 해당 쓰레드(thread)에 웹링크 노드가 있는지 확인한다. 이때 웹링크 노드가 없다면 메인 웹링크 노드로써 최상위 노드를 등록하나 이미 쓰레드에 노드가 있다면 프레임 웹링크 노드로 등록하여 정보 저장부(127)의 사이트 페이지 목록 정보를 갱신한다(S413).
한편, 브라우저(110)가 사이트와 응용프로그램과의 호환프로그램을 로드(실행 또는 다운로드 요청)하려고 한다면 동적 링크 라이브러리 파일의 식별자, 예로서 CoGetClassObject 함수가 호출되며, 이를 감지한 이벤트 감시부(121)는 호환프로그램의 로드 상황을 악성 사이트 검사 장치(120)의 악성코드 검사부(123) 및 정보 관리부(125)에게 알려준다(S415).
그러면, 정보 관리부(125)는 정보 저장부(127)에 저장하는 호환프로그램 정보를 갱신한다. 예로서, 액티브엑스 목록 정보를 갱신하는 것이다(S417).
아울러, 악성코드 검사부(123)는 악성 코드 검사 엔진을 구동하여 호환프로그램이 악성코드인지를 검사한다(S419).
만약, 호환프로그램이 악성코드로 판정되면 악성코드 검사부(123)는 브라우저(110)가 로드하려는 호환프로그램이 악성코드임을 정보 관리부(125)에게 알려준다(S421).
그러면, 정보 관리부(125)는 정보 저장부(127)에 저장된 호환프로그램 정보를 참조하여 해당 호환프로그램을 로드하는 쓰레드 식별정보를 키(key)로 이용하여 사이트 페이지 목록 정보에서 웹링크 노드를 찾으며, 웹링크 노드의 웹문서(예로서, HTML(hypertext markup language))를 파싱하여 해당 호환프로그램 태그(tag), 예로서 액티브엑스 태그가 존재하는지 확인한다. 만약 호환프로그램 태그가 있다면 이 웹링크 노드는 악성 호환프로그램을 로드하려는 악성 웹링크 노드이다. 현재 노드에 없다면 자식 노드를 대상으로 위와 같은 과정으로 검색한다(S423).
이렇게 정보 관리부(125)는 악성 사이트 정보를 획득하면 이를 정보 저장부(127)에 저장할 수 있다. 또는 악성 사이트 정보를 데이터 통신부(129)로 전달하며, 데이터 통신부(129)는 데이터 통신망(200)을 통해 해당 악성 사이트 정보를 악성 사이트 정보 수집 장치(300)에게 전송한다(S425).
그러면, 악성 사이트 정보 수집 장치(300)의 데이터 수집 서버(310)가 악성 사이트 검사 장치(120)로부터 전송되는 악성 사이트 정보를 수집하며, 데이터베이스화하여 악성 사이트 데이터베이스(320)에 저장한다.
아울러, 악성코드 검사부(123)는 악성코드로 판정된 해당 호환프로그램의 로드를 중지한다. 여기서, 악성코드로 판정된 호환프로그램에 대한 로드 중지 상태는 브라우저(110)를 통해 안내 메시지로 제공할 수 있다(S427).
한편, 단계 S415 내지 단계 S425의 수행에 의해 정보 저장부(127) 또는 악성 사이트 데이터베이스(320)에는 악성 사이트 정보가 축적된다. 이 경우에 바람직한 실시예에 의하면 단계 S407이후에 단계 S413을 곧바로 수행하지 않고 기 축적된 악 성 사이트 정보를 활용한 악성 검사를 수행한다. 이벤트 감시부(121)에 의해 브라우저(110)의 탐색 이벤트가 감지되면 악성코드 검사부(123)는 정보 저장부(127) 또는 악성 사이트 데이터베이스(320)에 저장된 악성 사이트 정보를 제공받으며, 브라우저(110)가 접속하려고 하는 웹링크 정보와 악성 사이트 정보를 비교하여 악성 여부를 확인한 후에 악성으로 판정되지 않은 경우에는 단계 S413으로 진행하나 악성으로 판정된 경우에는 해당 악성 사이트의 로드를 곧바로 중지한다.
도 6 및 도 7은 본 발명에 따른 악성 사이트 검사 장치에 의해 웹환경에서 악성 프로세스를 실행하는 악성 사이트를 검사하는 방법을 설명하기 위한 도면으로서, 도 6은 흐름도이고, 도 7은 개념도이다.
도 1 내지 도 3, 도 6 및 도 7을 참조하여 웹환경에서 악성 프로세스를 실행하는 악성 사이트를 검사하는 과정을 살펴보면 아래와 같다.
먼저, 악성 사이트 검사 장치(120)는 브라우저(110)를 구동하는 데이터 통신 단말(100)에 설치 및 탑재되며, 브라우저(110)가 인터넷 등과 같은 웹환경의 데이터 통신망(200)을 통해 웹사이트에 접속할 때에 악성 프로세스를 실행하는 악성 사이트를 검사한다.
이를 위해, 악성 사이트 검사 장치(120)의 이벤트 감시부(121)는 브라우저(110)에 의한 이벤트 발생을 감시하기 위해서 활성화된 브라우저(110)에 의해 불리어서 실행되어 브라우저(110)의 이벤트를 감시할 수 있는 연결 프로그램을 생성한다. 예로서, 브라우저(110)가 마이크로소프트의 익스플로러일 경우에 브라우저 헬퍼 오브젝트를 만든다(S501).
아울러, 이벤트 감시부(121)는 액티브엑스(ActiveX) 등과 같은 사이트와 응용프로그램과의 호환프로그램에 의해서 실행되는 프로세스 등을 감시하기 위해 브라우저 프로세스의 식별자를 후킹한다. 예로서, 브라우저 프로세스의 CreateProcess 함수를 감시하는 것이다(S503).
이와 같이 브라우저(110)의 이벤트를 감시(S505)하는 중에 브라우저(110)가 임의의 URL를 찾은 이벤트가 발생할 때, 예로서 NavigateComplete가 호출될 때에 이벤트 감시부(121)에 의해 해당 이벤트가 감지되며, 이벤트 감시부(121)는 해당 이벤트의 발생을 악성 사이트 검사 장치(120)의 정보 관리부(125)에게 알려준다(S507).
그러면, 정보 관리부(125)는 악성 사이트 검사 장치(120)의 정보 저장부(127)에 저장된 사이트 페이지 목록 정보에서 해당 쓰레드(thread)에 웹링크 노드가 있는지 확인한다. 이때 웹링크 노드가 없다면 메인 웹링크 노드로써 최상위 노드를 등록하나 이미 쓰레드에 노드가 있다면 프레임 웹링크 노드로 등록하여 정보 저장부(127)의 사이트 페이지 목록 정보를 갱신한다. 아울러 정보 관리부(125)는 정보 저장부(127)에 저장된 사이트 페이지 코드 목록 정보에서 해당 쓰레드에 웹링크 사이트 코드 노드가 있는지 확인한 후에 웹링크 사이트 코드 노드가 없다면 메인 웹링크 사이트 코드 노드로 등록하나 이미 쓰레드에 웹링크 사이트 코드 노드가 있다면 프레임 웹링크 사이트 코드 노드로 등록하여 정보 저장부(127)의 사이트 페이지 코드 목록 정보를 갱신한다(S515).
한편, 액티브엑스 등과 같은 사이트와 응용프로그램과의 호환프로그램에 의해서 새로운 프로세스가 만들어지려고 하거나 파일이 로드(실행 또는 다운로드 요청)되면 후킹하고 있는 브라우저 프로세스의 식별자, 예로서 CreateProcess 함수가 호출된다. 그러면 이를 감지한 이벤트 감시부(121)는 프로세스 실행 상황을 악성 사이트 검사 장치(120)의 악성코드 검사부(123) 및 정보 관리부(125)에게 알려준다(S517).
그러면, 정보 관리부(125)는 브라우저 프로세스의 식별자를 호출한 대상의 쓰레드 식별정보를 확인하며, 정보 저장부(127)에 저장된 사이트 페이지 코드 목록 정보에서 쓰레드 식별정보를 키로 하여 동일한 쓰레드 식별정보를 찾아서 해당 쓰레드의 최상위 웹링크 코드 노드를 확인한다. 그리고 정보 저장부(127)에 저장된 프로세스 리스트에 프로세스 노드를 추가하고, 추가한 프로세스 노드의 관련 웹링크 노드로서 앞서 확인한 최상위 웹링크 노드를 연결한다(S519).
아울러, 악성코드 검사부(123)는 이벤트 감시부(121)가 알려준 프로세스 실행 상황에 따라 악성 코드 검사 엔진을 구동(S521)하여 실행되려고 하는 프로세스가 악성코드인지를 확인하며, 해당 프로세스가 악성코드가 아닌 경우에 그 결과를 이벤트 감시부(121)에게 알려준다(S523).
그러면, 이벤트 감시부(121)는 새로 만들어지는 브라우저 프로세스의 식별자를 후킹한다. 예로서, 브라우저 프로세스의 CreateProcess 함수를 감시하는 것이다(S525).
이에, 브라우저(110)에 의해 만들어진 프로세스가 다시 새로운 프로세스를 만들려고 하면 후킹하고 있는 브라우저 프로세스의 식별자, 예로서 CreateProcess 함수가 호출된다. 그러면 이를 감지한 이벤트 감시부(121)는 프로세스 실행 상황을 악성 사이트 검사 장치(120)의 악성코드 검사부(123) 및 정보 관리부(125)에게 알려준다.
그러면, 정보 관리부(125)는 브라우저 프로세스의 식별자를 호출한 프로세스를 정보 저장부(127)에 저장된 프로세스 리스트에서 찾은 후에 새로 만들어질 프로세스 노드를 자식 노드로 추가한다.
역시, 악성코드 검사부(123)는 이벤트 감시부(121)가 알려준 프로세스 실행 상황에 따라 실행되려고 하는 프로세스가 악성코드인지를 확인하며, 해당 프로세스가 악성코드가 아닌 경우에 단계 S525, S517 내지 단계 S523의 과정이 재수행된다. 이러한 단계 S525, S517 내지 단계 S523의 과정은 프로세스가 실행될 때마다 반복적으로 수행된다.
만약, 단계 S523에서 실행되는 프로세스가 악성 프로세스로 판정된 경우에는 악성코드 검사부(123)는 현재의 파일 실행이 정상적인 파일 실행인지 아니면 비정상적인 파일 실행인지를 확인한다. 여기서 정상적인 파일 실행이라 함은 액티브엑스 등과 같은 호환프로그램에 의한 실행이거나 사용자가 직접 실행하는 경우이며, 비정상적인 파일 실행이라 함은 브라우저 익스플로잇이 실행하는 경우이다. 따라서 호환프로그램에 의한 실행인지를 확인한 후에 호환프로그램에 의한 실행이 아니라고 확인된 경우에는 다시 사용자에 의한 실행인지를 확인하여 이마저 아니라면 브라우저 익스플로잇이 실행하는 경우, 즉 비정상적인 실행으로 판정한다. 악성코드 검사부(123)는 이와 같은 파일 실행에 대한 판정 결과를 정보 관리부(125)에게 알려준다(S527).
정보 관리부(125)는 현재의 파일 실행이 비정상적인 파일 실행으로 판정되면 정보 저장부(127)에 저장된 웹링크 코드 정보를 참고하여 해당 악성 프로세스에 연결되어 있는 악성 사이트 코드 정보를 획득하고, 획득한 악성 사이트 코드 정보를 정보 저장부(127)에 저장하거나 데이터 통신부(129)로 전달한다. 그러면, 데이터 통신부(129)는 데이터 통신망(200)을 통해 해당 악성 사이트 코드 정보를 악성 사이트 정보 수집 장치(300)에게 전송한다(S529).
만약, 현재의 파일 실행이 정상적인 파일 실행으로 판정되면 정보 관리부(125)는 도 4를 참조하여 설명한 단계 S423 및 S425에서처럼 악성 사이트 정보를 획득하여 정보 저장부(127)에 저장하거나 악성 사이트 정보 수집 장치(300)에게 전송한다(S531). 이로써, 악성 사이트 정보 수집 장치(300)는 프로세스 정보 중에서 현재 프로세스의 부모 정보와 함께 부모 중에서 동일한 쓰레드 식별정보를 키로 하는 사이트 페이지 정보 및 사이트 코드 정보를 악성 사이트 정보로 수집할 수 있다.
그러면, 악성 사이트 정보 수집 장치(300)의 데이터 수집 서버(310)가 악성 사이트 검사 장치(120)로부터 전송되는 악성 사이트 정보 및/또는 악성 사이트 코드 정보를 수집하며, 데이터베이스화하여 악성 사이트 데이터베이스(320)에 저장한다.
아울러, 악성코드 검사부(123)는 악성으로 판정된 해당 파일의 실행을 차단한다. 여기서, 악성코드로 판정된 파일에 대한 실행 차단 상태는 브라우저(110)를 통해 안내 메시지로 제공할 수 있다(S533).
한편, 단계 S517 내지 단계 S533의 수행에 의해 정보 저장부(127) 또는 악성 사이트 데이터베이스(320)에는 악성 사이트 정보 및 악성 사이트 코드 정보가 축적된다. 이 경우에 바람직한 실시예에 의하면 단계 S507이후에 단계 S515를 곧바로 수행하지 않고 기 축적된 악성 사이트 정보를 활용한 악성 검사를 수행한다. 이벤트 감시부(121)에 의해 브라우저(110)의 탐색 이벤트가 감지되면 악성코드 검사부(123)는 정보 저장부(127) 또는 악성 사이트 데이터베이스(320)에 저장된 악성 사이트 정보를 제공받으며, 브라우저(110)가 접속하려고 하는 웹링크 정보와 악성 사이트 정보를 비교하여 악성 여부를 확인한 후에 악성으로 판정되지 않은 경우에는 단계 S515로 진행하나 악성으로 판정된 경우에는 해당 악성 사이트의 로드를 곧바로 중지한다(S513).
앞서 설명한 실시예에서는 악성 호환프로그램을 배포하는 악성 사이트를 검사하는 방법과 악성 프로세스를 실행하는 악성 사이트를 검사하는 방법을 분리하여 별개로 설명하였으나, 악성 프로세스의 실행을 검사하는 과정들은 악성 사이트를 검사하는 과정에 귀속되어 실행할 수도 있다. 예로서, 단계 S421에서 호환프로그램이 악성으로 판정되지 않은 경우에는 단계 S517 및 그 이후 과정들을 수행함으로써 악성 파일의 로드를 제안하는 것이다. 이를 위해서는 단계 S503 및 S515 등이 우선적으로 실행하여야 할 것이다. 또한 이 경우라면, 단계 S531의 과정은 생략할 수도 있는데, 이로서 악성 사이트 정보가 중복으로 수집되는 것을 방지할 수 있다.
본 발명에 의한 악성 코드 검사 방법은 컴퓨터 프로그램으로 작성 가능하다. 이 컴퓨터 프로그램을 구성하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 해당 컴퓨터 프로그램은 컴퓨터가 읽을 수 있는 정보저장매체(computer readable media)에 저장되고, 컴퓨터에 의하여 읽혀지고 실행됨으로써 악성 코드 검사 방법을 구현한다. 정보저장매체는 자기 기록매체, 광 기록매체 및 캐리어 웨이브 매체를 포함한다.
지금까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
도 1은 본 발명에 따른 악성 사이트 검사 시스템의 네트워크 구성도,
도 2는 본 발명에 따른 악성 사이트 검사 장치의 세부 구성도,
도 3은 본 발명에 따른 악성 사이트 정보 수집 장치의 세부 구성도,
도 4는 본 발명에 따른 악성 사이트 검사 장치에 의해 웹환경에서 사이트와 응용프로그램과의 악성 호환프로그램을 배포하는 악성 사이트를 검사하는 방법을 설명하기 위한 흐름도,
도 5는 본 발명에 따라 악성 호환프로그램을 배포하는 악성 사이트를 검사하는 방법을 설명하기 개념도,
도 6은 본 발명에 따른 악성 사이트 검사 장치에 의해 웹환경에서 악성 프로세스를 실행하는 악성 사이트를 검사하는 방법을 설명하기 위한 흐름도,
도 7은 본 발명에 따라 악성 프로세스를 실행하는 악성 사이트를 검사하는 방법을 설명하기 위한 개념도이다.
<도면의 주요 부분에 대한 부호의 설명>
100 : 데이터 통신 단말 110 : 브라우저
120 : 악성 사이트 검사 장치 121 : 이벤트 감지부
123 : 악성코드 검사부 125 : 정보 관리부
127 : 정보 저장부 129 : 데이터 통신부
200 : 데이터 통신망 300 : 악성 사이트 정보 수집 장치
310 : 데이터 수집 서버 320 : 악성 사이트 데이터베이스

Claims (62)

  1. 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 해당 사이트 페이지 정보를 획득하여 기 저장된 사이트 페이지 목록 정보의 해당 쓰레드에 웹링크 노드로 등록하여 상기 사이트 페이지 목록 정보를 갱신하는 단계와,
    상기 사이트와 응용프로그램과의 호환프로그램에 대한 상기 브라우저의 로드가 감지되면 해당 호환프로그램 정보를 획득하면서 상기 호환프로그램의 악성 여부를 확인하는 단계와,
    상기 호환프로그램이 악성으로 확인되면 상기 해당 호환프로그램 정보를 참조하여 상기 호환프로그램을 로드하는 쓰레드 식별정보를 키로 이용해 상기 사이트 페이지 목록 정보에서 해당 웹링크 노드를 찾아서 상기 해당 웹링크 노드의 웹문서에 해당 호환프로그램 태그가 존재하면 해당 사이트 페이지 정보를 악성 사이트 정보로 획득하면서 상기 사이트의 로드를 중지하는 단계
    를 포함하는 악성 사이트 검사 방법.
  2. 제 1 항에 있어서,
    상기 검사 방법은, 상기 사이트 페이지 정보의 획득을 위해 상기 브라우저의 이벤트를 감시하는 환경을 설정하는 단계와,
    상기 호환프로그램 정보의 획득을 위해 상기 브라우저에 의한 상기 호환프로그램의 로드를 감시하는 환경을 설정하는 단계
    를 더 포함하는 악성 사이트 검사 방법.
  3. 제 2 항에 있어서,
    상기 이벤트는 상기 브라우저에 의해 불리어서 실행되는 연결 프로그램을 생성하여 감시하는
    악성 사이트 검사 방법.
  4. 제 3 항에 있어서,
    상기 연결 프로그램은 브라우저 헬퍼 오브젝트(browser helper object)인
    악성 사이트 검사 방법.
  5. 제 2 항에 있어서,
    상기 로드는 동적 링크 라이브러리 파일의 식별자를 후킹하여 감시하는
    악성 사이트 검사 방법.
  6. 제 5 항에 있어서,
    상기 호환프로그램은 액티브엑스(ActiveX)이고, 상기 동적 링크 라이브러리 파일은 URLMon.dll이며, 상기 식별자는 CoGetClassObject 함수인
    악성 사이트 검사 방법.
  7. 제 1 항에 있어서,
    상기 검사 방법은, 상기 탐색 이벤트가 감지되면 상기 사이트 페이지 정보의 획득 이전에 상기 악성 사이트 정보를 활용해 악성 여부를 확인하여 악성일 경우에는 해당 사이트의 로드를 중지하는
    악성 사이트 검사 방법.
  8. 제 1 항에 있어서,
    상기 검사 방법은, 상기 악성 사이트 정보를 정보 저장부에 저장하거나 상기 통신망을 통해 악성 사이트 정보 수집 장치에게 전송하는
    악성 사이트 검사 방법.
  9. 삭제
  10. 제 1 항에 있어서,
    상기 갱신하는 단계는, 상기 쓰레드에 상기 웹링크 노드가 없다면 메인 웹링크 노드로 등록하나 상기 쓰레드에 상기 웹링크 노드가 있다면 프레임 웹링크 노드로 등록하는
    악성 사이트 검사 방법.
  11. 제 1 항에 있어서,
    상기 악성 사이트 정보는, 상기 사이트 페이지 정보와 상기 호환프로그램 정보를 연결하여 획득하는
    악성 사이트 검사 방법.
  12. 삭제
  13. 제 1 항에 있어서,
    상기 중지하는 단계는, 상기 해당 웹링크 노드에 상기 호환프로그램 태그가 없으면 자식 웹링크 노드를 대상으로 상기 호환프로그램 태그를 검색하는
    악성 사이트 검사 방법.
  14. 제 1 항에 있어서,
    상기 탐색 이벤트가 감지되면 상기 사이트 페이지 정보와 함께 사이트 코드 정보를 획득하며,
    상기 검사 방법은,
    파일의 로드가 감지되면 프로세스 정보를 획득하면서 상기 파일의 악성 여부를 확인하는 단계와,
    상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하는 단계와,
    상기 파일의 비정상적 실행이 확인되면 상기 사이트 페이지 정보와 상기 사이트 코드 정보 및 상기 프로세스 정보를 악성 사이트 코드 정보로 획득하면서 상기 파일의 실행을 차단하는 단계
    를 더 포함하는 악성 사이트 검사 방법.
  15. 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 해당 사이트 코드 정보를 획득하여 기 저장된 사이트 코드 목록 정보의 해당 쓰레드에 웹링크 사이트 코드 노드로 등록하여 상기 사이트 코드 목록 정보를 갱신하는 단계와,
    파일의 로드가 감지되면 프로세스 정보를 획득하면서 상기 사이트 코드 목록 정보에서 쓰레드 식별정보를 키로 하여 동일한 쓰레드 식별정보를 찾아서 해당 쓰레드의 웹링크 사이트 코드 노드를 확인함과 아울러 기 저장된 프로세스 리스트에 프로세스 노드를 추가하면서 추가한 상기 프로세스 노드의 관련 웹링크 노드로서 상기 웹링크 사이트 코드 노드를 연결하는 단계와,
    상기 파일의 악성 여부를 확인하여 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하는 단계와,
    상기 파일의 비정상적 실행이 확인되면 상기 프로세스 리스트를 참조하여 해당 프로세스에 연결되어 있는 상기 웹링크 사이트 코드 노드를 악성 사이트 코드 정보로 획득하면서 상기 파일의 실행을 차단하는 단계
    를 포함하는 악성 사이트 검사 방법.
  16. 제 15 항에 있어서,
    상기 검사 방법은, 상기 사이트 코드 정보의 획득을 위해 상기 브라우저의 이벤트를 감시하는 환경을 설정하는 단계와,
    상기 프로세스 정보의 획득을 위해 상기 파일의 로드를 감시하는 환경을 설정하는 단계
    를 더 포함하는 악성 사이트 검사 방법.
  17. 제 16 항에 있어서,
    상기 이벤트는 상기 브라우저에 의해 불리어서 실행되는 연결 프로그램을 생성하여 감시하는
    악성 사이트 검사 방법.
  18. 제 17 항에 있어서,
    상기 연결 프로그램은 브라우저 헬퍼 오브젝트(browser helper object)인
    악성 사이트 검사 방법.
  19. 제 16 항에 있어서,
    상기 로드는 브라우저 프로세스의 식별자를 후킹하여 감시하는
    악성 사이트 검사 방법.
  20. 제 19 항에 있어서,
    상기 검사 방법은, 상기 파일이 악성이 아닌 것으로 확인되면 신규 브라우저 프로세스의 식별자를 후킹하는
    악성 사이트 검사 방법.
  21. 제 19 항에 있어서,
    상기 식별자는 CreateProcess 함수인
    악성 사이트 검사 방법.
  22. 제 15 항에 있어서,
    상기 검사 방법은, 상기 탐색 이벤트가 감지되면 상기 사이트 코드 정보의 획득 이전에 상기 악성 사이트 코드 정보를 활용해 악성 여부를 확인하여 악성일 경우에는 해당 사이트의 로드를 중지하는
    악성 사이트 검사 방법.
  23. 제 15 항에 있어서,
    상기 비정상적 실행 여부는, 상기 파일이 상기 사이트와 응용프로그램과의 호환프로그램에 의해 실행되거나 사용자에 의해 실행되었는지를 확인하는
    악성 사이트 검사 방법.
  24. 제 15 항에 있어서,
    상기 검사 방법은, 상기 악성 사이트 코드 정보를 정보 저장부에 저장하거나 상기 통신망을 통해 악성 사이트 정보 수집 장치에게 전송하는
    악성 사이트 검사 방법.
  25. 삭제
  26. 제 15 항에 있어서,
    상기 갱신하는 단계는, 상기 사이트 코드 목록에서 상기 해당 쓰레드에 상기 웹링크 사이트 코드 노드가 있는지 확인한 후에 상기 웹링크 사이트 코드 노드가 없다면 메인 웹링크 사이트 코드 노드로 등록하나 상기 쓰레드에 상기 웹링크 사이트 코드 노드가 있다면 프레임 웹링크 사이트 코드 노드로 등록하는
    악성 사이트 검사 방법.
  27. 제 15 항에 있어서,
    상기 연결하는 단계는, 최상위 웹링크 사이트 코드 노드를 상기 관련 웹링크 노드로 연결하는
    악성 사이트 검사 방법.
  28. 제 15 항에 있어서,
    상기 검사 방법은, 상기 파일의 정상적 실행이 확인되면 사이트 페이지 정보를 악성 사이트 정보로 획득하는 단계
    를 더 포함하는 악성 사이트 검사 방법.
  29. 제 1 내지 제 8 항, 제 10 항 또는 제 11 항, 제 13 항 내지 제 24 항, 또는 제 26 항 내지 제 28 항 중에서 어느 한 항의 악성 사이트 검사 방법을 수행하는 컴퓨터 프로그램이 기록된 기록매체.
  30. 통신망을 통해 사이트와 응용프로그램과의 악성 호환프로그램을 배포하는 악성 사이트를 검사하는 방법을 활용하여 악성 사이트 정보를 수집하는 방법으로서,
    상기 검사하는 방법은,
    상기 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 해당 사이트 페이지 정보를 획득하여 기 저장된 사이트 페이지 목록 정보의 해당 쓰레드에 웹링크 노드로 등록하여 상기 사이트 페이지 목록 정보를 갱신하는 단계와,
    상기 사이트와 응용프로그램과의 호환프로그램에 대한 상기 브라우저의 로드가 감지되면 해당 호환프로그램 정보를 획득하면서 상기 호환프로그램의 악성 여부를 확인하는 단계와,
    상기 호환프로그램이 악성으로 확인되면 상기 해당 호환프로그램 정보를 참조하여 상기 호환프로그램을 로드하는 쓰레드 식별정보를 키로 이용해 상기 사이트 페이지 목록 정보에서 해당 웹링크 노드를 찾아서 상기 해당 웹링크 노드의 웹문서에 해당 호환프로그램 태그가 존재하면 해당 사이트 페이지 정보를 상기 악성 사이트 정보로 획득하면서 상기 사이트의 로드를 중지하는 단계
    를 포함하며,
    상기 수집하는 방법은,
    상기 통신망을 통해 상기 악성 사이트 정보를 수집하여 데이터베이스화하는
    악성 사이트 정보 수집 방법.
  31. 악성 프로세스를 실행하는 악성 사이트를 검사하는 방법을 활용하여 악성 사이트 코드 정보를 수집하는 방법으로서,
    상기 검사하는 방법은,
    통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 해당 사이트 코드 정보를 획득하여 기 저장된 사이트 코드 목록 정보의 해당 쓰레드에 웹링크 사이트 코드 노드로 등록하여 상기 사이트 코드 목록 정보를 갱신하는 단계와,
    파일의 로드가 감지되면 프로세스 정보를 획득하면서 상기 사이트 코드 목록 정보에서 쓰레드 식별정보를 키로 하여 동일한 쓰레드 식별정보를 찾아서 해당 쓰레드의 웹링크 사이트 코드 노드를 확인함과 아울러 기 저장된 프로세스 리스트에 프로세스 노드를 추가하면서 추가한 상기 프로세스 노드의 관련 웹링크 노드로서 상기 웹링크 사이트 코드 노드를 연결하는 단계와,
    상기 파일의 악성 여부를 확인하여 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하는 단계와,
    상기 파일의 비정상적 실행이 확인되면 상기 프로세스 리스트를 참조하여 해당 프로세스에 연결되어 있는 상기 웹링크 사이트 코드 노드를 상기 악성 사이트 코드 정보로 획득하면서 상기 파일의 실행을 차단하는 단계
    를 포함하며,
    상기 수집하는 방법은,
    상기 통신망을 통해 상기 악성 사이트 코드 정보를 수집하여 데이터베이스화하는
    악성 사이트 정보 수집 방법.
  32. 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트 및 상기 사이트와 응용프로그램과의 호환프로그램에 대한 상기 브라우저의 로드를 감지하는 이벤트 감시부와,
    상기 이벤트 감시부에 의해 상기 호환프로그램의 로드가 감지되면 해당 호환프로그램의 악성 여부를 확인하는 악성코드 검사부와,
    상기 이벤트 감시부에 의해 상기 탐색 이벤트가 감지되면 해당 사이트 페이지 정보를 획득하여 기 저장된 사이트 페이지 목록 정보의 해당 쓰레드에 웹링크 노드로 등록하여 상기 사이트 페이지 목록 정보를 갱신하고, 상기 이벤트 감시부에 의해 상기 호환프로그램의 로드가 감지되면 해당 호환프로그램 정보를 획득하며, 상기 악성코드 검사부에 의해 상기 호환프로그램이 악성으로 확인되면 상기 해당 호환프로그램 정보를 참조하여 상기 호환프로그램을 로드하는 쓰레드 식별정보를 키로 이용해 상기 사이트 페이지 목록 정보에서 해당 웹링크 노드를 찾아서 상기 해당 웹링크 노드의 웹문서에 해당 호환프로그램 태그가 존재하면 해당 사이트 페이지 정보를 악성 사이트 정보로 획득하는 정보 관리부
    를 포함하는 악성 사이트 검사 장치.
  33. 제 32 항에 있어서,
    상기 이벤트 감시부는, 상기 이벤트를 감시하기 위해 상기 브라우저에 의해 불리어서 실행되는 연결 프로그램을 생성하는
    악성 사이트 검사 장치.
  34. 제 33 항에 있어서,
    상기 연결 프로그램은 브라우저 헬퍼 오브젝트(browser helper object)인
    악성 사이트 검사 장치.
  35. 제 32 항에 있어서,
    상기 이벤트 감시부는, 상기 로드를 감시하기 위해 동적 링크 라이브러리 파일의 식별자를 후킹하는
    악성 사이트 검사 장치.
  36. 제 35 항에 있어서,
    상기 호환프로그램은 액티브엑스(ActiveX)이고, 상기 동적 링크 라이브러리 파일은 URLMon.dll이며, 상기 식별자는 CoGetClassObject 함수인
    악성 사이트 검사 장치.
  37. 제 32 항에 있어서,
    상기 악성코드 검사부는, 상기 이벤트 감시부에 의해 상기 탐색 이벤트가 감지되면 상기 악성 사이트 정보를 활용해 악성 여부를 확인하여 악성일 경우에는 해당 사이트의 로드를 중지하는
    악성 사이트 검사 장치.
  38. 제 32 항에 있어서,
    상기 검사 장치는, 상기 악성 사이트 정보를 저장하는 정보 저장부
    를 더 포함하는 악성 사이트 검사 장치.
  39. 제 32 항에 있어서,
    상기 검사 장치는, 상기 악성 사이트 정보를 상기 통신망을 통해 악성 사이트 정보 수집 장치에게 전송하는 데이터 통신부
    를 더 포함하는 악성 사이트 검사 장치.
  40. 삭제
  41. 제 32 항에 있어서,
    상기 정보 관리부는, 상기 쓰레드에 상기 웹링크 노드가 없다면 메인 웹링크 노드로 등록하나 상기 쓰레드에 상기 웹링크 노드가 있다면 프레임 웹링크 노드로 등록하는
    악성 사이트 검사 장치.
  42. 제 32 항에 있어서,
    상기 정보 관리부는, 상기 사이트 페이지 정보와 상기 호환프로그램 정보를 연결하여 상기 악성 사이트 정보를 획득하는
    악성 사이트 검사 장치.
  43. 삭제
  44. 제 32 항에 있어서,
    상기 정보 관리부는, 상기 해당 웹링크 노드에 상기 호환프로그램 태그가 없으면 자식 웹링크 노드를 대상으로 상기 호환프로그램 태그를 검색하는
    악성 사이트 검사 장치.
  45. 제 32 항에 있어서,
    상기 이벤트 감시부는, 파일의 로드를 감지하며,
    상기 악성코드 검사부는, 상기 이벤트 감시부에 의해 상기 파일의 로드가 감지되면 상기 파일의 악성 여부를 확인하여 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하고,
    상기 정보 관리부는, 상기 이벤트 감시부에 의해 상기 탐색 이벤트가 감지되면 상기 사이트 페이지 정보와 함께 사이트 코드 정보를 획득하며, 상기 이벤트 감시부에 의해 상기 파일의 로드가 감지되면 프로세스 정보를 획득하고, 상기 악성코드 검사부에 의해 상기 파일의 비정상적 실행이 확인되면 상기 사이트 페이지 정보와 상기 사이트 코드 정보 및 상기 프로세스 정보를 악성 사이트 코드 정보로 획득하는
    악성 사이트 검사 장치.
  46. 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트와 파일의 로드를 감지하는 이벤트 감시부와,
    상기 이벤트 감시부에 의해 상기 파일의 로드가 감지되면 상기 파일의 악성 여부를 확인하여 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하는 악성코드 검사부와,
    상기 이벤트 감시부에 의해 상기 탐색 이벤트가 감지되면 해당 사이트 코드 정보를 획득하여 기 저장된 사이트 코드 목록 정보의 해당 쓰레드에 웹링크 사이트 코드 노드로 등록하여 상기 사이트 코드 목록 정보를 갱신하며, 상기 이벤트 감시부에 의해 상기 파일의 로드가 감지되면 프로세스 정보를 획득하면서 상기 사이트 코드 목록 정보에서 쓰레드 식별정보를 키로 하여 동일한 쓰레드 식별정보를 찾아서 해당 쓰레드의 웹링크 사이트 코드 노드를 확인함과 아울러 기 저장된 프로세스 리스트에 프로세스 노드를 추가하면서 추가한 상기 프로세스 노드의 관련 웹링크 노드로서 상기 웹링크 사이트 코드 노드를 연결하고, 상기 악성코드 검사부에 의해 상기 파일의 비정상적 실행이 확인되면 상기 프로세스 리스트를 참조하여 해당 프로세스에 연결되어 있는 상기 웹링크 사이트 코드 노드를 악성 사이트 코드 정보로 획득하는 정보 관리부
    를 포함하는 악성 사이트 검사 장치.
  47. 제 46 항에 있어서,
    상기 이벤트 감지부는, 상기 이벤트를 감시하기 위해 상기 브라우저에 의해 불리어서 실행되는 연결 프로그램을 생성하는
    악성 사이트 검사 장치.
  48. 제 47 항에 있어서,
    상기 연결 프로그램은 브라우저 헬퍼 오브젝트(browser helper object)인
    악성 사이트 검사 장치.
  49. 제 46 항에 있어서,
    상기 이벤트 감지부는, 상기 로드를 감시하기 위해 브라우저 프로세스의 식별자를 후킹하는
    악성 사이트 검사 장치.
  50. 제 49 항에 있어서,
    상기 이벤트 감지부는, 상기 악성코드 감지부에 의해 상기 파일이 악성이 아닌 것으로 확인되면 신규 브라우저 프로세스의 식별자를 후킹하는
    악성 사이트 검사 장치.
  51. 제 49 항에 있어서,
    상기 식별자는 CreateProcess 함수인
    악성 사이트 검사 장치.
  52. 제 46 항에 있어서,
    상기 악성코드 검사부는, 상기 이벤트 감지부에 의해 상기 탐색 이벤트가 감지되면 상기 악성 사이트 코드 정보를 활용해 악성 여부를 확인하여 악성일 경우에는 해당 사이트의 로드를 중지하는
    악성 사이트 검사 장치.
  53. 제 46 항에 있어서,
    상기 악성코드 검사부는, 상기 파일이 상기 사이트와 응용프로그램과의 호환프로그램에 의해 실행되거나 사용자에 의해 실행되었는지를 확인하여 상기 비정상적 실행 여부를 확인하는
    악성 사이트 검사 장치.
  54. 제 46 항에 있어서,
    상기 검사 장치는, 상기 악성 사이트 코드 정보를 저장하는 정보 저장부
    를 더 포함하는 악성 사이트 검사 장치.
  55. 제 46 항에 있어서,
    상기 검사 장치는, 상기 악성 사이트 코드 정보를 상기 통신망을 통해 악성 사이트 정보 수집 장치에게 전송하는 데이터 통신부
    를 더 포함하는 악성 사이트 검사 장치.
  56. 삭제
  57. 제 46 항에 있어서,
    상기 정보 관리부는, 상기 사이트 코드 목록에서 상기 해당 쓰레드에 상기 웹링크 사이트 코드 노드가 있는지 확인한 후에 상기 웹링크 사이트 코드 노드가 없다면 메인 웹링크 사이트 코드 노드로 등록하나 상기 쓰레드에 상기 웹링크 사이트 코드 노드가 있다면 프레임 웹링크 사이트 코드 노드로 등록하는
    악성 사이트 검사 장치.
  58. 제 46 항에 있어서,
    상기 정보 관리부는, 최상위 웹링크 사이트 코드 노드를 상기 관련 웹링크 노드로 연결하는
    악성 사이트 검사 장치.
  59. 제 46 항에 있어서,
    상기 정보 관리부는, 상기 악성코드 검사부에 의해 상기 파일의 정상적 실행이 확인되면 사이트 페이지 정보를 악성 사이트 정보로 획득하는
    악성 사이트 검사 장치.
  60. 통신망을 통해 사이트와 응용프로그램과의 악성 호환프로그램을 배포하는 악성 사이트를 검사하는 장치를 활용하여 악성 사이트 정보를 수집하는 장치로서,
    상기 검사하는 장치는,
    상기 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트 및 상기 사이트와 응용프로그램과의 호환프로그램에 대한 상기 브라우저의 로드를 감지하는 이벤트 감시부와,
    상기 이벤트 감시부에 의해 상기 호환프로그램의 로드가 감지되면 해당 호환프로그램의 악성 여부를 확인하는 악성코드 검사부와,
    상기 이벤트 감시부에 의해 상기 탐색 이벤트가 감지되면 해당 사이트 페이지 정보를 획득하여 기 저장된 사이트 페이지 목록 정보의 해당 쓰레드에 웹링크 노드로 등록하여 상기 사이트 페이지 목록 정보를 갱신하고, 상기 이벤트 감시부에 의해 상기 호환프로그램의 로드가 감지되면 해당 호환프로그램 정보를 획득하며, 상기 악성코드 검사부에 의해 상기 호환프로그램이 악성으로 확인되면 상기 해당 호환프로그램 정보를 참조하여 상기 호환프로그램을 로드하는 쓰레드 식별정보를 키로 이용해 상기 사이트 페이지 목록 정보에서 해당 웹링크 노드를 찾아서 상기 해당 웹링크 노드의 웹문서에 해당 호환프로그램 태그가 존재하면 해당 사이트 페이지 정보를 악성 사이트 정보로 획득하는 정보 관리부
    를 포함하며,
    상기 수집하는 장치는,
    상기 통신망을 통해 상기 악성 사이트 정보를 수집하는 데이터 수집 서버와,
    데이터베이스화된 상기 악성 사이트 정보를 저장하는 악성 사이트 데이터베이스
    를 포함하는 악성 사이트 정보 수집 장치.
  61. 악성 프로세스를 실행하는 악성 사이트를 검사하는 장치를 활용하여 악성 사이트 코드 정보를 수집하는 장치로서,
    상기 검사하는 장치는,
    통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트와 파일의 로드를 감지하는 이벤트 감시부와,
    상기 이벤트 감시부에 의해 상기 파일의 로드가 감지되면 상기 파일의 악성 여부를 확인하여 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하는 악성코드 검사부와,
    상기 이벤트 감시부에 의해 상기 탐색 이벤트가 감지되면 해당 사이트 코드 정보를 획득하여 기 저장된 사이트 코드 목록 정보의 해당 쓰레드에 웹링크 사이트 코드 노드로 등록하여 상기 사이트 코드 목록 정보를 갱신하며, 상기 이벤트 감시부에 의해 상기 파일의 로드가 감지되면 프로세스 정보를 획득하면서 상기 사이트 코드 목록 정보에서 쓰레드 식별정보를 키로 하여 동일한 쓰레드 식별정보를 찾아서 해당 쓰레드의 웹링크 사이트 코드 노드를 확인함과 아울러 기 저장된 프로세스 리스트에 프로세스 노드를 추가하면서 추가한 상기 프로세스 노드의 관련 웹링크 노드로서 상기 웹링크 사이트 코드 노드를 연결하고, 상기 악성코드 검사부에 의해 상기 파일의 비정상적 실행이 확인되면 상기 프로세스 리스트를 참조하여 해당 프로세스에 연결되어 있는 상기 웹링크 사이트 코드 노드를 악성 사이트 코드 정보로 획득하는 정보 관리부
    를 포함하며,
    상기 수집하는 장치는,
    상기 통신망을 통해 상기 악성 사이트 코드 정보를 수집하는 데이터 수집 서버와,
    데이터베이스화된 상기 악성 사이트 코드 정보를 저장하는 악성 사이트 데이터베이스
    를 포함하는 악성 사이트 정보 수집 장치.
  62. 통신망을 통해 사이트와 응용프로그램과의 악성 호환프로그램을 배포하거나 악성 프로세스를 실행하는 악성 사이트를 검사하는 시스템으로서,
    상기 통신망을 통해 제공되는 사이트의 접속을 위해 활성화되는 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 해당 사이트 페이지 정보를 획득하여 기 저장된 사이트 페이지 목록 정보의 해당 쓰레드에 웹링크 노드로 등록하여 상기 사이트 페이지 목록 정보를 갱신하고, 상기 사이트와 응용프로그램과의 호환프로그램에 대한 상기 브라우저의 로드가 감지되면 해당 호환프로그램 정보를 획득하면서 상기 호환프로그램의 악성 여부를 확인하며, 상기 호환프로그램이 악성으로 확인되면 상기 해당 호환프로그램 정보를 참조하여 상기 호환프로그램을 로드하는 쓰레드 식별정보를 키로 이용해 상기 사이트 페이지 목록 정보에서 해당 웹링크 노드를 찾아서 상기 해당 웹링크 노드의 웹문서에 해당 호환프로그램 태그가 존재하면 해당 사이트 페이지 정보를 악성 사이트 정보로 획득하면서 상기 사이트의 로드를 중지하고, 상기 브라우저에 의한 상기 사이트의 탐색 이벤트가 감지되면 해당 사이트 코드 정보를 획득하여 기 저장된 사이트 코드 목록 정보의 해당 쓰레드에 웹링크 사이트 코드 노드로 등록하여 상기 사이트 코드 목록 정보를 갱신하며, 파일의 로드가 감지되면 프로세스 정보를 획득하면서 상기 사이트 코드 목록 정보에서 쓰레드 식별정보를 키로 하여 동일한 쓰레드 식별정보를 찾아서 해당 쓰레드의 웹링크 사이트 코드 노드를 확인함과 아울러 기 저장된 프로세스 리스트에 프로세스 노드를 추가하면서 추가한 상기 프로세스 노드의 관련 웹링크 노드로서 상기 웹링크 사이트 코드 노드를 연결하고, 상기 파일의 악성 여부를 확인하여 상기 파일이 악성으로 확인되면 해당 파일의 비정상적 실행 여부를 확인하며, 상기 파일의 비정상적 실행이 확인되면 상기 프로세스 리스트를 참조하여 해당 프로세스에 연결되어 있는 상기 웹링크 사이트 코드 노드를 악성 사이트 코드 정보로 획득하면서 상기 파일의 실행을 차단하는 악성 사이트 검사 장치를 포함하는 데이터 통신 단말과,
    상기 통신망을 통해 상기 악성 사이트 정보 및 상기 악성 사이트 코드 정보를 수집하는 데이터 수집 서버, 데이터베이스화된 상기 악성 사이트 정보 및 상기 악성 사이트 코드 정보를 저장하는 악성 사이트 데이터베이스를 포함하는 악성 사이트 정보 수집 장치
    를 포함하는 악성 사이트 검사 시스템.
KR1020080037016A 2008-04-22 2008-04-22 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체 KR100961149B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080037016A KR100961149B1 (ko) 2008-04-22 2008-04-22 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080037016A KR100961149B1 (ko) 2008-04-22 2008-04-22 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체

Publications (2)

Publication Number Publication Date
KR20090111416A KR20090111416A (ko) 2009-10-27
KR100961149B1 true KR100961149B1 (ko) 2010-06-08

Family

ID=41539194

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080037016A KR100961149B1 (ko) 2008-04-22 2008-04-22 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체

Country Status (1)

Country Link
KR (1) KR100961149B1 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101044274B1 (ko) * 2009-11-03 2011-06-28 주식회사 안철수연구소 악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체
KR101671795B1 (ko) * 2010-01-18 2016-11-03 삼성전자주식회사 동적 링크 라이브러리 삽입 공격을 방지하는 컴퓨터 시스템 및 방법
KR101092024B1 (ko) * 2010-02-19 2011-12-12 박희정 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템
KR101234592B1 (ko) * 2010-11-17 2013-02-19 주식회사 인프라웨어테크놀러지 안드로이드가 탑재된 휴대 단말기에서의 웹브라우저 백신 구동 방법
KR101369253B1 (ko) * 2012-05-10 2014-03-06 주식회사 안랩 웹 페이지의 정보 변조 차단 장치 및 방법
KR101388962B1 (ko) * 2012-11-19 2014-04-24 한국인터넷진흥원 대규모 웹사이트 고속 점검방법
KR101401948B1 (ko) * 2012-11-19 2014-05-30 한국인터넷진흥원 대규모 웹사이트 방문점검 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100789722B1 (ko) * 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100789722B1 (ko) * 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법

Also Published As

Publication number Publication date
KR20090111416A (ko) 2009-10-27

Similar Documents

Publication Publication Date Title
KR101514984B1 (ko) 홈페이지 악성코드 유포 탐지 시스템 및 방법
US9112899B2 (en) Remedial action against malicious code at a client facility
US7287279B2 (en) System and method for locating malware
KR20070049514A (ko) 악성 코드 감시 시스템 및 이를 이용한 감시 방법
CN100527147C (zh) 一种网页安全信息检测系统及方法
US7269851B2 (en) Managing malware protection upon a computer network
KR100961149B1 (ko) 악성 사이트 검사 방법, 악성 사이트 정보 수집 방법,장치, 시스템 및 컴퓨터 프로그램이 기록된 기록매체
US7810091B2 (en) Mechanism to check the malicious alteration of malware scanner
US20140053267A1 (en) Method for identifying malicious executables
CN105491053A (zh) 一种Web恶意代码检测方法及系统
US20060075494A1 (en) Method and system for analyzing data for potential malware
US20140075555A1 (en) System and method for protecting computer systems from malware attacks
KR100912794B1 (ko) 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법
RU2723665C1 (ru) Динамический индикатор репутации для оптимизации операций по обеспечению компьютерной безопасности
US20100306184A1 (en) Method and device for processing webpage data
US20060075468A1 (en) System and method for locating malware and generating malware definitions
WO2017056121A1 (en) Method for the identification and prevention of client-side web attacks
WO2014103115A1 (ja) 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体
CN104268475A (zh) 一种运行应用程序的系统
US20060075490A1 (en) System and method for actively operating malware to generate a definition
JP5326063B1 (ja) デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法
KR101372906B1 (ko) 악성코드를 차단하기 위한 방법 및 시스템
CN108040036A (zh) 一种行业云Webshell安全防护方法
EP1834243B1 (en) System and method for locating malware
KR101234066B1 (ko) 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130527

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140526

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150526

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160526

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170526

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180607

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190527

Year of fee payment: 10